Microsoft ha lanzado la actualización acumulativa de vista previa KB5064081 para Windows 11 versión 24H2, que llega cargada con 36 nuevas funciones y cambios significativos. Se trata de una actualización opcional dentro del programa de vistas previas que la compañía publica a finales de cada mes, y que sirve como antesala al martes de parches del mes siguiente.

Esta actualización acumulativa no incluye parches de seguridad, ya que está enfocada en mejoras de rendimiento, nuevas funciones y correcciones que los usuarios pueden probar de manera anticipada. Una vez instalada, el sistema operativo se actualiza a la compilación 26100.5074.

Cómo instalar la actualización KB5064081 en Windows 11

Los usuarios pueden acceder a esta versión de dos formas:

• Desde Windows Update: basta con ir a Configuración > Windows Update > Buscar actualizaciones. Al ser una actualización opcional, el sistema pedirá confirmar la instalación mediante el enlace "Descargar e instalar". Si tienes activada la opción "Obtener las últimas actualizaciones tan pronto como estén disponibles", la descarga se aplicará automáticamente.
• Desde el Catálogo de Microsoft Update: la actualización KB5064081 también está disponible para descarga manual, lo que resulta útil en entornos corporativos o para usuarios que prefieren instalar el paquete de forma independiente.

Cambios destacados en Windows 11 KB5064081
Un Administrador de tareas más preciso

Uno de los cambios más relevantes es la nueva forma en que Windows 11 muestra el uso de la CPU en el Administrador de tareas. Durante años, la pestaña Procesos se basaba en la métrica de Utilidad del procesador, que generaba confusiones y resultados poco fiables, especialmente en procesadores multinúcleo o con frecuencias variables.

Ahora, Microsoft ha estandarizado el cálculo de uso de CPU en todas las pestañas del Administrador de tareas utilizando la fórmula:

(Δ Tiempo de CPU de proceso) ÷ (Δ Tiempo transcurrido × procesadores lógicos)

De esta forma, los usuarios verán métricas coherentes en Procesos, Rendimiento y Usuarios, alineadas con las herramientas de monitoreo de terceros. Para quienes prefieren la vista clásica, se ha agregado una columna opcional llamada "Utilidad de CPU" en la pestaña Detalles.

Recall: productividad mejorada

La función Recall introduce una página de inicio personalizada que centraliza aplicaciones y sitios web más utilizados, junto con las actividades recientes del usuario. Además, permite configurar filtros desde Configuración para decidir qué datos se guardan en instantáneas. Una barra lateral facilita el acceso a Inicio, Línea de tiempo, Comentarios y Ajustes.

Click to Do: tareas rápidas con IA

Windows 11 continúa integrando la inteligencia artificial en sus procesos diarios. Con la llegada de Click to Do, los usuarios reciben un tutorial interactivo que muestra cómo realizar acciones más rápido, como resumir texto o eliminar fondos en imágenes.

Mejoras en privacidad y experiencia de usuario

Las solicitudes de acceso a la cámara, micrófono o ubicación ahora aparecen en un cuadro de diálogo rediseñado. La pantalla se atenúa y el aviso aparece en el centro, reforzando la importancia de la privacidad.

La barra de tareas también recibe novedades, incluyendo un reloj más grande con segundos en el centro de notificaciones.

Mejoras en búsqueda y widgets

El buscador de Windows en la barra de tareas ahora ofrece una vista en cuadrícula para identificar imágenes más fácilmente y notificaciones más claras sobre el estado de la indexación de archivos.

Los widgets de la pantalla de bloqueo también se amplían: ahora es posible agregar y personalizar opciones como clima, deportes, tráfico o listas de seguimiento.

Cambios en el Explorador de archivos y Windows Hello

El Explorador incorpora divisores en menús contextuales, además de mostrar iconos de personas en archivos compartidos con cuentas profesionales o educativas, facilitando la colaboración en entornos de trabajo.

En cuanto a Windows Hello, el sistema presenta una interfaz renovada que mejora la experiencia de inicio de sesión con huella digital, reconocimiento facial y claves de paso.

Copilot+ y nuevas opciones en Configuración

Los usuarios de Copilot+ PC ahora cuentan con un agente en Configuración que facilita el cambio de ajustes. Además, Windows añade controles avanzados para apps que usan IA generativa, dando más transparencia al uso de modelos de texto e imagen en el sistema.

Otras mejoras clave de KB5064081

• Widgets mejorados: nuevos paneles y experiencia visual renovada en el feed de Discover.
• Copia de seguridad de Windows para organizaciones: ahora disponible de forma general, con respaldo y restauración empresarial.
• PowerShell 2.0 eliminado: el sistema deja de incluir este componente obsoleto.
• Correcciones en subtítulos en vivo, entrada de texto y rendimiento de aplicaciones ARM64.
• Mejoras en audio, inicio de sesión y estabilidad general del sistema.

Problemas conocidos en KB5064081

Microsoft advierte sobre dos errores aún en proceso de corrección:

• CertificateServicesClient (CertEnroll): genera mensajes de error incorrectos.
• Rendimiento de audio y vídeo con NDI: puede provocar retrasos o tartamudeos al transmitir entre dispositivos.

La compañía está desplegando soluciones gradualmente, que llegarán en las próximas semanas.

En fin, la actualización acumulativa KB5064081 para Windows 11 24H2 representa un paso importante en la evolución del sistema operativo, incorporando nuevas funciones de productividad, mejoras de seguridad, opciones de personalización y una gestión de recursos más precisa.

Aunque es opcional y no incluye parches de seguridad, se recomienda instalarla para probar las innovaciones antes de su lanzamiento oficial en el próximo martes de parches de Microsoft.

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En los últimos días, la comunidad tecnológica ha estado en alerta debido a informes de usuarios sobre fallas en unidades de estado sólido (SSD) y discos duros (HDD) tras instalar la actualización de seguridad de Windows 11 24H2 KB5063878, publicada en agosto de 2025. Sin embargo, tras una investigación exhaustiva, Microsoft afirmó que no existe ninguna relación entre el parche y los problemas de corrupción de datos reportados.

La compañía de Redmond aclaró que está al tanto de los reportes compartidos por clientes en foros especializados y redes sociales, pero que ni las pruebas internas ni la telemetría de sistemas actualizados muestran un aumento en los fallos de almacenamiento tras la instalación de la actualización.

La postura oficial de Microsoft

En una alerta de servicio actualizada, Microsoft declaró:

Citar"Después de una investigación exhaustiva, no hemos encontrado ninguna conexión entre la actualización de seguridad de Windows de agosto de 2025 y los tipos de fallas de disco duro reportadas en las redes sociales. Como siempre, seguimos monitoreando los comentarios tras cada actualización de Windows e investigaremos cualquier informe futuro".

De acuerdo con la compañía, también se realizaron pruebas en conjunto con socios de la industria del almacenamiento, sin que se lograra reproducir los problemas denunciados por los usuarios afectados.

Los primeros reportes: fallas en SSD tras la actualización

Los incidentes se detectaron inicialmente en Japón, donde usuarios afirmaron experimentar fallas en sus SSD durante operaciones de escritura intensiva, como la transferencia de archivos muy grandes o múltiples procesos simultáneos de copia.

Según los reportes, el problema se presentaba con mayor frecuencia en unidades con más del 60% de capacidad ocupada, lo que resultaba en bloqueos del sistema o corrupción de archivos. En algunos casos, los discos afectados se recuperaban tras reiniciar el sistema, pero en otros, quedaban completamente inaccesibles.

Modelos y marcas afectados

Aunque Microsoft no ha confirmado un vínculo entre el parche y los problemas, múltiples usuarios reportaron incidentes con SSD y HDD de distintas marcas y controladores, entre ellos:

• Corsair Force MP600
• SanDisk Extreme Pro
• Kioxia Exceria Plus G4
• Kioxia M.2
• Modelos con controladores InnoGrit y Phison

Los fallos no se limitan a un solo fabricante, lo que sugiere que el problema podría estar relacionado con factores de compatibilidad, controladores de firmware o condiciones específicas de uso, más que con la actualización de Windows en sí.

La respuesta de la industria: Phison se pronuncia

Uno de los actores clave en esta situación es Phison, fabricante de controladores NAND utilizados en múltiples modelos de SSD. En declaraciones a BleepingComputer, un portavoz de la compañía confirmó que están trabajando junto a Microsoft para investigar los reportes:

Citar"Entendemos la interrupción que esto puede haber causado y rápidamente involucramos a las partes interesadas de la industria. En este momento, los controladores que pueden haber sido afectados están bajo revisión y estamos trabajando con socios para identificar la causa raíz".

Esto confirma que la industria del almacenamiento está tomando el problema con seriedad, aunque no exista aún una causa oficial que explique las fallas.

Medidas de precaución para usuarios de Windows 11

Aunque Microsoft no ha encontrado relación directa entre la actualización KB5063878 y las fallas en las unidades de almacenamiento, los reportes continúan apareciendo. Por ello, los expertos en ciberseguridad y almacenamiento recomiendan a los usuarios tomar medidas preventivas:

• Evitar operaciones de escritura intensiva (como copiar o mover archivos de decenas de gigabytes) en discos que tengan más del 60% de capacidad ocupada.
• Mantener copias de seguridad actualizadas para proteger los datos frente a posibles fallos imprevistos.
• Verificar actualizaciones de firmware publicadas por los fabricantes de SSD y HDD.
• Utilizar herramientas de monitoreo de salud del disco (como CrystalDiskInfo o el propio Monitor de Windows) para detectar errores tempranos.
• Instalar siempre las últimas actualizaciones de Windows y drivers certificados.

¿Qué significa esto para los usuarios de Windows 11?

La situación refleja un escenario complejo en la gestión de actualizaciones de sistemas operativos modernos. Si bien las actualizaciones de seguridad son esenciales para proteger a los usuarios de vulnerabilidades críticas, no es raro que tras su implementación surjan reportes de fallos de compatibilidad o problemas inesperados.

El hecho de que Microsoft y Phison trabajen de manera conjunta es positivo, pues apunta a una respuesta rápida ante cualquier posible conflicto entre controladores de almacenamiento y las nuevas compilaciones de Windows 11.

En fin , la polémica alrededor de la actualización KB5063878 de agosto de 2025 subraya la importancia de la colaboración entre fabricantes de hardware y desarrolladores de software para garantizar la estabilidad de los sistemas.

Aunque Microsoft asegura que no hay un vínculo directo entre la actualización y las fallas reportadas en SSD y HDD, la compañía continúa recopilando información de usuarios afectados y monitoreando los incidentes.

Por ahora, la recomendación para los usuarios de Windows 11 24H2 es clara: mantener sus dispositivos actualizados, seguir las buenas prácticas de respaldo de datos y, en caso de experimentar problemas de almacenamiento, revisar con los fabricantes de hardware posibles actualizaciones de firmware o parches complementarios.

En un ecosistema donde los sistemas operativos, controladores y hardware deben trabajar en perfecta sincronía, este caso sirve como recordatorio de que incluso una pequeña incompatibilidad puede generar fallas críticas en la integridad de los datos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WhatsApp, la aplicación de mensajería más utilizada del mundo, anunció la corrección de una vulnerabilidad de día cero que afectaba a sus clientes de iOS y macOS. La falla, rastreada como CVE-2025-55177, fue aprovechada en ataques dirigidos de alta sofisticación y se vinculó a campañas de software espía avanzado que comprometieron la seguridad de usuarios en escenarios críticos.

Según el aviso oficial, la vulnerabilidad se encontraba en el mecanismo de sincronización de dispositivos vinculados y permitía que un atacante explotara la aplicación sin necesidad de interacción del usuario, es decir, un ataque de clic cero. Esta característica la hacía especialmente peligrosa, ya que la víctima podía ser comprometida sin abrir mensajes ni realizar acción alguna.

Versiones afectadas y parches disponibles

La vulnerabilidad CVE-2025-55177 afectaba a las siguientes versiones:

• WhatsApp para iOS antes de la versión 2.25.21.73
• WhatsApp Business para iOS antes de la versión 2.25.21.78
• WhatsApp para Mac antes de la versión 2.25.21.78

WhatsApp instó a todos los usuarios a actualizar inmediatamente sus aplicaciones a la última versión disponible para cerrar la brecha de seguridad y reducir el riesgo de explotación.

Cómo funcionaba el ataque

El problema radicaba en una autorización incompleta de mensajes de sincronización de dispositivos vinculados. Según la compañía, esta falla podría permitir que un atacante remoto activara el procesamiento de contenido desde una URL arbitraria en el dispositivo objetivo.

Si bien esta vulnerabilidad ya era grave por sí sola, el riesgo aumentaba cuando se combinaba con otra falla de día cero de Apple (CVE-2025-43300), corregida a principios de agosto mediante actualizaciones de emergencia para iOS y macOS. Apple describió esta segunda vulnerabilidad como un problema explotado en un "ataque extremadamente sofisticado".

La explotación conjunta de ambas vulnerabilidades abría la puerta a un ataque completo, permitiendo a los actores de amenazas ejecutar código malicioso, instalar software espía y mantener acceso persistente a los dispositivos de las víctimas.

Víctimas y alcance de la campaña

Aunque WhatsApp y Apple no han compartido detalles técnicos exhaustivos ni identificado públicamente a los responsables, hay indicios de que los ataques estuvieron vinculados a una campaña de espionaje digital altamente dirigida.

El Laboratorio de Seguridad de Amnistía Internacional, dirigido por Donncha Ó Cearbhaill, confirmó que WhatsApp ha enviado notificaciones de amenaza a varios usuarios que fueron objetivo de este ataque en los últimos 90 días. Entre los afectados se encontrarían periodistas, activistas y miembros de la sociedad civil, lo que encaja con los patrones observados en campañas previas de software espía.

En dichas notificaciones, la compañía advirtió:

Citar"Hemos realizado cambios para evitar que este ataque específico ocurra a través de WhatsApp. Sin embargo, el sistema operativo de su dispositivo podría permanecer comprometido por el malware o ser atacado de otras maneras".

WhatsApp también recomendó a los afectados realizar un restablecimiento de fábrica de sus dispositivos, además de mantener actualizados el sistema operativo y las aplicaciones instaladas.

Antecedentes: otros ataques de día cero en WhatsApp

Este no es el primer incidente que involucra vulnerabilidades de día cero en WhatsApp. En marzo de 2025, la compañía corrigió otra falla crítica explotada por el software espía Graphite, desarrollado por la empresa israelí Paragon.

Dicho ataque también estaba dirigido contra usuarios de alto perfil, incluidos periodistas y defensores de derechos humanos, y fue identificado tras investigaciones del Citizen Lab de la Universidad de Toronto.

Un portavoz de WhatsApp declaró en ese momento:

Citar"WhatsApp ha interrumpido una campaña de software espía de Paragon que se dirigía a varios usuarios, incluidos periodistas y miembros de la sociedad civil. Nos hemos comunicado directamente con las personas que creemos que se vieron afectadas".

Este patrón muestra cómo los exploits de día cero en aplicaciones de mensajería se han convertido en una de las herramientas favoritas para la vigilancia digital patrocinada por Estados o empresas privadas especializadas en spyware.

La amenaza del software espía avanzado

El hecho de que la vulnerabilidad CVE-2025-55177 se combinara con la falla de Apple CVE-2025-43300 revela la magnitud del ataque. Estos escenarios suelen estar relacionados con operaciones de ciberespionaje a gran escala, similares a las atribuidas en el pasado a herramientas como Pegasus de NSO Group o Predator de Cytrox.

El software espía avanzado es capaz de:

• Acceder a mensajes cifrados en aplicaciones como WhatsApp o Signal.
• Activar remotamente la cámara y el micrófono del dispositivo.
• Extraer archivos, contactos y datos de ubicación en tiempo real.
• Mantener acceso persistente incluso tras reinicios del sistema.

Por este motivo, expertos en ciberseguridad recomiendan que usuarios de alto riesgo (periodistas, activistas, políticos y ejecutivos de alto nivel) tomen medidas adicionales de protección, como el uso de dispositivos secundarios dedicados, cifrado de extremo a extremo y auditorías de seguridad frecuentes.

Recomendaciones de seguridad

Ante la gravedad de este incidente, se aconseja a todos los usuarios de WhatsApp y dispositivos Apple:

• Actualizar de inmediato WhatsApp a la última versión disponible.
• Instalar las actualizaciones de seguridad de Apple para iOS y macOS.
• Realizar un restablecimiento de fábrica si se recibió una notificación de amenaza.
• Revisar los permisos concedidos a aplicaciones de terceros.
• Mantener activada la autenticación multifactor (MFA) en todas las cuentas críticas.
• Usar soluciones de seguridad móvil que permitan detectar comportamientos anómalos.

En fin, el caso de la vulnerabilidad CVE-2025-55177 confirma que los ataques de día cero siguen siendo una de las mayores amenazas en el panorama actual de la ciberseguridad. La combinación de fallos en WhatsApp y en el sistema operativo de Apple demuestra cómo incluso las plataformas más seguras pueden ser comprometidas en ataques dirigidos de alta complejidad.

Aunque WhatsApp y Apple han actuado con rapidez lanzando parches y alertando a los usuarios afectados, este episodio es un recordatorio de que la seguridad digital requiere vigilancia constante, actualizaciones inmediatas y una estrategia proactiva contra el software espía avanzado.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En junio de 2025, investigadores de Trend Micro revelaron una sofisticada campaña de espionaje bautizada como TAOTH, en la que actores de amenazas aprovecharon un servidor de actualización abandonado del software de editor de métodos de entrada (IME) Sogou Zhuyin. Este ataque permitió la distribución de múltiples familias de malware altamente especializadas, como C6DOOR, GTELAM, DESFY y TOSHIS, en una operación dirigida principalmente contra usuarios del este de Asia.

De acuerdo con los analistas Nick Dai y Pierre Lee, los atacantes emplearon cadenas de infección complejas que incluían actualizaciones secuestradas, almacenamiento en la nube falso y páginas de inicio de sesión fraudulentas. Su objetivo principal era robar información confidencial y espiar a víctimas estratégicas, entre ellas disidentes políticos, periodistas, investigadores, líderes tecnológicos y empresariales.

Cómo se aprovechó el servidor de Sogou Zhuyin

El ataque tiene su origen en octubre de 2024, cuando los cibercriminales tomaron control del dominio caducado sogouzhuyin[.]com, vinculado al popular software IME, el cual había dejado de recibir soporte desde 2019. Un mes después, el dominio se utilizó para alojar actualizaciones maliciosas que se distribuían a usuarios que aún instalaban el programa desde fuentes legítimas, como la página de Wikipedia en chino tradicional, manipulada en marzo de 2025 para redirigir a los visitantes al dominio comprometido dl[.]sogouzhuyin[.]com.

Aunque el instalador original era inocuo, el problema surgía al activarse el proceso de actualización automática. El binario ZhuyinUp.exe obtenía archivos de configuración desde un servidor controlado por los atacantes, lo que abría la puerta a la descarga de malware en segundo plano.

Malware utilizado en la campaña TAOTH

Los investigadores identificaron cuatro familias principales de malware desplegadas en esta operación:

• TOSHIS: un cargador detectado por primera vez en diciembre de 2024, diseñado para obtener cargas útiles de segunda etapa como Cobalt Strike o el agente Merlin del framework Mythic. Es una variante del malware Xiangoop, previamente atribuido al grupo Tropic Trooper.
• DESFY: detectado en mayo de 2025, funciona como un spyware que recopila información básica sobre archivos almacenados en el escritorio y en carpetas de programas.
• GTELAM: también identificado en mayo de 2025, está diseñado para filtrar archivos sensibles con extensiones como PDF, DOC, XLS y PPT. Los datos recopilados se exfiltran hacia Google Drive, lo que permite a los atacantes ocultar el tráfico malicioso dentro de servicios legítimos.
• C6DOOR: una puerta trasera escrita en Go, con capacidades de comando y control a través de HTTP y WebSocket. Permite ejecutar comandos, administrar archivos, tomar capturas de pantalla, listar procesos, cargar o descargar datos y hasta inyectar código malicioso en procesos específicos.

El análisis de C6DOOR mostró caracteres chinos simplificados incrustados en su código, lo que sugiere que el actor de amenazas domina este idioma y probablemente opera desde la región.

Estrategias de evasión y spear-phishing

Para dificultar la detección, los atacantes aprovecharon servicios legítimos de almacenamiento en la nube, como Google Drive y Tencent Cloud, utilizados tanto para exfiltrar datos como para disfrazar el tráfico malicioso.

Además, la campaña incluyó variantes de spear-phishing con correos electrónicos que contenían enlaces trampa y documentos señuelo. Estos ataques adoptaron un enfoque doble:

• Páginas de inicio de sesión falsas, disfrazadas como ofertas de cupones o descargas de PDF, que buscaban obtener permisos OAuth y acceso a correos de Google o Microsoft.
• Sitios de almacenamiento en la nube falsos, que distribuían archivos ZIP maliciosos con TOSHIS integrado.

En varios casos, se observaron intentos de engaño a usuarios de alto perfil, incluso fuera de Asia, con algunos objetivos en Noruega y Estados Unidos.

Impacto geográfico y perfiles de víctimas

El análisis de Trend Micro reveló que Taiwán representó el 49% de las víctimas, seguido de Camboya (11%) y Estados Unidos (7%). Otros países afectados incluyen China, Hong Kong, Japón y Corea del Sur, así como comunidades taiwanesas en el extranjero.

Aunque la mayoría de las intrusiones parecían centrarse en reconocimiento y perfilado de objetivos de alto valor, los expertos advirtieron que estas actividades podrían escalar hacia ataques más destructivos o de largo plazo en el futuro.

Lecciones de seguridad y mitigación

La operación TAOTH subraya un problema recurrente en ciberseguridad: el abuso de software descontinuado o servidores abandonados. Los atacantes se aprovecharon de un programa popular que, pese a haber quedado obsoleto, seguía disponible en Internet.

Las principales recomendaciones para empresas y usuarios incluyen:

• Eliminar o reemplazar software en fin de soporte, que no recibe parches de seguridad.
• Auditar entornos digitales en busca de aplicaciones vulnerables o configuraciones inseguras.
• Verificar permisos en aplicaciones en la nube antes de conceder acceso a datos sensibles.
• Implementar autenticación multifactor (MFA) y soluciones avanzadas de monitoreo para detectar anomalías de tráfico.

En fin, la campaña TAOTH representa un caso claro de cómo los cibercriminales explotan infraestructura abandonada para lanzar ataques de espionaje altamente dirigidos. El uso de actualizaciones manipuladas, malware modular y servicios en la nube legítimos demuestra un nivel de sofisticación que pone en riesgo tanto a usuarios individuales como a organizaciones críticas.

Aunque en muchos casos la actividad observada parecía limitarse al reconocimiento, el potencial de escalamiento hacia exfiltración masiva de datos o ataques sostenidos es evidente. Este episodio resalta la importancia de una gestión responsable del software obsoleto y de una defensa activa contra campañas de espionaje digital patrocinadas por Estados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Amazon anunció la detección e interrupción de una sofisticada campaña cibernética de abrevadero atribuida a APT29, también conocido como Cozy Bear, un grupo de amenazas persistentes avanzadas (APT) vinculado al Servicio de Inteligencia Exterior de Rusia (SVR). Esta operación, descrita como "oportunista" por la compañía, forma parte de los continuos esfuerzos del colectivo por robar credenciales, infiltrarse en sistemas corporativos y recopilar inteligencia sensible.

Según explicó CJ Moses, director de seguridad de la información de Amazon, los atacantes comprometieron varios sitios web legítimos para redirigir a los visitantes hacia infraestructura maliciosa. El objetivo era engañar a los usuarios y lograr que autorizaran dispositivos controlados por los atacantes a través del flujo de autenticación de código de dispositivo de Microsoft, un mecanismo de seguridad diseñado originalmente para vincular dispositivos a cuentas de forma legítima.

¿Quién es APT29?

APT29 es uno de los grupos de ciberespionaje más conocidos y activos del mundo. Ha recibido múltiples alias en la industria de la ciberseguridad, incluidos BlueBravo, Cloaked Ursa, Midnight Blizzard, The Dukes y Cozy Bear. Sus operaciones se remontan a más de una década y han estado relacionadas con ataques de alto impacto contra instituciones gubernamentales, infraestructuras críticas y compañías tecnológicas.

El grupo, patrocinado por el Estado ruso, mantiene como principal objetivo la recolección de inteligencia estratégica. En meses recientes, se le ha vinculado a ataques contra entidades ucranianas utilizando archivos maliciosos de configuración de Protocolo de Escritorio Remoto (RDP), además de sofisticadas campañas de phishing dirigidas contra usuarios de Microsoft 365.

El ataque detectado por Amazon

En esta ocasión, la campaña consistió en comprometer varios sitios web legítimos e inyectar JavaScript malicioso. Alrededor del 10% de los visitantes eran redirigidos hacia dominios controlados por APT29, como findcloudflare[.]com, que imitaban las páginas de seguridad de Cloudflare para generar confianza.

La táctica buscaba que las víctimas introdujeran un código de dispositivo legítimo generado por los atacantes en una página de inicio de sesión de Microsoft. Si la víctima completaba el proceso, el grupo obtenía acceso completo a su cuenta de Microsoft, incluidos correos electrónicos, documentos y otros datos confidenciales.

Este método fue descrito por Microsoft y Volexity en febrero de 2025, y subraya la capacidad del grupo para aprovechar funciones legítimas de seguridad en beneficio propio.

Técnicas avanzadas de evasión

La campaña interrumpida por Amazon no solo mostró la agresividad de APT29, sino también su nivel de sofisticación técnica. Entre las tácticas detectadas se incluyen:

• Codificación en Base64 para ocultar el código malicioso dentro de los sitios comprometidos.
• Uso de cookies personalizadas para evitar redireccionar al mismo visitante más de una vez y así reducir las posibilidades de detección.
• Rotación de infraestructura maliciosa, cambiando rápidamente a nuevos servidores y dominios cuando los anteriores eran bloqueados.

Amazon confirmó que, pese a los intentos del grupo de trasladar su infraestructura desde AWS hacia otros proveedores de nube, su equipo de seguridad continuó monitoreando, rastreando e interrumpiendo las operaciones. Incluso después de ser bloqueados, los atacantes registraron nuevos dominios como cloudflare.redirectpartners[.]com, en un esfuerzo por mantener activa la campaña.

Contexto y evolución de APT29 en 2025

Este no es el primer incidente reciente atribuido al grupo. En junio de 2025, Google alertó sobre una campaña altamente dirigida en la que un colectivo afiliado a APT29, identificado como UNC6293, explotaba la función de contraseñas específicas de aplicación de Google para acceder de manera ilícita a correos electrónicos de sus víctimas.

Con esta nueva operación, APT29 demuestra una clara evolución en sus tácticas:

• Pasó del phishing clásico al uso de métodos más avanzados como el phishing de código de dispositivo.
• Amplió el espectro de sus ataques mediante campañas de abrevadero, aumentando las probabilidades de comprometer objetivos relevantes.
• Consolidó su reputación como uno de los actores más persistentes en el ámbito del ciberespionaje global.

Importancia para empresas y usuarios

• La campaña frustrada por Amazon deja varias lecciones para el mundo corporativo y los usuarios comunes:
• La cadena de confianza digital es frágil: incluso sitios web legítimos pueden ser comprometidos e infectados con código malicioso.
• Los atacantes explotan mecanismos de seguridad legítimos: como el flujo de autenticación de Microsoft o las contraseñas específicas de Google.
• La detección y respuesta temprana es crítica: la intervención de equipos de inteligencia como el de Amazon evitó que la campaña alcanzara un mayor impacto.

Las organizaciones deben reforzar sus medidas de ciberseguridad con monitoreo de tráfico web, autenticación multifactor (MFA), auditorías continuas y concienciación en seguridad para mitigar ataques similares.

En fin, la interrupción de esta campaña subraya la evolución constante de APT29 y su capacidad de adaptación frente a las defensas de gigantes tecnológicos como Microsoft, Google y Amazon. Si bien la operación fue frustrada, la actividad del grupo refleja la creciente sofisticación de los actores de ciberespionaje patrocinados por Estados.

La detección temprana y la cooperación entre empresas tecnológicas serán esenciales para proteger a organizaciones y usuarios frente a estas amenazas en un escenario donde la ciberguerra y el espionaje digital juegan un papel estratégico cada vez más decisivo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de amenazas persistentes avanzadas (APT) vinculado a China, conocido como Salt Typhoon, ha intensificado sus operaciones de ciberespionaje dirigidas contra redes y sectores estratégicos a nivel global, incluyendo telecomunicaciones, gobiernos, transporte, hospitalidad e infraestructura militar.

De acuerdo con un aviso conjunto de ciberseguridad publicado por 13 países, este actor de amenazas explota vulnerabilidades en dispositivos de red de fabricantes como Cisco, Ivanti y Palo Alto Networks para obtener acceso inicial, modificar configuraciones y mantener presencia persistente a largo plazo en los sistemas comprometidos.

Objetivos del grupo Salt Typhoon

Las autoridades explican que Salt Typhoon se enfoca principalmente en:

• Grandes enrutadores troncales de proveedores de telecomunicaciones.
• Enrutadores de borde de proveedor (PE) y enrutadores de borde de cliente (CE).
• Dispositivos comprometidos y conexiones confiables que sirven de punto de pivote hacia otras redes.

La modificación de los enrutadores les permite a los atacantes mantener un acceso estable, exfiltrar datos de forma encubierta y expandirse lateralmente hacia infraestructuras críticas.

Vínculos con entidades chinas

El informe atribuye esta actividad maliciosa a tres empresas chinas:

• Sichuan Juxinhe Network Technology Co., Ltd.
• Beijing Huanyu Tianqiong Information Technology Co., Ltd.
• Sichuan Zhixin Ruijie Network Technology Co., Ltd.

De acuerdo con las agencias, estas compañías brindan soporte tecnológico y servicios relacionados a los servicios de inteligencia de China, lo que refuerza la hipótesis de que Salt Typhoon opera con apoyo estatal. El acceso a redes de telecomunicaciones e ISP permitiría a Beijing monitorear comunicaciones y movimientos de objetivos estratégicos en todo el mundo.

Colaboración internacional en ciberseguridad

El boletín fue firmado por Australia, Canadá, República Checa, Finlandia, Alemania, Italia, Japón, Países Bajos, Nueva Zelanda, Polonia, España, Reino Unido y Estados Unidos.

Brett Leatherman, jefe de la División Cibernética del FBI, explicó que Salt Typhoon opera al menos desde 2019, con una campaña sostenida de espionaje que viola normas globales de privacidad y seguridad en telecomunicaciones.

En una alerta independiente, los servicios de inteligencia de Países Bajos (MIVD y AIVD) confirmaron que los atacantes obtuvieron acceso a enrutadores de ISP y proveedores de hosting locales, aunque no encontraron evidencia de intrusiones más profundas.

Alcance global de la campaña

De acuerdo con medios como The Wall Street Journal y The Washington Post, Salt Typhoon ha expandido sus objetivos a más de 600 organizaciones en 80 países, incluidas 200 en Estados Unidos y múltiples sectores críticos en el Reino Unido.

El grupo se superpone con otras designaciones como GhostEmperor, Operator Panda, RedMike y UNC5807, lo que indica un entramado complejo de operaciones APT atribuidas al ecosistema de ciberespionaje chino.

Vulnerabilidades explotadas

Salt Typhoon aprovecha vulnerabilidades conocidas y críticas en dispositivos de borde de red:

• Cisco: CVE-2018-0171, CVE-2023-20198 y CVE-2023-20273.
• Ivanti: CVE-2023-46805 y CVE-2024-21887.
• Palo Alto Networks: CVE-2024-3400.

Una vez dentro, los atacantes modifican configuraciones, crean túneles GRE para mantener acceso persistente, y alteran listas de control de acceso (ACL) para agregar direcciones IP bajo su control.

Además, aprovechan protocolos de autenticación TACACS+ para moverse lateralmente y capturar credenciales privilegiadas de administradores de red.

Técnicas avanzadas de persistencia

Entre las tácticas observadas por las agencias de ciberseguridad se incluyen:

• Captura de tráfico de red (PCAP) con herramientas nativas para obtener credenciales.
• Activación del servicio sshd_operns en Cisco IOS XR para crear usuarios locales con privilegios root.
• Ejecución de comandos en contenedores Linux integrados en dispositivos Cisco, usados para organizar herramientas, procesar datos localmente y moverse lateralmente en la red.

Estas técnicas muestran un conocimiento profundo del funcionamiento de sistemas de telecomunicaciones y una capacidad avanzada para evadir defensas convencionales.

El papel de contratistas en el ciberespionaje chino

De acuerdo con Mandiant (propiedad de Google), Salt Typhoon cuenta con una ventaja significativa debido a la experiencia técnica en telecomunicaciones.

John Hultquist, jefe de análisis de Google Threat Intelligence Group, comentó a The Hacker News:

Citar"Un ecosistema de contratistas, académicos y facilitadores está en el corazón del ciberespionaje chino. Estos actores construyen herramientas, desarrollan exploits y ejecutan intrusiones, acelerando la evolución de las operaciones a una escala sin precedentes".

La colaboración de contratistas privados permite al grupo diversificar sus tácticas y expandirse hacia sectores como hospitalidad y transporte, lo que sugiere un interés en vigilar movimientos individuales y patrones de comportamiento de personas específicas.

En fin, el caso de Salt Typhoon confirma que los grupos APT chinos están priorizando el espionaje estratégico global contra sectores críticos como telecomunicaciones, gobiernos e infraestructura militar. La explotación de vulnerabilidades conocidas en dispositivos de red demuestra la urgencia de reforzar medidas de ciberseguridad, especialmente en organizaciones que operan infraestructura esencial.

La colaboración internacional para exponer y mitigar estas operaciones subraya que la seguridad de la cadena de suministro digital se ha convertido en un desafío global que trasciende fronteras.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La cadena de suministro de software vuelve a ser el centro de atención tras el hallazgo de una vulnerabilidad crítica en Visual Studio Code Marketplace. Investigadores de ReversingLabs descubrieron que actores de amenazas pueden reutilizar nombres de extensiones previamente eliminadas para publicar versiones maliciosas, una laguna que abre la puerta a ataques sofisticados contra millones de desarrolladores que utilizan Visual Studio Code.

Descubrimiento de extensiones maliciosas

El hallazgo se produjo después de identificar una extensión denominada "ahbanC.shiba", la cual compartía similitudes con otras dos extensiones maliciosas previamente detectadas: ahban.shiba y ahban.cychelloworld. Todas estas extensiones actuaban como descargadores de malware, recuperando cargas útiles de PowerShell desde un servidor externo.

El código malicioso estaba diseñado para cifrar archivos en una carpeta denominada "testShiba" ubicada en el escritorio de la víctima. Una vez completado el cifrado, los atacantes exigían un rescate en tokens Shiba Inu, solicitando el depósito en una billetera no especificada.

Este patrón sugiere que los atacantes están en etapa de desarrollo activa, probando diferentes variantes de su ataque y aprovechando la laguna en la política de publicación de extensiones.

¿Cómo fue posible la reutilización de nombres?

En teoría, cada extensión de Visual Studio Code debe contar con un ID único, compuesto por el nombre del editor y el nombre de la extensión, por ejemplo: <publisher>.<name>. Según la documentación oficial, el campo <name> debe ser único, estar en minúsculas y sin espacios.

Sin embargo, la investigadora Lucija Valentić de ReversingLabs descubrió que cuando una extensión es eliminada del Marketplace, su nombre queda nuevamente disponible para otros usuarios. Esto permite que actores maliciosos registren el mismo nombre con un editor distinto, creando la ilusión de continuidad y engañando a los desarrolladores que buscan extensiones legítimas.

La práctica no se aplica a extensiones que son simplemente despublicadas, pero sí a aquellas eliminadas por completo del repositorio.

Comparación con otros repositorios: PyPI como precedente

Esta vulnerabilidad no es exclusiva de Visual Studio Code. De hecho, algo similar ocurre en el Python Package Index (PyPI). En 2023, ReversingLabs demostró que al eliminar un paquete en PyPI, su nombre quedaba disponible para que cualquier usuario lo reclamara, siempre que se modificaran los metadatos de distribución.

No obstante, PyPI introdujo una excepción de seguridad: los nombres de proyectos que estuvieron vinculados a paquetes maliciosos dejan de estar disponibles permanentemente, reduciendo el riesgo de reutilización. Visual Studio Code, en cambio, no aplica este tipo de restricciones, lo que incrementa las posibilidades de ataques de envenenamiento de repositorios.

Amenaza creciente en la cadena de suministro de software

El problema va más allá de Visual Studio Code. Según registros filtrados del grupo Black Basta, los atacantes buscan cada vez más infiltrar ransomware y malware en ecosistemas de código abierto, confiando en que los desarrolladores descarguen estas librerías maliciosas sin sospechar.

Valentić advirtió que este escenario plantea un riesgo crítico:

Citar"El descubrimiento de esta laguna expone una nueva amenaza: que el nombre de cualquier extensión eliminada puede ser reutilizado, y por cualquiera. Eso significa que si se elimina alguna extensión legítima y muy popular, su nombre queda en juego".

Casos adicionales: ocho paquetes npm maliciosos

El descubrimiento de ReversingLabs coincide con la detección de ocho paquetes maliciosos en npm, identificados por los investigadores de JFrog. Estos paquetes, distribuidos por usuarios llamados ruer y npjun, contenían un ladrón de información diseñado para exfiltrar contraseñas, datos de tarjetas de crédito, cookies de sesión y credenciales de billeteras de criptomonedas.

Los paquetes detectados fueron:

• toolkdvv (v1.1.0, v1.0.0)
• react-sxt (v2.4.1)
• react-typex (v0.1.0)
• react-typexs (v0.1.0)
• react-sdk-solana (v2.4.1)
• react-native-control (v2.4.1)
• revshare-sdk-api (v2.4.1)
• revshare-sdk-apii (v2.4.1)

Lo más preocupante es que empleaban 70 capas de código ofuscado para desplegar una carga útil en Python que facilitaba el robo de información, dificultando la detección por herramientas de seguridad convencionales.

Opiniones de expertos en ciberseguridad

Para Guy Korolevski, investigador de JFrog, estos hallazgos son una señal clara del rumbo de los ciberataques:

Citar"Los repositorios de software de código abierto se han convertido en uno de los principales puntos de entrada para los atacantes como parte de los ataques a la cadena de suministro, con oleadas crecientes que utilizan typosquatting y enmascaramiento, pretendiendo ser legítimos".

Korolevski subraya que las campañas multicapa diseñadas para evadir sistemas de defensa tradicionales requieren que las organizaciones cuenten con visibilidad completa de su cadena de suministro, implementando escaneo automatizado riguroso y controles centralizados de seguridad en todos los componentes de software.

Un riesgo latente para desarrolladores y organizaciones

El caso de Visual Studio Code Marketplace confirma que los ecosistemas de código abierto son un objetivo prioritario para los atacantes. La posibilidad de reutilizar nombres de extensiones eliminadas representa una amenaza real para millones de desarrolladores, ya que abre la puerta a ataques de suplantación y distribución de ransomware.

Si a esto sumamos los recientes hallazgos en npm y PyPI, el panorama es claro: los repositorios de software se han convertido en un vector crítico para los ataques a la cadena de suministro, lo que exige mayor vigilancia, políticas de seguridad más estrictas y educación constante para los desarrolladores.

En un contexto en el que los actores maliciosos perfeccionan técnicas de envenenamiento de repositorios, typosquatting y ofuscación avanzada, la única defensa efectiva es adoptar prácticas seguras de desarrollo, monitoreo proactivo y herramientas de análisis de dependencias que aseguren la integridad del software desde su origen.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El desarrollador líder de software de simulación matemática y computación científica, MathWorks, ha confirmado que fue víctima de un ataque de ransomware que resultó en el robo de datos de más de 10,000 personas. La compañía, reconocida mundialmente por sus plataformas MATLAB y Simulink, reveló que los atacantes violaron su red en abril de 2025, comprometiendo tanto información confidencial como la disponibilidad de varios de sus servicios críticos.

El incidente fue comunicado oficialmente el 27 de mayo, cuando la empresa vinculó las interrupciones de servicio que experimentaban empleados y clientes con un ciberataque de ransomware. MathWorks explicó que varios sistemas internos y aplicaciones en línea quedaron temporalmente inutilizables como resultado directo del ataque.

Servicios críticos afectados por el ciberataque

La compañía informó que el ataque interrumpió el acceso a múltiples servicios fundamentales para su ecosistema, entre los que se incluyen:

• Autenticación multifactor (MFA).
• Inicio de sesión único (SSO) para cuentas corporativas.
• MathWorks Cloud Center.
• Plataforma de intercambio de archivos.
• Centro de licencias.
• Tienda en línea.

Estas interrupciones no solo impactaron a los empleados de la organización, sino también a miles de usuarios y clientes en todo el mundo que dependen de MATLAB y Simulink para actividades de investigación, desarrollo y educación.

Descubrimiento tardío y número de afectados

De acuerdo con una presentación ante el Fiscal General de Maine, MathWorks detectó el ataque el 18 de mayo, más de un mes después de que los delincuentes lograran acceso a su red. En ese tiempo, los atacantes lograron exfiltrar datos personales pertenecientes a 10,476 personas.

La compañía también notificó al Fiscal General de Massachusetts, detallando que los documentos robados contenían información sensible. Dependiendo de cada víctima, los datos comprometidos incluyen:

• Nombre completo.
• Dirección.
• Fecha de nacimiento.
• Número de seguro social.
• Números de identificación nacional (en países fuera de EE. UU.).

Este tipo de información es altamente valiosa en el mercado negro digital, pues puede ser utilizada para fraudes financieros, suplantación de identidad o ataques de ingeniería social.

Ransomware: falta de atribución y posibles negociaciones

Aunque MathWorks ha confirmado oficialmente que se trató de un ataque de ransomware, todavía no se ha revelado qué grupo de ciberdelincuentes estuvo detrás de la operación. De forma llamativa, ninguna de las principales bandas de ransomware ha reclamado la autoría del ataque en sus sitios de filtraciones en la dark web, lo que abre la posibilidad de que:

• La empresa aún se encuentre en negociaciones con los atacantes.
• El pago del rescate ya se haya efectuado de manera privada.
• Se trate de un grupo de ransomware menos conocido o de una nueva operación en expansión.

El silencio de los atacantes resulta inusual, ya que la mayoría de las bandas buscan generar presión pública sobre sus víctimas para obligarlas a pagar el rescate exigido.

El impacto para MathWorks y sus clientes

MathWorks, fundada en 1984 y con sede en Natick, Massachusetts, es una compañía con más de 6,500 empleados distribuidos en 34 oficinas a nivel mundial. Sus productos MATLAB y Simulink son utilizados por más de 100,000 organizaciones y alrededor de 5 millones de clientes en sectores como ingeniería, automoción, aeronáutica, telecomunicaciones y educación.

El impacto de este ciberataque es significativo, no solo por la magnitud de los datos comprometidos, sino también por el riesgo reputacional que enfrenta una empresa de referencia en innovación tecnológica. Los clientes de MathWorks confían en sus soluciones para proyectos de misión crítica, por lo que la exposición de información personal y las interrupciones en servicios esenciales pueden dañar la percepción de seguridad en torno a la marca.

El panorama del ransomware en 2025

Este caso confirma que el ransomware sigue siendo una de las principales amenazas globales de ciberseguridad en 2025. Los atacantes apuntan cada vez más a empresas tecnológicas que gestionan información sensible y cuentan con infraestructura crítica. Al comprometer servicios esenciales como la autenticación multifactor o las plataformas en la nube, los ciberdelincuentes logran maximizar el impacto del ataque y aumentar la presión para el pago de rescates.

Además, el tiempo que tardó MathWorks en detectar la intrusión —más de un mes— evidencia lo complejo que puede resultar identificar y contener este tipo de ataques en entornos corporativos altamente digitalizados.

Próximos pasos y respuesta de MathWorks

Hasta el momento, un portavoz de MathWorks no ha respondido a solicitudes de comentarios de medios especializados como BleepingComputer, lo que indica que la compañía aún se encuentra gestionando el impacto del incidente y trabajando en reforzar su seguridad.

Lo más probable es que la empresa implemente nuevas políticas de ciberseguridad preventiva, como mayor monitoreo de red, inversiones en detección temprana de amenazas, segmentación de sistemas críticos y fortalecimiento de sus protocolos de respuesta a incidentes.

En fin, el ataque de ransomware contra MathWorks es un recordatorio de la creciente vulnerabilidad de las compañías tecnológicas frente a operaciones criminales altamente organizadas. Con más de 10,000 personas afectadas, interrupciones de servicios clave y la incertidumbre sobre si se pagó un rescate, este incidente marca un hito preocupante en el panorama de la ciberseguridad global en 2025.

Para organizaciones y usuarios, el caso refuerza la importancia de implementar estrategias de protección en la nube, cifrado de datos, autenticación robusta y planes de respuesta a incidentes, ya que incluso las empresas más reconocidas y con gran trayectoria no están exentas de convertirse en víctimas de ransomware.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft continúa avanzando en la modernización de sus aplicaciones de productividad dentro del ecosistema Microsoft 365, y una de las últimas novedades se centra en Word para Windows. La compañía anunció que muy pronto el editor de texto más utilizado del mundo habilitará el guardado automático en la nube por defecto, lo que transformará la manera en que los usuarios gestionan y almacenan sus documentos.

Esta innovación ya se encuentra en fase de pruebas para los usuarios del programa Microsoft 365 Insider, específicamente en el canal Beta. Quienes actualicen a Word para Windows versión 2509 (compilación 19221.20000 o posterior) serán los primeros en acceder a esta funcionalidad, que más adelante también estará disponible para Excel para Windows y PowerPoint para Windows.

Guardado automático: la nueva experiencia en Word para Windows

De acuerdo con Microsoft, el objetivo principal de este cambio es garantizar que los usuarios no pierdan información valiosa por no haber guardado un archivo manualmente. Como explicó Raúl Muñoz, gerente de producto en el equipo de Office Shared Services and Experiences:

Citar"Estamos modernizando la forma en que se crean y almacenan los archivos en Word para Windows. Ahora no tiene que preocuparse por guardar sus documentos: cualquier cosa nueva que cree se guardará automáticamente en OneDrive o en su destino de nube preferido".

Esto significa que cada documento nuevo generado en Word se almacenará de manera predeterminada en OneDrive, aunque los usuarios podrán cambiar este comportamiento y elegir entre guardar en la nube o en carpetas locales de su computadora.

Opciones de configuración flexibles

Aunque el guardado automático en la nube será la opción predeterminada, Microsoft permitirá a los usuarios personalizar la forma en que desean almacenar sus archivos. A través del menú Opciones > Guardar, se podrá activar o desactivar la casilla "Crear nuevos archivos en la nube automáticamente".

De esta manera, quienes prefieran el método tradicional podrán seguir guardando documentos directamente en el disco duro, mientras que los que trabajen de forma colaborativa o en entornos corporativos podrán aprovechar al máximo la integración con OneDrive.

Problemas conocidos en la fase Beta

Como toda nueva función en desarrollo, Microsoft ha reconocido la existencia de algunos problemas conocidos que aún están siendo solucionados:

• En algunos casos, los documentos recién creados no se guardan automáticamente si se inicia una nueva sesión de Word mientras otra ya se encuentra en ejecución.
• Tras renombrar un archivo, puede presentarse un retraso en la actualización de la lista de documentos recientes.
• Si la opción "Mostrar la pantalla de inicio cuando se inicia esta aplicación" está deshabilitada, el primer archivo creado después de abrir Word no se guardará de manera automática.

Microsoft asegura que continuará trabajando para resolver estas incidencias antes del lanzamiento general de la función.

Cómo probar la nueva función de Word

Quienes deseen experimentar con el guardado automático en la nube de Word para Windows pueden unirse al programa Microsoft 365 Insider. Bastará con actualizar la aplicación a la versión 2509 (compilación 19221.20000 o posterior) para comenzar a probar la característica.

Este enfoque permite a Microsoft recopilar retroalimentación directa de los usuarios antes de desplegar la actualización a todos los clientes de Microsoft 365 a nivel global.

Más cambios importantes en el ecosistema Microsoft 365

Este anuncio se suma a otras decisiones recientes de Microsoft en torno a sus aplicaciones de productividad:

• A inicios de este mes, la compañía informó que las funciones de transcripción, dictado y lectura en voz alta dejarán de funcionar en versiones obsoletas de Microsoft 365 Office a partir de enero de 2026.
• En mayo, Microsoft también anunció el fin del soporte para las aplicaciones de Office en Windows 10 hacia finales de 2025.
• Asimismo, en abril se recordó a los usuarios que Office 2016 y Office 2019 llegarán al final de su soporte extendido el próximo 14 de octubre de 2025.

Estos cambios confirman la estrategia de Microsoft de impulsar a los usuarios hacia Microsoft 365 en la nube, con el fin de garantizar mayor seguridad, productividad y acceso remoto a los documentos.

Impacto para usuarios y empresas

La llegada del guardado automático en la nube en Word para Windows representa un paso clave hacia la digitalización total de los entornos de trabajo. Para los usuarios individuales, significa mayor tranquilidad al reducir el riesgo de pérdida de datos. Para las empresas, implica una optimización en la colaboración en tiempo real, ya que múltiples usuarios podrán acceder a un documento desde diferentes dispositivos sin preocuparse por versiones desactualizadas.

Además, esta decisión refuerza la visión de Microsoft de un ecosistema en el que OneDrive y la nube sean los ejes centrales para la creación, almacenamiento y gestión de archivos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El gigante automotriz Nissan Japón ha confirmado que sufrió una violación de datos tras un acceso no autorizado a un servidor de su subsidiaria Creative Box Inc. (CBI). La intrusión, detectada el 16 de agosto de 2025, expuso información confidencial relacionada con diseños de vehículos, flujos de trabajo y documentos internos de gran valor estratégico para la compañía.

El incidente salió a la luz después de que el grupo de ransomware Qilin afirmara haber robado aproximadamente cuatro terabytes de datos de CBI, entre los que se incluyen modelos de diseño en 3D, informes internos, documentos financieros, fotos e incluso flujos de trabajo de realidad virtual.

Creative Box Inc. (CBI): el corazón creativo de Nissan

Creative Box Inc. (CBI) es un estudio de diseño con sede en Tokio, propiedad total de Nissan Motor Co. Ltd.. Desde su creación, se ha consolidado como un laboratorio de innovación especializado en proyectos de diseño experimental y conceptual de automóviles, trabajando en el desarrollo de prototipos y nuevas tecnologías aplicadas al diseño automotriz.

Debido a la naturaleza de sus proyectos, la filtración de datos en CBI representa una amenaza crítica para la competitividad de Nissan, ya que la exposición de sus diseños puede otorgar a competidores acceso privilegiado a ideas y prototipos de próxima generación.

El ataque del ransomware Qilin

El grupo Qilin, también conocido como Agenda Ransomware, es un colectivo cibercriminal que ha aumentado su actividad en 2025 con ataques dirigidos contra grandes corporaciones en sectores estratégicos como la automoción, la edición y la farmacéutica.

El 20 de agosto de 2025, Qilin incluyó a CBI en su portal de extorsión en la dark web, donde afirmó haber robado la totalidad de los proyectos de diseño del estudio. Además, publicó 16 imágenes de prueba como evidencia, mostrando diseños automotrices en 3D, hojas de cálculo, documentos internos e incluso imágenes del interior de vehículos conceptuales.

La táctica es clara: ejercer presión mediática y económica sobre Nissan para que pague un rescate y evite la publicación masiva de la información sustraída.

Respuesta inmediata de Nissan y CBI

Según un portavoz de Nissan citado por BleepingComputer, el 16 de agosto se detectó un acceso sospechoso al servidor de CBI. En ese momento, la subsidiaria implementó medidas de emergencia, bloqueando por completo el acceso al servidor y notificando el incidente a las autoridades policiales japonesas.

En un comunicado oficial, Nissan reconoció que:

Citar"Actualmente, se está llevando a cabo una investigación detallada y se ha confirmado que se han filtrado algunos datos de diseño. Nissan y CBI continuarán la investigación y tomarán las medidas apropiadas según sea necesario".

La compañía subrayó que los datos comprometidos solo afectan a Nissan, ya que CBI trabaja exclusivamente para la automotriz japonesa. Por lo tanto, clientes, proveedores y contratistas externos no se han visto afectados por la filtración.

Repercusiones de la filtración de datos

El hecho de que se hayan comprometido modelos de vehículos en 3D y flujos de trabajo de realidad virtual pone en riesgo la propiedad intelectual de Nissan y la confidencialidad de su pipeline de innovación. En el sector automotriz, este tipo de información representa uno de los activos más valiosos, ya que ofrece pistas sobre el diseño de los futuros modelos.

El robo y posible filtración de estos datos no solo supone un daño reputacional, sino también un riesgo competitivo: otros fabricantes podrían beneficiarse de las ideas y conceptos en los que Nissan ha invertido millones de dólares en investigación y desarrollo.

Qilin: un grupo de ransomware en auge

El ransomware Qilin ha sido uno de los grupos más activos en 2025. Entre sus víctimas más notorias destacan el grupo editorial Lee Enterprises y la farmacéutica Inotiv. Sus ataques suelen estar vinculados a la explotación de vulnerabilidades críticas en software de terceros.

Recientemente, se ha relacionado a Qilin con la explotación de la herramienta de monitoreo de empleados Kickidler y de fallos en productos de Fortinet, concretamente las vulnerabilidades CVE-2024-21762 y CVE-2024-55591, que permiten la ejecución remota de código sin autenticación. Estas puertas de entrada han facilitado a los atacantes el acceso inicial a redes corporativas de gran escala.

La investigación en curso y el futuro de la ciberseguridad en Nissan

Aunque Nissan ha confirmado que los datos filtrados se limitan a proyectos de diseño internos, la investigación continúa abierta. Tanto Nissan como CBI trabajan de la mano con las autoridades para identificar el alcance real de la intrusión, fortalecer sus defensas digitales y mitigar el riesgo de futuras filtraciones.

El caso también pone de relieve la necesidad urgente de que las grandes automotrices refuercen sus estrategias de ciberseguridad, ya que sus cadenas de valor dependen cada vez más de la protección de activos digitales sensibles como los prototipos, flujos de trabajo digitales y simulaciones de realidad virtual.

En fin, el ciberataque a Nissan Japón confirma una vez más que ninguna empresa, sin importar su tamaño, está exenta de las amenazas de ransomware. La exposición de información confidencial de Creative Box Inc. (CBI) no solo compromete la innovación de la compañía, sino que también abre la puerta a riesgos competitivos y reputacionales en el mercado global de la automoción.

Mientras la investigación avanza, este caso se convierte en un ejemplo más de cómo los grupos de ransomware como Qilin están intensificando sus ataques contra sectores estratégicos, dejando en evidencia la urgencia de adoptar medidas proactivas de ciberseguridad para proteger los activos más valiosos de las organizaciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han emitido una alerta sobre una nueva campaña de skimmer de tarjetas de crédito que afecta directamente a las páginas de pago de sitios de comercio electrónico basados en WordPress. El ataque se caracteriza por la inyección de código JavaScript malicioso dentro de la base de datos del CMS, lo que permite a los atacantes robar de manera sigilosa los datos de pago de los clientes sin ser detectados.

Según un análisis de la investigadora Puja Srivastava, de Sucuri (empresa de seguridad web propiedad de GoDaddy), el malware opera con gran discreción, activándose únicamente en las páginas de pago. Allí puede secuestrar los formularios legítimos o inyectar uno falso que imita a procesadores de pago populares como Stripe, con el objetivo de engañar al usuario y capturar información financiera sensible.

Cómo funciona el skimmer de tarjetas de crédito en WordPress

El análisis reveló que el código malicioso se encontraba oculto en la tabla wp_options de WordPress, específicamente dentro de la opción "widget_block". Esta técnica le permite a los atacantes:

• Evadir herramientas de escaneo tradicionales.
• Mantener persistencia en el sitio web comprometido.
• Insertar dinámicamente el código JavaScript en widgets HTML desde el panel de administración (wp-admin > widgets).

Una vez activo, el JavaScript verifica si el usuario se encuentra en una página de pago. Si es así, genera una pantalla falsa de pago diseñada para parecer legítima. Este formulario captura datos confidenciales como:

• Número de tarjeta de crédito.
• Fecha de vencimiento.
• Código CVV.
• Dirección de facturación y datos de contacto.

En algunos casos, el script también intercepta la información ingresada en los formularios legítimos en tiempo real, lo que garantiza una mayor tasa de éxito en el robo de datos.

Técnicas de evasión y exfiltración de datos

Para evitar ser detectado, el malware cifra y codifica los datos robados en varias capas:

• Los datos se convierten en JSON.
• Luego se cifran con XOR usando la clave "script".
• Finalmente, se codifican en Base64.

Después de este proceso, la información se envía a servidores remotos controlados por los atacantes, como:

• valhafather[.]xyz
• fqbe23[.]xyz
• staticfonts[.]com

Este método de ofuscación múltiple dificulta que las soluciones de seguridad identifiquen el tráfico malicioso.

Antecedentes: ataques previos a WordPress y Magento

No es la primera vez que se observa este tipo de campaña. Hace algunas semanas, Sucuri identificó otro ataque con técnicas similares, en el que el malware generaba dinámicamente formularios falsos de tarjetas de crédito en WordPress y también aprovechaba APIs de Magento para recopilar información personal adicional de los clientes, incluyendo:

• Nombre completo.
• Dirección.
• Correo electrónico.
• Número de teléfono.

Estos ataques refuerzan la tendencia creciente de utilizar JavaScript malicioso como skimmer para atacar plataformas de comercio electrónico y robar datos financieros de manera automatizada.

Phishing de PayPal: un riesgo adicional para usuarios y empresas

Paralelamente, los investigadores de Fortinet FortiGuard Labs han descubierto una campaña de phishing financiero que suplanta a PayPal para engañar a las víctimas con falsas solicitudes de pago por sumas cercanas a $2,200 dólares.

El truco de esta campaña radica en que los correos fraudulentos:

• Se originan desde una dirección legítima de PayPal ([email protected]
• ).
• Incluyen una URL de inicio de sesión auténtica, lo que ayuda a burlar los filtros de seguridad.

Los atacantes utilizan un dominio de prueba gratuito de Microsoft 365 para crear listas de distribución con las direcciones de las víctimas. Cuando la persona intenta iniciar sesión para rechazar el pago, su cuenta queda vinculada automáticamente a la lista de distribución del atacante, permitiendo así el secuestro de cuentas PayPal.

Robo de criptomonedas mediante simulación de transacciones

Otro vector de ataque emergente detectado en las últimas semanas es el robo de criptomonedas a través de la técnica conocida como simulación de transacciones en billeteras Web3.

Esta función, diseñada originalmente para mejorar la experiencia del usuario, permite previsualizar una transacción antes de confirmarla. Sin embargo, los atacantes han aprendido a explotar el intervalo de tiempo entre la simulación y la ejecución real.

El método consiste en crear sitios falsos que imitan aplicaciones descentralizadas (DApps), lo que lleva a los usuarios a firmar transacciones manipuladas. Esto facilita ataques de "drain" o drenaje de billeteras, en los que los fondos son transferidos sin que la víctima lo advierta.

Consecuencias para el comercio electrónico y los usuarios

Los tres vectores analizados —skimming en WordPress, phishing de PayPal y fraude en criptomonedas Web3— evidencian que los ciberdelincuentes están diversificando sus técnicas para robar información financiera.

• Empresas de e-commerce en WordPress: se enfrentan al riesgo de perder la confianza de sus clientes y sufrir sanciones regulatorias por filtración de datos.
• Usuarios de PayPal: pueden perder acceso total a sus cuentas y ver sus fondos comprometidos.
• Propietarios de criptomonedas: son víctimas de ataques cada vez más sofisticados que aprovechan funcionalidades legítimas para engañar.

Cómo protegerse ante estas amenazas

Los expertos en ciberseguridad recomiendan adoptar una estrategia múltiple de protección:

• Actualizar constantemente plugins y temas de WordPress para evitar inyecciones de malware.
• Implementar firewalls de aplicaciones web (WAF) para bloquear scripts sospechosos.
• Monitorear las tablas de base de datos de WordPress en busca de entradas maliciosas en wp_options.
• Verificar cuidadosamente correos de PayPal y evitar hacer clic en enlaces de mensajes inesperados.
• Usar billeteras Web3 seguras y verificar DApps oficiales antes de firmar cualquier transacción.
• Formar al personal y usuarios en prácticas seguras de ciberhigiene.

En fin, la campaña de skimmer de tarjetas de crédito en WordPress demuestra la creciente sofisticación de los ataques contra el comercio electrónico. Sumado a los fraudes de phishing en PayPal y los ataques de simulación en Web3, queda claro que los ciberdelincuentes están perfeccionando sus tácticas para aprovechar vulnerabilidades técnicas y la confianza de los usuarios.

La clave para protegerse está en mantener los sistemas actualizados, aplicar medidas preventivas avanzadas y fomentar la educación en ciberseguridad tanto en empresas como en usuarios individuales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han revelado detalles sobre una vulnerabilidad crítica que afectaba a millones de teléfonos inteligentes Samsung con Android 12, 13 y 14, vinculada al decodificador Monkey's Audio (APE). El fallo, identificado como CVE-2024-49415 con una puntuación CVSS de 8.1, podría permitir la ejecución remota de código arbitrario sin interacción del usuario.

Afortunadamente, Samsung ya ha parchado la vulnerabilidad en diciembre de 2024 dentro de sus actualizaciones de seguridad mensuales. Sin embargo, este caso ha llamado poderosamente la atención de la comunidad de ciberseguridad porque demuestra cómo un servicio cotidiano como Google Messages y RCS puede convertirse en un vector de ataque invisible para los usuarios.

Detalles técnicos de la vulnerabilidad

El error residía en la biblioteca You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login previa a la versión incluida en la SMR (Samsung Mobile Release) de diciembre de 2024. Según Samsung, el problema estaba relacionado con una escritura fuera de los límites (out-of-bounds write) dentro de la función saped_rec, que podía ser aprovechada para que atacantes remotos ejecutaran código malicioso.

El aviso de seguridad publicado por Samsung señaló que la corrección consistió en implementar una validación de entrada adecuada, previniendo que los datos manipulados sobrepasaran la memoria asignada.

Descubrimiento por Project Zero

La vulnerabilidad fue descubierta por Natalie Silvanovich, investigadora del prestigioso equipo Google Project Zero, conocido por detectar fallos críticos en software ampliamente utilizado.

Silvanovich describió la falla como un ataque de "cero clic", es decir, que no requiere que el usuario realice ninguna acción para activarse. Esta característica aumenta el riesgo de explotación, ya que los atacantes solo necesitan enviar un archivo malicioso para comprometer el dispositivo.

Además, la investigadora destacó que la falla exponía una "nueva y divertida superficie de ataque", ya que se encontraba en un componente poco habitual para este tipo de vulnerabilidades: el decodificador Monkey's Audio (APE).

Cómo funciona el ataque

El escenario de ataque aprovecha la forma en que Google Messages maneja los archivos de audio en RCS (Rich Communication Services).

• En los Samsung Galaxy S23 y S24, RCS viene habilitado por defecto.
• Cuando llega un mensaje de audio entrante, el sistema intenta transcribirlo automáticamente.
• Para ello, el archivo se decodifica antes de que el usuario lo abra o interactúe con él.

Esto significa que un archivo APE malicioso podría desencadenar el ataque de manera automática, explotando la función vulnerable en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Según Silvanovich, el problema radicaba en que saped_rec escribía datos en un buffer asignado por el servicio de medios C2. El tamaño del buffer siempre era 0x120000, pero si el archivo APE contenía ciertos valores manipulados, podía causar un desbordamiento del búfer.

CitarEn palabras simples: un atacante podía enviar un archivo de audio diseñado especialmente para desbordar la memoria y ejecutar código malicioso dentro del sistema multimedia de Samsung.

El impacto inmediato sería un bloqueo del proceso del códec ("samsung.software.media.c2"), pero con suficiente sofisticación el exploit podría llevar a la ejecución remota de código y comprometer datos sensibles del dispositivo.

Otro fallo crítico: CVE-2024-49413 en SmartSwitch

La actualización de diciembre de 2024 también corrigió otra vulnerabilidad importante: CVE-2024-49413 con una puntuación CVSS de 7.1.

En este caso, el fallo residía en Samsung SmartSwitch, la herramienta utilizada para transferir datos entre dispositivos Galaxy. Una validación incorrecta de firmas criptográficas permitía a atacantes locales instalar aplicaciones maliciosas en el sistema.

Aunque su explotación requería acceso físico o local, la falla reforzó la importancia de aplicar siempre los boletines de seguridad mensuales de Samsung.

Riesgos para los usuarios

El fallo CVE-2024-49415 representa un ejemplo de lo peligrosos que pueden ser los ataques sin interacción del usuario en el ecosistema móvil:

• Usuarios finales: riesgo de espionaje, robo de datos privados, instalación de malware y control remoto del dispositivo.
• Empresas: posibilidad de comprometer dispositivos corporativos, con impacto en datos confidenciales y comunicaciones internas.
• Sector de ciberseguridad: evidencia de que los servicios de mensajería y sus códecs asociados son un vector cada vez más atractivo para atacantes avanzados.

Cómo protegerse

Para mitigar los riesgos, Samsung recomienda:

• Actualizar de inmediato todos los dispositivos a la versión de seguridad de diciembre de 2024 o superior.
• Deshabilitar RCS en Google Messages si no es estrictamente necesario, especialmente en entornos empresariales.
• Instalar solo apps oficiales desde la Galaxy Store o Google Play Store.
• Aplicar parches de seguridad mensuales sin demora, ya que estos corrigen fallos críticos descubiertos constantemente.

En fin, la vulnerabilidad CVE-2024-49415 en Samsung, descubierta por Google Project Zero, demuestra que incluso componentes aparentemente secundarios como los decodificadores de audio (Monkey's Audio APE) pueden convertirse en graves riesgos de seguridad.

Aunque el fallo ya fue parchado en diciembre de 2024, es esencial que los usuarios actualicen sus dispositivos y mantengan activas las medidas de seguridad. En un mundo donde los ataques "cero clic" son cada vez más frecuentes, la actualización proactiva sigue siendo la mejor defensa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva vulnerabilidad crítica en Docker Desktop, identificada como CVE-2025-9074, ha encendido las alarmas en la comunidad de ciberseguridad. El fallo afecta a las versiones de Windows y macOS, permitiendo que un atacante ejecute un contenedor malicioso capaz de comprometer directamente el sistema host, incluso si la función de aislamiento de contenedores mejorado (ECI, por sus siglas en inglés) está activada.

Este problema, catalogado como una falsificación de solicitudes del lado del servidor (SSRF), recibió una puntuación de gravedad crítica de 9.3, lo que lo convierte en una de las amenazas más importantes descubiertas recientemente en entornos de virtualización de contenedores.

¿En qué consiste la vulnerabilidad CVE-2025-9074?

De acuerdo con el boletín oficial de Docker, un contenedor malicioso en ejecución dentro de Docker Desktop podría aprovechar el fallo para acceder al motor de Docker sin necesidad de montar el socket de Docker de manera explícita.

• Esto significa que un atacante tendría la capacidad de:
• Lanzar nuevos contenedores maliciosos sin autorización.
• Acceder a los archivos del usuario en el host comprometido.
• Eludir las protecciones de aislamiento ECI, que normalmente deberían ofrecer una capa extra de seguridad.

El investigador de seguridad Felix Boulet, quien descubrió el fallo, demostró que era posible acceder a la API de Docker Engine sin autenticación en la dirección You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login desde cualquier contenedor activo.

Boulet también mostró un exploit de prueba de concepto (PoC) que permitía montar la unidad C: completa de Windows dentro del contenedor con solo dos solicitudes HTTP POST usando wget. Lo más alarmante: el exploit no requería privilegios de ejecución de código dentro del contenedor, lo que lo hace extremadamente fácil de aprovechar.

Impacto en Windows y macOS

El investigador Philippe Dugre, ingeniero de DevSecOps en Pvotal Technologies y creador de desafíos para la conferencia de ciberseguridad NorthSec, confirmó que la vulnerabilidad afecta tanto a Docker Desktop en Windows como en macOS, aunque el nivel de riesgo difiere según el sistema operativo.

En Windows

El impacto es mucho más severo. Debido a que Docker Desktop funciona a través de WSL2 (Windows Subsystem for Linux 2), un atacante podría:

• Montar como administrador todo el sistema de archivos del host.
• Leer archivos sensibles y confidenciales.
• Sobrescribir DLLs del sistema para escalar privilegios y obtener control total como administrador del sistema operativo.

En otras palabras, en Windows, la vulnerabilidad puede abrir la puerta a un compromiso completo del host.

En macOS

En el caso de macOS, aunque Docker Desktop también es vulnerable, el impacto es más limitado debido a las restricciones de seguridad nativas del sistema operativo.

• Si un atacante intenta montar un directorio de usuario, macOS solicita permiso al usuario.
• Docker Desktop no tiene acceso por defecto a todo el sistema de archivos ni se ejecuta con privilegios administrativos.

Sin embargo, Dugre advierte que esto no elimina el riesgo. Un atacante podría insertar puertas traseras (backdoors), alterar configuraciones o manipular contenedores maliciosos sin intervención directa del usuario.

Facilidad de explotación

Uno de los aspectos más preocupantes de CVE-2025-9074 es su baja complejidad de explotación. Según Dugre, el exploit funcional consta de apenas tres líneas de código en Python, lo que significa que cualquier atacante con conocimientos básicos podría aprovechar la vulnerabilidad para comprometer un host.

Este factor aumenta de manera considerable la urgencia de actualizar, ya que la existencia de un PoC público siempre acelera la aparición de ataques en la vida real.

Respuesta de Docker y solución disponible

La vulnerabilidad fue reportada de manera responsable a Docker, quien reaccionó rápidamente y lanzó una actualización de seguridad en la versión Docker Desktop 4.44.3, publicada la semana pasada.

Docker recomienda a todos los usuarios:

• Actualizar inmediatamente a la versión 4.44.3 o superior.
• Revisar sus configuraciones de seguridad en entornos de producción.
• Evitar ejecutar contenedores de fuentes no confiables.
• Aplicar políticas de control de acceso estricto a entornos de Docker Desktop.

El parche asegura que la API de Docker Engine ya no esté expuesta sin autenticación desde dentro de un contenedor, mitigando así el principal vector de ataque de esta vulnerabilidad.

Lecciones de seguridad para desarrolladores y empresas

Este incidente pone en evidencia la importancia de mantener siempre actualizadas las herramientas de desarrollo y virtualización, especialmente aquellas tan críticas como Docker, ampliamente usado en empresas y proyectos de software a nivel global.

Algunas lecciones clave que deja CVE-2025-9074 son:

• La seguridad por defecto no siempre es suficiente: incluso funciones como el aislamiento de contenedores (ECI) pueden fallar frente a nuevas técnicas de ataque.
• La rapidez en la aplicación de parches es fundamental: cuanto más tiempo se tarde en actualizar, mayor es el riesgo de explotación.
• Windows es más vulnerable en entornos de virtualización: las capas adicionales como WSL2 pueden abrir vectores de ataque más peligrosos que en macOS o Linux.
• La divulgación responsable salva tiempo y recursos: el reporte de Boulet permitió a Docker reaccionar antes de que la vulnerabilidad fuera explotada masivamente.

En fin, la vulnerabilidad CVE-2025-9074 en Docker Desktop para Windows y macOS es un recordatorio de que incluso las herramientas más confiables pueden contener fallos críticos de seguridad. Con un impacto severo en Windows y menor, pero no inexistente, en macOS, este fallo debe ser atendido con máxima prioridad por desarrolladores, administradores de sistemas y empresas que utilicen Docker en sus flujos de trabajo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft se encuentra actualmente investigando un problema crítico reportado por varios usuarios tras la instalación de la actualización de seguridad de agosto de 2025 para Windows 11 (KB5063878). Según los informes, esta actualización estaría provocando fallas graves en unidades de estado sólido (SSD) y discos duros (HDD), lo que podría derivar en corrupción de datos, pérdida de información y errores en el funcionamiento de los sistemas afectados.

Microsoft confirma los reportes, pero aún no los reproduce en pruebas internas

En declaraciones a BleepingComputer, un portavoz de Microsoft reconoció estar al tanto de los reportes relacionados con fallos de almacenamiento tras instalar la actualización KB5063878. La compañía detalló que, hasta el momento, no ha logrado reproducir los errores en sus pruebas internas ni en la telemetría recopilada de Windows 11 24H2, pero que ya trabaja en colaboración con socios del sector para comprender el alcance del problema.

Citar"Estamos trabajando activamente con nuestros socios de dispositivos de almacenamiento para tratar de reproducir el problema. Ni nuestras pruebas internas ni la telemetría muestran un aumento en la corrupción de archivos o fallos de discos tras la actualización KB5063878", señaló Microsoft.

No obstante, la compañía ha pedido a los usuarios que hayan experimentado fallas tras la instalación del parche que se pongan en contacto con el Soporte Técnico de Microsoft o utilicen el Centro de Opiniones para enviar reportes detallados.

Modelos de SSD y HDD potencialmente afectados

Aunque el error no ha sido reconocido oficialmente como un fallo masivo de la actualización, diferentes reportes de usuarios y empresas han identificado problemas en modelos específicos de SSD y HDD de fabricantes como Corsair, SanDisk, Kioxia y otros.

Entre las unidades más mencionadas se encuentran:

• Corsair Force MP600
• SanDisk Extreme Pro
• Kioxia Exceria Plus G4
• Kioxia M.2
• Discos con controladores Phison e InnoGrit

El primer reporte público provino de un fabricante japonés de PC, que advirtió que tras la instalación de la actualización de vista previa KB5062660 o la actualización de seguridad KB5063878 de agosto 2025, sus SSD desaparecían del sistema operativo durante operaciones de escritura intensivas (copiar archivos grandes o múltiples archivos simultáneamente) cuando las unidades estaban llenas en más del 60%.

Phison confirma la colaboración con Microsoft

Dada la magnitud del problema, Phison, uno de los principales fabricantes de controladores NAND utilizados en unidades SSD, emitió un comunicado confirmando que ya trabaja directamente con Microsoft para evaluar los posibles efectos de la actualización en sus dispositivos.

"Phison ha sido informado recientemente de los efectos en toda la industria de las actualizaciones KB5063878 y KB5062660 en Windows 11. Entendemos la interrupción que esto puede haber causado y hemos involucrado rápidamente a nuestros socios de la industria para dar seguimiento. En este momento, los controladores potencialmente afectados están bajo revisión", señaló un portavoz de la compañía.

Esto confirma que la investigación no solo se limita a Microsoft, sino que también incluye a los fabricantes de hardware de almacenamiento, lo que indica que podría tratarse de una interacción compleja entre software y controladores de terceros.

¿Qué deben hacer los usuarios afectados?

Hasta que Microsoft y sus socios confirmen el origen del problema y publiquen un parche definitivo, se recomienda que los usuarios de Windows 11 tomen medidas preventivas para evitar pérdidas de datos. Entre las principales recomendaciones destacan:

• Evitar operaciones de escritura intensivas: no copiar archivos muy grandes (decenas de GB) ni descomprimir paquetes con cientos de archivos simultáneamente.
• Realizar copias de seguridad frecuentes: utilizar herramientas como Historial de Archivos de Windows, OneDrive o soluciones de respaldo externas.
• Dividir procesos de copia o extracción: si es necesario manejar grandes volúmenes de datos, hacerlo en partes más pequeñas para reducir la presión sobre el disco.
• Revisar actualizaciones de firmware y controladores SSD: visitar los sitios de los fabricantes (Corsair, SanDisk, Kioxia, etc.) en busca de parches temporales.
• Esperar un parche oficial: Microsoft ha prometido ofrecer más información y posibles soluciones en cuanto se confirmen los detalles técnicos.

Impacto potencial y preocupaciones de seguridad

La corrupción de datos en dispositivos de almacenamiento es uno de los problemas más serios que pueden enfrentar tanto usuarios domésticos como empresas, ya que puede afectar la integridad de archivos críticos, bases de datos o sistemas enteros.

En un contexto empresarial, un fallo de este tipo podría ocasionar pérdidas económicas significativas, interrupciones en operaciones y riesgos de incumplimiento de normativas de seguridad de la información. Por ello, los administradores de TI y responsables de sistemas deben evaluar el despliegue de las actualizaciones KB5063878 y KB5062660 con cautela, especialmente en entornos productivos.

En fin, la situación generada por la actualización KB5063878 de Windows 11 en agosto de 2025 pone en evidencia lo delicado que puede ser el equilibrio entre actualizaciones de seguridad y estabilidad del sistema. Aunque Microsoft aún no ha confirmado que el problema esté directamente relacionado con su parche, la creciente cantidad de reportes de usuarios y fabricantes como Phison sugieren que existe un conflicto real que requiere atención urgente.

Mientras tanto, lo más recomendable para los usuarios es mantenerse informados, aplicar medidas preventivas y esperar nuevas comunicaciones oficiales de Microsoft y los fabricantes de hardware.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SparkyLinux 8.0 "The Seven Sisters" ya está disponible oficialmente y llega cargada de mejoras importantes que refuerzan su posicionamiento como una de las distribuciones Linux ligeras más completas, versátiles y totalmente compatibles con Debian. Esta nueva versión supone una actualización mayor respecto a SparkyLinux 7.8, lanzada en julio de 2025, ya que incluye un cambio de base y adopta Debian 13.0 "Trixie" como pilar principal del sistema. Gracias a ello, los usuarios disfrutan de una mayor estabilidad, acceso directo al enorme ecosistema de paquetes de Debian y la tranquilidad de contar con una plataforma sólida que se mantiene siempre al día.

El nombre en clave "The Seven Sisters" hace referencia a las Pléyades, un espectacular cúmulo abierto visible a simple vista en la constelación de Tauro, situado aproximadamente a 444 años luz de la Tierra. Esta denominación no es casualidad, ya que SparkyLinux suele inspirarse en elementos astronómicos para nombrar sus principales versiones, aportando un toque distintivo que refuerza la identidad de la distribución entre sus seguidores.

¿Qué novedades incluye SparkyLinux 8.0?

Una de las primeras mejoras que notarán los usuarios al actualizar a SparkyLinux 8.0 es la inclusión del kernel Linux 6.12.41-LTS, ofreciendo un equilibrio perfecto entre rendimiento y estabilidad. Además, para aquellos que deseen probar versiones más recientes, los repositorios oficiales de SparkyLinux también ponen a disposición los kernels 6.16.0 y 6.6.99-LTS, con lo que los usuarios avanzados pueden elegir el núcleo que mejor se adapte a sus necesidades.

Todos los paquetes disponibles en esta versión han sido actualizados a partir de los repositorios estables de Debian y SparkyLinux con fecha del 13 de agosto de 2025. Entre las aplicaciones preinstaladas más destacadas se encuentran:

• LibreOffice 25.2.3, una de las suites ofimáticas libres más completas del momento.
• Firefox ESR 128.13.0, aunque los usuarios pueden instalar la versión 141.0.3 desde los repositorios de SparkyLinux para disfrutar de las últimas funciones disponibles.
• Thunderbird ESR 128.13.0, el cliente de correo electrónico preferido por millones de usuarios que priorizan la privacidad y la personalización.

Entornos de escritorio mejorados y listos para usar

SparkyLinux es conocida por ofrecer una amplia variedad de entornos de escritorio que se adaptan tanto a equipos antiguos como a sistemas modernos. En esta versión, todos ellos han sido actualizados para ofrecer una experiencia de usuario aún más fluida:

• KDE Plasma 6.3.6
• LXQt 2.1.0
• MATE 1.26
• Xfce 4.20
• Openbox 3.6.1

Se trata de versiones estables, testadas y totalmente compatibles con Debian 13, lo que garantiza máxima estabilidad incluso en entornos productivos.

Además, todas las imágenes ISO incluyen ahora GIMP preinstalado. Este potente editor de imágenes de código abierto es ideal tanto para tareas básicas como para trabajos de edición avanzada, y su inclusión de serie marca un valor añadido para los usuarios creativos.

Otras novedades visibles son la introducción de la herramienta sparky-package-tool (spt), que permite gestionar paquetes de forma cómoda desde la consola, así como una versión mejorada del sparky-installer en modo texto, que ahora incorpora las opciones de cifrado de la partición /home y autoparticionado completo para usar todo el disco.

Cambios específicos en la edición Openbox

Para aquellos que utilicen la edición Openbox, SparkyLinux 8.0 trae un cambio relevante: el gestor de archivos PCManFM ha sido sustituido por Thunar, un gestor ligero, rápido y muy estable, ampliamente utilizado en el entorno Xfce. Asimismo, el popular Sparky APTus AppCenter ha sido actualizado para eliminar de forma automática los paquetes que ya no están disponibles en el repositorio de Debian "Trixie", evitando errores e inconsistencias al instalar o actualizar aplicaciones.

Problemas conocidos en SparkyLinux 8.0

Como ocurre en la mayoría de lanzamientos importantes, también existen algunos problemas conocidos que los usuarios deben tener en cuenta:

• El cifrado de disco mediante Calamares puede generar errores durante la instalación, por lo que Microsoft recomienda usar el instalador en modo texto si se necesita cifrado.
• En KDE Plasma, algunos temas viejos descargados de fuentes externas no son completamente compatibles con Plasma 6, lo que puede provocar glitches visuales o fallos en la carga del tema.

En fin, SparkyLinux 8.0 "The Seven Sisters" se consolida como una opción ideal para usuarios que buscan una distribución Linux ligera, flexible, fácil de configurar y totalmente basada en Debian 13. Gracias a sus entornos de escritorio optimizados, compatibilidad con kernels LTS y herramientas propias como spt o APTus AppCenter, esta nueva versión ofrece una experiencia fluida y personalizada que se adapta tanto a ordenadores modernos como a equipos con recursos limitados.

Si buscas una distribución eficiente, actualizada y con acceso inmediato al ecosistema Debian, SparkyLinux 8.0 es una opción excelente para instalar en tu equipo principal o en tus máquinas de pruebas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha emitido una actualización importante para solucionar un problema crítico que afectaba al proceso de instalación de actualizaciones de Windows mediante el instalador independiente de Windows Update (WUSA). Este error era especialmente preocupante para administradores de sistemas, ya que se producía específicamente al intentar instalar archivos .msu desde un recurso compartido de red en entornos empresariales. La compañía ha confirmado que el fallo podía generar el error ERROR_BAD_PATHNAME, impidiendo que las actualizaciones esenciales se completaran con éxito en equipos con Windows 11 24H2 y Windows Server 2025.

WUSA, conocido por ser una herramienta de línea de comandos integrada en el sistema operativo Windows, facilita a los administradores de TI la instalación y desinstalación de actualizaciones utilizando archivos Microsoft Standalone Update (.msu). Esta herramienta permite aprovechar la API del agente de Windows Update para implementar parches de seguridad, correcciones y todo tipo de actualizaciones relacionadas con la estabilidad del sistema. Aunque WUSA no suele utilizarse en dispositivos domésticos, en empresas y organizaciones con infraestructuras de red complejas es una práctica habitual para automatizar la gestión de parches.

Según el panel de estado de la versión de Windows, este error afecta principalmente a dispositivos que instalaron actualizaciones publicadas a partir del 28 de mayo de 2025, especialmente la KB5058499 y posteriores. Microsoft explica que el fallo es reproducible únicamente cuando existen varios archivos .msu en una carpeta compartida de red. Curiosamente, el problema no ocurre si se instala un único archivo .msu o si todos los archivos se copian previamente en el disco local del dispositivo objetivo. Esto confirma que la raíz del error está directamente relacionada con cómo WUSA interpreta las rutas de red cuando existen múltiples archivos de actualización en el mismo directorio.

Además, Microsoft también ha detectado que, tras la instalación de un archivo .msu desde un recurso compartido de red, la página Historial de actualizaciones puede mostrar de forma temporal que se requiere un reinicio, incluso después de haber reiniciado el equipo correctamente. Aunque este comportamiento puede resultar confuso para los administradores, la compañía confirma que se trata de un problema menor que debería resolverse automáticamente sin necesidad de intervención manual.

¿Qué solución proporciona Microsoft?

Por el momento no existe un parche completo que se distribuya a través de Windows Update, sin embargo, Microsoft ya está aplicando una mitigación automática en todos los dispositivos no administrados (como PCs domésticos) mediante la tecnología Known Issue Rollback (KIR), o reversión de problemas conocidos.

Este mecanismo permite revertir cambios problemáticos en el sistema operativo sin necesidad de instalar una nueva actualización completa, asegurando que los usuarios no experimenten interrupciones inesperadas causadas por fallos recientes.

¿Qué pueden hacer los administradores de TI?

Para entornos corporativos que gestionen dispositivos mediante políticas de grupo, Microsoft ha publicado una directiva específica que permite activar la reversión del problema conocido. Esta política puede descargarse desde el Centro de Descargas corporativo y aplicarse inmediatamente en sistemas que ejecutan Windows 11 24H2 o Windows Server 2025. Una vez implementada, se restaura el comportamiento normal de WUSA y se eliminan los errores al instalar actualizaciones desde recursos compartidos de red.

Como solución alternativa, Microsoft recomienda a los administradores guardar localmente los archivos .msu antes de proceder a la instalación. Al copiar el archivo al disco local (C:\Temp, por ejemplo) se evita cualquier conflicto relacionado con rutas UNC o múltiples archivos .msu en un mismo directorio compartido. Esta práctica no solo mitiga el problema actual, sino que también puede ayudar a evitar otros fallos derivados del acceso interrumpido a recursos compartidos.

Otros problemas recientes con las actualizaciones de Windows

Este no es el único incidente relacionado con las actualizaciones de Windows que ha afectado a las organizaciones en los últimos meses.
En abril de 2025, Microsoft también resolvió un problema que impedía a muchos clientes empresariales instalar las actualizaciones de seguridad de abril de 2025 en sistemas Windows 11 22H2 y 23H2 utilizando Windows Server Update Services (WSUS).

Igualmente, en agosto de 2025, otro error casi idéntico provocó el fallo de la actualización acumulativa de Windows 11 24H2 con el código 0x80240069 cuando la distribución se realizaba a través de WSUS. Esto provocó numerosos casos de sistemas sin parches críticos, aumentando el riesgo de exposición a vulnerabilidades activamente explotadas.

Recomendaciones finales para optimizar la instalación de actualizaciones

• Para evitar interrupciones y garantizar que los sistemas están protegidos frente a las amenazas más recientes, se recomienda seguir estas buenas prácticas:
• Copiar siempre los archivos .msu en el disco local antes de realizar la instalación con WUSA.
• Comprobar el panel de estado de la versión de Windows para identificar posibles problemas conocidos antes de implementar actualizaciones en entornos productivos.
• Aplicar la política de Known Issue Rollback tan pronto como Microsoft la ponga a disposición de los administradores.
• Utilizar WSUS o herramientas modernas como Microsoft Endpoint Configuration Manager para automatizar la aplicación de parches, reduciendo errores manuales.
• Monitorizar el Historial de actualizaciones tras cada aplicación y verificar si el reinicio requerido se ha completado correctamente.

En conclusión, aunque el error relacionado con WUSA puede generar fallos al instalar actualizaciones en redes empresariales, Microsoft ya ha proporcionado una mitigación efectiva y varias alternativas seguras. Adoptar buenas prácticas y mantenerse informado de los fallos conocidos permitirá mantener todos los sistemas Windows actualizados, protegidos y funcionando correctamente sin interrupciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha confirmado que más de 800 servidores N-able N-central siguen sin aplicar los últimos parches de seguridad, lo que los deja expuestos a vulnerabilidades críticas ya catalogadas como explotadas activamente. Las fallas, registradas bajo las referencias CVE-2025-8875 y CVE-2025-8876, afectan a una de las plataformas más utilizadas por proveedores de servicios administrados (MSP) y equipos de tecnología de la información, lo que aumenta el nivel de riesgo sistémico para organizaciones públicas y privadas a nivel global.

N-central es una plataforma ampliamente adoptada que facilita el monitoreo y la administración remota de redes, endpoints y dispositivos a través de una consola basada en la web. Esto la convierte en un objetivo muy valioso para los atacantes, ya que comprometer un servidor vulnerable podría proporcionar acceso directo a una gran cantidad de sistemas gestionados por los MSP.

De acuerdo con los detalles publicados, CVE-2025-8875 permite la inyección de comandos mediante la explotación de una desinfección insuficiente de entradas por parte del sistema. Por otro lado, CVE-2025-8876 permite la ejecución de código no autorizado aprovechando una debilidad en el proceso de deserialización insegura. Lo más preocupante es que ambas vulnerabilidades pueden ser explotadas por un atacante autenticado, lo cual reduce significativamente las barreras técnicas para comprometer un sistema si previamente se obtiene acceso a una cuenta válida (por medios como phishing o robo de credenciales).

N-able ya lanzó parches de seguridad, en concreto con la versión N-central 2025.3.1, e informó que se ha detectado actividad maliciosa en entornos locales. Aunque por el momento no se tiene constancia de explotación en las instancias en la nube alojadas por la propia compañía, los expertos advierten que la ventana de ataque sigue abierta para todos aquellos servidores en instalaciones locales que aún no han sido actualizados.

En declaraciones a BleepingComputer, la empresa indicó: "Nuestras investigaciones han identificado indicios claros de explotación en un número limitado de entornos locales. Recomendamos aplicar la actualización a la versión 2025.3.1 lo antes posible. Según nuestra política de seguridad, los detalles completos de los CVE se publicarán tres semanas después del lanzamiento".

Panorama actual de exposición

El seguimiento realizado por la Shadowserver Foundation, una organización sin fines de lucro especializada en el análisis de amenazas de Internet, evidencia que 880 servidores N-central aún se encuentran vulnerables y accesibles en línea, principalmente ubicados en Estados Unidos, Canadá y Países Bajos. Esta cifra representa un riesgo considerable, especialmente si se tiene en cuenta que según las consultas realizadas en Shodan, existen aproximadamente 2.000 instancias de N-central expuestas públicamente en Internet.

La propia Shadowserver advierte que los resultados se basan en IPs únicas y que una misma IP puede haber sido contabilizada más de una vez, por lo que la cifra debe tratarse como un valor indicativo. Sin embargo, los analistas coinciden en que el alcance real podría ser incluso mayor.

Respuesta del Gobierno y recomendaciones urgentes

La situación ha captado la atención de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), que ha agregado las dos vulnerabilidades a su Catálogo de Vulnerabilidades Conocidas Exploitable (KEV), clasificándolas como ataques de día cero. Como parte de las medidas establecidas por la Directiva Operativa Vinculante (BOD) 22-01, la CISA exige que todas las agencias del Poder Ejecutivo Civil Federal (FCEB) —incluidas entidades como el Departamento de Seguridad Nacional, el Departamento de Energía y el Departamento del Tesoro— apliquen los parches correspondientes antes del 20 de agosto.

Si bien las organizaciones del sector privado y no gubernamental no están obligadas por esta directiva, la CISA emitió un llamado urgente a todos los administradores de red indicando:

Citar"Aplique inmediatamente las mitigaciones proporcionadas por el proveedor, siga las recomendaciones de la BOD 22-01 aplicables a entornos en la nube o, en caso de no contar con mitigaciones disponibles, detenga temporalmente el uso del producto".

Este lenguaje subraya la naturaleza crítica de las vulnerabilidades, ya que este tipo de fallas constituyen un vector de ataque frecuente para los actores cibernéticos, especialmente grupos de ransomware, ciberespionaje y operaciones dirigidas contra infraestructuras críticas.

Recomendaciones de seguridad para directores de TI y MSP

Para reducir los riesgos asociados a estas vulnerabilidades, se recomienda a las organizaciones adoptar una serie de buenas prácticas inmediatas:

1. Aplicar el parche sin demora

El paso más importante es actualizar a la versión N-central 2025.3.1. Ninguna medida compensatoria ofrece la misma protección que el parche oficial.

2. Analizar registros de actividad

Revisar logs en busca de conexiones sospechosas o intentos de ejecución de comandos inusuales desde cuentas autenticadas.

3. Habilitar autenticación multifactor (MFA)

Esto reduce significativamente la posibilidad de que cuentas robadas puedan ser utilizadas por atacantes para explotar vulnerabilidades autenticadas.

4. Restringir el acceso externo

Limitar la exposición directa del servidor N-central a Internet mediante el uso de VPN o segmentación de red.

5. Incorporar detección de comportamiento

Implementar herramientas de seguridad capaces de detectar actividad maliciosa basada en comportamiento (UEBA o EDR).

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El malware SocGholish, también conocido como FakeUpdates, ha evolucionado en complejidad y alcance, utilizando ahora sistemas de distribución de tráfico (TDS) como Keitaro TDS y Parrot TDS para redirigir usuarios hacia contenido malicioso. Este enfoque altamente dirigido y automatizado forma parte de un sofisticado modelo de malware como servicio (MaaS) que amenaza tanto a usuarios individuales como a organizaciones.

Según un informe reciente de Silent Push, los sistemas infectados mediante SocGholish son vendidos como puntos de acceso iniciales a otras organizaciones cibercriminales, incluyendo grupos de ransomware como LockBit, Dridex, Evil Corp y Raspberry Robin.

¿Qué es SocGholish y cómo se propaga?

SocGholish es un malware basado en JavaScript que se propaga mediante sitios web legítimos comprometidos. Los usuarios son engañados para que descarguen falsas actualizaciones de software, como Google Chrome, Mozilla Firefox, Adobe Flash Player o incluso Microsoft Teams, pensando que están instalando actualizaciones necesarias, cuando en realidad están infectando sus sistemas.

Este malware ha sido atribuido a un grupo de amenazas persistentes conocido como TA569, también rastreado bajo los nombres Gold Prelude, Mustard Tempest, Purple Vallhund y UNC1543.

Sistemas TDS como herramienta clave de redirección maliciosa

Los sistemas de distribución de tráfico (TDS), como Keitaro TDS y Parrot TDS, se utilizan para filtrar el tráfico entrante a sitios comprometidos. Estos sistemas recolectan datos del visitante, como geolocalización, sistema operativo, navegador y más, y deciden en tiempo real si redirigir o no al usuario a una carga útil maliciosa.

Citar"La operación se basa en una extensa toma de huellas del usuario antes de decidir si entregarle el malware", explicó Silent Push.

Una vez identificado como objetivo potencial, el visitante es redirigido a un dominio malicioso operado por SocGholish, donde se ejecuta el script de infección en JavaScript, activando todo el proceso de compromiso.

Keitaro TDS: tráfico malicioso bajo apariencia legítima

Keitaro TDS es una plataforma comúnmente utilizada para marketing digital legítimo, pero ha sido adoptada por actores maliciosos debido a su flexibilidad y capacidad de segmentación avanzada. Esta plataforma permite dirigir tráfico específico a campañas de malware como kits de explotación, ransomware, cargadores y más.

Desde 2019, Proofpoint advirtió que Keitaro puede ser difícil de bloquear sin afectar servicios legítimos, lo que complica los esfuerzos de mitigación para las organizaciones.

Keitaro TDS ha sido vinculado al grupo TA2726, que actúa como proveedor de tráfico tanto para SocGholish como para TA2727, comprometiendo sitios web y redirigiendo a los usuarios mediante enlaces maliciosos incrustados en el código fuente.

Infecciones a través de Raspberry Robin y conexiones con otros grupos

Una tendencia preocupante es la integración de Raspberry Robin como vector de distribución adicional para SocGholish. Las campañas recientes muestran cómo Raspberry Robin redirige a víctimas potenciales hacia cargas útiles relacionadas con FakeUpdates, reforzando la idea de colaboración entre actores del cibercrimen.

Citar"Es probable que ex miembros de grupos como Dridex y Raspberry Robin estén trabajando activamente en campañas de SocGholish, dada la superposición de TTPs (tácticas, técnicas y procedimientos)", indicó Silent Push.

Además, se ha observado que el marco C2 (comando y control) de SocGholish realiza un monitoreo continuo del proceso de infección. Si el sistema considera que el objetivo no es "valioso" o no cumple con ciertos criterios, se aborta la entrega de la carga útil, reduciendo así la exposición del malware a investigadores y sandboxes.

Evolución de Raspberry Robin y otros actores

En paralelo, Zscaler informó sobre una versión actualizada de Raspberry Robin, con mejoras importantes en técnicas de evasión:

• Cambio del algoritmo de cifrado de red de AES-CTR a Chacha-20.
• Inclusión de un nuevo exploit de escalada de privilegios locales (CVE-2024-38196).
• Uso de dominios TOR C2 intencionalmente corruptos para dificultar el análisis.
• Estas mejoras reflejan una intención clara de evadir la detección y obstaculizar los esfuerzos de ingeniería inversa.

Amenazas complementarias: DarkCloud Stealer y el malware modular

Como parte de esta evolución en campañas cibercriminales, también se ha identificado DarkCloud Stealer, un malware distribuido por correos electrónicos de phishing que usa técnicas de evasión como vaciado de procesos y cargas protegidas con ConfuserEx, ejecutadas mediante Visual Basic 6.

Citar"DarkCloud representa una evolución en los métodos de entrega de malware, con estructuras de carga más intrincadas y técnicas de ofuscación diseñadas para esquivar antivirus tradicionales", explicó Unit 42.

La aparición simultánea de estas amenazas destaca una tendencia ascendente en la sofisticación de los ataques, con el uso combinado de malware como servicio, distribución mediante TDS y herramientas de evasión avanzada.

Un ecosistema de amenazas en expansión

El uso de sistemas como Keitaro TDS y Parrot TDS para distribuir malware como SocGholish marca un punto crítico en la evolución del malware como servicio (MaaS). La red de colaboración entre grupos como TA569, Evil Corp, Dridex y Raspberry Robin representa una amenaza significativa para organizaciones y usuarios finales, especialmente en entornos donde la visibilidad de tráfico y los controles de seguridad son limitados.

Las organizaciones deben:

• Fortalecer sus defensas perimetrales.
• Supervisar el tráfico web saliente y entrante.
• Implementar filtrado de contenido dinámico y detección basada en comportamiento.
• Capacitar a sus usuarios sobre técnicas de ingeniería social comunes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han descubierto una nueva campaña de malware en la cadena de suministro que afecta directamente a desarrolladores que utilizan el lenguaje Go (Golang) y el ecosistema npm. Se han identificado 11 paquetes maliciosos de Go diseñados específicamente para descargar cargas útiles adicionales desde servidores remotos, comprometiendo tanto sistemas Windows como Linux. Además, dos bibliotecas npm fraudulentas están siendo utilizadas para destruir entornos de desarrollo completos.

Paquetes Go maliciosos: ejecución remota y malware multiplataforma

El hallazgo fue realizado por Olivia Brown, investigadora de seguridad en Socket, quien explicó que estos paquetes contienen código que, durante el tiempo de ejecución, genera silenciosamente un shell, extrae una carga útil de segunda etapa desde un conjunto rotativo de dominios de comando y control (C2), y la ejecuta directamente en memoria.

Citar"Los puntos finales C2 utilizan dominios .icu y .tech para evitar detección, y la carga maliciosa se ejecuta sin dejar rastros en disco", detalló Brown.

Los 11 paquetes identificados en el ecosistema Go son:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estos paquetes contienen un cargador ofuscado capaz de recuperar archivos binarios ELF para Linux y archivos ejecutables PE para Windows. Las cargas útiles de segunda etapa permiten:

• Recopilar información del host.
• Acceder a datos del navegador web.
• Enviar información robada al servidor C2 del atacante.

Esto hace que tanto los servidores de compilación en Linux como las estaciones de trabajo en Windows estén en riesgo de ser comprometidos.

La descentralización de Go: un riesgo de seguridad en la cadena de suministro

Un factor que agrava esta amenaza es la naturaleza descentralizada del ecosistema Go, donde los módulos pueden ser importados directamente desde repositorios en GitHub. Esta libertad ha sido aprovechada por actores maliciosos que crean paquetes con nombres similares a módulos legítimos, explotando lo que se conoce como confusión de nombres.

Citar"Los atacantes manipulan cuidadosamente los nombres de sus módulos para parecer confiables a simple vista, aumentando la posibilidad de que desarrolladores integren código malicioso sin darse cuenta", advirtió Socket.

Se sospecha que todos los paquetes maliciosos están vinculados a un único actor de amenazas, debido a similitudes en el código y reutilización de infraestructura de comando y control.

Bibliotecas npm maliciosas que destruyen sistemas de desarrollo

A la par del descubrimiento en Go, también se identificaron dos paquetes maliciosos publicados en el registro npm: naya-flore y nvlore-hsc. Estas bibliotecas se hacen pasar por librerías de sockets para WhatsApp, pero en realidad incorporan funcionalidades destructivas.

Ambas bibliotecas, que acumulan más de 1,110 descargas, contienen un interruptor de apagado basado en números de teléfono. Al ejecutarse, el script verifica si el número de teléfono del dispositivo está en una base de datos remota (almacenada en un repositorio de GitHub). Si no lo está, el malware ejecuta el comando destructivo:


Esto elimina de manera recursiva todos los archivos del sistema, provocando la pérdida total del entorno de desarrollo. También se observó la presencia de una función para exfiltrar datos del dispositivo, aunque las llamadas a dicha función están actualmente comentadas.

Acceso no autorizado a repositorios privados

El investigador Kush Pandya alertó sobre la inclusión de un token de acceso personal de GitHub codificado dentro de naya-flore, el cual permite el acceso no autorizado a repositorios privados. Aunque el uso específico de este token aún no está claro, su presencia puede significar:

• Desarrollo en progreso.
• Funcionalidad planeada que no fue activada.
• Uso en otras partes del código no publicadas.

Esto demuestra que los actores de amenazas están incorporando funciones avanzadas de persistencia, espionaje y destrucción en bibliotecas aparentemente inofensivas.

Tendencias y riesgos persistentes en el ecosistema de software abierto

El uso de repositorios de código abierto como canales de distribución de malware continúa en ascenso. La tendencia revela que los atacantes se apoyan en tácticas conocidas, como:

• Minimizar el número de archivos para evitar sospechas.
• Usar scripts de instalación para ejecutar malware.
• Aplicar ofuscación avanzada para evadir detección.
• Integrar mecanismos de exfiltración discretos.

Según Fortinet FortiGuard Labs, esta tendencia no se detendrá:

Citar"A medida que el uso del software de código abierto (OSS) continúe creciendo, también lo hará la superficie de ataque. La vigilancia, análisis de paquetes y control de dependencias se vuelve más importante que nunca".

Recomendaciones para desarrolladores y equipos de seguridad

• Revisar manualmente todas las dependencias externas antes de integrarlas en entornos de producción.
• Evitar importar directamente desde GitHub sin verificar la reputación del repositorio.
• Automatizar el escaneo de paquetes con herramientas como Socket, Snyk o Sonatype.
• Establecer políticas de análisis de código fuente y firmas digitales para dependencias críticas.
• Realizar auditorías periódicas del entorno de desarrollo y pipelines de CI/CD

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login