Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 23 24 25 26 27 ... 249

#481

Hacking / IA para el rastreo de imágenes

Agosto 20, 2025, 10:48:28 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Servicios que ayudan en la ubicación geográfica de un lugar o persona a partir de una imagen analizada y rastreada a través de Inteligencia Artificial.

Ya existían servicios afines que funcionan muy bien, como Google Images y similares, pero a diferencia de los anteriores, estos servicios poseen la novedad de usar IA para rastrear la imagen. En ocasiones, (según la plataforma) cruzan referencias con redes sociales que pudieran tener "acceso restringido y privado" pero, como aun presenta bugs el intercambio, por ser una tecnología y métodos recientes y en desarrollo, "accede" y ubica la info.

Al momento de poner este post esta peculiaridad ha sido corroborada.

Este detalle es de esperarse que con el tiempo sea eliminado por derechos de copyright o privacidad de las distintas plataformas involucradas.

Sin más,

Sitios especializados con IA que le ayudarán:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

earthkit
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GeoGiser GPT
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

FindPicLocation
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WhereIsThisPhoto
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#482

Hacking / Cómo encontrar un servidor o IP detrás de Cloudflare [Técnicas OSINT]

Agosto 20, 2025, 06:14:21 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Existen webs que, entre los servicios que brindan, ofrece extraer la IP real de un sitio, aun protegido por Cloudflare.

De cualquier modo, el desafío radica precisamente en que, la obtención real de la IP de un sitio web sobre internet, es la base para establecer ataques de Denegación de Sevicios (DDoS).

Y en efecto, numerosos sitios web que intentan ocultarse con Cloudflare, creen estar seguros porque su dirección IP está protegida por dicho servicio.

Pero, cómo es que se hace?

En mi experiencia personal, he visto realizarlo con Shodan. Digo que lo he visto, porque no lo he realizado; pero sí lo he presenciado en vivo en conferencias, con varios métodos, y de cómo usando esa herramienta [Shodan] se extrae la IP real del sitio.

Aquí les va para los interesados, los distintos métodos a día de hoy para extraer una IP real de un sitio.

Panorama general y fundamentos

Escáner de Internet

Internet, con sus 3.706.452.992 direcciones IPv4 públicas (un conjunto infinito de direcciones IP públicas), es escaneado constantemente por diversas herramientas y servicios, incluyendo investigadores de seguridad, actores de amenazas y sistemas automatizados.

Para identificar un servidor oculto tras Cloudflare, se debe encontrar una característica única del sitio web que aloja. Este identificador único puede utilizarse para activar los escáneres de Internet y detectar la dirección IP del servidor. Es como buscar una aguja en un pajar enorme: ya conocemos su contenido, pero necesitamos un punto de partida preciso.

Maneras de hacerlo.

No es nada nuevo ni mágico. Simplemente con los servicios y el cómo funciona internet. Diagrama que lo visualiza:

Ejemplo de cómo suele lucir la configuración de Cloudflare:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Proxy DNS de Cloudflare

Información sobre cómo Cloudflare oculta su dirección IP: Registro DNS proxy

Al usar como proxy registros DNS específicos a través de Cloudflare (en concreto, registros A, AAAA o CNAME), las consultas DNS para estos se resolverán en direcciones IP anycast de Cloudflare en lugar de en su destino DNS original. Esto significa que todas las solicitudes dirigidas a nombres de host proxy se dirigirán primero a Cloudflare y luego se reenviarán a su servidor de origen.

1. Hash de favicon

¿Alguna vez se ha preguntado cómo identificar el servidor que protege Cloudflare?
Los favicons, esos pequeños logotipos de sitios web en las pestañas de su navegador, son la clave. Los sitios web suelen usar favicons únicos, lo que los convierte en una valiosa herramienta de identificación.

El truco está en el cálculo del hash de favicon (un código único derivado del contenido del favicon), herramientas como Censys y Shodan pueden ayudarle a localizar servidores que comparten ese mismo favicon. Esta técnica evita el enmascaramiento de Cloudflare y revela el servidor de origen.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Utilice esta información para buscar el servidor en Shodan usando su favicon único.

2. Hash de banner o título

Al igual que los hashes de favicon, los hashes de banner y título pueden ser indexados y escaneados por los motores de búsqueda de internet. Las páginas HTML siempre incluyen un título y un banner, lo que proporciona posibles puntos de entrada para la identificación.

Por ejemplo, los servidores Nginx suelen mostrar un título predeterminado. Para identificar estos servidores con Censys, puede utilizar la siguiente consulta:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

3. Certificado TLS

Los certificados TLS actúan como huellas digitales para los servidores. Cada uno es único, lo que los convierte en una herramienta poderosa para identificar el servidor de origen que busca. Los sitios web utilizan TLS para proteger las conexiones, y herramientas como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login pueden revelar certificados pasados y presentes asociados a un dominio específico.

Una vez que tenga la huella digital del certificado TLS, puede utilizar motores de búsqueda como Censys, Fofa, ZoomEye o Shodan. Estas plataformas pueden identificar servidores que comparten el mismo certificado TLS, lo que podría guiarle hacia su objetivo.

Pero el proceso no termina ahí. Los certificados TLS a veces contienen "valores codificados": fragmentos de datos incrustados en el certificado. Estos valores suelen reutilizarse en diferentes servidores, lo que le permite adaptar su búsqueda y, potencialmente, descubrir sistemas relacionados.

Como estas consultas:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

4. Registro DNS histórico

Cloudflare funciona como un proxy DNS. A veces, cuando un sitio web aparece por primera vez en internet, puede que no utilice inicialmente Cloudflare como proxy DNS. Por lo tanto, es posible que aún haya registros DNS antiguos en algún lugar de internet que aún apunten al servidor de origen (dirección IP).

Puedes usar herramientas como Security Trail para buscar DNS históricos; estas almacenan y rastrean todos los DNS en internet.

Nota: Es posible que cambien la dirección IP original después de configurar Cloudflare, por lo que, incluso si encuentras una dirección IP histórica que coincida con el dominio, es posible que no pueda verificarla.

5. El subdominio podría apuntar a la dirección IP del servidor de origen

A veces, el subdominio podría apuntar a la dirección IP del servidor de origen. En OSINT, ya se ha reconocido todo el dominio con herramientas como dnsreccon.

6. El análisis del encabezado de la política de seguridad de contenido muestra la dirección IP del servidor de origen

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

7. Medio: Usar CloudFlair (que utiliza muchos scripts para encontrar el servidor de origen)

Se accede a Censys o Shodan para registrar una cuenta, obtener una clave API y un secreto API, iniciar el script y CloudFlair ejecutará varios scripts.

El comando se ve así:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El resultado se vería así:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

8. Caso curioso: Puedes usar la Búsqueda de Google para encontrar la dirección IP de origen

Antes, a veces simplemente buscaba el dominio en Google, algo así como "ejemplo.com", y a veces la dirección IP aparecía en el resultado.

9. Verificar la dirección IP de un dominio con Curl

Es inteligente verificar si el servidor de origen es el propietario del dominio.

Para una sola dirección IP, aloja un solo dominio.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para una dirección IP que sirve a varios dominios (dirección IP compartida), este TTP utiliza la Indicación de Nombre de Servidor (SNI) para ejecutar varios sitios web HTTPS en una sola dirección IP.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SNI permite tener certificados únicos para cada dominio (es decir, varios certificados) mientras esos dominios comparten la misma IP. Los certificados multidominio, por otro lado, simplemente usan un certificado para varios dominios, lo que a su vez significa una IP para varios dominios.

cURL ofrece un argumento --resolve para asignar explícitamente un nombre de dominio y un puerto a una dirección IP en lugar de usar la búsqueda DNS tradicional. Debe incluir el puerto y el nombre de dominio completo.

Si el sitio web aún está alojado en ese servidor, devolverá el contenido del sitio web.

Conclusión

Hay muchísimas maneras de hacer cualquier cosa. Depende de tu creatividad y de tu comprensión de los conceptos básicos. Estos consejos y trucos siempre han funcionado.

Fuente:
Zeroska
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#483

Hacking / Números de Móviles Virtuales Privados [Parte 2]

Agosto 20, 2025, 05:56:14 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Servicios que lo brindan:

#1 – Textnow

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Brinda un número virtual privado de manera gratuita pero limitado en funciones y calidad de uso.
La compañía actualmente tiene segmentado el mercado de sus usuarios, solo aceptándolos de determinadas zonas geográficas. Leer los comentarios en la Play Store en idioma inglés y en español para que corroboren este inconveniente.
Para abrir cuenta se debe "enmascarar" el dispositivo móvil (debe abrirse por esta vía y no por la web) para que aparezca en la zona geográfica de aceptación. En este caso será en el mundo anglosajón, específicamente en US.

Ir al apartado de configuración del móvil

Sistema / Idiomas y entradas / Idiomas / (colocar como idioma: English (United States)

Ir a: Internet y redes: e ir a los siguientes apartados:

- SIM / Usar SIM >>> desactivar (No se usará la tarjeta para acceder a internet y sí por wifi)

- VPN / Usar una VPN fiable y funcional (gratuitas: Psiphon o Windscribe le funcionarán bien) Activar las funciones:

-VPN siempre activada

-Bloquear conexiones sin VPN

Apartado: Internet:

Wifi / activar (conectarse vía Wifi a su router)

Después, activar la VPN seleccionada para acceder a internet.

- Recordar a los usuarios de Iphone u Samsung que estos móviles poseen apps nativas (ej. en Samsung: Galaxy Store) que recolectan la información real de su móvil; por ende, al acceder a internet, las apps de terceros, corroboran la identidad del móvil por vía de estas apps y no la del móvil en sí. Para "enmascarars" se debe desinstalar e instalarse con el enmascaramiento anterior de idioma y VPN. De no cumplir tal requisito la instalación de la app de Textnow, dectará su identidad real y nacionalidad bloqueándoles el servicio y la cuenta.

Con los anteriores detalles cubiertos, su móvil aparecerá en otra zona geográfica que será aceptada por la app. Seguir los pasos que brinda hasta la selección del número virtual que se desee de los US.

Es de esperar que le funcione como todo servicio gratuito; le bombardearán con publicidad y fallas para que realice el upgrade a la versión de pago. Se recomienda previamente, leer los comentarios en la Play Store sugeridos.

#2 – Twilio

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dentro de sus servicios ofrece un número virtual privado.

Usar el anterior enmascaramiento de zona geográfica.

Usar un servicio de email de confianza y válido en el registro de cuenta (se recomienda Gmail).

Corroborará la cuenta y exigirá una verificación de número de móvil (hasta el momento y que sepa, no exige CC).

Una vez abierta su cuenta y verificada le ofrecerá un crédito de 15$ o 20$ (según recuerdo) que le servirá para rentar el número virtual dentro de la plataforma por varios meses (2 o 3 meses si mal no recuerdo).

#3 – You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Provee crédito gratis que puede usar para esta finalidad.

#4 - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ofrece números virtuales gratuitos, pero... es de los rusos y según anda el negocio con ellos...
Considerar beneficio / riesgo / finalidad.

No obstante, los de pago, que son muy baratos y funcionan muy bien.

#5 – Sitios de pago

Son muy baratos: apenas centavos por un número virtual de móvil:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Contenido en el Foro relacionado

- Suplantación de Identidad de Llamadas ["Caller ID Spoofing"]

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

- Verificaciones por SMS gratuitas - Números de Móviles Virtuales [Parte 1]

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Suerte

Nota:
Si conoce otros sitios que brindan dicho servicio de manera fiable y de calidad, es invitado a compartirlo.

#484

Seguridad / Utilizan códigos QR como arma en nuevos ataques de 'Quishing'

Agosto 20, 2025, 05:16:05 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de seguridad de Barracuda Networks han descubierto dos novedosas técnicas de phishing (suplantación de identidad) con códigos QR que consisten en dividir códigos QR maliciosos en dos partes o incrustarlos en códigos legítimos.

Detallaron sus hallazgos en un nuevo informe, "Amenaza Destacada: Los códigos QR divididos y anidados impulsan una nueva generación de ataques de suplantación de identidad", publicado el 20 de agosto:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Explicación de la División de Códigos QR

Los investigadores de Barracuda observaron que los operadores de Gabagool, un kit de phishing como servicio (PhaaS), han comenzado recientemente a utilizar una nueva técnica para ayudar a los códigos QR maliciosos a evadir la detección.

La técnica consiste en dividir un código QR en dos imágenes separadas e incrustarlas en un correo electrónico de phishing. Cuando las soluciones de seguridad de correo electrónico tradicionales escanean el mensaje, ven dos imágenes distintas y de aspecto inofensivo en lugar de un código QR completo.

Para el destinatario del correo electrónico, el código QR del mensaje parece completo y puede escanearse para dirigir al usuario a una página de phishing diseñada para robar sus credenciales de inicio de sesión de Microsoft. Sin embargo, cuando observamos el elemento visual en HTML, se compone de dos imágenes diferentes.

Ejemplo del uso de la técnica de división de códigos QR

Los analistas de amenazas de Barracuda descubrieron recientemente que atacantes de Gabagool implementaban códigos QR divididos en un ataque que comenzó como una estafa estándar de 'restablecimiento de contraseña' de Microsoft. El uso de mensajes altamente personalizados por parte de los atacantes sugiere que previamente habían implementado un ataque exitoso de secuestro de conversaciones contra el objetivo, según el informe.

Explicación de la anidación de códigos QR

Los investigadores también descubrieron que los operadores de otro PhaaS, Tycoon, utilizaban una técnica diferente, igualmente no reportada, para ayudar a que los códigos QR maliciosos evadieran la detección.

En la práctica, el código QR malicioso se incrusta dentro o alrededor de un código QR legítimo.

En un caso observado por Barracuda, el código QR externo apunta a una URL maliciosa, mientras que el interno dirige a Google.

Ejemplo del uso de la técnica de anidación de códigos QR

"Esta técnica puede dificultar que los escáneres detecten la amenaza debido a la ambigüedad de los resultados", escribieron los investigadores de Barracuda.

Protección de correo electrónico multimodal con IA para defenderse del quishing

El informe de Barracuda concluye con recomendaciones clave para defenderse de los nuevos ataques de quishing, haciendo hincapié en un enfoque de defensa a fondo para la seguridad del correo electrónico.

Más allá de las medidas fundamentales, como la formación en concienciación sobre seguridad, la autenticación multifactor (MFA) y el filtrado avanzado de spam y malware, los investigadores argumentaron que las organizaciones deberían adoptar una protección de correo electrónico multicapa con IA multimodal para contrarrestar las amenazas en rápida evolución.

Este enfoque basado en IA refuerza la detección mediante:

El escaneo visual de imágenes de archivos adjuntos para identificar códigos QR incrustados

La decodificación de cargas útiles de QR y el análisis de URL enlazadas o contenido malicioso

La ejecución segura de enlaces sospechosos en entornos aislados para observar la actividad maliciosa en tiempo real

El uso del aprendizaje automático para analizar las estructuras de los códigos QR y las anomalías de píxeles, incluso sin extraer los datos incrustados

Fuente:
InfoSecurity
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#485

Noticias Informáticas / 22 GB de Decretos y Leyes del Senado de Catamarca, Argentina al descubierto

Agosto 20, 2025, 04:53:29 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha producido una importante filtración de datos que involucra al Senado oficial de Catamarca y a fuentes provinciales, divulgada inicialmente por el usuario "aero" en darkforums[.]st en agosto de 2025.

La filtración incluye:

Decretos: 42.467 documentos, comprimidos a 22 GB, ahora reducidos a 115.222 KB

Leyes provinciales: 1.768 documentos, comprimidos a 940 MB, ahora 9.302 KB

Estos archivos incluyen fechas de sanción y promulgación, datos del Boletín Oficial, información de los autores, extractos, varios artículos por PDF, números de decreto y otros detalles de promulgación.

Este nivel de exposición podría permitir la reconstrucción del corpus legislativo y revelar datos administrativos y procesales sensibles de fuentes de gobernanza pública.

Fuente:
InsecureWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#486

Noticias Informáticas / Gigante energético chileno Lipigas, blanco de filtración de datos

Agosto 20, 2025, 04:51:31 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas presuntamente filtró una base de datos perteneciente a Lipigas, una importante empresa energética chilena.

Los datos se publicaron en un popular foro de hackers, exponiendo lo que parece ser información confidencial de usuarios y empleados.

Lipigas, con sede en Chile, es una distribuidora líder de gas licuado de petróleo (GLP) en el país, que atiende a un gran número de clientes residenciales, comerciales e industriales. La filtración es significativa debido al papel crucial de la empresa en la infraestructura energética del país y al carácter personal de los datos involucrados.

La filtración supuestamente se origina en un subdominio de pruebas de la empresa, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. A pesar de provenir de un entorno de pruebas, la muestra de datos compartida contiene información de identificación personal (PII) altamente confidencial.

La exposición de esta información podría poner a las personas afectadas en riesgo de ataques de phishing, robo de identidad y otras actividades maliciosas. Hasta el momento, la empresa no ha abordado públicamente el supuesto incidente de seguridad.

Los datos presuntamente filtrados de la base de datos incluyen los siguientes campos:

ID de usuario

RUT (Documento Nacional de Identidad)

Contraseña cifrada

Correo electrónico

Nombre

Apellido

Género

Fecha de nacimiento

Número de teléfono

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#487

Noticias Informáticas / Municipio de Miraflores (gob [.] Pe) Perú, presuntamente violado… de nuevo

Agosto 20, 2025, 04:48:57 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas presuntamente filtró una base de datos que contiene la información personal de más de 103,000 ciudadanos de la Municipalidad de Miraflores, un importante distrito de Lima, capital de Perú.

La municipalidad, que opera bajo el dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, es una importante entidad gubernamental responsable de la administración local y los servicios para sus residentes. Los datos se publicaron en un popular foro de ciberdelincuencia, y el actor alegó que la filtración se debe a vulnerabilidades de seguridad persistentes y no abordadas.

El autor se burló de la municipalidad por lo que describió como una falta de mejora en su seguridad, haciendo referencia a presuntos incidentes pasados en 2023 y 2024. El mensaje sugiere que, a pesar de las advertencias previas y las filtraciones de datos que afectaron a entidades vecinas, las vulnerabilidades del sistema nunca se solucionaron. El actor afirma que esta nueva filtración es un conjunto de datos actualizado de 103,744 registros, lo que implica que la información es reciente y altamente sensible.

El actor de amenazas detalló el alcance de los datos expuestos, que parecen ir mucho más allá de la simple información de contacto. La filtración presuntamente contiene un conjunto completo de identificadores personales y oficiales que podrían utilizarse para robo de identidad, fraude y otras actividades maliciosas. Los campos de datos filtrados incluyen:

Número y tipo de documento (documento, tipodocumento)

ID de usuario (idusuario)

Nombre de la empresa (nombre_empresa)

Correo electrónico del usuario (correo_usuario)

Teléfono fijo y móvil (celular)

Representante (representador)

Apellidos paterno y materno (apellidopaterno, apellidomaterno)

Nombre completo del RENIEC (Registro Nacional de Identificación y Estado Civil) (nombrereniec)

Fuente (fuente)

Fecha de creación y modificación (fecha_creacion, fecha_modiciacion)

Datos de creación del usuario (usuario_creacion)

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#488

Noticias Informáticas / FreeVPN.One, popular extensión de VPN para Chrome la pillan espiando

Agosto 20, 2025, 04:03:53 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Koi Security ha revelado que una popular extensión de Google Chrome, con más de 100.000 instalaciones, ha estado tomando capturas de pantalla de cada sitio web que visitan sus usuarios y enviándolas a un dominio controlado por el desarrollador anónimo del software.

La extensión en cuestión, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, afirma ser "la VPN gratuita más rápida para Chrome" y cuenta con la insignia "Destacada" que Google otorga a las extensiones que "siguen nuestras mejores prácticas técnicas y cumplen con un alto estándar de experiencia de usuario y diseño". Sin embargo, resulta que You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login lleva meses socavando la privacidad de sus usuarios.

"Si bien las extensiones de VPN necesitan legítimamente permisos como proxy y almacenamiento para su funcionalidad principal", declaró Koi Security, "esta solicita más permisos que permiten una amplia recopilación de datos". La compañía identificó tres permisos (pestañas y scripts) que permiten a FreeVPN inyectar un script en cada sitio web que visitan sus usuarios. Segundos después de cargar cualquier página, un disparador en segundo plano toma una captura de pantalla y la envía a aitd[.]one/brange.php, junto con la URL de la página, el ID de la pestaña y un identificador único de usuario —explica el informe—. Sin intervención del usuario, sin ninguna sugerencia de la interfaz de usuario; las capturas de pantalla se toman en segundo plano sin que el usuario lo note.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La política de privacidad de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login reconoce que puede tomar capturas de pantalla de las páginas que visitan sus usuarios, pero solo debe hacerlo si estos activan la función de detección de amenazas con IA, mediante la cual se transmite una captura de pantalla e información relacionada de la página (como la URL y el contenido visible) desde su navegador a nuestros servidores seguros y, si corresponde, a nuestros socios de análisis verificados.

Esto sugiere que You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login solo habilita sus funciones de recopilación de datos si los usuarios optan por la función de detección de amenazas con IA. Sin embargo, el desarrollador afirma en otro párrafo que utiliza datos de uso anónimos para crear nuestra base de datos de inteligencia de amenazas, independientemente de si la protección con IA está activada o no, lo que coincide con las conclusiones de Koi Security.

La política también ha cambiado recientemente. A una copia de la política del 20 de junio le falta la sección sobre datos de uso anónimos, así como la frase "Este sistema está en fase beta y se proporciona 'tal cual' sin garantías de ningún tipo, expresas o implícitas, incluyendo, entre otras, la precisión, fiabilidad o idoneidad para un fin determinado".

También falta el encabezado que indica que You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login es operado por una empresa llamada CMO Ltd.
No se menciona quién opera la extensión;

de hecho, la única pista proviene del correo electrónico que Google proporciona para contactar al desarrollador. El dominio asociado a ese correo redirige a una página de Phoenix Software Solutions con la URL "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login". No inspira mucha confianza.

El informe de Koi Security incluye un desglose de la lenta transición de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, de una VPN aparentemente inocua a una extensión que vulnera la privacidad entre abril y julio, así como un resumen de las interacciones de la empresa con el desarrollador del software. (Quienes aparentemente dejaron de responder a las preguntas de los investigadores en cuanto pidieron "pruebas de legitimidad, como un perfil de empresa, una cuenta de GitHub o una página de LinkedIn").

Los proveedores de VPN suelen hacer afirmaciones absurdas sobre los beneficios de privacidad y seguridad que ofrecen sus servicios. Cabe recordar que usar estos servicios requiere una gran confianza en las organizaciones que los ofrecen; esa confianza seguramente estaría mejor depositada en otro lugar que en una extensión gratuita de Chrome operada por un desarrollador desconocido que captura cada página que visitan sus usuarios.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#489

Noticias Informáticas / AMD gana terreno en el mercado CPU gracias a sus procesadores Ryzen

Agosto 20, 2025, 03:28:46 PM

AMD ha publicado sus resultados del segundo trimestre en el mercado CPU, y las cifras que ha mostrado la compañía revelan crecimientos importantes tanto en el sector de consumo general como en el de procesadores para sobremesa.

Los datos se dividen en tres categorías: CPUs para servidores, escritorio y portátiles. En primer lugar tenemos la cifra que representa la cuota de unidades, o cuota de mercado, y en segundo lugar la cuota de ingresos. Cuanto más altas sean esas cifras, mejor.

En el segundo trimestre de 2025 la cuota de CPUs AMD para servidores fue de un 27,3%, una cifra que representa una subida del 3,2% año sobre año, y un incremento del 0,1% trimestre sobre trimestre. En cuota de ingresos el incremento fue del 1,5% trimestre sobre trimestre, y del 7,2% año sobre año.

La categoría de procesadores para PCs de escritorio también muestra datos muy positivos. La cuota de mercado en el segundo trimestre de 2025 fue de un 32,2%, lo que representa una subida del 4,2% frente al trimestre anterior, y un crecimiento del 9,2% frente al mismo periodo del año pasado. En cuota de ingresos, el crecimiento fue del 4,9% frente al trimestre anterior, y del 20,5% frente al mismo periodo del año pasado.

En CPUs para portátiles tenemos una pequeña caída frente al trimestre anterior en cuota, ya que esta ha pasado del 22,5% al 20,6%, lo que equivale a una bajada del 2,1%. Año sobre año el dato es positivo, ya que refleja una subida del 0,2%. En cuanto a ingresos, la caída es del 0,7% trimestre sobre trimestre, pero año sobre año tenemos una subida del 3,9%.

Haciendo un cómputo total, AMD cerró el segundo trimestre de 2024 con una cuota en el mercado CPU del 24,2%, y una cuota de ingresos del 33%. Comparando con el trimestre anterior tenemos una caída del 0,2% en cuota de mercado, y un aumento del 2,9% año sobre año.

Si hablamos de cuota de ingresos los resultados son positivos, tanto trimestral como anualmente. En el segundo trimestre la cuota de ingresos aumentó un 1,3% frente al trimestre anterior, y en una base anual el crecimiento fue del 8,8%.

Poniendo todos estos datos en perspectiva, la verdad es que resulta impresionante ver cómo se ha recuperado AMD, y todo lo que ha conseguido la compañía en el sector CPU. En 2016 se hablaba de su posible venta a Samsung para evitar el cierre de la compañía, y nueve años después está totalmente saneada y se encuentra en una posición privilegiada gracias a su ecosistema de procesadores Ryzen.

Fuente:
MuyComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#490

Noticias Informáticas / Hacker descubre vulnerabilidades graves de Intel y… solo le dan las "gracias"

Agosto 19, 2025, 06:53:43 PM

Un hacker de sombrero blanco irrumpió en cuatro sistemas internos de Intel y descubrió que los datos confidenciales de 270.000 empleados de Intel estaban expuestos. Después, dedicó meses a ayudar a la empresa a solucionar las filtraciones, solo para recibir una nota de agradecimiento automatizada.

El investigador de seguridad Eaton Zveare descubrió que era posible eludir la autenticación en el sitio web de Intel para solicitar tarjetas de presentación corporativas en India. La API del sistema respondió con muchos más datos de los que esperaba.

"Me proporcionó un archivo JSON de casi 1 GB. Este archivo contenía los datos de todos los empleados de Intel. Con una sola solicitud a la API, extraje una gran cantidad de información detallada", publicó Zveare en LinkedIn.

Investigaciones posteriores también revelaron fallas críticas en otros sistemas.

"No hubo una ni dos, sino *4* vulnerabilidades que me permitieron extraer información confidencial de más de 270.000 empleados/trabajadores de Intel, y logré acceder a varios sitios web internos mediante parches creativos de JavaScript", reveló el investigador de seguridad en un informe.

Para eludir la autenticación en el sitio web de Operaciones de Intel India, el investigador simplemente modificó el código del lado del cliente. El sitio usaba JavaScript para redirigir a los usuarios no autenticados, pero el investigador modificó una función para que devolviera una matriz no vacía y logró eludir el inicio de sesión.

El investigador se sorprendió al ver que el tráfico "en segundo plano" utilizaba una API no autenticada para devolver información sobre cada empleado. Compartió una captura de pantalla con detalles para Patric Gelsinger, exdirector ejecutivo de Intel.

"Los datos incluían campos como el nombre, el cargo, el gerente, el número de teléfono y la dirección del buzón de correo de la persona, pero nada demasiado confidencial como el salario o el número de la seguridad social", explicó.

Otros tres sistemas expuestos

Posteriormente, el investigador descubrió que el sitio web de Gestión Jerárquica de Intel, que ayuda a organizar los grupos de productos y la propiedad dentro de la empresa, contenía una contraseña codificada y fácilmente descifrable que incluso podía utilizarse para obtener acceso de administrador al sistema.

"Este cifrado es completamente inútil", escribe el investigador.

"Todo se realiza del lado del cliente, lo que significa que el cliente tiene la clave, ¡así que es posible descifrar la contraseña!"

La contraseña descifrada causó aún más sorpresa. Solo contenía secuencias de números (123...) y letras (abc...).

Las credenciales de administrador, codificadas de forma rígida, permitían acceder al sitio con información interesante, que podría incluir productos inéditos.

El tercer servicio interno al que accedió el investigador fue el sitio web de "Incorporación de productos", probablemente utilizado para subir información de productos.

Las credenciales de varias API se publicaron en texto plano, entre los comentarios de los archivos JS. Un token de acceso personal cifrado de GitHub podría haber permitido leer productos falsos en Intel ARK, pero el investigador decidió no probarlo.

Por último, el sitio SEIMS (Sistema de Gestión de IP de EHS de Proveedores) de Intel también vio comprometido su acceso corporativo. De nuevo, se filtraron todos los datos de los empleados de Intel, pero con modificaciones adicionales del lado del cliente, fue posible obtener acceso completo al sistema para ver grandes cantidades de información confidencial sobre los proveedores de Intel.

El investigador pudo acceder a informes de productos y otros documentos, como acuerdos de confidencialidad (NDA).

¡Gracias!

El investigador, responsablemente, reveló todas las vulnerabilidades a Intel y describió la experiencia como un "agujero negro unidireccional".

El 14 de octubre de 2024, Zveare envió el primer informe de vulnerabilidad de la tarjeta de presentación e inmediatamente recibió un correo electrónico automático con "¡Gracias!", explicando que las vulnerabilidades de la infraestructura web no forman parte del Programa de Recompensas por Errores.

"No se enviará ninguna otra respuesta ni certificado más allá de esta notificación", decía la carta.

Y fue la única correspondencia oficial que recibió el investigador.

Zveare reveló posteriormente nuevas vulnerabilidades el 29 de octubre y el 12 de noviembre de 2024. Posteriormente, envió múltiples correos electrónicos de seguimiento instando a la rotación de las credenciales filtradas y a la corrección de las vulnerabilidades.

Noventa días después, las fallas se resolvieron. El 28 de febrero de 2025, el investigador informó a Intel sobre su intención de publicar los hallazgos. Sin embargo, esperó hasta el 18 de agosto, cuando el informe se hizo público.

"Las vulnerabilidades de hardware pueden llegar a costar hasta 100 000 dólares, mientras que los errores de sitios web quedan prácticamente relegados a un buzón de correo negro", señala el investigador.

"La buena noticia es que Intel ha ampliado recientemente su cobertura de recompensas por errores para incluir servicios".

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#491

Noticias Informáticas / UK retira la orden de puerta trasera de cifrado para Apple

Agosto 19, 2025, 06:48:57 PM

El gobierno del Reino Unido aparentemente ha abandonado sus planes de obligar a Apple a debilitar las protecciones de cifrado e incluir una puerta trasera que habría permitido el acceso a los datos protegidos de ciudadanos estadounidenses.

La Directora de Inteligencia Nacional (DNI) de EE. UU., Tulsi Gabbard, en un comunicado publicado en X, afirmó que el gobierno estadounidense había estado trabajando con sus socios del Reino Unido durante los últimos meses para garantizar la protección de las libertades civiles de los estadounidenses.

"Como resultado, el Reino Unido ha acordado retirar su mandato a Apple para que proporcionara una 'puerta trasera' que habría permitido el acceso a los datos cifrados protegidos de los ciudadanos estadounidenses y habría vulnerado nuestras libertades civiles", declaró Gabbard.

Esto ocurre después de que Apple desactivara su función de Protección Avanzada de Datos (ADP) para iCloud en el Reino Unido a principios de febrero, tras las exigencias del gobierno de permitir el acceso por puerta trasera a los datos cifrados de los usuarios.

"Estamos profundamente decepcionados de que las protecciones proporcionadas por ADP no estén disponibles para nuestros clientes en el Reino Unido, dado el continuo aumento de las violaciones de datos y otras amenazas a la privacidad del cliente", declaró la compañía a Bloomberg en ese momento.

"Como hemos dicho muchas veces, nunca hemos creado una puerta trasera ni una llave maestra para ninguno de nuestros productos o servicios, y nunca lo haremos".

La orden secreta para exigir a Apple la implementación de una "puerta trasera" se materializó en un aviso de capacidad técnica (TCN) emitido por el Ministerio del Interior del Reino Unido en virtud de la Ley de Poderes de Investigación (IPA) para permitir el acceso generalizado a datos cifrados de extremo a extremo en la nube, incluso para usuarios fuera del país. La orden se emitió en enero de 2025.

Los críticos han argumentado que permitir el acceso a datos cifrados en la nube, incluidas las copias de seguridad, equivale esencialmente a crear una puerta trasera que podría ser explotada por ciberdelincuentes y gobiernos autoritarios.

Cabe destacar que el término "puerta trasera" se refiere a la capacidad de Apple para responder a órdenes judiciales que buscan el contenido de las cuentas de iCloud protegidas por ADP, lo que imposibilita que terceros, incluido el gigante tecnológico, descifren los datos. Actualmente se desconoce si Apple tiene la intención de reactivar ADP para los usuarios británicos.

Apple ha apelado la decisión. La legalidad de la orden, tras la negativa del Tribunal de Poderes de Investigación (IPT) a los intentos del Ministerio del Interior de mantener el caso en secreto, se vio afectada.

A finales del mes pasado, Google declaró a TechCrunch que, a diferencia de Apple, no había recibido ninguna solicitud del Reino Unido para debilitar las protecciones de cifrado y permitir a las autoridades el acceso a los datos de los clientes.

En una nueva carta enviada a Gabbard, el senador Ron Wyden afirmó que Meta "ofreció una negación inequívoca [...], afirmando que no hemos recibido una orden para instalar una puerta trasera en nuestros servicios cifrados, como la que se informó sobre Apple".

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#492

Noticias Informáticas / Vulnerabilidad de Apache ActiveMQ explotada para implementar malware

Agosto 19, 2025, 06:41:16 PM

Los actores de amenazas están explotando una falla de seguridad de casi dos años de antigüedad en Apache ActiveMQ para obtener acceso persistente a sistemas Linux en la nube e implementar malware llamado DripDropper.

Sin embargo, en un giro inusual, se ha observado que los atacantes desconocidos han parcheado la vulnerabilidad explotada tras asegurar el acceso inicial para evitar que otros adversarios la exploten y evadir la detección, según informó Red Canary en un informe compartido.

"Las herramientas de comando y control (C2) de seguimiento del adversario variaban según el endpoint e incluían Sliver y túneles de Cloudflare para mantener el comando y control encubiertos a largo plazo", afirmaron los investigadores Christina Johns, Chris Brook y Tyler Edmonds.

Los ataques explotan una falla de seguridad de máxima gravedad en Apache ActiveMQ ( CVE-2023-46604, puntuación CVSS: 10.0 ), una vulnerabilidad de ejecución remota de código que podría explotarse para ejecutar comandos de shell arbitrarios. Esta vulnerabilidad se solucionó a finales de octubre de 2023.

Desde entonces, la falla de seguridad ha sido objeto de una intensa explotación, y múltiples actores de amenazas la han aprovechado para desplegar una amplia gama de cargas útiles, incluyendo ransomware HelloKitty, rootkits de Linux, malware de la botnet GoTitan y el shell web Godzilla.

En la actividad de ataque detectada por Red Canary, se ha observado que los actores de amenazas aprovechan el acceso para modificar las configuraciones sshd existentes y habilitar el inicio de sesión root, lo que les otorga acceso elevado para instalar un descargador previamente desconocido llamado DripDropper.

DripDropper, un binario con formato ejecutable y enlazable (ELF) de PyInstaller, requiere una contraseña para ejecutarse con el fin de evitar el análisis. También se comunicó con una cuenta de Dropbox controlada por el atacante, lo que ilustra una vez más cómo los actores de amenazas recurren cada vez más a servicios legítimos para integrarse en la actividad normal de la red y eludir la detección.

El descargador sirve, en última instancia, como conducto para dos archivos, uno de los cuales facilita diversas acciones en diferentes endpoints, desde la monitorización de procesos hasta contactar con Dropbox para obtener más instrucciones. La persistencia del archivo descargado se logra modificando el archivo 0anacron presente en los directorios /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly y /etc/cron.monthly.

El segundo archivo descargado por DripDropper también está diseñado para contactar con Dropbox para recibir comandos, a la vez que modifica los archivos de configuración existentes relacionados con SSH, probablemente como mecanismo de respaldo para el acceso persistente. La etapa final implica que el atacante descargue de Apache Maven los parches para CVE-2023-46604, solucionando así la falla.

"Parchear la vulnerabilidad no interrumpe sus operaciones, ya que ya han establecido otros mecanismos de persistencia para el acceso continuo", afirmaron los investigadores.

Si bien es ciertamente poco común, la técnica no es nueva. El mes pasado, la agencia nacional de ciberseguridad francesa, ANSSI, detalló un agente de acceso inicial con nexo con China que emplea el mismo enfoque para proteger el acceso a los sistemas e impedir que otros actores de amenazas aprovechen las deficiencias para acceder y enmascarar el vector de acceso inicial utilizado inicialmente.

La campaña ofrece un oportuno recordatorio de por qué las organizaciones necesitan aplicar parches de forma oportuna, limitar el acceso a los servicios internos configurando reglas de entrada a direcciones IP o VPN de confianza, y supervisar los registros de los entornos en la nube para detectar actividad anómala.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#493

Noticias Informáticas / Chip cerebral que lee la mente podría revelar tus pensamientos internos

Agosto 19, 2025, 06:33:21 PM

¿Alguna vez has querido saber qué ocurre en la mente de alguien? Pues bien, la nueva tecnología de interfaz cerebro-computadora (ICC) supuestamente puede decodificar nuestros pensamientos más íntimos.

Una nueva investigación publicada en Cell por investigadores universitarios de Estados Unidos ha descubierto una novedosa forma de descifrar nuestros pensamientos más íntimos.

Si bien las ICC como Neuralink de Elon Musk han ayudado a personas con parálisis, este grupo de investigadores afirmó que también se ha debatido su uso para revelar nuestros monólogos internos.

Las ICC son un conjunto diminuto de microelectrodos que se implantan quirúrgicamente en el cerebro de una persona para registrar patrones neurológicos.

Estos patrones y señales se transfieren a un algoritmo informático que los traduce en acciones como el habla o los movimientos del cursor, según informa el Stanford Medicine News Center.

La voz interior, o "esa vocecita dentro de la cabeza", es experimentada por casi todos y se ha descrito como una expresión silenciosa que sigue un patrón lingüístico coherente.

Los investigadores descubrieron que esta "vocecita dentro de la cabeza" está representada en la corteza motora, responsable de enviar señales para dirigir el movimiento del cuerpo, según el Instituto Nacional de Salud, y estos movimientos musculares también ayudan a producir el habla.

Mediante este experimento, los investigadores descubrieron que "las frases imaginadas pueden decodificarse en tiempo real".

También descubrieron que partes del habla interna libre pueden decodificarse durante tareas como recordar secuencias y contar.

Los investigadores descubrieron esto al analizar grabaciones de microelectrodos (que miden la actividad eléctrica cerebral) de cuatro participantes durante una serie de comportamientos verbales.

Los cuatro participantes presentaban disartria grave, lo que significa que tenían dificultades para hablar debido a trastornos como la ELA y una afección llamada ictus pontino.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#494

Noticias Informáticas / Exploit público para fallas encadenadas de SAP expone a RCE

Agosto 19, 2025, 06:31:31 PM

Un nuevo exploit que combina dos vulnerabilidades de seguridad críticas, ya parcheadas, en SAP NetWeaver ha surgido, poniendo a las organizaciones en riesgo de vulneración de sistemas y robo de datos.

El exploit en cuestión combina las vulnerabilidades CVE-2025-31324 y CVE-2025-42999 para eludir la autenticación y lograr la ejecución remota de código, según informó la empresa de seguridad de SAP, Onapsis.

CVE-2025-31324 ( puntuación CVSS: 10.0 ): Falta la comprobación de autorización en el servidor de desarrollo de Visual Composer de SAP NetWeaver.

CVE-2025-42999 ( puntuación CVSS: 9.1 ): Deserialización insegura en el servidor de desarrollo de Visual Composer de SAP NetWeaver.

SAP abordó las vulnerabilidades en abril y mayo de 2025, pero no antes de que los actores de amenazas las utilizaran como vulnerabilidades de día cero desde al menos marzo.

Se ha observado que varios grupos de ransomware y extorsión de datos, como Qilin, BianLian y RansomExx, utilizan estas vulnerabilidades como arma, además de varios equipos de espionaje con vínculos con China que también las han utilizado en ataques dirigidos a redes de infraestructura crítica.

La existencia del exploit fue reportada por primera vez la semana pasada por vx-underground, que afirmó haber sido publicado por Scattered Lapsus$ Hunters, una nueva alianza fluida formada por Scattered Spider y ShinyHunters.

«Estas vulnerabilidades permiten a un atacante no autenticado ejecutar comandos arbitrarios en el sistema SAP objetivo, incluyendo la carga de archivos arbitrarios», declaró Onapsis. «Esto puede provocar la ejecución remota de código (RCE) y el control total del sistema afectado, así como de los datos y procesos empresariales de SAP».

El exploit, añadió la compañía, no solo puede utilizarse para implementar web shells, sino que también puede utilizarse para llevar a cabo ataques de tipo "living off the land" (LotL) mediante la ejecución directa de comandos del sistema operativo sin necesidad de instalar artefactos adicionales en el sistema comprometido. Estos comandos se ejecutan con privilegios de administrador de SAP, lo que otorga a los atacantes acceso no autorizado a los datos y recursos del sistema de SAP.

En concreto, la cadena de ataque utiliza primero CVE-2025-31324 para eludir la autenticación y cargar la carga maliciosa al servidor. Posteriormente, se explota la vulnerabilidad de deserialización ( CVE-2025-42999 ) para descomprimir la carga y ejecutarla con permisos elevados.

"La publicación de este dispositivo de deserialización es especialmente preocupante debido a que puede reutilizarse en otros contextos, como la explotación de las vulnerabilidades de deserialización que SAP parcheó recientemente en julio", advirtió Onapsis.

Esto incluye:

CVE-2025-30012 (puntuación CVSS: 10.0)
CVE-2025-42963 (puntuación CVSS: 9.1)
CVE-2025-42964 (puntuación CVSS: 9.1)
CVE-2025-42966 (puntuación CVSS: 9.1)
CVE-2025-42980 (puntuación CVSS: 9.1)

La compañía, que describe a los actores de la amenaza como poseedores de un amplio conocimiento de las aplicaciones SAP, insta a los usuarios de SAP a aplicar las últimas correcciones lo antes posible, revisar y restringir el acceso a las aplicaciones SAP desde internet, y supervisar las aplicaciones SAP para detectar cualquier indicio de vulnerabilidad.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#495

Noticias Informáticas / Actualizaciones de seguridad interrumpen la recuperación de Windows

Agosto 19, 2025, 06:28:26 PM

Microsoft ha confirmado que las actualizaciones de seguridad de Windows de agosto de 2025 están interrumpiendo las operaciones de restablecimiento y recuperación en sistemas con Windows 10 y versiones anteriores de Windows 11.

"Tras instalar la actualización de seguridad de Windows de agosto de 2025 [...] en cualquiera de las versiones de cliente mencionadas a continuación en la sección 'Plataformas afectadas', los intentos de restablecer o recuperar el dispositivo podrían fallar", declaró la compañía en una nueva actualización de estado de Windows.

Instalar las actualizaciones de seguridad de este mes causará problemas a los usuarios que deseen reinstalar el sistema conservando sus archivos mediante la función Restablecer mi PC, o reinstalarlo conservando sus archivos, aplicaciones y configuración mediante la herramienta Solucionar problemas con Windows Update.

Este problema conocido también puede afectar a los usuarios que deseen restablecer dispositivos de forma remota mediante el proveedor de servicios de configuración RemoteWipe (RemoteWipe CSP).

Según Redmond, el error solo afecta a las plataformas cliente tras instalar las siguientes actualizaciones:

Windows 11 23H2 y Windows 11 22H2 (KB5063875),
Windows 10 22H2, Windows 10 Enterprise LTSC 2021, Windows 10 IoT Enterprise LTSC 2021 (KB5063709),
Windows 10 Enterprise LTSC 2019, Windows 10 IoT Enterprise LTSC 2019 (KB5063877).

La compañía está trabajando actualmente en una solución para este problema conocido, que se implementará mediante actualizaciones fuera de banda para todas las plataformas afectadas en los próximos días.

El viernes, Microsoft confirmó e implementó una corrección mediante la Reversión de Problemas Conocidos (KIR) para un error que provoca fallos en las actualizaciones de Windows al instalarse desde un recurso compartido de red mediante el Instalador Independiente de Windows Update (WUSA).

La semana pasada, Microsoft corrigió otro error que provocaba que las actualizaciones de seguridad de agosto de 2025 fallaran con errores 0x80240069 al distribuirse a través de Windows Server Update Services (WSUS) tras instalar la actualización KB5063878 para sistemas Windows 11 24H2.

En abril, Microsoft reconoció un problema similar que afectaba a clientes empresariales, quienes experimentaban los mismos errores del Servicio de Actualización de Windows al intentar actualizar sistemas Windows 11 22H2/23H2. La compañía resolvió el problema implementando otra corrección KIR para dispositivos domésticos y empresariales no administrados en mayo.

A principios de este mes, Redmond también solicitó a los clientes que ignoraran los errores de inscripción de certificados incorrectos tras instalar la actualización preliminar de julio de 2025 y las actualizaciones más recientes de Windows 11 24H2.

Además, se corrigió un error que estaba causando problemas en el servicio de clúster y en el reinicio de la máquina virtual después de instalar las actualizaciones de seguridad de Windows Server 2019 de julio.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#496

Noticias Informáticas / Actualización de seguridad de Win 11 está dando problemas graves con los SSD

Agosto 19, 2025, 04:26:05 PM

La última actualización de seguridad que ha recibido Windows 11, identificada como «KB5063878», está dando problemas graves que afectan a un componente clave de tu PC, la unidad SSD. Es un caso preocupante, porque hace apenas unos días esta actualización era muy importante, porque contaba con mejoras muy necesarias, y al final tampoco ha estado exenta de problemas.

La última actualización de seguridad que ha recibido Windows 11, identificada como «KB5063878», está dando problemas graves que afectan a un componente clave de tu PC, la unidad SSD. Es un caso preocupante, porque como os contamos hace apenas unos días esta actualización era muy importante, porque contaba con mejoras muy necesarias, y al final tampoco ha estado exenta de problemas.

Varios usuarios han confirmado que, tras instalar esta actualización, sus unidades SSD empezaron a dar problemas y dejaron de funcionar. Uno de los casos más graves que se ha documentado especifica que, tras instalar una actualización de 50 GB para Cyberpunk 2077, Windows 11 dejó de reconocer la unidad SSD, y tras reiniciar el equipo la partición de la unidad dejó de ser accesible.

Todos los casos conocidos tienen esto en común, que su unidad SSD dejó de funcionar tras realizar un ciclo de escritura continuado de 50 GB o más. Este tipo de trabajos son más comunes de lo que podemos llegar a imaginar, sobre todo en PCs para gaming, ya que la mayoría de los juegos actuales tiene un peso de más de 50 GB.

No está claro qué es exactamente lo que provoca este fallo, pero puede que esta actualización de seguridad de Windows 11 haya introducido algún tipo de problema a nivel de kernel que acabe produciendo un bloqueo de la controladora de la unidad SSD, ya que entre las unidades afectadas se encuentran varios modelos con diferentes controladoras de memoria.

Se sospecha que la actualización «KB5062660» también da problemas similares con unidades SSD, pero hay muy pocos casos documentados hasta el momento, así que la mayoría de los fallos confirmados se deben a la actualización «KB5063878».

Por suerte esto no hay constancia de que se produzca un daño permanente en la unidad de almacenamiento. En algunos casos esta vuelve a funcionar al reiniciar el PC, y en otros es necesario desinstalar las actualizaciones problemáticas para que todo vuelva a la normalidad

Unidades SSD afectadas por este problema en Windows 11

•   Corsair Force MP600.
•   Unidades SSD con la controladora Phison PS5012-E12.
•   KIOXIA EXCERIA PLUS G4.
•   Fikwot FN955.
•   SSD con controladora de memoria InnoGrit.
•   Maxio SSD.
•   KIOXIA M.2 SSD.
•   SanDisk Extreme PRO M.2 NVMe 3D SSD.

•
Tened en cuenta que otras unidades SSD podrían estar también afectadas por este problema, pero todavía no habrían sido documentadas, así que puede que la lista se amplíe en un futuro.

Unidades SSD que no sufren este problema

•   Samsung 990 PRO de 2 TB NVMe.
•   Samsung 980 PRO de 2 TB NVMe.
•   Samsung 870 EVO de 1 TB SATA.
•   WD Black SN7100 de 2 TB NVMe.
•   WD Blue SA510 de 1 TB SATA M.2.
•   Seagate FC530 de 2 TB NVMe.
•   Seagate FC530 de 1 TB NVMe.
•   Solidigm P44 Pro NVMe.
•   Crucial T700 de 2 TB NVMe.
•
Qué puedo hacer para evitar este problema

1.   Evita ciclos de escritura constante de varias decenas de gigabytes.

2.   Si no puedes evitar esos ciclos de escritura no los completes de forma continuada, divídelos en varios bloques distribuidos en un periodo de tiempo razonable.

3.   Evita también ciclos de escritura pequeños, pero con descompresión de centenares de archivos. Como en el caso anterior, completa esa tarea en varias partes, no la hagas de golpe.

4.   En última instancia, desinstala las actualizaciones KB5063878 y KB5062660.

5.   Microsoft no ha reconocido de momento este problema, así que no hay indicios de que esté trabajando en una solución definitiva, pero imaginamos que al menos estarán investigando el asunto para ver qué es lo que ha ocurrido, y para tomar medidas si es necesario.

La lista de problemas que arrastra Windows 11 24H2 es enorme, y con actualizaciones como esta no hace más que crecer. No hay ninguna duda, es la peor actualización que ha recibido en toda su historia, un recordatorio de por qué es mejor esperar antes de actualizar a cada nueva versión de este sistema operativo.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Traducción y Compendio:
MuyComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#497

Noticias Informáticas / Mini SSD, almacenamiento extraíble a máxima velocidad

Agosto 19, 2025, 04:23:04 PM

Una empresa china ha desarrollado el nuevo formato de almacenamiento Mini SSD. Externo y extraíble, está destinado especialmente a dispositivos portátiles que necesiten el mejor rendimiento, como las máquinas de mano para juegos que están viviendo una nueva juventud.

Nintendo popularizó el estándar microSD Express al exigirlo para la nueva consola Switch 2. La especificación, a pesar de su enorme velocidad, había permanecido en un relativo olvido debido a que las tarjetas microSD normales, eran y son muy baratas, abundantes, compatibles con cualquier dispositivo y lo suficientemente rápidas para uso habitual.

Sin embargo, la consola de Nintendo necesitaba un rendimiento cercano al de un SSD interno para ejecutar sus juegos, dado que la Switch 2, más potente, puede ejecutar algunos títulos desarrollados para consolas de sobremesa como PlayStation 5, Xbox Series S y X, o para PCs.

Mini SSD

La empresa china Biwin ha desarrollado una tarjeta de 15 x 17 mm de grosor que usa una interfaz PCI Express 4.0 de dos carriles, para conseguir velocidades de lectura de hasta 3.700 Mbytes por segundo. La tarjeta utiliza un encapsulado LGA para integrar chips NAND y un controlador SSD en tarjetas diminutas, que se insertan en pequeñas bandejas metálicas y se integran en los sistemas como una tarjeta SIM.

Los fabricantes de las consolas portátiles como la GPD Win 5 y la OneXPlayer Super X, han confirmado su compatibilidad con estas tarjetas, que, según Biwin, estarán disponibles en capacidades de entre 500 GB y 2 TB.

La tarjeta Mini SSD no es y quizás nunca sea un estándar ratificado formalmente, pero apunta a resolver un problema real de los sistemas de juegos portátiles: la necesidad de un almacenamiento rápido que pueda cargar juegos a velocidades cercanas a las de un SSD interno, sin requerir que los usuarios desarmen los equipos para realizar actualizaciones.

Hay que decir que el estándar microSD Express actual puede alcanzar velocidades máximas prácticamente iguales que esta Mini SSD al conectarse a dos carriles PCIe 4.0. Sin embargo, la mayoría de la oferta actual alcanzan un máximo de unos 900 MB por segundo, aproximadamente el ancho de banda disponible en un solo carril PCI Express 3.0.
Queda por ver si este nuevo «mini SSD», una versión más rápida de la microSD Express, puede adoptarse en el canal global llevando el concepto de «almacenamiento rápido y extraíble» aún más lejos.

Fuente:
TechRadar
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Traducción y Compendio:
MuyComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#498

Noticias Informáticas / US. incauta 2,8 millones en criptos al operador del ransomware Zeppelin

Agosto 17, 2025, 09:22:06 PM

El Departamento de Justicia de EE. UU. (DoJ) anunció la incautación de más de 2,8 millones de dólares en criptomonedas al presunto operador de ransomware, Ianis Aleksandrovich Antropenko.

Antropenko, acusado en Texas de fraude informático y blanqueo de capitales, estaba vinculado al ransomware Zeppelin, una operación de extorsión ya desmantelada que funcionó entre 2019 y 2022.

Además de la incautación de activos digitales, las autoridades también confiscaron 70.000 dólares en efectivo y un vehículo de lujo.

"Antropenko utilizó el ransomware Zeppelin para atacar a una amplia gama de personas, empresas y organizaciones en todo el mundo, incluyendo Estados Unidos", se lee en el anuncio del DoJ de EE. UU.

"En concreto, Antropenko y sus cómplices cifraban y exfiltraban los datos de la víctima, y solían exigir el pago de un rescate para descifrarlos, abstenerse de publicarlos o gestionar su eliminación". Tras recibir los pagos del rescate, Antropenko intentó blanquear las cantidades en el servicio de tumbling de monedas ChipMixer, incautado por las autoridades en marzo de 2023.

Otros métodos de lavado de dinero que Antropenko utilizó incluyen intercambios de criptomonedas por efectivo y depósitos estructurados, lo que implica dividir grandes sumas en depósitos más pequeños para evadir las normas de información bancaria.

El ransomware Zeppelin surgió a finales de 2019 como una nueva variante del ransomware VegaLocker/Buran, que atacaba a empresas de salud y TI mediante vulnerabilidades de software MSP.

En 2021, tras un período de inactividad, los operadores de Zeppelin regresaron con versiones actualizadas, aunque el esquema de cifrado utilizado en ataques posteriores indicó deficiencias.

Para noviembre de 2022, la operación Zeppelin prácticamente había desaparecido. En ese momento se reveló que los investigadores de seguridad de Unit221b poseían la clave de descifrado para ayudar a las víctimas a recuperar archivos de forma gratuita desde principios de 2020.

En enero de 2024, surgieron noticias que sugerían que el código fuente del ransomware Zeppelin se vendió en un foro de hackers por tan solo 500 dólares.

La acusación contra Antropenko demuestra que las pruebas pueden llevar a desenmascarar a los operadores de ransomware incluso años después de haber detenido sus actividades cibercriminales.

La incautación de los 2,8 millones de dólares que se cree provienen del rescate se suma a otras acciones similares anunciadas recientemente por las autoridades estadounidenses, incluyendo la confiscación de criptomonedas por valor de 1 millón de dólares del ransomware BlackSuit y de 2,4 millones de dólares en bitcoins del ransomware Chaos.

La incautación de las ganancias del delito es vital en la lucha contra el ransomware, especialmente en los casos en que no se realizan arrestos, ya que impide que los operadores y sus afiliados utilicen esos fondos para reconstruir la infraestructura o reclutar nuevos miembros.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#499

Noticias Informáticas / Investigador lanzará exploit para omitir la autenticación completa en FortiWeb

Agosto 17, 2025, 09:17:42 PM

Un investigador de seguridad ha publicado una prueba de concepto parcial para explotar una vulnerabilidad en el firewall de aplicaciones web FortiWeb que permite a un atacante remoto eludir la autenticación.

La falla se reportó responsablemente a Fortinet y ahora se conoce como CVE-2025-52970. Fortinet publicó una corrección el 12 de agosto.

El investigador de seguridad Aviv Y denominó la vulnerabilidad FortMajeure y la describe como un "fallo silencioso inesperado". Técnicamente, se trata de una lectura fuera de los límites en el análisis de cookies de FortiWeb que permite a un atacante establecer el parámetro Era con un valor inesperado.

Esto hace que el servidor utilice una clave secreta de ceros para el cifrado de sesión y la firma HMAC, lo que facilita la creación de cookies de autenticación falsificadas.

La explotación permite eludir completamente la autenticación, lo que permite al atacante suplantar la identidad de cualquier usuario activo, incluido un administrador.

Para explotar CVE-2025-52970 con éxito, el usuario objetivo debe tener una sesión activa durante el ataque, y el atacante debe forzar un pequeño campo numérico en la cookie.

El requisito de la fuerza bruta proviene de un campo en la cookie firmada que se valida mediante la función refresh_total_logins() (en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login).

Este campo es un número desconocido que el atacante debe adivinar, pero el investigador observa que el rango no suele ser superior a 30, lo que lo convierte en un espacio de búsqueda pequeño de aproximadamente 30 solicitudes.

Dado que el exploit utiliza la clave de ceros (debido al fallo de Era), cada intento se puede probar instantáneamente comprobando si se acepta la cookie falsificada.

El problema afecta a FortiWeb 7.0 a 7.6 y se solucionó en las siguientes versiones:

FortiWeb 7.6.4 y posteriores

FortiWeb 7.4.8 y posteriores

FortiWeb 7.2.11 y posteriores

FortiWeb 7.0.11 y posteriores

Fortinet indica en el boletín que las versiones de FortiWeb 8.0 no se ven afectadas por este problema, por lo que no es necesario tomar ninguna medida.

El boletín de seguridad no incluye soluciones alternativas ni consejos de mitigación, por lo que actualizar a una versión segura es la única medida efectiva recomendada.

La puntuación de severidad CVSS de 7.7 de Fortinet puede ser engañosa, ya que se deriva de la "alta complejidad del ataque" debido al requisito de fuerza bruta. Sin embargo, en la práctica, la fuerza bruta es simple y rápida de ejecutar.

El investigador compartió el resultado de una prueba de concepto (PoC) que muestra la suplantación de administrador en un endpoint REST. Sin embargo, retuvo el exploit completo que también cubre la conexión a la CLI de FortiWeb a través de /ws/cli/open.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Exploit

Sin embargo, "Aviv Y" prometió publicar los detalles completos del exploit más adelante, ya que el aviso del proveedor se publicó recientemente. El investigador tomó esta decisión para que los administradores de sistemas tuvieran más tiempo para aplicar la solución.

Los detalles publicados demuestran la raíz del problema, pero no son suficientes ni siquiera para que atacantes expertos infieran el resto y desarrollen una cadena de vulnerabilidades completa, según declaró el investigador.

Explicó que los atacantes tendrían que aplicar ingeniería inversa al formato de los campos de la sesión, lo cual resulta poco práctico dado que Fortinet tiene sus propias estructuras de datos.

A pesar de ello, se deben tomar medidas inmediatas para mitigar el problema, ya que los hackers siguen de cerca estos anuncios y se preparan para actuar cuando se publiquen los PoC completos.

Aviv Y declaró que aún no ha decidido la fecha de publicación del exploit, pero planea dar tiempo a los defensores para que respondan al riesgo.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#500

Noticias Informáticas / Cisco advierte sobre una falla de máxima gravedad en el Centro de administración

Agosto 17, 2025, 09:15:39 PM

Cisco advierte sobre una vulnerabilidad crítica de ejecución remota de código (RCE) en el subsistema RADIUS de su software Secure Firewall Management Center (FMC).

Cisco FCM es una plataforma de gestión para los productos Secure Firewall del proveedor, que proporciona una interfaz web o basada en SSH centralizada que permite a los administradores configurar, supervisar y actualizar los firewalls de Cisco.

RADIUS en FMC es un método de autenticación externa opcional que permite la conexión a un servidor de servicio de autenticación remota telefónica de usuario en lugar de a cuentas locales.

Esta configuración se utiliza habitualmente en redes empresariales y gubernamentales, donde los administradores desean un control centralizado de inicio de sesión y la contabilidad del acceso a los dispositivos de red.

La vulnerabilidad, recientemente descubierta, se ha identificado como CVE-2025-20265 y recibió una puntuación de gravedad máxima de 10 sobre 10.

Puede explotarse para permitir que un atacante remoto no autenticado envíe una entrada especialmente diseñada al introducir las credenciales durante el paso de autenticación RADIUS.

De este modo, un adversario podría ejecutar comandos de shell arbitrarios con privilegios elevados.

"Una vulnerabilidad en la implementación del subsistema RADIUS del software Cisco Secure Firewall Management Center (FMC) podría permitir que un atacante remoto no autenticado inyecte comandos de shell arbitrarios que son ejecutados por el dispositivo", advierte Cisco en el boletín de seguridad.

"Esta vulnerabilidad se debe a una gestión inadecuada de la entrada del usuario durante la fase de autenticación", afirma el proveedor. CVE-2025-20265 afecta a las versiones 7.0.7 y 7.7.0 de FMC cuando la autenticación RADIUS está habilitada para la interfaz de administración web, la administración SSH o ambas.

Cisco ha publicado actualizaciones de software gratuitas que solucionan el problema. La solución se distribuyó a través de los canales habituales a los clientes con un contrato de servicio válido.

Si no se puede instalar el parche, la solución recomendada por Cisco es deshabilitar la autenticación RADIUS y reemplazarla con un método diferente (por ejemplo, cuentas de usuario locales, LDAP externo o inicio de sesión único SAML).

Cisco señala que esta mitigación funcionó en las pruebas, pero los clientes deben verificar su aplicabilidad y el impacto que tiene en sus entornos.

La vulnerabilidad fue descubierta internamente por el investigador de seguridad de Cisco, Brandon Sakai, y el proveedor desconoce si se está explotando activamente.

Además de CVE-2025-20265, Cisco también publicó correcciones para 13 fallas de alta gravedad en varios productos, ninguna de ellas marcada como explotada activamente:

CVE-2025-20217: Denegación de servicio de Snort 3 en Secure Firewall Threat Defense.

CVE-2025-20222: Denegación de servicio de IPv6 sobre IPsec en ASA y Secure FTD (Firepower 2100).

CVE-2025-20148: Inyección HTML en Secure Firewall Management Center.

CVE-2025-20244 – Denegación de servicio del servidor web VPN de acceso remoto ASA y Secure FTD.

CVE-2025-20133, CVE-2025-20243 – Denegación de servicio del servidor web VPN de acceso remoto SSL ASA y Secure FTD.

CVE-2025-20134 – Denegación de servicio del certificado SSL/TLS ASA y Secure FTD.

CVE-2025-20136 – Denegación de servicio de la inspección de DNS NAT ASA y Secure FTD.

CVE-2025-20251 – Denegación de servicio del servidor web VPN ASA y Secure FTD.

CVE-2025-20224, CVE-2025-20225 – Denegación de servicio de IKEv2 para iOS, iOS XE, ASA y Secure FTD. CVE-2025-20263 – Denegación de servicio de servicios web ASA y Secure FTD.

CVE-2025-20127 – Denegación de servicio del cifrado TLS 1.3 en ASA y Secure FTD (Firepower 3100/4200).

El proveedor afirma que no existen soluciones alternativas para ninguno de los problemas de seguridad mencionados, excepto para CVE-2025-20127, donde se recomienda eliminar el cifrado TLS 1.3.

Para todos los demás problemas, el proveedor recomienda instalar las últimas actualizaciones disponibles.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Páginas 1 ... 23 24 25 26 27 ... 249