Han salido a la luz nuevos detalles sobre una vulnerabilidad de seguridad —ya corregida— en el kit de desarrollo de software (SDK) de terceros EngageLab SDK, ampliamente utilizado en aplicaciones móviles, incluyendo monederos de criptomonedas. Este fallo representa un ejemplo claro del impacto que pueden tener las debilidades en la cadena de suministro de software, especialmente en entornos Android donde la confianza entre componentes es fundamental.

De acuerdo con investigadores de seguridad de Microsoft Defender, la vulnerabilidad permitía a aplicaciones maliciosas instaladas en el mismo dispositivo evadir el modelo de aislamiento de Android (sandbox) y acceder a datos privados sin autorización. Este tipo de fallo es particularmente crítico en aplicaciones que manejan activos digitales, credenciales o información financiera.

¿Qué es EngageLab SDK y por qué es relevante?

El EngageLab SDK es una biblioteca de terceros diseñada para proporcionar servicios de notificaciones push personalizadas. Su objetivo es mejorar la interacción en tiempo real con los usuarios mediante mensajes basados en comportamiento previamente rastreado.

Este SDK ha sido ampliamente adoptado por desarrolladores móviles debido a su facilidad de integración y capacidad para optimizar la retención de usuarios. Sin embargo, su integración masiva también amplificó el impacto de la vulnerabilidad detectada.

Según los datos revelados, más de 30 millones de instalaciones corresponden a aplicaciones de criptomonedas y monederos digitales, mientras que el número total de aplicaciones afectadas supera los 50 millones de descargas incluyendo otras categorías.

Detalles técnicos de la vulnerabilidad

El fallo fue identificado en la versión 4.5.4 del SDK y clasificado como una vulnerabilidad de redirección de intención (Intent Redirection), un problema conocido dentro del ecosistema Android.

En Android, las intenciones (Intents) son mecanismos de comunicación entre componentes de aplicaciones. Permiten solicitar acciones, como abrir una actividad o compartir datos. Sin embargo, cuando estas intenciones no están correctamente validadas, pueden ser manipuladas por actores maliciosos.

¿Cómo funciona el ataque?

La vulnerabilidad permite que una aplicación maliciosa:

• Intercepte o manipule una intención generada por una app vulnerable
• Aproveche los permisos del contexto de confianza
• Acceda a componentes internos protegidos
• Exfiltre datos sensibles o escale privilegios

En este caso específico, un atacante podría instalar una aplicación aparentemente inofensiva en el dispositivo de la víctima y utilizarla como punto de entrada para acceder a directorios internos de otras apps que integran el SDK vulnerable.

Impacto en wallets de criptomonedas

El riesgo es especialmente elevado en aplicaciones de criptomonedas debido a la naturaleza sensible de los datos que manejan, tales como:

• Claves privadas
• Frases semilla
• Tokens de autenticación
• Historial de transacciones

La explotación exitosa de esta vulnerabilidad podría haber permitido a los atacantes comprometer activos digitales de los usuarios, lo que convierte este fallo en una amenaza de alto impacto dentro del sector fintech.

Estado de la explotación

Hasta el momento, no existen evidencias públicas de explotación activa de esta vulnerabilidad en entornos reales. Sin embargo, los expertos en ciberseguridad advierten que la ausencia de pruebas no implica ausencia de ataques, especialmente en vulnerabilidades que pueden ser explotadas de forma silenciosa.

Corrección y respuesta de seguridad

Tras una divulgación responsable realizada en abril de 2025, EngageLab lanzó la versión 5.2.1 en noviembre de 2025, que corrige completamente la vulnerabilidad.

Adicionalmente:

• Las aplicaciones afectadas fueron eliminadas de Google Play Store
• Se instó a los desarrolladores a actualizar de inmediato
• Se reforzó la revisión de dependencias en la cadena de suministro

Riesgos en la cadena de suministro de software

Este incidente pone de manifiesto un problema creciente en el desarrollo moderno: la dependencia de SDKs de terceros.

Las aplicaciones actuales integran múltiples bibliotecas externas, lo que genera una cadena de suministro compleja y opaca, donde un solo fallo puede propagarse a millones de dispositivos.

Principales riesgos identificados:

• Dependencias no auditadas
• Permisos excesivos en SDKs
• Componentes exportados sin validación
• Supuestos de confianza incorrectos

Según Microsoft, estos riesgos son especialmente críticos en sectores de alto valor como las criptomonedas, donde los atacantes tienen incentivos económicos directos.

Recomendaciones para desarrolladores

Para mitigar este tipo de amenazas, se recomienda implementar las siguientes buenas prácticas:

1. Auditoría de dependencias

Revisar regularmente todos los SDKs y bibliotecas integradas en la aplicación.

2. Actualizaciones continuas

Mantener siempre las versiones más recientes de componentes de terceros.

3. Validación de Intents

Evitar confiar en datos externos sin validación estricta.

4. Principio de mínimo privilegio

Limitar permisos únicamente a los estrictamente necesarios.

5. Monitoreo de seguridad

Implementar soluciones de detección de amenazas en tiempo real.

En fin...

La vulnerabilidad en EngageLab SDK es un recordatorio contundente de que la seguridad de una aplicación no depende únicamente de su código interno, sino también de todos los componentes externos que la conforman.

En un ecosistema cada vez más interconectado, donde las aplicaciones dependen de múltiples servicios y bibliotecas, los fallos en la cadena de suministro pueden escalar rápidamente y afectar a millones de usuarios.

Para las empresas que operan en sectores críticos como el financiero o el de criptomonedas, la gestión proactiva de riesgos y la seguridad por diseño ya no son opcionales, sino esenciales para proteger tanto a los usuarios como a la reputación corporativa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva y sofisticada campaña de phishing dirigida a cuentas empresariales de TikTok está generando preocupación en la comunidad de ciberseguridad. Investigadores han identificado una operación activa que no solo roba credenciales, sino que también emplea técnicas avanzadas para evadir los sistemas automatizados de detección, lo que incrementa significativamente su tasa de éxito.

Según un informe de la firma de seguridad Push Security, los atacantes están aprovechando la legitimidad y el alcance de TikTok Business para ejecutar campañas de fraude publicitario, distribución de malware y estafas a gran escala.

¿Por qué TikTok Business es un objetivo atractivo?

Las cuentas de TikTok para empresas representan un activo de alto valor para los ciberdelincuentes debido a varios factores clave:

• Amplio alcance de audiencia
• Alta confianza por parte de los usuarios
• Capacidad de ejecutar campañas publicitarias
• Integración con plataformas de terceros

Estas características convierten a TikTok Business en una herramienta ideal para actividades maliciosas como la malversificación (malvertising), la promoción de estafas de criptomonedas y la distribución de malware tipo infostealer.

De hecho, TikTok ya ha sido utilizado anteriormente para difundir software malicioso a través de videos manipulados, así como para engañar a usuarios con ofertas fraudulentas.

Relación con campañas anteriores

Push Security ha vinculado esta campaña con otra operación detectada en 2025 que apuntaba a cuentas de Google Ad Manager. Este patrón sugiere una estrategia clara por parte de los actores de amenaza: comprometer plataformas publicitarias y redes sociales para amplificar el impacto de sus ataques.

Además, investigaciones previas de Sublime Security indican que los atacantes reutilizan técnicas similares, lo que demuestra una evolución continua en sus métodos.

Infraestructura maliciosa y evasión de detección

Uno de los aspectos más sofisticados de esta campaña es su capacidad para evadir sistemas de seguridad automatizados. Los atacantes utilizan:

• Cloudflare para alojar páginas y aplicar protección anti-bots
• Google Cloud Storage para redireccionamientos iniciales
• NiceNIC como registrador de dominios sospechosos

El flujo del ataque comienza con un enlace aparentemente legítimo que redirige a través de Google Storage. Posteriormente, se activa una verificación tipo "torniquete" de Cloudflare que bloquea bots de seguridad, permitiendo únicamente el acceso a usuarios reales.

Esta técnica dificulta enormemente el análisis automatizado, lo que permite que las páginas de phishing permanezcan activas durante más tiempo.

Dominios maliciosos y técnicas de suplantación

Los atacantes utilizan múltiples dominios con nombres similares, diseñados para parecer legítimos. Estos dominios están alojados en el mismo bucket de almacenamiento, lo que indica una infraestructura centralizada.

Las páginas de destino se hacen pasar por:

• Interfaces de TikTok Business
• Formularios de "Programar una llamada" de Google Careers

En esta primera etapa, se solicita a la víctima que introduzca información básica, supuestamente para validar su correo corporativo.

Robo de credenciales mediante proxy inverso

Una vez que el usuario completa el formulario inicial, es redirigido a una página de inicio de sesión falsa. Esta página no es un simple clon, sino un proxy inverso altamente sofisticado que actúa como intermediario entre el usuario y el servicio legítimo.

Esto permite a los atacantes:

• Capturar credenciales en tiempo real
• Interceptar cookies de sesión
• Evadir protecciones como la autenticación de dos factores (2FA)

El uso de proxies inversos representa una de las técnicas más avanzadas en phishing moderno, ya que permite el secuestramiento de sesiones activas, incluso cuando las cuentas están protegidas con múltiples capas de seguridad.

Riesgo adicional: integración con Google SSO

Un factor crítico que amplifica el impacto de este ataque es el uso de inicio de sesión único (SSO) mediante Google.

Muchos usuarios empresariales acceden a sus cuentas de TikTok utilizando sus credenciales de Google. Esto significa que, si un atacante compromete una cuenta mediante este método, puede obtener acceso simultáneo a:

• Cuenta de TikTok Business
• Cuenta de Google asociada
• Servicios vinculados al ecosistema empresarial

Este efecto dominó convierte el ataque en una amenaza de alto impacto para organizaciones.

Impacto en ciberseguridad empresarial

La campaña demuestra una tendencia preocupante en el panorama de amenazas:

• Uso de infraestructura legítima para ocultar ataques
• Evolución hacia técnicas de evasión más avanzadas
• Enfoque en cuentas empresariales de alto valor
• Capacidad de comprometer múltiples servicios con un solo ataque

Esto refuerza la necesidad de adoptar estrategias de seguridad más robustas centradas en la identidad digital.

Recomendaciones para mitigar el phishing en TikTok Business

Para protegerse contra este tipo de amenazas, se recomienda:

• Verificar siempre el dominio antes de introducir credenciales
• Evitar hacer clic en enlaces de fuentes desconocidas
• Implementar autenticación basada en claves de acceso (passkeys)
• Monitorizar sesiones activas y accesos sospechosos
• Capacitar a los empleados sobre técnicas de phishing avanzado

Además, las organizaciones deben considerar el uso de soluciones de seguridad en el navegador que puedan detectar y bloquear este tipo de ataques en tiempo real.

En fin...

La campaña de phishing dirigida a cuentas de TikTok Business representa una evolución significativa en las tácticas de ciberataque. Al combinar técnicas de evasión avanzadas, infraestructura legítima y métodos sofisticados de robo de credenciales, los atacantes están logrando comprometer cuentas empresariales con mayor eficacia.

A medida que plataformas como TikTok continúan creciendo en relevancia comercial, es probable que se conviertan en objetivos aún más frecuentes para los ciberdelincuentes.

La clave para mitigar estos riesgos radica en la combinación de tecnología, concienciación y buenas prácticas de seguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una sofisticada campaña de phishing por código de dispositivo está afectando activamente a más de 340 organizaciones en múltiples países, incluyendo Estados Unidos, Canadá, Australia, Nueva Zelanda y Alemania. Este nuevo vector de ataque, detectado por la firma de ciberseguridad Huntress, pone en evidencia la evolución de las amenazas dirigidas a entornos empresariales basados en la nube, particularmente aquellos que utilizan Microsoft 365.

Una campaña en rápida expansión

La actividad maliciosa fue identificada por primera vez el 19 de febrero de 2026, mostrando desde entonces un crecimiento acelerado. Lo que distingue esta campaña no es solo el uso del flujo de autenticación por código de dispositivo, sino la combinación de múltiples técnicas de evasión, infraestructura distribuida y señuelos altamente personalizados.

Sectores como la construcción, salud, finanzas, gobierno, manufactura y organizaciones sin fines de lucro se encuentran entre los más afectados, lo que demuestra el carácter transversal del ataque.

¿Qué es el phishing por código de dispositivo?

El phishing por código de dispositivo es una técnica que abusa del flujo de autorización OAuth, específicamente del sistema de autenticación utilizado por Microsoft Entra ID. Este método permite a los atacantes obtener tokens de acceso persistentes, incluso después de que la víctima cambie su contraseña.

A diferencia del phishing tradicional, este enfoque no requiere capturar directamente las credenciales, sino que engaña al usuario para completar un proceso legítimo de autenticación.

Cómo funciona el ataque

El flujo del ataque sigue estos pasos:

• El atacante solicita un código de dispositivo mediante la API oficial de autenticación.
• El sistema genera un código único.
• La víctima recibe un correo de phishing con instrucciones para ingresar ese código en una página legítima.
• La víctima introduce el código junto con sus credenciales y autenticación multifactor (MFA).
• El sistema genera tokens de acceso y actualización que el atacante puede recuperar.

El resultado es crítico: el atacante obtiene acceso persistente a la cuenta sin necesidad de conocer la contraseña.

Infraestructura maliciosa: Cloudflare, Railway y evasión avanzada

Uno de los aspectos más preocupantes de esta campaña es el uso de infraestructura legítima para evadir detección. Los atacantes están utilizando:

• Cloudflare Workers para redireccionamientos
• Railway como backend para recolectar credenciales
• Vercel como intermediario
• Servicios de seguridad como Cisco, Trend Micro y Mimecast para ocultar URLs maliciosas

Esta cadena de redirección multi-hop permite que los enlaces de phishing evadan filtros de seguridad tradicionales y herramientas de detección de spam.

Además, se ha identificado que un pequeño conjunto de direcciones IP alojadas en Railway concentra aproximadamente el 84% de la actividad maliciosa, lo que indica una infraestructura centralizada pero altamente efectiva.

Técnicas de engaño y señuelos utilizados

Los atacantes están empleando múltiples tipos de señuelos para aumentar la tasa de éxito:

• Suplantación de DocuSign
• Notificaciones falsas de buzón de voz
• Formularios fraudulentos de Microsoft Forms
• Invitaciones a licitaciones de construcción
• Mensajes relacionados con criptomonedas y apuestas

Una innovación destacada es que el código de dispositivo se genera dinámicamente y se muestra directamente en la página de phishing, eliminando la necesidad de que el atacante lo envíe manualmente.

Evasión de análisis y técnicas anti-detección

Otra característica avanzada de esta campaña es el uso de técnicas anti-análisis para evitar ser detectados por investigadores o herramientas de seguridad. Según Unit 42, las páginas de phishing:

• Deshabilitan clic derecho y selección de texto
• Bloquean atajos como F12 o Ctrl+Shift+I
• Detectan herramientas de desarrollo abiertas
• Ejecutan bucles infinitos para impedir análisis

Estas capacidades dificultan significativamente la inspección del código malicioso.

EvilTokens: phishing como servicio (PhaaS)

La campaña ha sido atribuida a una nueva plataforma de phishing como servicio (PhaaS) conocida como EvilTokens, recientemente promocionada en Telegram.

Este servicio ofrece:

• Herramientas automatizadas para campañas de phishing
• Enlaces de redirección abiertos para ocultar URLs maliciosas
• Infraestructura lista para usar
• Soporte técnico 24/7 para clientes

La profesionalización de estas plataformas está reduciendo la barrera de entrada al cibercrimen, permitiendo que más actores ejecuten ataques sofisticados.

Actores de amenaza y atribución

El uso de phishing por código de dispositivo no es nuevo. Fue documentado por primera vez en 2025 por Microsoft y Volexity.

Posteriormente, investigaciones han vinculado esta técnica con grupos alineados con Rusia, incluyendo:

• APT29
• Storm-2372

Esto sugiere que la técnica ha evolucionado desde operaciones de ciberespionaje hacia campañas más amplias y comercializadas.

Recomendaciones para mitigar el riesgo

Ante este escenario, las organizaciones deben adoptar medidas inmediatas para reducir su exposición:

• Revisar logs de autenticación en busca de IP sospechosas
• Revocar tokens de acceso y actualización en cuentas comprometidas
• Bloquear accesos desde infraestructuras como Railway
• Implementar autenticación condicional y políticas Zero Trust
• Capacitar a los usuarios sobre este tipo de phishing avanzado

Además, es crucial comprender que el cambio de contraseña no es suficiente para mitigar este tipo de ataque, ya que los tokens OAuth siguen siendo válidos.

En fin...

El phishing por código de dispositivo representa una evolución significativa en las tácticas de ataque contra identidades digitales. Al aprovechar flujos legítimos de autenticación y combinar infraestructura confiable con técnicas avanzadas de evasión, los atacantes están logrando comprometer cuentas de alto valor sin levantar sospechas.

La aparición de plataformas como EvilTokens marca un punto crítico en la industrialización del cibercrimen, donde herramientas avanzadas se vuelven accesibles a una audiencia más amplia.

En este contexto, la defensa debe centrarse no solo en la tecnología, sino también en la concienciación, monitoreo continuo y una estrategia integral de seguridad basada en identidad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ecosistema de seguridad de Apple vuelve a estar en el centro de atención tras revelarse nuevos hallazgos sobre el kit de exploits para iOS conocido como Coruna, una sofisticada plataforma de explotación que reutiliza y evoluciona técnicas previamente empleadas en la campaña Operation Triangulation en 2023. Según investigaciones recientes de la firma de ciberseguridad Kaspersky, este framework no solo ha sido mejorado, sino que ha ampliado significativamente su alcance, poniendo en riesgo a millones de dispositivos iPhone a nivel global.

Coruna: evolución de un framework de ciberespionaje avanzado

De acuerdo con el investigador principal Boris Larin, miembro del equipo GReAT de Kaspersky, Coruna no es una simple colección de exploits reutilizados, sino una evolución directa del framework original utilizado en la Operación Triangulación.

Inicialmente, la evidencia pública no permitía establecer una conexión clara entre ambos conjuntos de herramientas. Sin embargo, nuevos análisis revelan similitudes profundas en el código, arquitectura y lógica de explotación, lo que apunta a un mismo autor o grupo de desarrollo.

Más preocupante aún es que Coruna incluye soporte para hardware moderno como los chips A17, M3, M3 Pro y M3 Max, lo que evidencia una actualización activa del framework para mantener su efectividad frente a las últimas versiones de dispositivos Apple.

Vulnerabilidades explotadas: zero-days reutilizados

El kit de exploits Coruna contiene al menos cinco cadenas completas de explotación en iOS, integrando un total de 23 exploits distintos. Entre ellos destacan:

• CVE-2023-32434
• CVE-2023-38606

Ambas vulnerabilidades fueron utilizadas previamente como zero-days en la Operación Triangulación, una campaña altamente dirigida que explotó múltiples fallos críticos en iOS para comprometer dispositivos sin interacción del usuario.

El hecho de que estos exploits continúen siendo reutilizados demuestra la persistencia y sofisticación de los actores detrás de estas campañas.

Vector de ataque: explotación mediante Safari

El ataque inicia cuando la víctima accede a un sitio web comprometido utilizando el navegador Safari. A partir de ese momento, se ejecuta un proceso altamente automatizado que incluye:

• Fingerprinting del dispositivo: identificación del modelo, versión de iOS y características del navegador.
• Selección dinámica del exploit: el sistema entrega la cadena de explotación más adecuada.
• Ejecución de payload inicial: descarga de componentes maliciosos.
• Escalada de privilegios: mediante exploits del kernel.

Este enfoque modular permite a los atacantes maximizar la tasa de éxito y adaptar el ataque en tiempo real.

Post-explotación: ejecución de malware y evasión forense

Una vez comprometido el dispositivo, el framework despliega una serie de componentes avanzados:

• Cargadores Mach-O personalizados
• Lanzador de malware (launcher)
• Implante final persistente

El lanzador actúa como orquestador principal, ejecutando el malware final y eliminando rastros para dificultar el análisis forense. Esta capacidad de autolimpieza representa un desafío significativo para investigadores de seguridad.

Entre las amenazas distribuidas mediante Coruna se encuentra PlasmaLoader (PLASMAGRID), un malware especializado en robo de datos, ampliamente utilizado en campañas recientes.

Expansión del uso: de ciberespionaje a cibercrimen masivo

Originalmente diseñado para operaciones de ciberespionaje de alto nivel, Coruna ha evolucionado hacia un uso más amplio. Investigaciones indican que:

• Fue utilizado por clientes de empresas de vigilancia privadas
• Posteriormente adoptado por actores vinculados a Estados-nación
• Actualmente empleado en campañas masivas de tipo watering hole

En particular, se ha observado su uso en ataques dirigidos a Ucrania, así como en campañas que utilizan sitios falsos de apuestas y criptomonedas para distribuir malware.

Riesgo emergente: filtración de herramientas avanzadas

El panorama se agrava con la reciente filtración en GitHub de una nueva versión del kit de explotación para iPhone conocido como DarkSword. Según reportes iniciales publicados por TechCrunch, esta filtración podría democratizar el acceso a herramientas de explotación avanzadas.

Esto implica que capacidades anteriormente reservadas para actores altamente sofisticados ahora podrían ser utilizadas por ciberdelincuentes con menos experiencia, aumentando exponencialmente la superficie de ataque.

Impacto en la seguridad de iOS

Aunque Apple mantiene una reputación sólida en seguridad, estos hallazgos ponen en evidencia varios desafíos críticos:

• Persistencia de vulnerabilidades explotables
• Reutilización de exploits zero-day
• Capacidad de adaptación de frameworks maliciosos
• Escalabilidad de ataques dirigidos a usuarios comunes

El soporte de Coruna para versiones de iOS desde la 13.0 hasta la 17.2.1 amplía considerablemente el número de dispositivos vulnerables, especialmente aquellos que no han sido actualizados.

Recomendaciones de seguridad

Para mitigar riesgos asociados a este tipo de amenazas, se recomienda:

• Mantener siempre actualizado el sistema operativo iOS
• Evitar acceder a enlaces sospechosos o sitios no confiables
• Utilizar soluciones de seguridad móvil avanzadas
• Implementar monitoreo de tráfico y comportamiento en dispositivos corporativos
• Aplicar políticas de seguridad Zero Trust en entornos empresariales

En fin...

El surgimiento de Coruna como evolución directa de la Operación Triangulación marca un punto de inflexión en el panorama de amenazas móviles. Su diseño modular, capacidad de adaptación y reutilización de exploits lo convierten en una herramienta extremadamente peligrosa.

A medida que estas tecnologías continúan filtrándose y siendo adoptadas por actores menos sofisticados, el riesgo para usuarios individuales y organizaciones seguirá creciendo. La ciberseguridad en dispositivos móviles ya no es opcional, sino un componente crítico de cualquier estrategia de protección digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un ciudadano ruso de 26 años ha sido condenado en Estados Unidos a más de seis años de prisión por su implicación en múltiples ataques de ransomware contra organizaciones. El caso pone en evidencia el papel crítico de los intermediarios en el ecosistema del cibercrimen moderno, especialmente aquellos conocidos como brokers de acceso inicial (IAB).

El acusado, Aleksei Olegovich Volkov, fue sentenciado a 81 meses de prisión tras declararse culpable de facilitar accesos ilegales a redes corporativas que posteriormente fueron explotadas por grupos de ransomware, incluyendo el conocido Yanluowang.

Cómo operaba el intermediario del cibercrimen

De acuerdo con el Departamento de Justicia de los Estados Unidos, Volkov desempeñaba un rol esencial dentro de la cadena de ataque: el de intermediario que obtenía accesos iniciales a sistemas comprometidos.

Su modus operandi incluía:

• Explotación de vulnerabilidades en redes empresariales
• Acceso no autorizado mediante credenciales comprometidas
• Venta de accesos a grupos de ransomware en foros clandestinos

Una vez vendido el acceso, otros actores maliciosos desplegaban malware para cifrar los sistemas de las víctimas, interrumpiendo operaciones y exigiendo pagos millonarios en criptomonedas.

Este modelo de colaboración criminal demuestra la profesionalización del ransomware, donde cada actor cumple un rol específico dentro de una estructura similar a una empresa.

Impacto económico de los ataques

Las actividades de Aleksei Olegovich Volkov provocaron más de:

• 9 millones de dólares en pérdidas reales
• 24 millones de dólares en pérdidas estimadas

Las víctimas incluyeron empresas estadounidenses y otras ორგანიზaciones que vieron paralizadas sus operaciones tras la infección con ransomware.

El esquema seguía un patrón clásico:

• Acceso inicial vendido por el intermediario
• Despliegue de malware por parte del grupo atacante
• Cifrado de datos críticos
• Exigencia de rescate bajo amenaza de filtración

Este último punto refleja la evolución hacia el modelo de doble extorsión, donde los atacantes no solo bloquean el acceso a los datos, sino que también amenazan con hacerlos públicos.

Arresto, extradición y condena

Volkov fue arrestado el 18 de enero de 2024 en Italia y posteriormente extraditado a Estados Unidos para enfrentar cargos federales. En noviembre de 2025 se declaró culpable de múltiples delitos, incluyendo:

• Fraude informático
• Tráfico de credenciales
• Robo de identidad agravado
• Blanqueo de capitales

Como parte del acuerdo judicial, también aceptó pagar una indemnización de más de 9,16 millones de dólares a las víctimas, además de renunciar a los activos utilizados en sus actividades criminales.

Ransomware como servicio: una industria en expansión

El caso de Aleksei Olegovich Volkov ilustra el crecimiento del modelo Ransomware-as-a-Service (RaaS), donde diferentes actores colaboran para maximizar beneficios.

Grupos como Yanluowang operan como organizaciones estructuradas, con afiliados, desarrolladores, negociadores y proveedores de acceso.

Este ecosistema permite escalar ataques de forma masiva, reduciendo la barrera de entrada para nuevos ciberdelincuentes.

Nuevo caso: negociador vinculado a BlackCat

En paralelo, fiscales estadounidenses han acusado a otro individuo por su papel en ataques del grupo BlackCat (también conocido como ALPHV).

El acusado, Angelo Martino, habría actuado como negociador de rescates, ayudando a maximizar los pagos exigidos a al menos diez víctimas.

Martino trabajaba para DigitalMint, una empresa especializada en respuesta a incidentes y negociación de ransomware. Sin embargo, sus acciones violaban las políticas internas de la compañía, que confirmó su despido tras conocerse los hechos.

Incautaciones millonarias en criptomonedas

Las autoridades lograron incautar aproximadamente 9,2 millones de dólares en criptomonedas, incluyendo:

• Bitcoin
• Monero
• Ripple
• Solana
• Stellar

Además, se confiscaron vehículos y propiedades de lujo vinculadas a las ganancias ilícitas.

Martino enfrenta una pena de hasta 20 años de prisión, mientras que otros implicados en la red, como Ryan Clifford Goldberg y Kevin Tyler Martin, ya se declararon culpables en 2025.

Implicaciones para la ciberseguridad empresarial

Estos casos reflejan tendencias clave en el panorama actual de amenazas:

• Especialización del cibercrimen: Roles definidos como brokers, afiliados y negociadores
• Uso de criptomonedas: Facilitan pagos anónimos y dificultan la trazabilidad
• Ataques dirigidos: Enfocados en organizaciones con alta capacidad de pago
• Escalada legal: Mayor cooperación internacional para perseguir ciberdelincuentes

Las empresas deben reforzar sus estrategias de defensa, especialmente en:

• Gestión de accesos y credenciales
• Monitorización de redes
• Respuesta a incidentes
• Protección contra ransomware

En fin...

La condena de Aleksei Olegovich Volkov y los cargos contra Angelo Martino evidencian el esfuerzo creciente de las autoridades por desmantelar el ecosistema del ransomware.

Sin embargo, también subrayan la complejidad de este tipo de delitos, donde múltiples actores colaboran en una cadena altamente organizada. La lucha contra el cibercrimen no solo requiere tecnología avanzada, sino también cooperación internacional, inteligencia compartida y una estrategia integral de ciberseguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva oleada de ataques a la cadena de suministro de software ha puesto en jaque a desarrolladores y empresas de todo el mundo. Dos flujos de trabajo de GitHub Actions han sido comprometidos con malware roba credenciales por el actor de amenazas TeamPCP, una operación cibercriminal nativa en la nube que ya había sido vinculada previamente al ataque contra el escáner de vulnerabilidades Trivy.

Este incidente no solo confirma la evolución de los ataques dirigidos a pipelines CI/CD, sino que también evidencia cómo una intrusión inicial puede escalar rápidamente en un compromiso masivo de la cadena de suministro.

Flujos de trabajo comprometidos y origen del ataque

Los flujos de trabajo afectados pertenecen a la empresa de seguridad Checkmarx, específicamente:

• checkmarx/ast-github-action
• checkmarx/kics-github-action

La firma de seguridad Sysdig identificó que el malware utilizado es prácticamente idéntico al observado en el ataque previo contra Trivy, desarrollado por Aqua Security.

El incidente relacionado con Trivy ha sido catalogado como CVE-2026-33634 con una puntuación crítica CVSS de 9.4, lo que subraya la gravedad del compromiso inicial.

Según los investigadores, las credenciales robadas en ese ataque fueron reutilizadas para comprometer nuevas acciones en GitHub, lo que demuestra una estrategia de expansión lateral altamente efectiva.

Cómo funciona el malware "TeamPCP Cloud Stealer"

El malware, conocido como TeamPCP Cloud Stealer, está diseñado para recolectar credenciales y secretos sensibles desde los entornos de ejecución CI/CD. Entre los datos que puede robar se incluyen:

• Claves SSH y credenciales Git
• Tokens de Amazon Web Services (AWS), Google Cloud y Microsoft Azure
• Configuraciones de Kubernetes y Docker
• Archivos .env y credenciales de bases de datos
• Accesos a VPN y plataformas CI/CD
• Webhooks de Slack y Discord
• Monederos de criptomonedas

El ataque se ejecuta mediante la inyección de código malicioso en acciones legítimas, utilizando etiquetas manipuladas que apuntan a commits comprometidos. En estos commits se incluye un script denominado You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, encargado de desplegar el malware.

Técnicas de evasión y persistencia

Uno de los aspectos más sofisticados del ataque es el uso de dominios tipográficos falsos, como checkmarx[.]zona, diseñados para parecer legítimos. Esta técnica dificulta la detección manual, ya que el tráfico parece dirigirse a dominios oficiales.

Los datos robados se empaquetan en un archivo cifrado llamado tpcp.tar.gz y se exfiltran a servidores controlados por los atacantes. Además, el malware crea repositorios ocultos como docs-tpcp utilizando el token de GitHub de la víctima, funcionando como mecanismo de respaldo en caso de fallo en la exfiltración principal.

En entornos no CI, el malware puede establecer persistencia mediante servicios de systemd, ejecutando tareas periódicas para descargar nuevas cargas maliciosas.

Impacto: compromiso en cascada de la cadena de suministro

El verdadero peligro de este ataque radica en su capacidad de propagación. Al robar tokens de acceso personal (PAT) con permisos de escritura, los atacantes pueden:

• Inyectar código malicioso en otros repositorios
• Comprometer nuevas acciones de GitHub
• Escalar privilegios dentro de organizaciones

Esto genera un efecto dominó, donde una única vulnerabilidad inicial puede desencadenar un compromiso masivo de múltiples proyectos y empresas.

Extensión del ataque: VSX, Docker y Kubernetes

Investigadores de Wiz revelaron que los atacantes también comprometieron extensiones del registro Open VSX, incluyendo:

• ast-results (v2.53.0)
• cx-dev-assist (v1.7.0)

Estas extensiones, al ser instaladas, verifican la presencia de credenciales en servicios como GitHub, AWS, Google Cloud y Azure, y posteriormente descargan cargas adicionales.

Además, se han detectado:

• Imágenes Docker maliciosas de Trivy
• Secuestro de la organización aquasec-com en GitHub
• Ataques a clústeres de Kubernetes con scripts destructivos

Uno de los comportamientos más preocupantes es la ejecución de scripts que eliminan sistemas completos bajo ciertas condiciones geográficas, lo que indica una posible motivación geopolítica en fases avanzadas de la campaña.

Fallos en la detección: lecciones clave

El ataque logró evadir controles tradicionales porque:

• El código malicioso se inyectó en acciones confiables
• Las revisiones de código no detectaron cambios en etiquetas
• El escaneo de dependencias no identificó el compromiso en origen

Esto resalta la necesidad de adoptar enfoques más avanzados en seguridad de la cadena de suministro, incluyendo validación criptográfica y monitoreo continuo.

Medidas de mitigación recomendadas

Para reducir el impacto de este tipo de amenazas, se recomienda:

• Rotar inmediatamente todos los tokens y credenciales
• Auditar logs en busca de indicadores como tpcp.tar.gz
• Buscar repositorios sospechosos como "docs-tpcp"
• Fijar acciones de GitHub a commits SHA en lugar de etiquetas
• Monitorizar tráfico saliente hacia dominios desconocidos
• Restringir el acceso a metadatos en entornos CI

En fin...

El ataque liderado por TeamPCP representa una evolución significativa en las amenazas a la cadena de suministro de software. Al explotar plataformas críticas como GitHub Actions y servicios cloud, los atacantes logran maximizar su alcance con un esfuerzo relativamente bajo.

La combinación de robo de credenciales, persistencia avanzada y propagación lateral convierte este incidente en una advertencia clara para organizaciones que dependen de pipelines CI/CD. En un entorno donde la automatización es clave, la seguridad debe ser igualmente dinámica, proactiva y profundamente integrada en cada fase del desarrollo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa de tecnología educativa Infinite Campus ha alertado a sus clientes sobre una reciente brecha de datos derivada de un intento de extorsión por parte de un actor malicioso. Este incidente vuelve a poner en evidencia la creciente presión que enfrentan las plataformas educativas frente a ciberataques dirigidos, especialmente aquellos que explotan servicios de terceros como Salesforce.

Aunque la compañía no ha emitido un comunicado público oficial, diversos distritos escolares confirmaron haber recibido notificaciones de seguridad. La situación se ha visto agravada por la aparición del grupo de ciberdelincuencia ShinyHunters, que afirma estar detrás del ataque y amenaza con filtrar los datos robados si no se negocia un rescate.

¿Qué ocurrió en la brecha de Infinite Campus?

Según la notificación enviada a clientes, los atacantes lograron acceder a la cuenta de Salesforce de un empleado de Infinite Campus. Este acceso no autorizado permitió la exposición de cierta información, aunque la empresa ha señalado que la mayoría de los datos comprometidos eran de carácter público o fácilmente accesibles en directorios escolares.

El ataque se enmarca dentro de una campaña más amplia que ha afectado a múltiples organizaciones que utilizan Salesforce, lo que sugiere un patrón sistemático de explotación de cuentas mal protegidas o comprometidas mediante técnicas como phishing o robo de credenciales.

ShinyHunters intensifica la presión con amenazas de filtración

El grupo ShinyHunters publicó recientemente una "advertencia final" en la dark web, asegurando haber exfiltrado datos sensibles, incluyendo información personal identificable (PII) y registros internos de la empresa.

Los atacantes dieron como plazo el 25 de marzo de 2026 para iniciar negociaciones, amenazando con hacer públicos los datos si no se cumplían sus demandas. Sin embargo, Infinite Campus ha dejado claro que no entablará negociaciones con los extorsionadores, una postura alineada con las recomendaciones de muchas agencias de ciberseguridad.

Este grupo ha estado vinculado a campañas de gran escala, incluyendo incidentes como el hackeo de plataformas asociadas a Salesforce, donde aseguran haber comprometido más de 1.500 millones de registros en operaciones previas.

Alcance real del incidente

Infinite Campus es una de las plataformas de gestión educativa más importantes de Estados Unidos, con presencia en más de 3.200 distritos escolares y gestionando datos de aproximadamente 11 millones de estudiantes en 46 estados.

A pesar de la magnitud potencial, la empresa ha indicado que:

• No se accedió a bases de datos principales de estudiantes
• No se comprometieron registros académicos ni información crítica
• Los datos expuestos corresponden principalmente a nombres y contactos del personal escolar

Esto sugiere que el ataque fue limitado en alcance, aunque no exento de riesgos, especialmente en términos de ingeniería social y ataques dirigidos.

Riesgos de seguridad: más allá de los datos "públicos"

Aunque los datos comprometidos sean considerados "públicos", su agregación y contextualización por parte de ciberdelincuentes puede facilitar ataques sofisticados.

Entre los principales riesgos destacan:

• Spear phishing dirigido a personal educativo
• Suplantación de identidad en comunicaciones oficiales
• Acceso a sistemas internos mediante ingeniería social
• Campañas de malware dirigidas a instituciones educativas

La combinación de datos aparentemente inofensivos puede convertirse en un vector de ataque altamente efectivo cuando se utiliza estratégicamente.

Medidas adoptadas por Infinite Campus

Tras detectar el incidente, Infinite Campus implementó varias acciones para mitigar riesgos:

• Restricción de servicios de atención al cliente sin control de IP
• Auditoría completa de los datos almacenados en Salesforce
• Notificación directa a distritos escolares potencialmente afectados
• Refuerzo de controles de acceso y monitoreo

Estas medidas buscan contener cualquier posible exposición adicional y prevenir accesos no autorizados futuros.

Un patrón creciente: ataques a plataformas educativas

Este incidente recuerda al ataque sufrido por PowerSchool en diciembre de 2024, donde se comprometieron datos de más de 62 millones de estudiantes. En ese caso, el responsable fue identificado y condenado, pero el impacto evidenció la fragilidad del sector educativo frente a amenazas cibernéticas.

Las plataformas EdTech son objetivos especialmente atractivos debido a:

• El volumen masivo de datos personales
• La diversidad de usuarios (estudiantes, padres, docentes)
• La limitada madurez en ciberseguridad de muchas instituciones educativas

Lecciones clave para la ciberseguridad en EdTech

El incidente de Infinite Campus deja importantes aprendizajes:

Seguridad en terceros: El uso de plataformas como Salesforce introduce riesgos adicionales que deben gestionarse activamente.
Protección de credenciales: La autenticación multifactor (MFA) es esencial para prevenir accesos no autorizados.
Monitorización continua: Detectar comportamientos anómalos puede marcar la diferencia entre un incidente menor y una brecha masiva.
Respuesta a extorsión: No ceder ante atacantes reduce incentivos para futuras campañas.

En fin...

La brecha de datos en Infinite Campus demuestra cómo incluso accesos limitados pueden escalar en amenazas reputacionales y operativas significativas. Aunque el impacto técnico parece contenido, el contexto de extorsión y la participación de ShinyHunters elevan la gravedad del incidente.

En un entorno donde los ataques a plataformas educativas siguen en aumento, reforzar la seguridad en servicios de terceros, proteger credenciales y adoptar estrategias proactivas de defensa se vuelve imprescindible para mitigar riesgos y proteger la información de millones de usuarios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La reconocida plataforma de recompensas por errores HackerOne ha notificado a cientos de empleados sobre una filtración de datos personales tras un ciberataque dirigido a Navia, uno de sus proveedores de administración de beneficios en Estados Unidos. Este incidente pone nuevamente en el foco los riesgos asociados a terceros en la cadena de suministro digital, así como la creciente sofisticación de ataques que explotan vulnerabilidades críticas.

¿Qué ocurrió en la brecha de datos?

Según información presentada ante autoridades regulatorias en EE. UU., el incidente se originó debido a una vulnerabilidad clasificada como Broken Object Level Authorization (BOLA), una falla de seguridad común en aplicaciones web y APIs que permite a actores no autorizados acceder a datos restringidos.

El acceso no autorizado tuvo lugar entre el 22 de diciembre de 2025 y el 15 de enero de 2026, periodo durante el cual un atacante desconocido logró extraer información sensible desde los sistemas de Navia. La actividad sospechosa fue detectada el 23 de enero de 2026, y posteriormente se notificó a las organizaciones afectadas en febrero.

En total, 287 empleados de HackerOne resultaron afectados por esta brecha, aunque el número podría ser mayor si se consideran dependientes vinculados a los registros comprometidos.

¿Qué datos fueron expuestos?

La filtración incluyó una amplia gama de información personal altamente sensible, entre ella:

• Nombres completos
• Números de Seguridad Social
• Direcciones físicas
• Números de teléfono
• Correos electrónicos
• Fechas de nacimiento
• Información de inscripción y vigencia de beneficios
• Datos de dependientes asociados

Aunque Navia aseguró que no se comprometieron datos financieros ni reclamaciones médicas, la información filtrada es más que suficiente para facilitar ataques avanzados de phishing, fraude de identidad e ingeniería social.

Riesgos derivados: phishing e ingeniería social

El tipo de datos expuestos en esta brecha representa un riesgo significativo. Los ciberdelincuentes pueden utilizar esta información para crear campañas altamente personalizadas de phishing, haciéndose pasar por entidades legítimas o incluso por la propia empresa.

Este tipo de ataques, conocidos como spear phishing, se apoyan en datos reales para aumentar su credibilidad, lo que incrementa drásticamente la probabilidad de éxito. Además, la combinación de información personal y laboral permite diseñar escenarios de engaño extremadamente convincentes.

HackerOne y su papel en la ciberseguridad global

HackerOne es una de las plataformas más importantes en el ecosistema de ciberseguridad, gestionando más de 1.950 programas de recompensas por errores. Entre sus clientes se encuentran grandes corporaciones como General Motors, Goldman Sachs, Anthropic, GitHub y Uber, así como entidades gubernamentales como el Departamento de Defensa de los Estados Unidos.

El incidente pone de manifiesto que incluso organizaciones altamente enfocadas en seguridad pueden verse afectadas indirectamente a través de proveedores externos, un vector de ataque cada vez más explotado.

Navia: un eslabón crítico en la cadena

Por su parte, Navia administra beneficios para más de 10.000 empleadores en Estados Unidos, lo que la convierte en un objetivo atractivo para los atacantes. Este tipo de empresas centralizan grandes volúmenes de datos personales, lo que amplifica el impacto de cualquier vulnerabilidad.

Aunque la compañía ha indicado que el incidente no fue causado por ransomware y que ningún grupo de ciberdelincuencia ha reclamado la autoría, la naturaleza del ataque sugiere un enfoque dirigido a la exfiltración silenciosa de datos.

Medidas recomendadas tras la brecha

HackerOne ha recomendado a los empleados afectados adoptar medidas inmediatas para mitigar riesgos:

• Supervisar cuentas financieras y actividad crediticia
• Estar alerta ante correos o mensajes sospechosos
• Cambiar contraseñas y preguntas de seguridad
• Activar servicios de protección de identidad

Navia, por su parte, ha ofrecido 12 meses de monitoreo de crédito y protección contra robo de identidad, una práctica estándar en este tipo de incidentes.

Lecciones clave en ciberseguridad

Este incidente deja varias lecciones críticas para organizaciones y profesionales de seguridad:

Riesgo de terceros: La seguridad no solo depende de la propia infraestructura, sino también de proveedores y socios.
Importancia de APIs seguras: Vulnerabilidades como BOLA siguen siendo una de las principales amenazas en aplicaciones modernas.
Detección temprana: La rapidez en identificar actividad sospechosa es clave para reducir el impacto.
Protección de datos personales: Incluso sin datos financieros, la información personal puede ser altamente explotable.


En fin...

La brecha de datos que afectó indirectamente a HackerOne a través de Navia es un claro ejemplo de cómo las vulnerabilidades en terceros pueden desencadenar incidentes de gran impacto. A medida que las organizaciones dependen cada vez más de ecosistemas digitales interconectados, la gestión de riesgos en la cadena de suministro se convierte en una prioridad estratégica.

El uso de vulnerabilidades como Broken Object Level Authorization demuestra que, a pesar de los avances en ciberseguridad, fallos conocidos siguen siendo explotados activamente por actores maliciosos. La prevención, monitorización y respuesta rápida continúan siendo pilares fundamentales para mitigar este tipo de amenazas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de phishing ha encendido las alarmas en la comunidad de ciberseguridad al aprovechar una parte poco conocida de la infraestructura de Internet: el dominio de uso especial .arpa y el sistema de DNS inverso IPv6. Investigadores han descubierto que los atacantes están utilizando esta técnica para evadir sistemas de detección de phishing, reputación de dominios y pasarelas de seguridad de correo electrónico.

El análisis fue realizado por expertos de Infoblox, quienes identificaron una campaña activa que manipula el funcionamiento del DNS inverso para ocultar infraestructuras maliciosas y distribuir páginas de phishing mediante URLs difíciles de detectar por los sistemas de seguridad tradicionales.

Este método demuestra cómo los actores maliciosos están explotando componentes fundamentales de la arquitectura de Internet para mejorar la efectividad de sus ataques y evitar ser bloqueados.

Qué es el dominio .arpa y para qué se utiliza

El dominio .arpa no es un dominio tradicional utilizado para páginas web. En realidad, es un dominio de nivel superior reservado para infraestructura de Internet, gestionado para soportar funciones técnicas esenciales del ecosistema DNS.

Entre sus principales usos se encuentran:

• Búsquedas DNS inversas
• Resolución de direcciones IP a nombres de host
• Servicios técnicos relacionados con redes

En el sistema DNS convencional, los usuarios consultan nombres de dominio como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para obtener su dirección IP. Sin embargo, en el caso del DNS inverso ocurre lo contrario: se consulta una dirección IP para determinar el nombre de host asociado.

Para realizar estas consultas se utilizan dominios específicos dentro de .arpa:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para direcciones IPv4
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para direcciones IPv6

Este sistema permite que los servidores y herramientas de red identifiquen el origen de una dirección IP mediante registros PTR (Pointer Records).

Cómo funciona el DNS inverso en la práctica

Cuando un sistema necesita resolver una dirección IP a un nombre de host, el DNS utiliza una representación invertida de la dirección IP dentro de los dominios .arpa.

Por ejemplo, el dominio Google tiene la dirección IPv4 192.178.50.36. Al realizar una consulta inversa con la herramienta Dig, el sistema genera una consulta como:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El servidor DNS responde con un registro PTR que apunta a un nombre de host legítimo.

El mismo proceso ocurre con IPv6, aunque la representación es más extensa. Por ejemplo, una dirección IPv6 puede resolverse mediante un nombre extremadamente largo dentro de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que posteriormente se traduce a un hostname.

Esta funcionalidad es ampliamente utilizada en diagnóstico de redes, verificación de servidores de correo y análisis de tráfico.

Cómo los atacantes están abusando de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según Infoblox, los ciberdelincuentes han descubierto una forma de aprovechar el control sobre bloques de direcciones IPv6 para manipular el DNS inverso y crear dominios utilizados en ataques de phishing.

El proceso funciona de la siguiente manera:

• Los atacantes obtienen un bloque de direcciones IPv6 mediante servicios de túnel IPv6 o proveedores de red.
• Una vez controlado el rango de direcciones, configuran la zona DNS inversa correspondiente.
• En lugar de crear únicamente registros PTR, añaden otros tipos de registros DNS.
• Estos registros se utilizan para redirigir tráfico hacia infraestructuras de phishing.

Normalmente, el DNS inverso está diseñado solo para registrar PTR records, pero algunas plataformas de gestión DNS permiten crear registros A, CNAME u otros registros adicionales, lo que abre una puerta a posibles abusos.

Los investigadores confirmaron que los atacantes han utilizado proveedores conocidos como:

• Cloudflare
• Hurricane Electric

Ambos servicios poseen una reputación sólida, lo que ayuda a que el tráfico malicioso parezca legítimo ante herramientas de seguridad.

Infraestructura de phishing basada en DNS inverso

Una vez que los atacantes obtienen control sobre la zona DNS inversa, generan subdominios complejos y aparentemente aleatorios derivados de la dirección IPv6.

Un ejemplo típico podría verse así:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este tipo de dominios resulta difícil de identificar para filtros de seguridad y también puede pasar desapercibido para las víctimas.

En lugar de crear registros PTR tradicionales, los atacantes configuran registros A que apuntan a servidores de phishing.

Como resultado, cuando un usuario interactúa con el enlace, el sistema DNS lo resuelve hacia una infraestructura controlada por los atacantes.

Cómo se distribuyen los enlaces de phishing

Los correos electrónicos maliciosos utilizan diversos señuelos de ingeniería social, entre ellos:

• Promesas de premios
• Recompensas por encuestas
• Notificaciones de cuentas
• Alertas falsas de servicios

Los enlaces de phishing no se muestran directamente como URLs sospechosas. En cambio, se incrustan en imágenes dentro del correo electrónico.

Cuando el usuario hace clic en la imagen, el sistema realiza una consulta DNS al dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, lo que desencadena la cadena de resolución hacia el servidor controlado por el atacante.

Uso de sistemas de distribución de tráfico (TDS)

Una vez que el usuario accede al enlace, el tráfico pasa por un Traffic Distribution System (TDS).

Este sistema analiza diferentes características del visitante, como:

• Dirección IP
• Tipo de dispositivo
• Ubicación geográfica
• Referencias web
• Navegador

Si el visitante parece ser una víctima potencial, el TDS lo redirige a un sitio de phishing activo.

En cambio, si detecta que se trata de un investigador o herramienta de análisis, el sistema puede redirigirlo a sitios legítimos para ocultar la campaña.

Enlaces efímeros para evadir análisis

Otro aspecto interesante de esta campaña es la vida útil extremadamente corta de los enlaces maliciosos.

Según Infoblox, muchos enlaces permanecen activos solo durante unos días. Posteriormente:

• Redirigen a errores de dominio
• Apuntan a sitios legítimos
• Desaparecen completamente

Esta estrategia dificulta que los investigadores puedan analizar el ataque una vez detectado.

Falta de datos WHOIS dificulta la detección

El uso del dominio .arpa también representa un desafío adicional para las herramientas de seguridad.

A diferencia de los dominios tradicionales, los dominios dentro de .arpa no contienen información WHOIS pública, como:

• Antigüedad del dominio
• Información de registro
• Datos de contacto del propietario

Muchos sistemas de detección de phishing utilizan estos datos para evaluar la reputación de un dominio, por lo que la ausencia de esta información reduce la eficacia de los filtros automáticos.

Otras técnicas utilizadas en la campaña

Además del abuso de DNS inverso, los investigadores identificaron otras tácticas utilizadas por los atacantes.

Entre ellas:

Secuestro de CNAME colgantes

Los ciberdelincuentes aprovecharon registros CNAME mal configurados en sitios legítimos para redirigir tráfico a sus propios servidores.

Shadowing de subdominios

También se detectó subdomain shadowing, una técnica que permite a los atacantes crear subdominios dentro de dominios comprometidos.

Infoblox identificó más de 100 casos donde se utilizaron CNAMEs secuestrados de:

• agencias gubernamentales
• universidades
• empresas de telecomunicaciones
• medios de comunicación
• minoristas

Esto permitió que el contenido de phishing pareciera provenir de organizaciones legítimas y confiables.

Por qué esta técnica es peligrosa

El abuso del DNS inverso representa una evolución preocupante en las tácticas de phishing, ya que explota infraestructura legítima de Internet que normalmente es considerada confiable.

Al utilizar dominios .arpa y proveedores DNS con buena reputación, los atacantes pueden generar URLs que eluden los mecanismos tradicionales de detección.

Esto demuestra que los actores maliciosos continúan innovando para evitar las defensas basadas en reputación de dominio.

Cómo protegerse contra este tipo de ataques

A pesar de la sofisticación de estas campañas, existen buenas prácticas que pueden reducir significativamente el riesgo de ser víctima de phishing.

Entre ellas:

• No hacer clic en enlaces inesperados en correos electrónicos
• Verificar siempre la URL antes de introducir credenciales
• Acceder a servicios directamente desde sus sitios oficiales
• Utilizar autenticación multifactor
• Mantener actualizado el software de seguridad

La educación del usuario sigue siendo una de las defensas más efectivas contra el phishing, incluso frente a técnicas avanzadas como el abuso del DNS inverso.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La inteligencia artificial continúa transformando el panorama de la ciberseguridad. En un reciente avance en la detección automatizada de fallos de software, Anthropic anunció que descubrió 22 nuevas vulnerabilidades de seguridad en el navegador web Mozilla Firefox como parte de una colaboración con Mozilla.

Los fallos fueron identificados gracias al uso del modelo de lenguaje avanzado Claude Opus 4.6, que analizó miles de archivos del código fuente del navegador en un proceso intensivo de revisión automatizada. Según la compañía, las vulnerabilidades se descubrieron en un período de dos semanas durante enero de 2026, demostrando el potencial de los modelos de inteligencia artificial para detectar errores complejos en software a gran escala.

De las 22 vulnerabilidades detectadas:

• 14 fueron clasificadas como de alta gravedad
• 7 como de gravedad moderada
• 1 como de baja gravedad

La mayoría de estos fallos ya fueron solucionados en la versión Firefox 148, lanzada a finales del mes pasado, mientras que el resto se corregirá en futuras actualizaciones del navegador.

Claude Opus 4.6 y su papel en la auditoría de seguridad

El descubrimiento de estas vulnerabilidades fue posible gracias a Claude Opus 4.6, un modelo de inteligencia artificial diseñado para tareas complejas de análisis y razonamiento en código.

Anthropic explicó que el número de vulnerabilidades críticas detectadas por el modelo representa casi una quinta parte de todas las vulnerabilidades de alta gravedad corregidas en Firefox durante 2025, lo que pone de relieve la eficiencia de las herramientas basadas en IA para reforzar la seguridad del software.

Uno de los aspectos más llamativos del experimento fue la rapidez con la que el modelo logró identificar problemas potenciales. Según la empresa, el sistema detectó un error de uso después de liberar memoria (use-after-free) en el motor JavaScript del navegador tras apenas 20 minutos de exploración del código.

Posteriormente, este hallazgo fue verificado por un investigador humano en un entorno virtualizado, descartando la posibilidad de que se tratara de un falso positivo.

Análisis de miles de archivos del código fuente

Durante el proceso de investigación, Claude Opus 4.6 llevó a cabo un análisis masivo del código fuente del navegador.

En total:

• Se analizaron casi 6.000 archivos escritos en C++
• Se generaron 112 informes únicos de seguridad
• De ellos surgieron las 22 vulnerabilidades confirmadas

Este enfoque demuestra cómo la IA puede complementar el trabajo de los investigadores humanos al analizar enormes bases de código en un tiempo considerablemente menor.

Anthropic también compartió la lista completa de vulnerabilidades identificadas con Mozilla para facilitar su corrección y mejorar la seguridad del navegador.

IA capaz de desarrollar exploits: un experimento revelador

Además de identificar fallos de seguridad, Anthropic decidió probar otra capacidad del modelo: crear exploits funcionales para las vulnerabilidades detectadas.

Para ello, los investigadores dieron acceso al sistema a la lista completa de fallos reportados y le solicitaron desarrollar pruebas de explotación.

Tras realizar cientos de pruebas y gastar aproximadamente 4.000 dólares en créditos de API, el resultado fue revelador:

Claude Opus 4.6 solo logró convertir dos vulnerabilidades en exploits funcionales.

Este experimento permitió identificar dos conclusiones clave:

• Detectar vulnerabilidades es significativamente más fácil que explotarlas.
• Los modelos de IA son más eficaces identificando errores que desarrollando exploits complejos.

No obstante, Anthropic advirtió que el simple hecho de que un modelo de IA sea capaz de generar exploits automáticamente, aunque sea en pocos casos, plantea preocupaciones para la seguridad futura.

Los exploits funcionaban solo en entornos de prueba

La empresa aclaró que los exploits generados por Claude solo funcionaban dentro de un entorno de pruebas controlado, diseñado específicamente para el experimento.

En este entorno:

• Se eliminaron algunas funciones de seguridad
• Se deshabilitaron ciertos mecanismos de sandboxing
• Se permitió una mayor interacción con el código vulnerable

Esto significa que los exploits no eran directamente utilizables en entornos reales, pero demostraban que el modelo podía identificar la lógica necesaria para explotar determinados fallos.

Un sistema de verificación automática de exploits

Un componente clave del proceso fue la implementación de un verificador automático de tareas.

Este sistema permitía comprobar si un exploit generado por la IA funcionaba realmente, proporcionando retroalimentación en tiempo real al modelo.

Gracias a este mecanismo, la herramienta podía:

• Probar automáticamente diferentes enfoques de explotación
• Analizar el resultado de cada intento
• Ajustar sus estrategias de manera iterativa

Este proceso permitió al modelo refinar sus intentos hasta generar exploits funcionales en algunos casos.

Un exploit crítico relacionado con WebAssembly

Uno de los exploits desarrollados por la IA estaba relacionado con la vulnerabilidad CVE-2026-2796, que obtuvo una puntuación CVSS de 9,8, considerada crítica.

El fallo fue descrito como una compilación incorrecta just-in-time (JIT) dentro del componente WebAssembly de JavaScript del navegador.

Este tipo de errores puede permitir a los atacantes ejecutar código malicioso o comprometer el navegador, lo que subraya la importancia de corregir rápidamente este tipo de vulnerabilidades.

IA y seguridad del software: una tendencia en crecimiento

El descubrimiento de estas vulnerabilidades llega poco después de que Anthropic anunciara Claude Code Security, una herramienta basada en inteligencia artificial diseñada para analizar código fuente y generar parches de seguridad automáticamente.

Según la compañía, este sistema utiliza verificadores automáticos para evaluar si los parches generados realmente corrigen la vulnerabilidad sin romper el funcionamiento del software.

Aunque Anthropic admite que no todos los parches generados por IA están listos para integrarse directamente en el código, la empresa considera que estas herramientas representan un avance significativo para mejorar la seguridad del software.

Mozilla confirma el potencial del análisis asistido por IA

Por su parte, Mozilla confirmó que el enfoque de análisis asistido por inteligencia artificial ha permitido descubrir otros 90 fallos adicionales en Firefox, muchos de los cuales ya han sido solucionados.

Estos errores incluían:

• Fallos de aserción
• Problemas lógicos en el código
• Vulnerabilidades que no habían sido detectadas por herramientas tradicionales de fuzzing

Según el desarrollador del navegador, los resultados obtenidos demuestran que la combinación de ingeniería de seguridad tradicional con herramientas de inteligencia artificial puede mejorar significativamente la detección de fallos.

CitarMozilla afirmó:

"La escala de los hallazgos refleja el poder de combinar ingeniería rigurosa con nuevas herramientas de análisis para la mejora continua".

El futuro de la ciberseguridad impulsada por IA

El descubrimiento de vulnerabilidades en Firefox mediante inteligencia artificial demuestra que las herramientas basadas en IA se están convirtiendo en aliados clave para los ingenieros de seguridad.

A medida que el software se vuelve más complejo y los proyectos de código abierto crecen en tamaño, analizar manualmente millones de líneas de código resulta cada vez más difícil.

En este contexto, los modelos de IA como Claude Opus 4.6 pueden actuar como asistentes de seguridad capaces de revisar grandes bases de código, detectar fallos críticos y ayudar a los desarrolladores a corregirlos más rápidamente.

Sin embargo, el hecho de que estas mismas tecnologías puedan generar exploits funcionales plantea nuevos desafíos para la industria, ya que también podrían ser utilizadas por actores maliciosos.

Lo que parece claro es que la inteligencia artificial será una pieza fundamental en la próxima generación de herramientas de ciberseguridad, tanto para defender sistemas como para descubrir vulnerabilidades antes de que sean explotadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La ciberseguridad continúa evolucionando rápidamente impulsada por la inteligencia artificial. En este contexto, OpenAI anunció el lanzamiento de Codex Security, un agente de seguridad basado en IA diseñado para detectar, validar y proponer soluciones para vulnerabilidades en proyectos de software.

La nueva herramienta fue desplegada inicialmente el viernes en fase de vista previa de investigación, permitiendo a desarrolladores y equipos de seguridad evaluar su funcionamiento en entornos reales. Actualmente, Codex Security está disponible para clientes de ChatGPT en los planes Pro, Enterprise, Business y Edu, a través de la plataforma web de Codex. Como incentivo inicial, la compañía ofrece uso gratuito durante el primer mes, facilitando la adopción temprana de esta tecnología.

Este lanzamiento marca un paso importante hacia la automatización avanzada de la seguridad de aplicaciones, permitiendo analizar grandes repositorios de código y detectar fallos complejos que muchas herramientas tradicionales no logran identificar.

Un nuevo enfoque de seguridad basado en IA

Según OpenAI, Codex Security está diseñado para comprender profundamente el contexto de cada proyecto, lo que le permite identificar vulnerabilidades sofisticadas que otras herramientas automatizadas pueden pasar por alto.

La compañía explicó que el agente es capaz de:

• Construir un modelo contextual del sistema y su arquitectura.
• Identificar vulnerabilidades potenciales en el código fuente.
• Validar automáticamente los hallazgos para reducir falsos positivos.
• Proponer correcciones prácticas y listas para implementar.

CitarEn palabras de la empresa, Codex Security puede:

"Construir un contexto profundo sobre tu proyecto para identificar vulnerabilidades complejas que otras herramientas agenticas pasan por alto, generando hallazgos de mayor confianza con correcciones que mejoran significativamente la seguridad del sistema".

Esta capacidad permite filtrar el ruido de errores insignificantes, uno de los problemas más comunes en herramientas tradicionales de análisis estático.

Evolución del proyecto Aardvark

Codex Security no surge de cero. La herramienta representa una evolución directa del proyecto Aardvark, que OpenAI presentó en beta privada en octubre de 2025.

Aardvark fue diseñado originalmente como un sistema experimental para ayudar a desarrolladores y equipos de seguridad a detectar vulnerabilidades a gran escala en repositorios de código.

Con el paso de los meses, la tecnología fue perfeccionándose hasta convertirse en Codex Security, que ahora integra:

• Modelos de IA de última generación
• Capacidades avanzadas de razonamiento
• Validaciones automatizadas
• Simulación de vulnerabilidades en entornos sandbox

Este enfoque permite que la herramienta no solo identifique problemas, sino que también demuestre su explotabilidad antes de alertar al equipo de seguridad.

Resultados de la beta: más de 1,2 millones de commits analizados

Durante los últimos 30 días de pruebas beta, Codex Security analizó más de 1,2 millones de commits en repositorios externos, demostrando su capacidad para operar a gran escala.

Los resultados obtenidos muestran el potencial de la IA aplicada a la seguridad del software:

• 792 hallazgos críticos
• 10.561 vulnerabilidades de alta gravedad

Entre los proyectos analizados se encuentran importantes iniciativas de software de código abierto, incluyendo:

• OpenSSH
• GnuTLS
• Gogs
• libssh
• PHP
• Chromium

Estas investigaciones permitieron descubrir diversas vulnerabilidades identificadas posteriormente como CVE, entre ellas:

Vulnerabilidades destacadas

GnuPG

• CVE-2026-24881
• CVE-2026-24882

GnuTLS

• CVE-2025-32988
• CVE-2025-32989

GOGS

• CVE-2025-64175
• CVE-2026-25242

Torio

• CVE-2025-35430
• CVE-2025-35431
• CVE-2025-35432
• CVE-2025-35433
• CVE-2025-35434
• CVE-2025-35435
• CVE-2025-35436

Estos hallazgos demuestran cómo los agentes de IA pueden analizar millones de líneas de código y detectar vulnerabilidades críticas que podrían pasar desapercibidas durante auditorías manuales.

Cómo funciona Codex Security

El agente de seguridad de OpenAI utiliza un proceso de tres etapas diseñado para maximizar la precisión de los hallazgos y reducir falsos positivos.

1. Análisis del repositorio y modelado de amenazas

En primer lugar, Codex Security analiza el repositorio para comprender la estructura del sistema y su arquitectura de seguridad.

A partir de este análisis, genera un modelo de amenazas editable que describe:

• Qué hace el sistema
• Qué componentes son críticos
• Dónde existen posibles puntos de exposición

Este modelo sirve como base para todo el análisis posterior.

2. Identificación y validación de vulnerabilidades

Una vez construido el contexto del sistema, el agente utiliza esa información para identificar vulnerabilidades potenciales y evaluar su impacto real.

Cada hallazgo es sometido a pruebas de presión en un entorno sandbox, lo que permite validar si el fallo es realmente explotable.

CitarSegún OpenAI, cuando Codex Security se configura con un entorno adaptado al proyecto:

"Puede validar problemas directamente en el contexto del sistema en ejecución".

Este enfoque permite:

• Reducir significativamente los falsos positivos
• Generar pruebas de concepto funcionales (PoC)
• Proporcionar evidencia técnica sólida para los equipos de seguridad

3. Propuesta de soluciones y remediación

En la etapa final, el agente genera soluciones y parches sugeridos alineados con el comportamiento del sistema.

Esto permite:

• Reducir el riesgo de regresiones
• Facilitar la revisión por parte de desarrolladores
• Acelerar el despliegue de correcciones

De esta manera, Codex Security se posiciona no solo como una herramienta de detección, sino también como un asistente completo de remediación de vulnerabilidades.

Reducción significativa de falsos positivos

Uno de los mayores desafíos en herramientas de seguridad automatizadas es la gran cantidad de falsos positivos, que generan alertas innecesarias y ralentizan el trabajo de los equipos de seguridad.

OpenAI asegura que Codex Security aborda este problema mediante:

• Comprensión contextual del sistema
• Validación automática de hallazgos
• Simulación de ataques en sandbox

Los análisis realizados por la compañía muestran una reducción de más del 50 % en las tasas de falsos positivos en todos los repositorios analizados.

Esto mejora notablemente la relación señal-ruido, permitiendo que los analistas se concentren únicamente en vulnerabilidades relevantes.

Competencia creciente en seguridad impulsada por IA


El lanzamiento de Codex Security llega en un momento en el que múltiples empresas están desarrollando herramientas de seguridad basadas en inteligencia artificial.

Recientemente, Anthropic presentó Claude Code Security, una herramienta diseñada para analizar bases de código en busca de vulnerabilidades y sugerir parches de seguridad.

Este movimiento confirma una tendencia clara: la automatización de auditorías de seguridad mediante IA está transformando el desarrollo seguro de software.

El futuro de la ciberseguridad con agentes de IA

La llegada de Codex Security marca un cambio significativo en la forma en que se abordan las vulnerabilidades de software. En lugar de depender exclusivamente de análisis manuales o herramientas estáticas tradicionales, los equipos de seguridad pueden ahora aprovechar agentes inteligentes capaces de comprender sistemas completos y validar vulnerabilidades en tiempo real.

Si la tecnología continúa evolucionando, herramientas como Codex Security podrían convertirse en componentes esenciales del ciclo de desarrollo seguro (DevSecOps), permitiendo detectar fallos críticos antes de que lleguen a producción.

En un panorama donde el software se vuelve cada vez más complejo, la inteligencia artificial podría convertirse en el aliado más poderoso para defender la seguridad del código.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa de infraestructura de red Cisco ha advertido sobre la explotación activa de dos vulnerabilidades de seguridad en su software Catalyst SD-WAN Manager, una plataforma clave utilizada por organizaciones para gestionar redes corporativas distribuidas. La compañía instó a los administradores de sistemas a actualizar inmediatamente los dispositivos vulnerables para evitar posibles compromisos de red.

Las fallas identificadas como CVE-2026-20122 y CVE-2026-20128 están siendo utilizadas por actores maliciosos en ataques reales, lo que eleva significativamente el nivel de riesgo para empresas que dependen de esta solución de administración de redes.

Qué es Cisco Catalyst SD-WAN Manager

Cisco Catalyst SD‑WAN Manager —conocido anteriormente como vManage— es un software de gestión centralizada que permite a los administradores monitorizar, configurar y controlar redes WAN definidas por software.

La plataforma puede administrar hasta 6.000 dispositivos Catalyst SD-WAN desde un único panel de control, lo que la convierte en una herramienta esencial para grandes empresas, proveedores de servicios y organismos gubernamentales.

Entre sus principales funciones destacan:

• Administración centralizada de routers SD-WAN
• Supervisión del rendimiento de la red
• Automatización de políticas de seguridad
• Configuración remota de dispositivos
• Gestión de tráfico y conectividad entre sedes

Debido a su papel central en la infraestructura de red, una vulnerabilidad en esta plataforma puede tener consecuencias críticas, permitiendo a los atacantes comprometer múltiples sistemas dentro de una organización.

Vulnerabilidades explotadas activamente

Según el equipo de respuesta ante incidentes de seguridad de Cisco (PSIRT), las vulnerabilidades explotadas actualmente son:

CVE-2026-20122 – Sobrescritura arbitraria de archivos

Esta vulnerabilidad de alta gravedad permite a un atacante sobrescribir archivos arbitrarios en el sistema.

Para explotarla, el atacante debe:

• Tener credenciales válidas de solo lectura
• Contar con acceso a la API del sistema

Aunque requiere autenticación, el impacto sigue siendo significativo, ya que la manipulación de archivos críticos puede facilitar escalada de privilegios, persistencia o sabotaje del sistema.

CVE-2026-20128 – Divulgación de información

La segunda vulnerabilidad identificada corresponde a un fallo de gravedad media que permite a atacantes obtener información sensible del sistema.

En este caso, la explotación requiere:

• Acceso local al sistema
• Credenciales válidas de vManage

A pesar de su clasificación de gravedad moderada, la filtración de información puede proporcionar a los atacantes datos valiosos para planificar ataques más avanzados contra la infraestructura de red.

Impacto general de las vulnerabilidades

Cisco ha confirmado que estas fallas afectan a Cisco Catalyst SD-WAN Manager independientemente de la configuración del dispositivo, lo que significa que cualquier implementación vulnerable podría ser explotada.

La compañía recomienda actualizar inmediatamente a versiones de software corregidas, ya que actualmente no existen soluciones temporales o mitigaciones completas que eliminen el riesgo.

El aviso de seguridad actualizado en marzo de 2026 indica que las otras vulnerabilidades listadas en el boletín original aún no han sido explotadas, pero la situación podría cambiar rápidamente.

Ataques de día cero contra Cisco SD-WAN desde 2023

La advertencia de Cisco llega poco después de que la empresa confirmara otra vulnerabilidad crítica explotada activamente en su infraestructura SD-WAN.

La falla identificada como CVE-2026-20127 corresponde a una vulnerabilidad de evasión de autenticación que ha sido utilizada en ataques de día cero desde al menos 2023.

Esta vulnerabilidad permitió a atacantes altamente sofisticados:

• Comprometer controladores SD-WAN
• Insertar pares no autorizados en la red
• Introducir dispositivos maliciosos que aparentaban ser legítimos

Una vez dentro de la red, los atacantes podían moverse lateralmente y ampliar el acceso dentro de la infraestructura corporativa.

Intervención de agencias de seguridad internacionales

Las actividades relacionadas con esta vulnerabilidad fueron lo suficientemente graves como para activar alertas de organismos de ciberseguridad internacionales.

La agencia estadounidense Cybersecurity and Infrastructure Security Agency (CISA) emitió la Directiva de Emergencia 26-03, que exige a las agencias federales:

• Inventariar todos los sistemas Cisco SD-WAN
• Recopilar artefactos forenses
• Aplicar actualizaciones de seguridad
• Investigar posibles brechas relacionadas con la vulnerabilidad

La advertencia también fue respaldada por autoridades de ciberseguridad del Reino Unido, reflejando la preocupación global sobre los ataques dirigidos a infraestructuras de red críticas.

Otras vulnerabilidades críticas parcheadas por Cisco

Además de las fallas en Catalyst SD-WAN Manager, Cisco también publicó actualizaciones de seguridad para corregir dos vulnerabilidades críticas adicionales en su plataforma de administración de firewalls.

Estas afectan a Cisco Secure Firewall Management Center (FMC), una herramienta utilizada para gestionar dispositivos de seguridad de red.

Las vulnerabilidades incluyen:

CVE-2026-20079 – Evasión de autenticación

Esta falla permite a atacantes evadir mecanismos de autenticación y acceder al sistema sin credenciales válidas.

CVE-2026-20131 – Ejecución remota de código (RCE)

La segunda vulnerabilidad permite la ejecución remota de código Java arbitrario en dispositivos no parcheados.

Un atacante podría aprovechar esta falla para:

• Ejecutar código malicioso
• Obtener privilegios root

• Tomar control total del sistema operativo subyacente

Debido a su gravedad, Cisco recomienda aplicar las actualizaciones de seguridad de forma inmediata.

Riesgos para empresas y organizaciones

Las vulnerabilidades en plataformas de gestión de red representan uno de los escenarios más peligrosos en ciberseguridad empresarial.

Si un atacante compromete una herramienta centralizada como Catalyst SD-WAN Manager, podría:

• Controlar múltiples routers de red
• Redirigir tráfico corporativo
• Interceptar comunicaciones internas
• Insertar dispositivos maliciosos
• Facilitar ataques posteriores como ransomware

Esto convierte a las plataformas SD-WAN en objetivos prioritarios para grupos de ciberespionaje y actores patrocinados por estados.

Recomendaciones de seguridad

Los expertos recomiendan varias medidas para mitigar el riesgo asociado a estas vulnerabilidades:

• Actualizar inmediatamente el software a las versiones corregidas.
• Limitar el acceso a interfaces de administración únicamente a redes confiables.
• Revisar registros y logs del sistema en busca de actividad sospechosa.
• Implementar autenticación multifactor para cuentas administrativas.
• Realizar auditorías periódicas de seguridad en infraestructuras SD-WAN.

En fin...

La explotación activa de vulnerabilidades en Cisco Catalyst SD‑WAN Manager demuestra nuevamente que las plataformas de administración de red son objetivos críticos para los ciberdelincuentes.

A medida que las organizaciones dependen cada vez más de arquitecturas SD-WAN para conectar infraestructuras distribuidas, mantener estos sistemas actualizados y protegidos se vuelve fundamental para evitar compromisos de gran escala en redes corporativas.

La rápida aplicación de parches y una estrategia sólida de seguridad de red siguen siendo las mejores defensas frente a este tipo de amenazas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una operación internacional coordinada entre agencias de seguridad y empresas del sector tecnológico ha logrado desmantelar Tycoon 2FA, uno de los kits de phishing como servicio (PhaaS) más utilizados por ciberdelincuentes para lanzar ataques masivos de robo de credenciales mediante técnicas de Adversary-in-the-Middle (AiTM).

La plataforma criminal permitía a miles de atacantes ejecutar campañas automatizadas capaces de interceptar credenciales, códigos de autenticación multifactor (MFA) y cookies de sesión, facilitando el acceso no autorizado a cuentas corporativas y servicios en la nube. Según el organismo policial europeo Europol, Tycoon 2FA se había convertido en una de las operaciones de phishing más grandes del mundo.

Qué era Tycoon 2FA y cómo funcionaba

Tycoon 2FA apareció por primera vez en agosto de 2023 y rápidamente se popularizó en foros clandestinos y aplicaciones de mensajería cifrada como Telegram y Signal.

El servicio se ofrecía bajo un modelo de suscripción criminal, con precios relativamente bajos que lo hacían accesible incluso para ciberdelincuentes sin experiencia técnica.

Los planes incluían:

• 120 dólares por 10 días de acceso
• 350 dólares por un mes completo con panel administrativo

Según informes de inteligencia, el presunto desarrollador principal del kit sería Saad Fridi, un actor vinculado a operaciones de cibercrimen que presuntamente operaba desde Pakistán.

El panel de administración de Tycoon 2FA funcionaba como centro de control para campañas de phishing, permitiendo a los operadores:

• Configurar dominios y alojamiento web
• Crear páginas de phishing con plantillas predefinidas
• Gestionar campañas de correo electrónico
• Monitorizar credenciales robadas en tiempo real
• Automatizar redirecciones de víctimas
• Recibir datos robados directamente en Telegram

Esta facilidad de uso permitió que miles de actores maliciosos ejecutaran ataques sofisticados sin conocimientos avanzados de programación.

Un ataque masivo contra empresas y organizaciones

El impacto de Tycoon 2FA fue enorme. De acuerdo con los datos recopilados por Microsoft, la plataforma se convirtió en la infraestructura de phishing más prolífica observada por la compañía en 2025.

El grupo responsable de operar el servicio fue rastreado internamente por Microsoft bajo el nombre Storm-1747.

Entre los datos más relevantes de su actividad se encuentran:

• Más de 13 millones de correos maliciosos bloqueados en octubre de 2025
• Alrededor de 30 millones de emails de phishing enviados en un solo mes
• Aproximadamente 62 % de todos los intentos de phishing detectados por Microsoft en 2025

Desde su aparición en 2023, Tycoon 2FA estuvo vinculado a más de 96.000 víctimas de phishing en todo el mundo, incluyendo más de 55.000 clientes de Microsoft.

Infraestructura criminal desmantelada

Como parte de la operación internacional para desarticular el servicio, las autoridades lograron retirar más de 330 dominios maliciosos que formaban la infraestructura central del kit de phishing.

Estos dominios alojaban:

• Paneles administrativos
• Páginas falsas de autenticación
• servidores proxy AiTM
• sistemas de recolección de credenciales

La empresa de inteligencia de amenazas Intel 471 calificó la plataforma como "extremadamente peligrosa", señalando que estaba vinculada a más de 64.000 incidentes de phishing.

Por su parte, la firma de seguridad Trend Micro estimó que la plataforma contaba con aproximadamente 2.000 usuarios activos, lo que explica el enorme volumen de ataques generados.

Sectores más atacados por Tycoon 2FA

Las campañas de phishing impulsadas por este kit atacaron prácticamente todos los sectores económicos, entre ellos:

• Educación
• Sanidad
• Finanzas
• Organizaciones sin ánimo de lucro
• Gobierno
• Empresas tecnológicas

Los correos de phishing enviados mediante Tycoon 2FA llegaban a más de 500.000 organizaciones cada mes, lo que demuestra la escala industrial del ataque.

Las páginas de phishing imitaban portales de autenticación de servicios ampliamente utilizados como:

• Microsoft 365
• OneDrive
• Outlook
• SharePoint
• Gmail

Cómo Tycoon 2FA lograba evadir la autenticación multifactor

Uno de los aspectos más preocupantes del kit era su capacidad para burlar sistemas MFA mediante ataques AiTM.

En lugar de atacar directamente el sistema de autenticación, Tycoon 2FA actuaba como un proxy intermediario entre la víctima y el servicio legítimo.

El proceso funcionaba de la siguiente manera:

• La víctima accedía a una página de phishing idéntica a la real.
• Introducía su usuario y contraseña.
• El sistema pedía el código MFA.
• El proxy enviaba esa información al servicio real.
• El atacante capturaba simultáneamente:

• credenciales
• cookies de sesión
• tokens de autenticación

Gracias a esta técnica, los ciberdelincuentes podían mantener acceso a la cuenta incluso después de que la víctima cambiara la contraseña, siempre que las sesiones activas no fueran revocadas.

Técnicas avanzadas para evitar la detección

Tycoon 2FA también integraba múltiples mecanismos para evadir herramientas de seguridad:

• Monitorización de pulsaciones de teclado
• Protección anti-bots
• Huella digital del navegador
• Ofuscación avanzada de código
• CAPTCHAs autoalojados
• JavaScript personalizado
• Páginas señuelo dinámicas

Además, la infraestructura utilizaba dominios de vida corta alojados en la red de Cloudflare.

Los dominios completamente cualificados (FQDN) solían permanecer activos entre 24 y 72 horas, lo que dificultaba su inclusión en listas negras de seguridad.

La técnica ATO Jumping: propagación desde cuentas comprometidas

Otra táctica utilizada por los operadores del kit fue el llamado ATO Jumping.

Según la empresa de seguridad Proofpoint, esta técnica consiste en utilizar una cuenta de correo comprometida para enviar nuevos correos de phishing a los contactos de la víctima.

Esto aumenta significativamente la probabilidad de éxito porque:

• los mensajes parecen legítimos
• provienen de un contacto de confianza
• contienen enlaces a nuevas páginas de phishing

El impacto real del phishing AiTM en las empresas

Los ataques basados en identidad están creciendo rápidamente. De acuerdo con datos de Proofpoint:

• 99 % de las organizaciones experimentaron intentos de toma de cuentas en 2025
• 67 % sufrió al menos una toma de cuenta exitosa
• 59 % de las cuentas comprometidas tenían MFA activado

Esto demuestra que los ataques AiTM pueden superar mecanismos de seguridad tradicionales, convirtiéndose en una de las amenazas más peligrosas para empresas y organizaciones.

El acceso al correo corporativo: el primer paso para ataques mayores

Los expertos advierten que comprometer una cuenta de correo empresarial suele ser el punto de partida para ataques más destructivos.

Una vez dentro de la infraestructura de una organización, los atacantes pueden:

• robar información confidencial
• lanzar campañas de fraude interno
• escalar privilegios
• desplegar ransomware
• exfiltrar datos sensibles

El desmantelamiento de Tycoon 2FA representa un golpe importante contra el ecosistema del phishing como servicio, pero los investigadores advierten que nuevos kits similares podrían aparecer rápidamente en la escena del cibercrimen.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ciberdelincuentes continúan perfeccionando sus tácticas de ingeniería social para comprometer sistemas y robar información sensible. En esta ocasión, investigadores de seguridad han identificado una nueva variante de la técnica conocida como ClickFix, denominada InstallFix, que engaña a los usuarios para que ejecuten comandos maliciosos en la terminal bajo la apariencia de instalar herramientas legítimas de línea de comandos (CLI).

Este método aprovecha una práctica muy común entre desarrolladores y usuarios técnicos: copiar y ejecutar comandos de instalación directamente desde Internet, especialmente los conocidos scripts "curl-to-bash", sin revisar previamente el código o la procedencia del recurso.

La investigación fue realizada por la empresa de ciberseguridad Push Security, especializada en detección y respuesta a amenazas en navegadores. Según su análisis, los atacantes están utilizando páginas clonadas de herramientas CLI populares para distribuir comandos de instalación manipulados que descargan malware.

Cómo funciona la técnica InstallFix

La técnica InstallFix se basa en un principio simple pero extremadamente efectivo: hacer que la víctima ejecute voluntariamente un comando malicioso creyendo que está instalando software legítimo.

El proceso del ataque suele desarrollarse en varias fases:

Creación de páginas web clonadas
Los atacantes replican fielmente las páginas oficiales de herramientas CLI populares, incluyendo diseño, logotipos y documentación técnica.

Inserción de comandos de instalación maliciosos
Las instrucciones para instalar el software contienen scripts modificados que descargan malware desde servidores controlados por los atacantes.

Distribución mediante anuncios maliciosos
Las páginas fraudulentas se promocionan a través de campañas de malvertising en motores de búsqueda.[/li][/list]

Ejecución del comando por parte de la víctima
El usuario copia el comando de instalación y lo ejecuta en su terminal, lo que inicia la descarga e instalación del malware.

El problema se agrava porque el modelo de seguridad actual en muchos entornos técnicos se basa simplemente en confiar en el dominio del sitio web, lo que deja abierta la puerta a ataques basados en clonación de páginas.

Páginas falsas de Claude Code utilizadas en la campaña

En su investigación, Push Security identificó una página de instalación clonada de Claude Code, el asistente de codificación basado en línea de comandos desarrollado por Anthropic.

La página fraudulenta replicaba casi perfectamente el sitio legítimo:

Diseño y marca idénticos

• Documentación técnica copiada
• Enlaces que redirigían al sitio oficial

La única diferencia crítica se encontraba en las instrucciones de instalación para macOS y Windows, que incluían comandos manipulados para descargar malware desde servidores controlados por los atacantes.

Esto hace que el ataque sea especialmente peligroso, ya que todo el resto de la navegación parece legítima, lo que reduce las sospechas de la víctima.

Según los investigadores, un usuario que siga las instrucciones falsas podría continuar utilizando el sitio sin darse cuenta de que su sistema ya ha sido comprometido.

Malvertising en Google Ads para atraer víctimas

Los ciberdelincuentes promocionaron estas páginas fraudulentas mediante campañas de anuncios maliciosos en Google Ads, lo que permitió que aparecieran en los primeros resultados de búsqueda.

Consultas como:

• "Claude Code install"
• "Claude Code CLI"

mostraban anuncios patrocinados que redirigían a sitios falsos.

Investigadores de seguridad confirmaron que algunos de estos sitios maliciosos seguían activos y promocionándose en los resultados patrocinados de Google.

Uno de los dominios identificados alojaba el clon de la documentación oficial en una página hospedada en Squarespace, lo que hacía que el sitio pareciera aún más confiable para los usuarios.

Amatera Stealer: el malware distribuido en el ataque

El objetivo final de estas campañas es infectar los sistemas con Amatera Stealer, un malware diseñado para robar información sensible de los dispositivos comprometidos.

Entre los datos que puede robar se encuentran:

• Credenciales de inicio de sesión
• Cookies de autenticación
• Tokens de sesión
• Datos almacenados en navegadores
• Información del sistema
• Carteras de criptomonedas

Amatera es considerado un malware relativamente nuevo y se cree que está basado en ACR Stealer, una herramienta comercializada en el modelo Malware-as-a-Service (MaaS) dentro de comunidades de cibercrimen.

Métodos de infección en macOS y Windows

Los investigadores observaron diferentes métodos de infección dependiendo del sistema operativo de la víctima.

Ataques en macOS

Los comandos maliciosos incluían scripts codificados en Base64 que descargaban y ejecutaban un binario desde un dominio controlado por el atacante.

En uno de los casos analizados se utilizó el dominio wriconsult[.]com, que posteriormente fue desactivado.

Ataques en Windows

En sistemas Windows el comando malicioso utilizaba la herramienta legítima mshta.exe para recuperar la carga maliciosa.

El proceso también activaba otros componentes del sistema como:

conhost.exe

Estos procesos permitían ejecutar la carga final del malware Amatera Stealer sin levantar sospechas en muchas herramientas de seguridad.

Infraestructura difícil de bloquear

Uno de los aspectos más preocupantes de esta campaña es la infraestructura utilizada por los atacantes.

Las páginas maliciosas estaban alojadas en plataformas legítimas como:

• Cloudflare (Cloudflare Pages)
• Squarespace
• Tencent (Tencent EdgeOne)

El uso de servicios legítimos hace que los sitios fraudulentos sean más difíciles de detectar y bloquear, ya que se encuentran dentro de infraestructuras ampliamente utilizadas por empresas y desarrolladores.

Campañas similares con GitHub y Bing

Los investigadores también identificaron una campaña reciente en la que los atacantes utilizaron la técnica InstallFix para distribuir instaladores falsos de OpenClaw alojados en repositorios de GitHub.

Estos repositorios maliciosos fueron promocionados a través de resultados de búsqueda generados por inteligencia artificial en el motor de búsqueda de Microsoft, lo que demuestra cómo los ciberdelincuentes están adaptando sus tácticas para aprovechar nuevas tecnologías.

Cómo protegerse de ataques InstallFix

Los expertos en ciberseguridad recomiendan adoptar varias medidas preventivas para evitar este tipo de ataques:

1. Verificar siempre la fuente de instalación
Descargar herramientas únicamente desde sitios oficiales.

2. Evitar copiar comandos sin revisarlos
Especialmente scripts que utilizan curl, wget o bash.

3. Ignorar resultados patrocinados en búsquedas
Muchos ataques comienzan desde anuncios maliciosos.

4. Guardar enlaces oficiales
Marcar como favoritos las páginas legítimas de descarga de software.

5. Revisar indicadores de compromiso (IOC)
Las empresas de seguridad suelen publicar dominios y hashes asociados a campañas activas.

Una amenaza creciente para usuarios y desarrolladores

El auge de herramientas CLI y plataformas de desarrollo ha ampliado la superficie de ataque para los ciberdelincuentes. La técnica InstallFix demuestra cómo los atacantes pueden aprovechar hábitos comunes de los desarrolladores para ejecutar malware con privilegios elevados.

A medida que más usuarios no técnicos comienzan a utilizar herramientas de línea de comandos, este tipo de ataques podría convertirse en una amenaza significativa para organizaciones, desarrolladores y entornos DevOps.

Por ello, los expertos recomiendan reforzar la educación en seguridad y las prácticas de verificación de código, especialmente cuando se ejecutan scripts descargados directamente desde Internet.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una operación internacional coordinada entre agencias de seguridad ha logrado desmantelar LeakBase, uno de los foros clandestinos más grandes utilizados por ciberdelincuentes para comprar y vender bases de datos robadas, credenciales filtradas y herramientas de cibercrimen. La acción forma parte de un esfuerzo global para frenar el comercio ilegal de información sensible en Internet y marca un golpe significativo contra el ecosistema de mercados clandestinos.

La plataforma, que operaba en la web abierta (clearnet) bajo el dominio leakbase[.]la, contaba con más de 142.000 miembros registrados y más de 215.000 publicaciones activas hasta diciembre de 2025, según información proporcionada por el Departamento de Justicia de Estados Unidos. Tras la intervención de las autoridades, quienes intentan acceder al sitio ahora se encuentran con una pancarta de incautación que confirma la confiscación del dominio por parte del Buró Federal de Investigaciones.

El aviso oficial indica que todo el contenido del foro ha sido preservado como evidencia, incluyendo cuentas de usuario, publicaciones, mensajes privados, registros de IP y datos financieros, lo que podría derivar en futuras investigaciones y procesos judiciales contra los implicados.

LeakBase: un mercado clandestino de datos robados

LeakBase se había consolidado en los últimos años como uno de los principales centros de intercambio de información filtrada en Internet. El foro permitía a los usuarios comprar y vender grandes volúmenes de datos obtenidos mediante brechas de seguridad, ataques de malware o campañas de robo de credenciales.

Entre la información comercializada se encontraban:

• Bases de datos completas de empresas hackeadas
• Credenciales de acceso (usuario y contraseña)
• Números de tarjetas de crédito y débito
• Datos bancarios y números de enrutamiento
• Información personal de usuarios
• Registros de malware infostealer

Estos datos robados se utilizan con frecuencia para llevar a cabo tomas de control de cuentas (ATO), fraudes financieros, phishing y ataques de suplantación de identidad. En muchos casos, las credenciales filtradas permiten a los atacantes acceder a servicios corporativos, plataformas de comercio electrónico o cuentas personales.

La investigación también reveló que LeakBase operaba desde junio de 2021, y con el tiempo logró consolidar una comunidad activa dedicada a la distribución de datos comprometidos provenientes de organizaciones de todo el mundo.

El administrador del foro: el alias "Chucky"

Las autoridades también identificaron al principal responsable detrás del foro. El administrador de LeakBase utilizaba el alias "Chucky", aunque también era conocido en la escena clandestina como Chuckies y Sqlrip.

Según informes de la empresa de inteligencia de amenazas SOCRadar, este actor llevaba años compartiendo grandes colecciones de bases de datos robadas, muchas de ellas con información sensible de organizaciones internacionales y usuarios de distintos países.

Además, LeakBase mantenía ciertas reglas internas para reducir la atención de las autoridades. Un informe de la firma de inteligencia digital Flare publicado en abril de 2023 reveló que el foro prohibía explícitamente la publicación de bases de datos provenientes de Rusia, una estrategia que algunos foros clandestinos utilizan para evitar conflictos con actores locales o vigilancia estatal.

Problemas técnicos antes del cierre

Curiosamente, semanas antes de la operación policial, el foro había experimentado interrupciones en su servicio. La empresa de seguridad SpyCloud informó que LeakBase había estado fuera de línea durante varios días, mientras su administrador buscaba un nuevo proveedor de alojamiento.

Este movimiento levantó sospechas dentro de la comunidad de ciberseguridad, ya que los cambios frecuentes de hosting suelen ser indicio de presión policial o intentos de evitar rastreo por parte de investigadores.

Entre los otros moderadores y administradores identificados en la plataforma se encontraban usuarios conocidos en la escena underground como BloodyMery, OrderCheck y TSR.

Operación internacional contra el cibercrimen

El derribo del foro se realizó como parte de una operación internacional denominada "Operación Fuga", ejecutada entre los días 3 y 4 de marzo de 2026.

Durante esta acción coordinada, las autoridades llevaron a cabo:

• Órdenes de registro
• Arrestos
• Interrogatorios a sospechosos
• Medidas de intervención digital

Las acciones se desarrollaron en múltiples países, entre ellos:

• Estados Unidos
• Australia
• Bélgica
• Polonia
• Portugal
• Rumanía
• España
• Reino Unido

La coordinación internacional fue liderada por la agencia policial europea Europol, que colaboró con agencias de seguridad nacionales para desarticular la red de usuarios vinculados al foro.

Según el organismo europeo, LeakBase se especializaba especialmente en la venta de "registros de infostealers", es decir, archivos que contienen credenciales robadas mediante malware diseñado para capturar información almacenada en navegadores, sistemas o aplicaciones.

100 acciones policiales y usuarios bajo investigación

Durante la operación, las autoridades realizaron alrededor de 100 acciones de cumplimiento a nivel mundial, incluyendo medidas contra 37 de los usuarios más activos del foro.

Esto podría significar que los investigadores ahora cuentan con datos completos de actividad criminal, incluyendo direcciones IP, historiales de transacciones y comunicaciones privadas dentro de la plataforma.

El subdirector de la División de Ciberseguridad del Buró Federal de Investigaciones, Brett Leatherman, confirmó el alcance de la intervención:

Citar"El FBI, Europol y agencias de seguridad de todo el mundo llevaron a cabo el derribo de LeakBase, una de las mayores plataformas de ciberdelincuencia en línea, confiscando cuentas, publicaciones, datos de crédito, mensajes privados y registros de IP de usuarios con fines probatorios".

Esta información podría ser utilizada para identificar redes criminales, rastrear operaciones de fraude y procesar a los responsables de ataques cibernéticos.

Un golpe importante al ecosistema de foros clandestinos

El cierre de LeakBase representa un golpe significativo al mercado global de datos robados, pero los expertos advierten que el ecosistema del cibercrimen continúa evolucionando.

Cuando una plataforma clandestina es desmantelada, los actores maliciosos suelen migrar hacia nuevos foros, mercados de la dark web o canales privados en aplicaciones de mensajería.

Aun así, este tipo de operaciones internacionales demuestran que la cooperación entre agencias policiales y organizaciones de ciberseguridad puede interrumpir significativamente la infraestructura del cibercrimen, reducir la disponibilidad de datos robados y aumentar el riesgo para los delincuentes digitales.

Con la información incautada en LeakBase, es probable que en los próximos meses se produzcan nuevas detenciones, imputaciones y operaciones policiales, ampliando el impacto de la investigación iniciada con la Operación Fuga.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa de inteligencia artificial Anthropic anunció que ha identificado "campañas a escala industrial" de destilación ilegal dirigidas contra su modelo insignia, Claude, con el objetivo de extraer capacidades avanzadas para mejorar modelos competidores.

Según la compañía, tres laboratorios de IA con sede en China —DeepSeek, Moonshot AI y MiniMax— habrían generado más de 16 millones de intercambios con Claude utilizando aproximadamente 24.000 cuentas fraudulentas, violando los términos de servicio y las restricciones regionales de acceso.

Anthropic sostiene que el uso de sus servicios está prohibido en determinadas jurisdicciones debido a "riesgos legales, regulatorios y de seguridad", lo que agrava el impacto del incidente.

¿Qué es la destilación de modelos y por qué genera controversia?

La destilación en inteligencia artificial es una técnica legítima mediante la cual un modelo más pequeño se entrena utilizando las salidas generadas por un modelo más potente. Este enfoque permite reducir costes computacionales y crear versiones optimizadas.

Sin embargo, el problema surge cuando competidores utilizan modelos ajenos para acelerar su desarrollo, obteniendo capacidades avanzadas sin asumir los costes de investigación, infraestructura y entrenamiento.

CitarAnthropic afirma que este tipo de destilación ilícita no solo representa una infracción contractual, sino también un riesgo estratégico:

"Los modelos destilados ilícitamente carecen de las salvaguardas necesarias, lo que genera riesgos significativos para la seguridad nacional".

La empresa advierte que las salvaguardas incorporadas en Claude podrían perderse durante el proceso de extracción, permitiendo que capacidades sensibles se repliquen sin controles adecuados.

Riesgos de seguridad nacional y ciberoperaciones ofensivas

Uno de los aspectos más sensibles del informe es la advertencia sobre el uso potencial de estas capacidades en contextos militares o de inteligencia.

Según Anthropic, modelos obtenidos mediante destilación ilícita podrían servir como base para:

• Operaciones cibernéticas ofensivas
• Campañas de desinformación automatizadas
• Vigilancia masiva
• Desarrollo de sistemas de inteligencia militar

La preocupación radica en que las protecciones implementadas en modelos estadounidenses podrían eliminarse en versiones replicadas, facilitando usos maliciosos.

Detalles técnicos de las campañas de destilación

Anthropic aseguró que pudo atribuir cada campaña a un laboratorio específico mediante:

• Metadatos de solicitudes
• Correlación de direcciones IP
• Análisis de infraestructura
• Patrones de comportamiento anómalos

La compañía detectó que los prompts no seguían patrones de uso normales, sino que estaban diseñados deliberadamente para extraer capacidades concretas.

1. DeepSeek: enfoque en razonamiento y censura

La campaña atribuida a DeepSeek incluyó más de 150.000 intercambios centrados en:

Capacidades de razonamiento avanzado

Evaluaciones basadas en rúbricas

Generación de respuestas alternativas a consultas políticamente sensibles

Se identificaron solicitudes relacionadas con disidentes, liderazgo político y autoritarismo, buscando versiones "seguras contra censura".

2. Moonshot AI: agentes, herramientas y visión por ordenador

La campaña vinculada a Moonshot AI superó los 3,4 millones de intercambios, enfocándose en:

• Razonamiento agente
• Uso de herramientas
• Capacidades de codificación
• Desarrollo de agentes informáticos
• Visión por ordenador

3. MiniMax: codificación agente a gran escala

La operación más extensa fue atribuida a MiniMax, con más de 13 millones de interacciones centradas en:

• Capacidades de codificación avanzada
• Uso automatizado de herramientas
• Automatización de agentes

Anthropic señaló que el volumen y la estructura de los prompts evidencian una estrategia sistemática de extracción de capacidades.

Infraestructura proxy y arquitectura "Hydra"

Las campañas se apoyaron en servicios comerciales de proxy que revendían acceso a modelos de IA de vanguardia.

Según la empresa, estas redes utilizaban arquitecturas denominadas "clúster hydra", compuestas por:

• Miles de cuentas fraudulentas
• Rotación constante de credenciales
• Distribución masiva del tráfico
• Mezcla de tráfico legítimo con actividad maliciosa

En uno de los casos, una sola red gestionaba más de 20.000 cuentas simultáneamente, dificultando la detección.

Cuando una cuenta era suspendida, otra tomaba su lugar, eliminando puntos únicos de fallo y garantizando continuidad operativa.

Medidas adoptadas por Anthropic

Para mitigar la amenaza, Anthropic implementó:

• Clasificadores avanzados para detectar patrones de destilación
• Sistemas de huellas dactilares conductuales
• Refuerzo de verificación en cuentas educativas y de investigación
• Salvaguardas adicionales para reducir la utilidad de respuestas en procesos de extracción

Estas medidas buscan proteger la propiedad intelectual del modelo y evitar su replicación no autorizada.

Google también detecta intentos similares contra Gemini

La revelación se produce semanas después de que Google Threat Intelligence Group (GTIG) informara sobre ataques de extracción dirigidos al modelo Gemini.

Según Google, se detectaron más de 100.000 prompts diseñados para extraer capacidades de razonamiento.

CitarLa compañía aclaró que este tipo de ataques no suele afectar a los usuarios finales:

"El riesgo se concentra entre los desarrolladores de modelos y los proveedores de servicios".

Implicaciones para la industria de la inteligencia artificial

La competencia entre laboratorios de IA se intensifica a medida que los modelos avanzan en razonamiento, generación de código y autonomía agente.

La destilación ilícita plantea desafíos clave:

• Protección de propiedad intelectual
• Seguridad nacional
• Integridad de salvaguardas éticas
• Competencia tecnológica global

Además, evidencia cómo la infraestructura de proxies y redes distribuidas puede escalar ataques a millones de interacciones sin levantar sospechas inmediatas.

En fin...

El descubrimiento de campañas masivas de destilación ilegal contra Claude marca un punto de inflexión en la protección de modelos de inteligencia artificial avanzada.

Más allá del conflicto comercial, el incidente subraya la necesidad de:

• Controles más estrictos en APIs de IA
• Monitoreo avanzado de patrones de uso
• Cooperación internacional en regulación tecnológica

A medida que la IA se convierte en un activo estratégico global, la defensa frente a la extracción ilícita de modelos será tan importante como la protección frente a ciberataques tradicionales.

La carrera por el liderazgo en IA ya no solo se libra en el entrenamiento de modelos, sino también en la protección de sus capacidades frente a adversarios cada vez más sofisticados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han destapado una sofisticada campaña de cryptojacking que utiliza paquetes de software pirata como señuelos para desplegar una versión personalizada del minero XMRig en sistemas comprometidos.

El análisis técnico, publicado por la firma de seguridad Trellix, revela una infección en múltiples etapas que combina ingeniería social, persistencia avanzada, explotación a nivel de kernel y capacidades similares a gusanos, con el objetivo de maximizar la tasa de minería de criptomonedas y mantener el control del sistema el mayor tiempo posible.

Según el investigador Aswath A, el malware prioriza el rendimiento máximo de minería, incluso a costa de la estabilidad del sistema víctima, lo que puede provocar degradación severa del rendimiento y fallos operativos.

El vector de entrada: software premium pirata como señuelo

La campaña comienza con una técnica clásica pero eficaz: ingeniería social. Los atacantes promocionan supuestas versiones gratuitas de software premium —como suites de productividad de oficina— distribuidas en sitios de descarga no oficiales.

Cuando la víctima ejecuta el instalador, en realidad activa un cuentagotas malicioso que inicia el proceso de infección. Este binario actúa como el "sistema nervioso central" del ataque y está diseñado con una arquitectura modular capaz de:

• Instalar cargas útiles
• Supervisar el estado del minero
• Reiniciar procesos si son detenidos
• Escalar privilegios
• Eliminar rastros si es necesario

Esta separación entre módulos de control y módulos de minería permite mayor flexibilidad operativa y resiliencia frente a herramientas de seguridad.

Argumentos de línea de comandos y modos operativos

El malware implementa distintos modos de funcionamiento mediante argumentos específicos:

• Sin parámetro: validación del entorno y migración durante la fase inicial.
• "002 Re:0": despliegue de cargas principales y activación del minero.
• "016": reinicio del proceso de minería si se interrumpe.
• "Barusu": secuencia de autodestrucción que elimina todos los componentes.

Este diseño modular permite a los operadores controlar dinámicamente el ciclo de vida del malware.

Bomba lógica con fecha límite: 23 de diciembre de 2025

Uno de los elementos más llamativos es la inclusión de una bomba lógica que compara la fecha del sistema con una marca temporal predefinida.

• Antes del 23 de diciembre de 2025: el malware instala persistencia y ejecuta el minero.
• Después del 23 de diciembre de 2025: activa el modo "Barusu", iniciando un desmantelamiento controlado.

Según Trellix, esta fecha podría estar relacionada con:

• La expiración de infraestructura C2 alquilada
• Cambios previstos en el mercado de criptomonedas
• Transición hacia una nueva variante del malware

Este comportamiento demuestra planificación estratégica a largo plazo.

BYOVD y explotación de CVE-2020-14979

Para obtener privilegios elevados, el malware utiliza la técnica Bring Your Own Vulnerable Driver (BYOVD), cargando un controlador legítimo pero vulnerable: WinRing0x64.sys.

Este driver es explotado mediante la vulnerabilidad CVE-2020-14979, que permite escalada de privilegios con una puntuación CVSS de 7,8.

La integración del exploit en el minero XMRig permite:

• Ajustar configuraciones de bajo nivel de CPU
• Optimizar el algoritmo RandomX
• Incrementar la tasa de hash entre un 15% y un 50%

Este nivel de optimización convierte la campaña en una operación altamente eficiente desde el punto de vista económico.

Propagación tipo gusano mediante dispositivos extraíbles

A diferencia de campañas tradicionales de cryptojacking, esta variante incorpora capacidades de propagación autónoma.

El malware se replica en dispositivos de almacenamiento extraíbles, facilitando movimiento lateral incluso en entornos con air gap (aislados de Internet).

Trellix advierte que esta característica transforma el malware de un simple troyano en un gusano, ampliando significativamente su alcance.

Las pruebas indican que la actividad minera comenzó de forma esporádica en noviembre de 2025, intensificándose el 8 de diciembre del mismo año.

IA y explotación de React2Shell: el nuevo frente del cryptojacking

En paralelo, investigadores de Darktrace identificaron un artefacto de malware posiblemente generado con ayuda de modelos de lenguaje (LLM) que explota la vulnerabilidad CVE-2025-55182, conocida como React2Shell (CVSS 10.0).

Este exploit descarga un kit en Python que ejecuta comandos de shell para desplegar XMRig en sistemas vulnerables.

CitarSegún los investigadores Nathaniel Bill y Nathaniel Jones:

"Una sola sesión de prompting fue suficiente para generar un framework funcional capaz de comprometer más de 90 hosts".

Aunque las ganancias detectadas fueron modestas, el incidente demuestra cómo la IA está reduciendo la barrera de entrada al cibercrimen.

ILOVEPOOP: herramienta avanzada con operadores inexpertos

La API de inteligencia de amenazas WhoisXML API detectó el uso de una herramienta denominada ILOVEPOOP, diseñada para escanear sistemas vulnerables a React2Shell.

Según Alex Ronquillo, vicepresidente de producto:

• El código refleja conocimiento experto del framework React Server.
• Las técnicas empleadas no coinciden con kits documentados previamente.
• Sin embargo, los operadores cometieron errores básicos frente a honeypots.

Esto sugiere un posible modelo de división del trabajo, donde un equipo altamente capacitado desarrolla la herramienta y otro grupo ejecuta campañas masivas sin comprender completamente su funcionamiento.

Este patrón es habitual en operaciones patrocinadas por Estados o en ecosistemas de cibercrimen como servicio.

Impacto en sectores críticos

La actividad asociada a React2Shell e ILOVEPOOP ha afectado principalmente a organizaciones:

• Gubernamentales
• De defensa
• Financieras
• Industriales

Particularmente en Estados Unidos.

El uso combinado de exploits públicos, IA generativa y botnets de minería refuerza la tendencia hacia operaciones más automatizadas y escalables.

El cryptojacking evoluciona con IA y técnicas de kernel

Esta campaña demuestra que el cryptojacking sigue siendo una amenaza relevante y en constante evolución.

La combinación de:

• Ingeniería social con software pirata
• Arquitectura modular avanzada
• Propagación tipo gusano
• Explotación de drivers vulnerables (BYOVD)
• Uso potencial de IA para generar exploits

refleja un ecosistema criminal cada vez más sofisticado y accesible.

Las organizaciones deben reforzar:

• La monitorización de consumo anómalo de CPU
• La detección de drivers vulnerables cargados dinámicamente
• El bloqueo de software no autorizado
• La segmentación de red para evitar movimiento lateral

El cryptojacking ya no es solo una amenaza oportunista. Es una operación estratégica, resiliente y técnicamente avanzada que aprovecha tanto vulnerabilidades del sistema como debilidades humanas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SolarWinds ha publicado actualizaciones de seguridad urgentes para corregir cuatro vulnerabilidades críticas de ejecución remota de código (RCE) que afectan a su solución de transferencia de archivos Serv-U, una plataforma ampliamente utilizada en entornos corporativos para el intercambio seguro de datos.

Las fallas, corregidas en Serv-U versión 15.5.4, podrían permitir a atacantes con privilegios elevados obtener acceso root en servidores Linux o privilegios de administrador en sistemas Windows, comprometiendo por completo la integridad de los entornos afectados.

Dado que Serv-U es utilizado por organizaciones para transferir archivos sensibles mediante protocolos como FTP, FTPS, SFTP y HTTP/S, la explotación exitosa de estas vulnerabilidades representa un riesgo significativo de robo de datos, movimiento lateral y despliegue de ransomware.

¿Qué es SolarWinds Serv-U y por qué es un objetivo atractivo?

Serv-U es una solución de transferencia de archivos autoalojada que ofrece capacidades de:

• Managed File Transfer (MFT)
• Servidor FTP tradicional
• Soporte para FTPS y SFTP
• Transferencias seguras vía HTTP/S

Al estar desplegado directamente en infraestructuras empresariales, Serv-U suele gestionar información confidencial como:

• Documentos financieros
• Datos de clientes
• Propiedad intelectual
• Información contractual
• Archivos regulados

Por este motivo, el software de transferencia de archivos se ha convertido en un objetivo recurrente de ciberdelincuentes y actores patrocinados por Estados.

CVE-2025-40538: la vulnerabilidad más grave

La falla más crítica, identificada como CVE-2025-40538, se describe como una vulnerabilidad de control de acceso roto.

CitarSegún el aviso oficial de SolarWinds:

"Existe una vulnerabilidad rota en el control de acceso en Serv-U que, cuando se explota, otorga al atacante la capacidad de crear un usuario administrador de sistemas y ejecutar código arbitrario como root mediante privilegios de administrador de dominio o de grupo".

En términos prácticos, un atacante con privilegios elevados podría:

• Crear una cuenta administrativa persistente
• Ejecutar código arbitrario
• Escalar privilegios hasta root
• Tomar control total del servidor

Este escenario podría facilitar la implantación de puertas traseras, herramientas de acceso remoto o ransomware.

Otras vulnerabilidades corregidas

Además de CVE-2025-40538, SolarWinds solucionó:

• Dos vulnerabilidades de confusión de tipo (type confusion)
• Una vulnerabilidad IDOR (Insecure Direct Object Reference)

La falla IDOR también podría ser explotada para lograr ejecución de código con privilegios root en determinadas condiciones.

Aunque ninguna de las cuatro vulnerabilidades permite acceso no autenticado directo, todas pueden resultar críticas en entornos donde un atacante ya haya obtenido credenciales privilegiadas o logrado una escalada inicial.

Requisito de privilegios altos: ¿mitiga realmente el riesgo?

Un aspecto relevante es que las vulnerabilidades requieren que el atacante ya disponga de altos privilegios en el servidor objetivo. Esto limita los escenarios de explotación directa desde Internet.

Sin embargo, en ataques modernos es común que los actores maliciosos:

• Utilicen credenciales robadas previamente
• Encadenen vulnerabilidades para escalar privilegios
• Aprovechen configuraciones débiles en Active Directory
• Ejecuten ataques internos tras comprometer un endpoint

En este contexto, las nuevas vulnerabilidades de Serv-U pueden convertirse en el eslabón final para lograr control total de la infraestructura.

¿Cuántos servidores Serv-U están expuestos?

Actualmente, el motor de búsqueda de dispositivos conectados Shodan rastrea más de 12.000 servidores Serv-U expuestos a Internet.

Por su parte, la organización de monitoreo Shadowserver estima una cifra inferior a 1.200 servidores accesibles públicamente.

La diferencia entre ambas cifras puede deberse a variaciones en criterios de escaneo, pero en cualquier caso demuestra que existe una superficie de ataque considerable.

Historial de explotación: Serv-U en la mira de grupos de ransomware

Serv-U no es ajeno a incidentes de seguridad en los últimos años.

En 2021, el grupo de ransomware Clop explotó la vulnerabilidad CVE-2021-35211, una falla de ejecución remota de código en el componente FTP de Serv-U Secure, para comprometer redes corporativas.

Asimismo, actores vinculados a China, rastreados por Microsoft como DEV-0322, desplegaron exploits de día cero contra CVE-2021-35211 a partir de julio de 2021, principalmente contra empresas estadounidenses del sector defensa y software.

Más recientemente, en junio de 2024, las firmas de ciberseguridad Rapid7 y GreyNoise alertaron sobre la explotación activa de la vulnerabilidad de recorrido de rutas CVE-2024-28995, aprovechando exploits de prueba de concepto (PoC) disponibles públicamente.

CISA sigue rastreando fallos de SolarWinds

La Cybersecurity and Infrastructure Security Agency (CISA) está monitoreando actualmente al menos nueve vulnerabilidades de SolarWinds que han sido explotadas activamente en la naturaleza.

Este seguimiento continuo refuerza la necesidad de que las organizaciones mantengan actualizados sus sistemas y apliquen parches con rapidez, especialmente en software expuesto a Internet.

Impacto empresarial y riesgos reales

Si un atacante logra explotar las vulnerabilidades corregidas en Serv-U 15.5.4, podría:

• Exfiltrar documentos confidenciales
• Implantar malware persistente
• Manipular archivos críticos
• Interrumpir operaciones empresariales
• Preparar el entorno para un ataque de ransomware

Dado que Serv-U suele integrarse con Active Directory y sistemas internos, el compromiso podría extenderse más allá del servidor afectado.

Recomendaciones urgentes para administradores

Las organizaciones que utilicen SolarWinds Serv-U deben:

• Actualizar inmediatamente a la versión 15.5.4 o superior.
• Revisar logs en busca de actividad sospechosa.
• Auditar cuentas con privilegios elevados.
• Implementar autenticación multifactor para accesos administrativos.
• Restringir el acceso externo mediante firewall o VPN.
• Aplicar principios de mínimo privilegio.

También es recomendable revisar la exposición pública del servicio y evaluar si realmente necesita estar accesible desde Internet.

En fin...

Las nuevas vulnerabilidades críticas de ejecución remota de código en SolarWinds Serv-U demuestran que el software de transferencia de archivos sigue siendo un objetivo prioritario para ciberdelincuentes y actores patrocinados por Estados.

Aunque los fallos requieren privilegios elevados para su explotación, el contexto actual de amenazas —marcado por robo de credenciales, movimientos laterales y ataques encadenados— convierte estas vulnerabilidades en un riesgo significativo.

La actualización inmediata y la adopción de medidas de seguridad defensiva son esenciales para evitar que Serv-U se convierta en la puerta de entrada a un incidente de seguridad de gran escala.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las aplicaciones móviles de salud mental se han convertido en una herramienta clave para millones de personas que buscan apoyo frente a la depresión clínica, la ansiedad, el estrés, los ataques de pánico o el trastorno bipolar. Sin embargo, una reciente investigación revela que varias de estas apps disponibles en Google Play contienen vulnerabilidades de seguridad que podrían exponer información médica altamente sensible.

El hallazgo, dado a conocer por la firma de seguridad móvil Oversecured y compartido con BleepingComputer, pone en evidencia riesgos críticos para la privacidad de millones de usuarios que confían en estas plataformas para gestionar aspectos íntimos de su salud emocional.

Más de 1.500 vulnerabilidades detectadas en apps de terapia y bienestar

Oversecured analizó diez aplicaciones móviles de salud mental promocionadas como herramientas de apoyo emocional y detectó un total de 1.575 vulnerabilidades de seguridad, distribuidas de la siguiente forma:

• 54 vulnerabilidades de gravedad alta
• 538 vulnerabilidades de gravedad media
• 983 vulnerabilidades de gravedad baja

Aunque no se identificaron fallos clasificados como críticos, muchas de las debilidades descubiertas podrían ser explotadas para:

• Interceptar credenciales de acceso
• Suplantar notificaciones
• Ejecutar inyección de HTML
• Acceder a datos locales sin restricciones
• Localizar físicamente al usuario

El volumen de instalaciones acumuladas por las aplicaciones analizadas supera los 14,7 millones de descargas, lo que amplifica significativamente el impacto potencial.

Tipos de aplicaciones afectadas

Las aplicaciones examinadas incluyen:

• Rastreador de estados de ánimo y hábitos (10M+ descargas)
• Chatbots de terapia con IA (1M+ descargas)
• Plataformas de salud emocional con inteligencia artificial
• Herramientas de manejo de la depresión
• Apps de ansiedad basadas en Terapia Cognitivo-Conductual (TCC)
• Comunidades de apoyo online
• Aplicaciones de gestión del estrés en entornos militares

Al menos seis de las diez aplicaciones afirmaban que las conversaciones o chats permanecen privados o cifrados de forma segura en los servidores del fabricante. Sin embargo, los hallazgos técnicos contradicen parcialmente estas garantías.

El valor de los datos de salud mental en la dark web

Sergey Toshin, fundador de Oversecured, advierte sobre el alto valor de este tipo de información en mercados clandestinos:

Citar"Los datos de salud mental conllevan riesgos únicos. En la dark web, los registros de terapia se venden por 1.000 dólares o más por disco, mucho más que los números de tarjetas de crédito".

A diferencia de los datos financieros, que pueden cancelarse o reemplazarse, la información relacionada con terapia psicológica, historial emocional o indicadores de autolesión es permanente y extremadamente sensible.

Fallos técnicos detectados en las aplicaciones

1. Procesamiento inseguro de URIs

Algunas aplicaciones analizan URIs proporcionadas por los usuarios sin validación adecuada. En un caso específico, una app terapéutica con más de un millón de descargas utiliza Intent.parseUri() sobre una cadena controlada externamente y lanza el objeto resultante sin validar el componente objetivo.

Esto permitiría a un atacante forzar la apertura de actividades internas no destinadas al acceso externo. Dado que estas actividades gestionan tokens de autenticación y datos de sesión, el impacto podría incluir acceso no autorizado a registros de terapia.

2. Almacenamiento inseguro de datos locales

Varias aplicaciones almacenan información localmente de manera que cualquier otra app instalada en el dispositivo puede acceder a ella en modo lectura.

Dependiendo de los datos almacenados, esto podría exponer:

• Transcripciones de sesiones
• Notas de Terapia Cognitivo-Conductual (TCC)
• Registros de estado de ánimo
• Puntuaciones psicológicas
• Horarios de medicación
• En dispositivos rooteados (root o jailbreak), el riesgo se incrementa significativamente.

3. Uso de generadores criptográficamente inseguros

Algunas apps emplean la clase java.util.Random para generar tokens de sesión o claves de cifrado. Este método no es criptográficamente seguro y puede facilitar la predicción de valores generados, debilitando la protección de las sesiones.

4. Exposición de endpoints y credenciales en el APK

Los investigadores también encontraron:

• Endpoints de API backend en texto plano
• URL de bases de datos Firebase codificadas de forma fija
• Datos de configuración sensibles accesibles dentro de los recursos del APK

Estos elementos podrían facilitar ataques dirigidos contra la infraestructura backend de las aplicaciones.

5. Falta de detección de dispositivos rooteados

Según Oversecured, la mayoría de las aplicaciones analizadas carecen de mecanismos de detección de root. En un entorno comprometido, cualquier aplicación con privilegios elevados puede acceder a todos los datos almacenados localmente.

Actualizaciones irregulares y falta de transparencia

Solo cuatro de las diez aplicaciones recibieron actualizaciones recientes durante el mes del análisis. El resto no se actualizaba desde noviembre de 2025 o incluso septiembre de 2024.

Los escaneos se realizaron entre el 22 y el 23 de enero, evaluando las versiones más recientes disponibles en ese momento. No se ha confirmado si los desarrolladores ya han corregido las vulnerabilidades detectadas.

Por razones de divulgación responsable, no se han revelado públicamente los nombres de las aplicaciones afectadas mientras continúa el proceso de notificación.

Riesgos regulatorios y cumplimiento normativo

Algunas de estas aplicaciones manejan información potencialmente protegida bajo normativas como la ley HIPAA en Estados Unidos, lo que añade un componente legal significativo en caso de filtración de datos.

La recopilación y almacenamiento de transcripciones terapéuticas, indicadores de autolesiones y datos médicos convierte a estas plataformas en objetivos de alto valor para ciberdelincuentes.

¿Qué pueden hacer los usuarios?

Ante este escenario, los usuarios de aplicaciones de salud mental deberían:

• Verificar la fecha de la última actualización
• Revisar los permisos solicitados por la app
• Evitar instalar apps con bajo historial de mantenimiento
• No utilizar dispositivos rooteados para almacenar datos sensibles
• Leer políticas de privacidad con enfoque técnico

Además, es recomendable complementar el uso de apps con asesoramiento profesional certificado y evitar depender exclusivamente de chatbots de IA para tratamientos clínicos.

Privacidad en riesgo en el ecosistema de salud mental digital

El crecimiento explosivo de las aplicaciones de salud mental y chatbots terapéuticos con IA ha abierto nuevas oportunidades de acceso al bienestar emocional, pero también ha creado una superficie de ataque considerable.

La detección de 1.575 vulnerabilidades en solo diez aplicaciones demuestra que la seguridad móvil en el sector de la salud mental todavía presenta deficiencias estructurales. Cuando la información expuesta incluye detalles íntimos sobre depresión, ansiedad o autolesión, el impacto trasciende lo técnico y se convierte en un problema humano y social.

La industria deberá reforzar auditorías de seguridad, aplicar cifrado robusto, validar entradas adecuadamente y adoptar estándares criptográficos modernos para proteger datos que, en la dark web, valen más que una tarjeta de crédito, pero para los usuarios representan algo mucho más importante: su privacidad emocional.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Steam Deck se ha convertido en un producto difícil de encontrar en múltiples regiones del mundo, y Europa no es la excepción. Lo que inicialmente parecía un problema puntual de stock de la Steam Deck OLED ha terminado revelando un fenómeno mucho más amplio: una crisis global de suministro de memoria DRAM y almacenamiento NAND que está afectando de lleno al hardware de consumo.

En España y otros países europeos, los usuarios se encuentran con el mismo escenario al intentar comprar la portátil de Valve: modelos agotados, disponibilidad intermitente y precios inflados en el mercado de segunda mano. Lejos de tratarse de una estrategia comercial, el problema tiene un origen claro: faltan chips esenciales.

Valve confirma la escasez: faltan memoria y almacenamiento

Valve ha incluido en su web oficial una advertencia poco habitual, reconociendo que la Steam Deck OLED puede agotarse temporalmente en determinadas regiones debido a la escasez de memoria RAM y dispositivos de almacenamiento proporcionados por terceros.

Los modelos OLED de 512 GB y 1 TB desaparecieron primero en Estados Unidos y Canadá. En Europa, el patrón ha sido irregular, pero cada vez más visible. En España, las versiones más económicas han ido desapareciendo progresivamente tanto en la tienda oficial como en grandes superficies.

La compañía insiste en que no se trata de una retirada estratégica ni de una maniobra para estimular la demanda. El problema es estructural: sin DRAM ni NAND suficientes, la producción se detiene. Da igual que el resto de componentes estén listos; si falta uno esencial, la consola no sale de fábrica.

España y Europa: desaparecen los modelos baratos

En el mercado español, el efecto más evidente es la desaparición de las opciones más asequibles. La versión con menor almacenamiento aparece agotada o directamente no disponible. En plataformas como Amazon predominan vendedores externos con precios superiores al PVP oficial.

Los sobrecostes pueden alcanzar hasta 200 euros adicionales en modelos OLED de 512 GB con entrega inmediata. Mientras Valve reconoce que la disponibilidad será intermitente, el mercado secundario aprovecha la incertidumbre.

Actualmente, el modelo OLED de 1 TB —con un precio cercano a 679 euros— se mantiene como la principal puerta de entrada, aunque con un coste considerablemente superior al que muchos usuarios tenían previsto asumir.

El fin definitivo de la Steam Deck LCD

No todos los "agotados" obedecen al mismo motivo. Valve ha confirmado que la Steam Deck LCD de 256 GB ha sido descontinuada definitivamente. Esto significa que cualquier unidad restante corresponde a stock final.

En la práctica, la gama queda centrada exclusivamente en la OLED, que ofrece mejoras claras en pantalla y batería, pero depende directamente de una cadena de suministro tensionada. El resultado: el punto de entrada a Steam Deck sube de precio justo cuando los componentes son más caros y escasos.

Revendedores y segunda mano: precios disparados

La combinación de alta demanda y escasez oficial ha impulsado la reventa. En España y otros mercados europeos es habitual encontrar anuncios con incrementos de hasta 200 euros sobre el precio recomendado.

El fenómeno no es nuevo en el sector tecnológico, pero en este caso resulta especialmente visible porque Steam Deck se había consolidado como una de las portátiles más competitivas en relación calidad-precio. La incertidumbre sobre la reposición de stock empuja a algunos compradores a pagar sobreprecios por miedo a que la situación empeore.

La raíz del problema: crisis de DRAM y NAND

El origen de esta escasez se encuentra en el mercado global de memoria. Tres gigantes —Samsung Electronics, SK Hynix y Micron Technology— concentran la mayor parte de la producción mundial de DRAM y NAND.

Actualmente, estas compañías priorizan la fabricación de memoria HBM (High Bandwidth Memory) destinada a centros de datos y aplicaciones de inteligencia artificial. El auge de la IA ha desplazado capacidad productiva desde la DRAM convencional y formatos como LPDDR5 —usados en consolas y móviles— hacia soluciones más rentables para servidores.

Las estimaciones del sector indican subidas de precio de alrededor del 50% en contratos de DRAM durante 2025, con previsiones acumuladas que podrían acercarse al 80-90% en algunos segmentos para 2026. Esto no solo encarece la producción: también introduce incertidumbre en los volúmenes disponibles.

Impacto en otras consolas: no es un caso aislado

El problema no afecta únicamente a Valve. Sony, Nintendo y Microsoft también ajustan estrategias.

Sony habría asegurado memoria para sostener la producción de PlayStation 5, aunque esto podría influir en los planes de PlayStation 6. Nintendo afronta tensiones con Nintendo Switch 2, donde el coste de la RAM podría haberse incrementado en torno a un 40%. Microsoft, con una futura consola basada en Windows, también entraría en el mismo escenario competitivo de componentes.

En todos los casos, la memoria y el almacenamiento han pasado de ser una partida asumida del presupuesto a un factor de riesgo estratégico.

Incertidumbre en la hoja de ruta de Valve

La crisis no solo afecta al stock actual. Valve ha reconocido retrasos e incertidumbre en productos como Steam Machine y el nuevo Steam Controller.

Las estimaciones iniciales situaban la futura Steam Machine entre 500 y 800 dólares, pero el encarecimiento de componentes podría empujarla por encima de los 900 o incluso 1.000 dólares. Sin memoria suficiente, fijar fechas y precios se vuelve un ejercicio complejo.

¿Hay alternativas reales?

Algunos jugadores miran hacia opciones como Asus ROG Ally o Lenovo Legion Go. Por ahora mantienen stock más estable, pero el encarecimiento de DRAM y SSD también impacta en sus costes.

La crisis de memoria no distingue marcas. Afecta a consolas, portátiles gaming, smartphones y tarjetas gráficas. Steam Deck es simplemente uno de los ejemplos más visibles de una tormenta que atraviesa toda la industria tecnológica.

Más que una consola agotada

La falta de stock de Steam Deck en Europa no es una anomalía aislada, sino la consecuencia lógica de una crisis global de componentes impulsada por la explosión de la inteligencia artificial y la priorización de memorias de alto rendimiento para centros de datos.

Entre la retirada definitiva del modelo LCD, la escasez de DRAM y NAND, el auge de revendedores y la incertidumbre sobre futuros lanzamientos, Valve entra en una fase compleja. Para los jugadores en España y el resto de Europa, la decisión pasa por esperar a que el suministro se estabilice, optar por alternativas o asumir sobreprecios.

Más allá de Steam Deck, lo que está en juego es la capacidad del sector del hardware gaming para adaptarse a una cadena de suministro tensionada que, según las previsiones, podría seguir condicionando el mercado durante los próximos años.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login