Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 40 41 42 43 44 ... 249
#821
Noticias Informáticas / Datos de usuarios de GitHub presuntamente filtrados
Marzo 28, 2025, 02:15:26 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas presuntamente filtró una base de datos con información de usuarios de GitHub en BreachForums, afirmando haber obtenido miles de nombres de usuario y correos electrónicos.

Si bien la autenticidad de los datos sigue sin verificarse, la publicación sugiere que la información incluye detalles sobre cuentas de GitHub de alto valor, incluyendo nombres de usuario OG y colaboradores principales.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según la publicación, la supuesta filtración consta de dos archivos: "OG.txt", que supuestamente contiene 3765 líneas de nombres de usuario y correos electrónicos pertenecientes a cuentas con un alto potencial de reventa, y "Results.txt", que supuestamente incluye 826 líneas de datos sobre usuarios de GitHub con contribuciones destacadas y más de 1000 seguidores.

El actor de amenazas afirma que ambos archivos están disponibles para su compra.

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#822
Noticias Informáticas / Europcar víctima de una filtración de datos: 37 GB de datos expuestos
Marzo 28, 2025, 02:14:02 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un cibercriminal se atribuyó la responsabilidad de vulnerar los sistemas de Europcar, una importante empresa de alquiler de vehículos, y de exfiltrar una cantidad significativa de datos confidenciales. Las acusaciones se publicaron en BreachForums, donde el autor de la publicación supuestamente detalló el alcance de la presunta vulneración.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según la publicación, el supuesto ciberataque resultó en el robo de más de 37 GB de datos, incluyendo más de 645 000 archivos y 183 000 carpetas. El cibercriminal afirmó además haber accedido a los repositorios GitLab de Europcar, que contienen componentes de software críticos como aplicaciones de Android e iOS para Europcar y GoldCar, detalles de la infraestructura en la nube, aplicaciones internas y copias de seguridad de SQL que, según se informa, incluyen datos personales.

El autor de las acusaciones también afirmó haber obtenido más de 269 archivos de entorno (.ENV) y copias de seguridad de sitios web.

En la publicación, advirtió a Europcar que, si la empresa no se ponía en contacto con ellos, comenzarían a publicar los supuestos datos robados en el foro. Además, anunciaron que se distribuirían muestras selectivamente a los compradores interesados antes del lanzamiento completo.

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#823
Noticias Informáticas / Hackeo en Uruguay expone miles de datos de solicitantes de Visa
Marzo 27, 2025, 10:36:22 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tres ciberataques han puesto en jaque a la seguridad informática de Uruguay en los últimos días. Este lunes la embestida fue contra la Dirección de Migraciones del Ministerio del Interior. Según datos de la empresa Birmingham Cyber Alarms, el ataque dejó expuestos 14.877 formularios de solicitudes de visa, la mayoría de cubanos y paquistaníes.

Hasta el momento el Ministerio del Interior no ha ofrecido explicaciones sobre si el ciberataque afecta los procesos de los solicitantes.

La empresa de ciberseguridad dijo que los responsables filtraron la información y no solicitaron un rescate por los datos, sino que estos se publicaron de forma gratuita.

Entre los afectados también hay personas de Afganistán, Angola, Argelia, Cuba, China, Kenia, Camerún, Senegal y Palestina.

En los documentos aparecen formularios recientes y algunos de hace más de 10 años. Además de información de algunos menores. En el documento se expone "el nombre completo y apellido, sexo, fecha de nacimiento, nacionalidad, estado civil, y detalles del pasaporte, incluyendo su número, tipo, país de emisión y fecha de vencimiento", reveló el diario El Observador. Además, del domicilio exacto del solicitante en su país de origen, el cargo laboral, el lugar de trabajo, y su formación académica.

La filtración, además publicó las referencias personales que los solicitantes pusieron de Uruguay, es decir, el nombre, la dirección, el número de teléfono. Quedaron al descubierto también las veces que estos solicitantes visitaron el país sudamericano, con las fechas de arribo y de salida, así como el motivo de la estadía.

Los documentos revelan también si la persona tiene visas válidas para otros países y se incluye una sección con la opinión consular, donde el personal diplomático explica el contexto del viaje. El documento finaliza con un campo en el que se indica si la opinión del consulado es favorable o desfavorable.

El ciberataque se suma a los hackeos que sufrieron la semana pasada el Ministerio de Desarrollo Social y la Dirección Nacional de Aviación Civil e Infraestructura Aeronáutica. El Gobierno de Uruguay investiga este último incidente de seguridad informática que dejó expuesta información personal del presidente, Yamandú Orsi, e incluyó denuncias de "corrupción política" y amenazas a dirigentes y funcionarios, presuntamente originados en Argentina.

Hackers publicaron el número de Teléfono de Yamandú Orsi en un sitio oficial
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


La Secretaría de Comunicación Institucional de Presidencia aseguró que "no hay datos" en su poder "que estén comprometidos".

El periodista local Eduardo Preve afirmó en el foro de internet BreachForums que "el ataque se produjo desde Argentina y su autor fue La Pampa Leaks, en colaboración con BogotaLeaks & Uruguayo1337".

Fuente:
Infobae
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

msn News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#824
Noticias Informáticas / El desarrollo del SO Android ahora se realizará completamente a puerta cerrada
Marzo 27, 2025, 10:33:36 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Independientemente del fabricante, todos los teléfonos Android tienen algo en común: su base de software.

Los fabricantes pueden personalizar en gran medida la apariencia del sistema operativo Android que incluyen en sus dispositivos, pero en esencia, la funcionalidad principal del sistema proviene de la misma base de código abierto: el Proyecto de Código Abierto de Android.

Tras más de 16 años, Google está implementando importantes cambios en el desarrollo de la versión de código abierto de Android para optimizar su desarrollo.

El Proyecto de Código Abierto de Android, o AOSP, es un sistema operativo que Google publica bajo la Licencia Apache 2.0. Apache 2.0 es una licencia de software que permite a cualquier persona usar, distribuir o modificar sistemas operativos basados en AOSP sin necesidad de pagar ninguna tarifa de licencia ni publicar el código fuente. Esta estructura de licencias permisiva ha facilitado la adopción generalizada de AOSP, lo que ha llevado a la creación de bifurcaciones personalizadas como One UI de Samsung.

Al igual que muchos otros proyectos de código abierto, AOSP acepta contribuciones de código de desarrolladores externos. Sin embargo, Google lleva a cabo la mayor parte del desarrollo de AOSP, ya que considera el proyecto Android como una operación de desarrollo de producto a gran escala para garantizar la vitalidad de Android como plataforma y como proyecto de código abierto. Por lo tanto, Google tiene la última palabra sobre qué código puede integrarse en AOSP y cuándo se publica el código fuente de la nueva versión. La empresa desarrolla componentes AOSP de forma privada para permitir que "los desarrolladores y fabricantes de equipos originales utilicen una única versión [de Android] sin tener que hacer un seguimiento del trabajo futuro no terminado solo para mantenerse al día".

Para equilibrar la naturaleza abierta de AOSP con su estrategia de desarrollo de productos, Google mantiene dos ramas principales de Android: la rama pública de AOSP y su rama de desarrollo interno. La rama de AOSP es accesible para todos, mientras que la rama interna de Google está restringida a empresas con un acuerdo de licencia de los Servicios Móviles de Google (GMS).

Si bien algunos componentes del sistema operativo, como la pila Bluetooth de Android, se desarrollan públicamente en la rama AOSP, la mayoría, incluido el framework principal del sistema operativo Android, se desarrollan de forma privada dentro de la rama interna de Google. Google confirmó que pronto trasladará todo el desarrollo del sistema operativo Android a su rama interna, un cambio que busca optimizar su proceso de desarrollo.
Para simplificar el desarrollo del sistema operativo Android, Google ya no tendrá dos ramas "principales".

Dado que Google desarrolla gran parte de Android en su rama interna, la rama pública de AOSP suele estar muy por detrás de la disponible de forma privada. Esta diferencia es evidente al comparar la disponibilidad de funciones y API entre una compilación limpia de AOSP y la última versión beta de Android 16 de Google, compilada desde su rama interna. Si bien el cambio al desarrollo basado en trunk redujo esta discrepancia, persiste y sigue planteando desafíos para Google.

Esta discrepancia obliga a Google a dedicar tiempo y esfuerzo a fusionar parches entre la rama pública de AOSP y su rama interna. Debido a las diferencias entre las ramas, a menudo surgen conflictos de fusión. Tomemos como ejemplo este parche que habilita la función de lupa de pantalla para la barra de navegación y el teclado. Este parche introduce una nueva configuración de accesibilidad, que se coloca al final de la lista de opciones de accesibilidad. Esto crea un conflicto de fusión, ya que la longitud de la lista varía entre AOSP y la rama interna de Google. Si bien la solución para este problema específico es sencilla, muchos otros parches de AOSP provocan conflictos de fusión similares al integrarse en la rama interna de Google.



Asimismo, el desarrollo de la nueva API de área de almacenamiento desbloqueada de Android requirió que un ingeniero de Google seleccionara un parche de la rama interna para AOSP a fin de resolver un conflicto de fusión. Esto se debe a que, si bien la API se desarrolló en AOSP, el archivo que contiene las nuevas marcas de compilación de Android se desarrolló internamente. Por lo tanto, fue necesario enviar internamente un parche que actualizara los archivos de marcas de compilación y luego aplicarlo a AOSP.



Es probable que existan innumerables ejemplos de conflictos de fusión como este, por lo que Google está abandonando su actual estrategia de desarrollo dual para Android y, en su lugar, trasladando todo el desarrollo a nivel interno.

¿Qué significa esto?

Google confirmó su compromiso con la publicación del código fuente de Android, por lo que este cambio no significa que Android se esté convirtiendo en un sistema de código cerrado. La compañía seguirá publicando el código fuente de las nuevas versiones de Android, por lo que cuando Google lance Android 16 a finales de este año, tendremos el código fuente de la actualización. Además, Google seguirá publicando el código fuente de la bifurcación del kernel Linux de Android, ya que cuenta con la licencia GPLv2, que exige la publicación del código fuente y es independiente de AOSP.

Lo que cambiará es la frecuencia con la que se publica el código fuente de componentes específicos de Android. Algunos componentes, como el sistema de compilación, el motor de actualización, la pila Bluetooth, el marco de virtualización y la configuración de SELinux, actualmente son prioritarios para AOSP, lo que significa que se desarrollan íntegramente en público. La mayoría de los componentes de Android, como el marco central del sistema operativo, se desarrollan principalmente de manera interna, aunque algunas características, como la API del área de almacenamiento desbloqueada únicamente, todavía se desarrollan dentro de AOSP.

A partir de la próxima semana, todo el desarrollo de Android se realizará dentro de las ramas internas de Google, y el código fuente de los cambios solo se publicará cuando Google publique una nueva rama que los contenga. Como esta ya es la práctica habitual para la mayoría de los cambios en los componentes de Android, Google simplemente está consolidando sus esfuerzos de desarrollo en una sola rama.

Este cambio tendrá un impacto mínimo para los usuarios habituales. Si bien agiliza el desarrollo del sistema operativo Android para Google, lo que podría afectar la velocidad del desarrollo de nuevas versiones y la reducción de errores, el efecto general probablemente será imperceptible. Por lo tanto, no espere que este cambio acelere las actualizaciones del sistema operativo para su teléfono.

Este cambio también tendrá un impacto mínimo para la mayoría de los desarrolladores. Los desarrolladores de aplicaciones no se verán afectados, ya que se trata únicamente del desarrollo de la plataforma. Los desarrolladores de plataforma, incluidos aquellos que crean ROM personalizadas, también verán pocos cambios, ya que normalmente basan su trabajo en etiquetas específicas o ramas de lanzamiento, no en la rama principal de AOSP. De igual manera, las empresas que lanzan productos bifurcados de AOSP rara vez utilizan la rama principal de AOSP debido a su inestabilidad inherente.



Los desarrolladores externos que disfrutan leyendo o contribuyendo a AOSP probablemente se sientan consternados por esta noticia, ya que reduce su conocimiento sobre los esfuerzos de desarrollo de Google. Sin una licencia GMS, contribuir al desarrollo del sistema operativo Android se vuelve más difícil, ya que el código disponible se retrasará constantemente semanas o meses. Esta noticia también dificultará que algunos desarrolladores se mantengan al día con los nuevos cambios de la plataforma Android, ya que ya no podrán seguir los cambios en AOSP.

Para los periodistas, este cambio implica menos acceso a información potencialmente reveladora, ya que los parches de AOSP suelen proporcionar información sobre los planes de desarrollo de Google. Por ejemplo, un cambio de código que se detecte en AOSP reveló la función de cámara web del Pixel meses antes de su lanzamiento oficial. De igual manera, se han utilizado pistas en AOSP para deducir la fecha de lanzamiento anterior de Android 16, mientras que un cambio de código, ahora eliminado, que se detectó la semana pasada brindó la primera mención pública del próximo Google Pixel 10. Si bien es probable que este tipo de filtraciones no haya desencadenado este cambio, sin duda afectará la capacidad para informar sobre las próximas funciones y dispositivos Android.

En definitiva, creo que este cambio tiene sentido, aunque la imagen no sea muy buena para Google. Google tenía tres opciones: mantener el statu quo, trasladar todo el desarrollo a nivel interno o hacerlo público. Considerando la justificación declarada por Google para el desarrollo privado de Android y su reciente transición al desarrollo basado en trunk, es comprensible su decisión de consolidar el trabajo en una única rama interna, optimizando tanto el desarrollo del sistema operativo como la publicación del código fuente.

Google compartirá más detalles sobre este cambio cuando lo anuncie a finales de esta semana. Si le interesa saber más:
 
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Fuente:
AndroidAuthority
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#825
Noticias Informáticas / Hackeo de compañía de electricidad y gas de España Endesa
Marzo 26, 2025, 04:11:18 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A lo largo de las últimas horas ha salido a la luz una supuesta filtración de datos en Endesa. La empresa que opera en los sectores eléctrico y gasístico en España, y que habría sido víctima de un ataque cuyo resultado sería la filtración masiva de datos de clientes. La situación ha salido a la luz gracias a una publicación hecha en la red social X.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El autor del ataque conocido como "AgencyInt" es el que está afirmando haber realizado un ataque exitoso contra Endesa. El fruto de este ataque serían los datos de casi 40 millones de clientes tanto de gas como de electricidad.

En concreto, los datos filtrados serían de 30,6 millones de clientes de electricidad y 8,6 millones de clientes de gas. En total harían una suma de 39,2 millones de clientes afectados por la filtración que lleva horas siendo especulada en la red social de Elon Musk.

Entre los datos que se habrían visto afectados se encontrarían tanto nombres y apellidos como números de identificación, números de teléfono, direcciones físicas, correos electrónicos, números de cuentas bancarias, detalles de consumos, deudas y CUPS o Código Unificado de Punto de Suministro.

La peligrosidad de esta supuesta filtración es alta. Desde Endesa indican que "no tienen constancia de ninguna filtración" en el periodo en el que se ha realizado la llamada y se ha hecho eco de esta información.

Pese a que el agente conocido como "AgencyInt" se ha encargado de dejar claro que cuenta con toda esta información de clientes de Endesa, la empresa ha indicado que ha realizado todas las comprobaciones de cara a averiguar si se encontraban bajo un ataque en alguno de sus sistemas y en todo momento ha indicado que "no han detectado nada".

La situación es compleja y más cuando se cumple un año de la anterior filtración que sufrió Endesa.

Fuente:
Andro4all
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#826
Noticias Informáticas / Se desmantela app de mensajería Ghost utilizada por delincuentes
Marzo 26, 2025, 04:09:06 PM


Agentes irlandeses y españoles arrestaron a 12 sospechosos, seis en Irlanda y seis en España, presuntamente involucrados en el tráfico de drogas a gran escala, principalmente mediante el transporte de drogas ocultas en vehículos desde España a Irlanda.

Las actividades de la red se descubrieron cuando las fuerzas del orden desmantelaron la plataforma de comunicaciones cifradas Ghost el año pasado.

Según Europol, que apoyó la investigación, los delincuentes utilizaban sofisticadas comunicaciones cifradas y fragmentaban sus intercambios en múltiples plataformas.

«La sofisticación de sus comunicaciones contrastaba marcadamente con la simplicidad de su modus operandi: consistía en contrabandear cocaína y marihuana por todo el continente en vehículos equipados con compartimentos secretos a medida y matrículas clonadas», declaró Europol en un comunicado de prensa.

Ghost, un canal de mensajería encriptada que permitió a las fuerzas del orden descubrir a los delincuentes, fue desmantelado el pasado septiembre.

La plataforma era la preferida de los delincuentes, ya que les permitía evitar ser detectados y permitía enviar un mensaje seguido de un código específico que provocaba la autodestrucción de todos los mensajes en el teléfono objetivo.

Ghost facilitaba la delincuencia grave y organizada, incluyendo la venta de drogas a gran escala, el blanqueo de capitales y la violencia extrema.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#827
Noticias Informáticas / Una falla de seguridad de FacePass expone los datos de identificación
Marzo 26, 2025, 04:06:53 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

FacePass, una aplicación de identificación centrada en Brasil, ha filtrado más de 1,6 millones de archivos, exponiendo a los usuarios y las credenciales del sistema de la empresa.

El equipo de investigación de Cybernews descubrió recientemente un bucket de AWS S3 expuesto perteneciente a FacePass, que filtraba archivos confidenciales de clientes y empresas.

FacePass se usa ampliamente en Brasil para comprar entradas y asistir a eventos en el quinto país más grande del mundo. La aplicación utiliza tecnología de reconocimiento facial, que requiere que los usuarios carguen selfies y documentos de identidad nacionales, y la aplicación confirma si hay coincidencias.

"Esta gran cantidad de datos expuestos expone a los usuarios a un riesgo significativo de robo de identidad, fraude financiero y ataques de phishing dirigidos. Los ciberdelincuentes podrían usar los documentos de identidad nacionales y las selfies para eludir los sistemas de verificación biométrica, suplantar la identidad de las víctimas u obtener acceso no autorizado a cuentas financieras", afirmaron nuestros investigadores.

La empresa ha solucionado el problema tras ser contactada por nuestro equipo.

¿Qué datos de FacePass se filtraron?

Según el equipo, la instancia expuesta contenía numerosos registros sensibles, como:

Documentos de identidad brasileños

Selfies para verificación de identidad

ID de clave de acceso de AWS y otros secretos

Nombres completos

Números de CPF (registro de contribuyentes brasileño)

Números de teléfono

Los investigadores creen que hay datos más que suficientes para que los atacantes cometan robo de identidad. Esto no es sorprendente, ya que la mayor parte de la información que recopila FacePass está destinada precisamente a la verificación de identidad.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


"Los ciberdelincuentes pueden combinar datos de identificación nacional con selfis para eludir los sistemas de verificación biométrica, lo que permite el fraude financiero o el acceso no autorizado a cuentas sensibles", afirmaron los investigadores.

Además, los atacantes podrían preparar ataques de phishing convincentes, aprovechando los datos personales filtrados. Por ejemplo, los actores maliciosos podrían crear correos electrónicos o mensajes convincentes diseñados para robar información sensible adicional o dinero de los usuarios.

"Los ciberdelincuentes pueden combinar datos de identificación nacional con selfis para eludir los sistemas de verificación biométrica, lo que permite el fraude financiero o el acceso no autorizado a cuentas sensibles".

Otro riesgo importante derivado de la filtración de datos afecta a la propia empresa. Dado que la base de datos expuesta contenía credenciales de AWS, los atacantes podrían acceder sin autorización a los sistemas de la empresa, lo que permitiría a los ciberdelincuentes extraer, modificar y eliminar datos confidenciales.

Como algunos nombres, números SPF y números de teléfono estaban almacenados en un solo archivo, los atacantes podrían reutilizarlo para campañas de fraude o incluso venderlo en la dark web.

«Los datos personales de los archivos de Excel filtrados permiten orquestar esquemas de phishing personalizados o estafas telefónicas, donde los atacantes pueden suplantar la identidad de FacePass u otras entidades de confianza para extraer más información confidencial o pagos», declaró el equipo.

Para evitar problemas similares en el futuro, nuestros investigadores recomiendan a FacePass:

Modificar los controles de acceso para restringir el acceso público y proteger el bucket. Actualizar los permisos para garantizar que solo los usuarios o servicios autorizados tengan el acceso necesario.

Supervisar retrospectivamente los registros de acceso para evaluar si el bucket ha sido accedido por actores no autorizados.

Habilitar el cifrado del lado del servidor para proteger los datos en reposo. Utilice el Servicio de Administración de Claves (KMS) de AWS para gestionar las claves de cifrado de forma segura.

Considere implementar las mejores prácticas de seguridad, como auditorías periódicas, comprobaciones de seguridad automatizadas y formación de empleados.

Fuga descubierta: 30 de enero de 2025

Divulgación inicial: 30 de enero de 2025

Contacto con el CERT: 30 de enero de 2025

Fuga cerrada: 19 de febrero de 2025

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#828
Noticias Informáticas / CrushFTP advierte corregir de inmediato la falla de acceso no autenticado
Marzo 26, 2025, 12:15:05 AM


CrushFTP advirtió a sus clientes sobre una vulnerabilidad de acceso no autenticado al puerto HTTP(S) y les instó a parchear sus servidores inmediatamente.

Como la compañía también explicó en un correo electrónico enviado a sus clientes el viernes, la falla de seguridad permite a los atacantes obtener acceso no autenticado a servidores sin parchear si estos se exponen en internet a través de HTTP(S).

"Por favor, tomen medidas inmediatas para aplicar el parche lo antes posible. Se ha solucionado una vulnerabilidad hoy (21 de marzo de 2025). Todas las versiones de CrushFTP v11 se vieron afectadas. (No se ven afectadas las versiones anteriores). Próximamente se generará una CVE", advirtió la compañía.

"En resumen, esta vulnerabilidad implica que un puerto HTTP(S) expuesto podría provocar un acceso no autenticado. La vulnerabilidad se mitiga si se cuenta con la función DMZ de CrushFTP".

Si bien el correo electrónico indica que esta vulnerabilidad solo afecta a las versiones v11 de CrushFTP, un aviso emitido el mismo día indica que tanto la v10 como la v11 de CrushFTP se ven afectadas, como indicó inicialmente la empresa de ciberseguridad Rapid7.

Como solución alternativa, quienes no puedan actualizar inmediatamente CrushFTP v11.3.1+ (que corrige la falla) pueden habilitar la opción de red perimetral DMZ (zona desmilitarizada) para proteger su instancia de CrushFTP hasta que se implementen las actualizaciones de seguridad.

Según Shodan, más de 3400 instancias de CrushFTP tienen su interfaz web expuesta a ataques en línea, aunque no se pudo determinar cuántas ya han sido parcheadas.

Instancias de CrushFTP expuestas a Internet (Shodan)


En abril de 2024, CrushFTP también publicó actualizaciones de seguridad para corregir una vulnerabilidad de día cero (CVE-2024-4040), explotada activamente, que permitía a atacantes no autenticados evadir el sistema de archivos virtual (VFS) del usuario y descargar archivos del sistema.

En ese momento, la empresa de ciberseguridad CrowdStrike encontró evidencia que apuntaba a una campaña de recopilación de inteligencia, probablemente con motivaciones políticas, en la que los atacantes atacaban servidores de CrushFTP en varias organizaciones estadounidenses.

CISA añadió la CVE-2024-4040 a su catálogo de Vulnerabilidades Explotadas Conocidas, ordenando a las agencias federales estadounidenses que protegieran los servidores vulnerables en sus redes en el plazo de una semana.

En noviembre de 2023, también se advirtió a los clientes de CrushFTP que corrigieran una vulnerabilidad crítica de ejecución remota de código (CVE-2023-43177) en la suite empresarial de la compañía, después de que los investigadores de seguridad de Converge que informaron sobre la falla publicaran un exploit de prueba de concepto tres meses después de que se corrigiera. Los productos de transferencia de archivos como CrushFTP son objetivos atractivos para las bandas de ransomware, en concreto Clop, que se vinculó con ataques de robo de datos dirigidos a vulnerabilidades de día cero en MOVEit Transfer, GoAnywhere MFT, Accelion FTA y Cleo.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#829
Noticias Informáticas / Interrupción del servicio Cloudflare R2 por un error de rotación de contraseña
Marzo 26, 2025, 12:12:36 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cloudflare anunció que su almacenamiento de objetos R2 y los servicios dependientes sufrieron una interrupción que duró 1 hora y 7 minutos, lo que provocó fallos del 100 % de escritura y del 35 % de lectura a nivel global.

Cloudflare R2 es un servicio de almacenamiento de objetos escalable y compatible con S3 con recuperación de datos gratuita, replicación multirregional y una estrecha integración con Cloudflare.

El incidente, que duró entre las 21:38 UTC y las 22:45 UTC, se debió, según se informa, a una rotación de credenciales que provocó que R2 Gateway (API frontend) perdiera el acceso de autenticación al almacenamiento backend.

En concreto, se implementaron nuevas credenciales por error en un entorno de desarrollo en lugar de en el de producción, y al eliminar las credenciales antiguas, el servicio de producción se quedó sin credenciales válidas.

El problema se originó en la omisión de un indicador en la línea de comandos, '--env production', que provoca que las nuevas credenciales se implementen en el Worker de R2 Gateway de producción en lugar del Worker de producción.

Diagrama de autenticación de R2 Gateway Worker


Debido a la naturaleza del problema y al funcionamiento de los servicios de Cloudflare, la configuración incorrecta no se detectó de inmediato, lo que provocó más retrasos en su solución.

"La disminución de las métricas de disponibilidad de R2 fue gradual y no se observó de inmediato debido a un retraso en la propagación de la eliminación de credenciales anterior a la infraestructura de almacenamiento", explicó Cloudflare en su informe de incidentes.

"Esto supuso un retraso en nuestro descubrimiento inicial del problema. En lugar de basarnos en las métricas de disponibilidad tras actualizar el antiguo conjunto de credenciales, deberíamos haber validado explícitamente qué token utilizaba el servicio R2 Gateway para autenticarse con la infraestructura de almacenamiento de R2".

Aunque el incidente no provocó la pérdida ni la corrupción de datos de los clientes, sí causó una degradación parcial o total del servicio en:

R2: 100 % de errores de escritura y 35 % de errores de lectura (los objetos en caché permanecieron accesibles).

Reserva de caché: Mayor tráfico de origen debido a lecturas fallidas.

Imágenes y transmisión: Todas las cargas fallaron, la entrega de imágenes se redujo al 25 % y la de transmisión al 94 %.

Seguridad del correo electrónico, Vectorizar, Entrega de registros, Facturación, Auditor de transparencia de claves: Diversos niveles de degradación del servicio.

Para evitar que incidentes similares se repitan en el futuro, Cloudflare ha mejorado el registro y la verificación de credenciales y ahora exige el uso de herramientas de implementación automatizadas para evitar errores humanos.

La compañía también está actualizando los procedimientos operativos estándar (POE) para exigir una doble validación para acciones de alto impacto, como la rotación de credenciales, y planea mejorar las comprobaciones de estado para una detección más rápida de la causa raíz.

El servicio R2 de Cloudflare sufrió otra interrupción de una hora en febrero, también causada por un error humano.

Un operador, en respuesta a un informe de abuso sobre una URL de phishing en el servicio, desactivó por completo el servicio R2 Gateway en lugar de bloquear el endpoint específico.

La falta de medidas de seguridad y comprobaciones de validación para acciones de alto impacto provocó la interrupción, lo que llevó a Cloudflare a planificar e implementar medidas adicionales para mejorar el aprovisionamiento de cuentas, un control de acceso más estricto y procesos de aprobación bipartita para acciones de alto riesgo.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#830
Noticias Informáticas / Broadcom advierte sobre omisión de autenticación en VMware Windows Tools
Marzo 26, 2025, 12:10:46 AM


Broadcom lanzó hoy actualizaciones de seguridad para corregir una vulnerabilidad de omisión de autenticación de alta gravedad en VMware Tools para Windows.

VMware Tools es un conjunto de controladores y utilidades diseñado para mejorar el rendimiento, los gráficos y la integración general del sistema para sistemas operativos invitados que se ejecutan en máquinas virtuales VMware.

La vulnerabilidad (CVE-2025-22230) se debe a una vulnerabilidad de control de acceso incorrecta y fue reportada por Sergey Bliznyuk de Positive Technologies (una empresa rusa de ciberseguridad sancionada y acusada de traficar con herramientas de hacking).

Atacantes locales con privilegios bajos pueden explotarla en ataques de baja complejidad que no requieren la interacción del usuario para obtener privilegios altos en máquinas virtuales vulnerables.

"Un actor malicioso con privilegios no administrativos en una máquina virtual invitada de Windows podría obtener la capacidad de realizar ciertas operaciones con privilegios altos dentro de esa máquina virtual", explica VMware en un aviso de seguridad publicado el martes.

A principios de este mes, Broadcom también parcheó tres vulnerabilidades de día cero de VMware (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226), etiquetadas como explotadas en ataques e informadas por el Centro de Inteligencia de Amenazas de Microsoft.

Como explicó la compañía en su momento, los atacantes con privilegios de administrador o acceso root pueden encadenar estas vulnerabilidades para escapar del entorno aislado de la máquina virtual.

Días después del lanzamiento de los parches, la plataforma de monitoreo de amenazas Shadowserver detectó más de 37 000 instancias de VMware ESXi expuestas a internet, vulnerables a los ataques CVE-2025-22224.

Las bandas de ransomware y los hackers patrocinados por estados suelen atacar las vulnerabilidades de VMware, ya que los productos VMware se utilizan ampliamente en operaciones empresariales para almacenar o transferir datos corporativos confidenciales.

Por ejemplo, en noviembre, Broadcom advirtió que atacantes estaban explotando dos vulnerabilidades de VMware vCenter Server: una escalada de privilegios a root (CVE-2024-38813) y una falla crítica de ejecución remota de código (CVE-2024-38812) identificada durante el concurso de hacking Matrix Cup 2024 de China.

En enero de 2024, Broadcom también reveló que hackers estatales chinos habían utilizado una vulnerabilidad crítica de día cero de vCenter Server (CVE-2023-34048) desde finales de 2021 para implementar puertas traseras de VirtualPita y VirtualPie en los sistemas ESXi afectados.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#831
Noticias Informáticas / Un nuevo día cero de Windows filtra hashes NTLM y recibe un parche no oficial
Marzo 26, 2025, 12:07:28 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hay parches no oficiales gratuitos disponibles para una nueva vulnerabilidad de día cero en Windows que permite a atacantes remotos robar credenciales NTLM engañando a sus objetivos para que vean archivos maliciosos en el Explorador de Windows.

NTLM se ha explotado ampliamente en ataques de retransmisión NTLM (donde los actores de amenazas obligan a los dispositivos de red vulnerables a autenticarse en servidores controlados por el atacante) y ataques de paso de hash (donde explotan vulnerabilidades para robar hashes NTLM, que son contraseñas con hash).

Los atacantes utilizan el hash robado para autenticarse como el usuario comprometido, obteniendo acceso a datos confidenciales y propagándose lateralmente por la red. El año pasado, Microsoft anunció sus planes de retirar el protocolo de autenticación NTLM en futuras versiones de Windows 11.

Los investigadores de ACROS Security descubrieron la nueva vulnerabilidad de divulgación de hash NTLM en archivos SCF mientras desarrollaban parches para otro problema de divulgación de hash NTLM. Esta nueva vulnerabilidad de día cero no tiene un CVE-ID asignado y afecta a todas las versiones de Windows, desde Windows 7 hasta las últimas versiones de Windows 11 y desde Server 2008 R2 hasta Server 2025.

"Esta vulnerabilidad permite a un atacante obtener las credenciales NTLM del usuario al hacer que este acceda a un archivo malicioso en el Explorador de Windows; por ejemplo, al abrir una carpeta compartida o un disco USB con dicho archivo, o al acceder a la carpeta de Descargas donde dicho archivo se descargó previamente automáticamente de la página web del atacante", declaró el martes Mitja Kolsek, director ejecutivo de ACROS Security.

"Cabe destacar que, si bien este tipo de vulnerabilidades no son críticas y su explotabilidad depende de varios factores (por ejemplo, que el atacante ya esté en la red de la víctima o tenga un objetivo externo, como un servidor Exchange público, al que retransmitir las credenciales robadas), se ha descubierto que se utilizan en ataques reales".

Microparches disponibles para todos los usuarios de 0patch

ACROS Security ahora ofrece parches de seguridad gratuitos y no oficiales para esta vulnerabilidad de día cero a través de su servicio de microparches 0Patch para todas las versiones de Windows afectadas hasta que Microsoft publique las correcciones oficiales.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Informamos de este problema a Microsoft y, como de costumbre, publicamos microparches que seguirán siendo gratuitos hasta que Microsoft publique una solución oficial", añadió Kolsek. "Nos reservamos los detalles sobre esta vulnerabilidad hasta que la solución de Microsoft esté disponible para minimizar el riesgo de explotación maliciosa".

Para instalar el microparche en su PC con Windows, cree una cuenta e instale el agente 0patch. Una vez iniciado, el agente aplica el microparche automáticamente sin necesidad de reiniciar el sistema si no existe una política de parches personalizada que lo bloquee.

"Estamos al tanto de este informe y tomaremos las medidas necesarias para proteger a los clientes", declaró un portavoz de Microsoft.

En los últimos meses, 0patch ha reportado otras tres vulnerabilidades de día cero que Microsoft ha parcheado o aún no ha solucionado, incluyendo un error de tema de Windows (parcheado como CVE-2025-21308), una omisión de Mark of the Web en Server 2012 (aún un día cero sin parche oficial) y una vulnerabilidad de divulgación de hash NTLM en archivos URL (parcheada como CVE-2025-21377).

0patch también ha revelado otras fallas de divulgación de hash NTLM en el pasado, como PetitPotam, PrinterBug/SpoolSample y DFSCoerce, que aún no han recibido parche.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#832
Noticias Informáticas / EncryptHub vinculado a ataques de día cero de MMC en sistemas Windows
Marzo 26, 2025, 12:05:17 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas conocido como EncryptHub ha sido vinculado a ataques de día cero en Windows que explotan una vulnerabilidad de la Consola de Administración de Microsoft, parcheada este mes.

Descubierta por el investigador de Trend Micro, Aliakbar Zahravi, esta omisión de la función de seguridad (denominada "MSC EvilTwin" y ahora identificada como CVE-2025-26633) reside en la forma en que se gestionan los archivos MSC en dispositivos vulnerables.

Los atacantes pueden aprovechar esta vulnerabilidad para evadir las protecciones de reputación de archivos de Windows y ejecutar código, ya que no se advierte al usuario antes de cargar archivos MSC inesperados en dispositivos sin parches.

"En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando el archivo especialmente diseñado al usuario y convenciéndolo de que lo abra", explica Microsoft en un aviso emitido durante el Martes de Parches de este mes. "En un escenario de ataque web, un atacante podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para explotar la vulnerabilidad".

En ataques detectados por los investigadores de Trend Micro antes de informar de la falla a Microsoft, EncryptHub (también conocido como Water Gamayun o Larva-208) utilizó exploits de día cero CVE-2025-26633 para ejecutar código malicioso y extraer datos de los sistemas comprometidos.

A lo largo de esta campaña, el actor de amenazas ha desplegado múltiples cargas útiles maliciosas vinculadas a ataques anteriores contra EncryptHub, incluyendo el ladrón EncryptHub, la puerta trasera DarkWisp, la puerta trasera SilentPrism, Stealc, el ladrón Rhadamanthys y el cargador de troyanos MSC EvilTwin basado en PowerShell.

En este ataque, el actor de amenazas manipula archivos .msc y la Ruta de Interfaz de Usuario Multilingüe (MUIPath) para descargar y ejecutar una carga maliciosa, mantener la persistencia y robar datos confidenciales de los sistemas infectados, declaró Zahravi en un informe publicado el martes.

Esta campaña se encuentra en desarrollo activo; emplea múltiples métodos de entrega y cargas útiles personalizadas diseñadas para mantener la persistencia y robar datos confidenciales, para luego exfiltrarlos a los servidores de comando y control (C&C) de los atacantes.

Al analizar estos ataques, Trend Micro también encontró una versión preliminar de esta técnica utilizada en un incidente ocurrido en abril de 2024.

La empresa de inteligencia de ciberamenazas Prodaft ha vinculado previamente a EncryptHub con brechas de seguridad en al menos 618 organizaciones en todo el mundo tras ataques de phishing selectivo e ingeniería social.

EncryptHub también implementa cargas útiles de ransomware para cifrar los archivos de las víctimas tras robar archivos confidenciales como afiliado de las operaciones de ransomware RansomHub y BlackSuit.

Este mes, Microsoft también parcheó una vulnerabilidad de día cero (CVE-2025-24983) en el subsistema del kernel Win32 de Windows, que había sido explotada en ataques desde marzo de 2023.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#833
Noticias Informáticas / Ataques se dirigen a las cuentas de Steam de los jugadores de CS2
Marzo 26, 2025, 12:02:43 AM


Una nueva campaña de phishing se dirige a jugadores de Counter-Strike 2 mediante ataques de navegador en navegador (Browser-in-the-Browser - BitB), que muestran una ventana realista que imita la página de inicio de sesión de Steam.

Los atacantes se hacen pasar por el equipo ucraniano de deportes electrónicos Navi para atraer a fans fieles y legitimar la página de phishing utilizando una marca reconocida.

La campaña utiliza la técnica de phishing de navegador en navegador (BitB), creada por el investigador de ciberseguridad mr. dox en marzo de 2022. Este marco de phishing permite a los cibercriminales crear ventanas emergentes de aspecto realista con URL y títulos personalizados dentro de otra ventana del navegador.

Básicamente, esta técnica de phishing crea ventanas de navegador falsas dentro de ventanas de navegador reales (Browser in the Browser) para crear páginas de inicio de sesión u otros formularios realistas y robar las credenciales de los usuarios o las contraseñas de un solo uso (OTP).

Más tarde ese año, los actores de amenazas adoptaron ataques Browser-in-the-Browser en ataques a gran escala que intentaban robar cuentas de Steam.

Facebook phishing page using the BitB framework


Cuentas de Steam en el punto de mira

En una campaña observada por investigadores de Silent Push, los cibercriminales utilizan vídeos de YouTube y posiblemente otros canales de promoción para dirigir a posibles víctimas a sitios de phishing. Todos estos sitios utilizan la misma dirección IP, lo que indica que un único atacante o grupo que dirige la campaña.

Estos sitios prometen una caja de botín de CS2 gratis con nuevas apariencias (skins).

Mensaje promocional en YouTube


Los sitios web maliciosos que prometen los artículos del juego CS2 son:

caserevs[.]com
caseneiv[.]com
casenaps[.]com
caseners[.]com
caseneiv[.]com
simplegive[.]cn
caseneus[.]cfd

Para reclamar el regalo, se les pide a los usuarios que inicien sesión en su cuenta de Steam usando lo que parece ser una ventana emergente de inicio de sesión de Steam. Sin embargo, la ventana emergente que se abre no es real.

En su lugar, los atacantes utilizan la técnica BitB para mostrar una ventana de inicio de sesión falsa que imita la URL y la interfaz oficiales de Steam dentro de la ventana activa, haciéndola parecer una ventana emergente, aunque no lo sea.

Estas ventanas falsas no se pueden redimensionar ni arrastrar fuera de la ventana activa (como una ventana emergente normal), pero los usuarios que no intenten interactuar con ellas de estas maneras podrían no sospechar que se trata de un juego sucio.

Ventana emergente de inicio de sesión falso de Steam en la página de phishing


Estos ataques tienen como objetivo robar cuentas de Steam y revenderlas en mercados grises especializados por decenas, a veces cientos de miles, dependiendo del tamaño de la colección de juegos y los elementos del juego que tenga la cuenta.

Cuentas de Steam a la venta en playerauctions[.]com


A pesar de su antigüedad, Counter-Strike 2 sigue siendo un juego muy popular, especialmente en la comunidad de e-sports, y los cibercriminales se han aprovechado de equipos de renombre y competiciones profesionales para suplantar cuentas de Steam.

El mes pasado, Bitdefender informó sobre una campaña a gran escala que utilizaba transmisiones en vivo falsas de CS2 en YouTube con códigos QR que dirigían a los usuarios a sitios web maliciosos que prometían artículos dentro del juego y regalos de criptomonedas.

A los usuarios que seguían los enlaces a sitios de phishing se les pedía que ingresaran las credenciales de su cuenta de Steam o conectaran sus monederos de criptomonedas, solo para verlos pirateados o vaciados.

Para reforzar la seguridad de su cuenta de Steam, active la autenticación multifactor, habilite "Steam Guard Mobile Authenticator" y revise periódicamente la actividad de inicio de sesión para detectar inicios de sesión sospechosos.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#834
Noticias Informáticas / Las menciones de herramientas de IA maliciosas en la Dark Web aumentan un 200 %
Marzo 25, 2025, 08:00:27 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las conversaciones sobre jailbreaks y el uso de herramientas de IA maliciosas en el mundo clandestino del cibercrimen aumentaron en 2024, según un análisis de la firma de inteligencia de amenazas Kela.

La firma monitoreó foros sobre cibercrimen a lo largo del año para elaborar su nuevo estudio, "Informe de Amenazas de IA 2025: Cómo los Cibercriminales están Utilizando la Tecnología de IA como Arma".

Este estudio reveló un aumento del 52 % en las discusiones relacionadas con el jailbreaking de herramientas de IA legítimas como ChatGPT, y un aumento del 219 % en las menciones de herramientas y tácticas de IA maliciosas.

Mientras que el primero trata sobre formas de eludir las barreras de seguridad integradas en dichas plataformas para realizar actividades maliciosas, el segundo se relaciona con lo que Kela denomina herramientas de "Dark AI".

Se trata de versiones jailbreakeadas de herramientas de IA generativa (GenAI) disponibles públicamente, que suelen ofrecerse como servicio en el mundo clandestino del cibercrimen, o bien se han desarrollado utilizando modelos de lenguaje grandes (LLM) personalizados de código abierto.

WormGPT, por ejemplo, se basa en una versión de GPT-J LLM diseñada para actividades maliciosas como la vulneración de correo electrónico empresarial (BEC) y el phishing.

"Estas herramientas de Dark IA  han evolucionado hacia la IA como servicio (AIaaS), ofreciendo a los ciberdelincuentes herramientas de IA automatizadas y basadas en suscripción, lo que les permite generar cualquier contenido malicioso", señala el informe. "Esto reduce las barreras de entrada, lo que permite ataques escalables como el phishing, los deepfakes y las estafas fraudulentas".

Estas herramientas se han vuelto tan comunes y demandadas que varios actores de amenazas están estafando a sus competidores con versiones falsas, añadió Kela.

El proveedor señaló que los actores de amenazas también están utilizando herramientas GenAI basadas en LLM para:

Automatizar y mejorar la sofisticación del phishing/ingeniería social, incluyendo audio y video deepfake.

Automatizar el escaneo y análisis de vulnerabilidades (pruebas de penetración) para acelerar el ciclo de ataque.

Mejorar el desarrollo de malware y exploits, incluyendo ladrones de información y ransomware.

Automatizar y optimizar el fraude de identidad, incluyendo el uso de herramientas de deepfake para eludir las comprobaciones de verificación.

Automatizar otros ciberataques como el descifrado de contraseñas, el robo de credenciales y los ataques DDoS.

"Estamos presenciando un cambio radical en el panorama de las ciberamenazas", afirmó Yael Kishon, responsable de investigación de productos de IA en Kela.

"Los ciberdelincuentes no solo utilizan la IA, sino que también están creando secciones enteras en el ecosistema clandestino dedicadas a la ciberdelincuencia impulsada por ella. Las organizaciones deben adoptar defensas basadas en IA para combatir esta creciente amenaza".

Fuente:
InfoSecurity
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#835
Noticias Informáticas / Convertidores de documentos en línea gratuitos infectan con malware
Marzo 25, 2025, 07:37:06 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El FBI advierte que los actores de amenazas utilizan convertidores de documentos en línea maliciosos para robar información confidencial de los usuarios e infectar sus sistemas con malware.

"La Oficina de Campo del FBI en Denver advierte que los agentes están detectando con cada vez mayor frecuencia estafas relacionadas con herramientas gratuitas de conversión de documentos en línea, y queremos animar a las víctimas a denunciar los casos de esta estafa", se lee en la alerta.

"En este caso, los delincuentes utilizan herramientas gratuitas de conversión de documentos en línea para instalar malware en los ordenadores de las víctimas, lo que provoca incidentes como ransomware".

Los convertidores de archivos y las herramientas de descarga falsos pueden realizar tareas anunciadas, pero pueden proporcionar archivos resultantes con malware oculto, lo que permite a los delincuentes acceder a los dispositivos de las víctimas. También pueden robar datos personales, datos bancarios, información sobre criptomonedas, correos electrónicos y contraseñas al extraer los archivos que suben los usuarios.

Para llevar a cabo este plan, ciberdelincuentes de todo el mundo utilizan cualquier tipo de herramienta gratuita de conversión o descarga de documentos. Podría tratarse de un sitio web que afirma convertir un tipo de archivo a otro, como un archivo .doc a un archivo .pdf. También podría afirmar combinar archivos, como unir varios archivos .jpg en uno solo .pdf —continúa la alerta—. El programa sospechoso podría afirmar ser una herramienta de descarga de MP3 o MP4.

Las víctimas suelen darse cuenta demasiado tarde de que el malware ha infectado sus dispositivos, lo que puede provocar ransomware o robo de identidad. El FBI insta a informar a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

La Oficina Local del FBI en Denver recomienda ser precavido en línea, estar al tanto de los posibles riesgos y mantener actualizado el software antivirus para analizar los archivos antes de abrirlos. Si los usuarios son víctimas de esta estafa, contacten inmediatamente con sus instituciones financieras, protejan sus cuentas y cambien todas las contraseñas utilizando un dispositivo de confianza. También se recomienda informar el incidente a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y realizar un análisis de virus o contratar un servicio profesional de eliminación de malware.

Fuente:
SecurityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#836
Noticias Informáticas / Hackers rusos atacan con DDoS a importantes sitios web belgas
Marzo 25, 2025, 07:21:58 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según el Centro de Ciberseguridad de Bélgica (CCB), estas instituciones sufrieron un ataque DDoS.

Durante un ataque DDoS, un atacante intenta saturar un sitio web, servidor o red con una avalancha de tráfico de internet falso. Tarde o temprano, el sitio web se sobrecarga y deja de responder. El tráfico de internet se vuelve extremadamente lento o incluso se detiene por completo.

El CCB tiene conocimiento de los ataques desde la mañana del lunes y ha estado monitoreando constantemente la situación. Todas las organizaciones afectadas, incluido el gobierno nacional belga y el parlamento valón, han sido alertadas, según informó un portavoz al medio de comunicación belga VRT NWS. El lunes por la tarde, los sitios web volvieron a estar disponibles.

Los ataques han sido perpetrados por NoName057(16), un grupo de hacktivistas expertos en ciberseguridad que se cree que está patrocinado por Rusia. Sus objetivos parecen ser países y organizaciones con una postura antirrusa. Este también parece ser el caso de los ataques recientes.

En un mensaje en Telegram, NoName057(16) afirma que los ataques DDoS son una represalia por la oferta de 1000 millones de euros en apoyo militar al presidente ucraniano Volodímir Zelenski por parte del secretario de Defensa, Theo Francken (N-VA).

"Zelenski aceptó la oferta y destacó varias iniciativas que el gobierno belga está evaluando. Francken señaló que Bélgica podría aumentar su apoyo, pero la decisión final recae en el gobierno", dice el mensaje en Telegram.

Esta no es la primera vez que NoName057(16) ataca servicios del gobierno federal en Bélgica. En octubre de 2023, los hackers interrumpieron el sitio web de la Cancillería del primer ministro Alexander De Croo, el Senado y el Palacio Real después de que De Croo prometiera entregar aviones de combate F-16 a Ucrania en 2025.

Unos meses antes, los hackers rusos atacaron a varias empresas portuarias en los Países Bajos y bloquearon el sitio web del Aeropuerto de Maastricht-Aachen. En marzo de 2024, NoName057(16) se atribuyó la responsabilidad de la desactivación de los sitios web de las provincias neerlandesas de Holanda Septentrional, Groningen y Brabante Septentrional.

Ariadne Petridis, Representante Permanente de Bélgica ante la OTAN, declaró recientemente que Bélgica debería prepararse para los ciberataques rusos.

«La ubicación geográfica de Bélgica y la presencia de sedes internacionales, como la OTAN y otras instituciones europeas, la convierten en un objetivo potencial para Rusia. Nuestro país está situado en el centro de varias superpotencias. Esto nos hace particularmente vulnerables», declaró al medio de comunicación belga Het Laatste Nieuws.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#837
Noticias Informáticas / El exchange de criptomonedas Garantex lanza uno nuevo llamado Grinex
Marzo 25, 2025, 07:20:34 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El 7 de marzo, el Departamento de Justicia de EE. UU. (DoJ) anunció el desmantelamiento de la infraestructura operada por la plataforma de intercambio de criptomonedas Garantex.

Esta plataforma, dirigida por ciudadanos rusos, se utilizaba para facilitar diversos delitos, como piratería informática, ransomware y terrorismo, y a menudo atacaba a empresas estadounidenses.

Ahora, tan solo dos semanas después, la plataforma ha renacido como Grinex, según Global Ledger, empresa de análisis de blockchain con sede en Switcherland.

Intentó ocultar rastros

Tras la ofensiva contra Garantex, Tether, empresa emisora de monedas estables con el mismo nombre, bloqueó las billeteras de Garantex con activos por valor de 28 millones de dólares. La empresa envió todas sus monedas estables a una nueva dirección para evitar su congelación, según informa Global Ledger.

Garantex también transfirió la liquidez de A7A5, su moneda estable respaldada en rublos, a Grinex. Los fundadores intentaron ocultar sus rastros manipulando la oferta, quemando y reacuñando alrededor de 5 mil millones de monedas estables.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Global Ledger afirma que el 96% del suministro total de stablecoins se reacuñó y transfirió a una nueva billetera.

Los autores del informe también afirman haber hablado con uno de los gerentes de Grinex, quien les indicó que los clientes de Garantex estaban transfiriendo sus fondos a la nueva plataforma.

Además, las promociones de Grinex indican que los fundadores de Garantex crearon la plataforma en respuesta a las sanciones y la congelación de fondos, mientras que la interfaz de usuario del sitio web de Grinex se asemeja a la de Garantex.

Según Global Ledger, Garantex procesó el año pasado $14.5 mil millones en criptomonedas.

"La exposición de Garantex es compleja de identificar. Cambia patrones y utiliza billeteras de un solo uso, retiros de transferencia y otras tácticas para sobrecargar a los oficiales de cumplimiento", afirma Global Ledger en su informe.

Funcionarios incautaron servidores

Mientras tanto, JoD afirma que, desde 2019, la plataforma de intercambio ha procesado al menos 96 000 millones de dólares en transacciones de criptomonedas.

"Garantex recibió cientos de millones de dólares en ganancias ilícitas y fue utilizada para facilitar diversos delitos, como piratería informática, ransomware, terrorismo y narcotráfico, a menudo con un impacto sustancial en las víctimas estadounidenses", declaró JoD en su comunicado de prensa.

Durante la ofensiva contra la plataforma, JoD cooperó con Alemania y Finlandia. Funcionarios de ambos países europeos incautaron servidores que albergaban las operaciones de Garantex, mientras que Estados Unidos obtuvo copias anteriores de los servidores de Garantex por separado.

Según documentos judiciales, Garantex estuvo controlada y operada por los ciudadanos rusos Aleksej Besciokov y Aleksandr Mira Serda entre 2019 y 2025. Ambos están acusados de blanqueo de capitales y conspiración.

El año pasado, las autoridades estadounidenses tomaron medidas enérgicas contra dos intercambios de criptomonedas, PM2BTC y Cryptex, que también eran operados por ciudadanos rusos y ampliamente utilizados por bandas de ransomware.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#838
Noticias Informáticas / Rusia cierra Nuum su version de reemplazo de YouTube y TikTok
Marzo 25, 2025, 07:18:32 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MTC, el mayor proveedor de telecomunicaciones de Rusia y Bielorrusia, cerrará su plataforma Nuum más de un año después de su lanzamiento, según informó el medio ruso RBC, citando a un funcionario de MTC.

La compañía anunció un servicio de prueba para Nuum a finales de 2023 y lo lanzó oficialmente en 2024. Nuum permitía a los usuarios transmitir, subir y ver vídeos en formato horizontal y vertical, y se posicionó como una alternativa rusa a YouTube y TikTok.

En abril de 2024, poco después del lanzamiento del servicio, Natalia Bratchikova, directora de Nuum, declaró a RBC que la plataforma contaba con 5,2 millones de usuarios únicos y 40.000 creadores de contenido.

Sin embargo, menos de un año después del lanzamiento, comenzaron a surgir indicios de problemas. Según fuentes del medio ruso Vedomosti, la compañía comenzó su reestructuración y optimización en febrero. Desde principios de este año hasta febrero, 250 empleados, es decir, entre el 70 % y el 80 % de la plantilla, habían dejado la empresa.

La semana pasada, tras el pobre desempeño financiero de la plataforma, un representante de MTC le dijo a RBC que "no era lo suficientemente efectiva".

Según datos de la empresa de investigación tecnológica Medias, Nuum contaba con alrededor de 900.000 usuarios mensuales en febrero. En comparación, el número de usuarios de TikTok alcanzó los 68,7 millones durante el mismo periodo.

Un experto local declaró a RBC que no hay demanda del servicio local en el mercado ruso cuando los usuarios pueden acceder a sitios web como YouTube y TikTok, lo que dificulta la competencia en la creación de contenido.

MTC planea operar Nuum hasta el 1 de junio. Posteriormente, la infraestructura tecnológica de Nuum se transferirá a la división de publicidad de MTS, AdTech, y se utilizará para lanzar una red publicitaria para banners de vídeo, centrada en el comercio electrónico.

Rusia a menudo intenta emular los servicios populares que ofrecen las empresas occidentales.

El país intensificó sus esfuerzos locales tras la invasión de Ucrania y, desde entonces, ha intentado replicar Wikipedia y crear consolas locales, entre otros proyectos. Sin embargo, la mayoría de estos intentos no tuvieron éxito.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#839
Noticias Informáticas / Nueva interfaz de usuario renovada de Discord
Marzo 25, 2025, 07:17:10 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Discord finalmente actualiza los temas de su aplicación de escritorio para incluir un modo oscuro completo, ideal para monitores OLED. El nuevo modo oscuro Onyx forma parte de una serie de actualizaciones de la interfaz de usuario de la aplicación de escritorio de Discord que la hacen muy similar a la versión móvil, junto con una superposición muy mejorada.

El modo oscuro Onyx también incluye un tema oscuro en la aplicación de escritorio de Discord, por lo que ahora hay cuatro opciones en total para los usuarios gratuitos. Discord ha redimensionado la lista de canales, ha mejorado el espaciado general en la aplicación y hay una nueva barra en la interfaz de llamadas que facilita ver si tienes el micrófono activado y si la cámara está encendida o apagada.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Discord también ha ajustado los colores y las ilustraciones de su aplicación de escritorio como parte de esta actualización. "Todas estas actualizaciones buscan mejorar la legibilidad, reducir la sensación de sobrecarga visual y mantener la coherencia entre dispositivos de escritorio y móviles", afirma Peter Sellis, vicepresidente sénior de producto de Discord.

Si bien las mejoras en la interfaz de usuario son evidentes, Discord también ha añadido una nueva superposición de juego a su aplicación de escritorio que ya no afecta a la velocidad de fotogramas. "Anteriormente, la superposición funcionaba mejor integrándose directamente en la ventana del juego, lo que perjudicaba el rendimiento", explica Sellis. "Esta nueva versión de la superposición ofrece una experiencia más ágil y rápida, centrada en lo que más te importa".

Discord ha implementado widgets individuales en su interfaz, similares a la Barra de juegos de Xbox de Microsoft o las secciones independientes de la interfaz de Steam. Ahora puede ver transmisiones de Discord directamente desde esta interfaz, de modo que floten sobre el juego que estás jugando. Todos estos nuevos widgets también se pueden colocar donde quieras en la pantalla, y esta interfaz actualizada debería funcionar con muchos más juegos y no ser detectada por los motores antitrampas.

Fuente:
The Verge
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#840
Noticias Informáticas / Los Sistemas de Navegación por Satélite enfrentan ataques
Marzo 25, 2025, 07:15:32 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los sistemas de navegación por satélite, vitales para la aviación, el transporte marítimo, las telecomunicaciones y las operaciones humanitarias, se ven cada vez más comprometidos por incidentes de interferencias y suplantación de identidad, según una advertencia conjunta de tres importantes organizaciones internacionales.

En un comunicado emitido hoy desde Ginebra, la Organización de Aviación Civil Internacional (OACI), la Unión Internacional de Telecomunicaciones (UIT) y la Organización Marítima Internacional (OMI) expresaron su profunda preocupación por el aumento de los ataques de interferencias y suplantación de identidad dirigidos contra los Sistemas Globales de Navegación por Satélite (GNSS).

Probablemente conozca estos sistemas como GPS, pero el término más amplio es GNSS. Proporciona datos esenciales de posicionamiento, cronometraje y navegación, necesarios no solo para aeronaves y barcos comerciales, sino también para los equipos de respuesta a emergencias en tierra y las infraestructuras de telecomunicaciones de todo el mundo. Si estas señales se interrumpen, redes enteras podrían sufrir fallos, lo que podría causar un caos mundial.

¿Qué son la interferencia y la suplantación de la señal?

La interferencia consiste en la transmisión de señales innecesarias o no identificables que interrumpen las señales legítimas de navegación por satélite, bloqueando así la comunicación entre satélites y receptores.

La suplantación de la señal, por otro lado, es un ataque más sofisticado. Las señales de suplantación imitan datos satelitales auténticos, engañando a los receptores de barcos o aeronaves para que calculen posiciones falsas o proporcionen una guía errónea, lo que podría poner en peligro vidas y misiones críticas.

Doreen Bogdan-Martin, Secretaria General de la UIT, enfatizó la importancia de la integridad del GNSS e instó a las naciones a actuar con prontitud:

«Los Sistemas Mundiales de Navegación por Satélite (GNSS) son fundamentales para nuestra seguridad en tierra, mar y aire. Los Estados Miembros deben actuar con prontitud para mantener estos sistemas seguros e ininterrumpidos, para la seguridad de todos».

Mario Maniewicz, Director de la Oficina de Radiocomunicaciones de la UIT, que ayuda a gestionar las radiofrecuencias mundiales, añadió:

"Instamos a nuestros Miembros a que hagan un uso responsable del espectro de radiofrecuencias, que es un recurso precioso, natural y compartido del que dependemos para comunicarnos, viajar y trabajar en nuestra vida diaria".

Reportar incidentes

Reportar activamente los casos de interferencias y suplantación de identidad a las agencias nacionales competentes y a la UIT para que se pueda monitorear adecuadamente la magnitud del problema.

Proteger las ondas de radio

Proteger las frecuencias de radio asignadas a la navegación por satélite de cualquier transmisión que pueda degradar, interrumpir o enviar señales engañosas.

Construir sistemas más robustos

Hacer que los sistemas de navegación y cronometraje basados en satélites sean más resistentes a este tipo de interferencia.

Mantener sistemas de respaldo listos

Mantener y desarrollar los métodos de navegación tradicionales (como radiobalizas o radares) como respaldo en caso de que los sistemas satelitales fallen o proporcionen información falsa.

Trabajar juntos

Mejorar la cooperación entre las autoridades nacionales encargadas de la regulación de radio, la aviación, las operaciones marítimas, la defensa y las fuerzas del orden.

Esta llamada conjunta muestra la creciente dependencia de la navegación por satélite y las graves consecuencias de los ataques a estos sistemas. Proteger estas señales va más allá de la tecnología; se trata de mantener la seguridad y la estabilidad del transporte y las comunicaciones globales.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Páginas 1 ... 40 41 42 43 44 ... 249