La firma estadounidense de ciberseguridad CrowdStrike confirmó públicamente una brecha de seguridad interna provocada por un insider malicioso, quien compartió capturas de pantalla de sistemas internos con actores de amenazas vinculados a los grupos ShinyHunters, Scattered Spider y Lapsus$.

Aunque la filtración generó un fuerte impacto mediático, la empresa aseguró que sus sistemas no fueron comprometidos y que los datos de los clientes permanecen protegidos en todo momento.

Este incidente vuelve a poner sobre la mesa uno de los riesgos más críticos en ciberseguridad corporativa: la amenaza interna (insider threat), incluso en compañías especializadas en seguridad informática de alto nivel.

¿Qué ocurrió exactamente en CrowdStrike?

Según declaraciones ofrecidas por CrowdStrike a BleepingComputer, la empresa detectó y neutralizó al infiltrado el mes pasado, luego de una investigación interna que reveló que:

El empleado tomó fotografías de la pantalla de su ordenador mostrando sistemas internos.

Dichas imágenes fueron compartidas con actores maliciosos externos.

Posteriormente, estas capturas se filtraron en canales de Telegram asociados con grupos criminales.

CrowdStrike enfatizó que no se produjo ningún acceso no autorizado a sus sistemas internos, y que el insider fue eliminado antes de que pudiera facilitar un compromiso real de la infraestructura.

Citar"Nuestros sistemas nunca se vieron comprometidos y los clientes permanecieron protegidos en todo momento. El caso ya ha sido transferido a las autoridades competentes", declaró un portavoz oficial.

Participación de ShinyHunters, Scattered Spider y Lapsus$

Los grupos involucrados forman parte de una alianza informal conocida como "Scattered Lapsus$ Hunters", un colectivo criminal que ha sido vinculado a múltiples campañas de:

• Robo de datos corporativos
• Extorsión mediante filtración
• Ingeniería social avanzada
• Phishing por voz (vishing)

Según información revelada por los propios atacantes:

• Ofrecieron al insider 25.000 dólares por acceso a la red de CrowdStrike.
• Afirman haber recibido cookies de autenticación SSO.
• Sin embargo, para ese momento, el acceso ya había sido deshabilitado por la empresa.

Además, intentaron comprar informes internos sobre investigaciones relacionados con ellos mismos, algo que CrowdStrike negó que llegara a suceder.

Expansión de ataques contra clientes de Salesforce

Los llamados Cazadores de Lapsus$ Dispersos están trabajando activamente en una gran campaña de intrusión contra entornos Salesforce, afectando a cientos de organizaciones a nivel global.

Estos actores están relacionados con:

• Filtraciones masivas de datos corporativos.
• Compromisos de infraestructura SaaS.
• Ataques dirigidos mediante ingeniería social y explotación de credenciales.

Empresas que han sido blanco de estos ataques incluyen:

• Google
• Cisco
• Allianz Life
• Qantas
• Adidas
• Workday
• LVMH (Dior, Louis Vuitton, Tiffany & Co.)
• FedEx
• Disney / Hulu
• Marriott
• IKEA
• UPS
• Chanel

Además, se atribuyen la reciente brecha de Jaguar Land Rover, que provocó pérdidas superiores a 196 millones de libras esterlinas (220 millones de dólares) y serias disrupciones operativas.

Nueva plataforma de ransomware: ShinySp1d3r

ShinyHunters y Scattered Spider están migrando hacia su propia plataforma de Ransomware as a Service (RaaS) llamada ShinySp1d3r, tras haber utilizado previamente:

• ALPHV / BlackCat
• RansomHub
• Qilin
• DragonForce

Su modelo actual se enfoca menos en cifrado tradicional y más en exfiltración y extorsión, utilizando plataformas como Telegram y sitios de filtración pública para presionar a sus víctimas.

Campaña contra más de 280 empresas

En recientes publicaciones en Telegram, los actores afirmaron haber comprometido información perteneciente a más de 280 empresas a través de instancias de Salesforce, citando entre las víctimas a:

• LinkedIn
• GitLab
• Atlassian
• Thomson Reuters
• Verizon
• F5
• SonicWall
• DocuSign
• Malwarebytes

Según los atacantes, el acceso fue facilitado a través de la brecha previa en Gainsight, vinculada indirectamente con el ataque a Salesloft.

El riesgo real: la amenaza interna en entornos altamente protegidos

El caso de CrowdStrike demuestra que ni siquiera las empresas más avanzadas en ciberseguridad están exentas de riesgos internos.

Las amenazas internas representan un gran desafío porque:

• Provienen de personas con acceso legítimo.
• Pueden ser motivadas por dinero, venganza o coacción.
• Aprovechan la confianza de la organización.

Este incidente refuerza la necesidad de:

• Implementar monitoreo de comportamiento (UEBA).
• Aplicar principios de Zero Trust.
• Fortalecer controles sobre accesos privilegiados.
• Limitar la captura de información sensible mediante dispositivos no autorizados.

Implicaciones para el ecosistema de ciberseguridad

Aunque CrowdStrike logró contener esta situación sin compromiso técnico directo, el evento refleja una realidad preocupante:

CitarLas brechas ya no solo ocurren por fallas técnicas, sino también por vulnerabilidades humanas y operativas

Las organizaciones deben reforzar sus políticas de:

• Control de información interna
• Prevención de fuga de datos (DLP)
• Formación en concienciación de seguridad
• Detección de comportamientos anómalos

En un entorno donde los atacantes combinan ingeniería social, recompensas económicas y explotación de confianza, el riesgo interno se convierte en un vector crítico a considerar.

En fin...

El incidente del insider en CrowdStrike, junto con el auge de los grupos Scattered Spider, ShinyHunters y Lapsus$, marca una nueva etapa en las amenazas modernas: menos técnicas complejas, pero más explotación humana.

En un panorama donde los ataques contra infraestructuras SaaS y corporaciones multinacionales son cada vez más recurrentes, el factor humano sigue siendo el punto más débil... incluso en las empresas que diseñan las mejores defensas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Nvidia ha confirmado oficialmente que las actualizaciones de seguridad publicadas el mes pasado para Windows 11, versiones 24H2 y 25H2, están provocando problemas de rendimiento en videojuegos en determinados sistemas.
Como respuesta rápida a esta situación, la compañía lanzó el controlador gráfico GeForce Hotfix versión 581.94, una actualización correctiva diseñada para mitigar los efectos negativos causados por los últimos parches de Microsoft.

Este incidente vuelve a poner en el foco la compleja relación entre actualizaciones del sistema operativo, controladores gráficos y rendimiento en gaming, un equilibrio delicado que impacta tanto a jugadores como a entornos profesionales que dependen de GPUs para tareas críticas.

¿Qué está ocurriendo exactamente con Windows 11 y Nvidia?


Según Nvidia, después de instalar la actualización acumulativa de octubre de 2025 para Windows 11, identificada como KB5066835 (5561605), algunos usuarios han reportado:

• Caídas significativas de FPS en juegos.
• Mayor latencia y microcortes (stuttering).
• Inestabilidad en títulos que antes funcionaban con normalidad.
• Descensos de rendimiento en configuraciones con GPUs GeForce.

CitarEn un documento de soporte, la compañía explicó:

"Se puede observar un menor rendimiento en algunos juegos tras actualizar a Windows 11 de octubre de 2025 KB5066835".

Este problema afecta especialmente a equipos actualizados a Windows 11 24H2 y Windows 11 25H2, donde el parche de seguridad modifica ciertos componentes críticos que influyen en el comportamiento de los controladores gráficos.

GeForce Hotfix 581.94: solución rápida, pero con limitaciones

Para abordar los fallos de manera acelerada, Nvidia lanzó el GeForce Hotfix Driver 581.94, diseñado específicamente para resolver los problemas de rendimiento.

Sin embargo, la compañía ha advertido claramente que:

• Se trata de un controlador beta.
• No pasa por el ciclo completo de calidad (QA) habitual.
• Su distribución es opcional.

CitarSegún Nvidia:

"Los controladores Hotfix son nuestra forma de enviarte soluciones más rápido. Son básicamente iguales a la versión anterior, pero con un pequeño número de correcciones específicas."

Estos drivers pasan por un proceso de QA más corto para responder con rapidez ante problemas que afectan a un gran volumen de usuarios, aunque pueden presentar riesgos de estabilidad en entornos críticos.

¿Qué sistemas y GPUs están afectados?

El problema impacta a:

• PC con Windows 11 24H2
• PC con Windows 11 25H2

Sistemas con tarjetas gráficas NVIDIA GeForce (varias generaciones)

El controlador Hotfix está disponible para:

✔ Windows 10 x64
✔ Windows 11 x64

Aunque los mayores problemas se han reportado en Windows 11, Nvidia ofrece compatibilidad para ambos sistemas operativos.

No es el único fallo: octubre y noviembre complican a Microsoft

Esta situación no ocurre de forma aislada. Las actualizaciones de Windows de octubre y noviembre de 2025 han provocado múltiples incidentes técnicos, según diferentes reportes, entre ellos:

• Fallos en las conexiones HTTP de localhost.
• Problemas de autenticación con tarjetas inteligentes.
• Errores que rompían el Entorno de Recuperación de Windows (WinRE) en sistemas que usan ratones y teclados USB.

Además, Microsoft también tuvo que resolver en noviembre:

• Un error en Windows 10 que mostraba alertas incorrectas sobre el fin de soporte.
• Un fallo que forzaba a algunos sistemas a arrancar directamente en la recuperación de BitLocker, generando pánico entre usuarios sin claves de recuperación.

El problema histórico con Auto HDR y Asphalt 8

Como si fuera poco, Microsoft también levantó recientemente restricciones de compatibilidad que bloqueaban el despliegue de Windows 11 2024 en ciertos sistemas.

Estas restricciones afectaban a usuarios que tenían activado:

• Auto HDR
• El juego Asphalt 8: Airborne

Ambos generaban congelamientos graves del sistema.
Tras resolver estos errores de compatibilidad, Microsoft permitió nuevamente la actualización en dichos equipos.

Esto demuestra que las actualizaciones de Windows continúan siendo un factor delicado, especialmente en entornos gaming y configuraciones con alto rendimiento gráfico.

Impacto para gamers y creadores de contenido

Los problemas de rendimiento no solo afectan a jugadores casuales, sino también a:

• Streamers
• Creadores de contenido
• Esports
• Diseñadores 3D
• Profesionales de edición de video
• Usuarios de software de renderizado y simulación

En entornos profesionales, una caída de rendimiento puede provocar pérdidas económicas, retrasos en proyectos y problemas operativos graves.

¿Debes instalar el driver Hotfix de Nvidia?

Dependerá de tu situación específica:

Recomendado si:

• Has notado una caída de rendimiento tras actualizar Windows.
• Usas Windows 11 24H2 o 25H2.
• Juegas títulos exigentes en GPU.

No recomendable si:

• Tu sistema es estable.
• Utilizas tu PC para producción crítica.
• Prefieres esperar una versión WHQL certificada.

En estos casos, lo mejor es esperar al siguiente controlador oficial estable que integre los cambios del Hotfix.

Recomendaciones para usuarios afectados

Si estás experimentando problemas de rendimiento en juegos tras las últimas actualizaciones de Windows 11, considera:

• Verificar la versión exacta de tu Windows.
• Revisar si instalaste KB5066835.
• Descargar el controlador Hotfix 581.94 desde el soporte oficial de Nvidia.
• Crear un punto de restauración antes de instalar.
• Monitorear el rendimiento tras la instalación.

En fin...

La confirmación por parte de Nvidia sobre los problemas de rendimiento en juegos demuestra, una vez más, cómo las actualizaciones de seguridad de los sistemas operativos pueden generar impactos colaterales importantes en el ecosistema gaming y tecnológico.

El lanzamiento del Hotfix GeForce 581.94 ofrece una solución rápida, pero no definitiva, mientras se espera una actualización más estable dentro de los próximos controladores oficiales.

En un entorno donde Windows, drivers gráficos y videojuegos están profundamente interconectados, estos incidentes reafirman la importancia de actualizar con precaución y monitorear siempre el comportamiento del sistema tras cada parche.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Grafana, una de las plataformas de observabilidad y monitoreo más utilizadas en entornos empresariales, ha publicado actualizaciones de seguridad urgentes para corregir una vulnerabilidad crítica que permite la escalada de privilegios y la suplantación de identidad de usuarios bajo determinadas configuraciones.

La falla, identificada como CVE-2025-41115, ha sido clasificada con una puntuación CVSS de 10.0, la máxima posible, debido al riesgo extremo que representa para infraestructuras corporativas que utilicen la funcionalidad de aprovisionamiento SCIM.

¿En qué consiste la vulnerabilidad CVE-2025-41115?

La vulnerabilidad reside en el componente SCIM (System for Cross-domain Identity Management), una función que permite la provisión y gestión automatizada de usuarios dentro de Grafana Enterprise.

Este sistema, introducido en abril de 2025 y actualmente en vista previa pública, presenta un fallo crítico en el manejo de las identidades externas. Según Grafana, el problema surge cuando el sistema:

• Mapea el valor externalId de SCIM directamente al campo interno user.uid.
• Permite que se utilicen valores numéricos como identificadores externos.

Esto abre la puerta a ataques de suplantación, ya que un atacante podría aprovisionar un usuario con un externalId igual a un ID interno existente, como por ejemplo el del administrador del sistema.

CitarEn palabras del investigador de Grafana, Vardan Torosyan:

"Grafana mapea el externalId de SCIM directamente al user.uid interno; por lo tanto, valores numéricos como '1' pueden interpretarse como IDs internos de usuario. Esto podría hacer que el usuario sea tratado como una cuenta ya existente, incluida la del administrador, permitiendo suplantación o escalada de privilegios."

Condiciones necesarias para la explotación

A diferencia de otras vulnerabilidades más genéricas, CVE-2025-41115 solo puede explotarse si se cumplen dos condiciones específicas en la configuración del sistema:

• La bandera experimental enableSCIM está configurada como true.
• La opción user_sync_enabled dentro de la sección [auth.scim] también está establecida como true.

Esto significa que solo están en riesgo las organizaciones que han habilitado activamente la provisión automática de usuarios mediante SCIM en Grafana Enterprise.

Sin embargo, dado que muchas empresas activan estas funciones para integrar sistemas de identidad corporativa, como Azure AD, Okta o Keycloak, el impacto potencial es significativo.

Versiones afectadas de Grafana

La vulnerabilidad afecta concretamente a las siguientes versiones:

• Grafana Enterprise 12.0.0 hasta 12.2.1

Estas versiones presentan el fallo en el componente SCIM que permite la manipulación del identificador externo.

Versiones corregidas y parches disponibles

Grafana ha publicado actualizaciones de seguridad que corrigen este problema crítico. Las versiones seguras son:

• Grafana Enterprise 12.0.6+security-01
• Grafana Enterprise 12.1.3+security-01
• Grafana Enterprise 12.2.1+security-01
• Grafana Enterprise 12.3.0

Todos los administradores que operan en entornos productivos deben actualizar a cualquiera de estas versiones lo antes posible para prevenir explotaciones.

Riesgos reales: ¿por qué esta falla es tan crítica?

El nivel de riesgo de esta vulnerabilidad no es teórico, sino potencialmente devastador. Entre los escenarios de impacto más graves se incluyen:

Suplantación del usuario administrador

• Acceso no autorizado a dashboards, métricas y datos sensibles
• Modificación o eliminación de configuraciones críticas
• Exposición de secretos, tokens y credenciales internas
• Interrupción de servicios de monitoreo y observabilidad

En organizaciones que dependen de Grafana para supervisar infraestructuras críticas, esta brecha podría ser utilizada como puerta de entrada para ataques más amplios, incluyendo movimientos laterales en la red.

¿Cómo se descubrió la vulnerabilidad?

Grafana informó que CVE-2025-41115 fue descubierta internamente el 4 de noviembre de 2025 durante un proceso de auditoría de seguridad y pruebas internas.

El hecho de que haya sido detectada por el propio equipo de seguridad de Grafana demuestra la importancia de los procesos de revisión y testing en funcionalidades nuevas que todavía se encuentran en fase de vista previa.

Cómo mitigar CVE-2025-41115 si no puedes actualizar inmediatamente

Si por razones operativas no puedes aplicar las actualizaciones de forma inmediata, se recomienda implementar las siguientes mitigaciones temporales:

• Deshabilitar SCIM si no es estrictamente necesario.
• Establecer enableSCIM = false en entornos donde no sea crítico.
• Configurar user_sync_enabled = false dentro del bloque [auth.scim].
• Revisar los registros de aprovisionamiento SCIM en busca de IDs numéricos sospechosos.
• Auditar las cuentas administrativas y validar que no hayan sido replicadas o alteradas.

Aunque estas acciones pueden reducir el riesgo, no sustituyen la aplicación del parche oficial.

La importancia de SCIM en entornos corporativos y el riesgo asociado

SCIM se utiliza ampliamente en entornos empresariales para automatizar la creación y sincronización de usuarios desde directorios centralizados. Sin embargo, esta vulnerabilidad demuestra que:

• Las funciones en vista previa pueden introducir riesgos críticos.
• La automatización mal configurada puede convertirse en una superficie de ataque.
• La integración con sistemas de identidad debe ser evaluada con rigor desde el punto de vista de seguridad.

Esto refuerza la necesidad de integrar prácticas de DevSecOps, revisiones de código continuas y pruebas de seguridad antes de implementar nuevas funcionalidades en producción.

En fin...

La vulnerabilidad CVE-2025-41115 en Grafana Enterprise representa una amenaza crítica para organizaciones que utilizan SCIM para la gestión automatizada de usuarios.
Su capacidad de permitir escalada de privilegios y suplantación de identidad la convierte en una de las fallas más graves descubiertas recientemente en herramientas de observabilidad.

Aplicar los parches de seguridad, revisar configuraciones expuestas y auditar el aprovisionamiento de usuarios es esencial para evitar posibles compromisos de seguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han identificado un nuevo troyano bancario para Android denominado Sturnus, una amenaza avanzada diseñada para robar credenciales bancarias, espiar comunicaciones cifradas y tomar control remoto del dispositivo de la víctima con fines de fraude financiero.
Según un informe de la empresa ThreatFabric, este malware se encuentra en fase de evaluación, pero ya muestra capacidades altamente sofisticadas que lo convierten en una de las amenazas móviles más peligrosas emergentes.

A diferencia de otros malware bancarios conocidos para Android, Sturnus incorpora un enfoque híbrido de espionaje, control remoto y robo de credenciales, con técnicas que le permiten evadir la mensajería cifrada, suplantar aplicaciones legítimas y bloquear los intentos de desinstalación.

¿Qué es Sturnus y por qué es diferente?

Sturnus es un troyano bancario de nueva generación orientado a objetivos financieros en países del sur y centro de Europa, aunque su arquitectura podría adaptarse fácilmente a otros mercados.

Su nombre hace referencia al estornino europeo (Sturnus vulgaris), un ave conocida por su capacidad de imitar sonidos. Esta analogía no es casual:
el malware combina distintos protocolos y técnicas de comunicación, utilizando texto plano, cifrado AES y cifrado RSA, lo que lo hace más difícil de analizar y bloquear.

ThreatFabric señala que uno de sus principales diferenciadores es su capacidad para eludir la protección de la mensajería cifrada. En lugar de romper el cifrado, el troyano:

CitarCaptura los datos directamente desde la pantalla del dispositivo después de que han sido descifrados por las aplicaciones de mensajería.

Esto le permite espiar conversaciones en plataformas como WhatsApp, Telegram y Signal, incluso cuando el contenido está protegido con cifrado de extremo a extremo.

Cómo se distribuye este troyano bancario

Sturnus se disfraza como aplicaciones legítimas disponibles fuera de Google Play o a través de campañas maliciosas. Entre los paquetes identificados como vehículos de distribución destacan:

• Busca en Google Chrome (com.klivkfbky.izaybebnx)
• Preemix Box (com.uvxuthoq.noscjahae)

Estas aplicaciones actúan como contenedores del malware, engañando al usuario para que conceda permisos críticos, especialmente los relacionados con los servicios de accesibilidad de Android.

Ataques por superposición: cómo roba las credenciales

Uno de los pilares de Sturnus es el uso de ataques por superposición (overlay attacks). Esta técnica consiste en:

• Detectar cuándo el usuario abre una app bancaria.
• Mostrar una pantalla falsa sobre la original.
• Capturar las credenciales ingresadas (usuario, contraseña, PIN, etc.).

Una vez robada la información, el malware desactiva la superposición para esa aplicación específica, reduciendo el riesgo de levantar sospechas en el usuario.

Además, Sturnus puede mostrar una pantalla falsa de actualización del sistema Android, que bloquea completamente la interacción visual y simula una actualización, mientras en segundo plano el atacante ejecuta acciones maliciosas sin ser detectado.

Control remoto y espionaje avanzado: un troyano con capacidades VNC

Otro aspecto crítico es que Sturnus permite el control remoto total del dispositivo Android, gracias al uso de:

• Conexiones mediante WebSocket y HTTP.
• Un canal VNC que permite a los atacantes ver y controlar el equipo en tiempo real.

Gracias a esto, los operadores pueden:

• Simular toques en pantalla.
• Introducir texto.
• Desplazarse por menús.
• Abrir aplicaciones.
• Aceptar permisos.
• Activar pantallas negras para ocultar la actividad.

Esto convierte al dispositivo infectado en un zombie financiero, completamente manipulable a distancia.

Abuso de los servicios de accesibilidad

Sturnus explota los servicios de accesibilidad de Android para:

• Registrar pulsaciones de teclas (keylogging).
• Monitorizar interacciones con la interfaz de usuario.
• Analizar el contenido visible en pantalla.
• Detectar intentos de desinstalación o revocación de permisos.

Si el usuario intenta acceder a las opciones de configuración para eliminar privilegios de administrador, el malware interrumpe automáticamente la acción, sacándolo del menú antes de que pueda completar el proceso.

Esto significa que, mientras mantenga privilegios de administrador:

• No puede ser desinstalado normalmente.
• No puede eliminarse mediante ADB.
• Requiere intervención manual avanzada o restablecimiento completo del dispositivo.

Recolección masiva de información del dispositivo

Sturnus no se limita al robo bancario. También construye un perfil completo del dispositivo mediante información como:

• Sensores y estado del hardware.
• Tipo de red y conectividad.
• Lista de aplicaciones instaladas.
• Parámetros del sistema.
• Condiciones del entorno.

Este perfil dinámico ayuda a los atacantes a ajustar sus ataques, evadir detecciones y optimizar su estrategia en tiempo real.

Según ThreatFabric, este nivel de monitoreo funciona como un bucle de retroalimentación, donde cada dispositivo comprometido se convierte en una fuente de inteligencia para futuras campañas.

Riesgo potencial y escenario futuro

Aunque su actual propagación es limitada, los expertos alertan de que Sturnus podría ser parte de una fase de pruebas previa a operaciones más amplias y coordinadas.

El enfoque inicial en un área geográfica concreta sugiere que los atacantes están:

• Probando eficacia.
• Ajustando técnicas.
• Refinando infraestructuras de mando y control.

Esto sigue el patrón observado en otros troyanos bancarios que comenzaron a pequeña escala antes de convertirse en amenazas globales.

Cómo protegerse del troyano Sturnus

Para reducir el riesgo de infección:

• Evita instalar aplicaciones fuera de Google Play.
• Revisa cuidadosamente los permisos solicitados, especialmente los de accesibilidad.
• Utiliza soluciones de seguridad móvil confiables.
• Mantén Android y tus aplicaciones actualizadas.
• Desconfía de apps que se hacen pasar por navegadores o herramientas de productividad.
• Revisa regularmente qué apps tienen permisos de administrador.

En fin...

Sturnus representa una nueva generación de malware bancario para Android, combinando espionaje, control remoto, manipulación de interfaz y evasión del cifrado en una sola herramienta.
Su aparición subraya la creciente sofisticación de las amenazas móviles y la necesidad urgente de reforzar la higiene digital, especialmente en dispositivos usados para operaciones financieras.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La superficie de ataque contra dispositivos de red domésticos y empresariales sigue creciendo, y los actores maliciosos lo saben. En una de las campañas más importantes detectadas en los últimos meses, miles de routers ASUS WRT han sido comprometidos por una operación global bautizada como Operación WrtHug, un ataque masivo que explota seis vulnerabilidades para secuestrar dispositivos obsoletos o en fin de vida. Esta operación ha afectado ya a 50.000 direcciones IP únicas en todo el mundo, según un informe reciente de SecurityScorecard STRIKE.

Este incidente coloca nuevamente bajo el foco la importancia de actualizar firmware, retirar equipos obsoletos y adoptar estrategias de ciberseguridad que mitiguen campañas automatizadas altamente sofisticadas.

Una campaña global con epicentro en Taiwán y presencia en todo el mundo

Durante los últimos seis meses, los investigadores desplegaron escáneres específicos para detectar routers ASUS manipulados por WrtHug. El resultado fue alarmante: 50.000 IPs infectadas, con la mayor concentración en Taiwán, seguidas por países del sudeste asiático, Europa Central, Rusia y Estados Unidos.

Llama la atención la ausencia de infecciones en China, un indicador que podría sugerir la procedencia del actor malicioso. Aunque los investigadores mencionan esta posibilidad, no existe evidencia suficiente para atribuir la operación con alta confianza.

Posible conexión con la campaña AyySSHush

El equipo STRIKE destaca fuertes similitudes entre WrtHug y AyySSHush, una campaña descubierta por GreyNoise en mayo. Ambas comparten metodologías, objetivos, vulnerabilidades explotadas y técnicas de intrusión, lo que sugiere que podrían formar parte de un conjunto más amplio de operaciones dirigidas contra routers expuestos a Internet.

Si estas campañas están relacionadas, estaríamos ante una infraestructura global de routers comprometidos, operando como nodos de retransmisión para actividades de ciberespionaje.

Cómo opera WrtHug: explotación de vulnerabilidades críticas en ASUS WRT

El ataque comienza con la explotación sistemática de vulnerabilidades conocidas en routers ASUS, especialmente modelos de las series AC y AX. Las fallas explotadas incluyen:

Vulnerabilidades identificadas en la campaña

• CVE-2023-41345/41346/41347/41348 – Inyección de comandos del sistema operativo mediante módulos de token.
• CVE-2023-39780 – Falla de inyección de comando ampliamente utilizada en AyySSHush.
• CVE-2024-12912 – Ejecución arbitraria de comandos con alta facilidad de explotación.
• CVE-2025-2492 – Falla crítica de control de autenticación, activable a través de AICloud.

La vulnerabilidad CVE-2025-2492 es la más grave, permitiendo la ejecución no autorizada de funciones en routers con AiCloud activado, lo que abre la puerta a compromisos profundos de seguridad.

AiCloud, la puerta de entrada preferida por los atacantes

SecurityScorecard afirma que los operadores de la campaña aprovecharon el servicio AiCloud para desplegar su red de intrusión global. El indicador de compromiso (IoC) más significativo fue la aparición de un certificado TLS autofirmado:

Diferencias entre el certificado original y el malicioso:

• El certificado legítimo de ASUS es válido 10 años.
• El certificado malicioso tiene una vigencia de 100 años, lo que llamó la atención de los analistas.

Este certificado sustituyó al original en el 99% de los routers comprometidos, permitiendo a los investigadores identificar los dispositivos afectados con una precisión sin precedentes.

Modelos de routers ASUS afectados por Operación WrtHug

Los investigadores identificaron múltiples dispositivos objetivo, entre ellos:

• ASUS 4G-AC55U
• ASUS 4G-AC860U
• ASUS DSL-AC68U
• ASUS GT-AC5300
• ASUS GT-AX11000
• ASUS RT-AC1200HP
• ASUS RT-AC1300GPLUS
• ASUS RT-AC1300UHP

Muchos de estos modelos han sido catalogados como obsoletos o con soporte limitado, lo que los convierte en presas fáciles para actores maliciosos que rastrean dispositivos sin parches.

Uso de los routers secuestrados como ORB en operaciones chinas

STRIKE concluye que los routers comprometidos podrían estar operando como ORB (Operational Relay Boxes), es decir:

• Nodos de retransmisión furtivos
• Proxies encubiertos
• Infraestructura oculta para mando y control

Este tipo de red distribuida permite ocultar la actividad maliciosa, enmascarar tráfico y ejecutar campañas complejas sin dejar rastros directos del origen.

Mitigación urgente: actualizaciones y retirada de equipos obsoletos

ASUS ya ha publicado actualizaciones de seguridad que corrigen todas las vulnerabilidades explotadas en WrtHug. Sin embargo, muchos de los modelos afectados ya se encuentran fuera del ciclo de soporte.

Recomendaciones para usuarios y administradores:

• Actualizar inmediatamente el firmware del dispositivo a la última versión disponible.
• Si el router está EoL (End of Life), sustituirlo inmediatamente.
• Desactivar AiCloud y accesos remotos si no son necesarios.
• Revisar la configuración del firewall y contraseñas administrativas.
• Analizar el tráfico en busca de certificados TLS sospechosos.

Nueva vulnerabilidad en routers ASUS: CVE-2025-59367

Además de WrtHug, ASUS parcheó recientemente CVE-2025-59367, una vulnerabilidad de bypass de autenticación que afecta a varios routers AC. Aunque todavía no se han observado ataques activos, los investigadores advierten que podría ser incorporada a futuras campañas.

En fin...

La Operación WrtHug demuestra que los routers domésticos y empresariales siguen siendo objetivos prioritarios para actores maliciosos que buscan crear redes encubiertas de infraestructura distribuida. La explotación de vulnerabilidades críticas en dispositivos obsoletos, combinada con técnicas avanzadas de persistencia y evasión, subraya la necesidad urgente de actualizar, reemplazar y proteger adecuadamente los routers ASUS vulnerables.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fortinet ha publicado nuevas actualizaciones de seguridad para abordar una vulnerabilidad de día cero en su firewall de aplicaciones web FortiWeb, después de confirmar que actores maliciosos ya están explotando el fallo en ataques reales. La vulnerabilidad, catalogada como CVE-2025-58034, fue reportada por Jason McFadyen, investigador de Trend Micro, y se ha convertido rápidamente en una amenaza crítica para organizaciones que dependen de FortiWeb para proteger sus aplicaciones expuestas a Internet.

Este nuevo fallo se suma a una serie de vulnerabilidades de alto perfil que han afectado a FortiWeb durante los últimos meses, evidenciando que los dispositivos de Fortinet continúan siendo uno de los objetivos más atractivos para grupos de ciberespionaje y actores de ransomware.

CVE-2025-58034: una vulnerabilidad de inyección de comandos en explotación activa

El fallo CVE-2025-58034 ha sido clasificado como una vulnerabilidad de Neutralización Incorrecta de Elementos Especiales en comandos de SO (CWE-78), lo que permite que un atacante autenticado ejecute comandos arbitrarios en el sistema afectado. Esto incluye la capacidad de ejecutar código no autorizado mediante solicitudes HTTP especialmente elaboradas o a través de comandos enviados por la CLI del dispositivo.

CitarFortinet explicó en su aviso de seguridad:

"La vulnerabilidad puede permitir que un atacante autenticado ejecute código no autorizado en el sistema subyacente mediante solicitudes HTTP elaboradas o comandos CLI".

La empresa también confirmó que ya ha observado explotación activa "en la naturaleza", una notificación que eleva significativamente la urgencia de aplicar los parches disponibles.

Trend Micro declaró a BleepingComputer que ha detectado alrededor de 2.000 ataques relacionados con esta vulnerabilidad, lo que muestra un incremento rápido y preocupante en su explotación.

Riesgos asociados: accesos no autorizados, toma de control del sistema y movimientos laterales

Aunque se requiere autenticación para explotar la vulnerabilidad, el ataque es de baja complejidad y no requiere interacción del usuario. Esto lo convierte en un vector altamente atractivo para grupos maliciosos con acceso inicial, ya sea mediante credenciales robadas, ataques de fuerza bruta o compromiso previo de otros sistemas.

Una explotación exitosa permite:

• Ejecución de código arbitrario
• Acceso privilegiado al sistema subyacente
• Modificación de configuraciones críticas
• Instalación de puertas traseras
• Movimientos laterales dentro de la red

En organizaciones dependientes de FortiWeb, este tipo de ataque puede derivar en compromisos mayores, instalación de malware avanzado o exfiltración de datos sensibles.

Versiones afectadas y actualizaciones críticas

Fortinet ha lanzado múltiples actualizaciones urgentes para bloquear esta vulnerabilidad. Las versiones afectadas y sus soluciones son las siguientes:


Cualquier instalación que permanezca sin actualizar sigue siendo vulnerable y está en riesgo directo de explotación.

Un cero día previo también fue explotado: CVE-2025-64446

Este incidente no es aislado. Apenas la semana pasada, Fortinet confirmó que había corregido discretamente otro cero día crítico, CVE-2025-64446, descubierto por la empresa de inteligencia de amenazas Defused. Los atacantes estaban utilizando solicitudes HTTP POST para crear cuentas administrativas en dispositivos expuestos a Internet, una vulnerabilidad de impacto severo.

CISA añadió este fallo a su catálogo de vulnerabilidades explotadas activamente y ordenó a todas las agencias federales de EE. UU. corregir la vulnerabilidad antes del 21 de noviembre, destacando la gravedad del problema.

Fortinet aún no ha proporcionado respuestas adicionales sobre estos fallos, pese a los cuestionamientos enviados por BleepingComputer.

Fortinet bajo presión: historial reciente de vulnerabilidades explotadas

Durante los últimos meses, la tecnología de Fortinet ha sido blanco frecuente de ataques dirigidos. En agosto, la compañía tuvo que corregir CVE-2025-25256, otra vulnerabilidad de inyección de comandos con exploit público, presente en su solución FortiSIEM. Esta corrección se aplicó apenas un día después de que GreyNoise alertara sobre un aumento de ataques de fuerza bruta contra VPN SSL de Fortinet.

La situación refleja una tendencia preocupante: las vulnerabilidades de Fortinet suelen ser explotadas:

• Como cero días
• En ataques de ciberespionaje
• En campañas de ransomware
• En operaciones de acceso inicial por parte de grupos avanzados (APT)

Un ejemplo crítico fue revelado en febrero, cuando Fortinet confirmó que Volt Typhoon, un grupo chino vinculado a ciberespionaje estatal, explotó los fallos CVE-2022-42475 y CVE-2023-27997 para comprometer la red militar del Ministerio de Defensa de los Países Bajos mediante un RAT personalizado conocido como Coathanger.

Vulnerabilidad crítica que exige actualización inmediata

La explotación activa de CVE-2025-58034 pone en riesgo a miles de organizaciones a nivel global. Dado que los ataques ya están en marcha y que los exploits son de baja complejidad, actualizar FortiWeb es una prioridad absoluta.

Las organizaciones deben:

• Instalar los parches publicados por Fortinet sin demora
• Revisar accesos administrativos recientes
• Implementar monitoreo adicional en dispositivos perimetrales
• Realizar auditorías de seguridad para detectar compromisos previos

Con el historial reciente de zero days, Fortinet seguirá bajo la lupa, y los administradores deben estar más atentos que nunca ante cualquier anomalía.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una grave vulnerabilidad de seguridad recientemente revelada en 7-Zip, uno de los gestores de archivos más utilizados del mundo, está siendo aprovechada activamente por actores maliciosos, según un aviso publicado por NHS England Digital. El fallo, identificado como CVE-2025-11001 y con una puntuación CVSS de 7.0, permite que atacantes remotos ejecuten código arbitrario en sistemas vulnerables. Esta situación ha encendido las alarmas entre organizaciones y expertos en ciberseguridad, ya que 7-Zip es ampliamente empleado tanto en entornos corporativos como domésticos.

La vulnerabilidad ha sido corregida en la versión 7-Zip 25.00, lanzada en julio de 2025. Sin embargo, millones de usuarios continúan utilizando versiones anteriores sin actualizar, lo que expone a empresas y particulares a posibles ataques dirigidos.

Un fallo crítico originado por el manejo incorrecto de enlaces simbólicos

Según la Zero Day Initiative (ZDI) de Trend Micro, el origen del problema reside en el manejo de enlaces simbólicos dentro de archivos ZIP. Esta validación incorrecta puede provocar que el proceso de extracción acceda a directorios no intencionados, permitiendo que un atacante manipule rutas y ejecute código con privilegios elevados.

En términos simples, un atacante solo necesita crear un archivo ZIP especialmente manipulado para lograr que 7-Zip ejecute comandos maliciosos, comprometa el sistema o tome control del entorno donde se ejecuta.

La ZDI advirtió que el fallo permite:

• Acceso a rutas fuera de los directorios previstos
• Escalada de privilegios en determinados escenarios
• Ejecución de código en el contexto de una cuenta de servicio

Este tipo de vectores es especialmente atractivo para actores maliciosos, ya que las herramientas de compresión son utilizadas masivamente y suelen ser consideradas de bajo riesgo, lo que facilita su explotación sin generar sospechas tempranas.

Investigadores responsables del hallazgo

La vulnerabilidad fue descubierta por Ryota Shiga, de GMO Flatt Security Inc., junto con Takumi, el auditor de seguridad impulsado por inteligencia artificial de la compañía. Su trabajo permitió identificar tanto CVE-2025-11001 como otra vulnerabilidad relacionada: CVE-2025-11002, también con una puntuación CVSS de 7.0.

Ambos fallos fueron introducidos accidentalmente en la versión 7-Zip 21.02, lo que significa que todos los usuarios que hayan instalado esta versión o posteriores —hasta la 24.xx— se encuentran en riesgo si no actualizan a la versión 25.00 o superior.

CVE-2025-11002: otro fallo grave corregido en la versión 25.00

Además de CVE-2025-11001, la nueva actualización de 7-Zip corrige CVE-2025-11002, otra vulnerabilidad que igualmente permite ejecución de código remota mediante el uso indebido de enlaces simbólicos y un fallo de validación que provoca un recorrido de directorios no autorizado.

Aunque ambas vulnerabilidades comparten similitudes técnicas, su existencia refuerza la necesidad urgente de que las organizaciones apliquen medidas de mitigación, ya que las dos pueden explotarse desde archivos ZIP aparentemente inofensivos.

Explotación activa confirmada, pero detalles aún desconocidos

El aviso emitido por NHS England Digital confirmó que la vulnerabilidad está siendo explotada activamente en la naturaleza. Sin embargo, en este momento no se conocen detalles públicos sobre:

• Quién está explotando la vulnerabilidad
• Qué grupos de amenazas están implicados
• Cómo se está utilizando con precisión
• En qué sectores o regiones se han observado los ataques

Esta falta de información aumenta la gravedad del escenario, ya que sugiere que los atacantes podrían estar aprovechando la brecha en campañas discretas, dirigidas o en fases de reconocimiento para preparar ataques de mayor escala.

Existencia de exploits públicos acelera el riesgo para usuarios y empresas

Uno de los elementos más preocupantes es que existen pruebas de concepto (PoC) publicadas para explotar CVE-2025-11001. El investigador conocido como Dominik (pacbypass) publicó una PoC que demuestra la viabilidad del ataque en condiciones reales.

Según Dominik, la vulnerabilidad solo puede explotarse en:

• Sistemas Windows
• Cuentas de usuario o servicio elevadas
• Equipos con modo desarrollador activado

Aunque estas condiciones pueden parecer restrictivas, en entornos corporativos o equipos de desarrollo son relativamente comunes, lo que amplifica el riesgo.

Recomendaciones urgentes para mitigar el riesgo

Para garantizar la seguridad de sistemas corporativos y personales, los expertos recomiendan aplicar de inmediato las siguientes medidas:

1. Actualizar a 7-Zip 25.00 o superior

Esta es la única forma efectiva de mitigar completamente el riesgo.

2. Evitar descomprimir archivos ZIP no confiables

Especialmente si provienen de correos sospechosos, enlaces desconocidos o fuentes no verificadas.

3. Restringir permisos de cuentas de servicio

Limitar privilegios reduce el impacto en caso de explotación.

4. Monitorear actividad inusual en entornos Windows

Particularmente en equipos con rol de desarrollo o administración.

5. Aplicar controles de seguridad adicionales

Como EDR, antivirus con análisis heurístico y herramientas de sandboxing.

Una amenaza real que exige acción inmediata

La revelación de que CVE-2025-11001 está siendo explotada activamente convierte esta vulnerabilidad en una de las amenazas más importantes del momento para usuarios de Windows que emplean 7-Zip como herramienta de extracción.

La combinación de exploits públicos, falta de detalles sobre los atacantes y amplia adopción de 7-Zip crea un escenario de riesgo significativo. Actualizar y aplicar controles de seguridad adicionales no es solo recomendable: es imprescindible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han alertado sobre una sofisticada y creciente campaña maliciosa que combina ingeniería social, secuestro de WhatsApp y malware bancario avanzado para comprometer a usuarios en Brasil. El ataque utiliza como carga principal Eternidade Stealer, un troyano bancario desarrollado en Delphi que está ganando relevancia entre actores maliciosos en América Latina por su capacidad de robar credenciales financieras, datos personales y activos de criptomonedas.

El análisis técnico, realizado por Trustwave SpiderLabs, expone cómo los atacantes han diseñado una cadena de infección altamente automatizada, modular y difícil de detectar, aprovechando el ecosistema de WhatsApp como vector principal para propagarse de forma masiva.

Un ataque que utiliza IMAP y servidores C2 dinámicos

Una de las particularidades más llamativas de esta campaña es el uso del Protocolo de Acceso a Mensajes de Internet (IMAP) para recuperar dinámicamente direcciones de comando y control (C2). Este mecanismo permite que los operadores maliciosos actualicen su infraestructura sin necesidad de desplegar nuevas variantes del malware, aumentando su resiliencia y dificultando la detección.

Según los investigadores, esta técnica es muy similar a la implementada por la reciente campaña Water Saci, que distribuye el gusano SORVEPOTEL como paso previo al troyano bancario Maverick, una evolución del malware Coyote.

WhatsApp, el vector preferido para expandir la infección

El abuso de WhatsApp como plataforma de propagación se ha convertido en una tendencia creciente en Brasil, donde la aplicación tiene una penetración superior al 90 %. Eternidade Stealer forma parte de un ecosistema más amplio de amenazas centradas en explotar esta dependencia nacional.

En esta campaña, los atacantes sustituyeron los scripts antiguos en PowerShell por un script en Python, lo que representa un cambio estratégico para:

• Automatizar de forma más eficiente la toma de control de WhatsApp.
• Adaptarse mejor a entornos multiplataforma.
• Eludir las detecciones asociadas a PowerShell.

Este script se basa en WPPConnect, un proyecto de código abierto que permite automatizar mensajes de WhatsApp Web. Una vez en ejecución, el malware obtiene la lista completa de contactos de la víctima, excluyendo grupos, contactos comerciales y listas de difusión, con el fin de maximizar la tasa de infección individual.

El script recopila para cada contacto:

• Número telefónico.
• Nombre.
• Si está guardado o no en la agenda.

Después, el malware envía esta información al servidor del atacante y procede a reenviar un archivo adjunto malicioso a todos los contactos, utilizando una plantilla personalizada con saludos y nombres dinámicos que aumentan la credibilidad del mensaje.

Una cadena de infección doble y muy elaborada

El punto inicial del ataque es un script de Visual Basic (VBS) ofuscado, cuyos comentarios están redactados principalmente en portugués. Este script despliega dos componentes diferentes:

• Un script en Python, que activa el gusano de WhatsApp.
• Un instalador MSI, que entrega un script AutoIt para instalar Eternidade Stealer.

El instalador MSI está diseñado para operar exclusivamente en sistemas de Brasil: verifica que el idioma del sistema operativo sea portugués brasileño y, si no coincide, se autoelimina. Esta técnica de geovallado inverso demuestra que los atacantes buscan minimizar su exposición y focalizarse únicamente en su objetivo.

Además, el script AutoIt analiza procesos en ejecución, claves de registro y productos de seguridad instalados. Una vez que perfila la máquina, reporta toda la información a un C2 remoto.

La carga final se inyecta en el proceso svchost.exe mediante process hollowing, camuflando la actividad maliciosa dentro de un proceso legítimo del sistema.

Eternidade Stealer: un ladrón bancario sigiloso y adaptado a Latinoamérica

El troyano bancario Eternidade Stealer está programado en Delphi, un lenguaje ampliamente enseñado en Brasil y otros países de América Latina, lo que facilita su desarrollo y mantenimiento por parte de actores locales.

El malware permanece inactivo hasta identificar una ventana o proceso relacionado con:

• Bancos como Bradesco y BTG Pactual.
• Plataformas de pago como MercadoPago o Stripe.
• Exchanges y wallets como Binance, Coinbase, MetaMask o Trust Wallet.

Cuando detecta actividad en una de estas aplicaciones, contacta con un C2 cuyos datos se obtienen desde una cuenta de correo alojada en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, otra técnica compartida con la campaña Water Saci. Esta arquitectura permite modificar infraestructuras de forma rápida y silenciosa.

Si falla la conexión con la cuenta de correo, el malware recurre a un C2 alternativo incrustado en el código.

Una vez conectado, Eternidade permite a los atacantes ejecutar órdenes como:

• Recolectar información del sistema.
• Monitorear ventanas activas.
• Enviar superposiciones falsas para robar credenciales.
• Registrar pulsaciones, capturar pantallas y extraer archivos.

Infraestructura restringida por geovallado, pero exposición global

El análisis de Trustwave permitió identificar dos paneles de administración utilizados por los operadores de la campaña. El sistema solo permite acceso a máquinas ubicadas en Brasil y Argentina, pero registra todas las conexiones externas, que son redirigidas a "google[.]com/error".

De 454 conexiones registradas, solo 2 provenían de ubicaciones permitidas. El resto procedía de países como:

• Estados Unidos
• Países Bajos
• Alemania
• Reino Unido
• Francia
• Brasil

Aunque la campaña está claramente orientada a Brasil, la infraestructura revela una exposición global inevitable.

Una campaña avanzada y persistente que exige atención inmediata

La combinación de ingeniería social, secuestro de WhatsApp, técnicas de evasión avanzadas, automatización por Python y uso de IMAP-C2 convierte esta campaña en una de las amenazas más sofisticadas actualmente dirigidas a usuarios brasileños.

Los expertos recomiendan estar alerta ante:

• Mensajes inesperados en WhatsApp con archivos adjuntos.
• Ejecución no solicitada de scripts o instaladores MSI.
• Indicadores vinculados a Eternidade Stealer o su infraestructura asociada.

Esta operación demuestra nuevamente que los atacantes están explotando la dependencia regional de WhatsApp para escalar sus campañas de malware bancario con gran eficacia.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha confirmado una de las mejoras más importantes en materia de seguridad para su ecosistema: la integración nativa de Sysmon (System Monitor) en Windows 11 y Windows Server 2025 a partir del próximo año. Este anuncio, realizado por Mark Russinovich, creador de Sysinternals, marca un antes y un después en la monitorización avanzada de sistemas y en la capacidad de detección de amenazas dentro del entorno Windows.

Hasta ahora, Sysmon era una herramienta independiente perteneciente a la suite Sysinternals y debía instalarse manualmente en cada dispositivo. Este proceso podía ser tedioso en entornos corporativos grandes, limitando la visibilidad y dificultando la gestión centralizada. Con su integración directa en Windows, Microsoft elimina esa barrera y abre la puerta a una administración mucho más eficiente, a un monitoreo más robusto y a una respuesta más rápida ante actividades sospechosas.

¿Qué es Sysmon y por qué es tan importante para la ciberseguridad?

Sysmon es una herramienta gratuita diseñada para monitorizar, registrar y bloquear actividades maliciosas o anómalas dentro del sistema operativo. Su objetivo es ofrecer un nivel de detalle que supera ampliamente la monitorización estándar de Windows, convirtiéndose en un componente esencial para:

• Equipos de respuesta a incidentes
• Analistas SOC
• Investigadores de amenazas
• Administradores de sistemas
• Cazadores de amenazas (threat hunters)

Sysmon se integra directamente en el Registro de Eventos de Windows, permitiendo capturar y almacenar información detallada de procesos, conexiones, creación de archivos, manipulaciones de memoria y otros comportamientos críticos que pueden indicar actividad maliciosa.

Ventajas clave de la integración nativa de Sysmon en Windows

La llegada de Sysmon como característica integrada tendrá un impacto profundo en la seguridad empresarial. Entre los beneficios más relevantes destacan:

1. Instalación y actualizaciones simplificadas

Los usuarios podrán instalar Sysmon desde Funciones opcionales en Windows 11 o Windows Server 2025, y recibir actualizaciones directamente a través de Windows Update. Esto reduce drásticamente el esfuerzo de despliegue en infraestructuras grandes y minimiza brechas de cobertura.

2. Compatibilidad total con configuraciones personalizadas

Microsoft confirmó que la funcionalidad estándar de Sysmon se mantendrá intacta. Esto incluye:

• Soporte para archivos de configuración personalizados
• Filtrado avanzado de eventos
• Ajustes específicos para casos de uso como detección de malware, análisis forense o auditoría avanzada

3. Cobertura completa en entornos empresariales

Al estar integrado en el sistema, se garantiza una adopción homogénea, lo que mejora:

• La visibilidad sobre la infraestructura
• La coherencia en la recolección de eventos
• La capacidad de correlación en herramientas SIEM/SOAR

4. Mayor detección gracias a futuras capacidades de IA

Microsoft anunció que en 2025 publicará documentación completa de Sysmon y añadirá detecciones impulsadas por inteligencia artificial para potenciar aún más las capacidades de análisis.

Eventos críticos que Sysmon puede registrar

Sysmon es especialmente valorado por la profundidad de detalle que proporciona. Algunos de los eventos más populares incluyen:

• ID 1 – Creación de procesos: detecta ejecución de comandos inusuales o actividad potencialmente maliciosa.
• ID 3 – Conexiones de red: ideal para identificar conexiones salientes sospechosas o actividad C2.
• ID 8 – Acceso a procesos: puede revelar intentos de volcado de LSASS para robar credenciales.
• ID 11 – Creación de archivos: esencial para la detección de scripts y payloads maliciosos.
• ID 25 – Manipulación de procesos: útil contra técnicas de evasión como el process hollowing.
• IDs 20 y 21 – Actividad WMI: rastrea actividades persistentes a través de WMI, común en ataques avanzados.

Una mejora clave para la seguridad del ecosistema Windows

La integración nativa de Sysmon en Windows 11 y Windows Server 2025 representa un avance significativo en la estrategia de seguridad de Microsoft. Facilita la adopción masiva, mejora la capacidad de detección, simplifica la administración y aporta una visibilidad crítica para defenderse de amenazas modernas. Para organizaciones que buscan fortalecer su postura de seguridad, Sysmon será una herramienta indispensable y mucho más accesible que nunca.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login_

Microsoft reveló este lunes que detectó y mitigó automáticamente un ataque de denegación de servicio distribuida (DDoS) sin precedentes, considerado el más grande jamás observado en cualquier plataforma en la nube. El ataque alcanzó un volumen colosal de 15,72 terabits por segundo (Tbps) y una tasa de casi 3.640 millones de paquetes por segundo (pps), cifras que superan ampliamente los máximos históricos documentados en este tipo de ofensivas.

Dirigida contra un único punto final ubicado en Australia, la embestida se realizó mediante una botnet de Internet de las Cosas (IoT) identificada como AISURU, una variante avanzada de la conocida familia TurboMirai. La víctima del ataque sigue sin ser identificada, pero el incidente marca un hito inquietante en la evolución de las amenazas DDoS globales.

Una ofensiva UDP masiva: más de 500.000 IPs atacantes coordinadas

Según Microsoft, el ataque consistió en inundaciones UDP de altísimo ritmo, caracterizadas por ráfagas extremadamente breves pero devastadoras que saturaron el objetivo en cuestión de segundos.

CitarSean Whalen, analista de Microsoft, detalló:

"El ataque implicó inundaciones UDP de altísima velocidad dirigidas a una IP pública específica, procedentes de más de 500.000 direcciones de origen ubicadas en múltiples regiones".

Aunque el tráfico incluía un mínimo nivel de spoofing, los paquetes se enviaban desde puertos de origen aleatorios, dificultando las estrategias defensivas basadas en patrones. Este enfoque permitió a Microsoft rastrear mejor los vectores y coordinar mitigaciones rápidas a través de su infraestructura global.

AISURU: una botnet IoT capaz de generar más de 20 Tbps

Investigadores de QiAnXin XLab estiman que la botnet AISURU está respaldada por un ejército de casi 300.000 dispositivos IoT comprometidos, incluyendo:

• routers vulnerables,
• cámaras IP,
• sistemas DVR,
• dispositivos domésticos inteligentes expuestos.

AISURU se ha convertido en uno de los principales motores de ataques DDoS de gran escala observados durante 2024 y 2025. Algunos de sus ataques previos superaron la barrera de los 20 Tbps, lo que la sitúa como una de las botnets más potentes jamás documentadas.

Un informe reciente de NETSCOUT la clasifica como un servicio DDoS "bajo demanda", operado para una clientela restringida que paga por acceder a sus capacidades masivas. A pesar de su potencia, sus administradores han implementado "límites" para evitar atacar objetivos gubernamentales, militares o de seguridad nacional, centrándose principalmente en sectores como:

• juego online,
• servidores de entretenimiento,
• infraestructuras de baja protección,
• plataformas expuestas a ataques de extorsión.

Más que DDoS: AISURU ofrece funcionalidades criminales completas

Si bien se la conoce por sus devastadores ataques de denegación de servicio, AISURU no es una botnet limitada a fines destructivos. Sus operadores han incorporado funcionalidades multiusos, ideal para diferentes tipos de actividades ilícitas:

• Credential stuffing (ataques de relleno de credenciales),
• Web scraping automatizado con IA,
• Spam masivo,
• Campañas de phishing,
• Servicios de proxy residencial para anonimato,
• Rotación de IP maliciosa automatizada.

Esta evolución confirma una tendencia peligrosa: las botnets modernas no solo buscan derribar servicios, sino que funcionan como ecosistemas criminales completos disponibles para clientes que pagan por su uso.

La escalada de los ataques DDoS: Internet crece y los atacantes también

Microsoft advirtió que estos ataques masivos se volverán cada vez más comunes a medida que:

• aumentan las velocidades de conexión de fibra hasta el hogar,
• los dispositivos IoT se vuelven más potentes,
• los usuarios conectan más aparatos vulnerables,
• el ancho de banda global disponible continúa creciendo.

CitarSegún la compañía:

"Los atacantes están escalando con la propia Internet. A medida que aumentan las velocidades de fibra y los dispositivos IoT se vuelven más potentes, el nivel base del tamaño de los ataques también se incrementa".

Esto significa que ataques que hoy parecen excepcionales —como los 15,72 Tbps— podrían convertirse en eventos recurrentes si no se implementan defensas robustas y políticas globales de seguridad para el IoT.

Eleven11/RapperBot: otra botnet TurboMirai activa durante 2025

Paralelamente, NETSCOUT reveló detalles sobre otra botnet de la misma familia TurboMirai: Eleven11, también conocida como RapperBot. Esta botnet lanzó alrededor de 3.600 ataques DDoS entre finales de febrero y agosto de 2025.

Lo preocupante es que parte de sus servidores de comando y control (C2) está registrada con el dominio de nivel superior .libre, perteneciente a OpenNIC, una alternativa descentralizada a la infraestructura DNS administrada por ICANN. Esta red alternativa ha sido usada también por botnets como CatDDoS y Fodcha, permitiendo a los operadores evadir suspensiones tradicionales.

Aunque las autoridades anunciaron el arresto de sus operadores y el desmantelamiento parcial del botnet, NETSCOUT advirtió que los dispositivos comprometidos siguen infectados y vulnerables:

Citar"Probablemente es cuestión de tiempo que estos hosts vuelvan a ser secuestrados y reclutados en nuevas botnets".

Un ataque récord que marca el futuro de las amenazas DDoS

El ataque de 15,72 Tbps neutralizado por Microsoft representa el punto culminante de una tendencia que ya no puede ignorarse: las botnets IoT están alcanzando niveles de potencia capaces de comprometer la estabilidad de regiones enteras de Internet si no se contienen adecuadamente.

La combinación de:

• botnets masivas,
• técnicas avanzadas como TurboMirai,
• infraestructura IoT insegura,
• redes DNS alternativas,
• y servicios criminales "DDoS-as-a-Service"

crea un escenario donde los ataques récord podrían convertirse en la norma.

En este contexto, la industria necesita invertir en mitigación automática, actualizaciones de seguridad IoT, bloqueo proactivo e inteligencia de amenazas integrada para evitar que incidentes como este vuelvan a escalar.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La cadena de suministro de JavaScript vuelve a quedar bajo alerta tras el descubrimiento de siete paquetes npm maliciosos, todos publicados por un solo actor amenazante que empleó Adspect, un servicio especializado en camuflaje diseñado para diferenciar entre víctimas reales e investigadores de seguridad. El objetivo final: redirigir a los usuarios a páginas maliciosas con temática criptográfica, capaces de engañar, robar información o conducir a fraudes financieros.

El hallazgo, realizado por investigadores de Socket, expone una campaña silenciosa pero sofisticada que estuvo activa entre septiembre y noviembre de 2025, período durante el cual los paquetes fueron descargados cientos de veces por desarrolladores confiados en el ecosistema de código abierto.

Los siete paquetes maliciosos detectados en npm

Los paquetes fueron publicados por un usuario identificado como "dino_reborn", cuya cuenta ya ha sido eliminada de npm. Las descargas acumuladas durante el tiempo que estuvieron disponibles son significativas:

• señales-embed (342 descargas)
• dsidospsodlks (184 descargas)
• applicationooks21 (340 descargas)
• application-phskck (199 descargas)
• integrator-filescrypt2025 (199 descargas)
• Integrator-2829 (276 descargas)
• Integrator-2830 (290 descargas)

Si bien todos formaban parte de la campaña, no todos tenían la misma funcionalidad maliciosa. Seis de ellos contenían un malware de 39 kB, mientras que señales-embed actuaba únicamente como página señuelo.

Un ataque diseñado para diferenciar víctimas de investigadores

La investigadora de seguridad Olivia Brown explicó que los paquetes maliciosos construyen un sitio web falso encargado de evaluar al visitante:

Citar"Si el visitante es una víctima, verá un CAPTCHA falso que ultimately redirige a un sitio malicioso. Si es un investigador, encontrará señales sutiles que dejan en evidencia que algo sospechoso está ocurriendo".

Este mecanismo selectivo es crítico porque permite que el actor evite la detección automática, los análisis estáticos y las inspecciones manuales por parte de expertos en ciberseguridad.

Cómo funciona el malware: camuflaje, bloqueo de herramientas y huella digital

Los paquetes maliciosos hacen uso de una técnica de JavaScript conocida como IIFE (Expresión de Función Invocada Inmediatamente), que ejecuta el malware en cuanto el archivo es importado o cargado en el navegador por un desarrollador. No requiere interacción del usuario, lo que lo vuelve aún más peligroso.

Dentro de los seis paquetes infectados se encontró un módulo de 39 kB que:

1. Captura una completa huella digital del sistema

Recolecta información sobre el navegador, la actividad, el entorno de ejecución y otros datos relevantes para identificar al visitante.

2. Bloquea herramientas y paneles de análisis

El malware activa mecanismos anti-investigación que impiden:

• abrir herramientas de desarrollador,
• ver el código fuente,
• inspeccionar elementos,
• ejecutar scripts de depuración.

Esto deja a los analistas sin visibilidad sobre la actividad real del paquete, dificultando investigaciones o ingeniería inversa.

3. Envía la información a un proxy controlado por el atacante

Todos los datos se transmiten hacia un dominio utilizado como proxy:

association-google[.]xyz/adspect-proxy[.]php

Desde ahí, Adspect determina si se trata de tráfico legítimo (una víctima) o tráfico sospechoso (un analista o bot de seguridad).

El papel de Adspect: camuflaje avanzado al servicio de los ciberdelincuentes

Adspect es un servicio basado en la nube que afirma proteger campañas publicitarias del fraude por clics, bots y tráfico no deseado, pero también ofrece capacidades preocupantes:

• "camuflaje a prueba de balas"
• ocultación eficaz ante plataformas publicitarias
• política de no hacer preguntas, permitiendo anunciar cualquier tipo de contenido

Entre sus planes destacan:

• Ant-fraud: 299 USD/mes
• Personal: 499 USD/mes
• Profesional: 999 USD/mes

La plataforma parece atraer a actores con intenciones maliciosas, ya que ofrece herramientas para ocultar campañas sospechosas y manipular el tráfico hacia sitios fraudulentos.

CitarSocket destacó que la integración de Adspect dentro de paquetes npm es altamente inusual:

"Esto fusiona camuflaje de tráfico, controles anti-investigación y distribución mediante código abierto. Al incrustar Adspect en npm, el actor puede automatizar la decisión de a qué visitantes exponer cargas útiles reales."

Redirección a estafas criptográficas tras el falso CAPTCHA

Si Adspect determina que el visitante es una víctima real, se muestra un CAPTCHA falso, que al ser clicado redirige hacia una página fraudulenta relacionada con criptomonedas, disfrazada como servicios legítimos como "StandX".

El propósito es claro:
engañar a usuarios desprevenidos y robar activos digitales o credenciales relacionadas con wallets y plataformas cripto.

Si el visitante parece un analista, el sistema carga simplemente una página blanca junto con fragmentos de HTML referentes a la política de privacidad de una compañía inexistente llamada Offlido, actuando como fachada.

Una amenaza avanzada dentro de la cadena de suministro de JavaScript

Este caso representa una evolución significativa en los ataques a la cadena de suministro:

• uso de camuflaje avanzado,
• mecanismos anti-análisis,
• redirección dinámica basada en huella digital,
• distribución a través de repositorios públicos confiables como npm,
• técnicas de ejecución inmediata sin interacción humana.

Para los desarrolladores, esto refuerza la necesidad de auditar dependencias, usar herramientas de análisis de comportamiento y optar por repositorios confiables.

En fin...un ataque silencioso, sigiloso y altamente sofisticado

La campaña de "dino_reborn" demuestra hasta qué punto los atacantes están dispuestos a combinar servicios comerciales de camuflaje con malware basado en JavaScript para explotar la cadena de suministro. El uso de Adspect marca un salto cualitativo en la evasión de análisis y en la capacidad de dirigir ataques altamente selectivos.

Mientras el ecosistema npm sigue creciendo, también aumentan los riesgos, lo que obliga a la comunidad a reforzar la vigilancia, considerar alternativas de control y promover herramientas de detección más robustas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La infraestructura de Internet volvió a mostrar su vulnerabilidad tras una caída masiva de Cloudflare, uno de los proveedores más importantes de CDN, seguridad web, mitigación DDoS y servicios de red utilizados por miles de plataformas en todo el mundo. El fallo, ocurrido alrededor de las 12:30 a.m. (hora española), provocó que miles de servicios online quedaran inaccesibles, inestables o directamente colapsados, generando un efecto dominó que afectó tanto a empresas tecnológicas como a servicios esenciales para usuarios y negocios.

Lo que comenzó como un aparente problema puntual —que muchos confundieron con fallos locales de conexión— terminó convirtiéndose en un apagón global de alto impacto, con errores HTTP 500, páginas en blanco, captchas que no cargaban y bloqueos generalizados en sistemas de autenticación.

La caída de Cloudflare dejó patente, una vez más, que gran parte del ecosistema digital mundial depende de unos pocos actores cuya interrupción puede comprometer la estabilidad de millones de usuarios.

Un apagón inesperado en el corazón de Internet

A medida que la incidencia se extendía, comenzaron a aparecer reportes desde Europa, Estados Unidos, Latinoamérica y Asia, confirmando el alcance global del incidente. Usuarios y empresas notaron rápidamente la incapacidad de acceder a servicios críticos, plataformas de trabajo, aplicaciones móviles y herramientas basadas en IA.

Incluso DownDetector, uno de los sitios más populares para monitorizar caídas, dejó de funcionar... porque también depende de Cloudflare. Esta ironía refleja hasta qué punto la red de distribución de contenido está integrada en el funcionamiento diario de Internet.

El colapso afectó tanto a grandes compañías como a pequeños sitios web que utilizan Cloudflare para gestionar tráfico, acelerar la carga de contenido o protegerse de ataques cibernéticos. La indisponibilidad del CDN imposibilitó que miles de páginas sirvieran contenido o validaran sesiones de usuario, dejando a buena parte de la red en standby.

Servicios y plataformas afectados por la caída de Cloudflare

Aunque la lista sigue creciendo, entre los servicios más afectados se encuentran:

1. X (Twitter)

La plataforma dejó de cargar para millones de usuarios, mostrando errores intermitentes y limitaciones severas en funcionalidades principales.

2. OpenAI y ChatGPT

Herramientas como ChatGPT experimentaron inestabilidad continua, períodos de inaccesibilidad y fallos en sus API.

3. League of Legends

Los servidores del popular videojuego presentaron desconexiones globales, impidiendo partidas y autenticaciones.

4. Canva

La plataforma de diseño sufrió fallos generalizados, bloqueos y cargas incompletas.

5. Cloudflare Turnstile (reemplazo del CAPTCHA tradicional)

Su interrupción causó que miles de sitios no pudieran validar accesos, generando bloqueos totales en inicio de sesión, incluso en plataformas que, por lo demás, funcionaban sin problemas.

A esto se suman tiendas online, blogs personales, sistemas de reservas, servicios de correo, APIs corporativas y herramientas indispensables para operaciones diarias.

La magnitud del impacto confirma que la caída de uno de los nodos críticos de Internet afecta a todo el ecosistema, desde gigantes tecnológicos hasta pequeños proyectos.

Cloudflare confirma la incidencia, pero no ofrece detalles

CitarMinutos después de que los errores se volvieran globales, Cloudflare emitió un breve comunicado señalando que:

"La compañía es consciente de un incidente que potencialmente afecta a múltiples clientes y está investigando el problema".

De momento, no se han proporcionado detalles sobre la causa raíz del fallo, si se trata de un error de configuración, un problema interno de red, una actualización fallida o incluso un incidente de seguridad. Tampoco se ha informado un tiempo estimado de resolución, lo que añade incertidumbre a usuarios y empresas.

Un fallo que incluso bloquea a los administradores

Uno de los aspectos más críticos del incidente es que los administradores de sitios web no pueden acceder al panel de control de Cloudflare, una herramienta esencial para aplicar medidas de contingencia, cambiar reglas de firewall, desactivar proxys o modificar configuraciones DNS.

Esto deja a los equipos técnicos sin capacidad de reacción y acelera la caída de servicios que dependen del enrutamiento y filtrado de tráfico proporcionado por Cloudflare.

En otras palabras:
los afectados no pueden solucionar nada porque la plataforma que necesitan también está caída.

Una cadena de dependencias que revela la fragilidad del ecosistema digital

No es la primera vez que la infraestructura global sufre un evento de estas dimensiones. Incidentes recientes en Amazon Web Services (AWS) o fallos masivos en Google Cloud ya habían demostrado que el mundo depende de un pequeño grupo de proveedores para mantener Internet en pie.

La caída de Cloudflare vuelve a abrir un debate clave:

¿Es seguro que la mayor parte del tráfico global dependa de un puñado de actores?

La centralización facilita la eficiencia, la protección anti-DDoS y la velocidad de carga, pero también crea un punto único de fallo que puede tumbar simultáneamente a millones de servicios.

Esta interrupción evidencia la necesidad de que empresas y desarrolladores consideren estrategias de redundancia, proveedores alternativos y configuraciones híbridas que reduzcan la dependencia absoluta de un solo actor.

En fin...un recordatorio de la importancia de la resiliencia digital

La caída global de Cloudflare demuestra la fragilidad del ecosistema digital y la importancia de construir infraestructuras más resilientes. Mientras millones de usuarios esperan la recuperación completa del servicio, el incidente deja una lección clara: Internet no es tan indestructible como parece.

Eventos como este subrayan la necesidad de diversificar proveedores, mejorar planes de contingencia y fortalecer la arquitectura de servicios digitales para evitar que un solo fallo pueda detener medio Internet.

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han revelado una falla crítica ahora corregida en el popular paquete npm "@react-native-community/cli", ampliamente utilizado para el desarrollo de aplicaciones móviles con React Native, que podría haber permitido a atacantes ejecutar comandos maliciosos del sistema operativo (SO) en entornos vulnerables.

La vulnerabilidad, registrada bajo el identificador CVE-2025-11953, fue calificada con una puntuación CVSS de 9,8 sobre 10, lo que la ubica en la categoría de riesgo crítico. De no haberse solucionado a tiempo, podría haber sido explotada para comprometer equipos de desarrolladores y entornos de desarrollo remoto, afectando potencialmente a miles de proyectos activos.

Detalles técnicos del fallo en React Native CLI

El problema fue descubierto por el investigador Or Peles, experto en seguridad de JFrog, quien explicó que la vulnerabilidad permitía a atacantes remotos no autenticados ejecutar comandos arbitrarios en el sistema operativo que ejecuta el servidor de desarrollo de React Native.

"El fallo hace posible que cualquier atacante remoto active fácilmente la ejecución de comandos del sistema operativo en la máquina víctima, representando un riesgo considerable para los desarrolladores que usan esta herramienta", detalló Peles en un informe compartido con The Hacker News.

La vulnerabilidad afectaba específicamente a las versiones 4.8.0 a 20.0.0-alpha.2 del paquete @react-native-community/cli-server-api, un componente del CLI oficial de React Native mantenido por Meta (Facebook). El error fue parcheado en la versión 20.0.0, publicada a inicios del mes pasado.

Este paquete, que actúa como una interfaz de línea de comandos (CLI), es fundamental para la creación, compilación y prueba de aplicaciones móviles con React Native, y recibe entre 1,5 y 2 millones de descargas semanales, lo que demuestra su enorme alcance dentro del ecosistema de desarrollo.

Origen del fallo: una exposición insegura del servidor Metro

El origen de la vulnerabilidad se encuentra en el servidor de desarrollo Metro, utilizado por React Native para compilar código JavaScript y gestionar activos.
Por defecto, Metro se vincula a interfaces externas en lugar de limitarse a localhost, lo que expone públicamente un punto final denominado "/open-url".

Ese endpoint vulnerable aceptaba solicitudes POST con entradas de usuario, las cuales se pasaban a la función open() del paquete npm "open", sin sanitización adecuada.
Esto significa que un atacante podía inyectar comandos del sistema operativo dentro de la solicitud POST, logrando así la ejecución remota de código (RCE).

Citar"El endpoint '/open-url' del servidor maneja una solicitud POST con datos de usuario que se envían directamente a la función open() insegura del paquete npm 'open', lo que puede desencadenar la ejecución de comandos arbitrarios", explicó Peles.

En otras palabras, un atacante en la misma red o con acceso remoto podría enviar una solicitud POST especialmente diseñada al servidor y ejecutar cualquier comando en el sistema afectado.

Impacto por sistema operativo

El impacto de la vulnerabilidad varía según la plataforma:

En Windows, el fallo permitía ejecutar comandos de shell arbitrarios con argumentos totalmente controlados por el atacante.

En Linux y macOS, el riesgo se centraba en la ejecución de binarios arbitrarios, aunque con un control más limitado de los parámetros.

Estas condiciones convierten al fallo en una amenaza de ejecución remota de código sin autenticación, una de las categorías más peligrosas dentro de la ciberseguridad moderna.

Riesgos y alcance de la vulnerabilidad

El problema no afectaba únicamente a proyectos activos, sino también a entornos de desarrollo local o de integración continua (CI/CD) donde el servidor Metro permanecía activo. Cualquier entorno de desarrollo con puertos abiertos o configuraciones públicas podía ser vulnerable, exponiendo tanto código fuente como credenciales de acceso.

Afortunadamente, los desarrolladores que utilizan React Native sin depender del servidor Metro —por ejemplo, mediante frameworks o herramientas externas— no se ven afectados por esta vulnerabilidad.

Una falla de día cero con alto potencial de explotación

JFrog calificó esta vulnerabilidad como un día cero particularmente peligroso, dada su facilidad de explotación, la ausencia de autenticación requerida y la amplia superficie de ataque.

"Este incidente revela los riesgos ocultos que pueden surgir del uso de componentes de terceros dentro de la cadena de suministro de software", enfatizó Peles. "Los equipos de desarrollo deben aplicar medidas de seguridad proactivas, como el escaneo automatizado y la validación continua de dependencias, para evitar que fallos similares afecten sus entornos".

Medidas de mitigación y recomendaciones

Para evitar posibles ataques, los expertos recomiendan:

• Actualizar inmediatamente a la versión 20.0.0 o superior de @react-native-community/cli-server-api.
• Limitar el acceso de red al servidor Metro, asegurándose de que solo se escuche en localhost.
• Implementar firewalls o reglas de red que bloqueen accesos externos no autorizados.
• Ejecutar auditorías de dependencias npm periódicamente para detectar vulnerabilidades conocidas.
• Adoptar herramientas de análisis de seguridad en la cadena de suministro, como las ofrecidas por Snyk, Dependabot o JFrog Xray.

Un recordatorio sobre la seguridad del código abierto

El caso de CVE-2025-11953 refuerza una advertencia recurrente en el ámbito del desarrollo moderno: el código abierto no está exento de vulnerabilidades críticas.
Aunque herramientas como React Native impulsan la innovación y productividad, su seguridad depende de la vigilancia constante y el mantenimiento activo por parte de la comunidad y los equipos de desarrollo.

Para las empresas que basan su infraestructura en entornos JavaScript y React, este incidente subraya la necesidad urgente de adoptar prácticas de ciberseguridad preventivas, monitorear librerías externas y mantener todas las dependencias actualizadas.

En un ecosistema donde una sola dependencia vulnerable puede comprometer toda una cadena de suministro, la prevención sigue siendo la defensa más efectiva.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento del Tesoro de Estados Unidos anunció nuevas sanciones contra ocho personas y dos entidades financieras vinculadas a Corea del Norte, acusadas de operar una red global de lavado de dinero que financia los programas de armas nucleares y ciberataques del régimen de Pyongyang. Las medidas se enmarcan en los esfuerzos de Washington por interrumpir los flujos financieros ilícitos utilizados por los piratas informáticos patrocinados por el Estado norcoreano.

Una red internacional para financiar el programa nuclear de Corea del Norte

Según el comunicado oficial, las entidades e individuos sancionados participaron en esquemas de lavado de dinero y fraude tecnológico, incluidos trabajos de TI falsificados y operaciones cibernéticas ilegales, que han generado millones de dólares para el régimen.

El subsecretario del Tesoro para Terrorismo e Inteligencia Financiera, John K. Hurley, afirmó que "los piratas informáticos patrocinados por el Estado norcoreano roban y lavan dinero para financiar el programa de armas nucleares del régimen". Hurley advirtió que estas operaciones representan una amenaza directa para la seguridad de Estados Unidos y del mundo, y reiteró que el Tesoro continuará persiguiendo a los facilitadores financieros detrás de estos esquemas ilícitos.

Los sancionados y sus vínculos con el lavado de criptomonedas

Entre los principales señalados se encuentran Jang Kuk Chol (Jang) y Ho Jong Son, acusados de administrar más de 5,3 millones de dólares en criptomonedas en nombre del First Credit Bank, también conocido como Cheil Credit Bank, entidad sancionada previamente en 2017 por su papel en la financiación de los programas de misiles norcoreanos.

Asimismo, el Departamento del Tesoro identificó a la Korea Mangyongdae Computer Technology Company (KMCTC), una empresa de TI con sede en Corea del Norte que ha enviado delegaciones de trabajadores tecnológicos a las ciudades chinas de Shenyang y Dandong, utilizando ciudadanos chinos como representantes bancarios para ocultar el origen real de los fondos. Esta práctica forma parte de un esquema de empleo fraudulento, mediante el cual trabajadores norcoreanos operan bajo identidades falsas para conseguir contratos internacionales y canalizar los ingresos hacia la República Popular Democrática de Corea (RPDC).

El presidente actual de KMCTC, U Yong Su, también figura entre los sancionados, al igual que el Ryujong Credit Bank, señalado por facilitar transacciones financieras ilícitas entre China y Corea del Norte para evadir sanciones internacionales.

Otros implicados incluyen a Ho Yong Chol, Han Hong Gil, Jong Sung Hyok, Choe Chun Pom y Ri Jin Hyok, todos representantes financieros de Corea del Norte en Rusia y China, acusados de mover millones de dólares en nombre de bancos norcoreanos sancionados.

Relación con ataques de ransomware y delitos cibernéticos

Una parte de los 5,3 millones de dólares rastreados está vinculada a un actor de ransomware norcoreano conocido por atacar empresas y organizaciones estadounidenses, según reveló la investigación. Estos fondos se originaron en operaciones fraudulentas de trabajadores de TI y en robos de criptomonedas llevados a cabo por grupos cibernéticos afiliados a Pyongyang.

El Departamento del Tesoro describió a los ciberdelincuentes norcoreanos como "orquestadores de espionaje, ataques disruptivos y robos financieros a una escala inigualable por cualquier otro país". En los últimos tres años, estos grupos habrían robado más de 3.000 millones de dólares, en su mayoría activos digitales, utilizando malware avanzado, técnicas de ingeniería social y redes globales de intermediarios.

Uso de trabajadores de TI falsos para financiar el régimen

Además del robo directo, el Tesoro señaló que Corea del Norte utiliza a miles de trabajadores de TI desplegados en todo el mundo para obtener ingresos que luego son transferidos a las arcas del régimen. Estos profesionales suelen ocultar su nacionalidad, usar identidades falsas o trabajar a través de cuentas de terceros, participando en proyectos tecnológicos internacionales de forma encubierta.

En muchos casos, los trabajadores norcoreanos colaboran con programadores extranjeros independientes, compartiendo proyectos y dividiendo los ingresos generados, con el objetivo de dificultar el rastreo de los fondos.

El papel de las criptomonedas en la evasión de sanciones

Un análisis de TRM Labs, firma especializada en inteligencia blockchain, reveló que las direcciones de billeteras de criptomonedas vinculadas a First Credit Bank mostraban "flujos entrantes consistentes que se asemejan a pagos de salarios". Según el informe, estas transacciones corresponden probablemente a ingresos obtenidos por trabajadores de TI norcoreanos empleados en el extranjero con identidades falsas.

Entre junio de 2023 y mayo de 2025, las billeteras controladas por el banco recibieron más de 12,7 millones de dólares, lo que evidencia una actividad sostenida durante más de dos años. Estos fondos, según los analistas, forman parte del entramado financiero clandestino de Corea del Norte que permite al país evadir sanciones internacionales y financiar su programa de armas nucleares.

Una arquitectura global para evadir sanciones

El Departamento del Tesoro y TRM Labs coinciden en que los individuos y entidades sancionadas forman parte de un componente central de la arquitectura de evasión financiera de Pyongyang, que utiliza tanto canales tradicionales como criptomonedas para mover millones de dólares alrededor del mundo.

Esta red combina tecnología, espionaje y manipulación del sistema financiero internacional para mantener los ingresos del régimen a pesar de las restricciones impuestas por Naciones Unidas y Estados Unidos.

Una ofensiva directa contra el ciberdelito norcoreano

Con estas sanciones, el gobierno estadounidense busca reforzar la presión económica sobre Corea del Norte y bloquear los canales financieros que sostienen sus actividades nucleares y cibernéticas. La medida también envía un mensaje claro a los intermediarios financieros, empresas tecnológicas y actores del ecosistema cripto: colaborar con entidades norcoreanas puede conllevar graves consecuencias legales y económicas.

En un contexto donde el cibercrimen patrocinado por estados representa una de las mayores amenazas globales, Washington reafirma su compromiso de combatir la financiación ilícita, rastrear operaciones en la blockchain y cortar los recursos que alimentan los ataques cibernéticos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft continúa mejorando la experiencia de instalación de software en su ecosistema y ha dado un paso importante hacia la eficiencia. La Microsoft Store en la web ahora permite crear un paquete de instalación de múltiples aplicaciones para Windows 11, lo que significa que los usuarios pueden instalar varias apps simultáneamente con un único instalador, sin necesidad de descargarlas manualmente una por una.

Esta nueva característica busca simplificar la configuración de nuevas computadoras y agilizar el proceso de instalación de software esencial, algo que hasta ahora era tedioso y repetitivo.

Una experiencia similar a Ninite, pero nativa de Microsoft

La función recuerda a Ninite, una herramienta de terceros muy popular entre los usuarios avanzados de Windows, que permite instalar varias aplicaciones al mismo tiempo mediante un solo ejecutable. Sin embargo, a diferencia de Ninite, la solución de Microsoft es completamente nativa, integrada dentro de su ecosistema oficial y con las ventajas de seguridad y autenticación propias de la tienda.

Esto no solo mejora la comodidad, sino que también garantiza que las descargas provengan directamente de fuentes verificadas, reduciendo el riesgo de instalar versiones falsificadas o infectadas con malware.

Cómo funciona la instalación múltiple de la Microsoft Store

Hasta hace poco, si un usuario quería instalar varias aplicaciones desde la Microsoft Store —ya fuera desde la app en Windows 11 o desde su versión web—, debía abrir la página individual de cada aplicación e iniciar la instalación manualmente.

Con esta nueva función, el proceso cambia radicalmente. Ahora, los usuarios pueden abrir la versión web de Microsoft Store, seleccionar todas las aplicaciones deseadas y crear un paquete de instalación personalizado. Una vez hecho esto, la tienda genera un archivo ejecutable (.exe) que descarga e instala automáticamente todas las aplicaciones seleccionadas.

La opción se presenta bajo el botón "Instalar seleccionadas", disponible al marcar múltiples aplicaciones dentro de la interfaz web. Al ejecutarse, el instalador realiza la instalación en segundo plano, sin necesidad de interacción constante del usuario.

Limitaciones y disponibilidad actual

Aunque esta función representa una mejora significativa, Microsoft aún la mantiene en una etapa limitada. Por ahora, solo está disponible en la versión web de la Microsoft Store, no dentro de la aplicación integrada en Windows 11.

Además, la compañía ha establecido restricciones en el número de aplicaciones que se pueden incluir por lote, limitando la descarga a un máximo de 16 aplicaciones por paquete. Esto busca evitar la sobrecarga de los servidores y mantener un rendimiento óptimo durante el proceso.

En las pruebas realizadas por BleepingComputer, el nuevo sistema mostró un catálogo de 64 aplicaciones disponibles para la selección múltiple, lo que sugiere que Microsoft está desplegando la función de forma gradual. Aún no es posible crear paquetes con todas las aplicaciones disponibles en la tienda, aunque se espera que esto cambie en futuras actualizaciones.

Microsoft no ha emitido una declaración oficial respecto a cuándo se expandirá esta función a toda la biblioteca de la tienda o a la aplicación de escritorio, pero fuentes cercanas indican que la compañía planea hacerlo de manera progresiva, una vez que las pruebas iniciales confirmen la estabilidad del sistema.

Beneficios para usuarios y administradores de sistemas

La instalación múltiple no solo es una mejora de comodidad para usuarios domésticos, sino también una herramienta valiosa para profesionales y administradores de sistemas.
Entre los beneficios más destacados se encuentran:

• Ahorro de tiempo: Permite configurar una nueva PC con las aplicaciones básicas (navegador, editor de texto, reproductores, herramientas de productividad, etc.) en una sola ejecución.
• Mayor seguridad: Todas las descargas provienen directamente de la Microsoft Store, lo que garantiza la integridad del software.
• Facilidad de uso: No requiere conocimientos técnicos avanzados; basta con seleccionar las apps y ejecutar el instalador.
• Automatización básica: Aunque aún no es tan avanzada como las soluciones empresariales de despliegue de software, puede ser una opción útil para pequeñas oficinas o usuarios que reinstalan Windows con frecuencia.

Un paso hacia un ecosistema más automatizado

Esta función refleja la intención de Microsoft de competir directamente con administradores de paquetes de terceros y con sistemas más automatizados como Winget, el gestor de paquetes oficial de Windows introducido en versiones anteriores del sistema operativo.

Al integrar la opción de instalación múltiple directamente desde la web, Microsoft acerca al usuario promedio una herramienta poderosa que antes estaba reservada a profesionales o entornos corporativos, reforzando su apuesta por la accesibilidad y la productividad.

Una actualización pequeña, pero muy útil

La llegada de la instalación múltiple a la Microsoft Store en la web es una mejora silenciosa pero significativa para el ecosistema de Windows 11. Aunque todavía está en una fase inicial con ciertas limitaciones, simplifica de forma notable la experiencia del usuario al configurar nuevas máquinas o reinstalar el sistema operativo.

Microsoft demuestra así su compromiso con la optimización de la experiencia digital, eliminando pasos innecesarios y haciendo que la instalación de software sea más rápida, segura y eficiente.

A medida que la función se amplíe para incluir más aplicaciones y se integre en la tienda de escritorio, podría convertirse en una de las herramientas más prácticas de Windows 11 para usuarios, empresas y profesionales de TI por igual.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hyundai AutoEver America (HAEA) ha confirmado que fue víctima de un ciberataque que comprometió su entorno de tecnología de la información (TI), exponiendo potencialmente información personal sensible de empleados y usuarios. La filial del Hyundai Motor Group, especializada en soluciones de TI para la industria automotriz, informó que descubrió la intrusión el 1 de marzo de 2025, aunque los atacantes ya habían tenido acceso a sus sistemas desde el 22 de febrero.

Detalles del ataque cibernético a Hyundai AutoEver America

Según la notificación oficial emitida por la compañía, el equipo de seguridad detectó la actividad no autorizada en su infraestructura digital a inicios de marzo. Inmediatamente después del hallazgo, HAEA inició una investigación forense interna con el apoyo de expertos externos en ciberseguridad, además de colaborar con las fuerzas del orden para determinar el alcance del ataque y contener la amenaza.

El comunicado señala que la última actividad maliciosa registrada ocurrió el 2 de marzo de 2025, apenas un día después de la detección inicial. Esto indica que los atacantes estuvieron dentro de los sistemas durante al menos nueve días, tiempo suficiente para acceder, copiar o exfiltrar información confidencial.

Qué datos fueron comprometidos

Aunque la muestra de la carta de notificación enviada a los afectados solo menciona nombres, el portal del gobierno de Massachusetts amplía la información, indicando que los ciberdelincuentes también podrían haber accedido a números de Seguro Social (SSN) y licencias de conducir.

Hasta el momento, no se ha confirmado si los afectados son exclusivamente empleados, contratistas o también clientes y socios comerciales. La compañía no ha publicado una cifra exacta sobre la cantidad de personas impactadas, lo que deja abierta la posibilidad de que el incidente tenga un alcance considerable, dado el tamaño y operaciones de Hyundai AutoEver America.

Quién es Hyundai AutoEver America y por qué es un objetivo atractivo

Hyundai AutoEver America es una pieza clave dentro del Hyundai Motor Group, responsable de ofrecer soluciones tecnológicas avanzadas a filiales de Hyundai y Kia. Sus servicios abarcan desde la consultoría de TI y soporte técnico hasta el desarrollo de plataformas de fabricación digital, telemática vehicular, actualizaciones OTA (Over-The-Air), sistemas integrados y tecnologías de conducción autónoma.

Con más de 5,000 empleados, 2 millones de usuarios y una red que abarca 2.7 millones de automóviles conectados, los sistemas de Hyundai AutoEver America representan un objetivo altamente valioso para los ciberdelincuentes, especialmente aquellos interesados en robar datos de usuarios, credenciales de acceso, o información técnica sensible de los vehículos.

Silencio de Hyundai y sin rastro de ransomware

Hasta el momento, ningún grupo de ransomware se ha adjudicado la autoría del ataque, lo que deja abierta la hipótesis de que se trate de una intrusión silenciosa y planificada, orientada más al robo de datos que a la extorsión directa.

Medios especializados como BleepingComputer intentaron comunicarse con Hyundai AutoEver America y con la casa matriz Hyundai Motor Group para obtener más información sobre la magnitud del incidente, pero no hubo declaraciones oficiales al cierre del reporte.

Historial de ciberataques contra Hyundai y sus filiales

Este no es el primer episodio de ciberseguridad que afecta al conglomerado surcoreano. En los últimos años, Hyundai ha sido blanco de varios ataques significativos:

• En 2023, el grupo de ransomware Black Basta atacó las operaciones europeas del fabricante, paralizando temporalmente algunas plantas y servicios digitales.
• En 2024, se registró una violación de datos que afectó a propietarios de vehículos en Italia y Francia, exponiendo información personal y técnica.
• Investigadores de seguridad también identificaron vulnerabilidades críticas en la aplicación móvil de Hyundai y Kia, que permitían control remoto no autorizado de vehículos, encendido del motor o apertura de puertas.
• Además, recientes informes señalaron que los sistemas antirrobo incorporados en varios modelos Hyundai eran ineficaces ante ataques digitales, lo que generó críticas por parte de expertos en ciberseguridad automotriz.

Estos antecedentes consolidan a Hyundai como una marca constantemente bajo amenaza de actores maliciosos, interesados tanto en el robo de información corporativa como en la explotación de vulnerabilidades de sus vehículos conectados.

Impacto potencial y medidas preventivas

Aunque HAEA aseguró haber contenido la intrusión y reforzado sus protocolos de seguridad, la exposición de datos personales como números de Seguro Social o licencias de conducir puede tener consecuencias graves, incluyendo robo de identidad, fraudes financieros y ataques de ingeniería social.

Los expertos recomiendan a las personas potencialmente afectadas monitorear su crédito, activar alertas de fraude y cambiar contraseñas o credenciales vinculadas a los servicios de Hyundai o Kia.

Asimismo, el incidente resalta la urgencia de fortalecer la ciberseguridad en la industria automotriz, un sector que depende cada vez más de los datos digitales, la conectividad y las actualizaciones remotas.

En fin...

El ataque contra Hyundai AutoEver America representa otro recordatorio del creciente riesgo cibernético que enfrentan los fabricantes de automóviles conectados. A medida que la tecnología avanza hacia la automatización y la conducción autónoma, las superficies de ataque se amplían y la protección de la infraestructura digital se convierte en una prioridad crítica.

Hyundai deberá no solo reforzar sus defensas, sino también recuperar la confianza de sus empleados, clientes y socios, demostrando transparencia y compromiso frente a una amenaza que sigue evolucionando.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El equipo de desarrollo de Xubuntu, una de las distribuciones derivadas oficiales de Ubuntu, ha confirmado que su sitio web oficial (xubuntu.org) fue comprometido recientemente, provocando la distribución de archivos maliciosos a través de su sección de descargas. Este incidente de seguridad, considerado grave por los propios desarrolladores, afectó directamente a los usuarios que intentaron descargar la distribución durante los últimos días.

Lo más preocupante es que no es el primer ataque que sufre el proyecto en los últimos meses, lo que plantea serias dudas sobre la seguridad de la infraestructura web de las distribuciones derivadas de Ubuntu.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login comprometido: malware en las descargas

Según los primeros informes publicados por la comunidad en Reddit, el ataque más reciente permitió que los torrents oficiales de Xubuntu distribuyeran archivos infectados con malware de criptominería, específicamente diseñados para sistemas Windows.
Los usuarios afectados detectaron el problema al notar comportamientos anómalos y alertas de seguridad en sus equipos después de ejecutar los instaladores descargados desde la página oficial.

CitarEn un mensaje publicado en Mastodon, Sean Davis, uno de los desarrolladores principales de Xubuntu, confirmó el incidente:

"Lo es. Estamos trabajando con el equipo de Canonical IS para resolverlo. Como los servidores no nos pertenecen, podemos hacer poco. Hemos retirado la página de descargas y aceleraremos la migración a un sitio estático para sustituir nuestra vieja instancia de WordPress."

Segundo ataque en menos de dos meses

Este no es el primer incidente que afecta al proyecto. En septiembre, Xubuntu ya había sido víctima de un ataque menor que comprometió el blog del sitio, mostrando anuncios de casinos y contenido spam. Aunque en esa ocasión el daño fue superficial, el nuevo ataque representa una amenaza más seria, pues involucra malware activo distribuido desde los propios servidores oficiales.

La página de descargas permanece fuera de servicio, mientras que el blog y otras secciones del portal muestran signos de actividad irregular o falta de mantenimiento. El equipo ha confirmado que trabajan junto a Canonical, la empresa matriz de Ubuntu, para restaurar el sitio y fortalecer las medidas de seguridad.

Limitaciones del proyecto y vulnerabilidad en la infraestructura

Uno de los factores más problemáticos de este incidente es que el equipo de Xubuntu no tiene control directo sobre los servidores que alojan su sitio web, ya que estos dependen de la infraestructura de Canonical.
Esto ha dificultado la reacción inmediata ante los ataques, así como la aplicación de medidas preventivas, actualizaciones de seguridad o mantenimiento regular del CMS (WordPress) utilizado por el proyecto.

En palabras del propio Davis, el equipo está migrando el sitio hacia una versión estática, eliminando la dependencia de WordPress para reducir la superficie de ataque y evitar vulnerabilidades comunes en sistemas dinámicos.

Este movimiento es una tendencia cada vez más adoptada por proyectos de código abierto, ya que los sitios estáticos son más seguros, ligeros y difíciles de comprometer, al no depender de bases de datos o plugins externos susceptibles de ataques.

Un ataque en el peor momento: lanzamiento de Xubuntu 25.10

El momento del ataque no podría haber sido peor. Coincidió con el lanzamiento oficial de Xubuntu 25.10, una versión clave que llegó en plena ola de interés por Linux debido al fin de soporte de Windows 10.
Miles de usuarios potenciales, motivados por la búsqueda de alternativas seguras y gratuitas, pudieron haber intentado descargar la distribución justo cuando el sitio estaba comprometido, exponiéndose al riesgo de descargar instaladores falsos o infectados.

Los atacantes, plenamente conscientes de esta coyuntura, habrían aprovechado la oportunidad para insertar malware de criptominería en los archivos torrent, una técnica cada vez más común en campañas dirigidas contra usuarios que descargan software legítimo desde fuentes oficiales.

Riesgos del malware distribuido

Aunque el equipo de Xubuntu afirma que no se han reportado víctimas confirmadas ni daños permanentes en la infraestructura, los expertos advierten que los usuarios de Windows que ejecutaron los archivos comprometidos podrían haber instalado inadvertidamente software de minería de criptomonedas o puertas traseras (backdoors) que permiten el control remoto del sistema.

Estos programas maliciosos suelen consumir grandes recursos del CPU y GPU, ralentizando el equipo y aprovechando la energía del dispositivo para minar criptomonedas, sin que el usuario lo note.

Hasta el momento, los usuarios de Linux no se han visto afectados directamente, aunque se recomienda verificar la integridad de cualquier archivo descargado de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login durante las últimas semanas y eliminar de inmediato cualquier versión sospechosa.

Recomendaciones de seguridad

El equipo de Xubuntu y la comunidad de seguridad recomiendan tomar las siguientes medidas para evitar riesgos:

• No descargar ningún archivo desde la web oficial de Xubuntu hasta nuevo aviso.
• Evitar torrents recientes asociados con la versión 25.10 hasta que el equipo confirme su autenticidad.
• Verificar los hashes y firmas digitales de las imágenes ISO antes de ejecutar cualquier instalación.
• Usar software antivirus y antimalware actualizado si se descargó algún archivo desde el sitio comprometido.
• Esperar a la restauración del sitio web seguro o descargar versiones oficiales a través de los repositorios de Canonical.

Estas medidas son esenciales para prevenir infecciones y garantizar que los usuarios instalen únicamente versiones legítimas y seguras del sistema operativo.

Canonical bajo presión y el reto de la seguridad en el software libre

Este incidente pone de manifiesto los desafíos de seguridad que enfrentan las distribuciones derivadas de Ubuntu, que dependen de la infraestructura central de Canonical pero no tienen control administrativo directo sobre sus servidores.
La comunidad ha solicitado una revisión más profunda de los protocolos de seguridad y un mayor grado de autonomía para los equipos responsables de proyectos como Xubuntu, Kubuntu o Lubuntu.

La transparencia y rapidez en la comunicación de este tipo de fallos también es clave para preservar la confianza en el ecosistema Linux, especialmente en un momento donde miles de usuarios están migrando desde Windows hacia distribuciones de código abierto.

En fin...

El ataque al sitio oficial de Xubuntu sirve como un recordatorio de que ningún ecosistema digital está exento de vulnerabilidades, incluso en el mundo del software libre. La rápida respuesta del equipo y la decisión de migrar hacia una infraestructura más segura muestran el compromiso con la comunidad, pero también la necesidad urgente de reforzar las medidas de ciberseguridad en proyectos open source.

El incidente, ocurrido en pleno auge de la migración a Linux tras el fin de Windows 10, deja una lección clara: la confianza del usuario depende tanto del código como de la seguridad del entorno que lo distribuye.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La despedida oficial de Windows 10 marca un antes y un después en la industria tecnológica. El 14 de octubre de 2025, Microsoft dio por finalizado el soporte para millones de usuarios, lo que ha impulsado un movimiento de transición hacia sistemas operativos alternativos, especialmente Linux, que está experimentando un renovado interés entre quienes buscan una opción estable, segura y libre de licencias costosas.

Mientras Microsoft cerraba el ciclo de vida de Windows 10 y versiones de Office 2016 y 2019, el ecosistema Linux aprovechó el momento para atraer a nuevos usuarios con propuestas más accesibles y visualmente familiares, destacando lanzamientos clave como Zorin OS 18 y ONLYOFFICE Docs 9.1.

Zorin OS 18: una puerta abierta para los usuarios de Windows

Coincidiendo con el fin de soporte de Windows 10, la llegada de Zorin OS 18 no fue casualidad. Esta distribución, basada en Ubuntu, está diseñada específicamente para facilitar la migración de usuarios provenientes de Windows, ofreciendo una interfaz intuitiva, soporte para aplicaciones populares y una integración fluida con herramientas ofimáticas y servicios en la nube.

Zorin OS ha ganado popularidad gracias a su entorno visual similar a Windows, lo que minimiza la curva de aprendizaje. Los usuarios pueden elegir entre estilos de escritorio que emulan tanto Windows 10 como Windows 11, e incluso macOS, lo que convierte a esta distribución en una de las más versátiles para quienes buscan cambiar de sistema operativo sin complicaciones.

Además, Zorin OS 18 incluye mejoras en rendimiento, compatibilidad con hardware moderno, un centro de software renovado y mayor seguridad a nivel de kernel, lo que la posiciona como una de las mejores opciones para quienes buscan un sistema Linux listo para usar desde el primer arranque.

ONLYOFFICE Docs 9.1: el reemplazo natural de Microsoft Office

Otra pieza importante en esta transición es la nueva versión de ONLYOFFICE Docs 9.1, que también se lanzó el 14 de octubre, el mismo día en que Microsoft retiró el soporte para Office 2016 y 2019.
Esta herramienta de productividad, totalmente compatible con los formatos de Word, Excel y PowerPoint, ofrece una alternativa sólida a la suite de Microsoft, tanto en entornos empresariales como personales.

Para quienes prefieren trabajar sin conexión, la versión ONLYOFFICE Desktop Editors 9.1 permite editar documentos de manera local con una interfaz moderna, limpia y muy similar a la de Office, garantizando una transición sin fricciones para los nuevos usuarios de Linux.

KDE Plasma 6.6: un guiño a los usuarios de Windows con el comando "winver"

En el mundo del escritorio Linux, KDE Plasma continúa avanzando hacia una experiencia más accesible y adaptable.
La próxima versión, KDE Plasma 6.6, incorporará una curiosidad que, aunque parezca menor, simboliza el esfuerzo por acercar el entorno Linux al universo Windows: la implementación del comando "winver".

En Windows, el comando "winver" permite consultar información del sistema operativo. Ahora, KDE incluirá una función equivalente que, al buscar "winver" en el menú de aplicaciones o en KRunner, mostrará la ventana "Acerca de este sistema", con detalles técnicos del software y hardware.
Aunque se trata de una característica simbólica, representa el interés de la comunidad KDE por facilitar la familiaridad y adaptación de quienes migran desde Windows.

La versión actual, KDE Plasma 6.5, se lanzó recientemente y ya ha introducido mejoras importantes en rendimiento y gestión de recursos. Sin embargo, la próxima actualización promete una integración más profunda entre usabilidad, personalización y compatibilidad multiplataforma.

La madurez del escritorio Linux y el cambio de paradigma

Durante años, Linux fue percibido como un sistema complejo, orientado a usuarios técnicos. Sin embargo, esa imagen ha cambiado radicalmente.
Distribuciones modernas como Zorin OS, Ubuntu, Fedora o Linux Mint ofrecen entornos de escritorio pulidos, intuitivos y con soporte para controladores, juegos, y aplicaciones profesionales, gracias a avances en Proton, Flatpak, Snap y Wayland.

Hoy, Linux no solo es una alternativa viable, sino también una opción estratégica para empresas y usuarios domésticos preocupados por la privacidad, el control de datos y la independencia tecnológica.
El aumento en las descargas de distribuciones Linux tras el fin del soporte de Windows 10 sugiere un creciente interés por la adopción de software libre, impulsado tanto por la comunidad como por empresas que buscan reducir costos de licencias.

Desafíos y oportunidades en la era post-Windows 10

A pesar del entusiasmo, todavía existen desafíos. Muchos usuarios aún dependen de aplicaciones exclusivas de Windows o de entornos corporativos donde la migración es compleja. Sin embargo, con el avance de tecnologías como Wine, Bottles y Proton, la compatibilidad entre plataformas es cada vez mayor.

La pregunta que surge es: ¿ha hecho Linux lo suficiente para atraer al usuario promedio de Windows?
Todo apunta a que sí. Con interfaces cada vez más amigables, instaladores sencillos, soporte comercial profesional y comunidades activas, Linux se ha consolidado como un ecosistema maduro y preparado para recibir a quienes buscan estabilidad, seguridad y libertad digital.

En fin...

El fin de Windows 10 no marca solo el cierre de una era, sino el inicio de una transición digital hacia Linux, un sistema operativo que ha evolucionado para satisfacer tanto las necesidades de los usuarios domésticos como las de las empresas modernas.
Con Zorin OS 18, ONLYOFFICE 9.1 y KDE Plasma 6.6, el ecosistema Linux demuestra que está listo para competir de tú a tú con Microsoft, ofreciendo libertad, seguridad y eficiencia en un entorno cada vez más conectado.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo tipo de ataque cibernético híbrido está poniendo en riesgo a la industria del transporte y la logística. Según la firma de seguridad Proofpoint, actores de amenazas están lanzando campañas dirigidas contra corredores de carga, transportistas y proveedores de la cadena de suministro, utilizando correos electrónicos maliciosos y enlaces falsos para instalar herramientas de administración y monitoreo remoto (RMM).
Estas herramientas, como ScreenConnect, NetSupport o SimpleHelp, permiten a los atacantes tomar el control de sistemas empresariales, interceptar comunicaciones legítimas y robar carga física de alto valor.

Robo de carga digitalizado: el crimen físico se fusiona con el ciberataque

El robo de carga tradicional, que solía involucrar el secuestro de camiones o la suplantación de empresas de transporte, ha evolucionado hacia una nueva modalidad digital. Los delincuentes ahora explotan vulnerabilidades tecnológicas para manipular sistemas logísticos y desviar envíos reales sin necesidad de violencia física.

La Oficina Nacional de Delitos de Seguros (NICB) estima que las pérdidas por robo de carga en Estados Unidos ascienden a más de 35 mil millones de dólares anuales. Pero con la creciente digitalización del sector, los ciberdelincuentes están encontrando nuevas oportunidades en los sistemas de gestión de flotas y plataformas de corretaje de carga.

Una campaña en expansión desde enero

Los investigadores de Proofpoint rastrearon estas operaciones hasta enero de 2025, observando un aumento significativo desde junio y más de dos docenas de campañas activas desde agosto.
Cada ataque incluye hasta mil correos electrónicos maliciosos, enviados principalmente a empresas de transporte norteamericanas, aunque también se han registrado incidentes en Brasil, México, India, Alemania, Chile y Sudáfrica.

Los atacantes utilizan cuentas comprometidas en tableros de carga para publicar listados fraudulentos o secuestran hilos de correo electrónico de corredores y despachadores legítimos. De este modo, redirigen a las víctimas a sitios web falsos que imitan portales de transporte conocidos, donde se alojan descargas de archivos ejecutables (.EXE o .MSI) que instalan software RMM.

Cómo funciona el ataque: del phishing a la intrusión total

El proceso inicia con un correo electrónico de ingeniería social, cuidadosamente diseñado para simular una negociación urgente de carga o una comunicación rutinaria entre socios logísticos. Los ciberdelincuentes muestran un conocimiento profundo de la jerga, los procesos y la estructura de la industria, lo que genera confianza y reduce las sospechas.

Una vez que la víctima accede al enlace o descarga el archivo adjunto, se instala una herramienta RMM legítima como ScreenConnect, PDQ Connect, Fleetdeck, N-able o LogMeIn Resolve.
Estas aplicaciones, aunque diseñadas para soporte remoto, se convierten en puertas traseras que otorgan control total al atacante.

Desde ahí, los delincuentes pueden:

• Acceder al sistema del despachador o corredor.
• Modificar o eliminar notificaciones de reserva.
• Añadir sus propios dispositivos a las extensiones telefónicas corporativas.
• Reservar cargas en nombre de la empresa comprometida.
• Interceptar o redirigir envíos físicos de productos valiosos como alimentos, bebidas o electrónicos.

Proofpoint detalla que en algunos casos PDQ Connect descarga automáticamente ScreenConnect y SimpleHelp, combinando capacidades para maximizar el acceso remoto y el control del entorno.

Una vez dentro, los atacantes realizan reconocimiento de la red y despliegan herramientas como WebBrowserPassView para robar credenciales y explorar más profundamente los sistemas internos.

Colaboración entre ciberdelincuentes y crimen organizado

Los investigadores sospechan que los grupos detrás de estas operaciones colaboran con redes criminales físicas que se encargan de interceptar la carga real. La información obtenida digitalmente —rutas, horarios y tipo de mercancía— les permite seleccionar los envíos más rentables y ejecutar robos precisos y difíciles de rastrear.

Una empresa víctima relató a Proofpoint que su despachador fue engañado para instalar una de estas herramientas RMM. Los atacantes eliminaron los correos de confirmación y se adueñaron de la línea telefónica corporativa, haciéndose pasar por representantes oficiales ante los corredores y confirmando cargas falsas.

Citar"Usaron nuestro correo electrónico y número MC registrado ante la FMCSA. Cuando los corredores llamaban, ellos respondían como si fueran nosotros, verificaban todo y obtenían las cargas", explicó un representante afectado.

De esta forma, las cargas fueron secuestradas o desviadas hacia destinos no autorizados, donde los productos fueron revendidos en línea o exportados ilegalmente.

Variantes detectadas y malware complementario

Aunque los ataques documentados utilizan principalmente herramientas RMM, Proofpoint identificó campañas relacionadas que implementan ladrones de información como NetSupport, DanaBot, Lumma Stealer y StealC.
Estos programas permiten robar contraseñas, cookies y datos de sesión de navegadores, lo que amplía las posibilidades del atacante para comprometer cuentas adicionales dentro del ecosistema logístico.

Sin embargo, hasta el momento no se ha podido atribuir esta actividad a un grupo o clúster específico, lo que sugiere la participación de múltiples actores oportunistas o de asociaciones criminales temporales enfocadas en obtener beneficios rápidos mediante la venta o redirección de carga.

Medidas de protección y mitigación

Proofpoint y expertos en ciberseguridad recomiendan a las empresas del sector transporte y logística implementar medidas estrictas para evitar la instalación no autorizada de software remoto y proteger sus comunicaciones corporativas. Entre las defensas sugeridas se incluyen:

• Restringir la instalación de herramientas RMM no aprobadas por el área de TI.
• Monitorear la actividad de red en busca de conexiones inusuales hacia dominios externos.
• Bloquear archivos adjuntos .EXE y .MSI en los filtros de correo electrónico.
• Implementar autenticación multifactor (MFA) en cuentas críticas.
• Capacitar al personal para reconocer intentos de phishing y correos fraudulentos.

Además, las organizaciones deben verificar cuidadosamente las solicitudes de carga o negociación, especialmente cuando provienen de cuentas o direcciones que parecen legítimas pero muestran cambios sutiles en el dominio o el formato del mensaje.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha confirmado oficialmente un problema conocido en Windows 11 que afecta a los usuarios que instalaron la actualización opcional de octubre de 2025 (KB5067036). Este fallo provoca que el Administrador de tareas permanezca ejecutándose en segundo plano incluso después de cerrarlo, generando un consumo innecesario de recursos del sistema y, en algunos casos, ralentizaciones y bloqueos del CPU.

Un fallo persistente tras la actualización KB5067036

De acuerdo con Microsoft, el error se manifiesta cuando el usuario intenta cerrar el Administrador de tareas mediante el botón "Cerrar" (X). Aunque aparentemente la ventana desaparece, el proceso taskmgr.exe continúa activo en segundo plano. Esto genera múltiples instancias del Administrador de tareas, lo que puede afectar significativamente el rendimiento del sistema en dispositivos menos potentes o cuando se acumulan demasiadas ejecuciones simultáneas.

CitarSegún el comunicado oficial de la compañía:

"Después de instalar las actualizaciones de Windows publicadas a partir del 28 de octubre de 2025 (KB5067036), es posible que cerrar el Administrador de tareas con el botón Cerrar (X) no finalice completamente el proceso. Cuando se vuelve a abrir, la instancia anterior continúa ejecutándose en segundo plano aunque no haya ninguna ventana visible."

Este error ha sido identificado como una falla del proceso taskmgr.exe, que permanece activo incluso después de cerrarse, apareciendo en la pestaña Procesos como "Administrador de tareas" y en la pestaña Detalles como "taskmgr.exe".

Aunque Microsoft aclara que tener unas pocas instancias activas no genera un impacto relevante, la acumulación de múltiples procesos puede causar lentitud, alto uso del CPU y bloqueos intermitentes de otras aplicaciones.

Impacto en el rendimiento y en la experiencia del usuario

El Administrador de tareas de Windows 11 es una herramienta esencial para diagnosticar y gestionar los recursos del sistema. Por tanto, un fallo que impide su cierre correcto puede interferir en tareas críticas, como la supervisión del rendimiento o la finalización de procesos colgados.

Usuarios afectados reportan ralentizaciones perceptibles, tartamudeos del sistema e incluso bloqueos del escritorio cuando decenas de instancias de taskmgr.exe permanecen activas. Esto se debe a que cada proceso adicional consume memoria RAM y ciclos de CPU, lo que reduce el rendimiento global del sistema operativo.

El fallo se ha observado en diferentes ediciones de Windows 11, especialmente en las versiones que instalaron la actualización opcional KB5067036, liberada el 28 de octubre de 2025 como parte de la actualización de vista previa no relacionada con seguridad.

• Actualización KB5067036: mejoras y otros cambios incluidos
• A pesar de este fallo, la actualización KB5067036 trajo varias mejoras importantes al sistema operativo Windows 11. Entre ellas destacan:
• Actualización del menú Inicio, que incluye una interfaz más moderna y fluida.
• Implementación progresiva de la función "Protección del administrador", una capa adicional de seguridad para prevenir accesos no autorizados.
• Corrección de la herramienta de creación de medios (MCT), que había dejado de funcionar en algunos equipos con Windows 10 y Windows 11 ARM64.
• Solución a errores 0x800F081F que afectaban a la instalación de actualizaciones acumulativas en sistemas Windows 11 24H2.

Sin embargo, dado que se trata de una actualización opcional, su instalación requiere intervención manual mediante el botón "Descargar e instalar" en Windows Update, a menos que el usuario tenga habilitada la opción "Obtener las últimas actualizaciones tan pronto como estén disponibles".

Microsoft trabaja en una solución definitiva

Microsoft ha confirmado que su equipo de ingenieros ya está investigando la causa raíz del error y que se lanzará una actualización correctiva en las próximas semanas. Se espera que esta solución forme parte del parche acumulativo de noviembre o diciembre de 2025, junto con otras mejoras de estabilidad y rendimiento del sistema.

Mientras tanto, la empresa recomienda aplicar el comando de cierre manual para evitar el consumo excesivo de recursos y mantener el sistema actualizado únicamente con versiones estables, evitando las compilaciones de vista previa en entornos de producción.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login