Una reciente investigación de la firma de seguridad en la nube Wiz ha revelado una grave vulnerabilidad en el ecosistema de Visual Studio Code (VS Code): los editores de más de 100 extensiones filtraron tokens de acceso personales (PAT), lo que podría haber permitido a actores maliciosos modificar o actualizar extensiones legítimas con código malicioso. Esta filtración representa una amenaza directa a la seguridad de la cadena de suministro de software y a millones de desarrolladores que utilizan VS Code en todo el mundo.

Según el investigador de seguridad Rami McCarthy, un token filtrado de VS Code Marketplace o de Open VSX permitiría a un atacante distribuir actualizaciones maliciosas directamente a toda la base instalada. De haberse explotado, el ataque podría haber comprometido más de 150,000 instalaciones activas de extensiones.

Filtración de secretos y tokens en extensiones VS Code

El informe detalla que muchos desarrolladores no consideraron que los archivos .vsix —formato de distribución de las extensiones— pueden descomprimirse e inspeccionarse, lo que deja expuestos secretos codificados, como claves de acceso o credenciales privadas.

En total, Wiz identificó más de 550 secretos válidos distribuidos entre más de 500 extensiones de cientos de editores distintos, pertenecientes a 67 tipos diferentes de secretos. Estos incluían:

• Tokens de API de inteligencia artificial, asociados con OpenAI, Gemini, Anthropic, XAI, DeepSeek, Hugging Face y Perplexity.
• Credenciales de servicios en la nube, como AWS, Google Cloud, GitHub, Stripe y Auth0.
• Claves de bases de datos de plataformas como MongoDB, PostgreSQL y Supabase.

Más de 100 extensiones filtraron tokens de acceso personales (PAT) de VS Code Marketplace, con una base combinada de 85,000 instalaciones. Otras 30 extensiones expusieron tokens de Open VSX, afectando a más de 100,000 instalaciones adicionales. Sorprendentemente, muchas de estas extensiones eran simples temas o personalizaciones estéticas.

Riesgo para las plataformas impulsadas por IA

El riesgo se amplifica debido a la integración de Open VSX en bifurcaciones impulsadas por inteligencia artificial (IA), como Cursor y Windsurf, lo que multiplica la superficie de ataque. Wiz incluso identificó un token filtrado que podría haber permitido distribuir malware a una mega corporación china con una capitalización de mercado de 30 mil millones de dólares, lo que demuestra que la amenaza no se limita a usuarios individuales, sino también a entornos corporativos críticos.

Respuesta de Microsoft y medidas de mitigación

Tras la divulgación responsable de Wiz a Microsoft entre marzo y abril de 2025, la compañía revocó los tokens filtrados y anunció la integración de capacidades automáticas de escaneo de secretos. Esta función permitirá bloquear extensiones comprometidas y notificar a los desarrolladores cuando se detecten credenciales incrustadas en el código.

Mientras tanto, Wiz recomienda a los usuarios de VS Code que:

• Reduzcan el número de extensiones instaladas.
• Verifiquen cuidadosamente las extensiones antes de instalarlas.
• Desactiven las actualizaciones automáticas en entornos sensibles.
• Implementen listas de extensiones permitidas dentro de las organizaciones.

El informe subraya que estos hallazgos "refuerzan los riesgos continuos asociados con la cadena de suministro de software y validan la necesidad de controles más estrictos en todos los repositorios de paquetes".

TigerJack: la amenaza persistente en VS Code Marketplace

A la par del descubrimiento de Wiz, Koi Security ha revelado detalles sobre un actor de amenazas conocido como TigerJack, responsable de una campaña coordinada para publicar extensiones maliciosas en VS Code Marketplace desde principios de 2025.

Bajo múltiples identidades —ab-498, 498 y 498-00—, el grupo ha distribuido al menos 11 extensiones maliciosas, diseñadas para robar código fuente, minar criptomonedas y establecer puertas traseras para control remoto de sistemas.

Entre las más descargadas se encuentran C++ Playground y HTTP Format, que alcanzaron más de 17,000 descargas antes de su eliminación del Marketplace oficial. Sin embargo, ambas siguen disponibles en Open VSX, y los atacantes incluso republicaron el código malicioso el 17 de septiembre de 2025 bajo nuevos nombres.

Funcionalidad legítima con fines ocultos

Lo más alarmante es que las extensiones maliciosas funcionaban correctamente, lo que les permitió pasar desapercibidas entre los usuarios.

• C++ Playground registraba pulsaciones de teclas en tiempo real para robar código fuente.
• HTTP Format ejecutaba el minero CoinIMP para extraer criptomonedas de forma oculta.
• Otras variantes, como pythonformat, actuaban como puertas traseras, descargando y ejecutando código JavaScript arbitrario desde un servidor remoto cada 20 minutos.

Esto les permite inyectar ransomware, robar credenciales o claves API y usar las máquinas de los desarrolladores como punto de entrada a redes corporativas.

Microsoft y el desafío de los mercados paralelos

Microsoft asegura que su Marketplace oficial cuenta con un proceso de análisis multicapa que incluye pruebas en entornos aislados y análisis periódicos en busca de comportamientos maliciosos. Sin embargo, advierte que estas protecciones no se extienden a Open VSX, lo que deja una brecha significativa en la seguridad del ecosistema.

CitarEn palabras de Koi Security:

"El panorama de seguridad fragmentado entre distintos mercados crea puntos ciegos que los actores de amenazas sofisticados ya están explotando. Mientras la seguridad opere en silos, los atacantes seguirán migrando entre plataformas".

Refuerzo urgente de la seguridad en VS Code

El hallazgo de Wiz y las campañas de TigerJack demuestran que las extensiones de VS Code se han convertido en un vector crítico de ataque dentro de la cadena de suministro de software. La filtración de tokens y la publicación de extensiones maliciosas subrayan la necesidad de una supervisión más estricta, mejores prácticas de desarrollo seguro y coordinación entre plataformas.

En un entorno donde las herramientas de desarrollo están cada vez más interconectadas, la seguridad de los repositorios —incluidos VS Code Marketplace y Open VSX— es esencial para proteger tanto a los desarrolladores como a las organizaciones que dependen de ellas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La compañía estadounidense de ciberseguridad F5 Networks confirmó una violación de seguridad que resultó en el robo de parte del código fuente de su producto insignia BIG-IP, junto con información técnica sobre vulnerabilidades no divulgadas públicamente.
El incidente, que salió a la luz el 9 de agosto de 2025, fue atribuido a un actor de amenazas de estado-nación altamente sofisticado, capaz de mantener acceso persistente y sigiloso durante un periodo prolongado.

Este ciberataque, revelado oficialmente mediante una presentación del Formulario 8-K ante la Comisión de Bolsa y Valores de Estados Unidos (SEC), marca uno de los incidentes más serios sufridos por F5, cuyos productos son esenciales para la infraestructura digital de miles de empresas y gobiernos en todo el mundo.

Un ataque avanzado con sello de espionaje estatal

F5 informó que los atacantes lograron infiltrarse en su entorno de desarrollo de productos BIG-IP, comprometiendo archivos internos que contenían fragmentos de código fuente y detalles sobre vulnerabilidades aún no parcheadas.
Si bien la compañía no especificó la duración exacta del acceso no autorizado, confirmó que el actor mantuvo presencia prolongada y control sostenido dentro de la red antes de ser detectado.

En su comunicado, F5 calificó al adversario como un "actor de amenazas de estado-nación altamente sofisticado", lo que sugiere una operación planificada, con amplios recursos técnicos y un objetivo de espionaje o sabotaje digital más allá del simple lucro económico.

Citar"Hemos tomado medidas exhaustivas para contener al actor de amenazas", señaló la empresa. "Desde que iniciamos estas actividades, no hemos observado nuevas intrusiones y creemos que nuestros esfuerzos de contención han sido exitosos".

Sin evidencia de explotación activa de vulnerabilidades

De acuerdo con F5, hasta el momento no hay evidencia de que las vulnerabilidades extraídas durante el ataque hayan sido explotadas activamente contra clientes o infraestructuras externas.
Asimismo, la compañía aseguró que los sistemas críticos de negocio, incluyendo los de gestión financiera, soporte técnico (CRM), iHealth y administración de casos, no fueron comprometidos durante el incidente.

Sin embargo, F5 reconoció que una parte de los archivos exfiltrados contenía información de configuración e implementación relacionada con un pequeño porcentaje de clientes.
La empresa anunció que notificará individualmente a los clientes afectados tras una revisión exhaustiva de los datos sustraídos.

Respuesta inmediata: Mandiant y CrowdStrike lideran la investigación

Tras descubrir la intrusión, F5 activó un protocolo de respuesta a incidentes de alta prioridad.
Para reforzar la investigación y contención del ataque, la compañía contrató los servicios de Google Mandiant y CrowdStrike, dos de las firmas de ciberseguridad más prestigiosas del mundo, especializadas en ataques patrocinados por estados y amenazas persistentes avanzadas (APT).

Entre las medidas adoptadas por F5 se incluyen:

• Rotación completa de credenciales internas y de desarrollo.
• Refuerzo de los controles de acceso a entornos sensibles.
• Implementación de herramientas avanzadas de monitoreo y detección de amenazas.
• Aislamiento de servidores comprometidos y análisis forense integral.
• Reforzamiento del entorno de desarrollo de BIG-IP con nuevas capas de seguridad.
• Revisión y endurecimiento de la arquitectura de red corporativa.

La compañía afirmó que ha mejorado sus procesos de auditoría interna y establecido barreras adicionales de segmentación entre los entornos de desarrollo, pruebas y producción, reduciendo el riesgo de futuras intrusiones.

BIG-IP, un objetivo crítico para los atacantes

Los productos BIG-IP son ampliamente utilizados por empresas Fortune 500, agencias gubernamentales, proveedores de servicios en la nube y entidades financieras.
Estas soluciones ofrecen balanceo de carga, seguridad de aplicaciones, control de acceso y protección frente a ataques DDoS, lo que las convierte en piezas esenciales de la ciberinfraestructura moderna.

Dada su relevancia, los entornos BIG-IP y BIG-IQ han sido objetivo recurrente de actores maliciosos.
En años anteriores, F5 ya enfrentó vulnerabilidades críticas, como las catalogadas bajo los identificadores CVE-2020-5902 y CVE-2022-1388, ambas explotadas activamente por grupos de hackers estatales y criminales.

Por ello, la exposición de nuevo código fuente y vulnerabilidades internas podría facilitar el desarrollo de exploits personalizados si los atacantes logran analizarlos en profundidad, incrementando el riesgo de ataques futuros.

Recomendaciones para usuarios y administradores de F5

Ante el incidente, F5 instó a todos los clientes a actualizar inmediatamente sus entornos con las últimas versiones disponibles.
Las actualizaciones recomendadas incluyen:

• BIG-IP
• F5OS
• BIG-IP Next for Kubernetes
• BIG-IQ
• Access Policy Manager (APM)

La empresa subrayó que estas actualizaciones integran parches de seguridad esenciales y mejoras en la protección del software, reforzando la resistencia ante intentos de explotación potenciales.

Un recordatorio sobre la guerra cibernética moderna

El incidente sufrido por F5 Networks pone de manifiesto el alto nivel de amenaza que enfrentan las compañías de ciberseguridad, incluso aquellas que desarrollan herramientas críticas para la protección digital global.
La participación de un actor de estado-nación refuerza la teoría de que este ataque formaría parte de una campaña más amplia de espionaje industrial y tecnológico dirigida a proveedores clave del ecosistema digital.

Con la investigación aún en curso, el caso de F5 es un recordatorio contundente de que ninguna organización está exenta del riesgo, y que la protección proactiva del código fuente, los entornos de desarrollo y las credenciales de acceso debe ser una prioridad absoluta para todas las empresas del sector.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento de Justicia de Estados Unidos (DOJ) confirmó la condena de Matthew D. Lane, un estudiante universitario de 19 años de Worcester, Massachusetts, sentenciado a cuatro años de prisión federal por su papel como autor principal de un ciberataque masivo contra PowerSchool, uno de los mayores proveedores de software educativo en la nube del mundo.

El ataque, perpetrado en diciembre de 2024, provocó una de las violaciones de datos más graves en el sector educativo, afectando la información personal de más de 60 millones de estudiantes y 9.5 millones de docentes en todo el mundo.

Un ataque devastador al ecosistema educativo digital

PowerSchool, proveedor líder de soluciones basadas en la nube para escuelas y distritos K-12, cuenta con más de 18,000 instituciones educativas entre sus clientes globales. Su plataforma centraliza datos académicos, administrativos y personales de estudiantes, docentes y padres, lo que la convierte en un objetivo altamente atractivo para los cibercriminales.

Según los documentos judiciales, el ataque de diciembre de 2024 se centró en el portal de atención al cliente PowerSource, donde Lane y sus cómplices lograron acceder utilizando credenciales robadas de un subcontratista externo.
A través de una herramienta de mantenimiento interna, descargaron bases de datos completas que incluían nombres, direcciones, números telefónicos, contraseñas cifradas, datos de padres, información médica, números de Seguro Social y detalles de contacto de los usuarios.

El robo afectó a 6,505 distritos escolares en múltiples países, comprometiendo información extremadamente sensible de estudiantes menores de edad y del personal docente.

Extorsión en nombre de ShinyHunters

Tras el robo, los atacantes enviaron demandas de rescate por un total de 2.85 millones de dólares en Bitcoin el 28 de diciembre de 2024.
En los mensajes, los criminales afirmaban ser miembros del grupo ShinyHunters, una organización de cibercriminales conocida por ataques de alto perfil como la violación de datos de AT&T en 2022, el robo de información a Snowflake, y múltiples brechas en plataformas como Salesforce y Microsoft.

Aunque la investigación demostró que Lane y sus cómplices usaron el nombre de ShinyHunters como fachada, no hay evidencia de vínculos directos entre ambos.
Los documentos judiciales revelan que, tras obtener el pago inicial de PowerSchool, los delincuentes intentaron extorsionar individualmente a distritos escolares adicionales, exigiendo pagos a cambio de no publicar los datos robados de estudiantes.

Condena ejemplar: prisión y millonaria restitución

El martes pasado, la jueza federal Margaret R. Guzmán del Distrito de Massachusetts sentenció a Lane a cuatro años de prisión, además de 14 millones de dólares en restitución y una multa adicional de 25,000 dólares.
El joven se había declarado culpable en mayo de 2025 de cuatro cargos federales:

• Acceso no autorizado a sistemas protegidos.
• Conspiración de extorsión cibernética.
• Extorsión cibernética.
• Robo de identidad agravado.

Durante el proceso judicial, Lane admitió haber actuado con varios cómplices aún no identificados públicamente, con quienes compartía los beneficios económicos obtenidos de los rescates.
El DOJ subrayó que la sentencia busca enviar un mensaje contundente sobre las consecuencias legales de los ciberataques a infraestructuras críticas y servicios educativos.

PowerSchool pagó un rescate, pero el daño estaba hecho

Aunque PowerSchool negó en su momento haber sufrido una filtración activa, fuentes judiciales confirmaron que la empresa realizó un pago parcial de rescate con el objetivo de impedir la publicación de los datos.
Sin embargo, el monto exacto pagado no ha sido revelado públicamente.

De manera preocupante, en marzo de 2025, PowerSchool reconoció que su portal PowerSource ya había sido vulnerado en agosto y septiembre de 2024 mediante las mismas credenciales robadas, pero entonces no se había atribuido la intrusión al mismo atacante.
Una investigación independiente de CrowdStrike confirmó que se trataban de incidentes separados, aunque todos compartían la misma debilidad: el acceso no controlado de contratistas externos.

Demandas y repercusiones legales en curso

El caso PowerSchool continúa generando efectos colaterales en el sector educativo.
En septiembre, el fiscal general de Texas, Ken Paxton, presentó una demanda civil contra PowerSchool, acusando a la compañía de negligencia en la protección de datos personales y de engañar a clientes escolares sobre sus prácticas de seguridad.

La demanda argumenta que PowerSchool no implementó medidas de cifrado adecuadas y carecía de auditorías periódicas de seguridad, a pesar de manejar información de millones de estudiantes en Estados Unidos.
El caso podría derivar en sanciones financieras adicionales y en la obligación de la empresa de reformar sus políticas de ciberseguridad.

Un llamado de atención sobre la seguridad en la educación digital

El incidente PowerSchool deja una lección clara: la seguridad de los datos educativos debe ser tratada como una prioridad crítica.
En un entorno donde los servicios escolares se digitalizan cada vez más, el uso de contraseñas fuertes, la autenticación multifactor, el control de acceso de contratistas y la supervisión continua de sistemas en la nube son esenciales para prevenir incidentes de este tipo.

La sentencia de Matthew D. Lane marca un precedente en los casos de extorsión cibernética en el sector educativo, subrayando que los ataques a plataformas que almacenan datos de menores no quedarán impunes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de phishing está apuntando directamente a los usuarios de los administradores de contraseñas LastPass y Bitwarden, utilizando correos electrónicos falsos que simulan alertas de seguridad legítimas.
El objetivo de estos mensajes es engañar a los usuarios para que descarguen una versión de escritorio supuestamente más segura, la cual en realidad instala software de acceso remoto utilizado por ciberdelincuentes para comprometer los sistemas.

Correos falsos que simulan alertas de seguridad

De acuerdo con el medio especializado BleepingComputer, los correos electrónicos informan falsamente sobre un supuesto hackeo a LastPass o Bitwarden. En ellos, los atacantes afirman que las empresas fueron "pirateadas" y que los usuarios deben descargar una nueva aplicación de escritorio para proteger su información.

El enlace incluido en estos correos dirige a una descarga maliciosa que instala Syncro MSP, una herramienta legítima de monitoreo y administración remota (RMM, por sus siglas en inglés) utilizada normalmente por proveedores de servicios gestionados (MSP). Sin embargo, los actores de amenazas están aprovechando Syncro para implementar el software de acceso remoto ScreenConnect, con el fin de controlar los dispositivos de las víctimas sin que estas lo noten.

LastPass niega cualquier brecha de seguridad

Ante el aumento de reportes, LastPass emitió una alerta oficial confirmando que no ha sufrido ningún incidente de ciberseguridad. La empresa advirtió que se trata de un intento de ingeniería social cuidadosamente diseñado para generar urgencia y engañar a los usuarios.

Citar"Para ser claros, LastPass no ha sido hackeado. Este es un intento de un actor malicioso de llamar la atención y generar una sensación de urgencia, una táctica común en los ataques de phishing", aclaró la compañía.

La campaña habría comenzado durante el fin de semana del Día de Colón, aprovechando la menor vigilancia de los equipos de seguridad durante los días festivos.

Los correos fraudulentos provienen de direcciones como hello@lastpasspulse[.]blog y hello@lastpasjournal[.]blog, e incluyen un mensaje convincente que explica que LastPass ha desarrollado una versión MSI de su aplicación de escritorio para reemplazar "instalaciones .EXE obsoletas" con supuestas vulnerabilidades.

Bitwarden también bajo ataque

La campaña no se limita a LastPass. Usuarios de Bitwarden también están siendo blanco de correos falsos con el mismo diseño y tono de urgencia.
En este caso, los mensajes provienen de direcciones como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login e informan de un supuesto incidente de seguridad, recomendando la instalación de una "aplicación cliente más segura".

Cloudflare ya ha bloqueado las páginas de destino incluidas en estos correos y las ha marcado como intentos de phishing activos, evitando que los usuarios puedan acceder a los sitios maliciosos.

Syncro MSP y ScreenConnect: herramientas legítimas, uso malicioso

El análisis técnico realizado por BleepingComputer confirmó que las muestras distribuidas en ambas campañas son idénticas.
El binario descargado instala el agente de Syncro MSP con parámetros ocultos, eliminando el icono del área de notificación para evitar que el usuario detecte la presencia del software.

El único propósito de esta instalación es desplegar ScreenConnect (ahora conocido como ConnectWise Control), una herramienta de soporte remoto que los atacantes utilizan para acceder a los sistemas de las víctimas.
Una vez instalada, esta permite transferir archivos, ejecutar comandos, robar datos y potencialmente acceder a las bóvedas de contraseñas almacenadas.

Además, el agente está configurado para comunicarse con el servidor cada 90 segundos, sin mostrar indicios visibles de actividad.
Los archivos de configuración analizados también desactivan los agentes de Emsisoft, Webroot y Bitdefender, lo que sugiere que los atacantes buscan evitar detección por antivirus.

Ataques similares contra 1Password

Esta no es la primera vez que los administradores de contraseñas son utilizados como señuelo.
La semana pasada, una campaña de phishing dirigida a usuarios de 1Password circuló correos falsos desde watchtower@eightninety[.]com, redirigiendo a los usuarios a una página fraudulenta (onepass-word[.]com) mediante Mandrillapp.

El investigador Brett Christensen (Hoax-Slayer) fue uno de los primeros en reportar esta actividad el 25 de septiembre.
Según Malwarebytes, quienes ingresaban en el sitio terminaban exponiendo sus credenciales, lo que permitía el acceso completo a sus bóvedas de contraseñas.

Cómo protegerse de las campañas de phishing

Los expertos recomiendan seguir una serie de buenas prácticas de ciberseguridad ante este tipo de campañas:

• No hacer clic en enlaces incluidos en correos electrónicos que informen sobre incidentes de seguridad.
• Verificar siempre en los canales oficiales del proveedor, como blogs o comunicados de prensa.
• Evitar descargar instaladores o actualizaciones desde enlaces no verificados.
• Activar la autenticación multifactor (MFA) en todas las cuentas.
• Actualizar los sistemas y software de seguridad de manera constante.

Las empresas legítimas nunca solicitarán contraseñas maestras ni enviarán archivos ejecutables (.exe o .msi) directamente por correo electrónico.

En fin...

La campaña de phishing que suplanta a LastPass y Bitwarden demuestra el nivel de sofisticación creciente en los ataques de ingeniería social.
El uso de herramientas legítimas como Syncro MSP y ScreenConnect permite a los atacantes mantener un perfil bajo y pasar inadvertidos, aumentando la efectividad del engaño.

Los usuarios deben mantener una actitud vigilante, verificar fuentes oficiales y desconfiar de cualquier comunicación que solicite acciones urgentes relacionadas con sus cuentas de administrador de contraseñas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad han detectado una nueva campaña del troyano bancario Astaroth que emplea repositorios legítimos de GitHub como columna vertebral para alojar sus configuraciones y así permanecer operativa incluso cuando las infraestructuras tradicionales de comando y control (C2) son derribadas. Esta técnica convierte a plataformas en la nube confiables en un backup difícil de neutralizar y complica la contención por parte de las fuerzas del orden y los equipos de respuesta.

Vectores de infección y cadena de ataque

La campaña comienza con un correo electrónico de phishing (con lures como DocuSign) que contiene un enlace a un archivo comprimido que descarga un acceso directo de Windows (.lnk). Cuando la víctima ejecuta el LNK, se activa JavaScript ofuscado que recupera más código desde servidores remotos y descarga una secuencia de artefactos: un script AutoIt, shellcode y, finalmente, una DLL en Delphi que desemboca en la carga del malware Astaroth dentro de un proceso legítimo (por ejemplo, RegSvc.exe).

Astaroth está diseñado para robar credenciales bancarias y de criptomonedas. Supervisa la ventana activa del navegador y, al detectar sitios objetivo, engancha eventos de teclado para capturar contraseñas y datos sensibles. La información recopilada se exfiltra a los operadores mediante proxies inversos como Ngrok, complicando la atribución y el bloqueo directo del C2.

Uso de GitHub como infraestructura resistente

En lugar de depender exclusivamente de servidores C2 propietarios (que pueden ser desconectados), los operadores de Astaroth suben configuraciones y recursos a repositorios de GitHub —incluso empleando técnicas de esteganografía en imágenes para ocultar datos— de modo que, cuando los servidores C2 se vuelven inaccesibles, el malware simplemente descarga las nuevas configuraciones desde GitHub y continúa operando. McAfee señala que la compañía colaboró con GitHub/Microsoft para eliminar repositorios activos que estaban siendo usados en la campaña.

Alcance geográfico y objetivos

Aunque la actividad se concentra especialmente en Brasil, Astaroth ha mostrado actividad en múltiples países de América Latina, incluidos México, Uruguay, Argentina, Paraguay, Chile, Bolivia, Perú, Ecuador, Colombia, Venezuela y Panamá. Informes de varios centros de investigación y firmas de seguridad confirman el repunte de la familia Astaroth en la región y su especial afinidad por objetivos financieros y de criptomonedas.

Capacidades antianálisis y persistencia

Astaroth incorpora mecanismos para evadir análisis y desactivarse si detecta entornos de emulación o depuración (herramientas como IDA Pro, WinDbg, QEMU Guest Agent, Wireshark, etc.). Para mantener persistencia, coloca un archivo .lnk en la carpeta de inicio que ejecuta el script AutoIt con cada reinicio. Además, verifica la configuración regional de la máquina (evita sistemas con locale en inglés/EE. UU.), una técnica usada frecuentemente para limitar la exposición a análisis en sandboxes internacionales.

Sitios y servicios objetivo (muestras observadas)

Entre los dominios que el malware vigila o con los que interactúa, los analistas han listado sitios bancarios y de criptomonedas relevantes en Brasil y para cripto usuarios, por ejemplo:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Riesgo operativo y por qué importa

El uso de plataformas públicas y confiables (GitHub, Ngrok) para almacenar configuraciones y proxy de exfiltración eleva la resiliencia de la campaña y reduce la eficacia de las tácticas tradicionales de derribo de infraestructura. Además, la combinación de ingeniería social (phishing convincente) y cadenas fileless/semifileless (LNK → JavaScript → AutoIt → shellcode → DLL) dificulta la detección por soluciones defensivas que no inspeccionan en profundidad la actividad en memoria o el tráfico saliente hacia servicios legítimos.

Recomendaciones prácticas para mitigación y detección

• Bloquear y filtrar archivos .lnk entrantes y adjuntos sospechosos en correo; aplicar reglas en proxys y gateways de correo.
• Inspeccionar y restringir conexiones a servicios proxy públicos (Ngrok, similares) en redes corporativas.
• Monitoreo EDR/IDS: activar detección de ejecución de AutoIt y comportamiento de inyección en procesos legítimos (p. ej. RegSvc.exe).
• Hardenear políticas de inicio: prohibir la ejecución automática de accesos directos desde carpetas de descarga y bloquear ejecución desde %TEMP% y rutas de usuario no confiables.
• Lista de bloqueo / reputación GitHub: monitorizar y eliminar repositorios maliciosos en colaboración con GitHub; alertar sobre repositorios que alojan imágenes con metadatos extraños.
• Concienciación: campañas contra phishing (especialmente lures tipo DocuSign) y simulación de ataques dirigidos a equipos locales en Brasil y LATAM.

En fin...

La reaparición de Astaroth con la capacidad de utilizar GitHub como infraestructura de respaldo subraya una tendencia preocupante: los atacantes están explotando servicios legítimos para aumentar la resiliencia de sus operaciones y dificultar las respuestas coordinadas. Las organizaciones, sobre todo las que operan en América Latina y manejan activos financieros o cripto, deben priorizar medidas de detección basadas en comportamiento, políticas de bloqueo y colaboración con plataformas cloud para reducir la superficie de ataque y mitigar el impacto de estas campañas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha reforzado la seguridad del modo Internet Explorer (IE) en su navegador Edge, luego de detectar intentos de explotación activa por parte de actores de amenazas que utilizaban esta función para obtener acceso remoto no autorizado a los dispositivos de los usuarios.

Según el Equipo de Investigación de Vulnerabilidades del Navegador de Microsoft, los ataques fueron reportados en agosto de 2025, y se basaban en una combinación de ingeniería social y exploits de día cero en el motor JavaScript Chakra, empleado por Internet Explorer.

La compañía confirmó que el incidente llevó a una revisión completa del modo IE, eliminando accesos directos e introduciendo controles más estrictos para prevenir futuros abusos.

Ataques explotaban el motor Chakra de Internet Explorer

Microsoft explicó que los atacantes engañaban a los usuarios para que visitaran sitios web aparentemente legítimos, donde un elemento visual —como un control flotante o botón falso— los invitaba a recargar la página en modo IE.

Al hacerlo, el navegador ejecutaba contenido utilizando el motor Chakra, una tecnología heredada de Internet Explorer que, al no contar con las defensas modernas del motor Chromium, se convertía en un vector de ataque ideal.

En esta etapa, los ciberdelincuentes desplegaban un exploit no especificado para ejecutar código de manera remota (RCE), obteniendo control parcial sobre el sistema afectado. Posteriormente, usaban un segundo exploit para elevar privilegios fuera del navegador, tomando así control total del dispositivo.

Este tipo de ataque representa una amenaza especialmente grave, ya que subvierte las defensas de seguridad de Edge y permite ejecutar código malicioso fuera del sandbox del navegador, abriendo la puerta a malware, robo de datos y movimientos laterales dentro de la red.

Microsoft toma medidas: eliminación del botón de acceso y restricciones

En respuesta a los "informes creíbles" de explotación activa, Microsoft anunció que ha eliminado todas las formas rápidas de activar el modo IE desde Edge. Esto incluye:

• El botón de la barra de herramientas dedicado al modo IE.
• Las opciones del menú contextual (clic derecho).
• Los accesos desde el menú de hamburguesa (configuración principal).

Ahora, cualquier usuario o administrador que desee habilitar el modo IE deberá hacerlo de forma manual y consciente, a través de las configuraciones del navegador.

Cómo habilitar manualmente el modo Internet Explorer en Edge

Para habilitar esta función de compatibilidad, Microsoft indicó los siguientes pasos:

• Abrir Configuración > Navegador predeterminado.
• Buscar la opción "Permitir que los sitios se vuelvan a cargar en modo Internet Explorer".
• Configurarla en "Permitir".
• Agregar los sitios específicos que requieren compatibilidad con IE a la lista de páginas del modo IE.
• Recargar el sitio manualmente.

Esta medida garantiza que la activación del modo IE sea intencional y controlada, reduciendo drásticamente la superficie de ataque.

Citar"Este enfoque asegura que la decisión de cargar contenido web utilizando tecnología heredada sea significativamente más intencional", explicó Microsoft. "Los pasos adicionales para agregar un sitio a la lista de modo IE actúan como una barrera que incluso los atacantes más decididos deben superar."

El modo Internet Explorer: una necesidad heredada con riesgos modernos

El modo IE en Edge fue introducido originalmente para mantener la compatibilidad con sitios web empresariales antiguos, desarrollados bajo tecnologías exclusivas de Internet Explorer, como ActiveX o documentos basados en Trident.

Aunque esta característica ha sido útil para organizaciones que dependen de sistemas heredados, también representa un riesgo de seguridad significativo, pues reintroduce elementos que no cumplen con los estándares modernos de protección.

De hecho, la vulnerabilidad explotada demuestra que las tecnologías obsoletas aún pueden ser aprovechadas como puertas de entrada en ataques dirigidos, especialmente cuando los usuarios desconocen los peligros de activar manualmente el modo IE.

Ingeniería social: el eslabón débil de la cadena

El informe de Microsoft también subraya el papel de la ingeniería social en estos ataques. Los adversarios no necesitaban vulnerar directamente Edge ni las políticas corporativas, sino simplemente convencer al usuario de activar una opción insegura.

Mediante sitios cuidadosamente diseñados, los atacantes lograban que las víctimas recargaran manualmente una página en modo IE, lo que les permitía burlar las protecciones nativas del navegador Chromium.

Este enfoque híbrido —una combinación de manipulación psicológica y explotación técnica— demuestra la sofisticación de los grupos que aún buscan aprovechar vulnerabilidades en tecnologías descontinuadas.

Microsoft refuerza su compromiso con la seguridad del navegador

Con esta actualización, Microsoft reafirma su compromiso de eliminar progresivamente la dependencia de Internet Explorer y fortalecer la seguridad en Microsoft Edge.

La empresa ha recomendado encarecidamente a los administradores empresariales:

• Actualizar Edge a la versión más reciente.
• Deshabilitar el modo IE en entornos donde no sea estrictamente necesario.
• Capacitar a los usuarios sobre los riesgos de habilitar manualmente funciones heredadas.
• Revisar políticas de compatibilidad y migrar aplicaciones internas a tecnologías web modernas.

La eliminación de accesos directos al modo IE representa un paso firme hacia la mitigación de ataques basados en ingeniería social y exploits de legado.

Equilibrio entre compatibilidad y seguridad

El caso demuestra que la compatibilidad con sistemas antiguos puede convertirse en un riesgo crítico si no se gestiona con medidas de seguridad adecuadas.

La decisión de Microsoft de renovar el modo Internet Explorer en Edge refuerza la idea de que la seguridad debe estar por encima de la conveniencia. Aunque muchas organizaciones aún dependen de IE para acceder a herramientas internas, la exposición a vulnerabilidades explotables justifica los nuevos controles implementados.

En definitiva, los cambios introducidos por Microsoft buscan reducir la superficie de ataque, garantizar un uso más consciente del modo IE y proteger a los usuarios de amenazas que explotan tecnologías en desuso.

El futuro de la navegación segura pasa por abandonar definitivamente el legado de Internet Explorer y avanzar hacia un entorno donde Edge y Chromium sean sinónimos de estabilidad, compatibilidad y protección avanzada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Oracle ha emitido una actualización de seguridad de emergencia para corregir una nueva vulnerabilidad crítica en E-Business Suite (EBS) que puede ser explotada remotamente por atacantes no autenticados. El fallo, identificado como CVE-2025-61884, afecta a las versiones 12.2.3 a 12.2.14 del producto y representa un riesgo elevado para empresas que aún no han aplicado el parche de seguridad.

CVE-2025-61884: una falla de divulgación de información con riesgo severo

La vulnerabilidad CVE-2025-61884 reside en el componente de interfaz de usuario en tiempo de ejecución de Oracle EBS y permite a los atacantes robar información confidencial de forma remota. Según Oracle, esta falla puede explotarse sin autenticación, lo que significa que los atacantes no necesitan un nombre de usuario ni contraseña para comprometer los sistemas vulnerables.

Citar"Esta vulnerabilidad se puede explotar de forma remota sin autenticación. Oracle recomienda encarecidamente aplicar las actualizaciones o mitigaciones proporcionadas lo antes posible", declaró la compañía.

El error ha recibido una puntuación base CVSS de 7,5, lo que la clasifica como una vulnerabilidad de alta severidad. En un comunicado, Rob Duhart, director de seguridad de Oracle, destacó que una explotación exitosa podría permitir a los atacantes obtener acceso a recursos sensibles y datos corporativos.

Un parche fuera de banda ante el aumento de los ataques

Este parche fuera de banda llega apenas dos semanas después de una campaña de extorsión del grupo Clop, que utilizó vulnerabilidades previas de Oracle EBS para robar información de altos ejecutivos de múltiples organizaciones.

Esa campaña se vinculó inicialmente con vulnerabilidades corregidas en julio de 2025 y, más tarde, con una nueva falla identificada como CVE-2025-61882, que afectó al mismo entorno empresarial de Oracle.

Conexión entre CVE-2025-61882 y CVE-2025-61884

Según la empresa de ciberseguridad CrowdStrike, el grupo Clop comenzó a explotar la vulnerabilidad CVE-2025-61882 como día cero desde principios de agosto, en ataques de robo de datos a gran escala. CrowdStrike advirtió además que otros grupos de amenazas podrían haberse sumado a la explotación activa de la misma.

Por su parte, los investigadores de watchTowr Labs revelaron que CVE-2025-61882 formaba parte de una cadena de vulnerabilidades que permitía a los atacantes no autenticados ejecutar código remoto (RCE). Esta técnica fue demostrada en un exploit de prueba de concepto (PoC) filtrado en mayo de 2025 por la banda Scatter Lapsus$ Hunters, conocida por divulgar herramientas y exploits empleados por ciberdelincuentes.

Aunque Oracle no ha confirmado que la nueva vulnerabilidad CVE-2025-61884 esté siendo explotada activamente, los investigadores coinciden en que la similitud técnica con CVE-2025-61882 la convierte en un objetivo potencial para ataques futuros, especialmente en entornos expuestos a Internet.

Historial de ataques del grupo Clop

El grupo de extorsión Clop se ha consolidado como una de las organizaciones cibercriminales más activas y peligrosas del panorama global. Su historial incluye ataques de ransomware y robo de datos aprovechando vulnerabilidades en software empresarial ampliamente utilizado.

Entre sus campañas más notorias se encuentran las dirigidas contra Accellion FTA, GoAnywhere MFT, Cleo Integration Cloud y MOVEit Transfer, esta última con más de 2.770 organizaciones afectadas en todo el mundo.

La conexión de Clop con las fallas en Oracle EBS subraya una tendencia alarmante: la explotación sistemática de plataformas críticas empresariales como vector de entrada para ataques de extorsión masiva.

Recomendaciones de seguridad para los administradores de Oracle EBS

Oracle enfatiza la urgencia de aplicar el parche CVE-2025-61884 de manera inmediata, especialmente en instancias expuestas a redes públicas o accesibles desde Internet.

Los equipos de seguridad corporativa deben seguir las siguientes recomendaciones:

• Aplicar el parche fuera de banda publicado por Oracle sin demora.
• Restringir el acceso público a las interfaces de Oracle EBS hasta completar la actualización.
• Monitorear los registros de red en busca de actividad sospechosa o intentos de explotación.
• Implementar medidas de detección avanzada para identificar tráfico no autorizado hacia los componentes de interfaz de usuario de EBS.
• Revisar las actualizaciones de seguridad adicionales publicadas en el Oracle Critical Patch Update (CPU) correspondiente al trimestre.

Estas acciones reducen significativamente el riesgo de intrusión y evitan el acceso no autorizado a datos financieros, información de clientes y credenciales internas.

Un recordatorio sobre la importancia del parcheo oportuno

El caso CVE-2025-61884 refuerza la importancia del parcheo proactivo y continuo en los entornos empresariales. Las soluciones ERP como Oracle EBS gestionan información altamente sensible, por lo que cualquier retraso en la implementación de actualizaciones puede traducirse en brechas críticas de seguridad.

La rápida respuesta de Oracle demuestra su compromiso con la protección de sus clientes empresariales, aunque también deja en evidencia el creciente interés de los grupos de ransomware y extorsión en las plataformas ERP de gran escala.

En fin...

Oracle ha actuado con rapidez al lanzar un parche de emergencia para mitigar la vulnerabilidad CVE-2025-61884 en E-Business Suite. Aunque no existen indicios confirmados de explotación activa, la naturaleza del fallo —una divulgación remota de información sin autenticación— lo convierte en un riesgo inmediato para cualquier organización que utilice versiones vulnerables.

Los administradores deben aplicar las actualizaciones fuera de banda lo antes posible, seguir las recomendaciones de seguridad y mantener sus sistemas actualizados frente a las amenazas emergentes.

Con este movimiento, Oracle busca frenar una nueva ola de ciberataques que, como los recientes incidentes con Clop y otras bandas de extorsión, demuestran que la ciberseguridad empresarial debe ser una prioridad constante y preventiva.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha reconocido oficialmente que la última versión de la Herramienta de Creación de Medios (Media Creation Tool, MCT) de Windows 11 está presentando fallos en los dispositivos que ejecutan Windows 10 versión 22H2, provocando cierres inesperados sin mostrar mensajes de error. Este problema afecta a miles de usuarios que intentan crear medios de instalación o actualizar sus sistemas al más reciente Windows 11 25H2.

Fallo confirmado en la versión 26100.6584 del MCT de Windows 11

Según la información publicada en el Panel de estado de la versión de Windows, la versión 26100.6584 de la Herramienta de Creación de Medios, lanzada el 29 de septiembre de 2025, no funciona correctamente cuando se utiliza en equipos con Windows 10 22H2.

Microsoft explica que, bajo estas circunstancias, la aplicación puede cerrarse repentinamente sin generar ningún mensaje de error, lo que ha confundido a muchos usuarios que pensaban que se trataba de un fallo local.

La compañía señaló que ya está trabajando en una actualización para solucionar este inconveniente y que el parche será publicado en una versión futura de la herramienta.

Alternativas y soluciones recomendadas por Microsoft

Mientras se desarrolla la solución definitiva, Microsoft recomienda a los usuarios afectados descargar directamente la imagen ISO de Windows 11 para dispositivos x64 desde su página oficial. Esta alternativa permite crear un medio de instalación de forma manual mediante una memoria USB o DVD, sin depender del MCT.

La empresa también recordó que la Herramienta de Creación de Medios de Windows 11 no es compatible con equipos ARM64. En estos casos, los usuarios pueden recibir un mensaje de error del tipo:

Citar"No estamos seguros de lo que sucedió, pero no podemos ejecutar esta herramienta en su PC."

Este fallo afecta especialmente a los dispositivos con procesadores ARM64, una arquitectura cada vez más común en equipos ultraligeros y de bajo consumo energético.

Contexto: el lanzamiento de Windows 11 25H2 y otros problemas recientes

El error en la MCT coincide con la reciente disponibilidad general de Windows 11 25H2, también conocida como la "Actualización 2025 de Windows 11", liberada el 30 de septiembre de 2025.

Esta versión se distribuye mediante un paquete de habilitación (eKB), lo que significa que es una actualización menor sobre la base de la versión 24H2, sin cambios drásticos en la plataforma principal.

Sin embargo, el lanzamiento no ha estado exento de inconvenientes. Microsoft también informó sobre un problema con la reproducción de contenido protegido por DRM (Digital Rights Management) en algunas aplicaciones de Blu-ray, DVD y TV digital.

Este fallo provoca bloqueos, pantallas negras y errores de reproducción, afectando tanto a Windows 11 24H2 como a Windows Server 2025. Según la compañía, la causa está relacionada con actualizaciones de vista previa lanzadas desde agosto.

Microsoft trabaja en resolver errores DRM y de estabilidad

En su comunicado, Microsoft aclaró que el problema del DRM ha sido "parcialmente resuelto" en las actualizaciones más recientes, e instó a los usuarios a mantener sus dispositivos actualizados para garantizar la máxima estabilidad y compatibilidad.

Citar"Le recomendamos que instale la última actualización para su dispositivo, ya que contiene mejoras importantes y resoluciones de problemas, incluida esta", indicó la compañía.

No obstante, advirtió que algunas aplicaciones que emplean DRM para audio digital podrían seguir presentando fallos, especialmente en configuraciones específicas de hardware.

Qué significa este error para los usuarios de Windows 10 y Windows 11

El fallo en la Herramienta de Creación de Medios no compromete la seguridad ni los datos del sistema, pero sí representa un obstáculo para quienes desean realizar instalaciones limpias o migrar a Windows 11 25H2.

Para los administradores de TI y usuarios avanzados, este tipo de error puede retrasar despliegues masivos o procesos de actualización planificados, especialmente en entornos empresariales donde la automatización mediante MCT es habitual.

Por ahora, la recomendación general es evitar usar la versión afectada de la herramienta en equipos con Windows 10 22H2 y optar por la descarga manual de la imagen ISO oficial hasta que Microsoft libere una actualización funcional.

Actualización crítica en camino

Microsoft continúa monitoreando de cerca el comportamiento del MCT y otros componentes relacionados con el despliegue de Windows 11. Aunque el error actual es molesto, la empresa ha demostrado rapidez al reconocer el problema y ofrecer soluciones temporales efectivas.

La futura versión corregida de la Herramienta de Creación de Medios de Windows 11 promete mejorar la compatibilidad entre plataformas y resolver definitivamente las fallas detectadas en equipos Windows 10 y ARM64.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Guardia Civil de España ha asestado un golpe contundente al cibercrimen internacional con el desmantelamiento del grupo GXC Team, una organización criminal especializada en la venta de herramientas de hacking avanzadas bajo el modelo de Crimen como Servicio (Crime-as-a-Service, CaaS). La operación culminó con la detención de su presunto líder, un ciudadano brasileño de 25 años conocido en la comunidad cibercriminal como "GoogleXcoder".

Esta organización era considerada una de las más activas en el ámbito del phishing y el fraude digital en países de habla hispana y europea, y su desarticulación representa uno de los mayores éxitos recientes de las fuerzas de seguridad españolas en materia de ciberseguridad y delitos informáticos.

Un modelo de crimen como servicio (CaaS) impulsado por inteligencia artificial

El GXC Team operaba como una plataforma de ciberdelincuencia integral, ofreciendo a otros criminales kits de phishing automatizados, malware para Android y herramientas de ingeniería social asistidas por inteligencia artificial. A través de canales en Telegram y foros de hacking de habla rusa, el grupo vendía acceso a sus productos ilícitos bajo un modelo de suscripción y con soporte técnico incluido.

Según información oficial de la Guardia Civil, el grupo proporcionaba kits de phishing basados en IA que replicaban con precisión las páginas web de bancos, empresas de transporte y plataformas de comercio electrónico. Estos kits eran utilizados para capturar credenciales, datos personales y contraseñas de un solo uso (OTP), lo que permitía el acceso no autorizado a cuentas bancarias y la ejecución de fraudes financieros a gran escala.

El equipo también desarrolló nueve cepas de malware para Android, diseñadas específicamente para interceptar mensajes SMS y códigos de autenticación, funciones críticas para el robo de identidades digitales y la verificación de transacciones fraudulentas. Esta sofisticación convirtió a GXC Team en un proveedor clave dentro del ecosistema del cibercrimen global.

Operación policial internacional coordinada

La operación policial, ejecutada el 20 de mayo, fue el resultado de una investigación de más de un año en la que participaron múltiples unidades de la Guardia Civil y agencias de inteligencia cibernética internacionales. La acción incluyó redadas simultáneas en Cantabria, Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción.

Durante los registros, los agentes incautaron numerosos dispositivos electrónicos, entre ellos ordenadores portátiles y servidores que contenían el código fuente de los kits de phishing, así como comunicaciones con clientes, registros financieros y evidencias relacionadas con las transacciones de criptomonedas de "GoogleXcoder".

Además, se confiscaron activos digitales robados, incluyendo criptomonedas procedentes de las víctimas, y se desactivaron varios canales de Telegram utilizados por la red para distribuir sus herramientas y promover las estafas. Uno de esos canales, irónicamente denominado "Robar todo a las abuelas", servía para instruir a otros delincuentes sobre cómo ejecutar campañas de fraude dirigidas a personas mayores, uno de los grupos más vulnerables ante los engaños digitales.

El papel clave de la investigación forense digital

El éxito de la operación fue posible gracias a un análisis forense exhaustivo de los dispositivos y las transacciones blockchain asociadas al líder del grupo. Según un comunicado oficial, el proceso de rastreo de criptomonedas y descifrado de la infraestructura digital de GXC Team se extendió durante más de un año debido a la complejidad técnica del entramado financiero y a la utilización de servicios de anonimato.

Citar"El análisis forense de los dispositivos incautados, así como de las transacciones de criptomonedas, permitió reconstruir toda la red criminal e identificar a seis personas directamente relacionadas con el uso de estos servicios", explicó la Guardia Civil.

La investigación contó con la colaboración de expertos en ciberinteligencia de Group-IB, quienes venían rastreando las actividades del grupo desde hace meses. Según esta empresa, GXC Team había desplegado al menos 250 sitios de phishing activos y estaba dirigiendo campañas contra entidades financieras y tecnológicas de España, Eslovaquia, Reino Unido, Estados Unidos y Brasil.

Un impacto significativo en la lucha contra el phishing y el fraude online

La caída de GXC Team supone un golpe importante para el ecosistema del cibercrimen hispano. La desarticulación de este grupo no solo pone fin a una operación que ofrecía servicios ilícitos de nivel profesional, sino que también expone la creciente tendencia del phishing automatizado y potenciado por IA.

El modelo Crime-as-a-Service permite a individuos sin conocimientos técnicos profundos lanzar ataques complejos a bajo costo, lo que incrementa la frecuencia y el alcance de las campañas de fraude digital. Al desmantelar esta estructura, las autoridades españolas logran debilitar un eslabón esencial en la cadena del cibercrimen organizado.

Próximos pasos: una investigación aún en curso

Aunque el presunto cabecilla de GXC Team ya ha sido detenido, la investigación continúa abierta. Las autoridades no descartan nuevas detenciones de colaboradores y clientes del grupo en España y otros países.

La Guardia Civil ha indicado que se está trabajando junto a agencias internacionales de ciberseguridad y fiscalías especializadas en delitos tecnológicos, con el objetivo de identificar a los compradores de los kits y malware comercializados por GXC Team.

Esta operación se suma a una serie de actuaciones recientes que reflejan el refuerzo del cibercontrol policial en Europa, especialmente en torno a redes de phishing, malware-as-a-service y botnets que amenazan la integridad de infraestructuras críticas y usuarios particulares.

Un paso firme contra el crimen digital en Europa

La desarticulación del GXC Team representa un éxito clave en la lucha contra el crimen cibernético internacional. Con su sofisticado modelo de crimen como servicio, el grupo había logrado profesionalizar el fraude digital, ofreciendo herramientas de ataque accesibles a una amplia red de ciberdelincuentes.

El arresto de "GoogleXcoder" y el cierre de sus canales de distribución son una victoria significativa para la Guardia Civil y para la seguridad digital en Europa, al demostrar la eficacia de las investigaciones coordinadas entre organismos nacionales e internacionales.

La operación también deja un mensaje claro: el anonimato en la red no garantiza impunidad, y las fuerzas del orden continúan adaptándose al ritmo del cibercrimen global.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Raspberry Pi 500+ ya es una realidad, y llega con una propuesta tan ambiciosa como atractiva: consolidarse como "el PC todo en uno definitivo". La marca británica ha vuelto a sorprender con una versión renovada de su icónico ordenador integrado en teclado, un concepto que mezcla potencia, diseño y accesibilidad para conquistar tanto a entusiastas tecnológicos como a centros educativos y desarrolladores.

Aunque no pretende competir directamente con un ordenador de sobremesa de gama alta, el Raspberry Pi 500+ eleva el listón respecto a sus predecesores y se presenta como un mini PC versátil, económico y repleto de innovaciones que lo acercan más que nunca a la experiencia de un PC completo.

Un salto notable en potencia y rendimiento

Uno de los cambios más destacados del Raspberry Pi 500+ es su nuevo procesador Broadcom BCM2712, un chip de cuatro núcleos Cortex-A76 a 2,4 GHz que ofrece un rendimiento muy superior al de modelos anteriores. Este procesador viene acompañado de una GPU VideoCore VII, compatible con OpenGL ES 3.1 y Vulkan 1.2, lo que permite ejecutar entornos gráficos más exigentes y manejar con fluidez aplicaciones multimedia, navegadores modernos e incluso emuladores.

Otro punto a destacar es la memoria RAM de 16 GB LPDDR4x-4267, un salto cualitativo que amplía enormemente las posibilidades de uso del dispositivo. Gracias a esta mejora, el Raspberry Pi 500+ puede ejecutar multitareas con solvencia, soportar escritorios Linux completos e incluso realizar tareas de desarrollo, automatización o aprendizaje de programación sin limitaciones.

En cuanto al almacenamiento, el nuevo modelo incluye SSD M.2 2280 de 256 GB de serie, una incorporación muy esperada por la comunidad. También mantiene el lector microSD, ofreciendo flexibilidad adicional para ampliar la capacidad o instalar diferentes sistemas operativos.

Diseño mejorado: teclado mecánico con alma de Raspberry Pi

El factor forma es uno de los aspectos más icónicos de la familia Raspberry Pi, y el 500+ no es la excepción. Sin embargo, esta vez la marca ha apostado por un cambio significativo: el teclado de membrana tradicional se sustituye por teclas mecánicas Gateron KS-33 Blue, personalizadas en color gris y con retroiluminación RGB programable.

Cada tecla incorpora un microcontrolador RP2040, el mismo chip diseñado por Raspberry Pi para su línea de productos embebidos, y ejecuta firmware QMK de código abierto, lo que permite una personalización total de la experiencia de escritura. Los entusiastas podrán reasignar funciones, crear macros y ajustar la iluminación a su gusto, con una compatibilidad amplia con la mayoría de switches del mercado.

Este diseño no solo mejora la experiencia de usuario, sino que refuerza la identidad de Raspberry Pi como una marca comprometida con la modularidad, la libertad de configuración y el espíritu maker.

Conectividad completa para un entorno moderno

En el apartado de conectividad, el Raspberry Pi 500+ ofrece todo lo necesario para integrarse en un entorno de trabajo o estudio actual. Incluye Wi-Fi y Bluetooth integrados, dos salidas micro-HDMI con soporte para resoluciones 4K, tres puertos USB-A, un puerto Gigabit Ethernet y un conector de expansión GPIO de 40 pines, manteniendo la compatibilidad con accesorios y proyectos de generaciones anteriores.

El dispositivo mantiene el enfoque "plug and play" característico de la marca: basta conectarlo a un monitor, ratón y fuente de alimentación para tener un PC funcional en segundos.

Además, por solo 20 dólares adicionales, el Kit de Escritorio oficial incluye ratón, fuente de alimentación USB-C de 27 W y cable micro-HDMI, convirtiéndolo en una opción especialmente atractiva para quienes buscan un equipo listo para usar desde el primer momento.

Software actualizado: Raspberry Pi OS basado en Debian 13 'Trixie'

Como no podía ser de otra manera, el sistema operativo oficial del nuevo modelo es Raspberry Pi OS, que recientemente ha sido actualizado con base en Debian 13 "Trixie", ofreciendo mayor estabilidad, soporte de hardware mejorado y un entorno más pulido para desarrolladores y usuarios cotidianos.

Sin embargo, una de las grandes ventajas del ecosistema Raspberry Pi es su compatibilidad con múltiples distribuciones Linux. Esto significa que los usuarios pueden instalar sistemas como Ubuntu, Manjaro, Twister OS o RetroPie, adaptando el equipo a distintos fines: desde aprendizaje y programación hasta multimedia, domótica o emulación retro.

Precio, disponibilidad y garantía de futuro

El Raspberry Pi 500+ ya está disponible a un precio de 200 dólares, más del doble que su versión original, pero con una mejora sustancial en potencia, almacenamiento y calidad de construcción.

La compañía ha confirmado que garantiza la producción y el suministro de piezas hasta 2035, un compromiso que refuerza la confianza de desarrolladores, educadores y fabricantes que utilizan Raspberry Pi como base para sus proyectos.

Su enfoque sigue siendo el mismo: democratizar el acceso a la tecnología, impulsando la educación, la innovación y la experimentación. El nuevo modelo no solo mantiene ese legado, sino que lo amplía con un diseño y rendimiento que lo posicionan como una de las alternativas más interesantes del mercado de mini PCs.

La evolución natural del concepto "todo en uno"

El Raspberry Pi 500+ representa un paso firme hacia el futuro de la informática compacta y accesible. Con su combinación de potencia, diseño y apertura, redefine lo que un ordenador pequeño puede lograr, sin renunciar al espíritu maker que ha convertido a Raspberry Pi en un fenómeno global.

Ideal para educación, desarrollo, proyectos de automatización o simplemente para trastear, este nuevo modelo confirma que el potencial de la frambuesa sigue creciendo. Y aunque "vale para lo que vale", el Raspberry Pi 500+ demuestra que el equilibrio entre potencia, precio y filosofía abierta aún tiene mucho que ofrecer.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SUSE, uno de los líderes europeos en software empresarial de código abierto, ha anunciado oficialmente su adhesión a EuroStack, una ambiciosa iniciativa de política industrial europea que busca construir un ecosistema tecnológico soberano, transparente y centrado en los estándares abiertos. Este proyecto tiene como objetivo fortalecer la independencia digital del continente mediante el desarrollo de infraestructuras clave que abarcan desde la conectividad y la computación en la nube hasta la inteligencia artificial (IA) y las plataformas digitales.

Una apuesta por la independencia tecnológica europea

Con esta decisión estratégica, SUSE refuerza su compromiso con la filosofía de "Choice Happens", lema central de SUSECON 24 y piedra angular de la visión corporativa de la empresa. Esta filosofía defiende la libertad de elección tecnológica frente a la dependencia de proveedores únicos —el llamado vendor lock-in—, un problema cada vez más evidente en la adopción de servicios en la nube y soluciones digitales propietarias.

La unión de SUSE a EuroStack se enmarca dentro de su trayectoria de décadas impulsando el software de código abierto como base de la innovación y la soberanía tecnológica. Según la propia compañía, esta alianza representa un paso firme hacia una infraestructura europea basada en estándares abiertos, interoperabilidad y transparencia verificable, principios que garantizan la portabilidad de los sistemas y la protección de los datos frente a intereses externos.

La visión de SUSE: soberanía, transparencia y colaboración

En palabras de Thomas Di Giacomo, Director de Tecnología y Producto de SUSE, el movimiento responde a un objetivo claro: trasladar al terreno de la infraestructura digital el mismo principio que ha guiado a SUSE desde su fundación.

Citar"EuroStack comparte muchas de nuestras creencias fundamentales", afirmó Di Giacomo. "Estamos entusiasmados de colaborar en la creación y adopción de soluciones digitales soberanas a escala europea, que ofrezcan verdadera libertad a empresas y gobiernos para construir sus sistemas sin ataduras artificiales".

Esta visión encarna el propósito de SUSE de impulsar un modelo de innovación abierto y colaborativo, donde cada organización pueda decidir cómo construir, desplegar y administrar sus entornos tecnológicos, sin depender de un único proveedor de nube o software. En un contexto donde los servicios digitales se han vuelto esenciales para la economía, la soberanía tecnológica es más que una tendencia: es una necesidad estratégica.

EuroStack: una infraestructura europea para un futuro digital autónomo

EuroStack surge como respuesta a una preocupación compartida por gobiernos, empresas y comunidades tecnológicas europeas: la dependencia excesiva de proveedores extranjeros en el ámbito de la computación en la nube, los servicios digitales y la IA. Su propósito es establecer una base común de infraestructuras digitales soberanas que garanticen el control sobre los datos, la transparencia en los procesos y la libertad de elección tecnológica.

Tal como explica Robert Riemann, líder de EU OS, EuroStack no se limita a un servicio o producto específico, sino que busca abarcar toda la cadena de suministro digital en Europa. La meta es construir un ecosistema interconectado y sostenible que cuente con el apoyo de los principales actores tecnológicos del continente. Entre los impulsores de esta iniciativa destacan Proton AG, Nextcloud, Ecosia, Airbus, Ionos, OVHcloud y ahora SUSE, cuya participación refuerza la legitimidad y el alcance del proyecto.

SUSE y la soberanía digital europea

La adhesión de SUSE llega en un momento clave, marcado por el creciente debate sobre la soberanía digital europea. La Unión Europea ha intensificado sus esfuerzos por crear un entorno tecnológico autónomo y confiable que reduzca la dependencia de grandes corporaciones extracomunitarias. En este sentido, la participación de SUSE en EuroStack no solo es coherente con su filosofía de apertura y elección, sino que también posiciona a la compañía como un pilar estratégico en el desarrollo de soluciones digitales soberanas.

La apuesta por infraestructuras abiertas y auditables tiene implicaciones profundas. No se trata únicamente de defender valores éticos o técnicos, sino de fortalecer la competitividad, la seguridad y la resiliencia digital de Europa. Las empresas y administraciones públicas europeas buscan cada vez más alternativas que les permitan controlar su infraestructura sin comprometer la innovación ni la eficiencia, y en este terreno, SUSE tiene una posición privilegiada para liderar.

Más que una alianza: una oportunidad histórica para Europa

Aunque EuroStack aún se encuentra en una fase inicial, representa una oportunidad sin precedentes para redefinir el futuro digital de Europa. La colaboración entre empresas tecnológicas comprometidas con la apertura y la transparencia puede sentar las bases de un nuevo modelo de infraestructura digital que priorice la soberanía, la interoperabilidad y la sostenibilidad.

El movimiento de SUSE también abre un debate interesante: apostar por soluciones europeas no debe conducir a nuevos monopolios, sino a preservar la diversidad tecnológica y la independencia empresarial. En este sentido, la entrada de SUSE en EuroStack es una decisión coherente y estratégica, alineada tanto con su historia como con los desafíos actuales del mercado global.

En fin...

La adhesión de SUSE a EuroStack marca un punto de inflexión en el impulso hacia una infraestructura digital europea soberana y abierta. Con su filosofía de "Choice Happens" y su firme compromiso con el código abierto, SUSE no solo reafirma su liderazgo en innovación tecnológica, sino que también contribuye activamente a la construcción de un futuro digital independiente, transparente y colaborativo para Europa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ha anunciado una importante expansión y rediseño de su programa de recompensas por errores (Bug Bounty Program), con el objetivo de reforzar la seguridad de su ecosistema y aumentar la colaboración con investigadores de ciberseguridad de todo el mundo.
La compañía ha duplicado las recompensas máximas, ha introducido nuevas categorías de investigación y ha implementado una estructura de pagos más transparente, que marca un nuevo estándar en la industria tecnológica.

Desde su lanzamiento en 2020, el Apple Security Bounty ha entregado más de 35 millones de dólares en recompensas a más de 800 investigadores de seguridad. Algunos reportes individuales han recibido pagos de hasta 500,000 dólares, reflejando la seriedad con la que Apple aborda la detección temprana de vulnerabilidades críticas.

Un salto histórico: hasta $5 millones por vulnerabilidades de clic cero

El cambio más destacado del nuevo programa es el aumento de la recompensa máxima a $2 millones para los investigadores que identifiquen vulnerabilidades de compromiso remoto sin interacción del usuario (clic cero), un tipo de ataque que suele ser explotado por desarrolladores de spyware mercenario como Pegasus o Predator.

Sin embargo, el nuevo sistema de bonificación puede elevar las recompensas hasta los $5 millones, dependiendo de la gravedad y el contexto de la vulnerabilidad descubierta.
Apple afirma que este es "el pago más alto ofrecido por cualquier programa de recompensas existente", y que busca compensar el esfuerzo técnico que implica descubrir fallos de seguridad avanzados en entornos con múltiples capas de protección.

Citar"Nuestro sistema de bonificaciones puede duplicar con creces las recompensas base, con un pago máximo de más de $5 millones. Esto representa una inversión sin precedentes en la seguridad del ecosistema Apple", señaló la compañía.

Nuevas categorías y pagos aumentados en el programa de seguridad

Apple ha actualizado su esquema de recompensas para abarcar una gama más amplia de ataques, desde exploits remotos hasta bypasses de seguridad física y sandbox escapes.
A continuación, algunos de los pagos más relevantes del nuevo sistema:

• Compromiso remoto de clic cero: $2,000,000 (hasta $5M con bonificación)
• Ataque remoto con un solo clic: $1,000,000
• Ataque de proximidad inalámbrico: $1,000,000
• Acceso no autorizado a iCloud: $1,000,000
• Cadena de exploits WebKit con ejecución de código arbitrario: $1,000,000
• Ataque a dispositivo bloqueado con acceso físico: $500,000
• Escape de sandbox de aplicaciones: $500,000
• Escape de sandbox WebKit con un clic: $300,000
• Bypass de macOS Gatekeeper sin interacción del usuario: $100,000
• Premio de estímulo para informes menores pero válidos: $1,000

Apple ha destacado que nunca ha recibido informes que logren una omisión completa de Gatekeeper o un acceso amplio a iCloud sin autenticación, dos de los desafíos más difíciles en su plataforma.
Además, el premio por "proximidad inalámbrica", que antes era de $250,000, ahora alcanza el millón de dólares, e incluye vulnerabilidades relacionadas con chips desarrollados por Apple, como los módems C1 y C1X y el chip inalámbrico N1.

Apple refuerza su estrategia contra el spyware mercenario

La expansión del programa de recompensas no solo busca incentivar la investigación independiente, sino también debilitar la economía del software espía que depende de la compra y venta de exploits de día cero.
Apple reconoce que las cadenas de ataque sofisticadas utilizadas por grupos patrocinados o mercenarios han aumentado en los últimos años, y que incentivar a los investigadores legítimos puede reducir el riesgo global para los usuarios.

La compañía también planea distribuir mil iPhone 17 especialmente diseñados para investigación de seguridad durante 2026, como parte del Security Research Device Program (SRDP).
Estos dispositivos estarán dirigidos a miembros de organizaciones de la sociedad civil que enfrentan mayor riesgo de ser atacados por spyware, y permitirán acceder a configuraciones internas del sistema para pruebas de seguridad avanzadas.

Los investigadores interesados podrán solicitar acceso al programa antes del 31 de octubre de 2025, según informó Apple.

Un enfoque integral de ciberseguridad

Además del aumento en los premios, Apple ha reforzado las medidas de seguridad en iOS, macOS y watchOS, introduciendo protecciones como el Modo de Bloqueo (Lockdown Mode), la integridad reforzada de la memoria y nuevas defensas contra la inyección de código malicioso.

Estas medidas buscan encarecer el desarrollo de spyware sofisticado, reduciendo las oportunidades para los atacantes de aprovechar vulnerabilidades no reportadas.
La empresa asegura que el nuevo esquema de recompensas complementará estas defensas, al canalizar el talento global de los investigadores hacia la detección responsable de vulnerabilidades críticas.

En fin...

El rediseño del programa de recompensas por errores de Apple marca un paso decisivo en la evolución de la ciberseguridad corporativa. Con pagos récord de hasta $5 millones, nuevas categorías de investigación y una estructura transparente, Apple refuerza su compromiso con la seguridad proactiva, invitando a la comunidad global de investigadores a formar parte activa en la protección del ecosistema más seguro del mercado.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El FBI ha incautado oficialmente el dominio BreachForums, una de las plataformas más reconocidas del cibercrimen, utilizada por el grupo ShinyHunters como sitio de filtración y extorsión de datos. La acción coordinada entre Estados Unidos y Francia desmanteló la infraestructura web que servía como punto central para publicar las filtraciones derivadas de los recientes ataques de robo de datos a Salesforce, afectando a grandes corporaciones internacionales.

La operación se produce después de meses de seguimiento digital, durante los cuales los investigadores detectaron que el dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login había sido reutilizado por una alianza de actores conocida como Scatter Lapsus$ Hunters, compuesta por miembros de ShinyHunters, Scatter Spider y Lapsus$. Este grupo había convertido el sitio en un portal de extorsión, exigiendo rescates a empresas comprometidas con la amenaza de publicar información robada.

El dominio BreachForums y su caída definitiva

El dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que había reaparecido en el verano de 2025 como un intento de revivir la comunidad original de BreachForums, volvió a desconectarse tras el arresto de varios administradores. Posteriormente, en octubre, se transformó en una plataforma de fuga de datos vinculada a los ataques masivos contra Salesforce.

El martes 8 de octubre, tanto la versión clearnet como la instancia en la red Tor del sitio fueron desconectadas simultáneamente. Aunque el portal de Tor regresó brevemente, el dominio principal quedó inaccesible y fue redirigido a servidores de Cloudflare asociados con dominios previamente incautados por el gobierno de Estados Unidos.

Horas después, el FBI completó la operación, colocando el clásico banner de incautación y redirigiendo los servidores de nombres a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, confirmando la toma de control oficial. Según el aviso publicado, la acción fue coordinada con autoridades francesas antes de que el grupo cibercriminal iniciara la filtración de los datos sustraídos de Salesforce.

Copias de seguridad y bases de datos bajo control del FBI

Tras la incautación, el propio grupo ShinyHunters confirmó que las fuerzas del orden accedieron y confiscaron copias de seguridad completas de las bases de datos de BreachForums, incluyendo todas las versiones almacenadas desde 2023.

En un mensaje difundido por Telegram y autenticado mediante la clave PGP oficial del grupo, los atacantes reconocieron que la caída del foro era "inevitable", declarando que "la era de los foros ha terminado". Según el comunicado, todos los servidores backend y las bases de datos de custodia fueron incautados, aunque el sitio de filtración en la dark web de ShinyHunters continúa operativo.

Los ciberdelincuentes también aseguraron que ningún miembro central ha sido arrestado hasta el momento, pero descartaron por completo relanzar otro foro, advirtiendo que cualquier futura instancia de BreachForums debe considerarse un honeypot operado o monitoreado por las autoridades.

La campaña de Salesforce sigue activa

A pesar del golpe operativo, el grupo Scatter Lapsus$ Hunters afirmó que la campaña de filtraciones vinculada a Salesforce no se ha detenido. En un nuevo mensaje, los actores de amenazas advirtieron que comenzarán a publicar los datos robados a las 11:59 p. m. EST, centrándose en las empresas que se nieguen a pagar los rescates exigidos.

Entre las compañías incluidas en la lista de víctimas figuran grandes nombres como:
FedEx, Disney / Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald's, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France, KLM, TransUnion, HBO Max, UPS, Chanel e IKEA.

Según los propios hackers, el volumen de información comprometida supera los mil millones de registros que contienen datos de clientes, empleados y detalles de transacciones corporativas.

BreachForums: el fin de una era del cibercrimen

El cierre de BreachForums marca el fin de uno de los foros más influyentes del ecosistema cibercriminal. Desde su creación, el sitio sirvió como sucesor espiritual de RaidForums, ofreciendo un mercado para la compraventa de bases de datos filtradas, accesos comprometidos y herramientas de hacking.

El último relanzamiento oficial de BreachForums fue anunciado en julio de 2025 por ShinyHunters, poco después del arresto de cuatro administradores en Francia, entre ellos los usuarios ShinyHunters, Hollow, Noct y Depressed. Paralelamente, el Departamento de Justicia de EE. UU. presentó cargos contra Kai West, alias IntelBroker, otro miembro prominente del ecosistema.

A mediados de agosto, el foro desapareció nuevamente, y ShinyHunters emitió un comunicado firmado digitalmente informando que la unidad francesa BL2C y el FBI habían incautado su infraestructura. Ese mensaje incluía una advertencia clara: "No habrá más reinicios de BreachForums."

Impacto y consecuencias

La incautación de BreachForums representa una victoria significativa para las fuerzas del orden internacionales y un golpe directo a la economía del cibercrimen. Al tomar control de los dominios, servidores y copias de seguridad, el FBI no solo interrumpe las operaciones de extorsión de ShinyHunters, sino que obtiene inteligencia clave sobre sus colaboradores, clientes y canales de monetización.

Sin embargo, el hecho de que el sitio de fugas en la dark web siga en línea demuestra que los grupos afiliados continúan activos y potencialmente listos para mover sus operaciones a nuevos dominios o infraestructuras descentralizadas.

Los expertos en ciberseguridad advierten que, pese a la caída del foro, los datos robados de Salesforce podrían ser distribuidos a través de canales alternativos, como foros emergentes, mercados cerrados o redes peer-to-peer.

Una operación histórica contra el cibercrimen

La incautación de BreachForums por parte del FBI y las autoridades francesas consolida una tendencia clara: los organismos internacionales están aumentando su cooperación y capacidad de respuesta ante foros de hacking y extorsión de alto perfil.

Mientras ShinyHunters y sus aliados de Scatter Lapsus$ Hunters intentan mantener su campaña de filtraciones, la pérdida de sus dominios y bases de datos marca un punto de inflexión en la guerra digital entre ciberdelincuentes y agencias de seguridad.

Este caso no solo simboliza el colapso de una infraestructura clave del crimen cibernético, sino también la evolución de la respuesta global frente a amenazas complejas, cada vez más organizadas y transnacionales.

Actualización 10/10/2025: El FBI confirma que continúa analizando la información incautada y que se prevén nuevas detenciones relacionadas con la red internacional de ShinyHunters.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa de ciberseguridad Huntress ha confirmado la explotación activa de una vulnerabilidad de día cero que afecta a los productos Gladinet CentreStack y TrioFox, dos soluciones empresariales de sincronización y acceso remoto a archivos ampliamente utilizadas en entornos corporativos.

El fallo, catalogado como CVE-2025-11371 y con una puntuación CVSS de 6.1, corresponde a un error de inclusión de archivos locales no autenticado (LFI) que permite a un atacante remoto acceder a archivos internos del sistema sin necesidad de autenticación. Este tipo de vulnerabilidad puede exponer información sensible, claves de configuración o credenciales que, en manos de un atacante experimentado, pueden desencadenar una cadena de explotación más grave.

Vulnerabilidad CVE-2025-11371: detalles técnicos

Según el análisis de Huntress, todas las versiones anteriores a la 16.7.10368.56560 de Gladinet CentreStack y TrioFox son vulnerables. La empresa detectó los primeros indicios de explotación el 27 de septiembre de 2025, cuando tres clientes reportaron actividad sospechosa vinculada a intentos de acceso a archivos críticos dentro de los sistemas afectados.

La vulnerabilidad permite a un atacante incluir y leer archivos locales del sistema operativo en el que se ejecuta la aplicación web. Entre los archivos más sensibles se encuentra el Web.config, un componente esencial en aplicaciones You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que puede contener la clave de máquina (machineKey) utilizada para firmar y validar los objetos de ViewState.

De acuerdo con el informe de Huntress, los atacantes están utilizando esta falla para extraer la clave de máquina desde el Web.config, lo que posteriormente les permite explotar otra vulnerabilidad anterior y más crítica: CVE-2025-30406.

Relación entre CVE-2025-11371 y CVE-2025-30406

CVE-2025-30406, con una puntuación CVSS de 9.0, fue revelada previamente como un caso de clave de máquina codificada que posibilitaba la ejecución remota de código (RCE) mediante la deserialización insegura de ViewState.

Aunque Gladinet lanzó parches para mitigar esa falla, Huntress descubrió que los atacantes están aprovechando CVE-2025-11371 para recuperar la clave necesaria desde versiones vulnerables y usarla contra instalaciones más nuevas, que ya no son directamente vulnerables al fallo de deserialización.

Este hallazgo sugiere una explotación encadenada:

• El atacante usa CVE-2025-11371 para obtener acceso no autorizado al archivo Web.config.
• Extrae la machineKey codificada en Base64.
• Utiliza dicha clave para firmar ViewState malicioso.
• Inyecta el payload en el servidor vulnerable para ejecutar código remoto.

Esta táctica demuestra un nivel de sofisticación creciente en los ataques dirigidos a plataformas de almacenamiento y acceso remoto en la nube, un segmento crítico en entornos empresariales distribuidos.

Impacto y riesgo para las organizaciones

La explotación combinada de CVE-2025-11371 y CVE-2025-30406 puede resultar en el compromiso total de servidores empresariales, permitiendo a un atacante:

• Robar información confidencial almacenada en los sistemas afectados.
• Manipular archivos o inyectar código malicioso en la aplicación web.
• Desplegar malware o ransomware a través del entorno comprometido.
• Usar el servidor comprometido como punto de acceso para moverse lateralmente dentro de la red corporativa.

Aunque CVE-2025-11371 tiene una puntuación media en la escala CVSS, su explotabilidad real se multiplica al combinarse con vulnerabilidades anteriores, convirtiéndola en un riesgo crítico para organizaciones que aún no han actualizado sus entornos Gladinet.

Medidas de mitigación recomendadas por Huntress

Huntress recomienda acciones inmediatas de mitigación mientras se desarrolla un parche oficial por parte de Gladinet. En concreto, los investigadores Bryan Masters, James Maclachlan, Jai Minton y John Hammond sugieren deshabilitar temporalmente el controlador "UploadDownloadProxy" dentro del archivo Web.config para evitar que la vulnerabilidad sea explotada.

La ruta afectada suele encontrarse en:

C:\Archivos de programa (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config


Aunque esta medida puede afectar ciertas funcionalidades del sistema, es la forma más efectiva de bloquear la explotación del fallo mientras se espera una actualización oficial.

Además, se recomienda:

• Limitar el acceso externo a las interfaces administrativas de CentreStack y TrioFox.
• Supervisar logs y conexiones en busca de patrones inusuales o intentos de acceso a archivos .config.
• Implementar reglas de detección en sistemas EDR/IDS para identificar tráfico anómalo o comandos sospechosos asociados a ViewState.
• Actualizar y revisar las configuraciones de IIS y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, garantizando que las claves de máquina no estén codificadas de forma estática.
• Contactar al soporte de Gladinet para recibir parches o builds interinos que mitiguen el riesgo.

Vulnerabilidad crítica sin parche y explotación en curso

El descubrimiento de CVE-2025-11371 refuerza la necesidad de mantener una supervisión activa sobre las aplicaciones empresariales en la nube, especialmente aquellas que gestionan datos sensibles o sincronizan archivos entre entornos corporativos.

Mientras Gladinet aún no publica un parche oficial, la explotación confirmada por Huntress indica que la amenaza es real y actual. Las organizaciones que utilicen CentreStack o TrioFox deben actuar de inmediato aplicando las medidas temporales, restringiendo el acceso remoto y vigilando cualquier indicio de actividad anómala.

La historia reciente de estas plataformas demuestra que las vulnerabilidades encadenadas —como la combinación de LFI + deserialización ViewState— son una tendencia en ascenso, utilizada por atacantes que buscan maximizar el impacto y evadir detecciones convencionales.

La conclusión es clara: la prevención y la detección temprana son la única defensa eficaz frente a vulnerabilidades de día cero activamente explotadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de Fortinet FortiGuard Labs han documentado una campaña activa de malware denominada Stealit que está aprovechando la función experimental Single Executable Application (SEA) de Node.js —y en variantes seleccionadas, el framework Electron— para encapsular y distribuir cargas útiles maliciosas. El uso de ejecutables "todo en uno" permite a los atacantes ejecutar código JavaScript malicioso en máquinas que no tienen Node.js instalado, lo que facilita la distribución y complica la detección tradicional.

Vectores de distribución y alcance

Los actores detrás de Stealit propagan el malware mediante instaladores falsos que imitan juegos populares y aplicaciones VPN. Estos instaladores suelen alojarse en sitios de intercambio de archivos y plataformas de comunicación (por ejemplo, Mediafire y Discord), donde los usuarios son inducidos a descargar y ejecutar el archivo creyendo que es legítimo. Esta estrategia de ingeniería social —"te doy un juego/una VPN gratis"— sigue siendo altamente efectiva cuando los usuarios no verifican la procedencia del instalador.

Capacidades y modelo comercial (MaaS)

Stealit opera como un malware-as-a-service (MaaS): en un portal público los operadores ofrecen planes de suscripción para diferentes funcionalidades, incluyendo un troyano de acceso remoto (RAT) capaz de extraer archivos, controlar la cámara, transmitir la pantalla en vivo y desplegar ransomware dirigido a Android y Windows. Los precios citados en los portales asociados al actor varían ampliamente (suscripciones semanales hasta licencias de por vida), lo que confirma la intención de monetizar el servicio y facilitar su acceso a clientes criminales.

Técnicas técnicas destacadas

Los instaladores falsos contienen un dropper/instalador que realiza comprobaciones anti-análisis (detectar si corre en entornos virtuales/aislados) antes de recuperar los componentes principales desde servidores de comando y control (C2). Parte del flujo consiste en generar una clave de autenticación codificada en Base64 —una cadena alfanumérica de 12 caracteres— y escribirla en %temp%\cache.json. Esa clave sirve para autenticarse con el C2 y también para permitir el acceso al panel de control del servicio MaaS. Además, Stealit intenta modificar exclusiones del Microsoft Defender para evitar que las carpetas con los componentes descargados sean analizadas.

Ejecutables y funciones observadas

FortiGuard y análisis secundarios identificaron tres binarios con roles concretos:

• save_data.exe: se descarga y ejecuta solo con privilegios elevados; diseñado para eliminar y reemplazar herramientas y para extraer datos de navegadores Chromium (empaquetando utilidades externas como ChromElevator).
• stats_db.exe: enfocado en exfiltrar datos de mensajería (Telegram, WhatsApp), billeteras de criptomonedas y extensiones de wallet (p. ej. Atomic, Exodus), además de datos relacionados con plataformas de juegos (Steam, Minecraft, Epic Games).
• game_cache.exe: implementa persistencia (crea scripts VBScript para reinicio), transmite pantalla en tiempo real, ejecuta comandos arbitrarios, y permite carga/descarga de archivos y cambios en el fondo de escritorio.
• Estas funciones muestran un diseño modular orientado tanto al robo de credenciales/activos digitales como al control remoto continuo de los hosts comprometidos.

Riesgo operativo y motivación del atacante

El aprovechamiento de funcionalidades nuevas o experimentales (como SEA) ofrece al atacante ventajas tácticas: sorpresa, novedad técnica y mayor probabilidad de evadir firmas estáticas de AV. Al empaquetar JavaScript en ejecutables independientes y, en algunas variantes, usar Electron, los operadores aumentan la portabilidad y reducen la dependencia de entornos específicos, lo que incrementa el radio de ataque. Fortinet advierte que los operadores buscan precisamente ese elemento de novedad para "pillar con la guardia baja" a herramientas y analistas.

Recomendaciones prácticas (acciones inmediatas)

• No ejecutar instaladores de fuentes no verificadas: evitar archivos EXE descargados desde links de Discord, foros o repositorios públicos sin verificación. (aplicable de inmediato).
• Hardenizar endpoints: aplicar políticas que bloqueen la ejecución de binarios desde %temp% o ubicaciones de usuarios, y restringir permisos de instalación a cuentas con MFA y control centralizado.
• Monitoreo y detección: desplegar reglas EDR/IDS para detectar creación de %temp%\cache.json, conexiones salientes a dominios C2 no autorizados y procesos que manipulen exclusiones de Windows Defender.
• Actualizaciones y firmas: mantener soluciones EPP/EDR actualizadas y revisar firmas y heurísticas que cubran empaquetadores Node.js/Electron. FortiGuard ya ofrece indicadores y firmas que deben integrarse en los controles.
• Conciencia y formación: campañas de phishing simulation para educar a usuarios sobre enlaces y archivos sospechosos, poniendo énfasis en la suplantación de instaladores de juegos y VPN.

En fin...

La campaña Stealit confirma una tendencia preocupante: los operadores de malware evolucionan rápidamente, incorporando nuevas capacidades de empaquetado (Node.js SEA, Electron) y modelos MaaS para escalar sus operaciones. Detectar y mitigar esta amenaza exige una combinación de políticas de control de ejecución, monitoreo proactivo, actualización de firmas y formación continua de usuarios. Mantenerse informado con fuentes de inteligencia (por ejemplo, FortiGuard Labs y análisis técnicos independientes) y aplicar contramedidas concretas reducirá la ventana de exposición frente a campañas como Stealit.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El popular motor antivirus ClamAV ha lanzado su versión 1.5, reafirmando su posición como una de las herramientas de código abierto más confiables y versátiles para la detección de malware en múltiples plataformas. Desarrollado por Cisco Talos, ClamAV mantiene su enfoque en la transparencia, estabilidad y adaptabilidad, ofreciendo una solución gratuita y robusta tanto para entornos Linux y UNIX como para Windows y macOS.

Con esta nueva versión, el equipo de desarrollo ha incorporado mejoras significativas en seguridad, compatibilidad y rendimiento, que consolidan a ClamAV como una alternativa sólida frente a las soluciones antivirus comerciales.

Un motor antivirus transparente y adaptable

ClamAV 1.5 continúa siendo un referente en el ámbito de la seguridad informática de código abierto, utilizado ampliamente en servidores, pasarelas de correo electrónico, herramientas DevOps y entornos empresariales. Su capacidad para integrarse con otros sistemas y escanear múltiples tipos de archivos lo convierte en una opción ideal para proteger infraestructuras críticas sin depender de software propietario.

La filosofía de desarrollo abierto de Cisco Talos permite a investigadores y administradores de sistemas auditar el código, mejorar la detección de amenazas emergentes y mantener la confianza en el ciclo de actualizaciones del proyecto.

Principales novedades de ClamAV 1.5

Entre las mejoras más destacadas de esta versión se encuentra una actualización profunda del análisis de documentos Microsoft Office basados en OLE2, que ahora permite verificar si están cifrados, mejorando la capacidad del motor para detectar archivos potencialmente maliciosos o manipulados.

Otra incorporación importante es el soporte de expresiones regulares en la opción de configuración OnAccessExcludePath dentro del archivo clamd.conf. Esto permite un control más granular sobre los directorios excluidos del escaneo en tiempo real, facilitando la personalización en entornos complejos.

Además, ClamAV 1.5 introduce un nuevo sistema de firma y verificación de bases de datos CVD mediante archivos .sign externos, lo que refuerza la integridad y autenticidad de las actualizaciones de definiciones de virus. También se puede definir un directorio alternativo para certificados CVD, ofreciendo más flexibilidad en entornos corporativos o de alta seguridad.

Mejoras en FreshClam, Sigtool y configuración de certificados

El componente FreshClam, encargado de mantener actualizadas las bases de datos de firmas, ahora descarga automáticamente las firmas externas asociadas a los ficheros .cvd y parches .cdiff, reduciendo la intervención manual.
Por su parte, Sigtool, la utilidad de línea de comandos de ClamAV, amplía sus funciones al permitir firmar y verificar archivos externos, una medida que incrementa la confiabilidad de las actualizaciones.

Durante la instalación, el propio ClamAV crea un directorio certs dentro de la ruta de configuración (por defecto /etc/certs), aunque esta ubicación puede personalizarse según las necesidades del entorno. Esta mejora simplifica la administración de certificados y refuerza la seguridad de las comunicaciones.

Modo FIPS y eliminación de algoritmos inseguros

Uno de los cambios más relevantes de ClamAV 1.5 es la introducción de un modo compatible con los estándares FIPS (Federal Information Processing Standards). Al habilitarlo, el sistema desactiva los algoritmos criptográficos obsoletos como MD5 y SHA1 en las operaciones de verificación de firmas y detección de falsos positivos.
Esta decisión sigue las recomendaciones de seguridad actuales y garantiza la operatividad del antivirus en entornos regulados o gubernamentales, donde la conformidad con FIPS es obligatoria.

Aun así, ClamAV puede seguir calculando hashes MD5 y SHA1 con fines informativos o de detección, manteniendo un equilibrio entre compatibilidad y seguridad.

Rendimiento mejorado y mayor precisión

A nivel interno, el sistema de caché de archivos limpios ha sido optimizado para utilizar el algoritmo SHA2-256, aumentando la fiabilidad en la verificación y minimizando el riesgo de colisiones.
Asimismo, se han añadido opciones para restringir comandos administrativos, mejorar la precisión de los contadores de bytes escaneados y ampliar el soporte de tipos de archivo, lo que refuerza la eficiencia del motor de análisis.

Compatibilidad y portabilidad extendidas

ClamAV 1.5 también amplía su compatibilidad con nuevos entornos y formatos, incluyendo:

• Soporte para extraer archivos ZIP corruptos.
• Reconocimiento de tipos de archivo asociados a modelos de inteligencia artificial.
• Inclusión de comentarios en línea dentro de los archivos de configuración.
• Generación de archivos .cdiff y .script con nombres que contengan guiones bajos.

Además, esta versión mejora la compilación en sistemas Solaris y GNU/Hurd, e implementa una integración más robusta con la biblioteca NCurses, lo que hace a ClamAV más portable, estable y funcional en diversos sistemas UNIX y derivados.

Una actualización sólida y confiable

Con la versión 1.5, ClamAV reafirma su compromiso con la seguridad, la transparencia y la innovación en el software libre. Las nuevas funciones no solo fortalecen la detección de amenazas modernas, sino que también mejoran la estabilidad y adaptabilidad en entornos heterogéneos.

Ya sea para proteger servidores, estaciones de trabajo o integraciones en sistemas automatizados, ClamAV 1.5 se consolida como un antivirus gratuito y de código abierto indispensable en cualquier estrategia de ciberseguridad profesional.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas alineado con China, identificado por los investigadores como UTA0388, ha sido atribuido a una serie de campañas de spear-phishing dirigidas a objetivos en Norteamérica, Asia y Europa cuyo propósito principal es entregar una puerta trasera desarrollada en Go conocida como GOVERSHELL. Estas operaciones, documentadas en un informe técnico de Volexity, muestran un uso combinado de señuelos altamente personalizados, infraestructuras legítimas para alojar cargas y —de forma notable— modelos de lenguaje grande (LLM) para automatizar y traducir contenidos de phishing.

Según Volexity, las primeras oleadas se presentaron con mensajes supuestamente enviados por investigadores o analistas de alto nivel de organizaciones fabricadas con nombres verosímiles. Posteriormente el actor evolucionó hacia phishing de creación de relaciones: secuencias de interacción largas para ganarse la confianza del objetivo antes de entregar el enlace malicioso. Los vínculos entregaban archivos ZIP o RAR que contenían una DLL maliciosa iniciada mediante DLL sideloading, método clásico para ejecutar cargas no autorizadas en entornos Windows.

Multilingüismo, servicios legítimos y uso de LLMs

UTA0388 desplegó cebos en inglés, chino, japonés, francés y alemán. En varias ocasiones los archivos maliciosos estuvieron alojados en servicios legítimos como Netlify, Sync y OneDrive, mientras que los correos partieron desde cuentas en Proton Mail, Outlook y Gmail. Un hallazgo crítico es el uso de ChatGPT para generar contenido del phishing en múltiples idiomas, asistir en flujos de trabajo maliciosos y recabar instrucciones sobre herramientas de reconocimiento (por ejemplo Nuclei y fscan). OpenAI bloqueó cuentas asociadas tras la detección del abuso.

Proofpoint y otras firmas han observado actividad solapada: Volexity indica que la operación se traslapa en parte con un clúster que Proofpoint registra como UNK_DropPitch, lo que sugiere convergencia en técnicas y objetivos en campañas centradas en inteligencia financiera y geopolítica regional.


GOVERSHELL: evolución y variantes identificadas

GOVERSHELL es la evolución de una familia previa en C++ conocida como HealthKick y ya presenta al menos cinco variantes con capacidades diferenciadas:

• HealthKick (abr. 2025): ejecución de comandos via cmd.exe.
• TE32 (jun. 2025): shell inverso en PowerShell para ejecución directa de comandos.
• TE64 (jul. 2025): ejecución nativa y dinámica mediante PowerShell; sondeo de servidor C2.
• WebSocket (jul. 2025): comunica vía WebSocket y soporta comandos PowerShell con subcomando de actualización.
• Beacon (sep. 2025): agrega intervalos de sondeo aleatorizados y ejecución dinámica de PowerShell.

La combinación de un implante en Go con módulos que usan PowerShell y DLL sideloading hace a GOVERSHELL flexible y difícil de detectar mediante firmas simples.

Impacto observado y objetivos

Volexity evalúa que el perfil de orientación es coherente con intereses geopolíticos asiáticos, con especial focalización en temas relacionados con Taiwán; además, se han reportado campañas contra departamentos gubernamentales europeos —incluyendo un caso reciente vinculado a la aviación en Serbia descrito por StrikeReady Labs— y otras instituciones en Hungría, Bélgica, Italia y Países Bajos. Esto evidencia un uso operacional del malware tanto contra objetivos diplomáticos como industriales.

Técnicas, tácticas y procedimientos (TTPs) destacados

• Spear-phishing multilíngüe y phishing de creación de relaciones para establecer confianza.
• Uso de infraestructuras en la nube y servicios legítimos para hospedar cargas y evadir bloqueos.
• DLL sideloading para ejecutar la puerta trasera desde un cargador legítimo.
• Automatización con LLMs (ChatGPT) para adaptar y escalar las campañas en múltiples idiomas.

Recomendaciones prácticas de defensa

• Bloquear y analizar enlaces entrantes: aplicar filtros URL y sandboxing antes de permitir descargas.
• Inspección y restricción de cargas remotas (OneDrive, Netlify, etc.): configurar políticas para bloquear ejecutables y archivos comprimidos desde remitentes no verificados.
• Endurecer ejecución en endpoints: mitigar DLL sideloading y aplicar políticas de restricción (AppLocker/WDAC).
• Monitoreo de PowerShell: habilitar registro avanzado de PowerShell y telemetría para detectar comandos atípicos.
• Concienciación y simulaciones: reforzar formación en phishing y ejecutar ejercicios de red team/red-blue para validar detecciones.
• Revisión de cuentas y automatización: auditar cuentas que generan contenido automatizado y aplicar MFA y límites de uso de APIs y servicios de IA donde sea posible.

En fin...

La campaña de UTA0388 y la proliferación de GOVERSHELL confirman una tendencia crítica: los actores sofisticados combinan automatización impulsada por IA, infraestructuras legítimas y técnicas clásicas de persistencia para maximizar éxito y evadir detecciones. La respuesta efectiva exige controles técnicos, visibilidad de red y formación humana. Mantener políticas de bloqueo de ejecución, observabilidad de PowerShell y controles sobre servicios en la nube reducirá significativamente el riesgo de intrusión y despliegue de implantes como GOVERSHELL.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva botnet a gran escala llamada RondoDox está generando preocupación en la comunidad de ciberseguridad por su capacidad para explotar simultáneamente decenas de vulnerabilidades en una amplia gama de dispositivos conectados. Según investigadores de Trend Micro y FortiGuard Labs, esta red maliciosa ha estado activa desde junio y se dirige principalmente a DVR, NVR, sistemas de CCTV, routers y servidores web vulnerables.

A diferencia de otras botnets más discretas, RondoDox emplea una técnica conocida como "escopeta de exploit", en la que se lanzan múltiples ataques de explotación al mismo tiempo para maximizar el número de infecciones, sin importar que la actividad resulte ruidosa o fácilmente detectable.

Una amenaza en expansión: RondoDox amplía su lista de vulnerabilidades

Desde su descubrimiento, los analistas de FortiGuard Labs han observado que RondoDox ha incrementado el número de fallas que explota, alcanzando ya 56 vulnerabilidades en más de 30 dispositivos distintos. Entre las primeras detectadas figuran CVE-2024-3721 y CVE-2024-12856, pero la lista crece rápidamente conforme los atacantes integran nuevos exploits.

Esta evolución demuestra que los desarrolladores de la botnet siguen de cerca las vulnerabilidades expuestas públicamente, especialmente las demostradas en los eventos de Pwn2Own, organizados por la Zero Day Initiative (ZDI) de Trend Micro.

Pwn2Own es una prestigiosa competencia internacional donde expertos de sombrero blanco presentan exploits de día cero en productos ampliamente utilizados. Sin embargo, los actores maliciosos también siguen de cerca estos concursos para aprovechar los fallos antes de que las empresas afectadas publiquen sus parches.

Explotación masiva de vulnerabilidades "día n"

De acuerdo con Trend Micro, RondoDox está explotando activamente la vulnerabilidad CVE-2023-1389, descubierta originalmente durante Pwn2Own Toronto 2022. Esta falla afecta al router TP-Link Archer AX21, un dispositivo de consumo ampliamente distribuido.

Los investigadores advierten que el desarrollador de RondoDox toma como referencia las demostraciones de Pwn2Own para construir su arsenal de exploits, de manera muy similar a lo que hizo en su momento la botnet Mirai, que también aprovechó CVE-2023-1389 en 2023 para expandirse rápidamente.

A continuación se listan algunas de las principales vulnerabilidades que RondoDox incorpora en su repertorio de ataques:

• Digiever – CVE-2023-52163
• QNAP – CVE-2023-47565
• D-Link – CVE-2024-10914
• TRENDnet – CVE-2023-51833
• Netgear – CVE-2024-12847
• AVTECH – CVE-2024-7029
• TOTOLINK – CVE-2024-1781 / CVE-2025-1829 / CVE-2025-5504
• TP-Link – CVE-2023-1389
• Tenda – CVE-2025-7414
• Linksys – CVE-2025-34037
• Edimax – CVE-2025-22905
• Meteobridge – CVE-2025-4008

Estas fallas abarcan un amplio espectro de dispositivos IoT, desde cámaras IP y grabadores de video hasta routers domésticos y empresariales, lo que convierte a RondoDox en una amenaza particularmente versátil y peligrosa.

Vulnerabilidades sin parche y dispositivos en fin de vida útil

Uno de los factores que favorece la expansión de RondoDox es la persistencia de vulnerabilidades sin parchear, especialmente en equipos que ya alcanzaron su fin de vida útil (EoL). Muchos usuarios y empresas continúan utilizando estos dispositivos sin soporte, lo que los deja altamente expuestos a ataques automatizados.

Por otro lado, incluso los dispositivos más recientes y con soporte activo pueden resultar vulnerables si los usuarios no aplican las actualizaciones de firmware. La tendencia a ignorar los avisos de actualización tras la configuración inicial sigue siendo un problema común en el entorno IoT.

De hecho, Trend Micro ha confirmado que RondoDox también explota 18 fallas de inyección de comandos que aún no cuentan con identificador CVE, lo que sugiere que parte de su arsenal está compuesto por vulnerabilidades desconocidas o no divulgadas públicamente. Estas afectan a unidades NAS de D-Link, DVR TVT y LILIN, enrutadores Fiberhome, ASMAX y Linksys, además de cámaras Brickcom y otros dispositivos aún no identificados.

Cómo protegerte contra RondoDox y otras botnets IoT

Ante el crecimiento constante de botnets como RondoDox, las organizaciones y los usuarios deben adoptar medidas de ciberseguridad preventiva para evitar que sus dispositivos sean reclutados en estas redes maliciosas. Los expertos recomiendan:

• Aplicar las últimas actualizaciones de firmware disponibles directamente desde los sitios oficiales de cada fabricante.
• Reemplazar los dispositivos EoL o sin soporte, ya que no recibirán parches de seguridad.
• Segregar la red: separar los equipos críticos de las redes que albergan dispositivos IoT o conexiones de invitados.
• Desactivar servicios innecesarios y accesos remotos en routers, cámaras IP o grabadores de video.
• Cambiar las credenciales predeterminadas por contraseñas seguras y únicas para cada dispositivo.
• Supervisar el tráfico de red para detectar comportamientos inusuales o conexiones sospechosas a direcciones IP desconocidas.

Estas medidas no solo ayudan a prevenir infecciones por RondoDox, sino que también reducen la superficie de ataque frente a otras botnets activas, como Mozi, Miraigo o Hajime, que continúan circulando en el ecosistema IoT.

RondoDox, una nueva era en la explotación masiva de IoT

La aparición de RondoDox marca un nuevo capítulo en la evolución de las botnets modernas, donde los atacantes combinan vulnerabilidades recientes y fallos antiguos en una misma campaña para lograr una expansión rápida y sostenida.

Su capacidad para explotar decenas de vulnerabilidades simultáneamente demuestra que los delincuentes digitales están automatizando y escalando la explotación a niveles sin precedentes, especialmente en dispositivos IoT y de videovigilancia.

Mientras RondoDox sigue activa y en expansión, la mejor defensa sigue siendo la prevención, el parcheo constante y la vigilancia proactiva. Las empresas deben priorizar la gestión de vulnerabilidades y la segmentación de red como pilares fundamentales de su estrategia de ciberseguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha confirmado que está trabajando activamente para resolver un problema conocido en Defender for Endpoint, su plataforma de seguridad empresarial, que provocó que versiones completamente compatibles de SQL Server 2017 y 2019 fueran etiquetadas como software fuera de soporte (End of Life, EOL).

El error, que salió a la luz a través de una alerta de servicio obtenida por BleepingComputer, comenzó a afectar a clientes de Microsoft Defender XDR (Extended Detection and Response) desde la mañana del miércoles. En los paneles de administración, los equipos de seguridad comenzaron a recibir advertencias erróneas sobre el estado de sus instalaciones de SQL Server, lo que generó confusión en múltiples entornos corporativos.

Error en Microsoft Defender: SQL Server 2017 y 2019 marcados como obsoletos

De acuerdo con la información publicada, Microsoft Defender for Endpoint clasificó por error las versiones de SQL Server 2017 y SQL Server 2019 como software que había llegado al fin de su vida útil, a pesar de que ambas continúan recibiendo soporte oficial.

En realidad, SQL Server 2019 cuenta con soporte extendido hasta enero de 2030, mientras que SQL Server 2017 mantendrá soporte hasta octubre de 2027, es decir, dentro de más de dos años.

La clasificación errónea llevó a que varios administradores de TI y responsables de ciberseguridad creyeran que sus entornos estaban desactualizados o en riesgo de seguridad, generando potenciales interrupciones en la gestión y evaluación de vulnerabilidades.

Microsoft identifica la causa: un cambio reciente en el código

Según la propia compañía, el origen del fallo radica en un cambio reciente introducido en el código del sistema de clasificación de fin de soporte. Este ajuste provocó que los mecanismos internos de Defender identificaran incorrectamente los binarios de SQL Server, asignándoles etiquetas de software no compatible.

Microsoft reconoció el incidente en un comunicado oficial emitido el jueves por la mañana, unas 24 horas después de confirmarse el problema. En sus palabras:

Citar"Los usuarios con SQL Server 2019 y 2017 instalados pueden ver un etiquetado inexacto dentro de la administración de amenazas y vulnerabilidades. Continuamos implementando una solución diseñada para revertir el cambio ofensivo que introdujo el problema del código."

La empresa indicó además que ya ha comenzado el despliegue de una solución progresiva que revertirá la alteración errónea, aunque todavía no ha proporcionado un cronograma definitivo de finalización.

Alcance e impacto del problema

Aunque Microsoft mencionó que el fallo podría afectar a todos los clientes con SQL Server 2017 o 2019, no ofreció cifras específicas sobre el número de organizaciones o dispositivos impactados.

El incidente fue catalogado internamente como un "aviso" (advisory), una designación que la compañía suele usar cuando un problema tiene un alcance limitado o impacto controlado, a diferencia de las alertas críticas que implican interrupciones de servicio generalizadas.

Aun así, el evento evidencia la importancia de una comunicación clara y una gestión proactiva de incidentes dentro de las plataformas de seguridad empresarial, especialmente en entornos donde las etiquetas de "fin de soporte" pueden generar decisiones inmediatas de actualización o reemplazo de software crítico.

Antecedentes recientes: otros errores en Microsoft Defender

El fallo relacionado con SQL Server no es un caso aislado. Durante las últimas semanas, Microsoft Defender for Endpoint ha experimentado varios incidentes menores que afectaron a distintos entornos y plataformas.

La semana anterior, Microsoft resolvió un error similar que hacía que Defender marcara firmware de BIOS en dispositivos Dell como obsoleto, lo que llevó a que numerosos usuarios intentaran actualizar un firmware que ya estaba al día.

Asimismo, los ingenieros de Redmond corrigieron recientemente bloqueos de pantalla negra en macOS posteriores al 29 de septiembre. Este problema estaba asociado a un punto muerto (deadlock) en el marco de seguridad empresarial de Apple, que se manifestaba cuando múltiples soluciones de seguridad intentaban procesar los mismos eventos simultáneamente.

En otro caso, a comienzos de septiembre, Microsoft tuvo que mitigar un falso positivo en su sistema antispam que estaba bloqueando correos electrónicos legítimos y restringiendo el acceso a URL en Exchange Online y Microsoft Teams.

Medidas preventivas y lecciones aprendidas

Este tipo de fallos ponen en evidencia la complejidad de los sistemas de seguridad integrados y la necesidad de mantener una supervisión constante en los procesos de actualización automatizados. Aunque los cambios de código en plataformas como Defender son esenciales para mejorar la detección de amenazas, también pueden introducir errores no previstos que afecten a la continuidad operativa.

Microsoft, por su parte, ha reiterado su compromiso de mejorar la validación interna y la monitorización post-implementación para reducir el riesgo de este tipo de incidentes en el futuro.

Para las organizaciones que dependen de Microsoft Defender XDR, se recomienda:

• Verificar el estado real de soporte de los productos afectados directamente en el Ciclo de vida de productos de Microsoft.
• Evitar tomar acciones drásticas basadas únicamente en alertas de "fin de soporte" hasta confirmar su autenticidad.
• Monitorear los comunicados oficiales de Microsoft 365 y Defender para obtener actualizaciones en tiempo real sobre correcciones y parches.

En fin...

El incidente de etiquetado incorrecto en Microsoft Defender refuerza una realidad del panorama actual de la ciberseguridad: la automatización es poderosa, pero no infalible. A pesar del alcance limitado, la confusión generada entre administradores demuestra que incluso los sistemas de seguridad más avanzados pueden verse afectados por simples cambios de código.

Con la corrección ya en curso, Microsoft reafirma su compromiso con la fiabilidad de Defender for Endpoint, asegurando que los entornos empresariales basados en SQL Server continúen operando con precisión y confianza hasta el final de su ciclo de soporte oficial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La temida banda de ransomware Clop ha vuelto a ser noticia tras confirmarse que ha estado explotando una vulnerabilidad crítica de día cero en Oracle E-Business Suite (EBS) para realizar ataques de robo de datos corporativos desde principios de agosto de 2025. La firma de ciberseguridad CrowdStrike confirmó la campaña y señaló que la falla, rastreada como CVE-2025-61882, representa una amenaza severa para las organizaciones que aún no han aplicado el parche de seguridad liberado por Oracle.

Una falla crítica con potencial de ejecución remota de código

La vulnerabilidad CVE-2025-61882, corregida recientemente por Oracle, reside en el componente BI Publisher Integration del módulo Concurrent Processing de EBS. Este error permite que atacantes no autenticados ejecuten código de manera remota en sistemas vulnerables sin interacción del usuario, lo que facilita la infiltración y exfiltración de datos sensibles con muy baja complejidad técnica.

Investigadores de watchTowr Labs descubrieron, tras realizar ingeniería inversa a un exploit de prueba de concepto (PoC) filtrado por el grupo de ciberdelincuencia Scatter Lapsus$ Hunters, que CVE-2025-61882 no es una vulnerabilidad aislada, sino una cadena de fallas interconectadas. Esta cadena permite que los atacantes obtengan ejecución remota de código (RCE) a través de una sola solicitud HTTP, incrementando drásticamente el riesgo de explotación masiva.

CrowdStrike confirma explotación activa desde agosto

De acuerdo con un informe publicado por CrowdStrike Intelligence, la banda de ransomware Clop comenzó a explotar la falla desde el 9 de agosto de 2025 como un día cero, antes de que Oracle tuviera conocimiento del error. Los investigadores detectaron múltiples incidentes en los que los atacantes comprometieron servidores EBS y robaron documentos confidenciales, probablemente con fines de extorsión.

"CrowdStrike evalúa con confianza moderada que GRACEFUL SPIDER, el grupo detrás de Clop, está involucrado directamente en esta campaña, aunque no se descarta la participación de otros actores de amenazas", señalaron los analistas.

La publicación del PoC el 3 de octubre de 2025, junto con el lanzamiento del parche oficial, podría detonar un aumento en los intentos de explotación. Los expertos de CrowdStrike advierten que cualquier instancia de Oracle EBS expuesta a Internet podría ser vulnerable si no se ha actualizado de inmediato.

Clop intensifica sus campañas de extorsión

Fuentes de Mandiant y del Google Threat Intelligence Group (GTIG) revelaron a BleepingComputer que Clop ha estado enviando correos electrónicos de extorsión a ejecutivos de distintas compañías, reclamando la posesión de datos robados desde sistemas Oracle E-Business Suite comprometidos. En estos mensajes, los atacantes amenazan con publicar la información si las víctimas no pagan un rescate en criptomonedas.

El jueves, Oracle confirmó la conexión entre estos intentos de extorsión y la vulnerabilidad CVE-2025-61882, instando a todos sus clientes a aplicar los parches sin demora.

"Oracle recomienda encarecidamente que los clientes instalen las actualizaciones proporcionadas por esta alerta de seguridad lo antes posible. Permanecer en versiones con soporte activo y aplicar todos los parches críticos es esencial para mitigar el riesgo", declaró la compañía.

Historial de ataques de día cero de Clop

El grupo Clop, también conocido como GRACEFUL SPIDER, tiene un historial bien documentado de aprovechar vulnerabilidades de día cero para realizar campañas masivas de robo de datos. En enero de 2025, la banda comprometió múltiples organizaciones explotando una falla crítica (CVE-2024-50623) en el software Cleo Integration Cloud, utilizado para transferencias seguras de archivos.

Previamente, el grupo fue responsable de ataques similares contra Accellion FTA, GoAnywhere MFT y MOVEit Transfer, siendo este último uno de los incidentes de exfiltración más grandes de la historia, con más de 2.770 organizaciones afectadas en todo el mundo.

Estas operaciones le han permitido a Clop construir una infraestructura de extorsión global, vendiendo los datos robados o publicándolos en la dark web para presionar a las víctimas. Dada su sofisticación y persistencia, el Departamento de Estado de Estados Unidos ofrece actualmente una recompensa de 10 millones de dólares por información que vincule a Clop con algún gobierno extranjero o permita su desmantelamiento.

Un llamado urgente a la acción

La combinación de una vulnerabilidad crítica, un exploit público y un grupo con amplia experiencia en campañas de extorsión convierte a CVE-2025-61882 en una de las amenazas más graves del año para las empresas que utilizan Oracle E-Business Suite.
Tanto CrowdStrike como Oracle coinciden en que la prioridad inmediata es aplicar el parche de seguridad y revisar las configuraciones de exposición de EBS a Internet.

Los administradores de sistemas deben verificar si sus entornos se encuentran actualizados, revisar los logs en busca de actividad sospechosa y, de ser posible, segmentar los servidores de Oracle del resto de la red corporativa para reducir la superficie de ataque.

En fin...

El caso de Clop y la vulnerabilidad CVE-2025-61882 refleja cómo los actores de amenazas continúan aprovechando fallos críticos en software empresarial ampliamente utilizado. A medida que la frontera entre las aplicaciones locales y los servicios en la nube se difumina, los ataques de día cero seguirán siendo una de las armas preferidas por los grupos de ransomware más peligrosos del mundo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login