Mostrar Mensajes

Información del Perfil

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 31 32 33 34 35 ... 249

#641

Noticias Informáticas / Falla en Discord permite reutilizar invitaciones caducadas en campaña de malware

Junio 14, 2025, 04:50:56 AM

Los hackers están secuestrando enlaces de invitación de Discord caducados o eliminados para redirigir a los usuarios a sitios maliciosos que distribuyen troyanos de acceso remoto y malware que roba información.

La campaña se basa en una falla en el sistema de invitaciones de Discord para aprovechar infecciones multietapa que evaden múltiples antivirus.

"Reviviendo" invitaciones de Discord caducadas

Los enlaces de invitación de Discord son URL que permiten unirse a un servidor específico. Contienen un código de invitación, un identificador único que otorga acceso a un servidor y puede ser temporal, permanente o personalizado. Estos enlaces están disponibles para servidores de nivel 3 que pagan por beneficios especiales.

Como parte de los beneficios de los servidores de Discord de nivel 3, los administradores pueden crear un código de invitación personalizado. En los servidores normales, Discord genera enlaces de invitación aleatorios automáticamente y la probabilidad de que uno se repita es muy baja.

Sin embargo, los hackers observaron que cuando un servidor de nivel 3 pierde su estado de "boost", el código de invitación personalizado queda disponible y puede ser reclamado por otro servidor.

Investigadores de la empresa de ciberseguridad Check Point afirman que esto también aplica a invitaciones temporales caducadas o enlaces de invitación permanentes eliminados.

Afirman que «el mecanismo para crear enlaces de invitación personalizados permite, sorprendentemente, reutilizar códigos de invitación temporales caducados y, en algunos casos, códigos de invitación permanentes eliminados».

Secuestrar un código de invitación temporal (arriba) y reutilizarlo en un enlace personalizado (abajo)

Además, los investigadores afirman que el mecanismo defectuoso de Discord no modifica el tiempo de expiración de un código de invitación temporal ya generado al reutilizarlo como enlace de invitación permanente.

"Los usuarios a menudo creen erróneamente que, con solo marcar esta casilla, han hecho que la invitación existente sea permanente (y fue este malentendido el que se explotó en el ataque que observamos)" - Check Point

Un código de invitación con letras minúsculas y dígitos no se puede registrar mientras esté activo. Sin embargo, si el código contiene letras mayúsculas, se puede reutilizar en enlaces vanidosos con minúsculas, incluso si el original sigue siendo válido.

Los investigadores de Check Point explican que esto es posible porque Discord almacena y compara los enlaces vanidosos en minúsculas. Como resultado, el mismo código con letras minúsculas y mayúsculas es válido para dos servidores separados al mismo tiempo.

Redirección a servidores maliciosos

Los atacantes monitorean las invitaciones de Discord eliminadas o caducadas y las utilizan en una campaña que ha afectado a 1300 usuarios en EE. UU., Reino Unido, Francia, Países Bajos y Alemania, según el recuento de descargas de las cargas maliciosas de Check Point.

Los investigadores afirman que los ciberdelincuentes están secuestrando enlaces de invitación de Discord de comunidades legítimas y compartiéndolos en redes sociales o sitios web oficiales de las comunidades. Para dar credibilidad al engaño, los hackers diseñan los servidores maliciosos para que parezcan auténticos.

Los servidores maliciosos de Discord solo muestran un canal al visitante, #verify, y un bot solicita al usuario que complete un proceso de verificación.

Canal de Discord del atacante

Al intentarlo, se lanza un ataque típico de "ClickFix", en el que se redirige al usuario a un sitio web que imita la interfaz de Discord y simula que el CAPTCHA no se cargó.

Se engaña al usuario para que abra manualmente el cuadro de diálogo Ejecutar de Windows y pegue un comando de PowerShell que ya había copiado al portapapeles para su ejecución.

La página ClickFix

Al hacerlo, se desencadena una infección multietapa que involucra descargadores de PowerShell, cargadores de C++ ofuscados y archivos VBScript.

Las cargas útiles finales se descargan del servicio legítimo de colaboración de software y alojamiento de archivos Bitbucket, e incluyen:

AsyncRAT: Distribuido como 'AClient.exe', esta es la versión 0.5.8 del malware que utiliza Pastebin para obtener su dirección C2 dinámicamente. Sus capacidades incluyen operaciones con archivos, registro de pulsaciones de teclas y acceso a cámara web/micrófono.

Skuld Stealer: Distribuido como 'skul.exe', este ladrón de información se centra en credenciales del navegador, cookies, tokens de Discord y datos de monederos de criptomonedas (inyecta JavaScript para robar frases mnemotécnicas y contraseñas mediante webhooks de Discord).

ChromeKatz: Una versión personalizada de la herramienta de código abierto, distribuida como 'cks.exe', que puede robar cookies y contraseñas.

Los investigadores también descubrieron que se añade una tarea programada en el host para volver a ejecutar el cargador de malware cada cinco minutos.

Cadena de infección de ClickFix al malware

Para protegerse de esta amenaza, se recomienda a los usuarios de Discord que eviten confiar en enlaces de invitación antiguos, especialmente los de publicaciones de hace meses, que traten las solicitudes de verificación con extrema precaución y que nunca ejecuten comandos de PowerShell copiados que no comprendan completamente.

Además, se recomienda a los administradores de servidores de Discord que utilicen invitaciones permanentes, que son más difíciles de piratear.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#642

Noticias Informáticas / Google vincula interrupción masiva de la nube a un problema de gestión de API

Junio 14, 2025, 04:47:17 AM

Google afirma que un problema de gestión de API es la causa de la interrupción masiva de Google Cloud del jueves, que interrumpió o dejó fuera de servicio sus servicios y muchas otras plataformas en línea.

Google afirma que la interrupción de la nube comenzó alrededor de las 10:49 ET y finalizó a las 3:49 ET, tras causar problemas a millones de usuarios en todo el mundo durante más de tres horas.

Además de Google Cloud, el incidente también afectó a Gmail, Google Calendar, Google Chat, Google Cloud Search, Google Docs, Google Drive, Google Meet, Google Tasks, Google Voice, Google Lens, Discover y Voice Search.

Sin embargo, también causó problemas generalizados en plataformas de terceros que dependen de Google Cloud, como Spotify, Discord, Snapchat, NPM, Firebase Studio y un número limitado de servicios de Cloudflare que dependen del almacén de clave-valor Workers KV.

"Lamentamos profundamente el impacto que esta interrupción/interrupción del servicio ha tenido en todos nuestros usuarios y sus clientes. Empresas grandes y pequeñas confían sus cargas de trabajo a Google Cloud y haremos lo posible por mejorar", declaró Google.

Mientras aún trabaja en la publicación de un informe completo del incidente, Google reveló hoy la causa raíz del aumento de errores 503 en las solicitudes de API externas durante la interrupción de tres horas de ayer.

Como explicó la compañía hoy, su plataforma de gestión de API de Google Cloud falló debido a datos no válidos, un problema que no se detectó ni solucionó con prontitud debido a la falta de sistemas eficaces de prueba y gestión de errores.

Según nuestro análisis inicial, el problema se produjo debido a una actualización automatizada de cuota no válida en nuestro sistema de gestión de API, distribuida globalmente, lo que provocó el rechazo de solicitudes de API externas. Para recuperarnos, omitimos la comprobación de cuota incorrecta, lo que permitió la recuperación en la mayoría de las regiones en dos horas, añadió la empresa.

Sin embargo, la base de datos de políticas de cuota en us-central1 se sobrecargó, lo que provocó una recuperación mucho más prolongada en esa región. Varios productos experimentaron un impacto residual moderado (por ejemplo, retrasos) hasta una hora después de que se mitigara el problema principal, y un pequeño número se recuperó después.

Servicios de Cloudflare interrumpidos por la interrupción de Google

Tras restaurar con éxito sus propios servicios afectados, Cloudflare también reveló en un análisis posterior que el incidente de ayer no se debió a un incidente de seguridad y que no se perdieron datos.

"La causa de esta interrupción se debió a un fallo en la infraestructura de almacenamiento subyacente que utiliza nuestro servicio Workers KV, una dependencia crítica para muchos productos de Cloudflare y de la que dependen para la configuración, la autenticación y la entrega de recursos en los servicios afectados", declaró Cloudflare.

"Parte de esta infraestructura está respaldada por un proveedor de nube externo, que sufrió una interrupción hoy y afectó directamente la disponibilidad de nuestro servicio KV".

Aunque no se reveló el nombre del proveedor de nube responsable de la interrupción del jueves, un portavoz de Cloudflare informó ayer a BleepingComputer que solo los servicios de Cloudflare que dependen de Google Cloud se vieron afectados.

En respuesta a este incidente, Cloudflare afirma que migrará el almacenamiento central de KV a su propio almacenamiento de objetos R2 para reducir la dependencia externa y evitar problemas similares en el futuro.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#643

Noticias Informáticas / Cloudflare: Interrupción no fue causada por un incidente de seguridad

Junio 14, 2025, 04:42:56 AM

Cloudflare ha confirmado que la interrupción masiva del servicio de ayer no se debió a un incidente de seguridad y que no se han perdido datos.

El problema se ha mitigado en gran medida. Comenzó a las 17:52 UTC de ayer cuando el sistema Workers KV (Clave-Valor) se desconectó por completo, lo que provocó pérdidas generalizadas de servicio en múltiples servicios de edge computing e IA.

Workers KV es un almacén de clave-valor consistente y distribuido globalmente que utiliza Cloudflare Workers, la plataforma de computación sin servidor de la compañía. Es un componente fundamental de muchos servicios de Cloudflare y un fallo puede causar problemas en cascada en muchos componentes.

La interrupción también afectó a otros servicios utilizados por millones de usuarios, en particular a Google Cloud Platform.

En un análisis posterior, Cloudflare explica que la interrupción duró casi 2,5 horas y que la causa principal fue un fallo en la infraestructura de almacenamiento subyacente de Workers KV debido a la interrupción de un proveedor de nube externo.

"La causa de esta interrupción se debió a un fallo en la infraestructura de almacenamiento subyacente utilizada por nuestro servicio Workers KV, que es una dependencia crítica para muchos productos de Cloudflare y de la que dependen para la configuración, la autenticación y la entrega de recursos en los servicios afectados", afirma Cloudflare.

"Parte de esta infraestructura está respaldada por un proveedor de nube externo, que sufrió una interrupción hoy y afectó directamente la disponibilidad de nuestro servicio KV".

Cloudflare ha determinado el impacto del incidente en cada servicio:

Workers KV: experimentó una tasa de fallos del 90,22 % debido a la indisponibilidad del almacenamiento backend, lo que afectó a todas las lecturas y escrituras no almacenadas en caché. Access, WARP y Gateway sufrieron fallos críticos en la autenticación basada en identidad, la gestión de sesiones y la aplicación de políticas debido a la dependencia de Workers KV. WARP no pudo registrar nuevos dispositivos y se interrumpieron el proxy de Gateway y las consultas DoH.

Dashboard, Turnstile y Desafíos: se experimentaron fallos generalizados de inicio de sesión y verificación CAPTCHA, con riesgo de reutilización de tokens debido a la activación del interruptor de seguridad en Turnstile.

Aislamiento y renderizado del navegador: no se pudieron iniciar ni mantener sesiones basadas en enlaces ni tareas de renderizado del navegador debido a fallos en cascada en Access y Gateway.

Stream, Imágenes y Páginas: experimentaron fallos funcionales importantes: la reproducción de streams y la transmisión en vivo fallaron, la carga de imágenes se redujo al 0 % y la compilación/servicio de páginas alcanzó un pico de aproximadamente el 100 % de fallos.

Workers AI y AutoRAG no estuvieron disponibles debido a la dependencia de KV para la configuración del modelo, el enrutamiento y las funciones de indexación. Objetos duraderos, D1, Colas: los servicios basados en la misma capa de almacenamiento que KV sufrieron tasas de error de hasta el 22 % o indisponibilidad total para la cola de mensajes y las operaciones de datos.

Tiempo real y puerta de enlace de IA: sufrieron una interrupción casi total del servicio debido a la imposibilidad de recuperar la configuración de Workers KV, con un grave impacto en las solicitudes de Realtime TURN/SFU y de AI Gateway.

Activos de Zaraz y Workers: experimentaron fallos totales o parciales al cargar o actualizar configuraciones y activos estáticos, aunque el impacto para el usuario final fue limitado.

CDN, Workers para plataformas, compilaciones de Workers: experimentaron un aumento de latencia y errores regionales en algunas ubicaciones, y las nuevas compilaciones de Workers fallaron al 100 % durante el incidente.

En respuesta a esta interrupción, Cloudflare afirma que acelerará varios cambios centrados en la resiliencia, principalmente eliminando la dependencia de un único proveedor de nube externo para el almacenamiento backend de Workers KV.

Gradualmente, el almacén central de KV se migrará al almacenamiento de objetos R2 de Cloudflare para reducir la dependencia externa.

Cloudflare también planea implementar medidas de seguridad entre servicios y desarrollar nuevas herramientas para restaurar gradualmente los servicios durante las interrupciones del almacenamiento, evitando picos de tráfico que podrían saturar los sistemas en recuperación y causar fallos secundarios.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#644

Noticias Informáticas / Paraguay sufrió una vulneración de datos: 7,4 millones de registros ciudadanos

Junio 14, 2025, 04:20:00 AM

Resecurity ha identificado 7,4 millones de registros con información personal identificable (PII) de ciudadanos paraguayos filtrados hoy en la dark web. La semana pasada, ciberdelincuentes ofrecieron a la venta información sobre todos los ciudadanos de Paraguay, exigiendo 7,4 millones de dólares en rescates, 1 dólar por ciudadano. Un grupo de ransomware extorsionaba a todo el país en lo que probablemente sea uno de los incidentes de ciberseguridad más significativos en la historia del país, con una fecha límite simbólica: el viernes 13 de junio de 2025.

Los datos robados se han publicado en múltiples foros clandestinos. Curiosamente, además de archivos ZIP con bases de datos, los actores también publicaron un archivo torrent, lo que permite a otros usuarios de internet descargar libremente los registros de los ciudadanos mediante redes P2P. Cabe destacar que estas tácticas ya fueron utilizadas por LockBit 3.0. El grupo utilizó plataformas P2P para difundir filtraciones de datos mediante archivos torrent y evitar así su desmantelamiento.

Paraguay ha perdido datos de toda la población, incluyendo su PII, que fue exfiltrada de varios sistemas de información gubernamentales. Cabe destacar que, en la exigencia de rescate, los actores acusan a los líderes del país de corrupción y descuido en la protección de datos de los ciudadanos. El gobierno de Paraguay se negó a pagar el rescate en el comunicado oficial y no compartió detalles sobre cómo se robó la información de 7,5 millones de ciudadanos, presentando únicamente declaraciones vagas. Pocos días antes de la publicación de la filtración, la cuenta de Twitter del presidente de Paraguay fue comprometida.

Se presume que los datos filtrados provienen de la Agencia Nacional de Tránsito y Seguridad Vial de Paraguay, el Ministerio de Salud Pública y Bienestar Social de Paraguay y otro sistema anónimo que almacena información personal identificable (PII).

Estas filtraciones no son nuevas en Paraguay. Cabe destacar que el incidente recién revelado se suma a varias otras filtraciones de datos recientes que afectaron a Paraguay. En 2025, hace apenas unos meses, Paraguay sufrió dos filtraciones masivas de datos provenientes de instituciones públicas. La primera involucró al Tribunal Superior de Justicia Electoral (TSJE) y expuso información sobre más de 7 millones de personas. El segundo caso afectó al Ministerio de Hacienda, al Banco Central del Paraguay e Itaipú, donde se hizo público un archivo con más de 17.000 registros, incluyendo datos sensibles como pagos a funcionarios públicos, salarios, nombres completos y números de identificación. En 2023, una filtración de datos en la Policía Nacional expuso documentos y datos personales de personas detenidas, incluyendo antecedentes penales y fotografías.

Los actores, que se posicionaron como "mercenarios", autodenominándose "Cyber PMC", y que atacaban sistemas gubernamentales con fines de lucro, se atribuyeron la responsabilidad. No está claro si un estado extranjero los patrocina ni si su actividad se rige únicamente por motivos cibercriminales.

Considerando los ataques previos de China, este nuevo acontecimiento confirma el creciente número de ciberataques contra Paraguay. Estos eventos, con una narrativa de "hackeo y filtración", podrían interpretarse como un hito en los incidentes de ciberseguridad conocidos hoy en día, por su tamaño y escala, ya que todo el país fue extorsionado debido a una filtración masiva de datos.

El perfil de uno de los actores clave es conocido por varias filtraciones de datos a gran escala en Sudamérica, incluyendo Bolivia, Venezuela y Ecuador, que resultaron en el robo de millones de registros de información personal identificable (PII). Su motivación no está del todo clara, ya que el precio que ofrece por estos datos no es sustancial. Es probable que estas tácticas sean empleadas por inteligencia extranjera o actores patrocinados por estados, enmascarando operaciones de espionaje específicas bajo la apariencia de una posible actividad cibercriminal para ocultar la atribución.

Flax Typhoon, un cibergrupo vinculado al estado chino, se infiltró en las redes del gobierno paraguayo el año pasado, según un comunicado conjunto del Ministerio de Tecnologías de la Información y la Comunicación de Paraguay y la Embajada de Estados Unidos en Asunción. Flax Typhoon llevó a cabo una amenaza persistente avanzada (APT), es decir, un ciberataque dirigido y sostenido. El grupo chino utilizó malware para infiltrarse en sistemas, extraer información confidencial y mantener una presencia encubierta durante largos periodos. No se han filtrado datos de dicho evento y ninguna organización víctima ha sido identificada oficialmente como comprometida.

Resecurity señaló que Paraguay es el único país sudamericano que reconoce la independencia de Taiwán. China considera a la nación insular como su territorio y ha llevado a cabo una campaña global para convencer a otros gobiernos de que hagan lo mismo.

La intensidad de los ciberataques y las filtraciones de datos contra Paraguay y otros países de Sudamérica es alarmante. Resecurity destaca los crecientes esfuerzos de actores de amenazas extranjeros para comprometer los sistemas de información gubernamentales y los portales que almacenan información personal identificable (PII) de los ciudadanos.

Fuente:
SecurityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#645

Noticias Informáticas / Apple confirmó que una falla en la app Mensajes fue explotada activamente

Junio 14, 2025, 04:17:34 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple confirmó que una vulnerabilidad ya parcheada, identificada como CVE-2025-43200, en su app Mensajes se estaba explotando activamente para atacar a periodistas con el software espía Graphite de Paragon.

El gigante informático abordó la falla CVE-2025-43200 el 10 de febrero de 2025, con el lanzamiento de iOS 18.3.1, iPadOS 18.3.1, iPadOS 17.7.5, macOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, watchOS 11.3.1 y visionOS 2.3.1. Estas mismas versiones también abordaron la vulnerabilidad CVE-2025-24200 de WhatsApp, que se explotó en ataques dirigidos extremadamente sofisticados.

«Existía un problema lógico al procesar una foto o un vídeo creado con fines maliciosos y compartido a través de un enlace de iCloud», se lee en el aviso publicado por la compañía. Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos.

La compañía abordó esta vulnerabilidad implementando comprobaciones mejoradas.

Esta semana, Citizen Lab confirmó que el spyware Graphite de Paragon se utilizó para hackear iPhones completamente actualizados, atacando al menos a dos periodistas en Europa. El grupo encontró evidencia forense que demuestra que los teléfonos se habían comunicado con el mismo servidor de spyware. Apple alertó discretamente a las víctimas a principios de este año, lo que marca el primer caso confirmado del uso de las herramientas de Paragon en ataques reales.

El 29 de abril de 2025, Apple alertó a usuarios seleccionados de iOS sobre el uso de spyware. El análisis forense confirmó que dos periodistas, incluido Ciro Pellegrino, fueron infectados con el spyware Graphite de Paragon. Ambos casos estaban vinculados al mismo atacante. Apple ha parcheado el exploit de cero clic utilizado en el ataque, ahora identificado como CVE-2025-43200, en la versión 18.3.1 de iOS.

A principios de esta semana, Paragon acusó al gobierno italiano de rechazar su oferta para investigar el uso de software espía contra un periodista. La empresa afirmó que esto la llevó a rescindir contratos en Italia. Paragon afirmó haber propuesto una forma de verificar si sus herramientas se habían utilizado indebidamente, pero las autoridades se negaron. Esta es la primera vez que una empresa de software espía rompe públicamente relaciones con un cliente por presunto abuso. Paragon confirmó la veracidad de la declaración, pero declinó hacer más comentarios.

Fuente:
SecurityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#646

Noticias Informáticas / Filtrados datos militares y comerciales sensibles del contratista español GTD

Junio 14, 2025, 04:03:47 AM

Una importante brecha de seguridad se ha producido presuntamente en GTD System & Software Engineering, una destacada empresa tecnológica española especializada en sistemas de alta tecnología para los sectores de defensa, aeroespacial y energético. La empresa, socio clave de importantes entidades europeas de defensa y aeroespacial como Navantia y Airbus, participa activamente en proyectos militares internacionales cruciales. GTD desarrolla software y hardware sofisticados, incluyendo sistemas de gestión de combate para fragatas navales y vehículos blindados, lo que convierte la posible exposición de sus datos en un grave problema para las cadenas de suministro internacionales de seguridad y defensa.

El actor de amenazas afirma haber extraído 2,71 GB de información sensible y estratégica directamente de la infraestructura web de la empresa. El conjunto de datos se vende presuntamente en línea y se dice que contiene documentos altamente confidenciales relacionados con importantes proyectos de defensa, incluyendo esquemas y detalles operativos de las fragatas AVANTE 2200 y el vehículo blindado VCR 8×8. Se dice que la información filtrada está sujeta al Reglamento sobre el Tráfico Internacional de Armas (ITAR), lo que pone de relieve la naturaleza crítica de los archivos comprometidos, que podrían ofrecer información detallada sobre tecnologías militares avanzadas.

El conjunto de datos presuntamente filtrado es excepcionalmente detallado y ofrece una visión completa de las operaciones y las capacidades tecnológicas de la empresa.

Los archivos comprometidos incluyen:

Documentos técnicos y de ingeniería: Diseño detallado y diagramas de cableado, especificaciones del sistema de software para sistemas de gestión de combate y manuales técnicos.

Contratos y documentos comerciales: Detalles de contratos con socios como Navantia, incluyendo términos financieros y acuerdos de confidencialidad.

Información logística y de soporte: Listas de repuestos, plazos de entrega de componentes y análisis de fiabilidad de hardware militar.

Información de materiales químicos (MSDS): Especificaciones de los materiales utilizados en equipos militares, como recubrimientos resistentes a la corrosión.

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#647

Noticias Informáticas / Entidad gubernamental de Bogotá vulnerada y datos ciudadanos filtrados

Junio 14, 2025, 04:01:06 AM

Un actor de amenazas presuntamente filtró una base de datos con 19.200 registros del Instituto Distrital para la Participación y la Acción Comunitaria (IDPAC), un organismo gubernamental clave en Bogotá, Colombia. Los datos se publicaron en DarkForum, y el actor afirmó haber exfiltrado información confidencial de ciudadanos que han interactuado con la agencia. El IDPAC es una entidad pública vital, responsable de fomentar, fortalecer y garantizar el derecho a la participación ciudadana en la capital, gestionar las juntas de acción comunal y promover la cultura democrática. La filtración podría afectar a miles de personas involucradas en la gobernanza local y las iniciativas comunitarias.

El actor responsable del incidente difundió la filtración de datos, proporcionando muestras y enlaces a la base de datos completa. La información comprometida supuestamente incluye una amplia gama de información de identificación personal (PII), que podría ser explotada para diversas actividades maliciosas, como el robo de identidad, campañas de phishing y fraude. La exposición de estos datos de una fuente gubernamental es particularmente preocupante, ya que puede erosionar la confianza pública y poner en peligro la privacidad de los ciudadanos que participan en procesos cívicos.

Los datos filtrados supuestamente contienen los siguientes datos personales:

Números de identificación

Nombres completos

Fechas de nacimiento

Direcciones físicas

Correos electrónicos

Números de teléfono móvil

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#648

Noticias Informáticas / VPN´s de propietarios chinos no revelados

Junio 14, 2025, 03:48:05 AM

El Proyecto de Transparencia Tecnológica (TTP) ha descubierto docenas de aplicaciones VPN en las tiendas de aplicaciones de Apple y Google que son propiedad encubierta de empresas chinas, advirtiendo sobre los riesgos que esto implica para la privacidad y la seguridad nacional de EE. UU.

A pesar de informes previos que identificaban aplicaciones VPN que pueden comprometer la privacidad y la seguridad del usuario, solo unas pocas fueron eliminadas, y "más de 20 de las 100 mejores VPN gratuitas en la App Store de Apple de EE. UU. en 2024 mostraron evidencia de propiedad china", afirmó el TTP en el informe.

Ninguna de estas aplicaciones reveló claramente vínculos con China, ya que las leyes de seguridad nacional del país las obligan a compartir datos de los usuarios con el gobierno chino.

Las aplicaciones de redes privadas virtuales (VPN) prometen proteger la identidad de los usuarios cuando navegan por internet. Al usar VPN, los usuarios otorgan a estas aplicaciones acceso a datos particularmente sensibles, como toda la actividad web.

Las directrices de Apple establecen que las aplicaciones VPN "no pueden vender, usar ni divulgar a terceros ningún dato para ningún propósito", y las aplicaciones vinculadas a China claramente infringen esta norma. No está claro si Google tiene una política específica para las aplicaciones VPN, pero exige que las aplicaciones sean transparentes sobre cómo comparten los datos de los usuarios.

El informe de TTP detalla cómo las aplicaciones VPN chinas en la App Store ocultan su origen tras múltiples empresas fantasma.

"Varias de las aplicaciones estaban vinculadas a Qihoo 360, una empresa china de ciberseguridad sancionada por Estados Unidos por sus vínculos con el Ejército Popular de Liberación de China", concluyó TTP.

TTP informó por primera vez sobre aplicaciones VPN de riesgo el 1 de abril. Desde entonces, Apple ha eliminado algunas de las aplicaciones vinculadas a Qihoo 360, como Thunder VPN, Snap VPN y Signal Secure VPN. Sin embargo, Turbo VPN y VPN Proxy Master, propiedad de los mismos usuarios, siguen disponibles para los usuarios estadounidenses, junto con otras 11 aplicaciones VPN de propiedad china.

Las aplicaciones también están disponibles en Google Play Store: TTP encontró Turbo VPN, VPN Proxy Master, Snap VPN y Signal Secure VPN, así como otras siete VPN de propiedad china identificadas en el informe inicial.

Por ejemplo, Snap VPN para Android indica a Autumn Breeze Pte. Ltd. como su desarrolladora. Se declara constituida en Singapur y opera de forma independiente, pero TTP descubrió que en los registros corporativos de Autumn Breeze aparece un director cuyo nombre coincide con el de una persona que dirigía la unidad de seguridad móvil de Qihoo 360.

TTP sostiene que, si bien todas las aplicaciones VPN figuran como gratuitas en las tiendas de aplicaciones, algunas de ellas venden suscripciones, lo que "significa que Apple y Google pueden estar sacando provecho de estas VPN de propiedad china cuando los estadounidenses pagan suscripciones u otros complementos".

Algunas de las VPN de propiedad china en Google Play Store también indican que contienen anuncios. Esto significa que Google podría estar ayudando a estas VPN de propiedad china a obtener ingresos de la publicidad y lucrarse con los mismos, según el informe.

TTP estima que algunas de las aplicaciones generaron millones de dólares en ingresos en EE. UU.

La aplicación más grande de las 24, "X-VPN - Super VPN & Best Proxy" en la App Store de Apple de EE. UU., ocupa el cuarto puesto entre las aplicaciones VPN gratuitas y el séptimo entre las más rentables. Ofrece compras dentro de la aplicación y ha recaudado más de 10 millones de dólares en ingresos en EE. UU., según el informe.

Ninguno de los gigantes tecnológicos respondió a las preguntas de TTP.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#649

Dudas y pedidos generales / Re:Herramientas de Doxeo

Junio 14, 2025, 02:34:16 AM

Hola

Para realizar "Doxxing" o identificar a alguien de interés sobre internet, más que herramientas se usan servicios, que en su mayoría son de pago.

Lo principal es el punto de inicio, que es el rastreo de cierta información que ha dejado el individuo en una plataforma: ej un email. A partir de ese email, si es de una compañía que integra otros servicios como pudiera ser Google, se rastrea "las trazas" con otras plataformas, que pudieran ser de redes sociales, etc. Entre más info haya expuesto el individuo que vaya coincidiendo: como email, número de teléfono, info privada de identidad, fotos, intereses, nubes, servicios sobre internet, y un largo etc., así se rastreará y se identificará.

El por qué son servicios de pago en la actualidad: La cuestión es que hay que emplear Inteligencia Artificial (los gobiernos u agencias especializadas que se dedica a ello) que coteje y mapee toda una información, que pudiera ser como beber desde la manguera de un bombero a presión. Más de un hacker famoso ha caído recientemente por este método, ha sido identificado y arrestado.

Son varios los servicios de doxxing y especializados: para el email, para el número de teléfono, para geolocalizar las fotos, etc. Casi todo "que realmente funcione" y según mi experiencia, es de pago.

Por ejemplo, el email del individuo aparece en bases de datos filtradas de distintas plataformas o naciones (hay que pagar por su acceso en el caso de los privados); el número de teléfono aparece registrado en distintos servicios sobre internet (también es de pago si va por su cuenta), etc. Todo ello se va integrando.

Muy pocas trazas se engranan con simples búsquedas sobre internet: aunque con las fotos muchas veces hay suerte de geolocalizar al interesado con mucha precisión utilizando plataformas de IA para ello.

Ejemplos recientes de casos de la vida real:

Según declara el sujeto pagó por info (al menos para que le crean pues así funciona):
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otro caso de doxxing a un pedófilo por una foto:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hay un caso de un célebre hacker brasileño que fue identificado y expuesto por una compañía en venganza y de la cual él había filtrado info. A ver si se lo encuentro en otro momento pues ya estoy muerto...

#650

Dudas y pedidos generales / Re:Hacking

Junio 14, 2025, 02:08:33 AM

Hola

Me ha resultado incomprensible el término "funar", al punto que lo he tenido que buscar en internet, para conocer su significado:

"De acuerdo con el Diccionario Latinoamericano de la Lengua Española, en Argentina, el término "funar" significa 'acusar a una persona en redes sociales, generalmente por cuestiones como chistes sexistas, racistas y políticamente incorrectos'. Además, puede incluir acusaciones sobre delitos más graves y tiene como sinónimos "cancelar" y "escrachar"."

Tampoco soy de redes sociales y ya me pongo viejo...

De cualquier modo, le informo:

La situación es muy común en las redes sociales y las posibles soluciones:

- En el reporte y la moderación dentro de la propia red social; que casi nunca intervienen en la corroboración y veracidad de los contenidos, pues de eso se sustenta: de los "dimes y diretes" sean cómo sean. A no ser que haya dinero: usuario de pago, etc.

- La otra la tiene el usuario al bloquear el acceso a su red social y decantar la información que expone. Incluso a veces no solo es el individuo el atacado, sino sus seres queridos y amigos: esposa, hijos, etc. He visto de todo, y son virulentos los "ataques vicarios" que se reflejan en las personas que más quieren y le interesan a la víctima.

Para descubrir quién o quiénes están detrás de estos ataques se necesitan las habilidades de la ingeniería social fundamentalmente o el contrato de un profesional de la nación (agencia investigadora). No siempre funciona, y es irrelevante si la víctima es una "figura pública" de algún modo, pues pueden ser varios sin coordinarse y sí coinciden por ciertos eventos relevantes en el individuo víctima.

Hackear las cuentas de Facebook es contraproducente pues solo conllevaría a una dirección de email, que poco y nada dice si es de uso exclusivo para ese fin, y un número telefónico falso de renta, si es que el que acosa es medianamente competente.

No hay que olvidar que las redes sociales son virtuales: todo lo que se diga en ellas es distorsionado y casi nunca certero.

Nos va la vida con ellas? Realmente nuestra reputación, carácter y virtudes pueden empañarse por algo tan frívolo y artificial?
Pongamos de ejemplo que alguien diga que el individuo es gay: argumentos y fotos truncadas por doquier. El que realmente le conozca y trate al sujeto, al momento se percatará del bulo y la infamia.

Siéndole sincero y por experiencia de ya años: poco y nada se puede hacer con esas campañas pues el contenido no se puede moderar a no ser que se le pague a la red social o se le haga una demanda. Lo del rastreo y hackeo de los difamadores es estéril.

#651

Noticias Informáticas / Ubuntu anuncia el fin del soporte de GNOME en X11

Junio 11, 2025, 03:35:16 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ahora sí que sí, Ubuntu abraza Wayland para no volver atrás: Ubuntu 25.10 eliminará el soporte de GNOME en X11, por lo que los usuarios se quedan finalmente sin margen para maniobrar. En resumen, o Wayland o nada... Al menos, en lo que a la edición principal de Ubuntu con GNOME se refiere.

La noticia no es, o no debería ser ninguna sorpresa, y es que el fin del soporte de GNOME en X11 estaba previsto desde hace tiempo. Para más datos, será el propio GNOME el que retire dicho soporte con en su próxima versión, GNOME 49, cuyo lanzamiento se espera para la segunda mitad del año. Y, claro, toda distribución dependiente del escritorio se verá arrastrada por el cambio.

La primera en advertirlo fue Fedora y ahora le llega el turno a Ubuntu, punta de lanza del escritorio Linux aún a día de hoy. Aunque el empujón es el mismo: GNOME. Sin embargo, a diferencia de Fedora, Ubuntu siempre fue reacia al cambio por motivos de compatibilidad, al punto de avanzar y retroceder en repetidas ocasiones en en este particular aspecto.

Así, no fue hasta la reciente Ubuntu 24.10 que Ubuntu adoptó la sesión con Wayland por defecto incluso al usar gráficas Nvidia. Algo que ya anunciaron hace años, sin terminar de cumplirlo debido, precisamente, a cuestiones de compatibilidad: desde Ubuntu 17.10 lleva Canonical amagando con dar el paso para acabar reculando de un modo u otro. Pero se han quedado sin más posibilidad que acatar.

«En los últimos ciclos, la experiencia de Wayland ha madurado significativamente, incluido un soporte mejorado para los controladores de Nvidia, ofreciendo un modelo de seguridad más sólido, soporte estable para la mayoría de los flujos de trabajo diarios, mejor aislamiento de la pila de gráficos y soporte táctil y HIDPI mejorado», anuncia Jean Baptiste Lallement, miembro del Canonical Desktop Team en Discourse.

«Mientras tanto, mantener las sesiones X11 y Wayland introduce deuda técnica y aumenta la carga de mantenimiento, lo que limita nuestra capacidad de innovar de manera eficiente», añade. Porque quizás alguien se plantee que Canonical podría haber mantenido por su cuenta este soporte, pero va a ser que no.

Y todo esto significa, en conclusión, que «la pantalla de inicio de sesión (GDM) ya no ofrecerá la opción de Ubuntu en Xorg [...] Todas las sesiones basadas en GNOME Shell y Mutter ahora son exclusivas de Wayland y los usuarios que dependen de comportamientos específicos de X11 no podrán usar el entorno de escritorio GNOME en Xorg».

«Al movernos ahora, brindamos a los desarrolladores y usuarios un ciclo completo para adaptarse antes del próximo LTS», concluye. ¿Y quienes todavía necesiten de X11, «por ejemplo, en configuraciones de escritorio remoto o flujos de trabajo altamente especializados»? Puedes regresar a Ubuntu 24.04 u optar por otro sabor oficial. Por lo demás, el soporte para con la mayoría de aplicaciones seguirá disponible mediante XWayland.

¿Comienza, ahora sí, el despliegue definitivo de Wayland como protocolo gráfico de referencia en el escritorio Linux? De ser así, llega décadas más tarde de lo esperado, pero también de lo deseable. Pero más vale tarde que nunca y, sobre todo, más vale tarde y bien que rápido y mal.

Fuente:
MuyLinux
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#652

Noticias Informáticas / Mozilla aprieta el bolsillo y anuncia el cierre de Orbit

Junio 11, 2025, 03:33:22 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mozilla sigue cerrando el grifo allá donde puede y el último sacrificio es a la postre, una de las iniciativas más recientes de la compañía: Orbit, el asistente de IA de Firefox. Pues bien, si usabas esta extensión, puedes apurar lo que le queda o ir desinstalándola, porque tiene los días contados. Literalmente.

En concreto, Orbit cerrará el 26 de junio de 2025, en apenas un par de semanas. A partir de ese momento «ya no podrás utilizar la extensión Orbit», advierte el sitio oficial del proyecto desde hace unos días. Por qué termina tan abruptamente algo que, en principio, tenía su interés, no se ha explicado por ahora, pero todo apunta a lo mencionado: cortar el gasto todo lo posible.

Cabe recordar a este respecto que Mozilla ha realizado movimientos muy destacados en las últimas semanas, incluyendo el cierre de servicios como Pocket y Fakespot y el traslado del desarrollo de Firefox a GitHub. Todo ello con el objetivo de ahorrar recursos económicos, en el caso de que se termine obligando a Google a vender Chrome y, en consecuencia, la compañía deje de financiar a Firefox tal y como lo hace actualmente.

En cuanto a Orbit, el asistente de IA de Firefox, ya os contamos en su momento de qué se trata: «Ahorra tiempo con Orbit mientras haces malabarismos con correos electrónicos, lees extensos documentos, hojeas artículos o miras videos. Orbit ofrece resúmenes concisos que te ayudan a comprender la información esencial rápidamente sin sacrificar tu privacidad», según su descripción. O sea, algo así como el Copilot o el Leo de Firefox.

Habrá quien guste más o menos de este tipo de herramientas, pero lo cierto es que se están convirtiendo en algo muy apreciado por cada vez más usuarios y el enfoque de Mozilla con Orbit era interesante, al utilizar LLM de código abierto como Mistral y al asegurar un nivel de privacidad muy superior al de la competencia... O eso parecía. Al menos, hasta que les dio por cambiar las condiciones de Firefox y hacer sonar todas las alarmas.

Por otro lado, si eres usuario de Firefox y tener un asistente de IA es importante para ti, el navegador implementó una función que todavía sigue en desarrollo y hay que activar a mano, pero que es realmente interesante ya que te permite elegir el modelo entre una pequeña selección... y algo más. Todo un acierto que, esperamos, conserven. Orbit, por lo pronto, nunca saldrá de beta.

Fuente:
MuyLinux
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#653

Noticias Informáticas / Meta ha vuelto a vulnerar tu privacidad

Junio 11, 2025, 01:03:22 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cada vez que creemos haber tocado fondo en la erosión de nuestra privacidad digital, alguna gran tecnológica se encarga de recordarnos que el pozo es más profundo. Y si hay una compañía que se ha ganado, con méritos persistentes, el protagonismo de estas malas noticias, esa es Meta. Hoy, una nueva investigación revela que la empresa ha vuelto a pasar por encima de la voluntad de los usuarios, empleando un sistema que le permite seguir recolectando datos personales aunque estos hayan rechazado explícitamente ser rastreados.

Un nuevo estudio técnico ha desvelado una operación de rastreo que, durante meses, ha permitido a las aplicaciones de Meta —Facebook e Instagram— interceptar información del navegador de los usuarios Android sin que estos dieran su consentimiento explícito. Lo que parecía imposible se ha convertido en una realidad: asociar tu historial de navegación con tu identidad personal en redes sociales, en tiempo real, y sin que pudieras evitarlo. Todo, gracias a una serie de técnicas tan sofisticadas como preocupantes.

El sistema, bautizado como puente de identificación web-a-aplicación, se basa en una particularidad del sistema operativo Android: la posibilidad de que cualquier aplicación con permiso de red escuche conexiones en localhost (127.0.0.1). Meta ha explotado esta característica para hacer que sus apps nativas actúen como receptores en segundo plano, escuchando en puertos específicos. Cuando el usuario visita una web con el script de Meta Pixel incrustado, este script establece una conexión con las aplicaciones activas del mismo dispositivo, compartiendo con ellas identificadores de seguimiento como la cookie _fbp.

Esta cookie, diseñada en teoría como una solución de análisis web de primera parte, se transforma en manos de Meta en una herramienta para desanonimizar usuarios. Su valor, que viaja habitualmente de forma limitada entre páginas de un mismo dominio, es extraído por el JavaScript del navegador y reenviado tanto al servidor de Meta como a las apps nativas. Y ahí está el quid de la cuestión: esas aplicaciones, ejecutándose en segundo plano, cruzan el identificador con el ID persistente del usuario en Facebook o Instagram. En otras palabras: Meta sabe qué has visto, cuándo lo has visto, y quién eres.

El flujo técnico impresiona por su complejidad: el navegador transmite la cookie mediante WebRTC, a través de técnicas avanzadas como SDP Munging, que permite insertar datos arbitrarios en campos de señalización. Las apps nativas escuchan esos paquetes, y posteriormente reenvían la información a los servidores de Meta mediante llamadas GraphQL. Todo esto ocurre sin interacción alguna por parte del usuario, y se activa con la simple carga de una página web con Meta Pixel.

El impacto es abrumador. Se estima que más de 5,8 millones de sitios web integran este script, y en pruebas realizadas con los 100.000 principales sitios web, más del 75% de los que usan Meta Pixel en EE. UU. y Europa intentaron compartir el ID _fbp sin consentimiento. Esta operación elude el borrado de cookies, el modo incógnito, los controles de permisos de Android y la compartimentación entre procesos. Lo hace todo mal. Y lo hace en silencio.

Las implicaciones de privacidad son tan graves que algunos navegadores ya han reaccionado. Chrome ha implementado bloqueos específicos en su versión 137, Firefox hará lo mismo en su versión 139, y navegadores centrados en la privacidad como Brave o DuckDuckGo estaban ya protegidos por sus propios mecanismos. En paralelo, Meta ha desactivado la funcionalidad desde el 3 de junio de 2025 y asegura estar colaborando con Google para resolver "problemas de política". No se ha ofrecido una explicación pública más allá de eso.

Este proceso no depende de cookies ni de identificadores tradicionales. Es más difícil de bloquear con medidas comunes de privacidad, y ha sido diseñado para operar en segundo plano, sin notificación al usuario. Incluso los sistemas de consentimiento basados en el marco TCF de IAB Europe, ampliamente usados en webs europeas para cumplir con la legislación de privacidad, son directamente ignorados si la web ha optado por integrar esta función de forma predeterminada. El resultado es un rastreo sistemático y encubierto que vulnera tanto la legislación vigente como la confianza del usuario.

No es un escándalo aislado. Desde Cambridge Analytica hasta el intercambio de datos entre WhatsApp y Facebook, el historial de Meta es una cronología de vulneraciones a la privacidad. Pero lo que cambia ahora es la sutileza con la que se ejecuta la invasión, y la dificultad que tiene el usuario para detectarla. Esta última revelación confirma que, lejos de buscar una relación más transparente y respetuosa, la empresa sigue explorando nuevas vías para obtener ventaja comercial a costa de nuestros derechos.

Quizá lo más preocupante de todo es que este tipo de abusos apenas provocan ya sorpresa. Nos hemos acostumbrado a que nuestra privacidad sea moneda de cambio, a que las grandes plataformas exploren los límites de la legalidad con el objetivo de obtener un perfil más detallado de quiénes somos. Pero normalizarlo no lo hace menos grave. Y cada vez que aceptamos esta realidad sin consecuencias, cedemos otro fragmento de nuestra autonomía digital. Uno más. Hasta que no quede nada.

Fuente:
MuyComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#654

Noticias Informáticas / Problemas entre los motherboard EVGA y las GPU modernas

Junio 11, 2025, 12:50:01 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Informes de r/TEAMEVGA y otros foros indican una creciente preocupación por los problemas de arranque con las nuevas GPU RTX 50 en placas base EVGA. El problema radica en pines SMBUS adicionales en varias placas base EVGA, lo que genera un conflicto al combinarse con GPU Nvidia. Sin soporte oficial, los usuarios han recurrido a una ingeniosa solución: tapar con cinta los pines del conector PCIe de la GPU para silenciar cualquier comunicación no deseada. Hasta el momento, esta solución ha funcionado para varios usuarios.

Alegando conflictos con Nvidia, EVGA se retiró del mercado de GPU en 2022 y redujo considerablemente sus otras operaciones comerciales. Una consecuencia directa de esta contracción se ha manifestado en un soporte de software deficiente, que probablemente sea la causa de estos problemas de arranque reportados. Probablemente no se trate de malas intenciones, sino de la drástica reducción de EVGA, lo que significa que probablemente no tengan suficientes recursos para dedicarlos al software, suponiendo que esos equipos sigan existiendo.

Según el usuario de Reddit, su EVGA Z690 Classified incluye pines SMBUS en la ranura PCIe (pines 5 y 6), que generalmente no están cableados en la mayoría de las alternativas de consumo. SMBUS es una pequeña línea de comunicación que utilizan principalmente los componentes para comunicaciones ligeras, como la gestión de energía y la temperatura. Es muy posible que las GPU RTX 50 de Nvidia no esperen o no puedan gestionar una conexión SMBUS, lo que impide el arranque del sistema.

Naturalmente, los usuarios no están contentos. "EVGA es una sombra de lo que fue y obtener actualizaciones de BIOS por problemas de compatibilidad de hardware es un rollo", se lamentó uno. "Básicamente, han dejado a sus clientes abandonados en lo que respecta a sus placas base". Otros acusaron a EVGA de usar a Nvidia como chivo expiatorio y de descuidar a sus clientes.

Incluso si deshabilitar estos pines mediante el firmware fuera una opción, el soporte de EVGA se ha reducido a los foros de Reddit, probablemente reflejando la situación de sus equipos de software. El usuario de Reddit encontró una solución ingeniosa revisando foros antiguos e identificando el origen del problema en los pines 5 y 6 del dedo dorado de la GPU, responsables de gestionar la conexión SMBUS.

La solución fue romper la conexión con una tira de cinta Kapton de 2 mm de ancho sobre los dos pines del conector PCIe, creando una barrera que impedía que las señales SMBUS llegaran a la GPU. Es un proceso un poco complicado, ya que requiere mucha precisión para asegurar que solo se bloqueen esos pines, pero funciona.

Como requisito previo, el usuario sugiere limpiar el dedo dorado con alcohol isopropílico. Es importante destacar que este no es un problema generalizado, ya que otras placas base EVGA, incluyendo algunos modelos Z690 y la mayoría de los Z790, no se han visto afectadas. No hemos recibido ninguna información oficial de EVGA al respecto, al menos por ahora.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#655

Noticias Informáticas / Apple cambia el nombre de sus sistemas operativos

Junio 11, 2025, 12:46:57 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ha anunciado un cambio radical en la forma en que nombra —o, mejor dicho, numera— sus sistemas operativos. En lugar de numerarse por el número de versiones, ahora se nombran según el año. Bueno, el año que viene, para ser exactos.

Así pues, tenemos iOS 26 para los iPhone de este año, y macOS Tahoe 26 para los ordenadores de Apple. iPadOS 26, watchOS 26, tvOS 26 y visionOS 26 completan el conjunto. En los próximos años, los números se acumularán, lo que facilitará determinar si un dispositivo Apple ejecuta la última versión de su software o no.

La nueva numeración es una clara simplificación del sistema anterior de Apple, que incluía iOS 18 al mismo tiempo que watchOS 11 y visionOS 2.

Apple anunció el cambio durante la conferencia inaugural de su Conferencia Mundial de Desarrolladores (WWDC), que se celebra a lo largo de la semana. No es del todo sorprendente; Bloomberg informó a finales de mayo que Apple estaba planeando el cambio.

Fuente:
The Verge
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#656

Noticias Informáticas / Hackean la cuenta en X del presidente de Paraguay

Junio 11, 2025, 12:45:39 AM

En otro ataque de alto perfil a una cuenta X, el presidente de un país sudamericano fue víctima de estafadores que intentaban aprovechar la última tendencia en las reservas de bitcoin (BTC). Sin embargo, los delincuentes parecen haberse quedado sin nada.

En una publicación, ya eliminada, de la cuenta X de Santiago Peña, presidente de Paraguay, los estafadores afirmaron que el país legalizó el BTC, mientras que el presidente también "confirmó" una reserva de bitcoin de 5 millones de dólares y "acceso a bonos para ciudadanos con acceso a criptomonedas".

La publicación también decía que "su inversión de hoy determinará la escala de este lanzamiento", instando a los usuarios a "asegurar su participación en bitcoin ahora" y proporcionando un enlace, ahora indescifrable y una dirección de BTC. Según los datos de la blockchain de bitcoin, la dirección estuvo activa por última vez el 19 de mayo de 2025 y, tras recibir 0,0265 BTC (2900 dólares), su saldo total ahora vale 4 dólares.

Algunos medios de comunicación incluso cayeron en la trampa de las noticias falsas, publicando que Paraguay había declarado BTC de curso legal.

Mientras tanto, hace unas horas, Peña agradeció al Equipo de Respuesta a Incidentes de Ciberseguridad de Paraguay del Ministerio de Tecnologías de la Información y las Comunicaciones y al equipo X por su ayuda para recuperar el control de su cuenta.

"La ciberseguridad es clave, y estos eventos nos demuestran que todos debemos contribuir a la construcción de un ecosistema digital seguro, confiable y resiliente", añadió el presidente.

En cualquier caso, el mensaje falso se volvió más creíble por la reciente tendencia de algunos países, inspirados por el ejemplo de EE. UU., de hablar sobre sus propias reservas de BTC. Desde entonces, varias empresas han lanzado sus propias estrategias de reservas de BTC.

Además, Paraguay también alberga grandes operaciones de minería de bitcoin gracias a su abundante energía barata. Mientras tanto, en Centroamérica, El Salvador legalizó el bitcoin en 2021, pero se vio obligado a reducir sus regulaciones y planes debido a la presión del Fondo Monetario Internacional.

En cualquier caso, Santiago Peña no es el único líder latinoamericano en verse envuelto en problemas debido a las controversias relacionadas con las criptomonedas. A principios de junio, la Oficina Anticorrupción de Argentina declaró que el presidente del país, Javier Milei, no violó las leyes al respaldar el token Libra (LIBRA) en febrero de 2025, lo que ayudó a algunos a ganar cientos de millones mientras que otros perdieron más de 200 millones de dólares.

Según se informó, Milei incluso enfrentó cargos de fraude y un posible impeachment tras este fracaso de las criptomonedas.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#657

Noticias Informáticas / Nueva falla de Secure Boot permite instalar malware BootKit

Junio 10, 2025, 11:58:01 PM

Investigadores de seguridad han revelado una nueva omisión de Arranque Seguro (Secure Boot), identificada como CVE-2025-3052, que puede utilizarse para desactivar la seguridad en PC y servidores e instalar malware bootkit.

La falla afecta a casi todos los sistemas que confían en el certificado "UEFI CA 2011" de Microsoft, es decir, prácticamente todo el hardware compatible con Arranque Seguro.

El investigador de Binarly, Alex Matrosov, descubrió la falla CVE-2025-3052 tras encontrar una utilidad de actualización de BIOS firmada con el certificado UEFI de Microsoft.

La utilidad se diseñó originalmente para tabletas robustas, pero al estar firmada con el certificado UEFI de Microsoft, puede ejecutarse en cualquier sistema con Arranque Seguro habilitado.

Investigaciones posteriores descubrieron que el módulo vulnerable había estado circulando libremente desde al menos finales de 2022 y posteriormente se publicó en VirusTotal en 2024, donde Binarly lo detectó.

Binarly informó sobre la falla al CERT/CC el 26 de febrero de 2025, y hoy se mitigó la CVE-2025-3052 como parte del martes de parches de junio de 2025 de Microsoft.

Sin embargo, durante este proceso, Microsoft determinó que la falla afectaba a otros 13 módulos, que se añadieron a la base de datos de revocación.

Durante el proceso de triaje, Microsoft determinó que el problema no afectaba a un solo módulo, como se creía inicialmente, sino a 14 módulos diferentes, explica Binarly.

Por esta razón, la dbx actualizada, publicada durante el martes de parches del 10 de junio de 2025, contiene 14 nuevos hashes.

Eludir el Arranque Seguro

La falla se debe a una utilidad legítima de actualización del BIOS firmada con el certificado UEFI CA 2011 de Microsoft, de confianza en la mayoría de los sistemas modernos que utilizan firmware UEFI.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esta utilidad lee una variable NVRAM modificable por el usuario (IhisiParamBuffer) sin validarla. Si un atacante tiene permisos de administrador en un sistema operativo, puede modificar esta variable para que se escriban datos arbitrarios en ubicaciones de memoria durante el proceso de arranque UEFI. Esto se realiza antes de que se cargue el sistema operativo, o incluso el kernel.

Aprovechando esta vulnerabilidad, Binarly creó un exploit de prueba de concepto para anular la variable global 'gSecurity2', que se utiliza para aplicar el Arranque Seguro.

"Para nuestra prueba de concepto (PoC), optamos por sobrescribir la variable global gSecurity2", explica el informe de Binarly.

"Esta variable contiene un puntero al Protocolo Arquitectónico Security2, que la función LoadImage utiliza para aplicar el Arranque Seguro. Al establecerla a cero, desactivamos el Arranque Seguro, lo que permite la ejecución de cualquier módulo UEFI sin firmar".

Una vez desactivada, los atacantes pueden instalar malware bootkit que puede ocultarse del sistema operativo y desactivar otras funciones de seguridad.

Para corregir la vulnerabilidad CVE-2025-3052, Microsoft ha añadido los hashes del módulo afectado a la lista de revocación de archivos dbx de Arranque Seguro. Binarly y Microsoft instan a los usuarios a instalar el archivo dbx actualizado inmediatamente a través de las actualizaciones de seguridad de hoy para proteger sus dispositivos.

También hoy, Nikolaj Schlej reveló otra omisión de Arranque Seguro que afecta al firmware compatible con UEFI basado en Insyde H2O. La falla, denominada Hydroph0bia y identificada como CVE-2025-4275, se informó a Insyde y se corrigió 90 días después de su divulgación.

Binarly ha compartido un vídeo que demuestra cómo su PoC puede deshabilitar el Arranque seguro y hacer que se muestre un mensaje antes de que se inicie el sistema operativo.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#658

Noticias Informáticas / Martes de parche de Microsoft: corrige 66 vulnerabilidades de día cero explotada

Junio 10, 2025, 11:55:10 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Martes de Parches de junio de 2025 de Microsoft, que incluye actualizaciones de seguridad para 66 vulnerabilidades, incluyendo una vulnerabilidad explotada activamente y otra divulgada públicamente.

Este Martes de Parches también corrige diez vulnerabilidades "críticas": ocho de ellas son vulnerabilidades de ejecución remota de código y dos son errores de elevación de privilegios.

El número de errores en cada categoría de vulnerabilidad se detalla a continuación:

13 vulnerabilidades de elevación de privilegios

3 vulnerabilidades de omisión de funciones de seguridad

25 vulnerabilidades de ejecución remota de código

17 vulnerabilidades de divulgación de información

6 vulnerabilidades de denegación de servicio

2 vulnerabilidades de suplantación de identidad

Este recuento no incluye las vulnerabilidades de Mariner, Microsoft Edge y Power Automate corregidas a principios de este mes.

Dos vulnerabilidades de día cero

El martes de parches de este mes corrige una vulnerabilidad de día cero explotada activamente y una vulnerabilidad divulgada públicamente. Microsoft clasifica una vulnerabilidad de día cero como divulgada públicamente o explotada activamente mientras no haya una solución oficial disponible.

La vulnerabilidad de día cero explotada activamente en las actualizaciones de hoy es:

CVE-2025-33053 - Vulnerabilidad de ejecución remota de código en Autoría y control de versiones web distribuidos (WEBDAV)

Microsoft corrigió una vulnerabilidad de ejecución remota de código descubierta por Check Point Research.

"Existe una vulnerabilidad de ejecución remota de código en Autoría y control de versiones web distribuidos de Microsoft Windows. La explotación exitosa de esta vulnerabilidad podría permitir que un atacante remoto ejecute código arbitrario en el sistema afectado", afirma un aviso de Check Point Research.

El aviso de Microsoft también indica que el usuario debe hacer clic en una URL de WebDAV especialmente diseñada para explotar la vulnerabilidad.

Un nuevo informe de Check Point Research explica que la vulnerabilidad CVE-2025-33053 fue explotada en ataques de día cero por un grupo APT llamado "Stealth Falcon".

"En marzo de 2025, Check Point Research identificó un intento de ciberataque contra una empresa de defensa en Turquía", explicó Check Point.

"Los actores de amenazas utilizaron una técnica no revelada previamente para ejecutar archivos alojados en un servidor WebDAV que controlaban, manipulando el directorio de trabajo de una herramienta legítima integrada en Windows".

"Tras una divulgación responsable, Microsoft asignó la vulnerabilidad CVE-2025-33053 y lanzó un parche el 10 de junio de 2025, como parte de sus actualizaciones del martes de parches de junio".

Microsoft atribuye el descubrimiento de esta vulnerabilidad a Alexandra Gofman y David Driker (Check Point Research).

La vulnerabilidad de día cero divulgada públicamente es:

CVE-2025-33073 - Vulnerabilidad de elevación de privilegios en el cliente SMB de Windows

Microsoft corrige una falla en SMB de Windows que permite a los atacantes obtener privilegios de sistema en dispositivos vulnerables.

«Un control de acceso inadecuado en SMB de Windows permite a un atacante autorizado elevar privilegios en una red», explica Microsoft.

Para explotar esta vulnerabilidad, un atacante podría ejecutar un script malicioso especialmente diseñado para obligar a la máquina víctima a conectarse de nuevo al sistema de ataque mediante SMB y autenticarse. Esto podría resultar en una elevación de privilegios, explica Microsoft.

Microsoft no ha compartido cómo se divulgó públicamente la falla. Sin embargo, Born City informa que DFN-CERT (Equipo de Respuesta a Emergencias Informáticas de la Red de Investigación Alemana) comenzó a difundir advertencias de RedTeam Pentesting sobre la falla esta semana.

Si bien ya hay una actualización disponible, la falla se puede mitigar al aplicar la firma SMB del lado del servidor mediante la directiva de grupo.

Microsoft atribuye el descubrimiento de esta falla a varios investigadores, entre ellos Keisuke Hirata de CrowdStrike, Synacktiv research de Synacktiv, Stefan Walter de SySS GmbH, RedTeam Pentesting GmbH y James Forshaw de Google Project Zero.

Actualizaciones recientes de otras empresas

Otros proveedores que publicaron actualizaciones o avisos en junio de 2025 incluyen:

Adobe publicó actualizaciones de seguridad para InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader y Substance 3D Painter.

Cisco publicó parches para tres vulnerabilidades con código de explotación público en sus productos Identity Services Engine (ISE) y Customer Collaboration Platform (CCP).

Fortinet publicó actualizaciones de seguridad para una vulnerabilidad de comando del sistema operativo ('OS Command Injection') en los productos FortiManager, FortiAnalyzer y FortiAnalyzer-BigData.

Las actualizaciones de seguridad de Google de junio de 2025 para Android corrigen numerosas vulnerabilidades. Google también corrigió una vulnerabilidad de día cero de Google Chrome que se explotaba activamente. Hewlett Packard Enterprise (HPE) publicó actualizaciones de seguridad para corregir ocho vulnerabilidades que afectan a StoreOnce.

Ivanti publicó actualizaciones de seguridad para corregir tres vulnerabilidades clave de alta gravedad, codificadas de forma rígida, en Workspace Control (IWC).

Qualcomm publicó actualizaciones de seguridad para tres vulnerabilidades de día cero en el controlador de la unidad de procesamiento gráfico (GPU) Adreno, que se explotan en ataques dirigidos.

Roundcube publicó actualizaciones de seguridad para una falla crítica de ejecución remota de código (RCE) con un exploit público que ahora se explota en ataques.

SAP publicó actualizaciones de seguridad para varios productos, incluyendo una comprobación de autorización crítica faltante en SAP NetWeaver Application Server para ABAP.

Actualizaciones de seguridad del martes de parches de junio de 2025

A continuación, se muestra la lista completa de vulnerabilidades resueltas en las actualizaciones del martes de parches de junio de 2025.

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas que afecta, puede consultar el informe completo:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#659

Noticias Informáticas / Código fuente de mac.c Stealer para macOS a la venta

Junio 09, 2025, 11:45:54 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un sofisticado malware dirigido a macOS de Apple, conocido como "mac.c Stealer", se vende presuntamente en la dark web. La venta incluye el código fuente completo del stealer, su panel de comando y control y el compilador, con un precio inicial de 35.000 dólares.

Este desarrollo representa una amenaza significativa para los usuarios de macOS, ya que la disponibilidad del código fuente podría provocar la proliferación de nuevas variantes personalizadas del malware, lo que dificultaría su detección y defensa.

El vendedor afirma que el proyecto es un negocio ya establecido, con una pequeña base de clientes ya existente.

"mac.c Stealer" es un potente malware de robo de información, diseñado para comprometer sistemas con arquitecturas Intel (x64_86) y Apple Silicon (ARM). Sus capacidades son extensas y se centran en la exfiltración de una amplia gama de datos confidenciales de los equipos infectados.

El malware supuestamente tiene la capacidad de recopilar:

Contraseñas, cookies, historial y datos de autocompletado de navegadores basados en Chromium. Credenciales de monederos de criptomonedas de escritorio y extensiones de criptomonedas para navegador.

Información de la cadena de llaves de macOS.

Sesiones de Telegram.

Archivos del escritorio y carpetas de documentos.

Tokens de autenticación de Google Chrome.

La venta de un ladrón de criptomonedas con tantas funciones como paquete listo para usar es alarmante para la comunidad de ciberseguridad. Reduce las barreras de entrada para que actores maliciosos menos cualificados lancen ciberataques efectivos contra usuarios de macOS.

El incidente subraya la creciente tendencia del malware como servicio (MaaS) y destaca la necesidad continua de medidas de seguridad robustas, incluso en plataformas tradicionalmente consideradas más seguras.

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#660

Noticias Informáticas / Google corrige bug que podía revelar los números de teléfono privados

Junio 09, 2025, 11:43:38 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un investigador de seguridad descubrió un error que podría explotarse para revelar el número de teléfono de recuperación privado de casi cualquier cuenta de Google sin alertar a su propietario, lo que podría exponer a los usuarios a riesgos de privacidad y seguridad.

Google confirmó a TechCrunch que corrigió el error después de que el investigador alertara a la compañía en abril.

El investigador independiente, conocido como brutecat y quien publicó sus hallazgos en un blog, declaró a TechCrunch que podían obtener el número de teléfono de recuperación de una cuenta de Google explotando un error en la función de recuperación de cuentas de la compañía:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El exploit se basaba en una "cadena de ataque" de varios procesos individuales que trabajaban en conjunto, incluyendo la filtración del nombre completo para mostrar de una cuenta objetivo y la elusión de un mecanismo de protección antibots que Google implementó para evitar el envío de spam malicioso de solicitudes de restablecimiento de contraseña. Superar el límite de velocidad permitió al investigador recorrer todas las posibles permutaciones del número de teléfono de una cuenta de Google en poco tiempo y obtener los dígitos correctos.

Al automatizar la cadena de ataque con un script, el investigador afirmó que era posible acceder por fuerza bruta al número de teléfono de recuperación del titular de una cuenta de Google en 20 minutos o menos, dependiendo de la longitud del número.

Para probarlo, TechCrunch creó una nueva cuenta de Google con un número de teléfono inédito y proporcionó a brutecat la dirección de correo electrónico de nuestra nueva cuenta.

Poco después, brutecat respondió con el número de teléfono que habíamos configurado.

"¡Bingo! ", dijo el investigador.

Revelar el número de teléfono de recuperación privado puede exponer incluso las cuentas de Google anónimas a ataques dirigidos, como intentos de robo de identidad. Identificar un número de teléfono privado asociado a la cuenta de Google de alguien podría facilitar que hackers expertos tomaran el control de ese número mediante un ataque de intercambio de SIM, por ejemplo. Con el control de ese número, el atacante puede restablecer la contraseña de cualquier cuenta asociada generando códigos de restablecimiento de contraseña que se envían a ese teléfono.

Dado el riesgo potencial para el público en general, TechCrunch acordó reservar esta noticia hasta que se pudiera solucionar el error.

"Este problema ya se ha solucionado. Siempre hemos enfatizado la importancia de colaborar con la comunidad de investigadores de seguridad a través de nuestro programa de recompensas por vulnerabilidades y queremos agradecer al investigador por informar sobre este problema", declaró a TechCrunch la portavoz de Google, Kimberly Samra. "Este tipo de informes de investigadores son una de las muchas maneras en que podemos encontrar y solucionar rápidamente problemas para la seguridad de nuestros usuarios".

Samra afirmó que la compañía no ha encontrado "ningún vínculo directo confirmado con exploits hasta el momento".

Brutecat afirmó que Google pagó 5000 dólares en concepto de recompensa por errores por su hallazgo

Fuente:

brutecat Blog
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

TechCrunch
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Páginas 1 ... 31 32 33 34 35 ... 249