Los grandes modelos de lenguaje (LLM) se han convertido en un activo estratégico para empresas, desarrolladores y plataformas tecnológicas. Sin embargo, su rápida adopción también ha despertado el interés de actores amenazantes, que ahora buscan de forma sistemática servidores proxy y endpoints LLM mal configurados para obtener acceso no autorizado a servicios comerciales de inteligencia artificial.

De acuerdo con un informe reciente de la plataforma de monitorización de amenazas GreyNoise, se ha detectado una campaña activa de reconocimiento y enumeración iniciada a finales de diciembre, en la que los atacantes han sondeado más de 73 endpoints de LLM, generando más de 80.000 sesiones en apenas unos días. Esta actividad refleja un cambio claro en el panorama de amenazas, donde la infraestructura de IA comienza a ser tratada como un objetivo de alto valor.

Enumeración sigilosa de endpoints LLM

Según GreyNoise, los actores de la amenaza emplean consultas de bajo ruido para identificar modelos de IA accesibles sin activar alertas de seguridad. En lugar de ejecutar cargas maliciosas evidentes, los atacantes utilizan:

• Saludos breves
• Entradas vacías
• Preguntas factuales simples

Este enfoque permite confirmar la existencia, tipo y proveedor del modelo LLM sin levantar sospechas inmediatas en sistemas de detección tradicionales.

La campaña demuestra un alto nivel de planificación, ya que los atacantes prueban formatos compatibles con las API de OpenAI y Google Gemini, lo que sugiere un conocimiento profundo de los ecosistemas comerciales de IA.

Operaciones de "sombrero gris" detectadas por GreyNoise

El informe también detalla que, durante los últimos cuatro meses, el honeypot de Ollama de GreyNoise registró 91.403 intentos de ataque, atribuidos a dos campañas distintas.

La primera operación comenzó en octubre y continúa activa, alcanzando un pico de 1.688 sesiones en un período de 48 horas alrededor de Navidad. Esta campaña explota vulnerabilidades de falsificación de solicitudes del lado del servidor (SSRF), que permiten forzar a un servidor vulnerable a conectarse con infraestructura externa controlada por el atacante.

Los investigadores explicaron que el actor utilizó la funcionalidad de "model pull" de Ollama para inyectar URLs maliciosas a través del parámetro MediaURL, apuntando a registros externos y webhooks SMS de Twilio.

Investigación legítima o abuso encubierto

Un aspecto clave de esta actividad es que, según GreyNoise, las herramientas empleadas apuntan a investigadores de seguridad o cazadores de recompensas (bug bounty). La infraestructura utilizada corresponde a OAST (Out-of-Band Application Security Testing) de ProjectDiscovery, una tecnología común en pruebas de vulnerabilidades legítimas.

No obstante, GreyNoise advierte que la escala, persistencia y el momento de la actividad —especialmente durante el periodo navideño— superan los límites habituales de la investigación responsable.

Citar"Las llamadas OAST son técnicas estándar de investigación de vulnerabilidades. Pero la escala y el momento navideño sugieren que las operaciones de sombrero gris están rompiendo límites" — GreyNoise

Los datos de telemetría indican que esta campaña se originó desde 62 direcciones IP distribuidas en 27 países, con características típicas de servidores VPS, y no de una botnet tradicional, lo que refuerza la hipótesis de una operación manual u organizada.

Segunda campaña: reconocimiento masivo de modelos de IA

GreyNoise identificó una segunda campaña, iniciada el 28 de diciembre, caracterizada por un esfuerzo de enumeración de alto volumen. En solo 11 días, la actividad generó 80.469 sesiones, utilizando únicamente dos direcciones IP para sondear de forma sistemática 73 endpoints LLM.

Los modelos dirigidos abarcan prácticamente todo el ecosistema de IA comercial y open source, incluyendo:

• OpenAI (GPT-4o y variantes)
• Anthropic (Claude Sonnet, Opus y Haiku)
• Meta (Llama 3.x)
• DeepSeek (DeepSeek-R1)
• Google (Gemini)
• Mistral
• Alibaba (Qwen)
• xAI (Grok)

Esta amplitud confirma que los atacantes no buscan un proveedor específico, sino mapear exhaustivamente servicios LLM accesibles o mal protegidos.

Señales de intención maliciosa

Aunque el informe de GreyNoise no confirma explotación activa, robo de datos ni abuso directo de modelos, los investigadores advierten que el comportamiento observado es altamente sospechoso.

"Ochenta mil solicitudes de enumeración representan una inversión. Los actores amenazantes no mapean infraestructuras a esta escala sin planes para usar ese mapa."

Además, la infraestructura de escaneo ha sido vinculada previamente con actividades de explotación de vulnerabilidades, lo que refuerza la hipótesis de que este reconocimiento forma parte de una fase preparatoria para ataques futuros.

Riesgos para organizaciones que usan LLM

El acceso no autorizado a servicios LLM puede derivar en múltiples riesgos críticos:

• Uso fraudulento de modelos comerciales con costes elevados
• Exposición de prompts, datos sensibles o lógica de negocio
• Abuso de recursos computacionales
• Entrenamiento inverso o extracción de modelos
• Puerta de entrada para ataques más complejos

En entornos empresariales, una mala configuración de proxies o endpoints LLM puede convertirse en un vector de ataque silencioso pero devastador.

Medidas defensivas recomendadas

Para mitigar esta amenaza emergente, GreyNoise recomienda implementar medidas específicas, entre ellas:

• Restringir las consultas de modelos Ollama a registros y repositorios confiables
• Aplicar filtrado de salida (egress filtering) estricto
• Bloquear a nivel DNS dominios de callback OAST conocidos
• Limitar la velocidad de solicitudes provenientes de ASN sospechosos
• Monitorizar huellas de red JA4 asociadas a herramientas de escaneo automatizado

Estas acciones permiten reducir drásticamente la superficie de ataque y detectar actividades de reconocimiento temprano, antes de que se materialice un compromiso real.

En fin...

La actividad documentada por GreyNoise confirma que los LLM ya forman parte del radar prioritario de los actores amenazantes. Incluso cuando no se observa explotación directa, la enumeración masiva y silenciosa de endpoints de IA indica una clara intención de preparar ataques futuros.

En un contexto donde la IA se integra cada vez más en procesos críticos, asegurar correctamente proxies, APIs y modelos LLM no es opcional, sino una necesidad estratégica para evitar abusos, pérdidas económicas y compromisos de seguridad a gran escala.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa japonesa de ciberseguridad Trend Micro ha publicado un parche de seguridad crítico para Apex Central (on-premise), su consola de administración centralizada, tras descubrirse una vulnerabilidad grave que podría permitir a atacantes remotos ejecutar código arbitrario con privilegios de SYSTEM. El fallo, identificado como CVE-2025-69258, representa un riesgo significativo para entornos corporativos que dependen de esta plataforma para la gestión de múltiples soluciones de seguridad.

¿Qué es Trend Micro Apex Central y por qué es tan crítico?

Apex Central es una consola de gestión web ampliamente utilizada en entornos empresariales para administrar y supervisar múltiples productos de Trend Micro desde una única interfaz. Entre sus funciones clave se incluyen:

• Gestión centralizada de antivirus y soluciones de seguridad endpoint
• Distribución de archivos de patrones antivirus
• Actualización de motores de escaneo
• Implementación de reglas antispam y detección de amenazas
• Monitoreo del estado de seguridad de la infraestructura

Debido a su posición privilegiada dentro de la arquitectura de seguridad, cualquier vulnerabilidad crítica en Apex Central puede convertirse en un punto de entrada ideal para atacantes que busquen control total del sistema y movimiento lateral dentro de la red corporativa.

Detalles técnicos de la vulnerabilidad CVE-2025-69258

La vulnerabilidad CVE-2025-69258 está relacionada con un fallo en el uso de la función LoadLibraryEx, lo que permite la carga de DLLs maliciosas controladas por el atacante. Este tipo de vulnerabilidad es especialmente peligrosa porque puede derivar en ejecución remota de código (RCE) con los máximos privilegios del sistema operativo.

CitarSegún el aviso oficial de Trend Micro:

"Una vulnerabilidad de LoadLibraryEx en Trend Micro Apex Central podría permitir que un atacante remoto sin autenticación cargue una DLL controlada por el atacante en un ejecutable clave, lo que resultaría en la ejecución de código suministrado por el atacante en el contexto de SYSTEM."

Uno de los aspectos más preocupantes es que no se requiere autenticación ni interacción del usuario, lo que reduce drásticamente la complejidad del ataque y aumenta su potencial de explotación automatizada.

Cómo puede explotarse el fallo

La empresa de ciberseguridad Tenable, responsable de reportar la vulnerabilidad, explicó que los atacantes pueden aprovechar el proceso MsgReceiver.exe, el cual se encuentra escuchando en el puerto TCP 20001. Mediante el envío de un mensaje especialmente diseñado, un atacante remoto no autenticado puede:

• Inyectar una DLL maliciosa
• Forzar su carga en un proceso legítimo
• Ejecutar código arbitrario bajo el contexto de SYSTEM

Este escenario convierte a CVE-2025-69258 en una vulnerabilidad de alto impacto, especialmente si el sistema afectado está expuesto directa o indirectamente a Internet.

Riesgos para organizaciones y entornos empresariales

Aunque Trend Micro señaló que existen factores atenuantes, como la necesidad de que el sistema vulnerable esté accesible desde la red, el riesgo sigue siendo considerable. Una explotación exitosa podría permitir a los atacantes:

• Tomar control completo del servidor Apex Central
• Desplegar malware adicional en endpoints gestionados
• Desactivar soluciones de seguridad
• Facilitar ataques de ransomware o espionaje corporativo
• Comprometer toda la infraestructura de TI

En organizaciones grandes, este tipo de acceso puede derivar rápidamente en un incidente de seguridad a gran escala.

Parche de seguridad y versiones afectadas

Para mitigar el riesgo, Trend Micro ha publicado la Versión Crítica de Parche 7190, que no solo corrige la vulnerabilidad CVE-2025-69258, sino que también soluciona dos fallos adicionales de denegación de servicio:

• CVE-2025-69259
• CVE-2025-69260

Ambas vulnerabilidades de DoS también pueden ser explotadas por atacantes no autenticados, lo que refuerza la urgencia de aplicar las actualizaciones.

Trend Micro instó a todos sus clientes a parchear sus sistemas lo antes posible, enfatizando que incluso si un exploit requiere condiciones específicas, el impacto potencial justifica una acción inmediata.

Recomendaciones de seguridad adicionales

Además de instalar el parche crítico, Trend Micro recomienda:

• Revisar el acceso remoto a sistemas críticos
• Limitar la exposición de Apex Central a Internet
• Asegurar que las políticas de firewall y seguridad perimetral estén actualizadas
• Monitorizar tráfico inusual en el puerto TCP 20001
• Aplicar el principio de mínimo privilegio en toda la infraestructura

Estas medidas pueden reducir significativamente la superficie de ataque y ayudar a detectar intentos de explotación tempranos.

Un historial que refuerza la alerta

No es la primera vez que Apex Central enfrenta una vulnerabilidad crítica. Hace tres años, Trend Micro corrigió otra falla de ejecución remota de código, registrada como CVE-2022-26871, la cual estaba siendo explotada activamente en la naturaleza. Este antecedente subraya la importancia de mantener actualizaciones constantes y una postura de seguridad proactiva.

En fin...

La vulnerabilidad CVE-2025-69258 en Trend Micro Apex Central representa una amenaza seria para organizaciones que dependen de esta plataforma para la gestión de su seguridad. Su bajo nivel de complejidad, la ausencia de autenticación requerida y la posibilidad de obtener privilegios de SYSTEM la convierten en un objetivo atractivo para actores maliciosos.

Aplicar el Parche Crítico 7190, reforzar la seguridad perimetral y revisar la exposición de sistemas críticos son pasos esenciales para evitar compromisos graves. En un contexto donde los ataques avanzados son cada vez más frecuentes, la gestión de parches oportuna sigue siendo una de las defensas más efectivas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aunque el gaming en Linux ha avanzado de forma notable en los últimos años gracias a proyectos como Proton, Steam Deck y el apoyo indirecto de grandes desarrolladores, la realidad es que el ecosistema todavía presenta limitaciones importantes. Uno de los ejemplos más claros es Fortnite, uno de los juegos más populares del mundo, que sigue siendo imposible de jugar de forma nativa en Linux con garantías debido a las tecnologías anticheat.

El propio CEO de Epic Games ha sido contundente al respecto: no se planteará lanzar Fortnite para Linux mientras la plataforma no alcance los 10 millones de usuarios activos. Esta postura deja a muchos jugadores de Linux fuera del circuito de grandes títulos competitivos, obligándolos a buscar alternativas viables. Y aquí es donde entra en juego GeForce NOW, el servicio de juegos en streaming de NVIDIA.

GeForce NOW: la vía alternativa para jugar en Linux

GeForce NOW es la plataforma de cloud gaming de NVIDIA que permite jugar a títulos de PC ejecutándolos en servidores remotos con hardware de alto rendimiento. El juego se procesa en la nube y el usuario solo recibe el vídeo en tiempo real, lo que elimina de raíz problemas de compatibilidad, drivers, dependencias y, especialmente, sistemas anticheat incompatibles con Linux.

Actualmente, los usuarios de Linux pueden acceder a GeForce NOW de dos maneras:

• A través del navegador web, usando la versión web oficial.
• Mediante aplicaciones no oficiales como GeForce Infinity, que en la práctica utilizan la versión web o un sistema híbrido para funcionar.

Aunque estas opciones son funcionales, no ofrecen la misma experiencia que una aplicación nativa, como la disponible en Windows. El rendimiento, la integración con el sistema y la estabilidad podrían ser mejores con un cliente dedicado, algo que la comunidad Linux lleva tiempo reclamando.

NVIDIA confirma una app nativa de GeForce NOW para Linux

La buena noticia es que NVIDIA ya ha confirmado que GeForce NOW contará con una aplicación nativa para Linux. Aunque la compañía no ha ofrecido todavía detalles técnicos ni una fecha concreta de lanzamiento, la confirmación marca un punto de inflexión para el gaming en el sistema operativo del pingüino.

De hecho, ya existe una aplicación nativa de GeForce NOW para Linux, pero con una limitación importante: solo está disponible para Steam Deck. La consola portátil de Valve utiliza SteamOS, una distribución Linux adaptada, y NVIDIA lanzó una app que funciona perfectamente en el modo juego.

Esto demuestra que la tecnología ya existe. En teoría, esa aplicación podría ejecutarse en otras distribuciones Linux de escritorio, pero al no incluir drivers genéricos ni soporte oficial, su funcionamiento no está garantizado y no se recomienda su uso fuera de Steam Deck.

¿Qué implica una app nativa de GeForce NOW para Linux?

El lanzamiento de una aplicación nativa generalista significa que GeForce NOW debería funcionar en cualquier distribución Linux de escritorio, como Ubuntu, Fedora, Arch Linux o Linux Mint, sin depender exclusivamente del navegador.

Entre las ventajas más esperadas se encuentran:

• Mejor rendimiento y menor latencia, al eliminar capas intermedias del navegador.
• Integración más profunda con el sistema, como soporte para mandos, audio y pantallas múltiples.
• Mayor estabilidad en sesiones largas de juego.
• Posible optimización específica para Linux, algo clave para atraer más usuarios.

Además, NVIDIA ha dejado entrever que este soporte llegará acompañado de una ampliación del catálogo de juegos compatibles, lo que refuerza el atractivo del servicio.

¿Merece la pena GeForce NOW en Linux?

La respuesta depende mucho del perfil del jugador y de los títulos que quiera jugar. En la actualidad, GeForce NOW ofrece sesiones de hasta una hora, sin límite de sesiones diarias. Sin embargo, NVIDIA ya ha anunciado que este modelo cambiará próximamente a un límite de 100 horas mensuales, lo que puede afectar a usuarios intensivos.

Aun así, el servicio sigue siendo muy atractivo en casos concretos, especialmente para:

• Jugar en dispositivos con recursos limitados, como portátiles antiguos o mini PCs.
• Acceder a juegos que no funcionan en Linux por anticheat, como Fortnite u otros títulos competitivos.
• Evitar instalaciones complejas, dependencias rotas o problemas de compatibilidad.
• Mantener una experiencia de juego de alta calidad gráfica sin necesidad de hardware potente.

Para muchos usuarios de Linux, GeForce NOW se convierte en una solución pragmática: no sustituye al gaming nativo, pero rellena los huecos más dolorosos del ecosistema.

Un paso importante para el futuro del gaming en Linux

La llegada de una aplicación nativa de GeForce NOW para Linux supone un movimiento estratégico relevante. NVIDIA reconoce implícitamente que Linux ya no es un nicho irrelevante, sino una plataforma con suficiente masa crítica como para justificar desarrollo y soporte oficial.

Si la app cumple con las expectativas, podría convertirse en una herramienta clave para atraer nuevos jugadores a Linux, reduciendo una de las barreras históricas: la imposibilidad de jugar a ciertos títulos populares.

En fin...

Aunque el gaming en Linux todavía enfrenta desafíos importantes, GeForce NOW se perfila como una de las soluciones más sólidas para sortearlos. La confirmación de una aplicación nativa para Linux marca un antes y un después, ofreciendo a los usuarios una alternativa real para jugar sin renunciar a su sistema operativo.

En cualquier caso, cuando la app llegue oficialmente, será el momento de probarla sobre el terreno y evaluar si realmente cumple lo prometido. Para muchos, podría ser el empujón definitivo que Linux necesitaba en el mundo del gaming.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han revelado los detalles de una vulnerabilidad de máxima gravedad en n8n, una popular plataforma de automatización de flujos de trabajo ampliamente utilizada por empresas para integrar aplicaciones, procesar datos y orquestar tareas críticas. El fallo de seguridad permite que un atacante remoto no autenticado obtenga control total de instancias vulnerables, lo que representa un riesgo severo para organizaciones que dependen de n8n en entornos productivos.

La vulnerabilidad ha sido registrada como CVE-2026-21858, con una puntuación CVSS de 10.0, la máxima posible. Ha sido bautizada como Ni8mare por Cyera Research Labs, reflejando el impacto catastrófico que puede tener sobre infraestructuras empresariales. El hallazgo fue realizado por la investigadora de seguridad Dor Attias, quien informó responsablemente el problema a n8n el 9 de noviembre de 2025.

Un fallo sin autenticación con consecuencias devastadoras

En un aviso de seguridad publicado recientemente, n8n confirmó la existencia del fallo y advirtió sobre su impacto:

Citar"Una vulnerabilidad en n8n permite a un atacante acceder a archivos en el servidor subyacente mediante la ejecución de ciertos flujos de trabajo basados en formularios. Un flujo vulnerable podría conceder acceso a un atacante remoto no autenticado, lo que podría resultar en la exposición de información sensible y un mayor compromiso del sistema".

A diferencia de otras vulnerabilidades críticas descubiertas previamente, CVE-2026-21858 no requiere credenciales, lo que la convierte en un vector de ataque extremadamente atractivo para actores maliciosos. El fallo se basa en una confusión del encabezado "Content-Type", que permite manipular el manejo de archivos y escalar el ataque desde lectura arbitraria de archivos hasta ejecución remota de comandos (RCE).

Cuarta vulnerabilidad crítica en dos semanas

Ni8mare no es un caso aislado. En apenas dos semanas, n8n ha revelado cuatro vulnerabilidades críticas, lo que ha generado preocupación en la comunidad de seguridad:

• CVE-2025-68613 (CVSS 9.9): ejecución remota de código por control inadecuado de recursos gestionados dinámicamente (requiere autenticación).
• CVE-2025-68668 (N8scape, CVSS 9.9): bypass de sandbox que permite ejecutar comandos arbitrarios en el sistema anfitrión (requiere permisos de edición de flujos).
• CVE-2026-21877 (CVSS 10.0): subida sin restricciones de archivos peligrosos que permite compromiso total de la instancia (requiere autenticación).
• CVE-2026-21858 es el más grave de todos, ya que elimina por completo la barrera de autenticación y abre la puerta a ataques automatizados a gran escala.

Análisis técnico: el problema en webhooks y manejo de archivos

Según los detalles técnicos compartidos por Cyera con medios especializados, el núcleo del problema se encuentra en el mecanismo de gestión de archivos y los webhooks de n8n.

Los webhooks son componentes esenciales que permiten a n8n recibir datos de aplicaciones externas cuando ocurre un evento. Antes de ejecutar un flujo de trabajo, la solicitud entrante es procesada por la función parseRequestBody(), que decide cómo analizar el contenido según el encabezado Content-Type.

• Si el encabezado es multipart/form-data, se invoca parseFormData(), el analizador de subida de archivos.
• Para cualquier otro tipo de contenido, se utiliza parseBody(), el analizador estándar.
• El analizador de formularios emplea el módulo formidable de Node.js y almacena los archivos en la variable global req.body.files.
• El analizador normal almacena los datos en req.body.

El fallo ocurre cuando una función de manejo de archivos se ejecuta sin verificar que el Content-Type sea multipart/form-data, permitiendo a un atacante sobrescribir completamente req.body.files.

Citar"Controlamos todo el objeto req.body.files. Eso significa que controlamos la ruta del archivo. En lugar de copiar un archivo subido, podemos copiar cualquier archivo local del sistema", explicó Dor Attias.

El resultado es crítico: los nodos posteriores reciben archivos locales del sistema, no los archivos legítimos enviados por el usuario.

Cadena de ataque: de lectura de archivos a RCE

Cyera describió un escenario de ataque realista que ilustra el impacto de Ni8mare. En un entorno donde n8n se utiliza para procesar formularios y alimentar una base de conocimientos, un atacante puede:

• Leer archivos arbitrarios, como la base de datos SQLite ubicada en
• /home/node/.n8n/database.sqlite.
• Extraer ID de usuario, correos electrónicos y contraseñas hasheadas del administrador.
• Acceder al archivo de configuración /home/node/.n8n/config y extraer la clave secreta de cifrado.
• Falsificar una cookie de sesión para obtener acceso administrativo.
• Crear un nuevo flujo de trabajo con un nodo "Ejecutar comando" y lograr ejecución remota de código.

El "radio de explosión" de un n8n comprometido

Cyera fue contundente al describir el impacto:

Citar"El radio de explosión de un n8n comprometido es enorme. No se pierde solo un sistema, se entregan las llaves de todo: credenciales de API, tokens OAuth, bases de datos, almacenamiento en la nube. n8n se convierte en un punto único de fallo".

Dado que n8n suele centralizar credenciales y conexiones críticas, su compromiso puede derivar en brechas masivas de datos, movimientos laterales y ataques a toda la infraestructura empresarial.

Versiones afectadas y mitigaciones urgentes

La vulnerabilidad afecta a todas las versiones de n8n hasta la 1.65.0 inclusive y fue corregida en la versión 1.121.0, publicada el 18 de noviembre de 2025. Las versiones más recientes disponibles actualmente incluyen 1.123.10, 2.1.5, 2.2.4 y 2.3.0.

Las recomendaciones clave son:

• Actualizar inmediatamente a una versión parcheada o superior.
• No exponer n8n directamente a internet.
• Aplicar autenticación obligatoria en formularios y webhooks.
• Restringir o deshabilitar endpoints públicos como medida temporal.

En fin...

La vulnerabilidad Ni8mare (CVE-2026-21858) posiciona a n8n como un objetivo crítico de alto valor para actores de amenaza. En un ecosistema donde las plataformas de automatización concentran secretos y accesos privilegiados, un solo fallo sin autenticación puede desencadenar un compromiso total. La actualización inmediata y el endurecimiento de la exposición pública ya no son opcionales, sino esenciales para la supervivencia operativa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Veeam, uno de los proveedores líderes mundiales en soluciones de copia de seguridad y recuperación de datos empresariales, ha publicado recientemente actualizaciones de seguridad urgentes para corregir múltiples vulnerabilidades en su software Veeam Backup & Replication (VBR). Entre los fallos corregidos destaca una vulnerabilidad crítica de ejecución remota de código (RCE) que podría permitir a actores maliciosos comprometer sistemas críticos y facilitar ataques de ransomware.

La vulnerabilidad principal está registrada como CVE-2025-59470 y afecta a Veeam Backup & Replication 13.0.1.180 y a todas las versiones anteriores de la rama 13. Aunque Veeam ajustó posteriormente la calificación de severidad, el impacto potencial sigue siendo elevado, especialmente en entornos empresariales donde los servidores de respaldo representan un activo estratégico clave.

Detalles técnicos de la vulnerabilidad CVE-2025-59470

Según el aviso de seguridad publicado por Veeam, la vulnerabilidad CVE-2025-59470 permite que un atacante con determinados privilegios pueda ejecutar código de forma remota en el sistema afectado.

Citar"Esta vulnerabilidad permite que un operador de copia de seguridad o de cinta realice ejecución remota de código (RCE) como usuario del servicio, enviando un intervalo o parámetro de pedido malicioso", explicó Veeam en su comunicado oficial.

Inicialmente, el fallo fue considerado crítico debido a su capacidad de permitir la ejecución de código arbitrario. Sin embargo, la compañía ajustó la severidad a alta, argumentando que solo puede ser explotado por usuarios que ya cuenten con los roles de Operador de Copia de Seguridad o Operador de Cinta.

Aun así, Veeam subrayó que estos roles deben tratarse como altamente privilegiados, ya que tienen acceso directo a datos sensibles y a los mecanismos de recuperación de la organización.

Citar"Los roles de Operador de Respaldo y Operador de Cinta se consideran roles altamente privilegiados y deben protegerse como tales. Seguir las directrices de seguridad recomendadas por Veeam reduce aún más la posibilidad de explotación", añadió la compañía.

Parche oficial y vulnerabilidades adicionales corregidas

Para mitigar estos riesgos, Veeam lanzó el 6 de enero la versión 13.0.1.1071, que no solo corrige CVE-2025-59470, sino que también soluciona otras dos vulnerabilidades relevantes:

• CVE-2025-55125 (alta severidad): permite a operadores maliciosos obtener ejecución remota de código mediante la creación de un archivo de configuración de respaldo malicioso.
• CVE-2025-59468 (severidad media): posibilita la ejecución de código a través del envío de un parámetro de contraseña malicioso.

Estas vulnerabilidades refuerzan la necesidad de mantener Veeam Backup & Replication completamente actualizado, ya que un solo fallo explotable puede comprometer la integridad de todo el sistema de respaldo de una organización.

Por qué Veeam Backup & Replication es un objetivo prioritario

El software Veeam Backup & Replication (VBR) es ampliamente utilizado en entornos corporativos para proteger datos y aplicaciones críticas, permitiendo su restauración rápida tras:

• Ciberataques
• Fallos de hardware
• Errores humanos
• Desastres naturales

Precisamente por este rol estratégico, los servidores VBR se han convertido en un objetivo prioritario para las bandas de ransomware. Comprometer el sistema de copias de seguridad permite a los atacantes eliminar o cifrar respaldos, aumentando la presión sobre las víctimas para pagar el rescate.

Veeam y su historial de ataques de ransomware

Diversas bandas de ransomware han reconocido públicamente que atacar Veeam es una táctica clave durante las intrusiones. Según declaraciones previas recogidas por investigadores de seguridad, los atacantes suelen apuntar primero a los servidores VBR porque:

• Facilitan el movimiento lateral dentro de la red
• Permiten el robo de datos a gran escala
• Eliminan la capacidad de recuperación de la víctima

Grupos como la banda de ransomware Cuba y el grupo FIN7, motivado económicamente y con vínculos históricos con Conti, REvil, Maze, Egregor y BlackBasta, ya habían sido relacionados anteriormente con ataques dirigidos contra vulnerabilidades de Veeam.

Más recientemente, en noviembre de 2024, los equipos de respuesta a incidentes de Sophos X-Ops revelaron que el ransomware Frag explotó otra vulnerabilidad RCE en VBR, identificada como CVE-2024-40711, apenas dos meses después de su divulgación pública.

La misma vulnerabilidad también fue utilizada en ataques de ransomware Akira y Fog desde octubre de 2024, dirigidos específicamente a servidores de respaldo Veeam sin parchear.

Impacto global y recomendaciones clave

Los productos de Veeam son utilizados por más de 550.000 clientes en todo el mundo, incluyendo:

• El 74 % de las 2.000 empresas globales más grandes
• El 82 % de las empresas Fortune 500

Esta adopción masiva convierte cualquier vulnerabilidad en Veeam en un riesgo sistémico para la seguridad empresarial global.

Para reducir el riesgo, los expertos recomiendan:

• Actualizar inmediatamente a Veeam Backup & Replication 13.0.1.1071 o superior
• Restringir y auditar los roles privilegiados de Operador de Backup y Operador de Cinta
• Aplicar el principio de mínimo privilegio
• Supervisar los registros de actividad en busca de comportamientos anómalos
• Aislar los servidores de respaldo del resto de la red cuando sea posible

En fin...

La corrección de CVE-2025-59470 y otras vulnerabilidades recientes demuestra que Veeam Backup & Replication sigue siendo un objetivo crítico para el cibercrimen, especialmente para las bandas de ransomware. Mantener los sistemas actualizados y proteger los roles privilegiados ya no es una buena práctica, sino una necesidad operativa esencial para cualquier organización que dependa de sus copias de seguridad para sobrevivir a un ciberataque.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La plataforma de intercambio y colaboración de archivos ownCloud ha emitido una advertencia de seguridad crítica instando a todos sus usuarios a activar la autenticación multifactor (MFA) de forma inmediata, con el objetivo de bloquear accesos no autorizados derivados del uso de credenciales comprometidas. La recomendación surge tras la publicación de un informe de la firma israelí de ciberseguridad Hudson Rock, que reveló múltiples incidentes de acceso no autorizado a plataformas de intercambio de archivos autoalojadas, incluidas instancias de ownCloud Community Edition.

ownCloud es una de las soluciones de almacenamiento y colaboración más utilizadas a nivel mundial, con más de 200 millones de usuarios, incluyendo empresas privadas, instituciones públicas y organismos de alto perfil. Entre sus clientes se encuentran organizaciones como la Organización Europea para la Investigación Nuclear (CERN), la Comisión Europea, el grupo tecnológico alemán ZF Group, la aseguradora Swiss Life y el Banco Europeo de Inversiones, lo que subraya la importancia y el impacto potencial de estas advertencias de seguridad.

ownCloud no fue vulnerada, pero los usuarios sí

En su aviso oficial, ownCloud fue enfática al aclarar que la plataforma no fue hackeada ni explotada mediante vulnerabilidades internas. Según la compañía, el informe de Hudson Rock confirma explícitamente que no se utilizaron exploits zero-day ni fallos de seguridad propios de ownCloud durante los incidentes analizados.

Citar"Los incidentes ocurrieron a través de una cadena de ataque diferente", explicó ownCloud.
"Los actores maliciosos obtuvieron las credenciales de los usuarios mediante malware infostealer instalado en los dispositivos de los empleados, y posteriormente accedieron a cuentas que no tenían habilitada la autenticación multifactor (MFA)".

Este matiz es clave: el problema no radica en la seguridad del software, sino en la exposición de credenciales válidas robadas fuera de la plataforma, una de las técnicas más efectivas y frecuentes utilizadas por los ciberdelincuentes en la actualidad.

Malware infostealer: la puerta de entrada silenciosa

Hudson Rock identificó como vector inicial de ataque a varias familias de malware infostealer, entre ellas RedLine, Lumma y Vidar, herramientas ampliamente utilizadas en campañas de cibercrimen para robar:

• Credenciales de inicio de sesión
• Cookies de sesión
• Tokens de autenticación
• Datos de navegadores y clientes FTP
• Información corporativa sensible

Estos infostealers suelen propagarse mediante archivos maliciosos, cracks de software, extensiones falsas o campañas de phishing, infectando los dispositivos de los empleados sin levantar sospechas inmediatas. Una vez robadas las credenciales, los atacantes pueden acceder directamente a servicios corporativos legítimos como ownCloud, especialmente cuando no existe una segunda capa de autenticación.

MFA: la barrera que bloquea el acceso no autorizado

Ante este escenario, ownCloud recomienda activar MFA de manera inmediata en todas las instancias, ya que esta medida de seguridad puede neutralizar por completo los ataques basados en credenciales robadas, incluso cuando los usuarios han sido comprometidos por malware.

La autenticación multifactor añade una verificación adicional —como una app de autenticación, un token físico o un código temporal— que impide que un atacante acceda a la cuenta solo con usuario y contraseña. En el contexto actual de amenazas, MFA ya no es opcional, sino un requisito básico de ciberseguridad.

Medidas de seguridad adicionales recomendadas por ownCloud

Además de habilitar MFA, ownCloud aconseja a las organizaciones implementar de inmediato una serie de acciones defensivas para reducir el riesgo de intrusiones y exfiltración de datos:

• Restablecer todas las contraseñas de los usuarios, especialmente aquellas que no hayan sido rotadas recientemente.
• Invalidar todas las sesiones activas, forzando la reautenticación para expulsar posibles accesos no autorizados.
• Revisar exhaustivamente los registros de acceso, en busca de inicios de sesión sospechosos, direcciones IP inusuales o accesos fuera de horario.
• Concienciar a los empleados sobre los riesgos del malware infostealer y las buenas prácticas de seguridad digital.

El actor Zestix y la venta de datos corporativos

Esta advertencia se produce en un contexto aún más preocupante. Un actor malicioso conocido como Zestix ha estado ofreciendo a la venta datos corporativos robados de decenas de empresas, presuntamente obtenidos tras comprometer instancias de ShareFile, Nextcloud y ownCloud.

Según Hudson Rock, los atacantes habrían utilizado credenciales robadas por malware infostealer para obtener acceso inicial a los servidores de intercambio de archivos. En su informe del 5 de enero, la firma de inteligencia cibernética reveló haber identificado miles de ordenadores infectados, algunos pertenecientes a redes de organizaciones de alto perfil como Deloitte, KPMG, Samsung, Honeywell, Walmart y los CDC de Estados Unidos.

La seguridad empieza en el endpoint

El caso de ownCloud refuerza una realidad incuestionable: la seguridad de las plataformas depende en gran medida de la higiene digital de los usuarios y de la protección de los endpoints. Aunque el software sea robusto, el uso de contraseñas comprometidas sin MFA convierte cualquier sistema en un objetivo vulnerable.

Activar autenticación multifactor, fortalecer las políticas de acceso y combatir el malware infostealer debe ser una prioridad para cualquier organización que gestione información sensible. En un entorno donde las credenciales robadas se venden y reutilizan a escala industrial, MFA es la diferencia entre un intento fallido y una filtración masiva de datos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han detectado explotación activa de una vulnerabilidad crítica de inyección de comandos que afecta a múltiples modelos de routers D-Link DSL que han llegado al final de su vida útil (EoL) desde hace varios años. El fallo, ahora registrado como CVE-2026-0625, permite a un atacante remoto no autenticado ejecutar comandos arbitrarios del sistema, lo que podría derivar en un control total del dispositivo.

La vulnerabilidad reside en el endpoint dnscfg.cgi, un componente de la interfaz Common Gateway Interface (CGI) utilizado por los dispositivos para gestionar la configuración DNS. Debido a una sanitización inadecuada de la entrada de datos en una biblioteca CGI heredada, los atacantes pueden inyectar comandos del sistema operativo directamente a través de parámetros manipulados, provocando una ejecución remota de código (RCE).

Explotación detectada en honeypots

El problema fue identificado tras la detección de intentos de explotación reales observados por The Shadowserver Foundation, que capturó la actividad maliciosa en uno de sus honeypots expuestos. Posteriormente, la empresa de inteligencia de vulnerabilidades VulnCheck notificó oficialmente a D-Link el 15 de diciembre, alertando sobre la gravedad del hallazgo.

Según VulnCheck, la técnica de explotación observada no parece haber sido documentada públicamente con anterioridad, lo que sugiere que podría tratarse de un vector relativamente nuevo o de una adaptación específica de métodos clásicos de inyección de comandos contra firmware heredado.

"Un atacante remoto no autenticado puede inyectar y ejecutar comandos arbitrarios de shell, lo que resulta en la ejecución remota de código", advirtió VulnCheck en su aviso de seguridad.

Modelos de routers D-Link afectados por CVE-2026-0625

En colaboración con VulnCheck, D-Link confirmó oficialmente que los siguientes modelos y versiones de firmware son vulnerables a CVE-2026-0625:

• DSL-526B – firmware ≤ 2.01
• DSL-2640B – firmware ≤ 1.07
• DSL-2740R – firmware < 1.17
• DSL-2780B – firmware ≤ 1.01.14

Todos estos dispositivos alcanzaron el final de su vida útil en 2020, lo que significa que ya no reciben actualizaciones de firmware, parches de seguridad ni mantenimiento técnico. Como resultado, no existe ni existirá una corrección oficial para esta vulnerabilidad.

D-Link ha sido claro en su recomendación: retirar y reemplazar inmediatamente los dispositivos afectados por modelos que cuenten con soporte activo y actualizaciones de seguridad regulares.

Dificultades para identificar otros dispositivos vulnerables

El fabricante también reconoció que determinar con precisión el alcance completo del problema es complejo, debido a las múltiples variaciones de firmware y generaciones de productos que comparten componentes heredados.

Citar"Tanto D-Link como VulnCheck se enfrentan a una complejidad significativa para identificar con precisión todos los modelos afectados debido a las variaciones en las implementaciones de firmware", explicó la compañía.

Actualmente, no existe un método fiable para detectar automáticamente los modelos vulnerables, más allá de la inspección manual del firmware. Por este motivo, D-Link continúa validando compilaciones entre plataformas heredadas y productos aún compatibles para descartar impactos adicionales.

¿Cómo puede explotarse esta vulnerabilidad?

Aunque CVE-2026-0625 permite ejecución remota de código sin autenticación, VulnCheck señala que la mayoría de los routers de consumo solo exponen los endpoints CGI a la red local (LAN) de forma predeterminada. Esto limita, en principio, la superficie de ataque.

Sin embargo, la explotación sigue siendo viable en varios escenarios comunes:

• Routers con administración remota habilitada
• Dispositivos expuestos mediante redireccionamiento de puertos
• Ataques basados en navegador desde equipos comprometidos en la LAN
• Entornos donde el router actúa como dispositivo compartido o reutilizado

Una vez explotado, el atacante puede modificar la configuración del dispositivo, instalar malware persistente, redirigir tráfico DNS, integrar el router en una botnet o utilizarlo como punto de acceso para ataques posteriores.

El riesgo persistente de los dispositivos EoL

Este incidente pone de relieve un problema estructural recurrente en la seguridad de redes: el uso continuado de dispositivos al final de su vida útil. Los routers EoL representan un objetivo atractivo para los atacantes porque:

• No reciben parches de seguridad
• Ejecutan firmware obsoleto con vulnerabilidades conocidas
• Suelen permanecer operativos durante años sin supervisión
• Están ampliamente desplegados en hogares y pequeñas empresas

D-Link ha reiterado que los dispositivos EoL no reciben ningún tipo de mantenimiento, por lo que cualquier vulnerabilidad descubierta tras su retirada permanecerá explotable indefinidamente.

Recomendaciones de mitigación

Ante la ausencia de parches, los expertos recomiendan:

• Reemplazar inmediatamente routers EoL por modelos con soporte activo
• Deshabilitar completamente la administración remota
• Segmentar estos dispositivos en redes no críticas, si no pueden retirarse
• Aplicar configuraciones de seguridad restrictivas
• Monitorizar tráfico sospechoso, especialmente DNS

En entornos empresariales o industriales, mantener routers heredados expuestos puede convertirse en un riesgo crítico para la seguridad operativa y la integridad de la red.

Una advertencia clara para usuarios y organizaciones

La explotación activa de CVE-2026-0625 demuestra que los atacantes siguen enfocándose en infraestructura antigua, donde la falta de parches convierte fallos relativamente simples en vectores de compromiso devastadores.

Este caso refuerza la necesidad de auditorías periódicas de activos de red, eliminación de hardware obsoleto y adopción de una estrategia de seguridad que contemple el ciclo de vida completo de los dispositivos.

En un panorama de amenazas cada vez más automatizado, los routers sin soporte siguen siendo uno de los eslabones más débiles de la cadena de seguridad digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha rechazado recientemente las afirmaciones de que múltiples problemas relacionados con inyección de prompts, bypass de controles y comportamientos del sandbox en su asistente de inteligencia artificial Copilot constituyan vulnerabilidades de seguridad. La postura de la compañía ha generado un intenso debate dentro de la comunidad de ciberseguridad y pone de relieve una creciente brecha conceptual entre investigadores independientes y grandes proveedores tecnológicos a la hora de definir qué representa un riesgo real en los sistemas de IA generativa.

El ingeniero de ciberseguridad John Russell afirmó públicamente haber identificado cuatro vulnerabilidades distintas en Microsoft Copilot, las cuales fueron posteriormente descartadas por la empresa por no cumplir con sus criterios de reparabilidad. "El mes pasado descubrí cuatro vulnerabilidades en Microsoft Copilot. Desde entonces han cerrado mis casos alegando que no califican para la capacidad de mantenimiento", publicó Russell en LinkedIn.

Los problemas técnicos reportados en Copilot

Según Russell, los hallazgos descartados por Microsoft incluyen una serie de comportamientos que, desde su perspectiva, exponen debilidades estructurales en los mecanismos de protección del asistente de IA. Entre ellos destacan:

• Inyección directa e indirecta de prompts, capaz de provocar la divulgación inmediata del prompt del sistema
• Bypass de la política de tipos de archivos, mediante la codificación en Base64
• Ejecución de comandos dentro del entorno Linux aislado de Copilot

Uno de los puntos más relevantes es el relacionado con la restricción de subida de archivos. Copilot, de forma predeterminada, bloquea la carga de formatos considerados peligrosos. Sin embargo, Russell demostró que estos archivos pueden codificarse como texto Base64, enviarse como archivos aparentemente inofensivos y luego reconstruirse dentro de la sesión, eludiendo por completo los controles iniciales.

Citar"Una vez enviado como archivo de texto plano, el contenido pasa las comprobaciones de tipo de archivo, se decodifica dentro de la sesión y el archivo reconstruido se analiza posteriormente, eludiendo efectivamente la política de subida", explicó el investigador.

¿Vulnerabilidades reales o limitaciones conocidas de la IA?

La publicación de Russell generó un amplio debate en la comunidad de seguridad. Algunos expertos respaldaron sus conclusiones, señalando que la inyección de prompts encubiertos es un riesgo real, especialmente cuando se combina con procesamiento de documentos.

Raj Marathe, profesional experimentado en ciberseguridad, recordó un caso similar: "El año pasado presencié una demostración donde una inyección prompt estaba oculta dentro de un documento Word subido a Copilot. Cuando el sistema leyó el archivo, el comportamiento se volvió errático y terminó bloqueando al usuario".

No obstante, otros investigadores cuestionaron si estos comportamientos deben clasificarse como vulnerabilidades explotables. Cameron Criswell, investigador de seguridad, argumentó que estos problemas son bien conocidos en los grandes modelos de lenguaje y difíciles de erradicar sin afectar su funcionalidad.

"Los LLM aún no pueden separar de forma fiable los datos de las instrucciones. Eliminar por completo este comportamiento significaría eliminar gran parte de su utilidad", explicó Criswell.

Desde esta perspectiva, la inyección prompt no sería una falla puntual, sino una limitación inherente a la arquitectura de los modelos de lenguaje, que pueden interpretar datos como instrucciones si estas se presentan de forma suficientemente creativa.

El papel de los prompts del sistema y OWASP GenAI

Un prompt del sistema es el conjunto de instrucciones ocultas que define cómo debe comportarse un asistente de IA. Si estos prompts están mal diseñados o contienen lógica sensible, pueden convertirse en un vector de ataque indirecto.

El proyecto OWASP GenAI adopta una postura más matizada y evita clasificar automáticamente la filtración de prompts como una vulnerabilidad. Según OWASP, el riesgo real aparece cuando los prompts contienen datos sensibles, reglas de seguridad o controles de privilegios.

Citar"En resumen, la divulgación del prompt del sistema en sí misma no representa el riesgo real. El problema surge cuando permite la divulgación de información sensible, elusión de controles o separación indebida de privilegios", señala OWASP.

Incluso sin conocer la redacción exacta de los prompts, los atacantes pueden inferir restricciones y reglas internas simplemente interactuando con el sistema y observando sus respuestas, lo que reduce la efectividad de ocultarlos como única medida de seguridad.

La postura oficial de Microsoft

Microsoft afirma que todos los informes relacionados con IA son evaluados de acuerdo con su política pública de clasificación de vulnerabilidades. Un portavoz de la compañía explicó que los reportes de Russell fueron revisados, pero no cumplieron los criterios necesarios para ser considerados vulnerabilidades reparables.

"Algunos casos quedan fuera de alcance cuando no se cruza un límite de seguridad, cuando el impacto se limita al entorno del usuario que realiza la solicitud o cuando solo se divulga información de bajo privilegio", indicó la empresa.

Desde la perspectiva de Microsoft, los problemas reportados representan comportamientos esperados o limitaciones conocidas, siempre que no deriven en accesos no autorizados, escaladas de privilegios o exfiltración de datos entre usuarios o sistemas.

Una brecha que seguirá creciendo

En última instancia, la controversia revela una brecha conceptual cada vez más profunda entre investigadores de seguridad y proveedores de IA. Mientras los primeros advierten sobre riesgos emergentes y vectores de abuso, las empresas tienden a evaluar los problemas bajo modelos tradicionales de límites de seguridad, que no siempre encajan con la naturaleza probabilística de la IA generativa.

A medida que herramientas como Copilot se integran en entornos empresariales, flujos de trabajo críticos y sistemas con datos sensibles, esta diferencia en la definición de riesgo probablemente seguirá siendo una fuente recurrente de fricción.

El debate no gira únicamente en torno a si la inyección prompt es una vulnerabilidad hoy, sino a cómo debe redefinirse la seguridad en la era de la IA, donde los fallos no siempre se manifiestan como exploits clásicos, pero pueden tener impactos significativos en confidencialidad, integridad y confianza.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han descubierto dos nuevas extensiones maliciosas en la Chrome Web Store diseñadas para exfiltrar conversaciones completas de plataformas de inteligencia artificial como OpenAI ChatGPT, DeepSeek y otros chatbots, junto con datos detallados de navegación web, hacia servidores bajo control de actores maliciosos. El hallazgo vuelve a encender las alarmas sobre el uso de extensiones de navegador como vector silencioso de espionaje digital.

Las extensiones identificadas, que en conjunto superan los 900.000 usuarios, se presentan como herramientas legítimas de productividad basadas en IA, pero en realidad incorporan funcionalidades de espionaje avanzadas. Los complementos son:

• Chat GPT para Chrome con GPT-5, Claude Sonnet y DeepSeek AI
• (ID: fnmihdojmnkclgjpcoonokmkhjpjechg – más de 600.000 usuarios)
• Barra lateral de IA con Deepseek, ChatGPT, Claude y más
• (ID: inhcgfpbfdjbjogdfjbclgolkmhnooop – más de 300.000 usuarios)

Prompt Poaching: una nueva técnica de espionaje basada en extensiones

El descubrimiento se produce pocas semanas después de que Urban VPN Proxy, otra extensión con millones de instalaciones en Chrome y Edge, fuera sorprendida espiando conversaciones de usuarios con chatbots de IA. Esta técnica ha sido bautizada por Secure Annex como "Prompt Poaching", un término que describe la captura sigilosa de prompts, respuestas y contexto compartido con modelos de inteligencia artificial.

Según explicó Moshe Siman Tov Bustan, investigador de OX Security, ambas extensiones "fueron encontradas exfiltrando conversaciones completas de usuarios y todas las URLs de las pestañas activas de Chrome cada 30 minutos hacia un servidor remoto de comando y control (C2)".

Lo más preocupante es que el malware se oculta tras solicitudes de permisos aparentemente inofensivos, solicitando consentimiento para recopilar "datos analíticos anónimos y no identificables", cuando en realidad extrae el contenido íntegro de las sesiones de ChatGPT y DeepSeek.

Suplantación de extensiones legítimas y abuso de confianza

El análisis técnico reveló que estas extensiones maliciosas se hacen pasar por una herramienta legítima llamada "Chat with all AI models (Gemini, Claude, DeepSeek...) & AI Agents" desarrollada por AITOPIA, la cual cuenta con alrededor de 1 millón de usuarios reales. Esta táctica de suplantación visual y funcional facilita que los usuarios instalen el malware sin sospechar.

A pesar de los hallazgos, las extensiones seguían disponibles en la Chrome Web Store al momento de la divulgación, aunque una de ellas perdió su distintivo de "Featured", lo que evidencia las limitaciones de los controles de seguridad del ecosistema de extensiones.

Cómo roban las conversaciones de IA

Una vez instaladas, las extensiones solicitan permisos para monitorizar el comportamiento del navegador con el pretexto de mejorar la experiencia de la barra lateral. Tras la aceptación del usuario, el código malicioso:

• Escanea el DOM de las páginas web en busca de elementos específicos utilizados por ChatGPT, DeepSeek y otros chatbots.
• Extrae mensajes, respuestas, prompts y contexto completo de conversación.
• Almacena los datos localmente.
• Los exfiltra periódicamente a servidores remotos como "chatsaigpt[.]com" o "deepaichats[.]com".

Además, los actores de amenazas utilizan Lovable, una plataforma de desarrollo web impulsada por IA, para alojar políticas de privacidad falsas e infraestructura auxiliar, empleando dominios como "chataigpt[.]pro" o "chatgptsidebar[.]pro" con el objetivo de ocultar su actividad maliciosa y aparentar legitimidad.

Riesgos críticos para usuarios y organizaciones

Las consecuencias de instalar estos complementos pueden ser extremadamente graves, ya que permiten la exfiltración de información altamente sensible, incluyendo:

• Prompts confidenciales compartidos con IA
• Datos corporativos introducidos en ChatGPT o DeepSeek
• Consultas internas, estrategias, código fuente o documentos
• URLs internas, búsquedas y hábitos de navegación

OX Security advirtió que estos datos pueden utilizarse para espionaje corporativo, robo de identidad, campañas de phishing dirigidas o comercialización en foros clandestinos. En entornos empresariales, el impacto puede traducirse en filtración de propiedad intelectual, exposición de datos de clientes y compromisos regulatorios.

Extensiones legítimas también participan en la "captación de prompts"

La investigación también reveló que extensiones legítimas y ampliamente utilizadas, como Similarweb y Stayfocusd de Sensor Tower, practican una forma de recolección de datos de IA. Similarweb, con más de 1 millón de usuarios, introdujo en 2025 la capacidad de monitorizar conversaciones con herramientas de IA, aclarando en sus términos de servicio que recopila entradas y salidas de modelos como ChatGPT, Claude, Gemini y Perplexity.

Análisis técnicos posteriores demostraron que Similarweb extrae datos directamente del DOM o intercepta APIs nativas del navegador, como fetch() y XMLHttpRequest(), un enfoque similar al observado en extensiones claramente maliciosas.

John Tuckner, de Secure Annex, advirtió que las extensiones del navegador se han convertido en el principal vector para capturar conversaciones sensibles con IA, y que esta tendencia apenas comienza. "Cada vez más empresas verán valor económico en estos datos y buscarán monetizarlos", afirmó.

Recomendaciones de seguridad

Ante este panorama, los expertos recomiendan:

• Eliminar inmediatamente extensiones sospechosas
• Revisar permisos concedidos a complementos de navegador
• Evitar extensiones de fuentes desconocidas, incluso si son "Destacadas"
• Restringir el uso de IA para información sensible en entornos corporativos
• Implementar políticas de seguridad para extensiones en empresas

La proliferación de ataques basados en Prompt Poaching confirma que las conversaciones con IA ya son un objetivo prioritario para los cibercriminales, y que la seguridad del navegador se ha convertido en un frente crítico de defensa digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Centro de Coordinación CERT (CERT/CC) ha revelado recientemente los detalles de una grave vulnerabilidad de seguridad sin parchear que afecta al extensor inalámbrico TOTOLINK EX200, un dispositivo ampliamente utilizado para ampliar la cobertura de redes Wi-Fi domésticas y empresariales. El fallo, identificado como CVE-2025-65606, podría permitir que un atacante autenticado remotamente obtenga control total del sistema, incluyendo acceso con privilegios de usuario root sin necesidad de autenticación adicional.

De acuerdo con CERT/CC, la vulnerabilidad reside en un error lógico en el gestor de subida del firmware, el cual puede ser explotado mediante la carga de archivos de firmware especialmente diseñados. Este comportamiento anómalo provoca que el dispositivo inicie inadvertidamente un servicio telnet no autenticado a nivel raíz, exponiendo completamente el sistema operativo interno del equipo.

Detalles técnicos de la vulnerabilidad CVE-2025-65606

El fallo CVE-2025-65606 ha sido clasificado como una vulnerabilidad de lógica de gestión de errores, un tipo de debilidad que suele pasar desapercibida durante el desarrollo del software, pero que puede tener consecuencias críticas en entornos reales. Aunque la puntuación CVSS oficial aún no ha sido publicada, el impacto potencial es elevado debido a la escala de privilegios y la posibilidad de ejecución arbitraria de comandos.

CERT/CC atribuyó el descubrimiento y la divulgación responsable del problema al investigador de seguridad Leandro Kogan, quien identificó que el gestor de carga de firmware entra en un "estado de error anormal" cuando procesa ciertos archivos de firmware malformados. En lugar de abortar la operación de forma segura, el sistema reacciona iniciando un servicio telnet con privilegios root y sin ningún mecanismo de autenticación.

"Un atacante autenticado puede activar una condición de error en el gestor de subida del firmware que hace que el dispositivo inicie un servicio telnet raíz no autenticado, otorgando acceso completo al sistema", explicó CERT/CC en su aviso de seguridad.

Requisitos para la explotación

Para explotar esta vulnerabilidad, el atacante debe estar previamente autenticado en la interfaz de administración web del dispositivo, lo que implica acceso a las credenciales de gestión o la explotación previa de otro fallo. Sin embargo, este requisito no reduce significativamente el riesgo, ya que muchos dispositivos de red:

• Utilizan contraseñas débiles o predeterminadas
• Exponen interfaces de administración a redes no confiables
• Carecen de mecanismos de detección de actividad maliciosa

Una vez activado el servicio telnet no intencionado, el atacante obtiene acceso root completo, eliminando cualquier restricción de seguridad impuesta por la interfaz web.

Impacto y riesgos de seguridad

El impacto de esta vulnerabilidad va más allá del control individual del dispositivo. Un extensor inalámbrico comprometido puede convertirse en un punto estratégico para ataques más amplios, incluyendo:

• Manipulación de la configuración de red, como redirección de tráfico o cambios de DNS
• Intercepción de comunicaciones, facilitando ataques de tipo Man-in-the-Middle
• Persistencia maliciosa, mediante la instalación de backdoors o scripts de inicio
• Integración en botnets, utilizadas para ataques DDoS o campañas de escaneo masivo

Dado que los extensores Wi-Fi suelen ubicarse en posiciones intermedias dentro de la red, su compromiso representa un riesgo significativo tanto para usuarios domésticos como para pequeñas organizaciones.

Falta de parche y abandono del producto

Uno de los aspectos más preocupantes del aviso de CERT/CC es que TOTOLINK no ha publicado ningún parche para corregir esta vulnerabilidad. Además, se indica que el TOTOLINK EX200 ya no se mantiene activamente, lo que reduce drásticamente las probabilidades de recibir actualizaciones de seguridad en el futuro.

La página oficial del fabricante muestra que el último firmware disponible fue publicado en febrero de 2023, lo que confirma que el dispositivo se encuentra, en la práctica, fuera de su ciclo de soporte. Esta situación es común en dispositivos de red de bajo costo y representa un problema estructural en términos de ciberseguridad.

Recomendaciones de mitigación

Ante la ausencia de una solución oficial, CERT/CC recomienda adoptar medidas de mitigación inmediatas para reducir el riesgo de explotación:

• Restringir el acceso administrativo únicamente a redes de confianza
• Evitar la exposición de la interfaz de gestión a Internet
• Cambiar credenciales predeterminadas y utilizar contraseñas robustas
• Monitorizar actividad anómala, como conexiones telnet inesperadas
• Considerar la sustitución del dispositivo por un modelo compatible y mantenido activamente

En entornos donde la seguridad es prioritaria, la mejor opción sigue siendo retirar dispositivos sin soporte y optar por fabricantes con políticas claras de actualizaciones y respuesta ante vulnerabilidades.

Un recordatorio sobre la seguridad de dispositivos IoT y de red

El caso del TOTOLINK EX200 subraya un problema recurrente en el ecosistema de dispositivos IoT y de red: la falta de mantenimiento a largo plazo y la exposición de fallos críticos sin mecanismos de corrección. Para los atacantes, estos equipos representan objetivos atractivos debido a su baja visibilidad y escasa protección.

La divulgación de la vulnerabilidad CVE-2025-65606 refuerza la importancia de auditar periódicamente la infraestructura de red, mantener un inventario actualizado de dispositivos y evaluar los riesgos asociados a productos que han llegado al final de su vida útil.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ilya Lichtenstein, uno de los protagonistas del mayor hackeo en la historia de las criptomonedas, anunció recientemente que ha sido liberado de prisión de forma anticipada, tras cumplir parte de su condena por blanqueo de capitales relacionado con el ataque al exchange Bitfinex en 2016. El anuncio reaviva el debate sobre la seguridad en plataformas de intercambio de criptomonedas, la efectividad del sistema judicial estadounidense y la aplicación de reformas penitenciarias como la Ley First Step.

En una publicación compartida en la red social X, Lichtenstein, de 38 años, confirmó su liberación y atribuyó la decisión a los beneficios otorgados por la legislación impulsada durante la administración del expresidente Donald Trump. Aunque el localizador de reclusos de la Oficina Federal de Prisiones (BOP) indica que su fecha oficial de liberación está programada para el 9 de febrero de 2026, el acusado se encuentra actualmente en confinamiento domiciliario, conforme a las políticas vigentes.

Citar"Sigo comprometido a tener un impacto positivo en ciberseguridad lo antes posible", escribió Lichtenstein. "A los seguidores, gracias por todo. A los que odian, espero poder demostrar que están equivocados".

La Ley First Step y su impacto en el caso

La Ley First Step, aprobada en 2018 con apoyo bipartidista, tiene como objetivo reducir la reincidencia y la población penitenciaria federal mediante incentivos por buena conducta, programas de rehabilitación y un sistema de evaluación de riesgos y necesidades. Esta legislación permite, en determinados casos, la liberación anticipada o el traslado a confinamiento domiciliario de reclusos que cumplan criterios específicos.

De acuerdo con funcionarios de la administración Trump citados por CNBC, Lichtenstein cumplió una parte significativa de su condena, lo que le permitió acceder a estos beneficios legales. El caso se ha convertido en uno de los ejemplos más mediáticos de la aplicación de esta reforma en delitos financieros y cibernéticos de alto perfil.

El hackeo de Bitfinex: uno de los mayores robos de bitcoin

Lichtenstein y su esposa, Heather Rhiannon Morgan, también conocida por su alias artístico "Razzlekhan", se declararon culpables en 2023 tras su arresto en febrero de 2022. Ambos estuvieron vinculados al hackeo de Bitfinex ocurrido en 2016, un incidente que marcó un antes y un después en la historia de la seguridad de los exchanges de criptomonedas.

Durante la brecha de seguridad, Lichtenstein logró autorizar fraudulentamente más de 2.000 transacciones, transfiriendo 119.754 bitcoins desde Bitfinex a una billetera bajo su control. En ese momento, el botín estaba valorado en aproximadamente 71 millones de dólares, aunque su valor se multiplicó exponencialmente con el auge del mercado cripto.

Vulnerabilidad multifirma y fallos de seguridad

Según la firma de inteligencia blockchain TRM Labs, el ataque fue posible gracias a la explotación de una vulnerabilidad en la configuración de retiradas multifirma de Bitfinex. Este fallo permitió a Lichtenstein iniciar y autorizar retiros sin requerir la aprobación de BitGo, la empresa externa encargada de custodiar activos digitales y añadir una capa adicional de seguridad.

El incidente evidenció debilidades críticas en los controles internos de los exchanges, impulsando cambios estructurales en la industria, como el fortalecimiento de la custodia en frío, auditorías de seguridad continuas y la adopción de arquitecturas multifirma más robustas.

Blanqueo de capitales y errores que llevaron a su captura

Tras el robo, los fondos ilícitos fueron convertidos en otras criptomonedas y canalizados a través de servicios de mezcla como Bitcoin Fog, una técnica común para dificultar el rastreo en la blockchain. Sin embargo, el caso dio un giro inesperado cuando parte del bitcoin robado fue utilizado para comprar tarjetas regalo de Walmart a través de una bolsa de criptomonedas no identificada.

Estas tarjetas regalo fueron posteriormente canjeadas usando la aplicación de Walmart para iPhone, bajo una cuenta registrada a nombre de Morgan, un error operativo que contribuyó significativamente a la identificación y arresto de la pareja.

Una incautación histórica de criptomonedas

Las autoridades estadounidenses lograron recuperar aproximadamente 94.000 bitcoins, valorados en unos 3.600 millones de dólares en 2022, convirtiéndose en una de las mayores incautaciones financieras en la historia de Estados Unidos.

En enero de 2025, los fiscales federales presentaron una moción solicitando que los activos recuperados fueran devueltos a Bitfinex, un proceso que sigue siendo observado de cerca por la comunidad cripto y por expertos legales debido a sus implicaciones regulatorias y precedentes jurídicos.

Condenas y liberación de Heather Morgan

Lichtenstein fue condenado a cinco años de prisión en noviembre de 2024, mientras que Morgan recibió una pena de 18 meses, en parte debido a su cooperación con las autoridades. A finales de octubre de 2025, Morgan publicó en X que había sido liberada "hace como un mes", describiendo su experiencia en prisión como "bastante tranquila".

Tras conocerse la liberación anticipada de su esposo, Morgan escribió:

Citar"El mejor regalo de Año Nuevo que pude recibir fue finalmente tener a mi marido en casa después de 4 años separados".

Implicaciones para la ciberseguridad y el ecosistema cripto

El caso Bitfinex sigue siendo un referente clave en la evolución de la ciberseguridad blockchain, demostrando que incluso las plataformas más grandes pueden fallar si existen errores de configuración críticos. Asimismo, pone de relieve cómo la trazabilidad inherente de la blockchain, combinada con fallos humanos, puede acabar desenmascarando operaciones criminales complejas.

La liberación anticipada de Lichtenstein no solo cierra un capítulo judicial, sino que reabre el debate sobre rehabilitación, reinserción y el papel de exdelincuentes en la industria de la ciberseguridad, un fenómeno cada vez más común en un sector que valora profundamente el conocimiento técnico.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La botnet Kimwolf se ha consolidado como una de las amenazas más sofisticadas y masivas del ecosistema Android, tras infectar a más de dos millones de dispositivos mediante técnicas avanzadas de tunelización a través de redes proxy residenciales. Así lo reveló la firma de inteligencia de amenazas Synthient, que ha seguido de cerca la evolución de esta infraestructura maliciosa y sus múltiples vectores de monetización.

Según el análisis publicado por la compañía, los actores detrás de Kimwolf no solo controlan una extensa red de dispositivos comprometidos, sino que monetizan activamente la botnet mediante la venta de ancho de banda proxy residencial, la instalación forzada de aplicaciones y la oferta de capacidades de ataque DDoS como servicio.

Origen y relación con la botnet AISURU

Kimwolf fue documentada públicamente por primera vez por QiAnXin XLab, que identificó vínculos técnicos y operativos con otra botnet conocida como AISURU. De acuerdo con los investigadores, Kimwolf estaría activa al menos desde agosto de 2025 y se considera una variante de AISURU adaptada específicamente al ecosistema Android.

Cada vez existen más evidencias que apuntan a que Kimwolf fue responsable directa o indirectamente de una serie de ataques DDoS de volumen récord observados a finales del año pasado, lo que confirma su papel como una infraestructura clave dentro del cibercrimen orientado a la disrupción de servicios.

Cómo funciona Kimwolf: proxy, DDoS y tráfico malicioso

El malware transforma los dispositivos Android infectados en nodos intermediarios capaces de retransmitir tráfico malicioso, permitiendo tanto el ocultamiento del origen real de los ataques como la orquestación de campañas DDoS a gran escala.

Synthient estima que la botnet observa alrededor de 12 millones de direcciones IP únicas por semana, lo que da una idea de su alcance y rotación. La mayor concentración de infecciones se ha identificado en Vietnam, Brasil, India y Arabia Saudí, regiones donde el uso de dispositivos Android económicos y decodificadores basados en Android es particularmente elevado.

ADB expuesto: el vector de infección principal

Uno de los aspectos más críticos del caso Kimwolf es su método de propagación. Los ataques se dirigen principalmente a dispositivos Android que tienen expuesto el servicio Android Debug Bridge (ADB), un mecanismo diseñado para depuración que no debería estar accesible desde Internet.

Synthient descubrió que al menos el 67% de los dispositivos comprometidos no estaban autenticados y tenían ADB habilitado por defecto, lo que permitió a los atacantes instalar el malware de forma remota sin interacción del usuario.

Para identificar estos dispositivos, los operadores de Kimwolf utilizan una infraestructura de escaneo que se apoya en proxies residenciales, dificultando la atribución y el bloqueo del tráfico malicioso.

Dispositivos preinfectados y SDKs proxy integrados

Uno de los hallazgos más preocupantes es la sospecha de que muchos dispositivos llegan preinfectados desde fábrica. Los investigadores creen que ciertos fabricantes o intermediarios habrían integrado kits de desarrollo de software (SDK) de proveedores de proxy residencial, lo que permite inscribir subrepticiamente los dispositivos en la botnet tras su conexión a Internet.

Entre los equipos más afectados se encuentran:

• Televisores inteligentes Android no oficiales
• Decodificadores (set-top boxes) basados en Android
• Dispositivos IoT con versiones personalizadas del sistema operativo

Estos dispositivos suelen carecer de actualizaciones de seguridad y controles de configuración, lo que los convierte en objetivos ideales.

Uso de proxies residenciales y el caso IPIDEA

Tan recientemente como en diciembre de 2025, las infecciones de Kimwolf aprovecharon direcciones IP proxy ofrecidas por IPIDEA, un proveedor con sede en China que se describe a sí mismo como el "principal proveedor mundial de proxies IP".

IPIDEA afirma gestionar:

• Más de 6,1 millones de direcciones IP actualizadas diariamente
• Aproximadamente 69.000 nuevas IPs al día

Tras la divulgación del problema, IPIDEA implementó un parche de seguridad el 27 de diciembre, bloqueando el acceso a direcciones de red local y puertos sensibles, una medida clave para frenar el abuso de su infraestructura.

El modus operandi de Kimwolf consiste en aprovechar estas redes proxy comerciales, tunelizar el tráfico a través de ellas y luego acceder a las redes locales de los sistemas que ejecutan el software proxy, facilitando la instalación y control del malware.

Infraestructura técnica y comunicación C2

La carga útil principal de Kimwolf escucha en el puerto 40860 y se comunica con su servidor de comando y control (C2) ubicado en 85.234.91[.]247:1337, desde donde recibe instrucciones adicionales.

"La magnitud de esta vulnerabilidad fue sin precedentes, exponiendo millones de dispositivos a ataques", señaló Synthient.

Monetización mediante Byteconnect y ataques secundarios

Además del control directo, Kimwolf infecta los dispositivos con el SDK de monetización de ancho de banda Plainproxies Byteconnect, lo que refuerza la hipótesis de una estrategia de monetización múltiple y bien organizada.

Este SDK utiliza 119 servidores relé, que reciben tareas proxy desde un servidor C2 y las ejecutan a través de los dispositivos comprometidos, vendiendo su conectividad como proxy residencial comercial.

Synthient también detectó infraestructura asociada a ataques de relleno de credenciales, dirigidos tanto a servidores IMAP como a sitios web populares, ampliando el impacto potencial de la botnet.

Un ecosistema peligroso entre botnets y proveedores proxy

Según los investigadores, la agresiva venta de proxies residenciales por parte de Kimwolf —con precios tan bajos como 0,20 dólares por GB o 1.400 dólares mensuales por ancho de banda ilimitado— facilitó su rápida adopción por otros actores.

Citar"El descubrimiento de decodificadores de TV preinfectados y la monetización mediante SDKs secundarios como Byteconnect demuestra una relación cada vez más estrecha entre actores maliciosos y proveedores comerciales de proxies", advirtió Synthient.

Recomendaciones de mitigación

Para reducir el riesgo asociado a Kimwolf y amenazas similares, los expertos recomiendan:

• Bloquear solicitudes hacia direcciones RFC 1918 desde infraestructuras proxy
• Deshabilitar o restringir ADB en dispositivos Android expuestos
• Bloquear sistemas que ejecuten shells ADB no autenticados
• Auditar dispositivos IoT y Android embebidos en redes corporativas

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de ingeniería social ClickFix está apuntando directamente al sector hotelero en Europa, utilizando una técnica particularmente engañosa: pantallas falsas de la Pantalla Azul de la Muerte (BSOD) de Windows. El objetivo de los atacantes es manipular a empleados de hoteles para que ejecuten manualmente comandos maliciosos, comprometiendo sus propios sistemas sin necesidad de explotar vulnerabilidades técnicas tradicionales.

Esta campaña fue detectada por primera vez en diciembre y analizada en profundidad por investigadores de Securonix, quienes la rastrean bajo el identificador PHALT#BLYX. El ataque se inicia mediante correos electrónicos de phishing que suplantan a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, una plataforma ampliamente utilizada en la industria hotelera, lo que incrementa considerablemente su efectividad.

¿Qué es una pantalla azul de la muerte (BSOD) y por qué es tan efectiva?

La Pantalla Azul de la Muerte (Blue Screen of Death – BSOD) es un mecanismo legítimo de Windows que aparece cuando el sistema operativo encuentra un error crítico e irrecuperable, obligándolo a detenerse para evitar daños mayores. Normalmente, este mensaje incluye un código de error, información técnica mínima y una indicación para reiniciar el equipo.

Los atacantes se aprovechan de la familiaridad y el temor que genera esta pantalla, especialmente entre usuarios no técnicos, para simular un fallo grave del sistema y presentar instrucciones falsas de "recuperación". En condiciones de presión, como la gestión de una disputa económica con un supuesto cliente, muchas víctimas pasan por alto señales claras de fraude.

Phishing dirigido que suplanta a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La cadena de infección comienza con correos electrónicos de phishing altamente personalizados, que simulan provenir de huéspedes que cancelan una reserva a través de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Estos mensajes suelen reclamar reembolsos de importes significativos, diseñados para generar urgencia y estrés en el personal del hotel.

Al hacer clic en el enlace incluido en el correo, la víctima es redirigida a un sitio web falso alojado en low-house[.]com, descrito por Securonix como un "clon de alta fidelidad" del sitio legítimo de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Citar"La página utiliza la marca oficial de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, incluyendo la paleta de colores correcta, logotipos y tipografías. Para un ojo inexperto, es prácticamente indistinguible del sitio real", señalan los investigadores.

JavaScript malicioso y el inicio del engaño ClickFix

El sitio fraudulento contiene JavaScript malicioso que muestra un falso mensaje de error indicando que "la carga está tardando demasiado". Este mensaje invita al usuario a pulsar un botón para actualizar la página.

Al hacerlo, el navegador pasa automáticamente a modo pantalla completa, ocultando la barra de direcciones y otros indicadores del navegador, y muestra una pantalla falsa de bloqueo tipo BSOD. Es en este punto donde se activa plenamente la ingeniería social ClickFix.

La pantalla instruye al usuario para:

• Abrir el cuadro de diálogo Ejecutar de Windows
• Presionar CTRL + V, lo que pega un comando previamente copiado al portapapeles
• Pulsar OK o Enter para "solucionar el problema"

A diferencia de un BSOD legítimo, esta pantalla falsa ofrece instrucciones de recuperación, una clara señal de engaño que puede pasar desapercibida para usuarios sin formación técnica.

Ejecución manual del malware mediante PowerShell

Al ejecutar el comando, la víctima lanza un script malicioso de PowerShell que inicialmente abre una página señuelo de administración de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, reforzando la ilusión de legitimidad.

Sin embargo, en segundo plano, el comando descarga un proyecto .NET malicioso (v.proj) que es compilado localmente usando MSBuild.exe, una herramienta legítima de Windows. Esta técnica, conocida como Living-off-the-Land (LotL), ayuda a evadir soluciones de seguridad tradicionales.

Una vez compilada, la carga útil:

• Añade exclusiones en Windows Defender
• Solicita elevación de privilegios mediante UAC
• Descarga el cargador principal usando BITS (Background Intelligent Transfer Service)
• Establece persistencia creando un archivo .url en la carpeta de inicio automático

DCRAT: el troyano de acceso remoto desplegado

El malware final, identificado como staxs.exe, corresponde a DCRAT, un troyano de acceso remoto (RAT) ampliamente utilizado por actores de amenazas para el control total de sistemas comprometidos.

Para ocultar su actividad, DCRAT se inyecta en el proceso legítimo aspnet_compiler.exe mediante process hollowing, ejecutándose completamente en memoria y reduciendo su huella en disco.

En su primera comunicación con el servidor de Comando y Control (C2), el malware envía una huella digital completa del sistema, incluyendo información del hardware, sistema operativo y usuario. Posteriormente, queda a la espera de órdenes.

Entre sus capacidades destacan:

• Escritorio remoto
• Keylogging
• Reverse shell
• Ejecución en memoria de cargas adicionales

En el caso analizado por Securonix, los atacantes desplegaron posteriormente un minero de criptomonedas, monetizando el acceso comprometido.

Riesgo crítico para redes hoteleras

Una vez establecido el acceso remoto, los atacantes obtienen un punto de apoyo persistente dentro de la red de la organización. Desde allí, pueden:

• Moverse lateralmente a otros sistemas
• Robar información sensible de clientes
• Acceder a sistemas de facturación o reservas
• Preparar ataques de ransomware o espionaje corporativo

Este incidente demuestra cómo la ingeniería social avanzada, combinada con JavaScript malicioso, herramientas legítimas de Windows y malware conocido, sigue siendo una de las principales amenazas para el sector hotelero y de servicios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas identificado como Zestix ha sido vinculado a una serie de presuntas intrusiones en plataformas corporativas de intercambio de archivos en la nube, incluyendo ShareFile, Nextcloud y ownCloud, con el objetivo de vender datos empresariales robados en foros clandestinos. La información fue revelada por la firma de inteligencia contra el cibercrimen Hudson Rock, que alerta sobre un patrón preocupante de exposición sistémica de credenciales y malas prácticas de seguridad en organizaciones de alto perfil.

Robo de credenciales como vector de acceso inicial

De acuerdo con Hudson Rock, el acceso inicial a estos entornos corporativos no se habría producido mediante la explotación directa de vulnerabilidades en las plataformas, sino a través del uso de credenciales legítimas obtenidas previamente por malware de robo de información (infostealers) como RedLine, Lumma y Vidar.

Estos infostealers suelen propagarse mediante campañas de malvertising, descargas de software pirata o falsas actualizaciones, así como ataques ClickFix, una técnica de ingeniería social cada vez más utilizada. Una vez ejecutado en el dispositivo de la víctima, el malware extrae información sensible almacenada en navegadores web, incluyendo usuarios y contraseñas, datos de tarjetas de crédito, cookies de sesión, credenciales de aplicaciones empresariales, monederos de criptomonedas y aplicaciones de mensajería.

El verdadero riesgo surge cuando estas credenciales pertenecen a empleados con acceso a plataformas corporativas críticas y, además, no cuentan con autenticación multifactor (MFA) habilitada. En estos escenarios, un atacante puede iniciar sesión de forma remota sin generar alertas inmediatas.

Credenciales expuestas durante años

Uno de los hallazgos más alarmantes del informe es que muchas de las credenciales robadas llevaban años circulando en bases de datos criminales, lo que indica fallos graves en las políticas de seguridad de las organizaciones afectadas. Según Hudson Rock, en varios casos las contraseñas nunca fueron rotadas, o bien las sesiones activas no fueron invalidadas, incluso después de largos periodos de tiempo o posibles incidentes de seguridad.

Esta situación evidencia un problema estructural: la falta de higiene digital, el uso de contraseñas reutilizadas y la ausencia de controles como MFA o detección de accesos anómalos.

Zestix como intermediario de acceso inicial (IAB)

Hudson Rock clasifica a Zestix como un Intermediario de Acceso Inicial (Initial Access Broker – IAB), un rol clave dentro del ecosistema del cibercrimen moderno. Estos actores no siempre ejecutan ataques finales como ransomware o extorsión, sino que venden accesos ya comprometidos a otros grupos criminales especializados.

En este caso, Zestix habría comercializado accesos a entornos de nube corporativa utilizados por organizaciones de sectores altamente sensibles, como aviación, defensa, sanidad, telecomunicaciones, transporte público, servicios públicos, legal, inmobiliario y entidades gubernamentales.

Metodología de verificación de Hudson Rock

Para identificar las posibles brechas, los investigadores analizaron registros de infostealers buscando específicamente URLs corporativas asociadas a ShareFile, Nextcloud y ownCloud. Posteriormente, correlacionaron estos datos con imágenes, metadatos y fuentes abiertas disponibles públicamente.

En al menos 15 casos, Hudson Rock confirmó que credenciales de empleados con acceso a plataformas de intercambio de archivos habían sido recopiladas por malware de robo de información. Con dichas credenciales, los atacantes pudieron iniciar sesión en los servicios donde MFA no estaba habilitado, obteniendo acceso completo a los datos almacenados.

Es importante destacar que esta verificación es unilateral y que no existe confirmación pública por parte de la mayoría de las empresas mencionadas sobre una brecha directa. Una posible excepción es Iberia, aunque su incidente reciente no ha sido vinculado oficialmente a los hallazgos de Hudson Rock.

Datos robados de alto valor estratégico

Zestix ofreció a la venta volúmenes de datos que oscilan entre decenas de gigabytes y varios terabytes, afirmando que los archivos incluyen información extremadamente sensible, como:

• Manuales de mantenimiento de aeronaves y datos de flotas
• Documentación de defensa e ingeniería
• Bases de datos de clientes y registros médicos
• Esquemas de transporte público y mapas LiDAR
• Configuraciones de redes de proveedores de internet (ISP)
• Información sobre proyectos satelitales
• Código fuente de sistemas ERP
• Contratos gubernamentales y documentos legales

La exposición de este tipo de información representa riesgos severos en términos de seguridad, privacidad, cumplimiento normativo y espionaje industrial. En el caso de los contratos gubernamentales y datos críticos de infraestructura, las implicaciones podrían incluso escalar a preocupaciones de seguridad nacional.

Un problema sistémico de seguridad en la nube

Además de las víctimas confirmadas, Hudson Rock identificó un grupo adicional de 30 organizaciones cuyos datos Zestix estaría vendiendo bajo el alias "Sentap", aunque estos casos no pudieron ser validados con la misma metodología.

Los investigadores subrayan que este fenómeno no es un incidente aislado, sino un reflejo de un problema sistémico de exposición en la nube, impulsado por el incumplimiento de buenas prácticas básicas de ciberseguridad.

Como parte de su análisis, Hudson Rock afirma haber identificado miles de ordenadores infectados por infostealers, incluyendo sistemas pertenecientes a empresas de renombre como Deloitte, KPMG, Samsung, Honeywell y Walmart, lo que demuestra el alcance transversal de esta amenaza.

Notificación a los proveedores afectados

Hudson Rock confirmó que ya ha notificado a ShareFile sobre las exposiciones verificadas y que también alertará a Nextcloud y ownCloud, con el objetivo de que los proveedores puedan adoptar medidas adicionales de mitigación y concienciar a sus clientes sobre la necesidad de reforzar sus controles de acceso.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de 115.000 dispositivos WatchGuard Firebox expuestos a Internet permanecen sin parchear frente a una vulnerabilidad crítica de ejecución remota de código (RCE) que ya está siendo explotada activamente en ataques reales. El fallo, identificado como CVE-2025-14733, representa una amenaza significativa para organizaciones de todo el mundo, especialmente pequeñas y medianas empresas que dependen de estos dispositivos como primera línea de defensa perimetral.

Los cortafuegos WatchGuard Firebox son ampliamente utilizados en entornos corporativos y gubernamentales para proteger redes internas, gestionar VPNs y controlar el tráfico entrante y saliente. La explotación exitosa de esta vulnerabilidad permitiría a atacantes no autenticados ejecutar código arbitrario de forma remota, comprometiendo por completo los dispositivos afectados y, potencialmente, toda la red protegida por ellos.

Versiones afectadas y alcance del fallo de seguridad

Según WatchGuard, CVE-2025-14733 afecta a los cortafuegos Firebox que ejecutan las siguientes versiones del sistema operativo Fireware OS:

• Fireware OS 11.x y posteriores, incluida la versión 11.12.4_Update1
• Fireware OS 12.x y posteriores, incluida la versión 12.11.5
• Fireware OS 2025.1 hasta la versión 2025.1.3, inclusive

El fallo puede ser explotado mediante ataques de baja complejidad, no requiere credenciales válidas ni interacción del usuario, lo que incrementa considerablemente su atractivo para actores maliciosos, incluidos grupos de ransomware, operadores de botnets y actores patrocinados por estados.

Explotación condicionada a configuraciones VPN IKEv2

En un aviso de seguridad publicado el jueves, WatchGuard confirmó que la vulnerabilidad fue marcada como "explotada en estado natural", es decir, ya observada en campañas activas. La compañía explicó que los dispositivos Firebox solo son vulnerables si están configurados para VPNs que utilicen IKEv2, un protocolo ampliamente empleado para conexiones seguras entre usuarios remotos y sucursales.

No obstante, WatchGuard advirtió que el riesgo persiste incluso después de eliminar configuraciones vulnerables, ya que los dispositivos podrían seguir expuestos si existe una VPN de sucursal a sucursal (BOVPN) configurada con un par de gateway estático o dinámico.

CitarLa descripción técnica del fallo, recogida en la Base de Datos Nacional de Vulnerabilidades (NVD), señala que:

"El proceso WatchGuard Fireware OS contiene una vulnerabilidad de escritura fuera de límites. Esta falla puede permitir que un atacante remoto no autenticado ejecute código arbitrario y afecta tanto a VPNs de usuario móvil con IKEv2 como a VPNs de sucursal cuando se configuran con pares de gateway dinámicos."

Este tipo de vulnerabilidad de escritura fuera de límites es especialmente peligrosa en dispositivos perimetrales, ya que suele permitir control total del sistema una vez explotada.

Más de 117.000 dispositivos expuestos según Shadowserver

La gravedad del problema se ve reforzada por los datos recopilados por The Shadowserver Foundation, una organización especializada en la monitorización de amenazas en Internet. El sábado, Shadowserver detectó 124.658 instancias de Firebox sin parchear expuestas en línea, y al día siguiente la cifra seguía siendo alarmante, con 117.490 dispositivos aún accesibles desde Internet.

Estas cifras indican una adopción lenta de los parches de seguridad, un patrón recurrente en ataques dirigidos a dispositivos de red, donde la actualización suele retrasarse por miedo a interrupciones operativas.

Respuesta de WatchGuard y medidas de mitigación

WatchGuard ha publicado indicadores de compromiso (IoC) para ayudar a los administradores a identificar si sus dispositivos Firebox han sido comprometidos. La empresa recomienda que, ante cualquier señal de actividad maliciosa, los clientes roten inmediatamente todos los secretos almacenados localmente, incluyendo credenciales, claves VPN y certificados.

Para aquellas organizaciones que no pueden aplicar los parches de inmediato, WatchGuard también proporcionó una solución temporal, que incluye:

• Desactivar BOVPNs con pares dinámicos
• Añadir nuevas políticas de firewall restrictivas
• Deshabilitar políticas predeterminadas del sistema relacionadas con el tráfico VPN

Si bien estas mitigaciones pueden reducir el riesgo, WatchGuard subraya que no sustituyen la aplicación del parche oficial, que sigue siendo la única solución definitiva.

CISA interviene y ordena parcheo inmediato

Un día después del lanzamiento de los parches, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) añadió CVE-2025-14733 a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), una señal clara de que la amenaza es grave y urgente.

CISA también ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que parcheen los dispositivos Firebox vulnerables en un plazo máximo de una semana, antes del 26 de diciembre, en cumplimiento de la Directiva Operativa Vinculante (BOD) 22-01.

Citar"La explotación de este tipo de vulnerabilidades es un vector de ataque frecuente para actores cibernéticos maliciosos y supone riesgos significativos para la empresa federal", advirtió la agencia.

Un patrón recurrente en Firebox

Este incidente no es aislado. En septiembre, WatchGuard corrigió una vulnerabilidad RCE casi idéntica, CVE-2025-9242, que también fue explotada activamente. Un mes después, Shadowserver detectó más de 75.000 Firebox vulnerables, principalmente en Norteamérica y Europa, lo que llevó nuevamente a CISA a intervenir.

Incluso dos años atrás, CISA ordenó el parcheo urgente de CVE-2022-23176, otra vulnerabilidad crítica que afectaba a dispositivos Firebox y XTM, confirmando un historial preocupante de fallos explotables en estos productos.

Riesgo sistémico para miles de organizaciones

WatchGuard trabaja con más de 17.000 distribuidores y proveedores de servicios de seguridad y protege las redes de más de 250.000 pequeñas y medianas empresas en todo el mundo. La explotación masiva de CVE-2025-14733 podría tener impacto sistémico, facilitando desde espionaje corporativo hasta ataques de ransomware a gran escala.

Este nuevo episodio refuerza la necesidad crítica de gestión de parches proactiva, segmentación de red y monitorización continua, especialmente en dispositivos perimetrales que, cuando fallan, abren la puerta a compromisos totales de la infraestructura.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La banda de ransomware Clop, una de las organizaciones de ciberdelincuencia más activas y sofisticadas de los últimos años, ha vuelto a protagonizar uno de los mayores incidentes de seguridad del sector educativo en Estados Unidos. En esta ocasión, el grupo logró robar datos personales y financieros de casi 3,5 millones de estudiantes, empleados y proveedores de la Universidad de Phoenix (UoPX) tras comprometer su infraestructura tecnológica en agosto.

Con sede en Phoenix, Arizona, la Universidad de Phoenix es una institución privada con ánimo de lucro fundada en 1976, que cuenta con más de 100.000 estudiantes matriculados y cerca de 3.000 miembros del personal académico, lo que convierte este incidente en una de las filtraciones de datos más graves registradas en el ámbito universitario en 2025.

Divulgación oficial del incidente y notificación a reguladores

A principios de diciembre, la universidad hizo público el ataque a través de su sitio web oficial. De forma paralela, Phoenix Education Partners, la empresa matriz de UoPX, presentó un formulario 8-K ante la Comisión de Bolsa y Valores de Estados Unidos (SEC), cumpliendo con los requisitos regulatorios para incidentes de seguridad con impacto material.

Según la información proporcionada, la institución detectó la brecha el 21 de noviembre, curiosamente después de que Clop añadiera a la universidad a su sitio de filtración de datos, una táctica habitual del grupo para presionar a las víctimas mediante extorsión pública.

Explotación de una vulnerabilidad zero-day en Oracle EBS

UoPX confirmó que los atacantes explotaron una vulnerabilidad zero-day en Oracle E-Business Suite (EBS), una plataforma ampliamente utilizada para la gestión financiera y administrativa en grandes organizaciones. Esta vulnerabilidad, identificada posteriormente como CVE-2025-61882, fue utilizada por Clop desde principios de agosto de 2025 como parte de una campaña coordinada para el robo masivo de datos.

El ataque permitió a los ciberdelincuentes acceder sin autorización a información altamente sensible, incluyendo:

• Nombres completos y datos de contacto
• Fechas de nacimiento
• Números de la Seguridad Social
• Números de cuentas bancarias y códigos de ruta
• Información financiera de estudiantes, empleados, docentes y proveedores actuales y antiguos

En un comunicado oficial, la universidad reconoció que un "tercero no autorizado obtuvo cierta información personal y financiera", confirmando la gravedad del incidente y el alto riesgo de fraude, robo de identidad y abuso financiero para las personas afectadas.

Casi 3,5 millones de personas impactadas

El alcance real del ataque se conoció días después, cuando la Universidad de Phoenix presentó cartas de notificación ante la Oficina del Fiscal General de Maine y comenzó a enviar avisos por correo a los afectados. En estos documentos se reveló que 3.489.274 personas vieron comprometidos sus datos personales.

Andrea Smiley, vicepresidenta de Relaciones Públicas de la universidad, declaró que la institución se encontraba revisando los datos afectados y que proporcionaría las notificaciones correspondientes tanto a las personas impactadas como a los organismos reguladores.

Medidas de mitigación y protección ofrecidas

Como parte de su respuesta al incidente, UoPX anunció la oferta de servicios gratuitos de protección de identidad, entre los que se incluyen:

• 12 meses de monitorización de crédito
• Servicios de recuperación ante robo de identidad
• Monitorización en la dark web
• Una póliza de reembolso por fraude de hasta 1 millón de dólares

Estas medidas buscan reducir el impacto inmediato del ataque, aunque expertos en ciberseguridad advierten que los riesgos asociados a la exposición de datos tan sensibles pueden persistir durante años.

Una campaña más en el historial de Clop

Aunque la universidad no ha atribuido oficialmente el ataque a un actor concreto, los indicadores técnicos, el método de extorsión y el uso de una vulnerabilidad zero-day en Oracle EBS encajan perfectamente con el modus operandi de Clop.

Esta campaña forma parte de una serie de ataques similares en los que el grupo ha comprometido a múltiples universidades estadounidenses, incluidas la Universidad de Harvard y la Universidad de Pensilvania, que también confirmaron brechas relacionadas con Oracle EBS y la exposición de datos de estudiantes y personal.

Clop no es ajena a operaciones de gran escala. En el pasado, el grupo ha estado detrás de campañas masivas de robo de datos que explotaron plataformas empresariales como Accellion FTA, GoAnywhere MFT, MOVEit Transfer, Cleo y, más recientemente, Gladinet CentreStack, consolidándose como una de las mayores amenazas para organizaciones que dependen de software empresarial crítico.

Recompensa del gobierno de EE. UU. y contexto más amplio

La magnitud y persistencia de los ataques ha llevado al Departamento de Estado de Estados Unidos a ofrecer una recompensa de hasta 10 millones de dólares por información que permita vincular las operaciones de Clop con un gobierno extranjero, lo que refuerza las sospechas sobre posibles patrocinios estatales o colaboración indirecta.

Paralelamente, desde finales de octubre, otras universidades estadounidenses han sufrido incidentes adicionales, incluidos ataques de phishing por voz (vishing). Instituciones como Harvard, la Universidad de Pensilvania y la Universidad de Princeton confirmaron que sistemas relacionados con actividades de desarrollo y antiguos alumnos fueron comprometidos para robar información personal de donantes, estudiantes y personal académico.

Un aviso crítico para el sector educativo

Este incidente pone de relieve una realidad cada vez más preocupante: las universidades se han convertido en objetivos prioritarios para el ransomware y la extorsión de datos, debido a la enorme cantidad de información sensible que gestionan y a la complejidad de sus entornos tecnológicos.

La explotación de vulnerabilidades zero-day en software empresarial crítico como Oracle EBS demuestra la necesidad urgente de mejorar la gestión de parches, la monitorización proactiva y las estrategias de defensa en profundidad para reducir el riesgo de ataques similares en el futuro.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La versión 8.8.9 de Notepad++ se lanzó como respuesta urgente a una grave vulnerabilidad detectada en su herramienta de actualización WinGUp, después de que tanto investigadores de ciberseguridad como usuarios reportaran incidentes donde el actualizador descargaba y ejecutaba archivos maliciosos en lugar de paquetes legítimos. El problema, que generó preocupación entre administradores y expertos, evidenció un riesgo real de secuestro del tráfico de actualización y la posible instalación de malware a través de un software ampliamente usado en todo el mundo.

Los primeros indicios se hicieron públicos en un foro de la comunidad de Notepad++, donde un usuario denunció que GUP.exe —el ejecutable interno detrás de WinGUp— había generado un archivo sospechoso en %Temp%\AutoUpdater.exe. Este ejecutable anómalo ejecutó varias órdenes de reconocimiento del sistema, almacenando toda la información recopilada en un archivo denominado a.txt.

Entre los comandos utilizados se encontraban:

cmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txt


Tras recopilar los datos, el falso autoupdater.exe exfiltró el archivo a.txt utilizando curl.exe hacia el dominio temporal[.]sh, un conocido servicio de alojamiento utilizado anteriormente en diversas campañas de malware.

Primeras hipótesis: versiones falsas o tráfico secuestrado

Este comportamiento levantó sospechas entre otros miembros de la comunidad, quienes indicaron que:

• WinGUp usa la librería libcurl, no el comando curl.exe.
• Notepad++ oficial no recoge información del sistema de esa forma.

Ante esto, surgieron dos teorías:

• El usuario instaló una versión falsificada o comprometida de Notepad++.
• El tráfico de actualización automática fue secuestrado, redirigiendo las solicitudes hacia ejecutables maliciosos.

La segunda posibilidad es especialmente preocupante, ya que implica que actores de amenazas podrían modificar el tráfico de actualización en tránsito para distribuir malware directamente desde la infraestructura de actualización del software.

Primeras medidas: versión 8.8.8 asegura las descargas desde GitHub

Para mitigar este riesgo, el desarrollador de Notepad++, Don Ho, lanzó la versión 8.8.8 el 18 de noviembre. Esta actualización cambió el mecanismo para que solo se descarguen actualizaciones desde GitHub, reduciendo la superficie de ataque asociada a la manipulación de endpoints.

Sin embargo, se necesitaba una solución más robusta.

La solución definitiva: Notepad++ 8.8.9 verifica la firma digital de todos los instaladores

El 9 de diciembre se lanzó Notepad++ 8.8.9, introduciendo una medida decisiva: ninguna actualización será instalada si no está firmada con el certificado del desarrollador. Esto evita que ejecutables maliciosos suplanten a actualizaciones legítimas, incluso si el tráfico fuera interceptado o manipulado.

CitarEl aviso de seguridad oficial explica:

"A partir de esta versión, Notepad++ y WinGUp han sido reforzados para verificar la firma y el certificado de los instaladores descargados. Si la verificación falla, la actualización será abortada."

Este cambio representa un paso esencial hacia una cadena de actualización más segura, especialmente en un contexto donde el secuestro de tráfico y la manipulación de instaladores se han convertido en técnicas comunes de ataque.

Advertencias de incidentes reales: organizaciones comprometidas

A comienzos de diciembre, el reconocido experto en seguridad Kevin Beaumont advirtió que al menos tres organizaciones habían sufrido incidentes de seguridad vinculados directamente a Notepad++.

Según su análisis, los procesos asociados al editor parecían haber sido el vector inicial de acceso, lo que dejó a los atacantes con presencia activa dentro de los sistemas. Beaumont también señaló que todas las organizaciones afectadas operaban en Asia Oriental, y que los incidentes incluían evidencias de reconocimiento manual, lo que sugiere ataques altamente dirigidos.

Una cadena de actualización susceptible al secuestro

Notepad++ utiliza un mecanismo sencillo de consulta mediante la URL:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login<versión>


El servicio devuelve un XML como este:

<GUP>
<script/>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login</Location>
</GUP>


Beaumont advirtió que, si un atacante puede interceptar este tráfico y modificar la etiqueta <Location>, podría redirigir la actualización a cualquier ejecutable malicioso.

Aunque esto requeriría recursos avanzados, podría lograrse en escenarios como:

• Compromiso del ISP
• Manipulación de infraestructura de red
• Ataques MITM en entornos corporativos

Aun así, el experto también destacó que una técnica frecuente es el malvertising, donde usuarios descargan versiones falsas del software pensando que son legítimas.

Investigación en curso

CitarEl aviso oficial de Notepad++ reconoce que aún no se ha determinado el método exacto por el que se produjo el secuestro de tráfico:

"La investigación sigue en curso y los usuarios serán informados una vez que se confirme la causa."

Lo que sí está claro es que todos los usuarios deben actualizar a la versión 8.8.9, especialmente aquellos que hayan instalado certificados raíz personalizados o versiones antiguas.

En fin...

El incidente con WinGUp evidencia la importancia de proteger la cadena de actualización de cualquier software, incluso herramientas tan populares como Notepad++. Con la versión 8.8.9, el editor da un paso firme hacia un modelo más seguro basado en verificación de firmas digitales, mitigando riesgos de suplantación y secuestro de tráfico.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha anunciado un cambio trascendental en su política de recompensas por vulnerabilidades, ampliando significativamente el alcance de su programa para abarcar cualquier fallo crítico que afecte a sus servicios online, independientemente de si fue causado por código propio, de terceros o de proyectos de código abierto. Esta actualización marca un nuevo estándar en la industria y refuerza la apuesta de Microsoft por la seguridad como pilar estratégico.

El anuncio se realizó durante Black Hat Europe, donde Tom Gallagher, vicepresidente de ingeniería en el Microsoft Security Response Center (MSRC), presentó los detalles del nuevo enfoque. El mensaje fue claro: los atacantes no distinguen entre software desarrollado por Microsoft o por un proveedor externo; por lo tanto, Microsoft tampoco lo hará al momento de recompensar vulnerabilidades que representen un riesgo directo para sus servicios en la nube.

Un programa de recompensas ampliado para cubrir el panorama real de riesgos

Antes de este cambio, las recompensas estaban limitadas a vulnerabilidades presentes exclusivamente en tecnologías desarrolladas por Microsoft. Sin embargo, Gallagher subrayó que los atacantes buscan puntos débiles en cualquier eslabón de la cadena de suministro digital, desde componentes internos hasta librerías externas ampliamente utilizadas.

A partir de ahora:

• Cualquier vulnerabilidad crítica que afecte a un servicio online de Microsoft será elegible para recompensa.
• El origen del código deja de ser relevante: puede pertenecer a Microsoft, a un proveedor comercial o a un proyecto de código abierto.
• Los nuevos servicios entran automáticamente en alcance desde el momento en que se lanzan.
• Las dependencias de terceros, tanto comerciales como open source, serán consideradas parte del ecosistema evaluable si su explotación afecta a un servicio de Microsoft.

CitarGallagher lo explicó así:

"Si una vulnerabilidad crítica tiene un impacto directo y demostrable en nuestros servicios online, es elegible para un premio. Independientemente de si el código es propiedad de Microsoft, de un tercero o es de código abierto, haremos lo necesario para corregir el problema."

Esta decisión pretende estimular la investigación en áreas donde los actores maliciosos tienen mayores probabilidades de actuar. Es un reconocimiento explícito de que la cadena de suministro del software es hoy uno de los vectores de ataque más explotados.

Un esfuerzo para incentivar la investigación en áreas de alto riesgo

Gallagher destacó que el objetivo principal es dirigir la atención de la comunidad investigadora hacia los componentes más vulnerables y con mayor impacto potencial, incluso cuando no existan programas de recompensas específicos para esas tecnologías.

Citar"Donde no existan programas de recompensas, reconoceremos y premiaremos las ideas de la comunidad investigadora dondequiera que su experiencia las lleve", afirmó.

En los últimos 12 meses, Microsoft ha pagado más de 17 millones de dólares en recompensas a 344 investigadores de seguridad. En el período anterior, la compañía ya había desembolsado 16,6 millones de dólares a 343 investigadores, lo que demuestra un crecimiento sostenido en su compromiso por fortalecer la seguridad de sus productos.

Con la ampliación del programa, Microsoft se posiciona como uno de los actores más proactivos en la industria en cuanto al soporte y reconocimiento del trabajo de la comunidad de investigación en ciberseguridad.

Parte de la Iniciativa Futuro Seguro: un cambio estratégico global

Este anuncio forma parte de la Iniciativa Futuro Seguro, un plan corporativo destinado a reforzar la seguridad en todas las operaciones, productos y servicios de la compañía. La iniciativa busca abordar los desafíos modernos de ciberseguridad con medidas más integrales, automatizadas y orientadas al usuario.

Entre las actualizaciones más relevantes asociadas a esta iniciativa se encuentran:

1. Eliminación de ActiveX en Microsoft 365 y Office 2024

Microsoft ha deshabilitado definitivamente todos los controles ActiveX en las versiones de Windows de sus aplicaciones de productividad. Esto responde a años de explotación de ActiveX en ataques dirigidos y a su uso como vector frecuente de código malicioso.

2. Nuevos valores predeterminados de seguridad en Microsoft 365

Ahora, SharePoint, OneDrive y Office bloquean automáticamente el acceso a archivos cuando los usuarios intentan autenticarse mediante protocolos heredados, ampliamente explotados en ataques de ingeniería social y secuestro de sesiones.

3. Protección avanzada en Microsoft Teams

La compañía está desplegando una nueva función para bloquear capturas de pantalla durante reuniones, dificultando el robo de información visual confidencial.

4. Defensa contra ataques de inyección de scripts en Entra ID

Microsoft también anunció mejoras en su sistema de seguridad de identidades, incluyendo nuevas protecciones contra intentos de script injection, una técnica cada vez más utilizada para robar credenciales y tokens de sesión.

Un paso adelante hacia una industria más segura

La expansión del programa de recompensas no solo mejora la seguridad del ecosistema Microsoft, sino que también envía un mensaje claro al resto de la industria: la seguridad ya no puede limitarse al código propio. Las dependencias externas, integraciones, librerías open source y composiciones complejas del software moderno forman parte del panorama real de amenazas.

Con esta decisión, Microsoft reconoce oficialmente que la cadena de suministro del software es tan fuerte como su eslabón más débil, e invita a la comunidad global de investigadores a participar en la detección temprana de vulnerabilidades críticas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han revelado detalles de una sofisticada puerta trasera para Windows denominada NANOREMOTE, un implante altamente funcional que destaca por utilizar la API de Google Drive como canal de comando y control (C2). Este enfoque, poco habitual pero extremadamente efectivo para evadir detecciones, permite a los atacantes operar de forma discreta dentro de redes corporativas comprometidas.

El descubrimiento fue publicado por Elastic Security Labs, cuyos analistas identificaron múltiples similitudes entre NANOREMOTE y otro implante previamente documentado: FINALDRAFT, también conocido como Squidoor. FINALDRAFT utiliza la API Microsoft Graph como mecanismo de C2 y ha sido asociado al grupo de amenazas REF7707, también conocido como CL-STA-0049, Earth Alux o Jewelbug. Este grupo es considerado por diversos equipos de inteligencia como un posible actor vinculado a intereses chinos, con actividad sostenida desde al menos marzo de 2023.

Un canal C2 basado en Google Drive: sigilo, persistencia y evasión

Uno de los aspectos más llamativos de NANOREMOTE es su capacidad para comunicarse con los operadores utilizando la infraestructura legítima de Google Drive. Según Daniel Stepanic, investigador principal de Elastic Security Labs, esta técnica ofrece al malware un canal de exfiltración y transferencia de archivos extremadamente difícil de detectar:

Citar"Una de las principales características del malware se centra en enviar datos de ida y vuelta desde el punto final víctima mediante la API de Google Drive. Esto acaba proporcionando un canal de robo de datos y preparación de cargas útiles complejo de identificar".

El implante incorpora un sistema de gestión de tareas que le permite manejar operaciones avanzadas de transferencia de archivos, entre las que destacan:

• Cola de tareas para descargas y subidas
• Pausar y reanudar transferencias
• Cancelar transferencias en curso
• Generar tokens de actualización para mantener sesiones activas

Este nivel de funcionalidad convierte a NANOREMOTE en una herramienta flexible para espionaje, persistencia y movimientos laterales dentro de entornos comprometidos.

REF7707: un actor activo en gobiernos, telecomunicaciones y defensa

La atribución señalada por Elastic coincide con hallazgos previos de la Unidad 42 de Palo Alto Networks, que ha observado operaciones de REF7707 dirigidas contra:

• Instituciones gubernamentales
• Sector defensa
• Telecomunicaciones
• Educación
• Aviación

Estas campañas se han registrado principalmente en el sudeste asiático y Sudamérica. Además, un informe de octubre de 2025 de Symantec (Broadcom) atribuyó al grupo un ataque de cinco meses contra un proveedor ruso de servicios informáticos, reforzando la hipótesis de que es un actor con capacidades avanzadas y objetivos estratégicos.

WMLOADER: el vector previo en la cadena de ataque

Aunque el método exacto utilizado para entregar NANOREMOTE no se ha determinado, sí se observa un patrón común en las campañas relacionadas: el uso de un cargador denominado WMLOADER.

Este componente malicioso:

• Se hace pasar por el archivo legítimo BDReinit.exe de Bitdefender
• Descifra un shellcode incrustado
• Carga y ejecuta la puerta trasera final

WMLOADER actúa como un puente entre la intrusión inicial y la instalación del implante avanzado, lo que permite al actor tener flexibilidad y modularidad en su cadena de infección.

Capacidades técnicas de NANOREMOTE: 22 comandos para control total

Escrito en C++, NANOREMOTE dispone de una amplia gama de funcionalidades diseñadas para espionaje y control remoto de sistemas Windows. Su arquitectura se comunica con una dirección IP codificada (no enrutable) mediante solicitudes HTTP POST con datos comprimidos y cifrados.

Características técnicas destacadas:

• Cifrado AES-CBC integrado con compresión Zlib
• Clave estática de 16 bytes: 558bec83ec40535657833d7440001c00
• URI estándar /api/client
• User-Agent fijo: NanoRemote/1.0

El implante cuenta con 22 manejadores de comandos, capaces de:

• Recopilar información del host
• Listar, mover y eliminar archivos y directorios
• Ejecutar archivos PE presentes en disco
• Limpiar caché
• Descargar y subir archivos mediante Google Drive
• Pausar, reanudar y cancelar transferencias
• Autodestruirse cuando el operador lo requiera

Este conjunto de herramientas convierte a NANOREMOTE en una puerta trasera completa, con capacidades equivalentes a las de un framework de acceso mantenido.

Una clave compartida: indicio de una base de código común

Elastic descubrió un artefacto llamado "wmsetup.log", subido a VirusTotal desde Filipinas el 3 de octubre de 2025. El archivo puede ser descifrado usando la misma clave estática de 16 bytes empleada por WMLOADER, revelando un implante FINALDRAFT.

La reutilización de esta clave en ambos malwares llevó a los investigadores a concluir que:

• Ambas familias probablemente comparten una misma base de código
• Los desarrollos se originan en un entorno común
• REF7707 emplea una cadena modular con alto reaprovechamiento interno

CitarSegún Stepanic:

"Esto parece ser otra señal fuerte que sugiere una base de código compartida y un entorno de desarrollo entre FINALDRAFT y NANOREMOTE."

En fin...

NANOREMOTE representa una evolución clara en las tácticas de espionaje basadas en malware. Su capacidad para aprovechar APIs legítimas como Google Drive, junto con estructuras modulares como WMLOADER y FINALDRAFT, demuestra un alto nivel de sofisticación y un enfoque en operaciones sigilosas de larga duración.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha publicado una nueva actualización de seguridad para su navegador Chrome con el objetivo de corregir tres vulnerabilidades, entre ellas una de alta gravedad que ya está siendo explotada activamente en la naturaleza. Este lanzamiento subraya nuevamente el creciente nivel de sofisticación de los ataques dirigidos a navegadores modernos y la necesidad urgente de mantener los sistemas completamente actualizados.

La vulnerabilidad principal está rastreada bajo el ID de seguimiento interno de Chromium 466192044. A diferencia de otras ocasiones, Google ha optado por mantener en secreto el identificador CVE correspondiente, así como la descripción técnica del fallo y el componente afectado. Esta estrategia es relativamente común cuando se confirma que una brecha está siendo aprovechada en ataques reales, ya que publicar información prematura podría ayudar a otros actores maliciosos a desarrollar exploits adicionales.

Una vulnerabilidad en ANGLE: el origen del problema

Pese al silencio inicial, un commit público en GitHub reveló que el error tiene su origen en ANGLE (Almost Native Graphics Layer Engine), una biblioteca de código abierto creada por Google para mejorar la compatibilidad gráfica entre diferentes plataformas. ANGLE actúa como una capa de traducción que permite que Chrome y otras aplicaciones utilicen APIs gráficas como Direct3D, OpenGL, Vulkan o Metal, dependiendo del sistema operativo.

CitarEl mensaje dentro del commit señalaba lo siguiente:

"Metal: No uses pixelsDepthPitch para dimensionar búferes. pixelsDepthPitch se basa en GL_UNPACK_IMAGE_HEIGHT, que puede ser menor que la altura real de la imagen."

Esta observación técnica sugiere que el error podría tratarse de un desbordamiento de búfer en el renderizador Metal de ANGLE generado por un cálculo incorrecto del tamaño del búfer. Este tipo de vulnerabilidades son especialmente peligrosas, ya que pueden conducir a corrupción de memoria, fallos inesperados o incluso ejecución arbitraria de código, dependiendo de cómo se manipulen los datos en memoria.

Google confirmó oficialmente que existe un exploit operativo para esta vulnerabilidad y que está siendo utilizado en ataques dirigidos. Sin embargo, la compañía no proporcionó detalles adicionales sobre el tipo de amenaza, la procedencia del actor responsable o los objetivos seleccionados. Esta reserva se mantiene estratégicamente para garantizar que la mayor cantidad de usuarios aplique el parche antes de que la información técnica sea divulgada públicamente.

Ocho zero-day en Chrome en lo que va del año

Con este parche, Google ya suma ocho vulnerabilidades zero-day en Chrome que han sido explotadas activamente o demostradas como pruebas de concepto (PoC) desde inicios de 2025. La lista incluye:

• CVE-2025-2783
• CVE-2025-4664
• CVE-2025-5419
• CVE-2025-6554
• CVE-2025-6558
• CVE-2025-10585
• CVE-2025-13223

Esto evidencia que Chrome continúa siendo uno de los objetivos favoritos para atacantes, tanto por su amplio uso global como por la complejidad inherente a un navegador moderno que integra múltiples motores gráficos, motores de scripting y procesos aislados.

Además de la vulnerabilidad crítica, Google también corrigió dos fallos catalogados como de gravedad media:

• CVE-2025-14372 – Uso de memoria después de liberarla (use-after-free) en el gestor de contraseñas.
• CVE-2025-14373 – Implementación inapropiada en la barra de herramientas.

Aunque no se consideran tan graves como un desbordamiento de búfer explotado activamente, ambos errores pueden presentar riesgos significativos si se combinan con otras técnicas de ataque.

Actualiza Chrome cuanto antes

Google recomienda a todos los usuarios actualizar su navegador a las versiones más recientes:

• Windows y macOS: 143.0.7499.109/.110
• Linux: 143.0.7499.109

Para verificar que la actualización esté instalada, solo debes acceder a:

Menú > Ayuda > Acerca de Google Chrome > Reiniciar

Estas versiones incluyen los parches necesarios para mitigar la vulnerabilidad explotada activamente y otras fallas descubiertas durante el ciclo de desarrollo.

También deben actualizar los usuarios de Edge, Brave, Opera y Vivaldi

Dado que todos estos navegadores se basan en Chromium, también dependen del motor subyacente que incluye ANGLE. Por tanto, es fundamental que sus desarrolladores integren los parches cuanto antes y que los usuarios apliquen las actualizaciones tan pronto estén disponibles.

Un recordatorio de la importancia de actualizar siempre

Las vulnerabilidades zero-day representan algunas de las amenazas más críticas en el panorama actual. El caso de Chrome y la vulnerabilidad 466192044 vuelve a demostrar la importancia de:

• Mantener el navegador actualizado a la última versión.
• Aplicar parches de seguridad de forma inmediata.
• Ser conscientes de que incluso componentes de código abierto altamente probados, como ANGLE, pueden convertirse en vectores de ataque.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login