Mostrar Mensajes

Información del Perfil

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 2 3 4 5 6 ... 249

#61

Noticias Informáticas / “Storm Stealer” a la venta como servicio: otro más para la colección

Abril 03, 2026, 06:07:53 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva amenaza, bautizada como *infostealer* Storm, está encontrando formas de infiltrarse en nuestros navegadores web. Descubierto por Varonis Threat Labs a principios de 2026, Storm es un programa malicioso que, tras infectar el sistema, busca recopilar las credenciales del navegador de las víctimas, las cookies de sesión, las billeteras de criptomonedas y datos relacionados, entre otra información.

Una vez recopilada la información, esta se envía a un servidor privado propiedad de los atacantes. Según los investigadores, el *infostealer* Storm emplea para este fin una técnica denominada descifrado del lado del servidor, lo cual dificulta también su detección por parte del software antivirus, dado que no deja rastros de telemetría.

Esto constituye una respuesta directa al *App-Bound Encryption* (Cifrado Vinculado a la Aplicación), un escudo de seguridad que Google introdujo en Chrome 127 en julio de 2024. Si bien dicha actualización tenía como objetivo vincular las claves de cifrado directamente al navegador para prevenir el robo de datos, el *infostealer* Storm posee la capacidad de sortear este obstáculo.

Además, aparte de Google Chrome, también es capaz de extraer datos de otros navegadores basados en Chromium y en Gecko, incluidos Microsoft Edge, Firefox y Waterfox.

Tal como señalaron los investigadores de Varonis, esta herramienta abarca una gama muy amplia de navegadores objetivo. No es de extrañar, por tanto, que haya sido «convertida en producto y comercializada como un servicio por suscripción», con precios que parten de los 300 dólares por una demostración de siete días y ascienden hasta los 1800 dólares para equipos criminales profesionales.

Storm Stealer en un Foro

Lo que es peor, dado que el ladrón de información Storm puede secuestrar sesiones, si un hacker obtiene su cookie de sesión, su autenticación multifactor (MFA) se vuelve completamente irrelevante, ya que el atacante ya se encuentra «dentro» del sistema. Varonis ha descubierto que esta herramienta ya está siendo utilizada activamente en la práctica, con un panel de registros que muestra 1.715 entradas correspondientes a víctimas ubicadas en los siguientes países:

India

Brasil

Estados Unidos

Reino Unido

Sin embargo, la amenaza no termina ahí. Storm Infostealer también tiene como objetivo las cuentas de Telegram, Signal y Discord, al tiempo que busca simultáneamente billeteras de criptomonedas en plataformas como Binance y Coinbase. Incluso es capaz de tomar capturas de pantalla en múltiples monitores para ver exactamente en qué está trabajando el usuario.

Configuración de compilación del infostealer Storm

Para proteger sus dispositivos y datos de los ladrones de información de la familia Storm, los usuarios deben saber que los hackers dependen de que sus sesiones permanezcan activas durante largos periodos; por lo tanto, es importante cerrar manualmente la sesión de las cuentas bancarias o de criptomonedas sensibles una vez finalizado su uso, en lugar de limitarse a cerrar la pestaña. Tal como advierten los expertos en amenazas de Varonis en su informe, estas sesiones robadas suelen ser tan solo «el comienzo de lo que está por venir», derivando en la toma total del control de las cuentas, la cual logra eludir incluso las contraseñas más robustas.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#62

Noticias Informáticas / Ubuntu Linux aumenta los requisitos mínimos de memoria del sistema

Abril 03, 2026, 05:43:55 AM

Las notas de la versión de Ubuntu 26.04 LTS revelan que Canonical ha aumentado discretamente en un 50% el requisito mínimo de memoria RAM para su popular sistema operativo basado en Linux. Ubuntu 26.04 LTS (Resolute Raccoon), la más reciente versión de soporte a largo plazo (LTS), exige al menos 6 GB de memoria RAM, junto con una CPU mínima de doble núcleo con una velocidad de reloj de 2 GHz y 25 GB de almacenamiento libre.

La última vez que Canonical elevó los requisitos mínimos de RAM para su conocida distribución de Linux fue en 2018. Aquel fue el año en que llegó Ubuntu 18.04 LTS (Bionic Beaver), exigiendo 4 GB. Los requisitos de RAM para las versiones LTS de Ubuntu se habían mantenido en un mínimo de 1 GB durante los cuatro años anteriores, tal como estableció Ubuntu 14.04 LTS (Trusty Tahr) en 2014. En este contexto, el cambio más reciente en los requisitos de RAM no resulta tan sorprendente.

Los expertos en Ubuntu del sitio OMG Ubuntu califican esta última revisión de las especificaciones de RAM como un «ajuste de honestidad». En otras palabras, el núcleo del sistema operativo no es realmente más exigente en cuanto a recursos del sistema en esta ocasión; más bien, Canonical reconoce que, debido al escritorio Gnome más reciente, a los navegadores web modernos y a los flujos de trabajo multitarea habituales, los usuarios deberían considerar un mínimo de 6 GB de RAM.

Aplicaciones clave como Firefox, LibreOffice, Thunderbird y GIMP han sido actualizadas en Ubuntu 26.04 LTS. Además, el entorno de escritorio GNOME ha sido actualizado de la versión 46 a la 50, y se han implementado una gran cantidad de cambios subyacentes.

Ubuntu 26.04 LTS no establece los 6 GB como un requisito estricto e ineludible. El sistema operativo seguirá instalándose en aquellos equipos que no cumplan con las nuevas especificaciones. No obstante, es evidente que los usuarios no deberían quejarse del bajo rendimiento de Ubuntu en sistemas con una capacidad de memoria inferior. De hecho, el sitio OMG Ubuntu realizó pruebas con la versión 26.04 (Beta) en un portátil con 2 GB de RAM y constató que, si bien resultaba funcional, su funcionamiento era lento.

En el universo Linux, abundan las alternativas

A nadie le agrada ver cómo aumentan los requisitos mínimos del sistema, especialmente en un contexto de escasez de componentes que afecta directamente a las posibles actualizaciones de hardware. Sin embargo, el progreso debe seguir su curso; si esta revisión responde, tal como se afirma, a una cuestión de «honestidad» respecto a la usabilidad con las aplicaciones modernas, resulta difícil oponerse a dicha actualización.

Si usted es un usuario que tenía previsto instalar Ubuntu LTS —quizás con la intención de hacerlo en un equipo limitado a un máximo de 4 GB de RAM—, recuerde que existen alternativas fácilmente accesibles. Incluso dentro de la propia «familia Ubuntu», se encuentra Lubuntu: una versión de Ubuntu optimizada para ser ligera y eficiente. Esta «edición esencial» de Ubuntu se encuentra actualmente en la versión 24.04 LTS y requiere tan solo 1 GB de RAM, además de un procesador de 1 GHz y una capacidad de almacenamiento ligeramente inferior a los 10 GB.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#63

Noticias Informáticas / Outlook en el Artemis II… y no funciona

Abril 03, 2026, 05:40:29 AM

Un astronauta de Artemis II detecta dos instancias de Outlook ejecutándose en las computadoras y pide a Houston que solucione la anomalía de Microsoft; el desconcertado astronauta describe: «hay dos Outlook, y ninguno de los dos funciona».

Mientras tanto, nos alegra saber que se ha reparado el extractor de orina del inodoro.

Los aficionados a la astronomía, cautivados por la transmisión en directo desde la nave espacial Orion de la misión Artemis II de la NASA, han notado que incluso los astronautas pueden tener problemas con el software de Microsoft. La usuaria de BlueSky Niki Grayson capturó un fragmento divertido de la transmisión, en el que un astronauta, visiblemente desconcertado, solicita asistencia al Control de la Misión porque tiene «dos Microsoft Outlook y ninguno de los dos funciona».

Grayson se mostró atónito ante el hecho de que la NASA impusiera Outlook a los astronautas. «¿De veras? ¿Hemos enviado a estas almas a la Luna y resulta que están usando Outlook?», comentó con ironía.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La retransmisión recortada de la misión Artemis II de la NASA, compartida más arriba, sigue emitiéndose en directo:

Dado que se trata de una transmisión en vivo, no se ofrece ninguna transcripción en la página del video. Por ello, le pedí a Gemini, de Google, que localizara el fragmento de la retransmisión en el que se abordaban los fallos de Outlook.

Google confirmó la cita extraída del clip de Grayson. Atribuyó las palabras al comandante Reid Wiseman, quien se dirigía en ese momento al Control de la Misión en Houston. «También veo que tengo dos instancias de ..., y ninguna de las dos funciona, por si desean acceder de forma remota», comentó Wiseman aproximadamente a las 13 horas y cuarto de la transmisión en directo. Houston accedió a conectarse de forma remota para examinar el problema.

Aproximadamente una hora después, los astronautas recibieron la grata noticia de que Outlook volvía a estar operativo. No obstante, seguiría apareciendo como «sin conexión»... Un software estupendo, sin duda. «En cuanto a Outlook, logramos abrirlo. Aparecerá como "sin conexión", lo cual es lo esperado», señaló el Comunicador de Cápsula del Control de la Misión alrededor de las 14 horas y 20 minutos de la transmisión.

Una anomalía de Microsoft Outlook en el espacio

Para algunos lectores, incluso la elección de Outlook como parte del conjunto de herramientas de comunicación de una nave espacial podría parecer una anomalía. Sin embargo, constituye un componente estándar del software «comercial listo para usar» (COTS, por sus siglas en inglés) que los astronautas emplean en sus operaciones cotidianas.

Cabe aclarar que la nave espacial y los sistemas de vuelo primarios funcionan sobre un hardware especializado, reforzado contra la radiación, y un software sometido a un mantenimiento riguroso. El software COTS simplemente complementa este entorno con una interfaz amigable —como la que ofrecen Windows y Outlook—, permitiendo a los astronautas consultar sus agendas, mantener comunicaciones personales y realizar otras tareas de manera familiar.

Problemas con el inodoro en el espacio

Mientras revisaba la transmisión en directo para localizar las conversaciones de Outlook, escuché también una conversación entre la nave Orion de la misión Artemis II y el Control de la Misión acerca de los inodoros de la nave espacial.

Los informes sugieren que una luz de avería parpadeante en el inodoro alertó de que se había producido un fallo mecánico unas dos horas después del inicio de la misión. Concretamente, tenemos entendido que se atascó un ventilador encargado de la extracción de orina.

La función de este ventilador es aspirar la orina hacia un depósito de recolección, evitando así los problemas que la microgravedad podría causar con los fluidos. Afortunadamente, uno de los astronautas logró despejar el atasco y poner el ventilador en marcha de nuevo. La NASA ha confirmado que el inodoro vuelve a estar operativo, aunque nos gustaría saber qué marca de ventiladores utiliza la agencia espacial...

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#64

Noticias Informáticas / Microsoft advierte sobre un malware distribuido a través de WhatsApp

Abril 03, 2026, 05:29:11 AM

Microsoft está alertando sobre una nueva campaña que ha aprovechado mensajes de WhatsApp para distribuir archivos maliciosos de Visual Basic Script (VBS).

Esta actividad, que comenzó a finales de febrero de 2026, utiliza dichos scripts para iniciar una cadena de infección de múltiples etapas con el fin de establecer persistencia y habilitar el acceso remoto. Actualmente se desconoce qué señuelos emplean los actores de amenazas para engañar a los usuarios y lograr que ejecuten los scripts.

«La campaña se basa en una combinación de ingeniería social y técnicas de "living-off-the-land"», señaló el equipo de investigación de seguridad de Microsoft Defender. «Utiliza utilidades de Windows renombradas para mimetizarse con la actividad normal del sistema, recupera cargas útiles de servicios en la nube de confianza —tales como AWS, Tencent Cloud y Backblaze B2— e instala paquetes maliciosos de Microsoft Installer (MSI) para mantener el control del sistema».

El uso de herramientas legítimas y plataformas de confianza constituye una combinación letal, ya que permite a los actores de amenazas mimetizarse con la actividad normal de la red y aumentar la probabilidad de éxito de sus ataques.

La actividad comienza con la distribución, por parte de los atacantes, de archivos VBS maliciosos a través de mensajes de WhatsApp que, al ejecutarse, crean carpetas ocultas en "C:\ProgramData" y depositan versiones renombradas de utilidades legítimas de Windows, tales como "curl.exe" (renombrada como "netapi.dll") y "bitsadmin.exe" (renombrada como "sc.exe").

Tras lograr un punto de apoyo inicial, los atacantes tienen como objetivo establecer la persistencia y escalar privilegios, para finalmente instalar paquetes MSI maliciosos en los sistemas de las víctimas. Esto se logra descargando archivos VBS auxiliares alojados en AWS S3, Tencent Cloud y Backblaze B2, utilizando para ello los binarios renombrados.

«Una vez que las cargas útiles secundarias están implementadas, el malware comienza a manipular la configuración del Control de cuentas de usuario (UAC) para debilitar las defensas del sistema», afirmó Redmond. «Intenta continuamente ejecutar cmd.exe con privilegios elevados, reintentando la acción hasta que la elevación de UAC se realiza con éxito o el proceso es terminado forzosamente; asimismo, modifica las entradas del registro bajo HKLM\Software\Microsoft\Win e incrusta mecanismos de persistencia para asegurar que la infección sobreviva a los reinicios del sistema».

Estas acciones permiten a los actores de amenazas obtener privilegios elevados sin interacción del usuario, mediante una combinación de manipulación del Registro y técnicas de elusión del UAC, para finalmente desplegar instaladores MSI sin firma. Esto incluye herramientas legítimas, como AnyDesk, que proporcionan a los atacantes acceso remoto persistente, permitiéndoles exfiltrar datos o desplegar más malware.

«Esta campaña demuestra una cadena de infección sofisticada que combina ingeniería social (distribución a través de WhatsApp), técnicas de sigilo (herramientas legítimas renombradas, atributos ocultos) y el alojamiento de la carga útil en la nube», declaró Microsoft.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#65

Noticias Informáticas / Hackers atacan a Cisco: robados 3 millones de registros y repositorios

Abril 03, 2026, 05:26:21 AM

Se sospecha de un grave incidente de ciberseguridad en el gigante tecnológico estadounidense Cisco Systems. ShinyHunters, un notorio grupo criminal dedicado al hackeo y la extorsión, afirma haber robado más de 3 millones de registros de Salesforce que contienen datos personales, repositorios de GitHub, buckets de AWS y otros datos corporativos comprometidos.

El 31 de marzo, ShinyHunters publicó demandas de extorsión dirigidas a Cisco Systems. Los hackers amenazan a la compañía con causar «varios problemas (digitales) molestos», a menos que sus exigencias sean cumplidas antes del 3 de abril.

«Un total de más de 3 millones de registros de Salesforce que contienen PII (información de identificación personal), repositorios de GitHub, buckets de AWS y otros datos corporativos internos han sido comprometidos», afirma ShinyHunters en su página dedicada a las víctimas en la dark web.

Según la publicación, los datos provienen de un total de tres brechas de seguridad: *voice phishing* (UNC6040), Salesforce Aura y cuentas de AWS. Los atacantes adjuntaron dos capturas de pantalla para respaldar sus afirmaciones.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Qué afirman haber robado los hackers?

Una de las imágenes muestra la consola de volúmenes de AWS EC2, con docenas de discos duros virtuales en la nube; muchos de ellos, supuestamente, contienen cientos de gigabytes de datos. La captura de pantalla muestra un total de 5 páginas, lo que sugiere que podría haber más de 100 unidades de almacenamiento virtual.

Algunas de las fechas de creación de las unidades se indican como el 16 y 17 de marzo de 2026, lo que sugiere un acceso reciente.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otra captura de pantalla expone una lista de buckets de AWS S3 que, supuestamente, pertenecen a Cisco. Si bien los patrones de nomenclatura sugieren firmemente un entorno de Cisco, no se ha publicado ningún dato real.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ni las afirmaciones del atacante ni las capturas de pantalla demuestran de manera concluyente la brecha de seguridad.

Simultáneamente, Bleeping Computer publicó un informe en el que sostiene que Cisco ha sufrido un ciberataque derivado de la reciente vulneración de la cadena de suministro de Trivy. Según la publicación, los atacantes robaron múltiples claves de AWS y clonaron más de 300 repositorios de GitHub, incluido el código fuente de un asistente impulsado por IA, herramientas de defensa y otros productos de IA aún no lanzados.

«Una parte de los repositorios robados supuestamente pertenece a clientes corporativos, entre ellos bancos, empresas de externalización de procesos de negocio (BPO) y agencias gubernamentales de los Estados Unidos», señala Bleeping Computer.

El equipo de investigación de Cybernews considera que el informe hace referencia al mismo ciberataque.

«No podemos confirmar las afirmaciones de ShinyHunters, ya que aún no han subido los datos; sin embargo, a juzgar por las capturas de pantalla de muestra, la situación parece plausible», señalaron nuestros investigadores.

«Este incidente podría resultar perjudicial para los clientes de la empresa, y los principales riesgos radican en la exposición de datos confidenciales en general. Los datos de los clientes proporcionarían a los atacantes un punto de apoyo para planificar ataques posteriores, y la información de identificación personal podría utilizarse para realizar ingeniería social, fraudes y otras estafas».

Una de las tres brechas de seguridad citadas por ShinyHunters ya había sido revelada previamente por Cisco. Durante el incidente, ocurrido el verano pasado, un representante de Cisco fue objeto de un ataque de *phishing* telefónico (*vishing*); como resultado, el atacante «logró acceder a un subconjunto de información básica de perfil —y exportarlo— desde una instancia de un sistema de Gestión de Relaciones con Clientes (CRM) de terceros, alojado en la nube, que utiliza Cisco».

En aquel momento, la empresa afirmó que los atacantes no habían obtenido ningún tipo de información confidencial, propietaria o de carácter sensible perteneciente a los clientes.

Sin embargo, el compromiso de Trivy —un popular escáner de vulnerabilidades— es un suceso reciente. El 19 de marzo, un actor de amenazas conocido como TeamPCP inyectó malware en «trivy-action», un script de automatización que los desarrolladores utilizan para ejecutar el motor de escaneo y verificar si su código presenta vulnerabilidades de seguridad conocidas.

Este ataque a la cadena de suministro comprometió a muchas organizaciones posteriores en la cadena, incluidos los responsables del mantenimiento de LiteLLM.

De confirmarse la reciente brecha de seguridad en Cisco, esta indicaría una colaboración entre dos organizaciones cibercriminales de alto perfil: ShinyHunters y TeamPCP.

ShinyHunters se ha labrado una reputación gracias a sus operaciones de robo de datos y extorsión de gran impacto. Este grupo ha permanecido activo desde 2019.

TeamPCP es un nuevo grupo de amenazas con motivaciones financieras que hizo su primera aparición a finales de 2025, llevando a cabo campañas impulsadas por gusanos informáticos dirigidas a repositorios populares de código abierto.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#66

Noticias Informáticas / Funciones controvertidas, ocultas o futuras en el código filtrado de Claude

Abril 03, 2026, 05:24:02 AM

Detectives digitales, al examinar más de 512.000 líneas de código filtradas de Claude Code de Anthropic, han descubierto numerosas funciones ocultas, inactivas o ya deshabilitadas. Algunas de ellas resultan bastante controvertidas.

El mero hecho de que se haya filtrado el código fuente completo de la herramienta insignia de Anthropic —Claude Code— constituye, de por sí, una noticia de gran magnitud. Sin embargo, cada día surgen nuevos hallazgos.

Tras indagar en las más de 512.000 líneas de código filtradas, varios usuarios de Reddit afirman haber descubierto a lo largo del código numerosas funciones curiosas y controvertidas. Estos hallazgos ofrecen una visión privilegiada sobre el funcionamiento interno de Anthropic y sus planes de futuro.

Kairos: un indicio de la era posterior a los *prompts*

Probablemente, el hallazgo más curioso sea el de un asistente virtual llamado Buddy. Un usuario de Reddit, en una publicación en el subforo r/ClaudeAI, comentó haber descubierto una función al estilo «Tamagotchi», haciendo referencia —como es natural— a esas mascotas digitales que requieren cuidados constantes para mantenerse con vida.

«Existe todo un sistema de mascotas llamado /buddy. Al escribirlo, haces eclosionar a un compañero ASCII único, generado a partir de tu ID de usuario», comentó el usuario.

«La mascota se sitúa junto a tu cuadro de entrada de texto y reacciona a tu código».

Se han descubierto hasta 18 especies de mascotas diferentes, entre las que se incluyen un dragón, un pato y un carpincho. Sin duda, es una función muy propicia para el *vibe-coding*; no es de extrañar que otros usuarios de Reddit estén exigiendo ahora a Anthropic que lance el sistema de inmediato.

Lamentablemente, el usuario también halló una cadena de texto incluida que decía: «friend-2026-401». Esto sugiere, presumiblemente, que la función estaba concebida como una broma efímera para el Día de los Inocentes.

Sin embargo, la verdadera estrella del espectáculo —por así decirlo— podría ser una función denominada «Kairos». Al parecer, esta podría actuar como un agente de IA siempre activo, ejecutándose constantemente en segundo plano y realizando acciones en nombre del usuario sin necesidad de recibir instrucciones explícitas para ello.

Es posible que Kairos incluso notifique al usuario a través de su teléfono u ordenador para captar su atención, y su funcionamiento persiste incluso cuando la ventana del terminal de Claude Code se encuentra cerrada.

Un *prompt* —o instrucción—, oculto tras un indicador de desactivación de Kairos en el código, señala que el sistema está diseñado para «tener una visión completa de quién es el usuario, de qué manera desea colaborar contigo, qué comportamientos debe evitar o repetir, y cuál es el contexto subyacente al trabajo que el usuario te encomienda».

Todo un bochorno para Anthropic

Kairos aún no ha sido activado; no obstante, según algunos entusiastas del sector, esta función nos revela, en esencia, el objetivo final de Anthropic: es capaz de realizar todo aquello que Claude Code ya hace, pero sin que los usuarios tengan que indicárselo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

«El código Claude estándar solo puede hablar contigo cuando tú le hablas. Kairos puede darte un toque en el hombro», escribió Ole Lehmann, un supuesto experto en IA.

«Nos dirigimos hacia la era posterior a las indicaciones, donde la IA simplemente trabaja para ti en segundo plano».

Un «modo encubierto» independiente, aunque inactivo, parece más controvertido, ya que aparentemente permite a los empleados de Anthropic contribuir a repositorios públicos de código abierto sin revelar que son agentes de IA.

La indicación descubierta le dice explícitamente al sistema que sus confirmaciones «nunca deben incluir la frase "Claude Code" ni ninguna mención de que eres una IA», y que debe omitir cualquier «línea de coautoría o cualquier otra atribución».

Ese tipo de ofuscación resulta ciertamente interesante, dadas las persistentes controversias en torno al uso de herramientas de codificación basadas en IA en repositorios populares y, de hecho, en el ámbito general.

Toda esta saga constituye, sin duda, una situación bastante embarazosa para Anthropic. La compañía se ha apresurado a lograr la retirada del código fuente expuesto, recurriendo para ello a solicitudes de retirada amparadas por la DMCA.

No obstante, es poco probable que logren alcanzar a las plataformas descentralizadas de intercambio de código. Por el contrario, un repositorio denominado *claw-code* —una reescritura desde cero de *Claude Code*— se ha convertido ya en el repositorio de GitHub de más rápido crecimiento en la historia.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#67

Noticias Informáticas / GIGABYTE Control Center es vulnerable a escritura arbitraria de archivos

Abril 02, 2026, 04:43:58 PM

El GIGABYTE Control Center presenta una vulnerabilidad de escritura arbitraria de archivos que podría permitir a un atacante remoto no autenticado acceder a archivos en los sistemas anfitriones afectados.

El fabricante de hardware señala que una explotación exitosa podría conducir potencialmente a la ejecución de código en el sistema subyacente, a una escalada de privilegios y a una condición de denegación de servicio.

El GIGABYTE Control Center (GCC), que viene preinstalado en todos los portátiles y placas base de la compañía, es la utilidad integral para Windows de GIGABYTE que permite a los usuarios gestionar y configurar su hardware.

Ofrece soporte para la monitorización del hardware, el control de ventiladores, el ajuste del rendimiento, el control de la iluminación RGB, las actualizaciones de controladores y firmware, y la gestión de dispositivos.

Una de las funciones del Control Center es el "emparejamiento" (*pairing*), la cual permite a la herramienta comunicarse con otros dispositivos o servicios a través de la red. Los sistemas que tengan habilitada la opción de "emparejamiento" en las versiones 25.07.21.01 y anteriores del Control Center se encuentran expuestos a ataques.

"Cuando la función de emparejamiento está habilitada, los atacantes remotos no autenticados pueden escribir archivos arbitrarios en cualquier ubicación del sistema operativo subyacente, lo que podría derivar en la ejecución arbitraria de código o en una escalada de privilegios", advirtió el CERT de Taiwán.

El problema, identificado bajo el código CVE-2026-4415, fue descubierto por el investigador de seguridad David Sprüngli. Según el sistema de puntuación CVSS v4.0, este problema tiene una clasificación de gravedad crítica ( 9,2 sobre 10 ).

Se recomienda a los usuarios actualizar a la última versión del Control Center —actualmente la 25.12.10.01—, la cual incluye correcciones en la gestión de rutas de descarga, el procesamiento de mensajes y el cifrado de comandos para mitigar eficazmente la vulnerabilidad.

"Se aconseja encarecidamente a los clientes que actualicen a la última versión del GCC de inmediato", advierte el proveedor en su boletín de seguridad.

Asimismo, se recomienda a los usuarios de productos GIGABYTE descargar la versión más reciente del GCC desde el portal oficial de software del proveedor para minimizar el riesgo de obtener instaladores que hayan sido manipulados con troyanos.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#68

Noticias Informáticas / WhatsApp notifica sobre app falsa creada por un fabricante de spyware

Abril 02, 2026, 04:33:18 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WhatsApp afirma haber notificado a unos 200 usuarios que fueron engañados para instalar una versión falsa y maliciosa de la aplicación de mensajería que contenía software espía.

Según un comunicado, WhatsApp acusó al fabricante italiano de software espía SIO de crear una versión falsa de su aplicación de mensajería para iPhone.

«Nuestro equipo de seguridad identificó de forma proactiva a unos 200 usuarios, principalmente en Italia, que creemos que podrían haber descargado este cliente no oficial malicioso», declaró WhatsApp en su comunicado. «Cerramos sus sesiones, les alertamos sobre los riesgos para su privacidad y seguridad que conlleva la descarga de clientes no oficiales falsos y les recomendamos que lo desinstalen y descarguen la aplicación oficial de WhatsApp».

La portavoz de WhatsApp, Margarita Franklin, declaró que, por el momento, la compañía no puede compartir más información sobre los usuarios notificados, como si se trataba de periodistas o miembros de la sociedad civil.

«Nuestra prioridad ha sido proteger a los usuarios que pudieron haber sido engañados para descargar esta aplicación falsa para iOS», afirmó Franklin.

En su comunicado, WhatsApp también afirmó que planea "enviar una demanda legal formal para detener cualquier actividad maliciosa de este tipo a esta empresa de software espía".

Una captura de pantalla de la notificación que WhatsApp envió a los usuarios advirtiéndoles que descargaran la aplicación oficial

El periódico italiano La Repubblica y la agencia de noticias ANSA fueron los primeros en informar sobre la noticia.

El año pasado se reveló que SIO estaba detrás de una serie de aplicaciones maliciosas para Android que contenían su software espía, incluyendo versiones falsas de WhatsApp, así como herramientas falsas de atención al cliente para operadores de telefonía móvil. El software espía de SIO fue identificado con el nombre Spyrtacus, una palabra que aparecía en su código.

El uso de aplicaciones falsas contra objetivos de vigilancia es una táctica bien establecida que utilizan las autoridades en Italia, que a menudo cuentan con la colaboración de los proveedores de telefonía móvil, quienes envían enlaces de phishing a sus clientes en nombre de las fuerzas del orden.

SIO desarrolla software espía para el gobierno a través de su filial ASIGINT.

El último anuncio de WhatsApp llega un año después de que la compañía alertara a unos 90 usuarios de que habían sido víctimas de un programa espía desarrollado por Paragon Solutions, una empresa estadounidense-israelí de tecnología de vigilancia. WhatsApp envió estas notificaciones a periodistas y activistas proinmigración, entre otros, lo que desató un escándalo generalizado en toda Italia.

En respuesta, Paragon rompió relaciones con los servicios de inteligencia italianos, que eran sus clientes.

Fuente:
TechCrunch
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#69

Noticias Informáticas / Anthropic eliminó miles de repositorios de GitHub

Abril 02, 2026, 04:28:00 PM

Anthropic eliminó miles de repositorios de GitHub al intentar retirar su código fuente filtrado, una acción que la compañía afirma que fue accidental.

El martes, un ingeniero de software descubrió que Anthropic había incluido, aparentemente por accidente, el acceso al código fuente de la aplicación de línea de comandos Claude Code, líder en su categoría, en una versión reciente. Entusiastas de la IA analizaron minuciosamente el código filtrado en busca de pistas sobre cómo Anthropic utiliza el modelo de lenguaje natural (LLM) subyacente a la aplicación, y lo compartieron en GitHub.

Anthropic emitió una notificación de eliminación, amparándose en la ley estadounidense de derechos de autor digitales, solicitando a GitHub que eliminara los repositorios que contenían el código infractor. Según los registros de GitHub, la notificación se ejecutó contra unos 8100 repositorios, incluyendo bifurcaciones legítimas del repositorio público de Claude Code de Anthropic, según usuarios indignados en redes sociales cuyo código fue bloqueado. Boris Cherny, director de Claude Code en Anthropic, afirmó que la acción fue accidental y retiró la mayoría de las notificaciones de eliminación, limitándolas a un repositorio y 96 bifurcaciones con el código fuente filtrado por error.

«El repositorio mencionado en la notificación formaba parte de una red de bifurcaciones conectada a nuestro repositorio público de Claude Code, por lo que la eliminación afectó a más repositorios de los previstos», declaró un portavoz de Anthropic. «Retiramos la notificación para todos los repositorios excepto el que mencionamos, y GitHub ha restablecido el acceso a las bifurcaciones afectadas».

Este fallo en la gestión de la situación supone otro revés para la empresa, que, según se informa, planea una salida a bolsa, un proceso que suele requerir una gran atención a la ejecución y al cumplimiento normativo. ¿Filtrar el código fuente siendo una empresa cotizada? Sin duda, se avecina una demanda de los accionistas.

Fuente:
TechCrunch
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#70

Noticias Informáticas / Clickrent.es de España sufre filtración de datos de 2,5 millones de registros

Abril 02, 2026, 04:41:41 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, un servicio español de alquiler de coches, habría sufrido una brecha de seguridad que podría haber expuesto una enorme base de datos con 2,5 millones de registros. Un individuo anónimo ofrece actualmente estos datos a la venta en un foro de hackers, afirmando haber intentado negociar con la empresa durante más de dos semanas antes de hacer pública la información.

Los datos supuestamente comprometidos incluyen más de 100 GB de archivos KYC (Conozca a su Cliente), documentos internos de agencias y datos JSONL de clientes. La información expuesta contiene, según se informa:

Nombres completos

Fechas de nacimiento

Direcciones de correo electrónico

Números de teléfono

Direcciones físicas

Contraseñas

Números de DNI y pasaporte (con fechas de caducidad)

Datos del permiso de conducir

Números parciales de tarjetas de crédito

Información detallada de la reserva del coche de alquiler

Archivos de verificación KYC (pasaportes, DNI, selfies y PDF)

Datos de empleados y datos financieros internos

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#71

Noticias Informáticas / Filtración de datos de KaleaMarket expone la info de 20.000 usuarios

Abril 02, 2026, 04:40:05 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

KaleaMarket, un mercado en línea venezolano, habría sufrido una presunta intrusión, lo que podría exponer información confidencial de clientes y operaciones. Un ciberdelincuente publicó recientemente una base de datos supuestamente perteneciente a la plataforma en un foro de hackers, ofreciendo el volcado completo de datos por 150 dólares.

Según el atacante, la base de datos comprometida incluye varios archivos internos del sistema que gestionan carritos de compra, pedidos, pagos y transacciones de billeteras. Solo la base de datos de usuarios contiene aproximadamente 20.000 registros. Los datos presuntamente comprometidos incluyen:

Nombres completos

Direcciones de correo electrónico

Números de teléfono

Identificadores de documentos

Fechas y horas de creación e inicio de sesión de la cuenta

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#72

Noticias Informáticas / Filtración de datos en Abacel SA del Paraguay

Abril 02, 2026, 04:38:23 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Abacel SA, un importante distribuidor mayorista de tecnología y electrónica de consumo con sede en Paraguay, habría sufrido una reciente filtración de datos. Un ciberdelincuente está ofreciendo una base de datos vinculada al dominio de la empresa (abacel.com.py), afirmando que contiene información detallada de usuarios de Paraguay y China. El acceso a los datos comprometidos se vende actualmente en un foro de ciberdelincuencia por un precio base de 450 dólares.

Según el ciberdelincuente, los datos supuestamente comprometidos incluyen:

País de residencia

Nombres completos

Direcciones de correo electrónico (aproximadamente 345.000 registros)

Números de teléfono (aproximadamente 510.000 registros, verificados en WhatsApp)

Números de fax

Direcciones físicas

URLs de sitios web

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#73

Noticias Informáticas / Nuevo CrystalRAT añade funciones de RAT, robo de datos y bromas informáticas

Abril 02, 2026, 04:17:09 AM

Un nuevo malware como servicio (MaaS) llamado CrystalRAT se está promocionando en Telegram, ofreciendo acceso remoto, robo de datos, registro de pulsaciones de teclas y secuestro del portapapeles.

El malware surgió en enero con un modelo de suscripción escalonada. Además del canal de Telegram, el MaaS también se promocionó en YouTube a través de un canal de marketing dedicado que mostraba sus capacidades.

Investigadores de Kaspersky afirman en un informe publicado hoy que el malware presenta grandes similitudes con WebRAT (Salat Stealer), incluyendo el mismo diseño de panel, código basado en Go y un sistema de ventas similar basado en bots.

CrystalX también incluye una extensa lista de funciones de broma diseñadas para molestar al usuario o interrumpir su trabajo. A pesar de su aspecto "divertido", CrystalX ofrece un amplio conjunto de capacidades de robo de datos.

Canal de Telegram que promociona CrystaX RAT

Detalles de CrystalX RAT

Kaspersky afirma que el malware ofrece un panel de control intuitivo y una herramienta de creación automatizada con opciones de personalización, incluyendo bloqueo geográfico, personalización de ejecutables y funciones anti-análisis (anti-depuración, detección de máquinas virtuales, detección de proxies, etc.).

Las cargas útiles generadas están comprimidas con zlib y cifradas con el cifrado de flujo simétrico ChaCha20 para mayor protección.

El malware se conecta al servidor de comando y control (C2) mediante WebSocket y envía información sobre el host para la creación de perfiles y el seguimiento de la infección.

El componente de robo de información de CrystalX, que Kaspersky encontró temporalmente desactivado mientras se prepara para una actualización, ataca navegadores basados en Chromium a través de la herramienta ChromeElevator, Yandex y Opera. Además, recopila datos de aplicaciones de escritorio como Steam, Discord y Telegram.

El módulo de acceso remoto puede usarse para ejecutar comandos a través de CMD, cargar y descargar archivos, explorar el sistema de archivos y controlar la máquina en tiempo real mediante VNC integrado.

El malware también presenta un comportamiento similar al del spyware, ya que puede capturar video y audio del micrófono.

Finalmente, CrystalX incluye un registrador de pulsaciones de teclas que transmite las pulsaciones en tiempo real al servidor C2, y una herramienta de recorte que utiliza expresiones regulares para detectar direcciones de monedero en el portapapeles y reemplazarlas con las proporcionadas por el atacante.

Función de escritorio remoto en el panel CrystalX RAT

Añadiendo un toque de diversión

Lo que distingue a CrystalX en el saturado mercado de MaaS es su amplio conjunto de funciones de broma.

Según Kaspersky, el malware puede realizar las siguientes acciones en los dispositivos infectados:

Cambiar el fondo de pantalla

Alterar la orientación de la pantalla a diferentes ángulos

Forzar el apagado del sistema

Reasignar los botones del ratón

Deshabilitar los dispositivos de entrada (teclado, ratón y monitor)

Mostrar notificaciones falsas

Cambiar la posición del cursor en la pantalla

Ocultar varios componentes (iconos del escritorio, barra de tareas, Administrador de tareas y el ejecutable del Símbolo del sistema)

Proporcionar una ventana de chat entre atacante y víctima

Si bien estas funciones no mejoran el potencial de monetización del ataque para los ciberdelincuentes, sin duda hacen que el producto sea único y podrían atraer a hackers novatos y a actores de amenazas con poca experiencia a obtener una suscripción.

Otra razón para la existencia de estas funciones de broma podría ser la posibilidad de manipular a la víctima, o incluso distraerla, mientras los módulos de robo de datos se ejecutan en segundo plano.

Para reducir el riesgo de infecciones por malware, se recomienda a los usuarios que tengan precaución al interactuar con contenido en línea y que eviten descargar software o archivos multimedia de fuentes no confiables o no oficiales.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#74

Noticias Informáticas / Nuevo servicio EvilTokens impulsa los ataques de phishing

Abril 02, 2026, 04:13:24 AM

Un nuevo kit malicioso llamado EvilTokens integra capacidades de phishing mediante código de dispositivo, lo que permite a los atacantes secuestrar cuentas de Microsoft y proporcionar funciones avanzadas para ataques de compromiso de correo electrónico empresarial.

El kit se vende a ciberdelincuentes a través de Telegram y se encuentra en constante desarrollo. Su creador afirma que planea ampliar la compatibilidad a páginas de phishing de Gmail y Okta.

Los ataques de phishing mediante código de dispositivo abusan del flujo de autorización de dispositivos OAuth 2.0, mediante el cual los atacantes obtienen acceso a la cuenta de la víctima engañando al propietario para que autorice un dispositivo malicioso.

Esta técnica está bien documentada y ha sido utilizada por diversos actores maliciosos, incluidos grupos rusos identificados como Storm-237, UTA032, UTA0355, UNK_AcademicFlare y TA2723, y el grupo de extorsión de datos ShinyHunters.

Ataques de EvilTokens

Investigadores de Sekoia, empresa de detección y respuesta a amenazas, detectaron ataques de EvilTokens en los que las víctimas recibían correos electrónicos con documentos (PDF, HTML, DOCX, XLSX o SVG) que contenían un código QR o un enlace a una plantilla de phishing de EvilTokens.

Estos correos electrónicos fraudulentos suplantan contenido empresarial legítimo, como documentos financieros, invitaciones a reuniones, órdenes de compra o logística, avisos de nómina o documentos compartidos a través de servicios como DocuSign o SharePoint, y suelen estar dirigidos a empleados de finanzas, recursos humanos, logística o ventas.

Diversas plantillas de phishing en EvilTokens

Cuando la víctima abre el enlace, se le muestra una página de phishing que suplanta la identidad de un servicio de confianza (por ejemplo, Adobe Acrobat o DocuSign), la cual muestra un código de verificación e instrucciones para completar la verificación de identidad.

La página solicita al usuario que haga clic en el botón "Continuar a Microsoft", lo que lo redirige a la página de inicio de sesión legítima de Microsoft.

En este punto, el atacante utiliza un cliente legítimo (cualquier aplicación de Microsoft) para solicitar un código de dispositivo. Luego, engaña a la víctima para que se autentique en la URL legítima de Microsoft proporcionada por el atacante.

Flujo de ataque de EvilTokens

De esta forma, el atacante recibe un token de acceso temporal y un token de actualización para un acceso permanente.

Estos tokens le otorgan acceso inmediato a los servicios asociados a la cuenta de la víctima, incluyendo correo electrónico, archivos, datos de Teams y la capacidad de suplantar la identidad de un usuario mediante SSO en los servicios de Microsoft.

Los investigadores de Sekoia analizaron la infraestructura de EvilTokens y descubrieron campañas con alcance global, siendo los países más afectados Estados Unidos, Canadá, Francia, Australia, India, Suiza y los Emiratos Árabes Unidos.

Países más atacados por los operadores de EvilTokens

Además del phishing avanzado, los investigadores de Sekoia afirman que la plataforma de phishing como servicio (PhaaS) de EvilTokens también ofrece funciones avanzadas para llevar a cabo ataques de compromiso de correo electrónico empresarial (BEC) mediante automatización.

La variedad de campañas sugiere que EvilTokens ya está siendo utilizado a gran escala por ciberdelincuentes involucrados en actividades de phishing y compromiso de correo electrónico empresarial (BEC).

Sekoia proporciona indicadores de compromiso (IoC), detalles técnicos y reglas YARA para ayudar a los defensores a bloquear los ataques que utilizan el kit PhaaS de EvilTokens.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#75

Noticias Informáticas / Malware 'NoVoice' para Android infectó a 2,3 millones de dispositivos

Abril 02, 2026, 04:10:14 AM

Se ha detectado un nuevo malware para Android llamado NoVoice en Google Play, oculto en más de 50 aplicaciones que se han descargado al menos 2,3 millones de veces.

Entre las aplicaciones infectadas se encontraban limpiadores, galerías de imágenes y juegos. No requerían permisos sospechosos y ofrecían la funcionalidad prometida.

Tras ejecutar una aplicación infectada, el malware intentaba obtener acceso de superusuario (root) al dispositivo explotando antiguas vulnerabilidades de Android que recibieron parches entre 2016 y 2021.

Investigadores de la empresa de ciberseguridad McAfee descubrieron la operación de NoVoice, pero no pudieron vincularla a un actor específico. Sin embargo, destacaron que el malware compartía similitudes con el troyano Triada para Android.

Aplicación en Google Play que contiene la carga útil de NoVoice

Cadena de infección de NoVoice

Según los investigadores de McAfee, el atacante ocultó componentes maliciosos en el paquete com.facebook.utils, mezclándolos con las clases legítimas del SDK de Facebook.

Una carga útil cifrada (enc.apk), oculta dentro de un archivo de imagen PNG mediante esteganografía, se extrae (h.apk) y se carga en la memoria del sistema, eliminando todos los archivos intermedios para borrar cualquier rastro.

McAfee señala que el atacante evita infectar dispositivos en ciertas regiones, como Pekín y Shenzhen (China), e implementó 15 comprobaciones para emuladores, depuradores y VPN. Si no se dispone de los permisos de ubicación necesarios, el malware continúa la cadena de infección.

Comprobaciones de validación realizadas en el dispositivo infectado

El malware se conecta al servidor de comando y control (C2) y recopila información del dispositivo, como detalles del hardware, versión del kernel, versión de Android (y nivel de parche), aplicaciones instaladas y estado de acceso root, para determinar la estrategia de explotación.

A continuación, el malware consulta el servidor C2 cada 60 segundos y descarga diversos componentes para exploits específicos del dispositivo, diseñados para obtener acceso root al sistema de la víctima.

Los investigadores crearon un mapa de la cadena de infección, desde la fase de distribución hasta la fase de inyección.

Cadena de vulnerabilidades para el malware NoVoice de Android

McAfee afirma haber detectado 22 vulnerabilidades, incluyendo errores de kernel relacionados con el uso de memoria liberada y fallos en el controlador de la GPU Mali. Estas vulnerabilidades otorgan a los atacantes acceso de superusuario (root) y les permiten deshabilitar la aplicación de SELinux en el dispositivo, eliminando así sus protecciones de seguridad fundamentales.

Tras obtener acceso de superusuario, bibliotecas clave del sistema, como libandroid_runtime.so y libmedia_jni.so, se reemplazan con scripts maliciosos que interceptan las llamadas al sistema y redirigen la ejecución al código malicioso.

El rootkit establece múltiples capas de persistencia, incluyendo la instalación de scripts de recuperación, el reemplazo del gestor de errores del sistema por un cargador del rootkit y el almacenamiento de cargas útiles de respaldo en la partición del sistema.

Dado que esta parte del almacenamiento del dispositivo no se borra durante un restablecimiento de fábrica, el malware persistirá incluso después de una limpieza exhaustiva.

Un demonio de vigilancia se ejecuta cada 60 segundos para comprobar la integridad del rootkit y reinstalar automáticamente los componentes faltantes. Si las comprobaciones fallan, fuerza el reinicio del dispositivo, lo que provoca que el rootkit se recargue.

Robo de datos de WhatsApp

Durante la fase posterior a la explotación, el atacante inyecta código malicioso en todas las aplicaciones que se ejecutan en el dispositivo. Se implementan dos componentes principales: uno que permite la instalación o desinstalación silenciosa de aplicaciones, y otro que opera dentro de cualquier aplicación con acceso a internet.

Este último actúa como mecanismo principal de robo de datos, y McAfee observó que su objetivo principal era la aplicación de mensajería WhatsApp.

Cuando se ejecuta WhatsApp en un dispositivo infectado, el malware extrae datos confidenciales necesarios para replicar la sesión de la víctima, incluyendo bases de datos de cifrado, claves del protocolo Signal e identificadores de cuenta como el número de teléfono y los detalles de la copia de seguridad de Google Drive.

Esta información se extrae al servidor de comando y control (C2), lo que permite a los atacantes clonar la sesión de WhatsApp de la víctima en su propio dispositivo.

Código para robar bases de datos de WhatsApp

Los investigadores señalaron que, si bien solo recuperaron una carga útil centrada en WhatsApp, el diseño modular de NoVoice hace técnicamente posible que se hayan utilizado otras cargas útiles dirigidas a cualquier aplicación del dispositivo.

Las aplicaciones maliciosas de Android que contenían cargas útiles de NoVoice se eliminaron de Google Play después de que McAfee, miembro de la App Defense Alliance, las reportara a Google.

Sin embargo, los usuarios que las hayan instalado previamente deben considerar que sus dispositivos y datos están comprometidos.

Dado que NoVoice ataca vulnerabilidades corregidas hasta mayo de 2021, actualizar a un dispositivo con un parche de seguridad más reciente mitiga eficazmente esta amenaza en su forma actual.

Se recomienda a los usuarios de Android que actualicen a modelos con soporte activo y que solo instalen aplicaciones de desarrolladores confiables y reconocidos, incluso en Google Play.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#76

Noticias Informáticas / Google corrige la cuarta vulnerabilidad de día cero de Chrome en 2026

Abril 02, 2026, 04:07:31 AM

Google lanzó actualizaciones de emergencia para corregir otra vulnerabilidad de día cero en Chrome, explotada en ataques. Esta es la cuarta falla de seguridad de este tipo que se corrige desde principios de año.

"Google tiene conocimiento de la existencia de una vulnerabilidad explotable para CVE-2026-5281", indicó Google en un aviso de seguridad emitido el martes.

Como se detalla en el historial de commits de Chromium, esta vulnerabilidad se origina en una debilidad de uso de memoria liberada (use-after-free) en Dawn, la implementación multiplataforma subyacente del estándar WebGPU utilizado por el proyecto Chromium.

Los atacantes pueden explotar esta falla de seguridad de Dawn para provocar fallos en el navegador, corrupción de datos, problemas de renderizado u otros comportamientos anómalos.

Si bien Google ha encontrado evidencia de que actores maliciosos estaban explotando esta vulnerabilidad de día cero, no compartió detalles sobre estos incidentes.

"El acceso a los detalles y enlaces del error podría permanecer restringido hasta que la mayoría de los usuarios hayan actualizado con la corrección. También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos, pero que aún no se ha corregido", señaló la compañía.

Google ha corregido la vulnerabilidad de día cero para los usuarios del canal de escritorio estable, y las nuevas versiones ya están disponibles para Windows, macOS (146.0.7680.177/178) y Linux (146.0.7680.177).

Esta es la cuarta vulnerabilidad de día cero de Chrome que se ha corregido desde principios de año. La primera ( CVE-2026-2441 ) era un error de invalidación de iteradores en CSSFontFeatureValuesMap (la implementación de Chrome de los valores de las características de fuente CSS), que Google solucionó a mediados de febrero.

Google corrigió otras dos vulnerabilidades de día cero en Chrome que fueron explotadas en ataques a principios de este mes: la primera es una debilidad de escritura fuera de límites en la biblioteca de gráficos 2D Skia ( CVE-2026-3909 ), y la segunda es una vulnerabilidad de implementación inadecuada en el motor V8 de JavaScript y WebAssembly ( CVE-2026-3910 ).

En 2025, Google corrigió un total de ocho vulnerabilidades de día cero explotadas, muchas de las cuales fueron descubiertas y reportadas por el Grupo de Análisis de Amenazas (TAG) de Google, conocido por rastrear e identificar exploits de día cero utilizados en ataques de spyware.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#77

Noticias Informáticas / Detección de ransomware en Google Drive disponible para los usuarios de pago

Abril 02, 2026, 04:04:47 AM

Google anunció que la función de detección de ransomware de Google Drive, impulsada por IA, ya está disponible para todos y ahora viene activada por defecto para todos los usuarios de pago.

"O es para todos... o solo para los que pagan???" comentó un usuario de underc0de:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Anunciada en septiembre de 2025, una versión beta de esta función comenzó a implementarse para los clientes de Google Workspace en todo el mundo a principios de octubre.

Google Drive pausará inmediatamente la sincronización de archivos al detectar un ataque de ransomware, notificando a los usuarios y administradores de TI sobre la brecha de seguridad y minimizando drásticamente el impacto de estos incidentes.

Si bien esto no impedirá que los archivos del equipo comprometido se cifren, los documentos almacenados en Google Drive estarán protegidos y podrán restaurarse rápidamente una vez que se resuelva la infección.

Tras bloquear un ataque, los usuarios también reciben instrucciones detalladas para restaurar los archivos dañados mediante la herramienta de restauración de Drive y deshacer los cambios causados por el ransomware.

"Cuando la detección de ransomware está activada, los archivos se analizan en busca de ransomware al sincronizarse desde un ordenador de escritorio a Drive", explica Google. Si se encuentran archivos cifrados con ransomware, la sincronización del escritorio se pausa. El usuario afectado recibe una alerta por correo electrónico y una notificación en Drive, además de crearse una alerta en la consola de administración de Google.

"En comparación con la versión beta de esta función, ahora podemos detectar aún más tipos de cifrado por ransomware y lo hacemos más rápido. Nuestro último modelo de IA detecta 14 veces más infecciones, lo que se traduce en una protección aún más completa", añadió.

Google afirma que esta función está activada por defecto para todos los usuarios de organizaciones con licencias empresariales, corporativas, educativas y de primera línea, mientras que la función de restauración de archivos está disponible para todos los clientes de Google Workspace, suscriptores individuales de Workspace y usuarios con cuentas personales de Google.

Aunque está activada por defecto para todos los usuarios, los administradores pueden desactivarla para sus organizaciones en la consola de administración, en Aplicaciones > Google Workspace > Configuración de Drive y Documentos > Malware y Ransomware.

Si bien los administradores deberán instalar la última versión de Google Drive para escritorio (v.114 o posterior) en todos los dispositivos para habilitar las alertas de detección, la sincronización de archivos seguirá pausada en versiones anteriores.

Microsoft también ofrece detección y recuperación de ransomware en OneDrive para los suscriptores de Microsoft 365 que almacenan y sincronizan sus archivos en la nube.

Dropbox, otro servicio de almacenamiento en la nube muy utilizado, ofrece una función similar para los clientes con planes Business Plus, Advanced o Enterprise, así como para los planes Standard o Business con el complemento de seguridad.

Lógica de otro usuario de underc0de:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#78

Noticias Informáticas / Nuevo update de Win 11 corrige problemas con el "Preview Update"

Abril 02, 2026, 04:01:45 AM

Microsoft lanzó una actualización extraordinaria para corregir la actualización de vista previa no relacionada con la seguridad de marzo de 2026, que se retiró durante el fin de semana debido a problemas de instalación.

La actualización acumulativa opcional ( KB5079391 ) se lanzó el jueves para los sistemas Windows 11 24H2 y 25H2, con 29 cambios, incluyendo mejoras en el Control de Aplicaciones Inteligentes y la Pantalla.

Sin embargo, justo después de que comenzara su implementación, los usuarios empezaron a reportar errores que indicaban: "Faltan algunos archivos de actualización o presentan problemas. Intentaremos descargar la actualización de nuevo más tarde. Código de error: ( 0x80073712 )".

Días después de que surgieran los primeros informes, Microsoft detuvo la implementación de la actualización opcional y confirmó los problemas de instalación y los errores 0x80073712.

El martes, Microsoft publicó la actualización de emergencia KB5086672 para Windows 11 para los sistemas Windows 11 25H2 y 24H2 afectados, reemplazando la actualización de vista previa KB5079391 defectuosa.

El 31 de marzo de 2026, se publicó una actualización fuera de banda ( OOB ) para solucionar este problema de instalación. Esta actualización acumulativa OOB para Windows 11, versiones 25H2 y 24H2 ( KB5086672 ), reemplaza todas las actualizaciones anteriores e incluye todas las protecciones y mejoras de las actualizaciones de seguridad y de vista previa de Windows de marzo de 2026, así como esta corrección de instalación, según informó Microsoft.

Los dispositivos que tengan activada la opción "Obtener las últimas actualizaciones en cuanto estén disponibles" podrían ver esta actualización ofrecida automáticamente a través de Windows Update cuando esté disponible para su dispositivo. Si esta configuración está desactivada, puede instalar la actualización manualmente accediendo a Configuración > Windows Update y seleccionando "Descargar e instalar".

Hace menos de una semana, Microsoft lanzó otra actualización de emergencia para solucionar un problema grave provocado por las actualizaciones de seguridad de Windows 11 de este mes, que impedía iniciar sesión con cuentas de Microsoft en varias aplicaciones, como Teams, OneDrive, el navegador Edge y Microsoft 365 Copilot.

Desde principios de mes, Microsoft ha lanzado otras dos actualizaciones fuera de ciclo dirigidas a dispositivos Windows 11 Enterprise con parches en caliente habilitados, solucionando un error de visibilidad de dispositivos Bluetooth y varias vulnerabilidades de seguridad en la herramienta de administración del Servicio de enrutamiento y acceso remoto (RRAS).

También publicó una guía para solucionar problemas de acceso a la unidad C:\ en portátiles Samsung con Windows 11 causados por versiones defectuosas de las aplicaciones Samsung Galaxy Connect y Samsung Continuity Service.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#79

Noticias Informáticas / Apple añade advertencia en Terminal de macOS para bloquear los ataques ClickFix

Marzo 31, 2026, 10:18:34 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ha introducido una función de seguridad en macOS Tahoe 26.4 que bloquea el pegado y la ejecución de comandos potencialmente dañinos en la Terminal, y alerta a los usuarios sobre los posibles riesgos.

Este nuevo mecanismo parece estar dirigido principalmente a bloquear los ataques de tipo ClickFix, y ha sido reportado por usuarios de macOS desde la versión candidata para el lanzamiento del sistema operativo. Apple no hizo mención específica de ello en las notas de la versión de macOS Tahoe 26.4.

ClickFix es una técnica de ingeniería social que engaña a los usuarios para que peguen comandos maliciosos en la interfaz de línea de comandos, bajo el pretexto de solucionar un problema o de realizar un proceso de verificación.

Dado que es el propio usuario quien pega el comando, se eluden las medidas de seguridad existentes y se puede introducir malware en el sistema.

Para proteger a los usuarios contra este tipo de ataques, la última versión de macOS de Apple retrasa la ejecución de un comando potencialmente malicioso en la Terminal en el momento en que el usuario lo pega, y muestra un mensaje de advertencia sobre los riesgos asociados.

El mensaje informa al usuario de que no se ha producido ningún daño en el sistema, ya que la ejecución del comando fue detenida, y explica que los estafadores suelen distribuir instrucciones maliciosas a través de diversos canales.

El nuevo aviso de macOS sobre pegados riesgosos

Los usuarios pueden optar por no pegar el comando si no comprenden qué hace y se dan cuenta de que las instrucciones provienen de una fuente no confiable. También pueden ignorar la advertencia y continuar con la acción. Sin embargo, esta última opción solo se recomienda si comprenden el efecto del comando.

Apple no ha publicado ningún documento de soporte oficial sobre este nuevo sistema de advertencias. Según los informes de los usuarios, el sistema muestra una alerta cuando estos copian comandos desde Safari y los pegan en la Terminal.

Un usuario concluyó que estas advertencias solo se emiten una vez por sesión, ya que probó múltiples comandos peligrosos —tales como `sudo rm -rf /`— y no apareció ninguna alerta. Otro sugirió que podría estar realizándose algún tipo de análisis, dado que al pegar comandos inofensivos no se activó la advertencia.

Para protegerse contra los ataques basados en ClickFix, se recomienda encarecidamente a los usuarios de cualquier sistema operativo que no ejecuten comandos que encuentren en línea si no comprenden plenamente su funcionamiento.

Asimismo, los usuarios de macOS no deberían confiar plenamente en las nuevas alertas de Apple, ya que actualmente no está claro cómo determina el sistema el nivel de riesgo de un comando pegado para activar la alarma.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#80

Noticias Informáticas / Venom Stealer: malware automatizado que elude el cifrado de los navegadores

Marzo 31, 2026, 09:58:17 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva plataforma de «malware como servicio» (MaaS) —que combina la ingeniería social ClickFix con la exfiltración automatizada de datos y la detección de billeteras— se está vendiendo en la dark web por 250 dólares al mes, o 1800 dólares por acceso de por vida.

Investigadores de la firma de seguridad BlackFog advierten que esta plataforma es más peligrosa que los ladrones de datos genéricos, tales como Lumma, Vidar y RedLine. Esto se debe a que, mientras que la mayoría del malware infecta, roba datos y luego se detiene, Venom Stealer infecta, roba, vulnera, vacía cuentas y continúa robando.

El desarrollador criminal, que opera bajo el alias Venom Stealer, comercializa el acceso mediante un modelo de suscripción que incluye un proceso de solicitud verificado, un sistema de licencias gestionado a través de Telegram y un programa de afiliados con una comisión del 15 %.

Según BlackFog, tan solo en marzo de 2026 se lanzaron múltiples actualizaciones, y el ritmo de desarrollo sugiere que se trata de una operación a tiempo completo.

La ingeniería social se transforma en una cadena de ataque automatizada

Investigadores de seguridad describen una plataforma que funciona como una maquinaria perfectamente engrasada: comienza con técnicas de ingeniería social y evoluciona rápidamente hacia el robo automatizado de datos y la explotación financiera.

Tal como explica el informe: «La infección se inicia cuando la víctima accede a una página de "ClickFix" alojada por el operador», haciendo referencia a páginas fraudulentas que engañan a los usuarios para que sean ellos mismos quienes ejecuten comandos maliciosos.

A las víctimas se les muestran falsos CAPTCHA o errores del sistema y se les pide que peguen comandos en el cuadro de diálogo "Ejecutar" (Windows) o en la "Terminal" (macOS).

Dado que la víctima inicia la ejecución por sí misma, el proceso parece iniciado por el usuario, señala el informe, añadiendo que las herramientas de seguridad podrían no detectar la actividad.

Esto elude la detección basada en el comportamiento, que busca actividad inusual en los programas.

Elusión del cifrado del navegador

El informe señala que el malware también puede eludir el cifrado del navegador.

«En el momento en que se ejecuta la carga útil, esta rastrea todos los navegadores basados en Chromium y Firefox presentes en la máquina, extrayendo las contraseñas guardadas, las cookies de sesión, el historial de navegación, los datos de autocompletado y las bóvedas de monederos de criptomonedas de cada perfil».
BlackFog Research

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores señalan que el cifrado de contraseñas de las versiones v10 y v20 de Chrome se elude obteniendo un acceso con privilegios elevados que no activa una alerta del Control de cuentas de usuario (UAC).

Los datos robados se envían de inmediato, dejando escasas pruebas en el dispositivo, lo que hace que su detección sea «significativamente más difícil».

El siguiente paso en la cadena es el robo automatizado de criptomonedas, ya que cualquier dato de monedero descubierto se transmite a un «motor de descifrado del lado del servidor», donde los monederos cifrados se desbloquean y vacían.

El malware también busca frases como «File Password» (contraseña de archivo) y «seed finder» (buscador de semillas), lo que sugiere que incluso las claves de monederos almacenadas sin conexión podrían verse comprometidas.

BlackFog explica que esta perniciosa plataforma puede establecer un canal de extracción continuo incluso después de la infección, dado que permanece activa «monitoreando ininterrumpidamente los datos de inicio de sesión de Chrome» y robando en tiempo real las credenciales recién guardadas, lo que convierte los restablecimientos de contraseña en medidas ineficaces.

Para reducir la exposición a amenazas como Venom, los investigadores recomiendan restringir la ejecución de PowerShell, deshabilitar el cuadro de diálogo Ejecutar para los usuarios estándar mediante la Política de grupo y capacitar a los empleados para reconocer la ingeniería social de estilo ClickFix.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Páginas 1 2 3 4 5 6 ... 249