Google ha decidido no corregir una nueva vulnerabilidad de contrabando ASCII en su asistente de inteligencia artificial Gemini, a pesar de que este fallo podría permitir a atacantes alterar el comportamiento del modelo, suministrar información falsa o manipular silenciosamente los datos del sistema.

El ataque, descubierto por Viktor Markopoulos, investigador de seguridad de la firma FireTail, demuestra que Gemini puede ser engañado mediante caracteres invisibles del bloque Unicode Tags, una técnica conocida como contrabando ASCII (ASCII smuggling). Aunque los usuarios no pueden ver estas instrucciones ocultas, los modelos de lenguaje grande (LLM, por sus siglas en inglés) sí las procesan internamente, abriendo la puerta a ataques de manipulación y filtración de información.

¿Qué es el contrabando ASCII y por qué es peligroso?

El contrabando ASCII consiste en insertar caracteres Unicode especiales que no se muestran en la interfaz visible de un usuario, pero que pueden alterar el procesamiento interno del texto por parte de un modelo de IA.

Esto genera una peligrosa brecha entre lo que ve el usuario y lo que interpreta la máquina, permitiendo que actores maliciosos inserten comandos ocultos en textos aparentemente inocuos, como correos electrónicos, invitaciones o publicaciones en redes sociales.

Este tipo de ataque ya había sido teorizado por la comunidad de seguridad desde los inicios de la IA generativa. Sin embargo, el riesgo se ha incrementado drásticamente con la evolución de herramientas agenciales, como Gemini, DeepSeek o Grok, que tienen acceso autónomo a datos personales, correos electrónicos y documentos corporativos.

En otras palabras, lo que antes era una curiosidad técnica ahora puede transformarse en un ataque real y automatizado con consecuencias graves.

Gemini, el asistente vulnerable

De acuerdo con los experimentos realizados por FireTail, Gemini es vulnerable al contrabando ASCII, especialmente en su integración con Google Workspace, donde los atacantes pueden aprovechar la función de IA para procesar información de Gmail y Calendar.

Markopoulos demostró que es posible:

• Insertar comandos invisibles en el título de una invitación de calendario, provocando que Gemini interprete instrucciones no visibles para el usuario.
• Sobrescribir detalles del organizador de un evento, facilitando ataques de suplantación de identidad (phishing).
• Ocultar descripciones o enlaces maliciosos dentro de invitaciones o correos electrónicos.

En el caso de los correos electrónicos, el riesgo es aún más elevado. Si un usuario tiene su bandeja de entrada conectada a Gemini, un correo con comandos ocultos podría instruir al asistente para buscar información confidencial, enviar contactos o reenviar mensajes privados, sin intervención humana.

Markopoulos advierte que esto convierte un simple intento de phishing en una herramienta autónoma de extracción de datos, un escenario especialmente preocupante en entornos empresariales donde Gemini tiene acceso a información sensible.

Comparativa con otros modelos de IA

El estudio de FireTail también evaluó otras plataformas populares de inteligencia artificial:

• Claude, ChatGPT y Microsoft Copilot demostraron ser resistentes al contrabando ASCII, ya que implementan mecanismos de saneamiento de entradas para filtrar o neutralizar caracteres Unicode ocultos.
• En cambio, DeepSeek y Grok mostraron vulnerabilidades similares a las de Gemini, siendo susceptibles a la manipulación mediante cargas útiles invisibles en invitaciones o publicaciones en redes sociales.

La diferencia, según el investigador, radica en el nivel de control que cada empresa ejerce sobre el procesamiento de texto y en las medidas de seguridad implementadas para prevenir la ejecución de instrucciones encubiertas.

La respuesta de Google: "no es un error de seguridad"

El investigador informó los hallazgos a Google el 18 de septiembre de 2025, pero la compañía decidió no corregir el fallo, argumentando que no se trata de un error de seguridad, ya que solo puede explotarse en el contexto de ataques de ingeniería social.

Sin embargo, Markopoulos demostró que el ataque no requiere interacción directa con el usuario. En una prueba, logró que Gemini mostrara un sitio web malicioso como recomendación legítima para adquirir un teléfono "de buena calidad con descuento", todo a partir de una instrucción invisible insertada en la consulta.

El investigador subraya que esta vulnerabilidad no solo afecta la precisión del modelo, sino que también compromete la confianza de los usuarios en los resultados y respuestas del asistente.

Riesgos asociados al uso de Gemini en entornos corporativos

El peligro se amplifica cuando Gemini opera dentro de entornos integrados con Google Workspace, donde puede acceder a:

• Documentos de Drive,
• Correos electrónicos de Gmail,
• Invitaciones y eventos de Calendar,
• Otras aplicaciones colaborativas internas.

Un solo ataque de contrabando ASCII podría ser suficiente para inyectar instrucciones maliciosas y manipular cómo Gemini interpreta la información, sin que el usuario perciba ninguna anomalía visual.

Además, los LLM con capacidades de navegación web también corren riesgo. Si un sitio web contiene texto con cargas útiles ocultas, el modelo podría alimentar enlaces maliciosos al usuario o incluso modificar su propio comportamiento con base en esos comandos invisibles.

La postura del sector y las lecciones aprendidas

A diferencia de Google, otras empresas tecnológicas han comenzado a tomar medidas. Amazon, por ejemplo, publicó una guía de seguridad sobre contrabando de caracteres Unicode, alertando sobre cómo estas secuencias pueden afectar tanto a sistemas de IA como a navegadores o aplicaciones empresariales.

Expertos en ciberseguridad coinciden en que ignorar estas vulnerabilidades puede generar un precedente peligroso. Con el crecimiento de los asistentes de IA conectados a sistemas reales, cada interacción —incluso una invitación o un correo— podría convertirse en un vector de ataque invisible.

En fin...

El ataque de contrabando ASCII en Gemini expone una debilidad crítica en la capa más fundamental de la inteligencia artificial moderna: la interpretación del lenguaje. Al no corregir la falla, Google deja a sus usuarios —y especialmente a las organizaciones que dependen de Workspace— expuestos a manipulaciones sutiles pero potencialmente devastadoras.

La seguridad en los modelos de IA no solo depende de algoritmos sofisticados, sino también de un control estricto sobre lo que los modelos pueden leer, ejecutar e interpretar. En un contexto donde las instrucciones invisibles pueden alterar el comportamiento de una IA, la confianza y la transparencia deben ser la máxima prioridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha confirmado que el grupo de ciberamenazas Storm-1175 está detrás de la explotación activa de una falla crítica en el software Fortra GoAnywhere MFT, utilizada para desplegar el ransomware Medusa, una de las variantes más agresivas y dañinas del panorama actual.

La vulnerabilidad, registrada como CVE-2025-10035, posee una puntuación CVSS de 10.0, la máxima posible, y afecta a múltiples versiones de GoAnywhere MFT. El fallo se debe a un error de deserialización sin autenticación, lo que permite a los atacantes inyectar comandos arbitrarios y ejecutar código remoto (RCE).

Según Microsoft Threat Intelligence, la vulnerabilidad permite que un actor malicioso con una firma de licencia falsificada deserialice objetos controlados por el atacante, abriendo la puerta a la ejecución remota de código en el servidor afectado.

Detalles técnicos de la vulnerabilidad CVE-2025-10035

Fortra, la empresa responsable de GoAnywhere, abordó el problema en las versiones 7.8.4 y 7.6.3 de Sustain, pero los ataques comenzaron antes de la publicación del parche, lo que indica una ventana de explotación activa previa a la corrección.

El exploit descubierto permite a los ciberdelincuentes ejecutar comandos sin autenticación, lo que, en entornos empresariales, puede derivar en:

• Compromiso total del sistema.
• Movimiento lateral dentro de la red corporativa.
• Exfiltración de datos confidenciales.
• Despliegue de ransomware o malware adicional.

Microsoft confirmó que Storm-1175 explotó la vulnerabilidad desde el 11 de septiembre de 2025, mientras que la firma de ciberseguridad watchTowr reportó actividad maliciosa desde al menos el 10 de septiembre, señalando una explotación sostenida y sigilosa durante semanas.

¿Quién es Storm-1175 y cuál es su modus operandi?

Storm-1175 es un grupo de ciberdelincuentes especializado en ransomware y explotación de vulnerabilidades públicas. Este colectivo ha estado vinculado a múltiples campañas de intrusión que combinan técnicas avanzadas de persistencia con el despliegue de ransomware Medusa, conocido por su capacidad de cifrar grandes volúmenes de información y presionar a las víctimas mediante tácticas de doble extorsión.

Una vez que Storm-1175 logra acceso inicial a los servidores vulnerables de GoAnywhere, ejecuta una compleja cadena de ataque que incluye:

• Instalación de herramientas de acceso remoto (RMM) como SimpleHelp y MeshAgent, para mantener persistencia.
• Creación de archivos .jsp dentro de los directorios MFT del servidor comprometido, permitiendo la ejecución continua de comandos maliciosos.
• Ejecución de scripts de reconocimiento para identificar usuarios, redes internas y sistemas conectados.
• Uso de mstsc.exe (Conexión a Escritorio remoto de Windows) para movimiento lateral y expansión del compromiso.
• Establecimiento de canales de comando y control (C2) mediante túneles de Cloudflare, dificultando la detección del tráfico malicioso.
• Uso de Rclone para la exfiltración de datos sensibles antes de desplegar el ransomware Medusa.

El ataque culmina con la encriptación masiva de archivos críticos y la publicación de los datos robados si las víctimas no cumplen con las exigencias económicas del grupo.

Fortra y la falta de transparencia en la respuesta

La explotación de la vulnerabilidad ha generado fuertes críticas hacia Fortra por su aparente lentitud y falta de comunicación durante el proceso de divulgación. Benjamin Harris, CEO de watchTowr, afirmó:

Citar"Las organizaciones que ejecutan GoAnywhere MFT han estado efectivamente bajo ataque silencioso desde al menos el 11 de septiembre, con poca claridad por parte de Fortra. La confirmación de Microsoft ahora pinta una imagen bastante desagradable: explotación, atribución y una ventaja de un mes para los atacantes".

Harris también cuestionó cómo los atacantes obtuvieron las claves privadas necesarias para explotar el sistema y por qué las organizaciones afectadas no fueron alertadas de inmediato.

Citar"Los clientes merecen transparencia, no silencio. Esperamos que Fortra brinde respuestas para que las empresas comprendan su nivel real de exposición ante una vulnerabilidad que está siendo explotada activamente en la naturaleza", añadió.

Impacto global y riesgos para las organizaciones

GoAnywhere MFT es ampliamente utilizado por empresas financieras, tecnológicas y gubernamentales para transferir datos sensibles de manera segura. Por tanto, esta vulnerabilidad representa un riesgo crítico de seguridad empresarial y de cumplimiento normativo.

Las organizaciones que no han actualizado a las versiones parcheadas corren el riesgo de:

• Pérdida o robo de datos críticos.
• Interrupciones operativas significativas.
• Costos de recuperación y reputacionales elevados.
• Sanciones por incumplimiento de normativas de protección de datos.

Medidas de mitigación y protección recomendadas

Microsoft y expertos en ciberseguridad recomiendan tomar las siguientes medidas de inmediato:

• Actualizar GoAnywhere MFT a la versión 7.8.4 o superior, o 7.6.3 de Sustain.
• Revisar los registros del sistema en busca de archivos .jsp sospechosos o actividades anómalas.
• Deshabilitar accesos remotos innecesarios y restringir el tráfico entrante a GoAnywhere.
• Implementar autenticación multifactor (MFA) para todos los usuarios administrativos.
• Monitorizar herramientas RMM desconocidas que puedan indicar persistencia del atacante.
• Verificar la integridad de los certificados y claves privadas utilizadas en la instancia.

En fin...

La confirmación de Microsoft sobre la explotación activa de CVE-2025-10035 marca un nuevo episodio alarmante en la seguridad empresarial. La combinación de un error crítico, una explotación silenciosa y una respuesta tardía ha dejado a miles de organizaciones expuestas a ataques devastadores de ransomware Medusa.

Actualizar inmediatamente, reforzar la autenticación y revisar los registros de actividad son pasos esenciales para mitigar los riesgos y prevenir daños irreversibles. En un entorno donde los actores de amenazas actúan con rapidez y precisión quirúrgica, la respuesta proactiva y la transparencia se han vuelto más importantes que nunca.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Redis, una de las bases de datos en memoria más populares del mundo, ha revelado detalles de una falla de seguridad de máxima gravedad que podría permitir la ejecución remota de código (RCE) bajo ciertas condiciones. La vulnerabilidad, catalogada como CVE-2025-49844 y también conocida como RediShell, recibió una puntuación CVSS de 10.0, la calificación más alta posible, lo que indica un riesgo extremo para los sistemas afectados.

¿En qué consiste la vulnerabilidad RediShell?

De acuerdo con el aviso publicado en GitHub, el problema afecta a todas las versiones de Redis que soportan secuencias de comandos Lua. El error se origina en el manejo del recolector de basura de Lua, lo que permite un escenario de "use-after-free", es decir, el uso de memoria ya liberada, lo que abre la puerta a la ejecución de código arbitrario.

En palabras del aviso técnico:

Citar"Un usuario autenticado puede usar un script Lua especialmente diseñado para manipular el recolector de basura, desencadenar un uso después de la liberación y potencialmente conducir a la ejecución remota de código".

Esto significa que un atacante con acceso autenticado podría ejecutar comandos maliciosos dentro del entorno de Redis y, en consecuencia, comprometer el servidor subyacente.

Condiciones para la explotación

Aunque la vulnerabilidad es extremadamente grave, su explotación requiere acceso autenticado a la instancia de Redis. Por ello, el mayor riesgo se presenta en servidores mal configurados o expuestos directamente a Internet sin autenticación adecuada.

Redis recomienda encarecidamente a los administradores:

• No exponer instancias de Redis al Internet público.
• Habilitar autenticación robusta y limitar el acceso mediante firewalls o redes privadas.
• Actualizar inmediatamente a las versiones corregidas.

Versiones afectadas y actualizaciones disponibles

La vulnerabilidad afecta todas las versiones de Redis anteriores al 3 de octubre de 2025. Las actualizaciones que corrigen el problema ya están disponibles en las siguientes versiones:

• Redis 6.2.20
• Redis 7.2.11
• Redis 7.4.6
• Redis 8.0.4
• Redis 8.2.2

Estas versiones eliminan el fallo de corrupción de memoria y fortalecen los mecanismos de aislamiento en los scripts Lua.

Medidas temporales de mitigación

Para las organizaciones que no puedan aplicar el parche de inmediato, Redis sugiere implementar medidas de contención temporal:

• Restringir los comandos EVAL y EVALSHA mediante una lista de control de acceso (ACL).
• Permitir la ejecución de scripts Lua solo a identidades altamente confiables.
• Monitorizar de forma activa las operaciones inusuales dentro de la base de datos.

Estas medidas no reemplazan la actualización, pero pueden reducir significativamente la superficie de ataque mientras se despliega la corrección.

Un error latente durante más de una década

La falla fue descubierta por investigadores de la empresa de ciberseguridad en la nube Wiz, quienes informaron el hallazgo a Redis el 16 de mayo de 2025. Según Wiz, el error había permanecido oculto en el código fuente de Redis durante más de 13 años, representando una de las vulnerabilidades más antiguas y críticas jamás documentadas en la plataforma.

El informe técnico de Wiz describe el fallo como un error de corrupción de memoria tipo "use-after-free" que permite ejecutar código fuera del sandbox de Lua. En otras palabras, un atacante podría enviar un script Lua malicioso y ejecutar código arbitrario directamente en el host, eludiendo las protecciones internas del intérprete.

Impacto potencial y riesgos para la nube

El impacto de RediShell puede ser devastador. En un escenario de ataque exitoso, un cibercriminal podría:

• Robar credenciales o secretos almacenados en el servidor.
• Eliminar o cifrar datos críticos, facilitando ataques de ransomware.
• Instalar malware o herramientas de cryptojacking.
• Moverse lateralmente dentro de entornos de nube o redes corporativas.

Aunque no existen evidencias de explotación activa en la naturaleza, las instancias de Redis son objetivos frecuentes para ataques de botnets y minería ilícita de criptomonedas. De hecho, datos recientes indican que más de 330,000 instancias de Redis están expuestas públicamente en Internet, y al menos 60,000 carecen de autenticación.

Un llamado urgente a la acción

Wiz advirtió que la combinación de una vulnerabilidad crítica, implementaciones masivas y configuraciones inseguras por defecto genera un escenario de alto riesgo:

"Con cientos de miles de casos expuestos en todo el mundo, esta vulnerabilidad representa una amenaza significativa para organizaciones de todas las industrias. La necesidad de remediación inmediata es urgente".

En consecuencia, los administradores deben aplicar los parches sin demora, auditar sus configuraciones de seguridad y limitar el uso de scripts Lua solo a entornos totalmente controlados.

En fin...

La vulnerabilidad CVE-2025-49844 (RediShell) es un recordatorio contundente de los riesgos de exposición de servicios críticos como Redis. Aunque su explotación requiere autenticación, el alto número de instancias mal configuradas hace que el peligro sea tangible.

Actualizar a las versiones más recientes, reforzar la autenticación y aplicar políticas de control de acceso son pasos esenciales para proteger los entornos Redis frente a ataques que podrían comprometer toda la infraestructura de una organización.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Administrar múltiples servidores a través de SSH puede convertirse en un verdadero reto: saltar entre sesiones, manejar reglas de puertos, recordar comandos complejos o gestionar claves de acceso acaba consumiendo tiempo y energía. Para quienes trabajan en entornos de administración de sistemas, DevOps o desarrollo, contar con una herramienta que centralice y optimice este flujo de trabajo es esencial. Aquí es donde entra sshPilot, un gestor de conexiones SSH de nueva generación diseñado para GNU/Linux y macOS que ofrece una experiencia intuitiva, ligera y con todas las funciones que los profesionales necesitan.

A diferencia de otros clientes SSH tradicionales, sshPilot no pretende reemplazar la terminal clásica, sino potenciarla. Su propuesta es clara: ofrecer un espacio centralizado donde organizar hosts, guardar credenciales de forma segura, gestionar transferencias de archivos mediante SFTP y SCP, y disfrutar de una terminal integrada o, si lo prefieres, abrir conexiones en tu emulador favorito.

¿Qué es sshPilot y por qué deberías usarlo?

sshPilot es un gestor de conexiones SSH enfocado en la productividad y usabilidad. Carga y guarda entradas estándar desde ~/.ssh/config o, si lo prefieres, trabaja con un archivo de configuración propio. Su diseño se centra en la fluidez: abrir, cerrar y cambiar de pestañas con el teclado, organizar servidores por grupos, transferir archivos en segundos y automatizar tareas de inicio de sesión.

Su ligereza, junto con una estética que se integra de forma nativa en GNOME, lo convierte en una herramienta ideal para quienes buscan una interfaz moderna sin sacrificar rendimiento. Además, al estar licenciado bajo GPL v3, garantiza transparencia, colaboración comunitaria y accesibilidad a largo plazo.

Principales características de sshPilot

Entre sus funcionalidades más destacadas se encuentran:

• Interfaz con pestañas para manejar múltiples sesiones SSH sin perder el contexto.
• Atajos de teclado intuitivos: Enter para conectar al primer host, Ctrl+L para cambiar de servidor, Ctrl+W para cerrar pestañas y Alt+Flechas para navegar entre sesiones.
• Gestión de archivos con SFTP y SCP, evitando abrir clientes externos.
• Organización de servidores en grupos, ideal para separar proyectos o entornos (producción, staging, desarrollo).
• Terminal integrada o emulador externo, según prefieras.
• Reenvío de puertos completo: local, remoto y dinámico.
• Ejecución de comandos en broadcast a varias pestañas abiertas simultáneamente.
• Generación y copia de claves SSH mediante una interfaz guiada con ssh-copy-id.
• Almacenamiento seguro de credenciales con libsecret en Linux, sin contraseñas en texto plano.
• Conmutador de privacidad para ocultar IPs y nombres de host.
• Soporte de temas claro/oscuro y personalización de fuentes y colores.
• Compatibilidad con ~/.ssh/config, con posibilidad de cargar y guardar configuraciones estándar.
• Distribución para GNU/Linux y macOS, con múltiples opciones de instalación.

Interfaz y flujo de trabajo optimizado

La interfaz principal de sshPilot está pensada para reducir clics y dar protagonismo al teclado. Desde el inicio, puedes conectar al primer host con solo pulsar Enter, alternar entre servidores con Ctrl+L y moverte entre pestañas con Alt+Flechas. Esta lógica hace que la aplicación sea especialmente ágil para power users que valoran la rapidez en su día a día.

Además, su vista de pestañas y barra lateral opcional ayudan a mantener claridad cuando trabajas con múltiples servidores, mientras que la opción de broadcast de comandos permite ejecutar órdenes en varios hosts a la vez, ideal para despliegues masivos o mantenimiento rutinario.

Transferencias de archivos simplificadas

Con sshPilot, las transferencias dejan de ser un obstáculo. Su cliente SFTP integrado facilita la navegación por directorios remotos, mientras que el soporte SCP agiliza cargas y descargas rápidas sin recurrir a utilidades externas. Esto ahorra tiempo en operaciones comunes como subir binarios de despliegue, revisar logs o sincronizar configuraciones.

Seguridad y privacidad

Uno de los puntos fuertes de sshPilot es su enfoque en la seguridad. En sistemas Linux, las credenciales se almacenan mediante libsecret, lo que evita que las contraseñas se expongan en texto plano o se copien accidentalmente al portapapeles. Además, el modo privacidad permite ocultar información sensible en la interfaz, una función útil en presentaciones o entornos compartidos.

La gestión de claves SSH también está integrada, facilitando la generación de pares y la copia de claves públicas a servidores remotos con solo unos clics, alineándose con las mejores prácticas en administración de sistemas.

Compatibilidad y comunidad

sshPilot aprovecha configuraciones existentes en ~/.ssh/config, evitando duplicar esfuerzos y permitiendo a los usuarios seguir utilizando alias, proxys y opciones avanzadas sin ajustes adicionales.

El proyecto mantiene un ritmo de actualizaciones constante, con mejoras que abarcan desde port forwarding integral, nuevos temas y atajos, hasta optimizaciones de rendimiento y compatibilidad multiplataforma. Su comunidad activa y el carácter de software libre garantizan que siga evolucionando y adaptándose a las necesidades de los usuarios.

¿vale la pena usar sshPilot?

Si gestionas múltiples servidores y buscas una solución moderna que unifique conexiones SSH, gestión de archivos, reenvío de puertos y seguridad en una sola aplicación, sshPilot es una opción sobresaliente. Su equilibrio entre ligereza, fluidez y funcionalidades avanzadas lo convierten en un aliado perfecto tanto para administradores de sistemas como para desarrolladores que trabajan a diario con entornos distribuidos.

En definitiva, sshPilot transforma lo que antes era un caos de sesiones y comandos dispersos en un flujo de trabajo centralizado, seguro y eficiente, marcando la diferencia en la productividad de cualquier profesional de IT.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La ciberseguridad en Europa del Este vuelve a ser noticia tras el descubrimiento de ComicForm, un grupo de hackers previamente indocumentado que desde abril de 2025 ha desplegado una sofisticada campaña de phishing contra organizaciones de Bielorrusia, Rusia y Kazajstán.

Según un análisis publicado por la firma de seguridad F6, los ataques han tenido como objetivo sectores clave de la región, incluyendo el industrial, financiero, turístico, biotecnológico, de investigación y comercial, lo que demuestra una estrategia bien planificada para obtener beneficios tanto financieros como de inteligencia corporativa.

Cómo funciona la campaña de ComicForm

El ataque se inicia con correos electrónicos de phishing cuidadosamente diseñados, enviados desde direcciones con dominios de nivel superior .ru, .by y .kz. Los mensajes incluyen asuntos persuasivos como:

• "Esperando el documento firmado"
• "Invoice para el pago"
• "Acta de reconciliación para la firma"

El objetivo es engañar a los destinatarios para que descarguen un archivo RR que, en realidad, contiene un ejecutable de Windows (.exe) disfrazado como documento PDF (ejemplo: Акт_сверки pdf 010.exe).

Este archivo malicioso funciona como un cargador ofuscado en .NET, que a su vez descarga y ejecuta una DLL llamada "MechMatrix Pro.dll". Esta segunda etapa lanza una tercera carga útil: otra DLL conocida como "Montero.dll", que actúa como dropper del troyano Formbook, uno de los malware más utilizados en campañas de robo de credenciales.

Para evitar ser detectado, el malware configura exclusiones en Microsoft Defender y crea tareas programadas que aseguran su persistencia en el sistema comprometido.

El detalle curioso: superhéroes de cómic en el código malicioso

Un hallazgo curioso en esta operación es que los binarios maliciosos contenían enlaces de Tumblr que apuntaban a GIFs inofensivos de superhéroes de cómics como Batman.

Aunque estas imágenes no se usaron en el ataque, sí dieron nombre al grupo: ComicForm. Según Vladislav Kugan, investigador de F6, "estas imágenes no tienen función práctica, pero reflejan una peculiar firma de los desarrolladores del malware".

Objetivos confirmados: bancos y empresas en Bielorrusia y Kazajstán

El análisis de la infraestructura de ComicForm permitió a los investigadores confirmar ataques contra un banco en Bielorrusia (abril de 2025) y una empresa en Kazajstán (junio de 2025).

En otro incidente fechado el 25 de julio de 2025, se detectó que emails falsificados fueron enviados desde la dirección de una empresa industrial en Kazajstán hacia fabricantes rusos. En estos correos, los atacantes pedían confirmar la cuenta en un enlace incrustado para evitar un supuesto bloqueo.

Las víctimas que hacían clic eran redirigidas a un sitio de phishing que imitaba la página de inicio de un servicio de gestión de documentos nacional, con el objetivo de capturar credenciales mediante peticiones HTTP POST hacia un dominio controlado por los atacantes.

Lo más avanzado de esta técnica es que la página falsa contenía código JavaScript personalizado, capaz de:

• Extraer la dirección de correo electrónico desde la URL.
• Autocompletar automáticamente el campo de usuario.
• Tomar el dominio de ese correo y mostrar como fondo de la página una captura de pantalla real del sitio corporativo legítimo, generada a través de la API de screenshotapi[.]net.

Este nivel de personalización hace que los ataques sean mucho más convincentes para las víctimas.

Caso específico: phishing contra un banco bielorruso

En el caso del banco bielorruso, los hackers enviaron un correo de phishing con temática de facturas que pedía a los empleados introducir correos electrónicos y números de teléfono en un formulario. La información recopilada era enviada de inmediato a un dominio externo controlado por ComicForm, comprometiendo la privacidad y seguridad de la institución financiera.

Objetivos internacionales y expansión de la campaña

Aunque los ataques iniciales se centraron en Rusia, Bielorrusia y Kazajstán, los investigadores de F6 advirtieron que el uso de correos electrónicos en inglés sugiere que ComicForm busca expandirse a organizaciones en otros países.

El grupo emplea dos métodos principales:

Phishing con distribución de malware Formbook, enfocado en el robo de credenciales y datos sensibles.

• Phishing que imita servicios web legítimos, diseñado para robar directamente credenciales de acceso mediante formularios falsos.
• Conexión con otras campañas: SectorJ149 en Corea del Sur

El descubrimiento de ComicForm coincide con otra revelación de la empresa de ciberseguridad NSHC, que identificó a SectorJ149 (UAC-0050), un grupo prorruso que ha lanzado ataques en Corea del Sur contra los sectores de manufactura, energía y semiconductores.

Estos ataques, detectados en noviembre de 2024, también utilizaron spear-phishing con señuelos de compras y cotizaciones para instalar malware como Lumma Stealer, Formbook y Remcos RAT.

Lo más preocupante es que SectorJ149, anteriormente enfocado en obtener ganancias financieras, ahora parece tener un componente hacktivista, utilizando ataques para transmitir mensajes políticos o ideológicos.

ComicForm y la evolución del phishing en 2025

La aparición de ComicForm refleja cómo los ataques de phishing evolucionan constantemente y se vuelven más sofisticados:

• Emplean técnicas avanzadas como la personalización dinámica de páginas de phishing.
• Usan malware probado como Formbook, que se mantiene vigente gracias a su eficacia en robar credenciales.
• Apuntan a sectores estratégicos que pueden generar beneficios económicos y acceso a información crítica.

El descubrimiento de ComicForm y los paralelismos con grupos como SectorJ149 refuerzan la necesidad de que organizaciones en todo el mundo adopten medidas más estrictas de ciberseguridad, incluyendo:

• Capacitación en concienciación de phishing para empleados.
• Implementación de autenticación multifactor (MFA).
• Monitoreo proactivo de infraestructuras críticas.
• Uso de inteligencia de amenazas para anticipar nuevas campañas.

En 2025, los ataques de phishing no solo buscan datos, sino que representan un riesgo geopolítico y económico de gran alcance.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft anunció que ha eliminado una retención de compatibilidad que impedía la instalación de Windows 11 versión 24H2 en equipos con cámaras integradas, después de solucionar un error que afectaba a la detección de rostros y al uso de aplicaciones vinculadas al sistema de reconocimiento facial.

Este error, identificado inicialmente en octubre de 2024, generaba fallos al utilizar aplicaciones como Cámara de Windows, Windows Hello y otros programas que dependían de la cámara integrada en dispositivos portátiles y de escritorio. Con la corrección aplicada, los equipos elegibles ya pueden recibir la actualización mediante Windows Update, mejorando la experiencia del usuario y la seguridad del sistema operativo.

El origen del problema en Windows 11 24H2

Cuando Microsoft lanzó Windows 11 24H2 en octubre de 2024, algunos usuarios comenzaron a experimentar bloqueos y errores al activar funciones de detección de objetos y rostros en sus cámaras integradas.

Esto afectaba directamente a una de las características más usadas en el ecosistema de Windows: Windows Hello, la tecnología biométrica que permite iniciar sesión en dispositivos mediante reconocimiento facial. El fallo comprometía tanto la seguridad como la usabilidad de los equipos afectados.

En respuesta, Microsoft implementó un bloqueo de actualización con ID de protección 53340062, que evitaba la instalación de la versión 24H2 en dispositivos vulnerables hasta que se encontrara una solución estable.

Microsoft levanta la restricción de instalación

Con la última actualización, Microsoft confirmó que el error ya ha sido solucionado y que la retención fue eliminada:

"Los dispositivos elegibles sin otra retención de protección ahora deberían poder instalar Windows 11, versión 24H2, a través de Windows Update. Tenga en cuenta que pueden pasar hasta 48 horas antes de que se ofrezca la actualización. Reiniciar su dispositivo podría ayudar a acelerar el proceso", explicó la compañía en el Panel de Salud de la Versión de Windows.

La empresa también reiteró la importancia de instalar las actualizaciones acumulativas de seguridad, ya que incluyen correcciones críticas y mejoras de compatibilidad que reducen riesgos de ciberseguridad.

Otros bloqueos recientes eliminados en Windows 11 24H2

El caso de las cámaras no ha sido la única retención aplicada por Microsoft en los últimos meses. Hace apenas una semana, la compañía también levantó una restricción que bloqueaba la instalación de Windows 11 24H2 en dispositivos con auriculares y altavoces Bluetooth, los cuales sufrían mal funcionamiento debido a incompatibilidades de controladores.

A lo largo de 2025, Microsoft ha ido retirando gradualmente varias restricciones para garantizar que la nueva versión llegue a más dispositivos de manera estable. Sin embargo, no todos los problemas se han solucionado.

Dispositivos que aún tienen bloqueos de actualización

Aunque el error de las cámaras ya está resuelto, Microsoft confirmó que Windows 11 24H2 sigue bloqueado en determinados equipos debido a otras incompatibilidades conocidas, entre ellas:

• Aplicaciones de personalización de fondos de pantalla, que pueden provocar fallos en el sistema.
• Controladores de audio Intel Smart Sound Technology (SST) no actualizados o incompatibles.
• Controladores de ofuscación de código de SenseShield Technology, que presentan errores de compatibilidad con la versión más reciente del sistema.

Estos bloqueos se mantienen activos para evitar que los usuarios instalen una actualización que podría afectar la estabilidad del sistema operativo.

El despliegue de Windows 11 24H2

La actualización Windows 11 24H2 fue lanzada oficialmente en octubre de 2024 para dispositivos con versiones anteriores (22H2 y 23H2). Antes de su despliegue masivo, la actualización pasó por un periodo de pruebas en el canal de vista previa de Windows Insider desde mayo de 2024, lo que permitió a empresas y usuarios avanzados probar las nuevas características antes de su liberación general.

Entre las mejoras que incorpora Windows 11 24H2 se incluyen:

• Mejoras en rendimiento y seguridad.
• Nuevas optimizaciones para sistemas híbridos y chips ARM.
• Actualizaciones en Copilot AI y funciones de accesibilidad.
• Mayor integración con servicios de Microsoft 365.

Importancia de las actualizaciones de compatibilidad

La estrategia de Microsoft de implementar retenciones de protección temporales demuestra cómo la compañía busca equilibrar la seguridad con la experiencia del usuario. Aunque estas medidas pueden generar frustración entre los usuarios que desean actualizar de inmediato, evitan que errores críticos afecten a millones de dispositivos en todo el mundo.

En este caso, el error de las cámaras y del reconocimiento facial podría haber tenido un impacto mayor en la adopción de Windows Hello, una tecnología clave en los esfuerzos de Microsoft por promover la seguridad sin contraseñas.

Actualización más segura y estable

La eliminación de la retención de compatibilidad para cámaras integradas en Windows 11 24H2 representa un paso más hacia la consolidación de esta versión como la más estable hasta la fecha. Si bien aún existen bloqueos en algunos dispositivos, Microsoft continúa trabajando de forma proactiva para resolver incompatibilidades y garantizar que la transición a esta versión sea fluida.

Los usuarios que cuenten con equipos elegibles deben asegurarse de instalar las actualizaciones de seguridad más recientes y mantener un monitoreo activo sobre posibles problemas de compatibilidad, ya que cada mejora corrige fallos y reduce riesgos.

Con el despliegue en curso, Windows 11 24H2 sigue marcando el ritmo de la evolución del sistema operativo, enfocándose en mayor seguridad, rendimiento y compatibilidad con los entornos modernos de trabajo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La seguridad de los datos de los clientes vuelve a estar en el centro de la atención global después de que Stellantis, uno de los fabricantes de automóviles más grandes del mundo, confirmara haber sufrido una violación de seguridad que afectó a parte de su base de clientes en Norteamérica. El incidente se produjo tras el compromiso de la plataforma de un proveedor de servicios externo, lo que permitió a los atacantes acceder a información de contacto de usuarios, aunque sin exponer datos financieros sensibles.

La compañía, nacida en 2021 de la fusión entre el Grupo PSA (Peugeot Société Anonyme) y Fiat Chrysler Automobiles (FCA), es actualmente el quinto fabricante de automóviles por volumen a nivel global. Entre sus 14 marcas automotrices destacan nombres icónicos como Jeep, Fiat, Chrysler, Dodge, Alfa Romeo, Peugeot, Opel, Maserati y Ram, con operaciones en más de 130 países.

¿Qué datos fueron robados en el ataque a Stellantis?

En un comunicado oficial emitido durante el fin de semana, Stellantis explicó que los atacantes solo accedieron a información de contacto de los clientes, como nombres y direcciones de correo electrónico. La plataforma comprometida no almacenaba información financiera ni datos altamente sensibles como números de tarjetas de crédito, contraseñas o historiales médicos.

A pesar de esta aclaración, la empresa advirtió a los afectados que deben mantenerse vigilantes ante intentos de phishing, dado que los ciberdelincuentes suelen aprovechar este tipo de filtraciones para lanzar campañas de correos electrónicos fraudulentos, mensajes SMS engañosos o incluso llamadas telefónicas con fines de extorsión o robo de credenciales.

Stellantis activa sus protocolos de respuesta a incidentes

Tras detectar el acceso no autorizado, Stellantis aseguró haber activado de inmediato sus protocolos de respuesta a incidentes, incluyendo:

• Contención y mitigación del acceso malicioso.
• Inicio de una investigación exhaustiva para identificar el origen y el alcance de la intrusión.
• Notificación a las autoridades competentes y colaboración con organismos de ciberseguridad.
• Comunicación directa con los clientes afectados para informarles de los riesgos y medidas preventivas.

La compañía no respondió de inmediato a solicitudes de comentarios adicionales por parte de medios especializados como BleepingComputer, lo que refleja que la investigación sigue en curso y que podrían revelarse más detalles en los próximos días.

Conexión con ShinyHunters y ataques a Salesforce

Aunque Stellantis no brindó más detalles técnicos sobre el ataque, se ha vinculado el incidente a la reciente ola de violaciones de Salesforce atribuidas al grupo de extorsión ShinyHunters, uno de los colectivos de cibercriminales más activos y temidos del mundo.

ShinyHunters se atribuyó la responsabilidad del ataque y afirmó haber robado más de 18 millones de registros de la instancia de Salesforce utilizada por Stellantis. Entre los datos comprometidos se incluirían nombres completos, correos electrónicos y otros detalles de contacto.

Este grupo ya ha sido relacionado con múltiples ataques que explotaron tokens OAuth robados en integraciones con Salesforce, incluyendo la herramienta de chat Drift AI de Salesloft, lo que les permitió acceder a información sensible como claves de acceso a AWS, contraseñas internas y tokens de autenticación de plataformas críticas como Snowflake.

Empresas de alto perfil en la mira de ShinyHunters

El caso de Stellantis no es un hecho aislado. Desde principios de año, ShinyHunters ha dirigido ataques a clientes de Salesforce en diversas industrias. Entre las víctimas reportadas figuran compañías como Google, Cisco, Adidas, Allianz Life, Farmers Insurance, Workday, así como marcas de lujo pertenecientes al conglomerado LVMH, incluyendo Dior, Louis Vuitton y Tiffany & Co.

El grupo asegura haber comprometido a más de 760 empresas y robado más de 1.5 mil millones de registros mediante su campaña basada en el abuso de tokens OAuth. Esta magnitud coloca a ShinyHunters como uno de los grupos más prolíficos en términos de robo masivo de datos corporativos.

Advertencia del FBI sobre los ataques a Salesforce

El FBI emitió recientemente una alerta Flash en la que detalla los indicadores de compromiso (IOC) asociados a estas intrusiones. La agencia advirtió que los actores de amenazas están explotando vulnerabilidades en la gestión de accesos de Salesforce para robar información confidencial y extorsionar a las organizaciones afectadas.

El caso de Stellantis confirma la urgencia de reforzar la seguridad de los entornos de CRM en la nube, particularmente cuando están integrados con aplicaciones de terceros mediante tokens OAuth, ya que se convierten en un vector de ataque crítico.

lecciones del ataque a Stellantis

El incidente sufrido por Stellantis resalta varios aspectos clave de la ciberseguridad corporativa:

• La cadena de suministro digital es vulnerable: incluso los gigantes automotrices dependen de proveedores externos que pueden convertirse en puntos débiles explotados por atacantes.
• El phishing sigue siendo el arma principal: a pesar de las medidas de seguridad, los atacantes continúan aprovechando la ingeniería social para comprometer credenciales.
• Los entornos de nube requieren mayor vigilancia: las plataformas como Salesforce, esenciales para la gestión de clientes, representan un objetivo de alto valor para grupos de extorsión.
• La respuesta temprana marca la diferencia: la rápida activación de protocolos de respuesta y la comunicación transparente con los clientes son esenciales para mitigar daños reputacionales.

La filtración de datos en Stellantis no solo expone a millones de clientes a riesgos de fraude digital, sino que también subraya la necesidad de que las empresas adopten estrategias proactivas de ciberseguridad, incluyendo la gestión segura de tokens, la implementación de autenticación multifactor y la monitorización continua de accesos en sus entornos de nube.

Con ShinyHunters y otros grupos cada vez más sofisticados, la batalla por la protección de los datos de clientes en la era digital está lejos de terminar.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Real Policía Montada de Canadá (RCMP) anunció el cierre definitivo de TradeOgre, un exchange de criptomonedas con sede en la web que operaba fuera de la regulación y que, según las autoridades, facilitaba el lavado de dinero y otras actividades delictivas. En la operación, la RCMP incautó más de 40 millones de dólares en criptomonedas, marcando no solo el primer cierre de un exchange en el país, sino también la mayor confiscación de activos digitales en la historia de Canadá.

Este acontecimiento establece un precedente histórico en la aplicación de la ley contra las plataformas de criptomonedas no registradas, particularmente aquellas que privilegian el anonimato de los usuarios y el comercio de activos difíciles de rastrear, como Monero (XMR).

TradeOgre: un exchange de criptomonedas en la mira

TradeOgre era una plataforma de nicho dedicada al intercambio de altcoins y conocida por su política de privacidad extrema. A diferencia de otros exchanges, la plataforma no implementaba medidas de Conozca a su Cliente (KYC), lo que permitía que cualquier usuario pudiera operar sin verificar su identidad.

Este enfoque, aunque atractivo para quienes valoran el anonimato, chocaba frontalmente con las leyes financieras canadienses, que obligan a todas las empresas de servicios monetarios a registrarse en el Centro de Análisis de Transacciones e Informes Financieros de Canadá (FINTRAC) y cumplir con estándares de transparencia.

Según la RCMP, la falta de controles hizo que la plataforma fuera un foco de atención para ciberdelincuentes, quienes la habrían utilizado como mecanismo de blanqueo de capitales provenientes de delitos informáticos, estafas y potencialmente pagos de extorsión.

Investigación y operativo internacional

La investigación contra TradeOgre comenzó en junio de 2024, luego de un aviso de Europol, la agencia de cooperación policial de la Unión Europea. El caso fue asumido por el Equipo de Investigación de Lavado de Dinero (MLIT) de Canadá, que detectó irregularidades graves en la operación del exchange.

A finales de julio de 2025, TradeOgre desapareció de la red sin previo aviso, lo que generó especulación en la comunidad cripto. Algunos usuarios sospechaban de una posible estafa de salida (exit scam). Sin embargo, poco después la RCMP confirmó que había cerrado el sitio como parte de una operación encubierta, asegurando los fondos alojados en la plataforma.

Reacciones de la comunidad y usuarios afectados

El cierre generó reacciones encontradas en la comunidad. Aunque muchos reconocieron que la plataforma facilitaba actividades ilícitas, otros denunciaron que usuarios legítimos también se vieron perjudicados.

Taylor Monahan, de MetaMask, declaró públicamente que ella y conocidos suyos utilizaban TradeOgre de forma legal y criticó a las autoridades por haber bloqueado los fondos sin debido proceso.

La RCMP respondió que no podía confirmar que todas las criptomonedas incautadas provinieran de actividades ilegales, pero aclaró que la plataforma "operaba de manera ilegal al no registrarse en FINTRAC ni cumplir con las regulaciones nacionales".

Asimismo, la policía señaló que los clientes no criminales de TradeOgre podrían buscar un recurso legal a través del sistema judicial canadiense, siempre que demuestren la legitimidad de sus fondos.

Implicaciones para el sector cripto en Canadá

El cierre de TradeOgre tiene un profundo impacto en el ecosistema de criptomonedas en Canadá. Entre los aspectos más relevantes destacan:

• Mayor vigilancia sobre los exchanges que operan en la sombra y sin registros regulatorios.
• Refuerzo del marco legal: FINTRAC y la RCMP buscan asegurar que toda plataforma cumpla con KYC y AML (Anti-Lavado de Dinero).
• Advertencia a usuarios: quienes operen en exchanges no regulados corren el riesgo de perder fondos sin posibilidad de reclamación directa.
• Precedente internacional: la colaboración con Europol demuestra la creciente cooperación global contra el lavado de dinero con criptomonedas.

El futuro de la regulación cripto en Canadá

La acción de la RCMP no solo marca un golpe contundente contra la delincuencia financiera, sino que también envía un mensaje claro a las plataformas que operan en la periferia del ecosistema regulado.

Con la incautación de más de 40 millones de dólares en activos digitales, Canadá establece un nuevo estándar en la lucha contra el crimen financiero vinculado a las criptomonedas, alineándose con políticas internacionales que buscan reforzar la transparencia en los mercados digitales.

Para los usuarios, este caso subraya la importancia de operar únicamente en exchanges regulados y con políticas de cumplimiento robustas, a fin de proteger tanto sus inversiones como su seguridad jurídica.

En fin...

El cierre de TradeOgre y la incautación récord de criptomonedas por parte de la Real Policía Montada de Canadá marcan un punto de inflexión en la regulación cripto del país. Esta operación, considerada histórica, advierte a todos los actores del ecosistema sobre la creciente vigilancia de las autoridades y la necesidad de un cumplimiento normativo estricto.

Si bien la medida busca frenar el uso criminal de las criptomonedas, también abre un debate sobre los derechos de los usuarios legítimos que confiaron en plataformas no reguladas. Lo cierto es que este precedente podría redefinir el futuro de la industria cripto en Canadá y más allá.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La comunidad de ciberseguridad se ha visto sacudida por el descubrimiento de una vulnerabilidad crítica en Microsoft Entra ID, el servicio de administración de identidades y acceso en la nube anteriormente conocido como Azure Active Directory (Azure AD).

La falla, catalogada como CVE-2025-55241, combinada con el uso de tokens heredados no documentados, conocidos como tokens de actor, pudo haber permitido a un atacante obtener acceso completo a los inquilinos de Entra ID de cualquier organización del mundo, sin dejar apenas rastro en los registros.

¿Qué es Microsoft Entra ID y por qué esta falla es tan grave?

Microsoft Entra ID es la plataforma de gestión de identidades y accesos que centraliza la autenticación y autorización de usuarios en entornos corporativos. Ofrece inicio de sesión único (SSO), autenticación multifactor y control de acceso para aplicaciones locales y en la nube.

Una sola instancia de Entra ID representa a una organización completa y protege el acceso a:

• Microsoft 365
• Aplicaciones SaaS de terceros (ej. Salesforce, Dropbox, SAP)
• Servicios en la nube de Google, Amazon y más

El control de un inquilino equivale al control total de la organización: credenciales, archivos, correos electrónicos, bases de datos y configuraciones de seguridad.

El hallazgo del investigador Dirk-jan Mollema

El descubrimiento fue realizado por Dirk-jan Mollema, fundador de Outsider Security y experto en seguridad ofensiva. Investigando configuraciones híbridas de Exchange, Mollema encontró evidencia de tokens de actor, un componente heredado emitido por el Servicio de Control de Acceso.

Estos tokens tenían características extremadamente peligrosas:

• No estaban firmados.
• Permitían suplantar a cualquier usuario del inquilino.
• Tenían validez de 24 horas sin posibilidad de revocación.
• Omitían controles de acceso condicional configurados.
• No dejaban registros al emitirse ni al usarse.

CitarEn sus palabras:

"El token de actor le permite 'actuar' como otro usuario en el inquilino al comunicarse con Exchange Online, SharePoint y, en consecuencia, Azure AD Graph".

Explotación de la vulnerabilidad en Azure AD Graph API

El segundo componente crítico fue una vulnerabilidad en la Azure AD Graph API (ya en desuso). Al modificar el identificador de inquilino en el token de actor y enviarlo a la API, Mollema esperaba un rechazo. Sin embargo, la respuesta del sistema confirmó que el token era válido en cualquier inquilino.

Al introducir un identificador de usuario válido (netId) en el inquilino de destino, el investigador pudo:

• Acceder a datos de usuarios.
• Elevar privilegios hasta convertirse en administrador global.
• Administrar cuentas, modificar configuraciones, crear usuarios y restablecer contraseñas.

Todo esto sin generar registros en el inquilino víctima, salvo las acciones finales del atacante.

Cómo un atacante podía comprometer cualquier inquilino

El proceso descrito por Mollema es alarmantemente simple:

• Generar un token de actor en un inquilino bajo control del atacante.
• Identificar el inquilino víctima mediante APIs públicas y su dominio.
• Obtener un netId válido de un usuario común en ese inquilino.
• Crear un token de suplantación para ese usuario.
• Enumerar administradores globales y sus identificadores.
• Forjar un token de administrador global con privilegios totales.
• Ejecutar acciones de lectura y escritura en la Azure AD Graph API.

La explotación solo requería información pública y accesible, lo que amplificaba aún más el riesgo.

Respuesta de Microsoft

Mollema notificó a Microsoft el 14 de julio de 2025. La compañía respondió con rapidez y corrigió el fallo nueve días después.

El 4 de septiembre, Microsoft publicó un parche oficial para CVE-2025-55241, describiéndolo como una vulnerabilidad crítica de escalada de privilegios en Azure Entra.

Además, la empresa recordó que el Azure AD Graph API entrará en desuso definitivo en septiembre de 2025, lo que reducirá la superficie de ataque en el futuro.

Implicaciones de seguridad

• La existencia de los tokens de actor y la falla en la API revelan varios problemas críticos:
• Diseño heredado sin controles modernos: los tokens no firmados representan un modelo obsoleto y altamente inseguro.
• Explotación global: cualquier organización con Entra ID estuvo en riesgo, sin importar sus políticas de seguridad.
• Carencia de visibilidad: la falta de registros impidió que las víctimas detectaran un ataque en curso.
• Confianza excesiva en servicios internos: Microsoft dependía de estos tokens en sus propias comunicaciones de servicio a servicio.

Recomendaciones para empresas y administradores

Aunque Microsoft ya corrigió la vulnerabilidad, los expertos recomiendan a las organizaciones:

• Migrar a Microsoft Graph API lo antes posible, abandonando dependencias heredadas.
• Revisar roles y privilegios en Entra ID para reducir la exposición de cuentas de administrador global.
• Habilitar registros avanzados y auditorías para detectar accesos inusuales.
• Aplicar políticas de seguridad de "mínimo privilegio" en servicios integrados.
• Mantenerse informado sobre boletines de seguridad de Microsoft y aplicar parches de inmediato.

En fin...

El caso de CVE-2025-55241 en Microsoft Entra ID y los peligrosos tokens de actor pone de manifiesto cómo componentes heredados pueden convertirse en puertas traseras críticas para atacantes.

Aunque Microsoft respondió con rapidez, el incidente resalta la necesidad de que las organizaciones adopten un enfoque proactivo y vigilante en la gestión de identidades en la nube. La lección es clara: en seguridad, lo "heredado" nunca debe pasarse por alto.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El panorama de la ciberseguridad continúa evolucionando con el descubrimiento de nuevas amenazas que ponen en riesgo tanto a usuarios individuales como a organizaciones. Investigadores de Radware han revelado una grave falla de seguridad en ChatGPT Deep Research, el agente de investigación profunda de OpenAI, que podría permitir a un atacante robar información confidencial de Gmail con un solo correo electrónico malicioso.

La vulnerabilidad, bautizada como ShadowLeak, es un ataque de tipo clic cero, lo que significa que el usuario no necesita realizar ninguna acción para que se ejecute. Basta con recibir un correo diseñado con técnicas avanzadas de inyección indirecta para que el agente de IA procese comandos ocultos y los ejecute en segundo plano.

¿Qué es ShadowLeak y cómo funciona?

Según los investigadores Zvika Babo, Gabi Nakibly y Maor Uziel, la técnica de ShadowLeak consiste en insertar instrucciones ocultas en el HTML del correo electrónico. Estas órdenes pueden estar disfrazadas mediante texto blanco sobre blanco, fuentes diminutas o trucos de diseño CSS, de modo que el usuario no las perciba.

Cuando la víctima utiliza ChatGPT Deep Research para analizar su bandeja de entrada de Gmail, el agente procesa también el contenido malicioso e instruye al sistema para recopilar datos personales y transmitirlos al atacante.

La información robada se codifica en Base64 y se envía a un servidor externo a través de la herramienta You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login(). De este modo, los atacantes logran una exfiltración invisible para las defensas locales y corporativas, ya que ocurre directamente en la infraestructura de la nube de OpenAI.

La diferencia con ataques previos

Antes de ShadowLeak, otras vulnerabilidades como AgentFlayer o EchoLeak se habían basado en el lado del cliente, utilizando imágenes o representaciones locales para activar el robo de datos.

Sin embargo, ShadowLeak es mucho más peligroso porque no depende de la máquina de la víctima, sino que aprovecha la nube de OpenAI para ejecutar la fuga de información. Esto significa que los sistemas de seguridad tradicionales —firewalls, antivirus o EDR— no tienen visibilidad sobre lo que ocurre, lo que dificulta enormemente la detección.

Un ataque con múltiples vectores

Si bien la prueba de concepto se centró en Gmail, Radware advirtió que el ataque puede extenderse a otros conectores compatibles con ChatGPT Deep Research, ampliando así la superficie de ataque. Entre los servicios vulnerables se encuentran:

• Box
• Dropbox
• GitHub
• Google Drive
• HubSpot
• Microsoft Outlook
• Notion
• SharePoint

En resumen, cualquier servicio integrado en el ecosistema de ChatGPT podría ser utilizado como canal de exfiltración.

OpenAI responde a la amenaza

Radware informó la vulnerabilidad el 18 de junio de 2025 bajo un proceso de divulgación responsable. OpenAI corrigió la falla a principios de agosto, aplicando mejoras de seguridad para reducir el riesgo de inyección indirecta en agentes de IA.

Este incidente evidencia que, a medida que los agentes autónomos de inteligencia artificial se vuelven más potentes y versátiles, también crece el interés de los atacantes en explotarlos como vectores de ataque.

ChatGPT persuadido para resolver CAPTCHA

El descubrimiento de ShadowLeak coincidió con otra demostración preocupante. La plataforma de seguridad de IA SPLX mostró que es posible convencer a ChatGPT de resolver CAPTCHA —desafíos diseñados para diferenciar humanos de bots— mediante un envenenamiento de contexto.

El investigador Dorian Schultz explicó que el truco consistía en plantear los CAPTCHA como falsos en una conversación previa con ChatGPT-4o y luego transferir ese contexto a un agente. De esta manera, el modelo heredaba la "decisión" y procedía a resolver incluso CAPTCHA basados en imágenes, imitando movimientos humanos del cursor.

Este hallazgo evidencia que la integridad del contexto y la higiene de la memoria son aspectos críticos para garantizar la seguridad de los agentes de IA.

Implicaciones de ShadowLeak y amenazas similares

El caso de ShadowLeak subraya varios puntos clave para la ciberseguridad moderna:

• Los agentes de IA amplían la superficie de ataque. Al integrarse con múltiples plataformas (correo, almacenamiento, CRM), se convierten en un objetivo atractivo para los atacantes.
• La seguridad tradicional no es suficiente. Al producirse la exfiltración dentro de la nube de OpenAI, los controles locales no pueden detectar la actividad maliciosa.
• El envenenamiento de contexto es real. Tanto en ShadowLeak como en el caso de los CAPTCHA, los atacantes explotan la confianza del modelo en entradas previas.
• La protección requiere medidas proactivas. Las organizaciones deben implementar equipo rojo continuo, auditorías de seguridad en agentes y políticas de uso seguro de IA.

Cómo protegerse frente a ataques como ShadowLeak

Los expertos recomiendan adoptar las siguientes prácticas:

• Revisar las integraciones habilitadas en ChatGPT Deep Research y desactivar las que no sean esenciales.
• Capacitar a los usuarios sobre los riesgos de la inyección de avisos indirectos y los peligros de procesar correos maliciosos.
• Implementar monitoreo avanzado en la actividad de agentes de IA, especialmente cuando interactúan con datos sensibles.
• Aplicar principios de "cero confianza" en entornos de IA, limitando permisos y accesos a lo mínimo necesario.
• Mantenerse informado sobre nuevas vulnerabilidades y actualizaciones de seguridad de proveedores como OpenAI.

En fin...

La vulnerabilidad ShadowLeak demuestra que los agentes de IA como ChatGPT Deep Research no solo ofrecen beneficios en productividad, sino que también representan un nuevo frente de riesgo cibernético. Al explotar técnicas invisibles de inyección indirecta, los atacantes pueden robar datos sensibles sin que el usuario realice ninguna acción.

Aunque OpenAI ya corrigió la falla, el descubrimiento alerta sobre la necesidad de reforzar la seguridad en entornos de IA, aplicar prácticas de contexto seguro y anticiparse a posibles abusos. Con el rápido crecimiento de herramientas como Google Gemini, Perplexity y otros asistentes autónomos, la ciberseguridad deberá evolucionar al mismo ritmo para proteger a usuarios y empresas en este nuevo escenario digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La seguridad informática vuelve a estar en el centro de atención tras una seria advertencia de LastPass, el reconocido gestor de contraseñas. Su equipo de inteligencia ha identificado una campaña de robo de información a gran escala dirigida específicamente a usuarios de Apple macOS. El ataque utiliza repositorios falsos de GitHub que se hacen pasar por herramientas legítimas para engañar a los usuarios y distribuir el temido malware Atomic Stealer (AMOS).

Una amenaza disfrazada de legitimidad

Según los investigadores Alex Cox, Mike Kosak y Stephanie Schneider, del equipo de Inteligencia de Amenazas, Mitigación y Escalada (TIME) de LastPass, la operación maliciosa utiliza repositorios fraudulentos que redirigen a los usuarios a descargas infectadas.

En el caso de LastPass, los atacantes crearon páginas que simulaban ser oficiales, con botones llamativos como "Instalar LastPass en MacBook". Al hacer clic, los usuarios eran redirigidos a un repositorio manipulado en GitHub, desde donde se desplegaba Atomic Stealer, un malware especializado en robar credenciales, datos financieros y archivos sensibles.

Pero LastPass no ha sido la única marca afectada. Entre las herramientas populares suplantadas en esta campaña se encuentran:

• 1Password
• Basecamp
• Dropbox
• Gemini
• Hootsuite
• Notion
• Obsidian
• Robinhood
• Salesloft
• SentinelOne
• Shopify
• Thunderbird
• TweetDeck

Esto demuestra que los actores de amenazas apuntan a un ecosistema mucho más amplio que va más allá de LastPass, con un enfoque claro en usuarios de macOS que confían en software de productividad, gestión y seguridad.

SEO envenenado: una técnica peligrosa

Un aspecto especialmente preocupante de esta campaña es el envenenamiento de motores de búsqueda (SEO poisoning). Los atacantes manipulan el posicionamiento en Google y Bing para que los enlaces maliciosos aparezcan en los primeros resultados de búsqueda.

De esta forma, cuando los usuarios buscan frases como "descargar LastPass para Mac" o "instalar Notion en macOS", son dirigidos a páginas falsas de GitHub que parecen legítimas, pero que en realidad llevan a repositorios controlados por los atacantes.

Un vector de ataque cada vez más sofisticado

Las páginas de GitHub creadas por los ciberdelincuentes presentan múltiples nombres de usuario diferentes, lo que dificulta su eliminación inmediata por parte de la plataforma. Además, incluyen instrucciones fraudulentas estilo ClickFix, que animan al usuario a copiar y pegar comandos en la aplicación Terminal de macOS.

Una vez ejecutados, estos comandos instalan silenciosamente el malware Atomic Stealer, que se activa en segundo plano sin levantar sospechas.

Antecedentes: un patrón de abuso de GitHub

Este no es un caso aislado. De acuerdo con el investigador de seguridad Dhiraj Mishra, campañas similares han explotado Google Ads maliciosos vinculados a Homebrew, el popular gestor de paquetes para macOS. En esos ataques, los usuarios eran redirigidos a repositorios falsos de GitHub donde se descargaban cuentagotas (droppers) de múltiples etapas capaces de evadir análisis en entornos virtuales y establecer comunicación con servidores remotos de comando y control.

En las últimas semanas también se ha detectado el uso de GitHub para distribuir cargas maliciosas relacionadas con Amadey y para aprovechar confirmaciones colgantes en repositorios oficiales, una técnica diseñada para redirigir a los usuarios hacia programas maliciosos de manera casi invisible.

¿Por qué macOS se ha convertido en objetivo?

Durante años, los usuarios de macOS se sintieron relativamente seguros frente a las amenazas que afectaban con mayor frecuencia a Windows. Sin embargo, esta percepción ya no corresponde a la realidad. La creciente popularidad de los dispositivos de Apple en entornos corporativos y personales los ha convertido en un objetivo atractivo para el cibercrimen.

Herramientas como Atomic Stealer demuestran que los atacantes están invirtiendo recursos en desarrollar malware especializado en macOS, capaz de:

• Extraer contraseñas de gestores como Chrome, Safari o incluso LastPass.
• Robar llaves de autenticación y carteras de criptomonedas.
• Acceder a archivos sensibles almacenados localmente.
• Monitorear la actividad del usuario sin ser detectados.

Cómo protegerse de Atomic Stealer y ataques similares

Ante esta creciente amenaza, LastPass y expertos en ciberseguridad recomiendan medidas esenciales de protección:

• Descargar software únicamente desde sitios oficiales (nunca desde enlaces en buscadores sin verificar).
• Verificar la autenticidad de los repositorios en GitHub, revisando el historial, las confirmaciones y la reputación del autor.
• Evitar ejecutar comandos en Terminal si provienen de fuentes no verificadas.
• Mantener actualizado macOS y todas las aplicaciones, para reducir vulnerabilidades explotables.
• Usar soluciones de seguridad avanzadas que permitan detectar malware específico para macOS.

En fin...

El caso de LastPass y el malware Atomic Stealer es un recordatorio claro de que ningún sistema operativo es inmune a los ciberataques. El uso de repositorios falsos en GitHub y la manipulación de SEO en buscadores son técnicas cada vez más comunes que buscan aprovechar la confianza del usuario.

Tanto individuos como empresas deben reforzar sus medidas de ciberseguridad, adoptar prácticas de cero confianza y mantenerse alerta ante descargas sospechosas. La creciente sofisticación de estos ataques demuestra que los ciberdelincuentes no descansan y que la prevención sigue siendo la mejor defensa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha publicado un informe exhaustivo sobre el malware detectado en ataques dirigidos contra Ivanti Endpoint Manager Mobile (EPMM). Estas intrusiones se aprovecharon de dos fallas de seguridad críticas: CVE-2025-4427, una omisión de autenticación en la API de EPMM, y CVE-2025-4428, una vulnerabilidad de inyección de código que permite la ejecución remota de comandos maliciosos.

Ambas vulnerabilidades afectan a las versiones 11.12.0.4, 12.3.0.1, 12.4.0.1 y 12.5.0.0 de Ivanti EPMM, junto con sus ramas anteriores. Aunque Ivanti lanzó parches de seguridad el 13 de mayo de 2025, los atacantes ya habían explotado estas fallas como zero-days, comprometiendo un número limitado de clientes antes de la actualización.

Contexto de los ataques y atribución

Según reportes de la plataforma de inteligencia de amenazas EclecticIQ, un grupo de espionaje con nexos en China habría comenzado a explotar las vulnerabilidades desde el 15 de mayo de 2025. Los analistas destacan que los atacantes poseen un conocimiento profundo de la arquitectura interna de Ivanti EPMM, lo que les permitió reutilizar componentes del sistema para filtrar datos de manera sofisticada.

No obstante, el informe de CISA evita atribuciones directas y se centra en el análisis técnico del malware y de los métodos de intrusión empleados.

Técnicas de ataque detectadas

CISA identificó que los atacantes dirigieron sus acciones al endpoint /mifs/rs/api/v2/ utilizando solicitudes HTTP GET, con el parámetro ?format= para inyectar comandos maliciosos.

Estos comandos permitieron a los actores de amenazas:

• Ejecutar actividades de reconocimiento en los sistemas comprometidos.
• Recopilar información del sistema y listar el directorio raíz.
• Mapear redes y obtener archivos adicionales.
• Extraer credenciales de LDAP (Lightweight Directory Access Protocol).

Entrega segmentada del malware

El análisis forense reveló que los atacantes distribuyeron dos conjuntos de malware distintos, cada uno con un cargador independiente pero con el mismo nombre (web-install.jar). Ambos conjuntos incluían oyentes maliciosos capaces de inyectar código arbitrario, establecer persistencia y exfiltrar datos.

Conjunto 1:

• web-install.jar (Cargador 1)
• ReflectUtil.class: manipula objetos Java para habilitar la inyección de código.

SecurityHandlerWanListener.class: un agente de escucha diseñado para filtrar datos y ejecutar comandos remotos.

Conjunto 2:

• web-install.jar (Cargador 2)
• WebAndroidAppInstaller.class: un oyente malicioso con funciones similares al del conjunto 1, capaz de mantener persistencia y robar información sensible.

Ambos conjuntos operaban de manera semejante: interceptaban solicitudes HTTP específicas, decodificaban cargas útiles en Base64 y ejecutaban el malware en el sistema objetivo.

Recursos de detección publicados por CISA

Para ayudar a las organizaciones a detectar y responder a estos ataques, CISA ha puesto a disposición:

• Indicadores de compromiso (IOCs) detallados.
• Reglas YARA para identificar patrones de malware.
• Una regla SIGMA lista para integrarse en soluciones SIEM.

Estos recursos permiten a equipos de ciberseguridad identificar infecciones en tiempo real y contener el impacto en sus entornos críticos.

Recomendaciones de mitigación

CISA recomienda a las empresas y organismos que utilicen Ivanti EPMM tomar las siguientes medidas inmediatas:

• Parchear sin demora las versiones vulnerables de Ivanti EPMM con las actualizaciones publicadas el 13 de mayo.
• Aislar los hosts afectados si se detecta la presencia de archivos maliciosos o actividad sospechosa.
• Recolectar artefactos y generar una imagen de disco forense completa, para colaborar con las investigaciones y compartirla con CISA.
• Tratar los sistemas de gestión de dispositivos móviles (MDM) como activos de alto valor (HVA), aplicando controles de seguridad adicionales y una monitorización constante.

Implicaciones para la ciberseguridad empresarial

El caso de Ivanti EPMM refleja una tendencia creciente: los atacantes apuntan a infraestructuras críticas de gestión de dispositivos móviles, conscientes de su importancia en entornos corporativos y gubernamentales. Al comprometer un EPMM, los actores de amenazas pueden obtener acceso privilegiado a miles de dispositivos, ampliando el impacto del ataque y facilitando la exfiltración masiva de datos.

Esto convierte a los sistemas MDM en un objetivo prioritario dentro del panorama de ciberamenazas, lo que obliga a las organizaciones a fortalecer sus defensas, aplicar parches con rapidez y reforzar la visibilidad de la red.

En fin...

El análisis de CISA sobre los ataques que explotaron CVE-2025-4427 y CVE-2025-4428 en Ivanti EPMM confirma que los cibercriminales cuentan con tácticas avanzadas, capaces de aprovechar fallas críticas para comprometer infraestructuras clave.

La combinación de exploits sofisticados, malware modular y entrega segmentada en Base64 muestra un alto nivel de planificación y conocimiento técnico.

La recomendación es clara: las organizaciones deben aplicar los parches de Ivanti de inmediato, reforzar la seguridad en sus sistemas MDM y monitorizar proactivamente cualquier actividad sospechosa. Solo así será posible mitigar el riesgo y responder con eficacia ante esta amenaza en evolución.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft sigue apostando fuerte por la inteligencia artificial y, esta vez, lo hace en el terreno de los videojuegos. La compañía anunció el inicio del despliegue de la versión beta de Gaming Copilot, un asistente de juego basado en IA que funcionará como un "compañero personal de juegos" para usuarios de Windows 11 y, próximamente, también en la aplicación móvil de Xbox disponible para Apple y Android.

Con este movimiento, la empresa busca integrar la IA directamente en la experiencia de juego, ofreciendo ayuda en tiempo real, recomendaciones personalizadas y un soporte más dinámico para jugadores de todo el mundo.

Qué es Microsoft Gaming Copilot

Gaming Copilot es un asistente inteligente diseñado específicamente para mejorar la experiencia de los gamers. Basado en los avances de Copilot, la IA de Microsoft, este nuevo sistema se integra en la Game Bar de Windows 11 y estará disponible de manera progresiva para los usuarios que tengan 18 años o más, con la excepción de China continental, donde no será lanzado por el momento.

El objetivo de Microsoft con Gaming Copilot es claro: aportar valor añadido a la experiencia de juego mediante funciones como:

• Asistencia en tiempo real para resolver dudas relacionadas con títulos específicos.
• Recomendaciones de nuevos juegos basadas en el historial del usuario.
• Consulta de logros y progresos de la cuenta de Xbox.
• Soporte por comandos de voz, para que el jugador no tenga que interrumpir su partida.

Cómo activar y usar Gaming Copilot en Windows 11

Para comenzar a utilizar Gaming Copilot en Windows 11, los usuarios deben seguir estos pasos:

• Instalar la aplicación Xbox PC en su computadora.
• Abrir la barra de juegos presionando Win + G.
• Localizar el ícono de Gaming Copilot en la barra de inicio.
• Iniciar sesión con la cuenta de Xbox.

Una vez dentro, se podrá acceder al widget de Gaming Copilot y utilizar tanto el modo de texto como el modo de voz para interactuar con la IA.

Quienes prefieran no usar esta función podrán desactivar el widget desde la configuración de la barra de juegos en cualquier momento.

Gaming Copilot también llegará a móviles

Microsoft confirmó que el próximo mes Gaming Copilot se incorporará a la aplicación móvil de Xbox tanto en iOS como en Android. Esto permitirá que los jugadores accedan al asistente desde cualquier dispositivo, consultando logros, historial o recibiendo recomendaciones incluso cuando no estén en su PC.

Este lanzamiento forma parte de la estrategia de la compañía para unificar la experiencia de juego en PC y dispositivos móviles, reforzando el ecosistema Xbox y posicionando a la IA como una herramienta central para el futuro del gaming.

De Copilot for Gaming a Gaming Copilot

El proyecto comenzó a probarse en mayo de 2025 bajo el nombre Copilot for Gaming, en versiones beta para dispositivos iOS y Android. Posteriormente, en agosto, Microsoft amplió las pruebas a los Xbox Insiders en PC Gaming Preview, siempre que tuvieran instalada la aplicación Xbox PC en Windows.

Ahora, la compañía da un paso más al lanzar la beta pública bajo el nombre oficial de Gaming Copilot, consolidando así su estrategia de integrar IA en todos sus productos y servicios.

Gaming Copilot dentro de la estrategia de IA de Microsoft

Este lanzamiento no es un movimiento aislado, sino parte de un plan más amplio para llevar Copilot a múltiples aplicaciones y servicios. Microsoft ya ha integrado funciones de IA en:

• Explorador de archivos de Windows 11, con nuevas opciones inteligentes.
• Copilot Chat en las aplicaciones de Microsoft 365 (Word, Excel, PowerPoint, Outlook y OneNote) para clientes comerciales.
• Microsoft 365 Copilot, que se instalará automáticamente en dispositivos Windows fuera de la región del EEE.
• Microsoft Edge, con funciones como Game Assist, lanzado en versión preliminar.
• Bloc de notas en Windows 11, que ahora incluye capacidades gratuitas de escritura asistida por IA en dispositivos Copilot+.

Todo apunta a que la compañía busca convertir a Copilot en un estándar transversal para productividad, comunicación y entretenimiento digital.

Ventajas de Gaming Copilot para jugadores

El valor de Gaming Copilot no radica solo en sus funciones, sino en lo que representa para el futuro del gaming. Entre sus principales ventajas podemos destacar:

• Personalización: el asistente aprende del historial del jugador para ofrecer recomendaciones a medida.
• Accesibilidad: el uso de comandos de voz hace que cualquier jugador pueda interactuar con la IA sin interrumpir su experiencia.
• Optimización de tiempo: al centralizar información de logros, progreso y juegos recomendados, los usuarios ahorran tiempo en búsquedas.
• Integración multiplataforma: al estar disponible en Windows 11 y en móviles, asegura continuidad entre diferentes dispositivos.

el futuro del gaming con IA

Con el lanzamiento de Gaming Copilot, Microsoft demuestra que la inteligencia artificial no es exclusiva de la productividad, sino que también puede revolucionar la forma en que jugamos.

El asistente de juego busca convertirse en una herramienta clave para los gamers, ofreciendo soporte inmediato, recomendaciones inteligentes y una experiencia más conectada entre PC y dispositivos móviles.

Este lanzamiento marca un nuevo capítulo en la estrategia de Microsoft, donde la IA se convierte en el pilar que unifica todo su ecosistema, desde el trabajo hasta el entretenimiento digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ciberespionaje sigue siendo una de las mayores amenazas para la seguridad digital de gobiernos y empresas. Recientemente, la firma de ciberseguridad suiza PRODAFT reveló detalles sobre una campaña dirigida por el grupo UNC1549, también conocido como TA455, que logró infiltrarse en 34 dispositivos pertenecientes a 11 organizaciones del sector de telecomunicaciones. Esta operación, caracterizada por el uso de señuelos de reclutamiento en LinkedIn, ha encendido alarmas en Europa, Norteamérica y Medio Oriente.

Quién es UNC1549 y qué busca

El grupo UNC1549, rastreado por PRODAFT bajo el nombre Subtle Snail, ha sido vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). Desde al menos 2022, este actor de amenazas comparte técnicas con otros grupos iraníes conocidos como Smoke Sandstorm y Crimson Sandstorm (TA456, Imperial Kitten o Tortoiseshell).

La motivación principal de estas operaciones no es financiera, sino de espionaje estratégico. Según PRODAFT, el interés de UNC1549 se centra en:

• Telecomunicaciones, para obtener acceso a redes críticas y comunicaciones sensibles.
• Aeroespacio y defensa, con el objetivo de recopilar información técnica y operativa de valor estratégico.

Ingeniería social en LinkedIn: el anzuelo perfecto

Uno de los puntos más llamativos de la campaña es el uso de LinkedIn como vector inicial de ataque. Los operadores de UNC1549 crearon perfiles falsos de recursos humanos, suplantando a empresas de renombre como Telespazio o Safran Group.

El proceso seguía una secuencia meticulosa:

• Reconocimiento en LinkedIn para identificar empleados clave con acceso privilegiado (administradores de TI, investigadores, desarrolladores).
• Spear-phishing inicial para validar direcciones de correo y recopilar información adicional.
• Campaña de reclutamiento falsa, estableciendo contacto directo en LinkedIn y generando confianza en la víctima.
• Entrega del malware a través de un archivo ZIP descargado desde un dominio fraudulento.

Este enfoque de fraudes de reclutamiento ha demostrado ser altamente efectivo, ya que explota el interés legítimo de los profesionales en nuevas oportunidades laborales.

MINIBIKE: la puerta trasera modular

El archivo ZIP entregado a las víctimas contenía un ejecutable que activaba la carga lateral de DLL para desplegar la puerta trasera MINIBIKE.

Entre sus capacidades destacan:

• Recolección de información del sistema.
• Registro de pulsaciones de teclado y contenido del portapapeles.
• Robo de credenciales de Microsoft Outlook y navegadores como Chrome, Edge y Brave.
• Capturas de pantalla de la actividad del usuario.
• Enumeración y manipulación de procesos en ejecución.
• Ejecución de cargas útiles adicionales (EXE, DLL, BAT, CMD).

Lo más preocupante es que MINIBIKE se comunica con su infraestructura C2 a través de servicios en la nube como Microsoft Azure, mezclando el tráfico malicioso con flujos legítimos y dificultando la detección.

Además, incluye técnicas avanzadas como:

• Modificación del Registro de Windows para garantizar persistencia.
• Anti-sandbox y anti-depuración para resistir el análisis.
• Aplanamiento del flujo de control y algoritmos hash personalizados para complicar la ingeniería inversa.

Un ataque personalizado para cada víctima

PRODAFT reveló que los operadores de Subtle Snail diseñan DLL específicas para cada objetivo, incluso recopilando configuraciones de red y personalizando la tabla de exportación de funciones para disfrazar archivos maliciosos como legítimos.

Este nivel de detalle confirma que no se trata de un ataque masivo indiscriminado, sino de una operación altamente dirigida y sostenida en el tiempo, con el fin de mantener acceso prolongado y robar información crítica.

Conexiones con MuddyWater y el arsenal iraní

La exposición de UNC1549 se produce en paralelo a un informe de Group-IB que detalla la evolución de otro grupo iraní: MuddyWater (también conocido como TA450, Boggy Serpens o Mango Sandstorm).

MuddyWater, activo desde 2017, ha comenzado a reducir su dependencia de herramientas de administración remota (RMM) para usar malware propio como:

• BugSleep (puerta trasera en Python para comandos y transferencia de archivos).
• LiteInject (inyector portátil).
• StealthCache (robo de credenciales y evasión de seguridad).
• Fooder (cargador de cargas cifradas en memoria).
• Phoenix (variante ligera de BugSleep).
• CannonRat (control remoto de sistemas).
• UDPGangster (comunicación C2 por UDP).

Al igual que UNC1549, MuddyWater apunta a telecomunicaciones, energía, gobiernos e infraestructura crítica, ahora con un foco creciente en Europa y Estados Unidos.

espionaje persistente y amenazas globales

La operación de UNC1549 (Subtle Snail) demuestra cómo los grupos de ciberespionaje iraníes combinan ingeniería social avanzada, malware modular y servicios en la nube para infiltrarse en empresas críticas.

Lecciones clave para las organizaciones:

• Refuerzo de la ciberconcienciación en empleados, especialmente en sectores sensibles.
• Monitoreo de tráfico en la nube para detectar actividad anómala.
• Implementación de detección avanzada de amenazas que identifique técnicas de carga lateral y persistencia en Windows.

En un contexto donde el phishing en LinkedIn y el malware especializado son cada vez más comunes, las empresas deben asumir que el espionaje digital ya no es una posibilidad remota, sino una amenaza activa que evoluciona constantemente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El phishing como servicio (PhaaS) se ha consolidado como uno de los modelos de negocio más rentables y peligrosos en el ecosistema cibercriminal. Dos de sus ofertas más activas, Lucid y Lighthouse, han sido vinculadas a más de 17,500 dominios de phishing que han atacado a 316 marcas en 74 países, de acuerdo con un reciente informe de Netcraft.

Este tipo de plataformas representa un cambio significativo en el mundo del cibercrimen: cualquier persona, incluso sin conocimientos técnicos avanzados, puede lanzar campañas de phishing masivas pagando una tarifa mensual y utilizando plantillas preconfiguradas que imitan la identidad visual de cientos de empresas reconocidas a nivel global.

¿Qué es Lucid PhaaS?

El kit de phishing Lucid fue documentado por primera vez por la empresa de ciberseguridad suiza PRODAFT en abril de 2025. Se trata de una plataforma diseñada para escalar ataques mediante el envío de smishing, es decir, mensajes fraudulentos por SMS, además de integraciones con Apple iMessage y RCS para Android.

Según los investigadores, Lucid está vinculado al grupo de habla china XinXin (changqixinyun), que ha operado también con otros kits como Lighthouse y Darcula. Estos vínculos muestran cómo diferentes actores de amenazas colaboran y comparten infraestructura para mejorar la efectividad de sus campañas.

Lucid destaca por su capacidad de segmentación. Permite configurar requisitos como el agente de usuario móvil, la geolocalización o la ruta de acceso a las URL de phishing. De esta manera, las páginas falsas solo se muestran a los objetivos seleccionados, mientras que los usuarios que no cumplen con los criterios ven un escaparate genérico, dificultando así la detección de la campaña.

Lighthouse PhaaS: más de 200 plantillas activas

Por su parte, Lighthouse ofrece un conjunto muy similar de funcionalidades. Suscribirse al servicio cuesta entre 88 dólares por semana y 1,588 dólares anuales, con acceso a plantillas que imitan más de 200 plataformas globales, además de monitoreo de víctimas en tiempo real.

Netcraft identificó que Lighthouse ha sido utilizado para atacar a 204 marcas en 50 países diferentes, con campañas dirigidas a instituciones financieras, servicios postales y gobiernos. Incluso, algunas campañas detectadas imitaron al servicio postal albanés Posta Shqiptare, lo que evidencia su alcance internacional.

La similitud técnica entre Lighthouse y Lucid sugiere que, aunque operan de manera independiente, existe un nivel de colaboración o superposición dentro del ecosistema PhaaS.

Nuevas tácticas de phishing: homógrafos y aplicaciones falsas

Además de los ataques tradicionales, los actores detrás de Lucid y Lighthouse han adoptado tácticas más sofisticadas. Una de ellas es el uso de ataques homógrafos, que consisten en registrar dominios falsos con caracteres muy similares a los legítimos. Por ejemplo, algunos utilizan el carácter japonés ん, que a simple vista se confunde con una barra diagonal "/".

Netcraft identificó al menos 600 dominios falsos que emplean esta técnica para atacar principalmente a usuarios de criptomonedas. Estas páginas fraudulentas se disfrazan de extensiones legítimas en la Chrome Web Store, ofreciendo aplicaciones falsas de billeteras como MetaMask, Coinbase, Exodus, OKX o Trust Wallet. Una vez instaladas, capturan frases semilla y credenciales, otorgando a los atacantes control total sobre los fondos digitales de las víctimas.

El regreso del correo electrónico como canal de ataque

Aunque en los últimos años los ciberdelincuentes habían adoptado plataformas como Telegram o Discord para exfiltrar información, Netcraft observó un resurgimiento del correo electrónico como canal para recopilar credenciales robadas.

Entre marzo y abril de 2025, la compañía registró un incremento del 25% en el uso de correo electrónico para estos fines. Servicios como EmailJS son explotados para robar datos de inicio de sesión y códigos de autenticación de dos factores (2FA), lo que elimina la necesidad de que los atacantes gestionen su propia infraestructura.

Este cambio se explica por dos factores:

• La naturaleza federada del correo electrónico, que dificulta la eliminación de direcciones fraudulentas.
• La conveniencia, ya que crear cuentas desechables es rápido, anónimo y gratuito.

Estafas de tareas y fraude financiero

Otra modalidad detectada es la de estafas de tareas, en las que los atacantes se hacen pasar por marcas reconocidas como Delta Airlines, AMC Theatres o Universal Studios. Las víctimas son atraídas con la promesa de ganar dinero al completar supuestas tareas en línea, como actuar como agentes de reserva. Sin embargo, para participar deben depositar al menos 100 dólares en criptomonedas, lo que termina siendo una vía de enriquecimiento ilícito para los ciberdelincuentes.

Un ecosistema criminal en expansión

La proliferación de plataformas como Lucid y Lighthouse confirma que el modelo de phishing como servicio seguirá creciendo. La facilidad de acceso, el bajo costo y la sofisticación de las herramientas convierten al PhaaS en una de las mayores amenazas de ciberseguridad globales.

Las empresas, gobiernos y usuarios individuales deben reforzar sus defensas, implementar sistemas de detección temprana de phishing y capacitar a los usuarios para identificar señales de fraude digital.

En un mundo donde el phishing se ha industrializado, la conciencia y la prevención son la primera línea de defensa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SonicWall ha pedido a sus clientes que restablezcan de inmediato sus credenciales después de detectar actividad sospechosa que dejó expuestos archivos de copia de seguridad de configuración de algunos firewalls almacenados en su servicio en la nube MySonicWall. La compañía informó que la intrusión afectó a menos del 5% de sus clientes y que, aunque las contraseñas dentro de los archivos estaban cifradas, los archivos contenían información que podría facilitar ataques posteriores contra los dispositivos comprometidos.

¿Qué sucedió y cuál es el alcance del incidente?

Según el comunicado oficial de SonicWall, su equipo de seguridad detectó una serie de ataques de fuerza bruta dirigidos al servicio de respaldo en la nube para firewalls, que permitieron a actores desconocidos acceder a archivos de preferencias de firewall almacenados en copias de seguridad. SonicWall afirma que cortó el acceso de los atacantes y está colaborando con agencias de seguridad y fuerzas del orden para investigar el incidente.

Aunque la compañía no ha confirmado que los archivos hayan sido publicados en línea por los atacantes, sí advirtió que estos archivos podrían contener metadatos o configuraciones que faciliten un acceso posterior o la explotación de componentes del firewall, por lo que la rotación de credenciales y la verificación de configuración son medidas críticas.


Recomendaciones urgentes de SonicWall para clientes

SonicWall ha establecido un conjunto de pasos de contención y corrección que todos los clientes deben seguir de forma prioritaria:

• Iniciar sesión en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y comprobar si la copia de seguridad en la nube está habilitada para sus dispositivos.
• Verificar si los números de serie asociados a sus firewalls han sido marcados como afectados en sus cuentas.
• Proceder con acciones de contención: limitar acceso desde WAN, deshabilitar acceso de administración HTTP/HTTPS/SSH expuesto, desactivar temporalmente SSL VPN e IPSec VPN si es necesario, y restablecer contraseñas y TOTP almacenados en el propio firewall. Además, se recomienda revisar logs y cambios recientes en la configuración en busca de actividad anómala.

SonicWall también ha proporcionado un archivo de preferencias modificado para clientes afectados, que incluye contraseñas aleatorias para usuarios locales, restablecimiento de enlaces TOTP y nuevas claves VPN IPSec. La empresa advierte que este archivo se genera a partir del último archivo encontrado en el almacenamiento en la nube y solo debe importarse si representa la configuración deseada; de lo contrario, no debe usarse.

Riesgo operacional y relación con exploits previos

Aunque este incidente no fue un ransomware que atacara la red interna de SonicWall, existe una preocupación razonable: los firewalls son un vector de alto valor para los atacantes porque, si se comprometen, pueden permitir movimientos laterales y acceso a activos críticos. En este contexto, la compañía subrayó que los actores maliciosos podrían usar la información de configuración para obtener acceso posterior.

Además, se produce en un momento de alta actividad del grupo de ransomware Akira, cuyos afiliados han explotado vulnerabilidades en appliances VPN y firewalls SonicWall —concretamente CVE-2024-40766— para obtener acceso inicial a redes objetivo y, en algunos casos, eludir controles como MFA. Alertas y reportes de la industria (Huntress, Rapid7, agencias nacionales) han vinculado explotaciones de VPN SonicWall a operaciones de ransomware recientes, lo que eleva la urgencia de aplicar contención y parches.

Buenas prácticas y pasos recomendados (resumen accionable)

Para reducir riesgo y recuperar confianza operativa, las organizaciones afectadas o con dispositivos SonicWall deben:

• Restablecer inmediatamente contraseñas locales y administrativas, y rotar claves y secretos.
• Restablecer TOTP y cualquier token almacenado que pudiera haber figurado en las copias de seguridad.
• Deshabilitar temporalmente accesos remotos innecesarios desde Internet (SSH/HTTP/HTTPS/SSL VPN/ IPSec) y aplicar listas de permitidos por IP.
• Importar el archivo de preferencias modificado provisto por SonicWall solo si se confirma que representa la configuración deseada; planificar la importación fuera de horarios críticos y realizar copia de seguridad previa local.
• Monitorear logs y levantar alertas en SIEM/EDR por actividad inusual, y revisar integridad de agentes EDR y sistemas de detección.

En fin...

La exposición de archivos de copia de seguridad en MySonicWall, aunque limitada en alcance (menos del 5% de clientes), subraya la necesidad de operar bajo un modelo de "confianza mínima": asumir que cualquier credencial o configuración puede verse comprometida y actuar en consecuencia rotando claves, reforzando controles de acceso y auditando cambios. SonicWall ya ha proporcionado orientación técnica y herramientas de remediación, pero la responsabilidad final recae en cada organización para ejecutar las medidas de contención y restablecimiento recomendadas por el proveedor.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de cibercrimen TA558, conocido por su rol en la campaña RevengeHotels, ha lanzado un nuevo conjunto de ataques dirigidos a hoteles en Brasil y mercados de habla hispana. Estas operaciones, activas en el verano de 2025, han sido atribuidas a la distribución de múltiples troyanos de acceso remoto (RAT), incluido Venom RAT, un malware avanzado que combina robo de información, persistencia y técnicas evasivas.

De acuerdo con el proveedor de ciberseguridad Kaspersky, los actores de amenazas continúan empleando correos electrónicos de phishing con señuelos relacionados con facturas y reservas. El objetivo: engañar a empleados de hoteles y agencias de viaje para que hagan clic en enlaces fraudulentos, lo que desencadena la cadena de infección.

Phishing con apoyo de inteligencia artificial

Uno de los hallazgos más preocupantes en esta campaña es el uso de inteligencia artificial generativa (IA) para reforzar las técnicas de ataque. Según Kaspersky, parte del código inicial de los scripts de JavaScript y PowerShell empleados en esta operación muestra características propias de haber sido generado por modelos de lenguaje grandes (LLM).

Esto marca un cambio de tendencia en el panorama de amenazas: los ciberdelincuentes no solo emplean herramientas tradicionales, sino que ahora se apoyan en IA para:

• Generar código malicioso comentado y estructurado.
• Optimizar cargas útiles para evadir defensas.
• Mejorar la redacción de correos de phishing en portugués y español.

Con esta táctica, TA558 ha conseguido ampliar su radio de acción y mejorar la efectividad de sus campañas de phishing multilingüe.

Antecedentes de RevengeHotels

El grupo RevengeHotels no es nuevo en la escena. Sus actividades se remontan a 2015, con ataques focalizados en hoteles, agencias de viajes y sectores relacionados con el turismo en América Latina.

En sus primeras campañas, el actor de amenazas utilizaba documentos adjuntos en Word, Excel o PDF que explotaban vulnerabilidades conocidas, como CVE-2017-0199 en Microsoft Office, para desplegar malware como Revenge RAT, NjRAT, NanoCoreRAT y 888 RAT.

Con el tiempo, TA558 ha perfeccionado su arsenal, incorporando herramientas como Agent Tesla, AsyncRAT, FormBook, GuLoader, Loda RAT, LokiBot, Remcos RAT, Snake Keylogger y Vjw0rm, siempre con el mismo objetivo: robar datos financieros y credenciales de huéspedes y agencias de viajes en línea (OTA) como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Cadena de ataque actual

La campaña más reciente documentada por Kaspersky se basa en un flujo de infección de varias etapas:

• Correo de phishing en portugués o español con temática de reservas o solicitudes laborales.
• El enlace malicioso descarga un script JavaScript (WScript).
• Ese script, con un estilo de código generado por IA, carga otros scripts intermedios.
• Un script PowerShell descarga un archivo denominado cargajecerrr.txt, que actúa como descargador adicional.
• Finalmente, se ejecuta el cargador responsable de desplegar Venom RAT en el sistema de la víctima.

Venom RAT: un malware sofisticado y comercial

Venom RAT está basado en Quasar RAT de código abierto, pero es ofrecido como un producto comercial en foros clandestinos.

• Precio de licencia de por vida: 650 USD.
• Suscripción mensual con módulos HVNC y Stealer: 350 USD.

Entre sus capacidades más destacadas se incluyen:

• Robo de datos y credenciales sensibles.
• Funcionalidad de proxy inverso.
• Medidas anti-kill avanzadas, que terminan procesos de seguridad y evitan el análisis.
• Persistencia mediante modificaciones en el Registro de Windows.
• Propagación a través de dispositivos USB.
• Desactivación de Microsoft Defender Antivirus.

Medidas anti-kill y persistencia

Venom RAT incorpora un mecanismo anti-kill que refuerza su resistencia:

• Modifica la lista de control de acceso discrecional (DACL) para impedir la interrupción de su ejecución.
• Mata procesos asociados a herramientas de análisis forense y administración de sistemas.
• Mantiene un bucle activo cada 50 milisegundos para detectar y finalizar aplicaciones de seguridad en ejecución.
• Configura el malware como proceso crítico del sistema, lo que le permite sobrevivir incluso a intentos de cierre forzado.

Adicionalmente, si se ejecuta con privilegios elevados, Venom RAT obtiene el token SeDebugPrivilege, evita que el sistema entre en suspensión y manipula el programador de tareas de Windows para garantizar su permanencia.

Expansión regional y riesgos

Los hallazgos de Kaspersky indican que TA558 ha mejorado su estrategia de expansión con el uso de IA y phishing multilingüe. Esto significa que no solo Brasil está en riesgo, sino también países de habla hispana en América Latina, donde el turismo representa un sector clave de la economía.

El principal objetivo sigue siendo el mismo: robar datos de tarjetas de crédito y credenciales de sistemas hoteleros y OTA. Estos datos alimentan redes criminales dedicadas al fraude financiero y la venta de accesos en el mercado negro.

En fin...

La campaña actual de TA558 y RevengeHotels representa una evolución preocupante en los ataques contra la industria hotelera. El uso de Venom RAT junto con técnicas de phishing potenciadas por IA demuestra que los ciberdelincuentes están perfeccionando su arsenal con rapidez.

Para los hoteles y agencias de viajes en Latinoamérica, este escenario subraya la necesidad de:

• Capacitar al personal para identificar correos de phishing.
• Implementar soluciones de detección avanzada contra malware y RATs.
• Mantener parches y sistemas de seguridad actualizados.
• Monitorear accesos y transacciones financieras en busca de anomalías.

En un sector donde la confianza y los datos de clientes son esenciales, la ciberseguridad debe ser prioritaria. Con el crecimiento del turismo digital y la expansión de OTA como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el ataque de TA558 confirma que los hoteles son un blanco estratégico para el cibercrimen global.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La compañía WatchGuard emitió esta semana actualizaciones de seguridad urgentes para corregir una vulnerabilidad de ejecución remota de código (RCE) que afecta a los firewalls Firebox, uno de los productos más utilizados por pequeñas y medianas empresas para proteger sus redes.

El fallo, identificado como CVE-2025-9242, fue catalogado como crítico debido a que permite que atacantes remotos, sin necesidad de autenticación, ejecuten código malicioso en dispositivos vulnerables tras una explotación exitosa.

Detalles técnicos de CVE-2025-9242

La vulnerabilidad está causada por una debilidad de escritura fuera de límites en el proceso iked de Fireware OS, el sistema operativo que gestionan los firewalls Firebox.

Este error afecta a los dispositivos configurados con VPN IKEv2, tanto en la modalidad de VPN de usuario móvil como en la VPN de sucursal cuando se emplea un par de puerta de enlace dinámica.

Los dispositivos impactados son aquellos que ejecutan:

• Fireware OS 11.x (fin de vida útil, sin soporte)
• Fireware OS 12.x
• Fireware OS 2025.1

La vulnerabilidad fue corregida en las versiones:

• 12.3.1_Update3 (B722811)
• 12.5.13
• 12.11.4
• 2025.1.1

Riesgo residual: dispositivos vulnerables incluso tras eliminar configuraciones

WatchGuard explicó en su aviso de seguridad que los firewalls Firebox podrían seguir siendo vulnerables incluso si las configuraciones afectadas ya fueron eliminadas.

Esto ocurre cuando:

• El dispositivo estuvo configurado previamente con una VPN de usuario móvil IKEv2 o con una VPN de sucursal IKEv2 a un par de puerta de enlace dinámica.
• Aunque esas configuraciones se eliminaron, el Firebox aún mantiene activa una VPN de sucursal con par de puerta de enlace estática.

En esos casos, el firewall sigue expuesto al riesgo de explotación remota.

Soluciones temporales para administradores

Para quienes no pueden aplicar el parche de inmediato, WatchGuard recomienda implementar una mitigación temporal en dispositivos Firebox vulnerables con túneles BOVPN (Branch Office VPN) configurados con pares de puerta de enlace estáticos.

La solución consiste en:

• Deshabilitar las BOVPN dinámicas del mismo nivel.
• Agregar nuevas políticas de firewall personalizadas.
• Deshabilitar las políticas predeterminadas del sistema que gestionan tráfico VPN.

Estas medidas están documentadas en un artículo de soporte oficial de WatchGuard, que ofrece instrucciones detalladas para proteger el acceso a las BOVPN que utilizan IPSec e IKEv2.

Contexto: firewalls en la mira de actores de amenazas

Aunque hasta ahora no se ha detectado explotación activa de CVE-2025-9242, los especialistas recomiendan parchear cuanto antes. Los firewalls perimetrales suelen ser un objetivo atractivo para grupos de ransomware y cibercriminales, dado que un fallo en ellos puede abrir la puerta a toda la red corporativa.

Casos recientes confirman la relevancia de esta amenaza:

• Ransomware Akira: actualmente explota activamente CVE-2024-40766, una vulnerabilidad crítica de hace un año en firewalls SonicWall.
• Abril de 2022: la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) ordenó a las agencias federales corregir un fallo en dispositivos WatchGuard Firebox y XTM que ya estaba siendo explotado en la naturaleza.

Estos antecedentes muestran que los ciberatacantes suelen aprovechar vulnerabilidades en firewalls con retraso en la aplicación de parches, maximizando el impacto.

Recomendaciones para empresas y administradores

Para reducir riesgos asociados a CVE-2025-9242, los especialistas en ciberseguridad aconsejan a los administradores de redes:

• Actualizar inmediatamente a las versiones corregidas de Fireware OS.
• Aplicar las mitigaciones temporales en caso de no poder actualizar aún.
• Revisar las configuraciones de VPN IKEv2 para detectar posibles vectores de ataque.
• Implementar monitoreo de logs y alertas para identificar intentos de explotación.
• Restringir accesos innecesarios a servicios expuestos a Internet.

Adicionalmente, se recomienda adoptar un enfoque de defensa en profundidad, complementando la seguridad del firewall con sistemas de detección de intrusos, autenticación multifactor (MFA) y segmentación de red.

Impacto global de WatchGuard Firebox

WatchGuard colabora con más de 17.000 revendedores y proveedores de servicios de seguridad en todo el mundo. Sus soluciones protegen las redes de más de 250.000 pequeñas y medianas empresas (pymes), lo que hace que cualquier vulnerabilidad en sus productos tenga un impacto potencial masivo en el ecosistema empresarial global.

Por esta razón, los expertos consideran que la pronta respuesta de WatchGuard y la publicación de parches representan un paso clave para contener los riesgos de explotación futura.

En fin...

La vulnerabilidad CVE-2025-9242 en los firewalls WatchGuard Firebox es un recordatorio contundente de que los dispositivos de seguridad perimetral no están exentos de fallos críticos. Aunque no se ha reportado explotación activa, la historia reciente de ciberataques contra firewalls muestra que los actores de amenazas no tardan en aprovechar estas debilidades.

La acción inmediata de los administradores es crucial: aplicar parches, revisar configuraciones y, en su defecto, implementar mitigaciones temporales. Solo así las organizaciones podrán reducir la exposición al riesgo y mantener la seguridad de sus redes frente a posibles ataques dirigidos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Python Software Foundation (PSF) confirmó la invalidación de todos los tokens robados de PyPI en el marco del ataque a la cadena de suministro conocido como GhostAction, detectado a inicios de septiembre de 2025. Aunque los atacantes lograron exfiltrar credenciales y secretos desde miles de repositorios de código en GitHub, los investigadores verificaron que dichos tokens no fueron utilizados para introducir malware en Python Package Index (PyPI).

Este incidente ha encendido nuevas alarmas sobre la seguridad de los repositorios de software de código abierto, que se han convertido en objetivos frecuentes de campañas de ciberataques sofisticados debido a su papel crítico en el ecosistema digital global.

¿Qué es PyPI y por qué es un objetivo de alto valor?

El Python Package Index (PyPI) es el repositorio oficial de paquetes para Python, el lenguaje de programación más utilizado en el mundo en ciencia de datos, inteligencia artificial, automatización y desarrollo web. Miles de proyectos y empresas dependen de PyPI como fuente predeterminada para instalar y actualizar paquetes a través de herramientas como pip.

Esto lo convierte en un objetivo atractivo para los cibercriminales, ya que comprometer un solo paquete popular podría desencadenar ataques de gran alcance contra empresas, instituciones educativas y entornos de producción en todo el mundo.

El origen del ataque GhostAction

El 5 de septiembre, un empleado de GitGuardian detectó flujos de trabajo maliciosos en GitHub Actions, específicamente en proyectos como FastUUID, que intentaban extraer tokens de PyPI hacia servidores remotos controlados por atacantes. Ese mismo día, otro investigador reportó hallazgos adicionales, pero su correo fue clasificado como spam, lo que retrasó la respuesta oficial hasta el 10 de septiembre.

Ante la magnitud del ataque, GitGuardian notificó a más de 570 repositorios comprometidos, contactó a los equipos de seguridad de GitHub, npm y PyPI, y emitió alertas públicas para que los desarrolladores rotaran sus tokens y corrigieran los flujos de trabajo afectados.

Impacto y alcance de GhostAction

Aunque el equipo de PyPI no encontró evidencia de paquetes comprometidos durante la investigación, sí se confirmó la exfiltración masiva de secretos. Según GitGuardian, se estima que fueron robados más de 33,000 credenciales, incluyendo:

• Tokens de API de PyPI, npm y DockerHub
• Credenciales de GitHub y Cloudflare
• Claves de acceso a AWS
• Contraseñas de bases de datos internas

Además, se detectaron tokens comprometidos en otros ecosistemas de paquetes como Rust (crates.io) y npm (JavaScript), lo que amplió el impacto de GhostAction más allá de la comunidad Python.

Respuesta de la Python Software Foundation

El administrador de PyPI, Mike Fiedler, explicó que se invalidaron todos los tokens de publicación afectados, incluso aquellos que no mostraban signos de abuso, como medida de prevención. También se notificó directamente a los mantenedores de proyectos para que revisaran su seguridad y adoptaran medidas más estrictas.

Entre las recomendaciones de Fiedler se destacan:

• Reemplazar tokens de larga duración por Trusted Publishers de corta duración, los cuales reducen el riesgo de filtración.
• Revisar el historial de seguridad en las cuentas de PyPI para detectar accesos sospechosos.
• Actualizar flujos de trabajo en GitHub Actions para evitar configuraciones vulnerables que permitan la filtración de secretos.

Antecedentes: una tendencia en alza

El ataque GhostAction no es un caso aislado. En los últimos meses, PyPI y otros repositorios de código abierto han enfrentado múltiples incidentes:

• Agosto 2025: Los atacantes explotaron un flujo de trabajo defectuoso de GitHub Actions en el proyecto Nx, afectando más de 2,180 cuentas y 7,200 repositorios en la campaña conocida como s1ngularity.
• Julio 2025: La Python Software Foundation advirtió sobre una campaña de phishing que utilizaba un sitio web falso de PyPI para robar credenciales de desarrolladores.

Estos episodios confirman que la cadena de suministro de software se ha convertido en uno de los vectores de ataque más críticos de la ciberseguridad actual.

Medidas de protección para desarrolladores

La lección principal que deja GhostAction es que los tokens de acceso y secretos deben gestionarse con máximo cuidado. Algunas prácticas recomendadas incluyen:

• Usar tokens temporales en lugar de credenciales de larga duración.
• Implementar la autenticación de dos factores (2FA) en todas las cuentas relacionadas con repositorios.
• Automatizar la rotación periódica de claves.
• Revisar y auditar los flujos de trabajo de CI/CD para detectar configuraciones inseguras.
• Monitorear activamente los logs de seguridad para identificar comportamientos anómalos.

En fin...

El incidente de GhostAction demuestra la creciente sofisticación de los ataques a la cadena de suministro de software y la importancia de contar con medidas preventivas sólidas. Aunque en este caso los tokens robados de PyPI no fueron utilizados para introducir malware, la magnitud de la filtración confirma que los ciberdelincuentes apuntan cada vez más a los repositorios de confianza como PyPI, npm y Rust.

La respuesta rápida de la Python Software Foundation y la colaboración con GitGuardian y otras plataformas de seguridad permitió contener los riesgos. No obstante, el desafío para los desarrolladores y empresas es mantener una cultura de seguridad activa, donde la gestión adecuada de credenciales y la actualización constante de flujos de trabajo sean prioridades estratégicas.

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ecosistema del cibercrimen global no deja espacio para la complacencia. Una reciente investigación de ReliaQuest reveló que el grupo de ciberdelincuentes Scatter Spider, conocido por sus sofisticadas operaciones y vínculos con colectivos como ShinyHunters y LAPSUS$, ha lanzado una nueva ola de ataques dirigidos contra servicios financieros. Estos hallazgos contradicen la supuesta retirada del grupo, evidenciando que su inactividad era más bien una cortina de humo estratégica.

Cambio de objetivo: del sector tecnológico al financiero

Scatter Spider, también identificado en la dark web como parte de la comunidad The Com, ha concentrado ahora sus esfuerzos en el sector financiero, un blanco particularmente atractivo por el volumen y sensibilidad de la información que gestiona.

De acuerdo con ReliaQuest, la organización ha registrado un aumento en la creación de dominios falsos y ha ejecutado al menos una intrusión confirmada en una entidad bancaria estadounidense, lo que marca un cambio en sus operaciones previas enfocadas en otros sectores estratégicos.

Técnica inicial: ingeniería social y acceso a credenciales

El vector de acceso inicial observado en esta campaña consistió en ingeniería social dirigida a un alto ejecutivo, cuya cuenta fue comprometida mediante el restablecimiento de contraseña a través de Azure Active Directory Self-Service Password Management.

Una vez dentro del entorno corporativo, los atacantes accedieron a documentos confidenciales de TI y seguridad, lo que les permitió:

• Moverse lateralmente a través de Citrix y VPN.
• Comprometer la infraestructura de VMware ESXi para volcar credenciales.
• Escalar privilegios restableciendo contraseñas de cuentas de servicio críticas.

Estas tácticas demuestran una capacidad operativa avanzada y un profundo conocimiento de entornos corporativos complejos.

Persistencia y evasión: Veeam, Azure y la nube en la mira

Uno de los pasos más críticos en la intrusión fue la manipulación de la infraestructura de copias de seguridad y servicios en la nube. Según ReliaQuest, Scatter Spider:

• Restableció credenciales de una cuenta de servicio de Veeam, lo que facilitó el acceso a datos sensibles.
• Asignó permisos de administrador global en Azure, logrando control total sobre la nube corporativa.
• Reubicó máquinas virtuales en entornos de VMware para evadir detección.
• Intentó extraer información de Snowflake, AWS y otros repositorios críticos.

Estas técnicas refuerzan la idea de que el grupo combina tácticas de ransomware con un modelo híbrido de espionaje financiero y exfiltración de datos.

¿Retiro real o estrategia de encubrimiento?

El resurgimiento de Scatter Spider cuestiona directamente las afirmaciones previas de que el grupo había decidido "irse a la oscuridad" junto con otros colectivos cibernéticos. De hecho, la superposición operativa con LAPSUS$ y ShinyHunters sugiere que más que un retiro, estamos frente a una reconfiguración estratégica.

Karl Sigler, gerente de investigación de seguridad en SpiderLabs Threat Intelligence (Trustwave), advierte que la supuesta disolución debe interpretarse con escepticismo:

Citar"La carta de despedida de Scatter Spider parece más bien un retiro estratégico, diseñado para distraer a las fuerzas del orden y ganar tiempo mientras el grupo refina sus operaciones".

Factores detrás del "retiro temporal"

Los expertos plantean que la pausa pública del grupo pudo originarse en:

• Compromiso de su infraestructura interna (sistemas infiltrados o canales de comunicación expuestos).
• Arresto o neutralización de afiliados de bajo nivel, lo que pudo afectar la operación temporalmente.
• Presión creciente de fuerzas del orden en EE. UU. y Europa.

Históricamente, grupos similares han recurrido a la táctica de "retirarse" para reagruparse y reaparecer con un nuevo alias, dificultando la atribución y complicando las investigaciones.

Riesgos para el sector financiero

La reaparición de Scatter Spider confirma que los servicios financieros son uno de los sectores más amenazados por el cibercrimen global. Los riesgos principales incluyen:

• Robo de credenciales de acceso administrativo.
• Exfiltración de datos confidenciales de clientes y operaciones.
• Posible extorsión con técnicas similares a las de los grupos de ransomware-as-a-service (RaaS).
• Compromiso de infraestructura crítica en la nube.

Esto obliga a las entidades financieras a reforzar la seguridad en áreas clave como: gestión de identidades y accesos (IAM), protección de entornos cloud híbridos, monitoreo de anomalías en credenciales privilegiadas y respuesta ante incidentes de alta complejidad.

Scatter Spider no se ha ido, solo muta

El caso de Scatter Spider es un recordatorio de que en el cibercrimen organizado no existe la jubilación real. La evidencia apunta a que el grupo no se ha desintegrado, sino que ha adoptado una estrategia de silencio mediático mientras ajusta sus operaciones y diversifica sus objetivos.

En un contexto en el que las instituciones financieras representan un objetivo de alto valor, es imperativo que las organizaciones adopten un enfoque de ciberseguridad proactiva, reforzando sus defensas frente a ataques basados en ingeniería social, accesos no autorizados a la nube y exfiltración de datos.

La supuesta retirada de Scatter Spider es, en realidad, un aviso disfrazado: los actores siguen activos, pero más selectivos y sofisticados en su accionar.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login