Una nueva campaña de malware masiva denominada "GreedyBear" ha comprometido la seguridad de miles de usuarios de Firefox al introducir más de 150 extensiones maliciosas en la tienda oficial de complementos de Mozilla. Esta operación, detectada por Koi Security, ha logrado robar más de $1,000,000 USD en criptomonedas al hacerse pasar por extensiones legítimas de billeteras digitales como MetaMask, TronLink y Rabby.

Este sofisticado esquema de ingeniería social aprovecha el entorno de confianza de Firefox y sus extensiones para infiltrarse de forma sigilosa en los dispositivos de los usuarios, con el objetivo de robar credenciales de acceso a criptomonedas, direcciones IP y otros datos sensibles.

Cómo funciona la campaña maliciosa GreedyBear

La operación GreedyBear sigue un patrón cuidadosamente planeado. En la fase inicial, los atacantes suben extensiones que aparentan ser complementos benignos y funcionales, logrando así superar los filtros automáticos de la tienda de Firefox. Estas extensiones fraudulentas simulan pertenecer a marcas de confianza dentro del ecosistema cripto, como MetaMask y TronLink, y acumulan rápidamente reseñas falsas positivas para generar una percepción de legitimidad.

Una vez aprobadas y descargadas por los usuarios, los operadores de GreedyBear actualizan las extensiones, reemplazando nombres, logotipos y descripciones, e inyectan código malicioso que permite registrar las entradas del teclado (keylogging) y capturar credenciales directamente desde la interfaz emergente de la extensión.

El investigador Tuval Admoni de Koi Security explica:

Citar"Las extensiones armadas capturan las credenciales de la billetera directamente de los campos de entrada del usuario dentro de la propia interfaz emergente de la extensión y las filtran a un servidor remoto controlado por el grupo. Durante la inicialización, también transmiten la dirección IP externa de la víctima, probablemente con fines de seguimiento o focalización geográfica".

Infraestructura de GreedyBear: distribución masiva de malware

Además de las extensiones maliciosas en Firefox, GreedyBear opera una infraestructura extensa de sitios web falsos y dominios de distribución de malware. Entre ellos se encuentran:

• Sitios de software pirateado en idioma ruso que distribuyen más de 500 ejecutables maliciosos.
• Páginas falsas que se hacen pasar por servicios de billetera cripto como Trezor, Jupiter Wallet y supuestas plataformas de reparación de wallets.
• Distribución de troyanos genéricos, ransomware e info-stealers como LummaStealer.

Todos estos recursos están vinculados a una única dirección IP: 185.208.156.66, que actúa como centro de comando y control (C2) para coordinar las actividades de robo de datos y drenaje de fondos.

Implicaciones del uso de inteligencia artificial en campañas de malware

Una de las características más preocupantes de GreedyBear es el uso de inteligencia artificial (IA) para crear extensiones, código malicioso y documentación falsa. El informe de Koi Security revela que:

Citar"Nuestro análisis del código de la campaña muestra signos claros de artefactos generados por IA. Esto hace que sea más rápido y fácil que nunca para los atacantes escalar las operaciones, diversificar las cargas útiles y evadir la detección".

Esta automatización permite a los ciberdelincuentes recuperar rápidamente sus campañas, incluso después de que Mozilla elimine las extensiones maliciosas de su tienda. La capacidad de regenerar versiones alteradas del mismo malware representa un desafío creciente para los sistemas de detección tradicionales.

Mozilla y Google en alerta: ¿viene una expansión a Chrome?

Pese a que Mozilla eliminó las 150 extensiones ofensivas tras recibir la denuncia de Koi Security, preocupa que el sistema automatizado de detección de extensiones de drenaje de criptomonedas, implementado en junio de 2025, no haya sido capaz de detener la propagación de GreedyBear en sus primeras fases.

Además, Koi Security advierte que el grupo responsable de GreedyBear ya explora nuevas plataformas como la Chrome Web Store. Se ha identificado una extensión maliciosa de Chrome llamada "Filecoin Wallet", que opera bajo la misma lógica de robo de credenciales y se comunica con la misma IP de comando y control, lo que sugiere una clara intención de expansión multiplataforma.

Campañas previas y creciente amenaza

Esta no es la primera vez que Mozilla enfrenta un incidente de este tipo. En el mes anterior, se descubrieron más de 40 extensiones falsas que imitaban billeteras como Coinbase, Trust Wallet, Phantom, Exodus, OKX, Keplr y MyMonero. Estos incidentes revelan fallas persistentes en los sistemas de moderación de extensiones de navegadores populares, que los actores maliciosos están sabiendo explotar eficazmente.

Cómo protegerse de extensiones maliciosas en Firefox y Chrome

Para minimizar el riesgo de instalar extensiones maliciosas que puedan comprometer tus activos digitales, sigue estas recomendaciones clave:

• Revisa siempre las opiniones de los usuarios reales, no solo la calificación promedio.
• Verifica el nombre del editor y el sitio web oficial antes de descargar extensiones.
• Instala extensiones de billeteras exclusivamente desde los sitios web oficiales de proyectos como MetaMask, Trust Wallet o Rabby.
• Evita descargar software desde sitios de dudosa procedencia, especialmente versiones pirateadas.
• Utiliza soluciones antivirus y antimalware actualizadas con monitoreo en tiempo real de extensiones y tráfico de red.

En fin, la campaña maliciosa GreedyBear representa una amenaza significativa para la seguridad de los usuarios de Firefox y potencialmente de otros navegadores como Chrome. El uso de técnicas de ingeniería social, distribución masiva de malware, inteligencia artificial y su capacidad para evadir sistemas de detección convierten a esta operación en un caso emblemático del cibercrimen moderno.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva y sofisticada herramienta de ciberataque ha sido identificada por expertos en seguridad como la evolución del EDRKillShifter, una herramienta previamente vinculada a ataques de ransomware. Este nuevo EDR killer, aún sin nombre oficial, ha sido detectado en operaciones realizadas por al menos ocho grupos de ransomware activos, incluyendo RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC.

¿Qué es un EDR Killer y cómo funciona?

Los EDR killers (EndPoint Detection and Response Killers) son herramientas diseñadas específicamente para deshabilitar soluciones de seguridad en los sistemas comprometidos, permitiendo a los actores maliciosos ejecutar cargas útiles maliciosas, escalar privilegios, moverse lateralmente dentro de la red y cifrar dispositivos sin ser detectados.

La nueva herramienta identificada por investigadores de Sophos presenta un enfoque particularmente avanzado. Utiliza un binario altamente ofuscado que se decodifica a sí mismo durante el tiempo de ejecución y se inyecta en procesos legítimos del sistema operativo, haciendo extremadamente difícil su detección por soluciones antivirus tradicionales.

Técnica BYOVD: Un ataque silencioso y efectivo

Uno de los aspectos más alarmantes de esta herramienta es su uso de la táctica conocida como Bring Your Own Vulnerable Driver (BYOVD). Esta técnica permite que los atacantes carguen controladores del sistema maliciosos —a menudo firmados digitalmente con certificados robados o caducados— que se hacen pasar por componentes legítimos del sistema, como el CrowdStrike Falcon Sensor Driver.

Una vez cargado el controlador malicioso en el kernel del sistema operativo, la herramienta tiene acceso a nivel de kernel, permitiéndole eliminar procesos de antivirus (AV) y soluciones EDR, así como detener servicios clave de seguridad. Entre los proveedores de seguridad atacados por esta técnica se encuentran:

• Microsoft Defender
• Sophos
• Kaspersky
• Symantec
• Trend Micro
• SentinelOne
• Cylance
• McAfee
• F-Secure
• HitmanPro
• Webroot

Esta capacidad de desactivar múltiples soluciones de ciberseguridad de alto perfil convierte a esta nueva herramienta en una amenaza crítica para organizaciones de todos los tamaños.

Variantes y colaboración entre grupos de ransomware

De acuerdo con Sophos, la herramienta EDR killer identificada no es una única versión reutilizada entre bandas, sino un conjunto de variantes personalizadas. Cada grupo de ransomware parece operar con su propia versión modificada de la herramienta, pero todas comparten un conjunto común de características, incluyendo el uso del empaquetador HeartCrypt.

Esto ha llevado a los investigadores a concluir que existe una infraestructura compartida o colaboración entre actores de amenazas, incluso si pertenecen a bandas de ransomware aparentemente rivales. Sophos afirma que la herramienta no ha sido filtrada públicamente, sino que ha sido desarrollada de forma paralela bajo un marco compartido entre distintos grupos.

Citar"Para ser claros, no es que un solo binario del asesino de EDR se haya filtrado y compartido entre los actores de amenazas. En cambio, cada ataque utilizó una versión diferente de la herramienta propietaria", explicó Sophos.

Un patrón creciente en el uso de herramientas compartidas

La colaboración entre bandas de ransomware en el desarrollo y uso de herramientas evasivas no es nueva. Además del ya conocido EDRKillShifter, Sophos también ha detectado el uso de una herramienta similar llamada AuKill, utilizada por las bandas MedusaLocker y LockBit.

Por otro lado, la firma SentinelOne reveló el año pasado que el grupo FIN7 vendía su herramienta de evasión de seguridad llamada AvNeutralizer a grupos como BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona y LockBit, todos ellos responsables de ataques de ransomware a gran escala.

Estas tácticas evidencian una preocupante tendencia en el ecosistema del cibercrimen: la profesionalización y comercialización de herramientas avanzadas de evasión, que facilitan la ejecución de ataques complejos a gran escala con un nivel de sofisticación cada vez mayor.

Indicadores de compromiso y prevención

Los Indicadores de Compromiso (IoC) asociados con esta nueva herramienta EDR killer están disponibles públicamente en un repositorio de GitHub, lo que permite a los profesionales de seguridad verificar y actualizar sus defensas.

Se recomienda a todas las organizaciones que:

• Actualicen regularmente sus soluciones de EDR y antivirus.
• Implementen detección de comportamiento a nivel de kernel.
• Realicen auditorías constantes de controladores instalados.
• Monitoreen el uso de certificados digitales en su red.

En fin, el surgimiento de esta nueva herramienta asesina de EDR representa una evolución peligrosa en las tácticas de ransomware, con implicaciones graves para la seguridad de las redes corporativas. La colaboración entre grupos criminales, el uso de tácticas como BYOVD y la personalización de herramientas evasivas subrayan la importancia de contar con estrategias de defensa proactivas y sistemas de detección avanzados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad de Check Point Research han revelado una vulnerabilidad de alta gravedad en el popular editor de código basado en inteligencia artificial (IA), Cursor. La falla, identificada como CVE-2025-54136 con una puntuación CVSS de 7.2, podría ser explotada para lograr ejecución remota y persistente de código en dispositivos afectados.

La vulnerabilidad ha sido apodada MCPoison, ya que aprovecha una peculiaridad en el manejo de configuraciones del Model Context Protocol (MCP), un estándar abierto desarrollado por Anthropic que permite a los grandes modelos de lenguaje (LLM) comunicarse de forma estructurada con herramientas externas.

¿Cómo funciona MCPoison y por qué es tan peligrosa?

Según el informe de Check Point, el ataque MCPoison permite a un actor malicioso insertar una configuración MCP aparentemente inofensiva en un repositorio compartido (por ejemplo, en GitHub). Una vez que un colaborador o desarrollador aprueba esta configuración en Cursor, el atacante puede modificarla posteriormente e incluir una carga útil maliciosa, como un script, backdoor o la ejecución de un binario (por ejemplo, calc.exe), sin generar ninguna advertencia al usuario.

Este ataque se produce en cuatro pasos:

• El atacante añade un archivo MCP benigno (.cursor/rules/mcp.json) a un repositorio.
• La víctima aprueba la configuración desde Cursor sin detectar anomalías.
• Posteriormente, el archivo MCP es reemplazado con un comando malicioso.
• Cada vez que el usuario abre Cursor, el código malicioso se ejecuta de forma persistente.

El problema central radica en que Cursor confía indefinidamente en las configuraciones MCP ya aprobadas, incluso si han sido modificadas después de su validación inicial. Esta confianza ciega permite al atacante establecer persistencia y comprometer entornos de desarrollo sin levantar alertas.

Respuesta y solución al CVE-2025-54136

Tras la divulgación responsable realizada el 16 de julio de 2025, los desarrolladores de Cursor actuaron con rapidez para corregir el fallo. En la versión 1.3, lanzada a finales de julio, se incluyó una nueva función de seguridad que exige una nueva aprobación del usuario cada vez que un archivo MCP es modificado, incluso si ya había sido aprobado previamente.

Además, esta actualización también corrigió otras vulnerabilidades adicionales descubiertas por Aim Labs, HiddenLayer y Backslash Security, relacionadas con eludir listas negras y ejecutar código malicioso mediante manipulaciones en la interacción con IA.

Nuevos vectores de ataque contra entornos con IA

El hallazgo de MCPoison se suma a una creciente ola de ataques dirigidos a sistemas de desarrollo impulsados por IA, exponiendo una nueva superficie de ataque que combina vectores tradicionales con riesgos emergentes en la cadena de suministro de IA y los LLM. A continuación, algunos de los ataques más destacados recientemente:

1. LegalPwn: Inyección rápida a través de políticas y textos legales
Aprovecha políticas de privacidad o términos de servicio para insertar instrucciones maliciosas ocultas que inducen al modelo a clasificar código inseguro como confiable, facilitando la ejecución de shells inversos o comandos dañinos.

2. Man-in-the-Prompt: Secuestro silencioso vía navegador
Utiliza extensiones de navegador sin permisos elevados para inyectar mensajes maliciosos en IA basadas en navegador, comprometiendo la integridad del modelo sin activar medidas de seguridad visibles.

3. Fallacy Failure: Jailbreak mediante premisas lógicas inválidas
Manipula el razonamiento de un LLM con proposiciones lógicamente incorrectas para que ignore sus restricciones internas y genere contenido o acciones prohibidas.

4. Secuestro de sistemas MAS (Multi-Agent Systems)
Dirigido a arquitecturas multiagente, permite redirigir flujos de control y ejecutar código malicioso distribuido a través de distintos componentes de IA interconectados.

5. GGUF Poisoning: Instrucciones maliciosas en plantillas de chat
Inserta comandos peligrosos en archivos GGUF (GPT-Generated Unified Format) distribuidos en plataformas como Hugging Face, aprovechando la confianza en la cadena de suministro para eludir validaciones.

6. Ataques a plataformas ML como SageMaker y MLFlow
Aprovechan debilidades en entornos de entrenamiento como Amazon SageMaker, Azure ML o MLFlow para comprometer modelos desde su fase inicial, introduciendo envenenamiento de datos, escalada de privilegios y movimiento lateral.

7. Aprendizaje subliminal en LLM
Un estudio de Anthropic reveló que durante procesos de destilación, los modelos pueden adquirir rasgos no deseados de forma subliminal, generando respuestas inesperadas o desviadas.

Impacto de la IA insegura en el desarrollo de software

Una prueba realizada sobre más de 100 grandes modelos de lenguaje (LLM) evaluó su capacidad para escribir código en Java, Python, JavaScript y C#. Los resultados fueron alarmantes:

• 45% del código generado contenía vulnerabilidades según el top 10 de OWASP.
• Java lideró en fallas de seguridad (72%), seguido por C# (45%), JavaScript (43%) y Python (38%).

Esto demuestra que, aunque las IA como copilotos pueden acelerar el desarrollo, también introducen riesgos significativos cuando no se evalúan adecuadamente las salidas o se implementan sin controles de seguridad robustos.

En fin, la seguridad en entornos de desarrollo con IA necesita un nuevo enfoque

La vulnerabilidad CVE-2025-54136 (MCPoison) en Cursor AI es una advertencia contundente sobre los riesgos reales que enfrentan los desarrolladores al integrar LLM en sus flujos de trabajo sin contar con validaciones profundas, controles de integridad o políticas de revisión automatizadas.

Tal como lo indicó Dor Sarig de Pillar Security, los jailbreaks modernos no dependen de fallas estructurales, sino del lenguaje mismo, y pueden propagarse como infecciones contextuales dentro de cadenas de instrucciones, afectando múltiples componentes IA de forma simultánea.

Reforzar la seguridad de IA no puede limitarse a la arquitectura técnica. Se necesita un nuevo paradigma de protección contextual, capaz de entender y controlar las interacciones complejas que ocurren en entornos impulsados por modelos de lenguaje avanzados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha publicado su más reciente boletín de actualizaciones de seguridad para Android correspondiente a agosto de 2025, abordando una serie de vulnerabilidades críticas que afectan el sistema operativo móvil y componentes de hardware, especialmente los relacionados con los chips Qualcomm.

Entre las vulnerabilidades corregidas, destacan dos fallas marcadas como explotadas activamente en ataques reales por el Grupo de Análisis de Amenazas de Google (TAG), lo que subraya la gravedad del panorama actual de amenazas en dispositivos Android.

Vulnerabilidades activamente explotadas en Qualcomm: CVE-2025-21479 y CVE-2025-27038

Las dos vulnerabilidades más destacadas, CVE-2025-21479 (CVSS 8.6) y CVE-2025-27038 (CVSS 7.5), fueron inicialmente reveladas por Qualcomm en junio de 2025, junto con una tercera vulnerabilidad relacionada: CVE-2025-21480 (también con puntuación CVSS de 8.6).

CVE-2025-21479: Vulnerabilidad de autorización incorrecta

Este fallo afecta a un componente de gráficos en los chips de Qualcomm. En concreto, se trata de una autorización incorrecta que permite la ejecución de comandos no autorizados en el microcódigo de la GPU, lo que puede derivar en corrupción de memoria y potencial ejecución de código malicioso.

CVE-2025-27038: Uso después de liberación (Use-After-Free)

Esta vulnerabilidad también reside en el componente gráfico, pero específicamente afecta el proceso de renderizado con controladores de GPU Adreno, ampliamente utilizados en dispositivos Android. Se clasifica como un error de uso después de liberación (UAF), que permite que la memoria previamente liberada sea manipulada por atacantes, generando daños que pueden ser explotados para ejecutar código arbitrario.

Aunque no se han proporcionado detalles técnicos públicos sobre la explotación activa, Google TAG confirmó que estas vulnerabilidades podrían estar siendo utilizadas en ataques limitados y dirigidos, lo que indica su posible uso en campañas de vigilancia o espionaje.

Posible vinculación con software espía comercial

Históricamente, fallas similares en chips Qualcomm han sido utilizadas por empresas como Variston IT y Cy4Gate, reconocidas por el desarrollo de herramientas de espionaje avanzadas. Por tanto, existe la sospecha de que estas vulnerabilidades también estén siendo explotadas en contextos similares, apuntando a usuarios específicos de alto valor.

En línea con esta preocupación, las tres vulnerabilidades mencionadas (CVE-2025-21479, CVE-2025-21480 y CVE-2025-27038) han sido añadidas al Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la CISA (Cybersecurity and Infrastructure Security Agency) de EE. UU. Esto implica una orden directa a todas las agencias federales para aplicar los parches de seguridad antes del 24 de junio de 2025.

Otras vulnerabilidades corregidas en la actualización Android de agosto 2025

Además de las fallas en Qualcomm, el boletín de seguridad Android de agosto de 2025 incluye la corrección de otras vulnerabilidades de alta y crítica severidad, entre ellas:

• CVE-2025-22441 y CVE-2025-48533: Vulnerabilidades de escalada de privilegios en Android Framework que podrían permitir a una aplicación maliciosa obtener permisos elevados sin interacción del usuario.
• CVE-2025-48530: Una vulnerabilidad crítica en el componente System, que podría permitir ejecución remota de código (RCE) cuando se combina con otras fallas, sin necesidad de privilegios adicionales ni acción del usuario.

Detalles del parche de seguridad Android 2025-08

Google ha liberado dos niveles de parches como parte de esta actualización:

• 2025-08-01: Incluye correcciones para los componentes principales del sistema Android, como el Framework y el núcleo del sistema operativo.
• 2025-08-05: Incorpora además soluciones específicas para controladores y módulos de terceros, incluyendo los proporcionados por Qualcomm y Arm, abordando así vulnerabilidades a nivel de hardware y firmware.

Esta estrategia en capas garantiza una cobertura más completa para los diferentes dispositivos y fabricantes que integran el ecosistema Android.

Recomendaciones para usuarios y administradores

Dado que múltiples de estas vulnerabilidades ya están siendo explotadas activamente, Google y los expertos en ciberseguridad recomiendan aplicar las actualizaciones de seguridad lo antes posible.

Para usuarios finales:

• Verifica manualmente si hay actualizaciones disponibles en tu dispositivo Android, desde Configuración > Sistema > Actualizaciones del sistema.
• Evita instalar aplicaciones de fuentes desconocidas o no verificadas.
• Mantén activadas las funciones de seguridad como Google Play Protect.

Para administradores de flotas móviles:

• Implementa políticas de actualización obligatoria en dispositivos corporativos.
• Asegura que todos los equipos con chips Qualcomm afectados estén utilizando los parches de seguridad más recientes.
• Realiza auditorías periódicas para garantizar la integridad del software instalado.

En fin, el parche de seguridad de Android de agosto de 2025 representa una actualización crítica, no solo por la cantidad de vulnerabilidades corregidas, sino porque varias de ellas están siendo explotadas activamente en ataques del mundo real. La presencia de fallas en los chips Qualcomm, utilizados por millones de dispositivos Android en todo el mundo, hace que este boletín de seguridad sea de máxima prioridad tanto para usuarios como para administradores de seguridad TI.

Actualizar tu dispositivo y mantenerlo protegido es clave para evitar ser víctima de exploits dirigidos, software espía o ciberataques oportunistas. En un entorno digital cada vez más complejo, la gestión proactiva de parches es una de las estrategias más efectivas para reducir la superficie de ataque y salvaguardar la privacidad del usuario.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco, una de las empresas tecnológicas más importantes del mundo en el sector de redes y ciberseguridad, ha confirmado una brecha de seguridad que expuso la información personal de usuarios registrados en su sitio web You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. El incidente se produjo como consecuencia de un ataque de phishing de voz (vishing) dirigido a un empleado, lo que permitió a los atacantes acceder de forma no autorizada a un sistema externo de gestión de relaciones con clientes (CRM).

¿Qué ocurrió y cómo se originó el ataque?

El ataque fue detectado el 24 de julio, cuando Cisco descubrió que un actor de amenazas había engañado a uno de sus empleados utilizando técnicas de ingeniería social. El atacante logró obtener credenciales que le permitieron infiltrarse en un sistema CRM basado en la nube, operado por un proveedor externo, al que Cisco tenía acceso para gestionar datos de clientes y usuarios.

Este acceso permitió a los ciberdelincuentes extraer información básica del perfil de usuarios de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, entre la que se incluyen los siguientes datos:

• Nombres completos
• Nombres de las organizaciones asociadas
• Direcciones físicas
• Identificadores de usuario (ID de Cisco)
• Direcciones de correo electrónico
• Números telefónicos
• Metadatos de cuentas (como fechas de creación y actividad)

¿Qué información no fue comprometida?

Cisco fue enfático en señalar que no se filtraron contraseñas, datos sensibles, financieros o información confidencial de clientes corporativos. Tampoco se vieron comprometidos sus productos, servicios o sistemas internos adicionales, y el incidente estuvo contenido únicamente en la instancia afectada del CRM externo.

La compañía desactivó el acceso del atacante inmediatamente después de detectar el incidente, y lanzó una investigación interna en conjunto con las autoridades pertinentes. Además, notificó de forma proactiva a los usuarios afectados, en cumplimiento con la normativa de protección de datos aplicable en cada jurisdicción.

Medidas de respuesta y refuerzo de seguridad

Cisco informó que ha tomado una serie de acciones para prevenir futuras violaciones de este tipo, entre las que destacan:

• Revisión y endurecimiento de accesos al sistema CRM de terceros
• Reentrenamiento del personal sobre cómo identificar y mitigar ataques de ingeniería social y vishing
• Evaluación continua de la seguridad de proveedores externos
• Reforzamiento de políticas internas de ciberseguridad y control de acceso

Estas medidas buscan mitigar el riesgo de futuros ataques similares, especialmente aquellos que explotan el factor humano, como es el caso del phishing de voz.

¿Está relacionado este ataque con la ola de violaciones en Salesforce?

Aunque Cisco no ha confirmado oficialmente que el sistema CRM comprometido sea Salesforce, múltiples expertos en ciberseguridad han indicado que el incidente podría formar parte de una ola de ciberataques dirigidos a instancias de Salesforce. Estos ataques estarían siendo perpetrados por el conocido grupo de extorsión ShinyHunters, que emplea técnicas avanzadas de vishing e ingeniería social para infiltrarse en entornos corporativos.

En las últimas semanas, se han reportado brechas similares que han afectado a compañías de alto perfil como:

• Adidas
• Qantas Airlines
• Allianz Life
• LVMH (Louis Vuitton, Dior, Tiffany & Co.)
• Chanel

Estas filtraciones han expuesto datos de usuarios, información comercial y detalles internos de empresas de gran escala, lo que aumenta la preocupación en torno a la seguridad de sistemas basados en la nube.

Un portavoz de Cisco no respondió de inmediato a las solicitudes de comentarios por parte del medio especializado BleepingComputer, dejando sin confirmar el número exacto de usuarios afectados o si los datos provienen directamente de una instancia comprometida de Salesforce CRM.

Antecedentes: Otro incidente reciente en el portal DevHub

Este no es el primer problema de seguridad que enfrenta Cisco en el último año. En octubre, la empresa se vio obligada a desconectar su portal público DevHub tras la publicación de archivos internos por parte del actor de amenazas conocido como IntelBroker en el foro BreachForums.

Un mes más tarde, Cisco confirmó que los datos filtrados provenían de un portal mal configurado, el cual permitió la descarga de información no pública, incluyendo archivos relacionados con servicios profesionales de clientes de CX Professional Services.

Lecciones y recomendaciones para empresas

Este incidente resalta la importancia de reforzar las medidas de seguridad frente a ataques de ingeniería social, especialmente aquellos que explotan el canal de voz, una vía menos protegida en muchas organizaciones.

Entre las recomendaciones clave para las empresas destacan:

• Implementar protocolos de autenticación multifactor (MFA) en todos los sistemas sensibles
• Capacitar de forma continua al personal sobre técnicas de phishing, vishing y smishing
• Monitorizar el acceso a sistemas de terceros y realizar auditorías periódicas
• Establecer alertas tempranas ante accesos inusuales en plataformas de CRM o colaboración en la nube
• Asegurar contratos con proveedores que incluyan compromisos de ciberseguridad y auditorías externas

En fin, la violación de datos sufrida por Cisco es una clara advertencia sobre los riesgos crecientes del vishing corporativo y la necesidad de adoptar medidas proactivas. Aunque la empresa actuó con rapidez y limitó el alcance del incidente, la exposición de datos personales de usuarios es significativa y podría ser utilizada en campañas de suplantación de identidad o ataques dirigidos.

Para organizaciones de cualquier tamaño, este caso es una oportunidad para revisar sus políticas de seguridad, fortalecer sus controles y garantizar que sus equipos estén preparados ante el sofisticado panorama de amenazas actual.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Adobe ha lanzado actualizaciones de emergencia para abordar dos vulnerabilidades de día cero críticas en Adobe Experience Manager (AEM) Forms en JEE, tras la divulgación de una cadena de exploits de prueba de concepto (PoC) que puede permitir la ejecución remota de código (RCE) sin autenticación en entornos vulnerables.

Las fallas fueron identificadas como CVE-2025-54253 y CVE-2025-54254, ambas calificadas como críticas por su capacidad para comprometer sistemas empresariales:

• CVE-2025-54253: Se trata de una configuración incorrecta en el módulo de administración de AEM que posibilita la ejecución de código arbitrario en el servidor. Esta vulnerabilidad tiene una puntuación CVSS de 8.6, lo que refleja un riesgo alto, especialmente en entornos expuestos públicamente.
• CVE-2025-54254: Consiste en una restricción incorrecta de la referencia de entidad externa XML (XXE) que permite a un atacante remoto leer archivos arbitrarios del sistema de archivos local. Este fallo ha sido calificado con una puntuación CVSS de 10.0, el máximo en la escala, lo que lo convierte en una amenaza crítica de primer nivel.

Estas vulnerabilidades fueron descubiertas por los investigadores Shubham Shah y Adam Kues, pertenecientes a Searchlight Cyber, quienes las informaron a Adobe el 28 de abril de 2025 junto con una tercera falla: CVE-2025-49533, también grave y relacionada con la deserialización de objetos Java en el módulo FormServer.

Detalles técnicos de las vulnerabilidades en Adobe AEM Forms

Los investigadores explicaron que la tercera vulnerabilidad, CVE-2025-49533, ya había sido parchada por Adobe el 5 de agosto de 2025, pero las otras dos fallas quedaron sin resolver por más de 90 días. Ante la falta de solución y cumpliendo su política de divulgación responsable, publicaron un artículo técnico detallado el 29 de julio, exponiendo el funcionamiento interno y los métodos de explotación de estas vulnerabilidades.

CVE-2025-49533 – Deserialización Java sin autenticación

Este fallo reside en el módulo FormServer, donde un servlet procesa datos de usuario sin validación alguna. El sistema decodifica y deserializa objetos Java directamente desde las solicitudes entrantes, lo que permite a un atacante remoto inyectar cargas maliciosas y ejecutar comandos en el servidor sin necesidad de autenticación previa.

CVE-2025-54254 – Fuga de archivos vía XXE

La vulnerabilidad XXE afecta a un servicio web SOAP que gestiona la autenticación. Mediante el envío de una carga XML especialmente diseñada, los atacantes pueden forzar al servicio a leer archivos locales como win.ini o /etc/passwd, accediendo así a datos sensibles o configuración del sistema. Esto expone seriamente la confidencialidad e integridad de los sistemas afectados.

CVE-2025-54253 – Configuración errónea en modo desarrollo

Finalmente, CVE-2025-54253 surge por una omisión de autenticación en el componente /adminui, combinado con una configuración insegura dejada activa por error. En particular, el modo de desarrollo de Apache Struts2 permanecía habilitado, permitiendo a los atacantes ejecutar expresiones OGNL a través de parámetros de depuración en solicitudes HTTP. Esta combinación deja abierta la puerta para comprometer totalmente el servidor AEM vulnerable.

Recomendaciones de mitigación y medidas de seguridad

Dado que estas vulnerabilidades permiten la ejecución remota de código sin necesidad de credenciales, representan una amenaza inmediata para cualquier instancia de Adobe Experience Manager Forms en JEE no actualizada. Adobe ya ha lanzado actualizaciones de seguridad para corregir estas fallas, por lo que se recomienda encarecidamente a todos los administradores de sistemas:

• Actualizar inmediatamente a la versión más reciente de Adobe AEM Forms en JEE, siguiendo las instrucciones proporcionadas en el boletín oficial de seguridad de Adobe.
• Deshabilitar el modo de desarrollo en entornos de producción y revisar cuidadosamente las configuraciones del servidor.
• Implementar reglas en el firewall para restringir el acceso público al módulo /adminui y a los servicios SOAP que manejen autenticación.
• Auditar los logs de acceso en busca de patrones inusuales o intentos de explotación recientes.
• Establecer políticas de deserialización seguras y validación de datos estricta en todas las interfaces expuestas al usuario.

Si la actualización inmediata no es viable, los investigadores recomiendan al menos restringir el acceso desde Internet a los servicios afectados como medida de mitigación temporal.

En fin, la cadena de vulnerabilidades descubierta en Adobe AEM Forms resalta la importancia de mantener una postura proactiva frente a la seguridad en plataformas empresariales. El uso de configuraciones inseguras, combinadas con prácticas comunes como la deserialización sin validación, puede dejar incluso a soluciones líderes como Adobe AEM expuestas a compromisos graves.

La rápida acción de Adobe para parchear estas fallas es un paso positivo, pero la responsabilidad última recae en los administradores de sistemas para aplicar los parches de forma inmediata y mitigar cualquier riesgo derivado de estas vulnerabilidades críticas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores en ciberseguridad han identificado una nueva y sofisticada campaña de phishing que utiliza técnicas avanzadas de evasión, abusando de servicios legítimos como Proofpoint URL Defense e Intermedia, con el objetivo de ocultar cargas maliciosas y evadir las soluciones tradicionales de seguridad de correo electrónico.

Este ataque demuestra cómo los actores de amenazas siguen aprovechando características diseñadas para proteger, utilizándolas como herramientas para infiltrar redes corporativas y robar credenciales de Microsoft 365 mediante múltiples capas de redirección y ofuscación.

Abuso del servicio de envoltura de enlaces: un escudo convertido en arma

Los servicios de envoltura de enlaces como los que ofrecen Proofpoint e Intermedia están diseñados para proteger a los usuarios al escanear todas las URLs contenidas en correos electrónicos. En teoría, estos sistemas bloquean enlaces maliciosos en el "momento del clic". Sin embargo, los atacantes han encontrado una forma de eludir esta protección.

Según el equipo de seguridad de correo electrónico de Cloudflare:

Citar"Si bien el envoltorio de enlaces es efectivo contra amenazas conocidas, los ataques aún pueden tener éxito si el enlace malicioso aún no ha sido clasificado como peligroso en el momento en que se hace clic".

Los atacantes están comprometiendo cuentas protegidas por estos servicios para enviar correos con enlaces maliciosos envueltos automáticamente, como:

https://urldefense.proofpoint[.]com/v2/url?u=<sitio_malicioso>

Este enfoque legitima visualmente el enlace, aumentando significativamente la probabilidad de que la víctima lo abra sin sospechas.

Cadena de redirección y doble ofuscación: Bitly + URL Defense

Otro elemento sofisticado en esta campaña es el uso de una redirección de múltiples niveles, lo que crea una cadena de ocultamiento difícil de rastrear. Primero, los atacantes utilizan servicios de acortamiento de URL como Bitly, y luego, envían el enlace a través de una cuenta protegida con Proofpoint, generando una capa adicional de envoltorio.

Esto da como resultado una URL doblemente ofuscada que puede parecer legítima, pero que finalmente redirige a una página falsa de inicio de sesión de Microsoft 365.

Tácticas de phishing: correos de voz, Teams y videollamadas falsas

La campaña se basa en tácticas de ingeniería social altamente efectivas, utilizando contextos familiares para las víctimas:

• Correo de voz falso: Mensajes que informan sobre un supuesto mensaje de voz nuevo y que instan a hacer clic para escucharlo. El enlace lleva a una página de phishing que imita Microsoft 365.
• Notificaciones de Microsoft Teams: Correos que afirman que se ha recibido un documento o mensaje no leído en Teams. Incluyen botones como "Responder en Teams", que redirigen a sitios de robo de credenciales.
• Invitaciones falsas de Zoom: Emails que imitan invitaciones legítimas de Zoom. Al hacer clic, se activa una cadena de redirección que termina en una página falsa con un mensaje como "Se agotó el tiempo de espera de la reunión", seguido de una solicitud para reingresar las credenciales.

Archivos SVG: el nuevo vector para malware evasivo

Además del abuso de servicios de envoltorio de enlaces, los atacantes están utilizando archivos SVG (Scalable Vector Graphics) para evadir filtros antiphishing.

A diferencia de imágenes tradicionales como JPEG o PNG, los archivos SVG están basados en XML y permiten la ejecución de código JavaScript y HTML. Esto los convierte en vehículos ideales para incrustar scripts maliciosos y enlaces activos sin levantar alertas en soluciones de seguridad tradicionales.

El NJCCIC (Célula de Ciberseguridad de Nueva Jersey) advirtió recientemente:

Citar"Los archivos SVG pueden contener hipervínculos y elementos interactivos que se explotan para entregar cargas útiles maliciosas mediante ingeniería social."

Exfiltración de datos vía Telegram

En algunos casos, una vez que la víctima introduce sus credenciales en la página de phishing, esta información —junto con su dirección IP, país y región— es exfiltrada en tiempo real a través de la plataforma de mensajería Telegram, elegida por los atacantes por su cifrado y anonimato.

Este método permite a los ciberdelincuentes recibir datos robados de forma inmediata, evitando controles convencionales y complicando su rastreo.

Según Cofense, empresa especializada en defensa contra phishing:

Citar"En lugar de volver a unirse a la reunión, las credenciales de la víctima son enviadas automáticamente al atacante por medio de Telegram."

cómo protegerse contra estas campañas de phishing avanzadas

Este nuevo tipo de ataques de phishing multietapa representa una evolución alarmante en el uso de herramientas legítimas como Proofpoint e Intermedia con fines maliciosos. Las organizaciones deben:

• Fortalecer sus filtros de seguridad con detección basada en comportamiento
• Implementar soluciones de análisis en tiempo real de redirecciones
• Capacitar a los usuarios sobre tácticas de phishing modernas
• Supervisar URLs acortadas y envoltorios múltiples en correos entrantes

Además, la detección temprana y la visibilidad contextual son clave para reducir el impacto de estas amenazas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los Centros de Operaciones de Seguridad (SOC) enfrentan una creciente presión operativa. El volumen de registros de seguridad (logs) se ha disparado, el panorama de amenazas es cada vez más sofisticado y existe una escasez crítica de profesionales calificados en ciberseguridad. Los analistas deben lidiar diariamente con una avalancha de alertas irrelevantes, herramientas desconectadas y una visibilidad incompleta de los datos. Mientras tanto, más proveedores están eliminando gradualmente sus soluciones SIEM locales, incentivando la transición hacia modelos SaaS que, lejos de resolver los problemas, muchas veces los agravan.

El colapso del SIEM tradicional ante el volumen de registros

Los Sistemas de Gestión de Eventos e Información de Seguridad (SIEM) fueron diseñados para recopilar y correlacionar grandes cantidades de registros. Sin embargo, en infraestructuras modernas —especialmente en entornos híbridos y en la nube— este enfoque se ha convertido en un cuello de botella.

Plataformas como Azure, AWS y redes OT generan telemetría masiva, muchas veces redundante, no estructurada o en formatos no estandarizados. Esto no solo afecta el rendimiento del SIEM, sino que dispara los costos en soluciones SaaS que cobran por evento por segundo (EPS) o flujo por minuto (FPM), aumentando la fatiga del analista y reduciendo la eficiencia del SOC.

Falsos positivos: un enemigo interno

Hasta el 30% del tiempo de un analista de SOC se pierde investigando falsos positivos. La razón principal es la falta de contexto. Los SIEM tradicionales pueden correlacionar eventos, pero no los interpretan. Un inicio de sesión desde una IP anómala puede ser legítimo o un ataque en curso, pero sin datos de comportamiento o líneas base del usuario, el SIEM dispara la alerta sin fundamentos sólidos.

Este ruido innecesario genera cansancio operativo, retrasa la respuesta a incidentes reales y debilita la postura de ciberseguridad de la organización.

SIEM en la nube (SaaS): más complejidad, menos control

La transición hacia SIEM basados en la nube se presenta como una evolución natural, pero en la práctica conlleva nuevas limitaciones críticas:

• Costos variables y difícilmente predecibles debido al modelo de facturación por volumen de datos.
• Falta de paridad funcional con versiones locales: conjuntos de reglas, sensores e integraciones incompletas.
• Problemas de cumplimiento en sectores regulados (banca, industria, sector público) donde la residencia de datos es obligatoria.

Esta combinación de factores pone en jaque la viabilidad del SIEM SaaS para muchos entornos empresariales.

Alternativas modernas: detección basada en comportamiento y análisis de metadatos

En lugar de depender de grandes volúmenes de registros, las plataformas modernas de detección de amenazas priorizan el análisis de metadatos de red y comportamientos anómalos. Tecnologías como:

• Flujos de red (NetFlow, IPFIX)
• Consultas DNS
• Tráfico proxy
• Patrones de autenticación

...pueden revelar amenazas como movimiento lateral, acceso no autorizado a la nube o cuentas comprometidas, sin necesidad de inspeccionar cada carga útil.

Estas plataformas, muchas veces integradas dentro de soluciones NDR (Network Detection and Response), operan sin agentes ni tráfico reflejado, usando machine learning adaptativo en tiempo real. El resultado es:

• Menos falsos positivos
• Alertas más precisas
• Menor carga para los analistas
• Mayor escalabilidad operativa

Hacia un nuevo modelo de SOC: modular, contextual y eficiente

La decadencia de los SIEM tradicionales indica la necesidad de reformular la arquitectura del SOC. En lugar de centralizar toda la visibilidad en un solo punto de recopilación, los SOC modernos son modulares y reparten la detección y el análisis entre diferentes sistemas especializados.

Este enfoque permite:

• Detectar amenazas con mayor precisión usando múltiples vectores de telemetría.
• Desacoplar la detección del volumen de registros, eliminando el costo como limitante de visibilidad.
• Aplicar automatización inteligente para reducir el tiempo de detección y respuesta (MTTD y MTTR).

¿Adiós al SIEM tradicional?

Los SIEM heredados, ya sean on-premise o SaaS, están dejando de ser soluciones efectivas en entornos de ciberseguridad complejos y dinámicos. Hoy, la eficacia del SOC no depende del volumen de datos procesados, sino de:

• La calidad de la telemetría
• La capacidad contextual del análisis
• La automatización basada en inteligencia artificial

Plataformas que priorizan el análisis de metadatos, el modelado de comportamiento y la detección autónoma basada en machine learning ofrecen no solo mayor protección, sino también resiliencia operativa.

En este nuevo paradigma, los SOC del futuro serán más livianos, más rápidos y más inteligentes, dejando atrás el modelo SIEM centrado en registros y adoptando un enfoque independiente, escalable y centrado en amenazas reales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha anunciado una importante actualización de seguridad que afectará directamente a usuarios de Excel en Microsoft 365: a partir de octubre de 2025 y hasta julio de 2026, se deshabilitarán por defecto los enlaces de libros externos a tipos de archivos bloqueados, una medida diseñada para mitigar riesgos críticos de ciberseguridad.

Este cambio está enfocado en prevenir ataques que explotan enlaces maliciosos en libros de Excel, incluyendo técnicas de phishing avanzado y la descarga de cargas útiles maliciosas a través de referencias externas.

¿Cuándo se aplicará el bloqueo de enlaces externos en Excel?

Microsoft implementará esta actualización de manera gradual, comenzando en octubre de 2025 y completando el despliegue en julio de 2026. A partir de estas fechas, los libros de Excel que hagan referencia a archivos bloqueados mostrarán un error #BLOCKED o simplemente no se actualizarán, impidiendo que los usuarios interactúen con contenido potencialmente peligroso.

¿Qué tipos de archivos serán bloqueados?

Esta medida se centra en tipos de archivos de alto riesgo, tales como:

• Archivos adjuntos maliciosos
• Documentos que intentan redirigir al usuario a sitios de descarga de malware
• Tipos de archivo previamente identificados como vectores comunes de ataque en campañas de phishing y exploits
• También se incluyen los archivos recientemente agregados a la lista de tipos bloqueados en Outlook: .library-ms y .search-ms.

Nueva directiva FileBlockExternalLinks

El cambio será gestionado mediante una nueva directiva de grupo llamada FileBlockExternalLinks, la cual amplía la configuración de bloqueo de archivos existente para incluir vínculos a libros externos.

En la versión 2509 de Excel para Microsoft 365, los usuarios comenzarán a ver una barra de advertencia al abrir archivos que contengan enlaces a tipos de archivos bloqueados.

En la versión 2510, si la directiva no ha sido configurada por el administrador, los usuarios no podrán actualizar ni crear nuevas referencias a archivos bloqueados.

Citar"Si no se configura, ningún cambio entrará en vigor de inmediato. Sin embargo, desde octubre de 2025, el comportamiento predeterminado será bloquear todos los enlaces externos a tipos de archivo bloqueados por el Centro de confianza", informó Microsoft.

¿Qué pueden hacer los administradores de Microsoft 365?

Los administradores que deseen permitir temporalmente la actualización de enlaces externos pueden modificar manualmente el Registro de Windows:

HKCU\Software\Microsoft\Office\<versión>\Excel\Security\FileBlock\FileBlockExternalLinks

Microsoft ha proporcionado una guía completa en su documentación oficial para realizar esta configuración con seguridad.

Además, recomienda auditar todos los libros de Excel existentes y comunicar esta actualización a los usuarios que dependen de enlaces externos en flujos de trabajo críticos, con el fin de evitar interrupciones operativas.

Contexto: una estrategia integral de seguridad en Microsoft 365

Este anuncio forma parte de una estrategia de seguridad más amplia de Microsoft, que busca reducir la exposición de los usuarios a vectores de ataque comunes dentro de las aplicaciones de Office y Windows. Entre las medidas implementadas en los últimos años destacan:

• Bloqueo predeterminado de macros de VBA y XLM en Excel
• Eliminación progresiva de VBScript
• Bloqueo por defecto de complementos XLL no confiables
• Incorporación de la interfaz AMSI (Antimalware Scan Interface) para analizar y bloquear scripts maliciosos en tiempo real
• Expansión de los tipos de archivo bloqueados en Outlook

Estas acciones responden a un aumento en el uso de funcionalidades de Office como vector de ataque por parte de actores de amenazas persistentes (APT) y campañas masivas de distribución de malware.

Microsoft incentiva la ciberseguridad con recompensas de hasta $40,000

En paralelo a las nuevas políticas de bloqueo, Microsoft también anunció un incremento en los pagos por su programa de recompensas por vulnerabilidades, ofreciendo hasta $40,000 por fallos críticos detectados en tecnologías clave como .NET y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login Core. Esta iniciativa busca atraer a más investigadores de seguridad para fortalecer su ecosistema de software empresarial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ha dado un paso importante hacia la integración de herramientas avanzadas de ciberseguridad en su ecosistema con el lanzamiento de un nuevo marco de contenedorización para macOS Sequoia, anunciado durante la WWDC 2025. Esta nueva funcionalidad permite a los profesionales de seguridad informática y pentesters ejecutar distribuciones aisladas de Linux, como Kali Linux, directamente en dispositivos con Apple Silicon, utilizando contenedores virtualizados.

macOS Sequoia ahora soporta contenedores Linux: una alternativa a WSL2 en Mac

Inspirado en la experiencia que ofrece el Subsistema de Windows para Linux 2 (WSL2) de Microsoft, Apple ha desarrollado una solución similar que permite a los usuarios de macOS Sequoia ejecutar herramientas y entornos de Linux en contenedores virtualizados, sin necesidad de usar software de virtualización de terceros como Parallels o VMware.

Este avance representa una oportunidad valiosa para quienes trabajan en ciberseguridad ofensiva, análisis forense digital y pruebas de penetración, ya que podrán utilizar herramientas como Kali Linux de manera nativa en el entorno macOS, sin sacrificar recursos ni seguridad.

Acceder a archivos locales desde el contenedor de Kali Linux

Una de las funciones más útiles para los investigadores de ciberseguridad es la posibilidad de montar directorios locales dentro del contenedor, lo que facilita el análisis de archivos y scripts directamente desde el entorno Kali. Por ejemplo:

container run -v /ruta/local:/mnt/data --rm -it kalilinux/kali-rolling

Este comando monta la carpeta local especificada en el contenedor, permitiendo acceder a los archivos del sistema anfitrión desde dentro de Kali Linux.

Limitaciones del contenedor de Kali Linux en macOS Sequoia

Aunque esta funcionalidad representa un gran avance, también presenta ciertas limitaciones técnicas que los usuarios deben tener en cuenta:

Compatibilidad exclusiva con Apple Silicon: No funciona en dispositivos Mac con procesadores Intel.

Problemas de red conocidos: Según el equipo de desarrollo de Kali, en algunas configuraciones de macOS Sequoia 15, los contenedores pueden no obtener una dirección IP o carecer de acceso a red.

Citar"Actualmente existen algunas limitaciones conocidas de la contenedorización, especialmente con macOS Sequoia 15", advirtió el equipo de Kali. "Recomendamos seguir las directrices de Apple si se encuentra con estos problemas".

Restricción en el paso de hardware: Tareas avanzadas como la captura de paquetes con tarjetas de red USB o el uso de dispositivos específicos pueden no estar disponibles debido al aislamiento del contenedor respecto al hardware físico.

El experto en ciberseguridad Taha Ex enfatizó que algunos casos de uso avanzados de Kali Linux que requieren acceso directo al hardware no funcionarán con este método de contenedorización.

Ventajas para la ciberseguridad en entornos Apple

A pesar de estas restricciones, la posibilidad de ejecutar Kali Linux en macOS Sequoia sin necesidad de una máquina virtual completa representa una solución práctica y eficiente para los profesionales que trabajan en análisis de vulnerabilidades, auditorías de seguridad y test de intrusión desde equipos Mac.

La integración de esta capacidad en el ecosistema de Apple posiciona a macOS Sequoia como un sistema más amigable para profesionales de la ciberseguridad, mejorando la interoperabilidad entre plataformas y reduciendo la dependencia de herramientas externas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha publicado este domingo una actualización de seguridad crítica para SharePoint Server local, corrigiendo una vulnerabilidad activamente explotada que permite ejecución remota de código (RCE) mediante la deserialización de datos no confiables. Identificada como CVE-2025-53770, esta falla cuenta con una puntuación CVSS de 9.8, lo que la clasifica como una amenaza de alta severidad.

Según el aviso oficial, Microsoft confirmó que tiene conocimiento de ataques activos dirigidos a clientes empresariales que utilizan versiones locales de SharePoint Server vulnerables.

CVE-2025-53771: Nueva vulnerabilidad de suplantación de identidad en SharePoint

Además de la RCE, Microsoft también reveló una segunda vulnerabilidad etiquetada como CVE-2025-53771 (CVSS 6.3), relacionada con suplantación de identidad (spoofing) a través de un recorrido de ruta no restringido.

Citar"La validación incorrecta de rutas en Microsoft SharePoint permite a atacantes autenticados realizar suplantación dentro de la red local", explicó la compañía en su boletín de seguridad publicado el 20 de julio de 2025.

Ambas vulnerabilidades afectan únicamente a SharePoint Server on-premises, sin impacto en Microsoft 365 o SharePoint Online.

ToolShell: cadena de exploits activa y encadenada

Microsoft indicó que CVE-2025-53770 y CVE-2025-53771 están relacionadas con otras dos fallas anteriores: CVE-2025-49704 y CVE-2025-49706, ya documentadas.

Estas vulnerabilidades pueden ser encadenadas como parte de un ataque avanzado llamado ToolShell, que permite ejecución remota de código e infiltración persistente. La compañía ya ha lanzado parches con protecciones más robustas como parte del ciclo de actualizaciones de seguridad de julio de 2025.

Versiones de SharePoint Server afectadas y actualizadas

Las siguientes versiones locales de SharePoint Server ya cuentan con correcciones disponibles:

• SharePoint Server 2019 (16.0.10417.20027)
• SharePoint Server 2016 (16.0.5508.1000)
• SharePoint Subscription Edition (SE)
• SharePoint Server 2019 Core

Microsoft recomienda aplicar los últimos parches de seguridad y rotar las claves You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login de SharePoint tras la instalación, además de reiniciar IIS en todos los servidores.

Ataques activos: más de 50 organizaciones comprometidas
La firma de ciberseguridad Eye Security reportó que al menos 54 entidades han sido comprometidas, incluyendo:

• Bancos
• Universidades
• Gobiernos
• Organizaciones de salud y hospitales

Los ataques comenzaron el 18 de julio de 2025, y han sido lo suficientemente graves como para que la CISA (Agencia de Seguridad de Infraestructura de EE. UU.) incluya CVE-2025-53770 en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), obligando a las agencias federales a aplicar el parche antes del 21 de julio.

Palo Alto Networks alerta sobre ataques persistentes y robo de datos

Unit 42, el equipo de inteligencia de amenazas de Palo Alto Networks, confirmó que los atacantes están:

• Eludiendo controles de identidad como MFA y SSO
• Robando claves criptográficas
• Instalando backdoors persistentes
• Exfiltrando datos confidenciales

"Si tiene un servidor de SharePoint local expuesto a Internet, debe asumir que ya ha sido comprometido", advirtió Michael Sikorski, CTO de Unit 42. "El simple parcheo no es suficiente. Se recomienda cortar inmediatamente el acceso a Internet hasta aplicar medidas completas de mitigación".

Medidas de mitigación recomendadas por Microsoft

Para proteger los entornos empresariales, Microsoft recomienda:

• Ejecutar versiones soportadas de SharePoint Server (2016, 2019 o Subscription Edition)
• Aplicar todas las actualizaciones de seguridad de julio 2025
• Activar la Interfaz de examen antimalware (AMSI) en modo completo
• Utilizar soluciones de seguridad como Microsoft Defender for Endpoint
• Rotar las claves de máquina You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login tras cada parche crítico
• Reiniciar IIS después de realizar cambios de seguridad

Amenaza crítica exige acción inmediata

El descubrimiento y explotación activa de CVE-2025-53770 y CVE-2025-53771 subrayan la urgente necesidad de reforzar la seguridad en servidores locales de SharePoint. Dado el impacto en sectores críticos y la posibilidad de movimiento lateral hacia otros servicios Microsoft (Teams, OneDrive, Outlook, Office 365), se recomienda actuar con rapidez:

• Aplicar los parches sin demora
• Auditar claves crip
• Desconectar servidores expuestos si no hay parche aún implementadotográficas y credenciales
• Supervisar actividad inusual en SharePoint

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Expertos en ciberseguridad han descubierto una nueva técnica de ataque que permite a los ciberatacantes degradar la seguridad de las claves FIDO2, eludiendo sus protecciones resistentes al phishing. Este ataque AitM (Adversary-in-the-Middle) aprovecha el inicio de sesión entre dispositivos (cross-device authentication) para engañar a los usuarios y hacer que aprueben sesiones maliciosas sin darse cuenta.

¿Qué son las claves FIDO y por qué son clave en la protección contra el phishing?

Las claves FIDO (Fast IDentity Online) son autenticadores físicos o basados en software diseñados para ofrecer una autenticación sin contraseña mediante criptografía de clave pública y privada. Se utilizan para vincular inicios de sesión a dominios específicos, eliminando así el riesgo de phishing.

Sin embargo, esta nueva campaña demuestra que, si bien FIDO es resistente al phishing, puede ser vulnerable si se abusa de funciones legítimas mal implementadas.

PoisonSeed: el actor de amenazas detrás del ataque

El ataque ha sido atribuido al grupo PoisonSeed, según el informe de los investigadores Ben Nahorney y Brandon Overstreet de Expel. Este actor ya era conocido por:

• Enviar campañas de spam masivo con frases relacionadas a criptomonedas
• Vaciar billeteras digitales tras comprometer cuentas
• Abusar de herramientas de CRM y servicios de email marketing

Cómo funciona el ataque: explotación del flujo de autenticación FIDO entre dispositivos

El ataque se desarrolla a través de una cadena de pasos cuidadosamente orquestados:

• Phishing: La víctima recibe un correo electrónico que la dirige a un portal falso de inicio de sesión (por ejemplo, Okta).
• Robo de credenciales: El sitio clonado recoge el usuario y contraseña y los envía al portal real.
• Código QR: El portal legítimo responde con un código QR para autenticación híbrida FIDO2.
• Ataque AitM: El sitio de phishing transmite ese QR a la víctima, quien lo escanea con su autenticador (como una app móvil).
• Acceso no autorizado: Al completar la autenticación, los atacantes obtienen acceso total a la cuenta.

Citar"Los atacantes están abusando del método de transporte híbrido entre dispositivos en FIDO2. Aunque el protocolo es seguro, la implementación flexible sin verificación de proximidad —como Bluetooth— permite esta degradación", explicó Expel

.

Limitaciones del ataque: entornos que están protegidos[/b]

Este tipo de ataque no es efectivo en todos los entornos. Específicamente, no funciona cuando:

• El inicio de sesión exige verificación de proximidad física (Bluetooth, NFC)
• Se utilizan claves FIDO conectadas por USB directamente al dispositivo
• El entorno emplea autenticadores de plataforma vinculados al navegador o al sistema, como Face ID en el mismo dispositivo

Casos adicionales: inscripción maliciosa de claves FIDO

Expel también detectó un incidente separado en el que, tras comprometer una cuenta con phishing, un atacante registró su propia clave FIDO y restableció la contraseña del usuario. Esto otorga persistencia al atacante, incluso si el usuario recupera su acceso.

Recomendaciones para empresas y usuarios

Para prevenir ataques AitM y degradaciones de autenticación FIDO, los expertos recomiendan:

• Evitar el inicio de sesión entre dispositivos sin validación de proximidad.
• Requerir autenticadores FIDO2 conectados al mismo dispositivo de inicio de sesión.
• Implementar alertas para nuevos registros de claves de acceso y autenticaciones con código QR.
• Mostrar detalles clave en pantallas de inicio de sesión, como ubicación, tipo de dispositivo y advertencias claras.
• Aplicar métodos de recuperación de cuenta resistentes al phishing.

FIDO sigue siendo seguro, pero depende de una implementación rigurosa

Este nuevo ataque no se basa en una falla del protocolo FIDO, sino en el abuso de una función legítima mal asegurada. La seguridad de la autenticación sin contraseña FIDO2 sigue siendo sólida, pero debe ir acompañada de controles que impidan su uso indebido.

Citar"Los ataques AitM contra claves FIDO son parte de una evolución constante entre atacantes y defensores. La clave está en fortalecer los controles contextuales, incluso en los flujos de recuperación de cuenta", concluyeron los investigadores.

Fortalece tu autenticación FIDO2 hoy

El hallazgo demuestra que incluso tecnologías resistentes al phishing como FIDO2 pueden ser vulnerables si se dejan puntos débiles abiertos, como el inicio de sesión entre dispositivos sin controles adecuados. Las organizaciones deben implementar estrategias defensivas proactivas para prevenir la ingeniería social avanzada y ataques de intermediario (AitM) que comprometan sus sistemas de autenticación.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Veeam, líder mundial en soluciones de copia de seguridad y recuperación ante desastres, ha emitido una advertencia importante para los usuarios de Veeam Recovery Orchestrator (VRO). Una versión recientemente publicada, VRO 7.2.1.286, contiene un fallo de autenticación multifactor (MFA) que bloquea el acceso a la interfaz de usuario web, imposibilitando iniciar sesión después de habilitar esta capa de seguridad.

¿Qué es Veeam Recovy Orchesertrator?
Veeam Recovery Orchestrator (VRO) es una solución empresarial avanzada para la orquestación automatizada de la recuperación ante desastres (DR). Permite a las organizaciones crear, probar, documentar y ejecutar planes de recuperación de forma confiable frente a:

• Pérdida de datos
• Fallos de sitios
• Ataques de ransomware
• Cortes de energía o desastres naturales

Este tipo de herramientas es clave para garantizar la continuidad del negocio en entornos empresariales.

Detalles del error: qué versiones de VRO están afectadas

Según el aviso oficial publicado por Veeam el lunes, el problema afecta específicamente a la compilación 7.2.1.286, disponible para descarga entre el 8 y el 17 de julio de 2025.

Citar"Después de habilitar MFA dentro de Veeam Recovery Orchestrator, ya no es posible intentar iniciar sesión en la interfaz de usuario web", advirtió Veeam.

Este bloqueo del inicio de sesión ocurre inmediatamente después de habilitar la autenticación multifactor (MFA), dejando a los administradores sin acceso al entorno web.

Solución disponible: no revertir, contactar con soporte técnico

Aunque Veeam lanzó la versión 7.2.1.290 para corregir este fallo, la empresa desaconseja instalar esta nueva versión directamente si ya tienes instalada la build defectuosa 7.2.1.286.

Citar"Los clientes que instalaron Veeam Recovery Orchestrator build 7.2.1.286 no deben instalar 7.2.1.290 ni revertir su actualización, y en su lugar se les anima a ponerse en contacto con el soporte técnico para obtener una solución específica que resuelva este problema", señaló la empresa.

Problemas adicionales: error de conexión en Windows 11 24H2

Además del fallo de MFA, Veeam está investigando un problema de compatibilidad con Windows 11 versión 24H2. El error se presenta al intentar restaurar desde Veeam Recovery Media, provocando fallos de conexión de red.

Posible causa: actualización de Windows KB5051987

La raíz del problema aún no se ha confirmado, pero los primeros análisis de Veeam apuntan a un cambio introducido por la actualización de febrero de 2025 de Windows 11 (KB5051987).

CitarEn los sistemas afectados, Veeam Agent para Windows no puede establecer conexión con el servidor de respaldo Veeam Backup & Replication ni con recursos de red SMB, impidiendo la restauración de archivos desde entornos de recuperación.

Veeam: más de 550.000 clientes y líder en protección de datos empresariales

Los productos de Veeam Software son utilizados por más de 550.000 empresas en todo el mundo, incluyendo:

• El 67% de las empresas Global 2000
• El 77% de las compañías de la lista Fortune 500

Esta adopción masiva subraya la importancia de resolver estos problemas críticos de recuperación de datos y seguridad, especialmente en entornos donde la confiabilidad es vital.

Recomendaciones clave para los administradores de Veeam

• No intentes reinstalar o revertir VRO 7.2.1.286 por tu cuenta.
• Contacta con el soporte técnico de Veeam para aplicar una solución validada.
• Verifica tu entorno Windows 11 si usas Veeam Recovery Media y esperas una restauración fiable.
• Mantén tus productos actualizados, pero revisa siempre los avisos de compatibilidad antes de aplicar nuevas versiones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

ExpressVPN, uno de los proveedores líderes en servicios de VPN seguros y sin registros, ha solucionado una vulnerabilidad grave en su cliente de Windows que permitía que el tráfico del Protocolo de Escritorio Remoto (RDP) eludiera el túnel VPN. Este fallo de seguridad ponía en riesgo la privacidad del usuario, ya que exponía su dirección IP real, comprometiendo el anonimato que una VPN promete.

¿Qué provocó la vulnerabilidad de ExpressVPN?

El 25 de abril de 2025, un investigador de seguridad conocido como "Adam-X" reportó el fallo a través del programa de recompensas de errores de ExpressVPN. La vulnerabilidad afectaba el tráfico RDP y otros protocolos TCP que utilizan el puerto 3389, permitiendo que estos datos no se enrutaran por el túnel VPN como corresponde.

Causa del fallo

ExpressVPN identificó que el problema surgió debido a la inclusión accidental de código de depuración en versiones de producción, específicamente desde la versión 12.97 hasta la versión 12.101.0.2-beta. Este código estaba destinado solo a pruebas internas.

Citar"Si un usuario establecía una conexión usando RDP, ese tráfico podía eludir el túnel VPN", explicó ExpressVPN en su comunicado oficial.

Aunque el cifrado VPN no se vio comprometido, el fallo permitió que observadores como proveedores de servicios de Internet (ISP) o usuarios en la misma red pudieran ver que el usuario estaba conectado a ExpressVPN y, además, a qué servidores remotos accedía mediante RDP.

Actualización crítica de seguridad para usuarios de ExpressVPN

El 18 de junio de 2025, ExpressVPN lanzó la versión 12.101.0.45, que incluye un parche que corrige esta fuga de IP.

¿Quiénes fueron afectados?

Según la empresa, el impacto real fue limitado, ya que el uso de RDP (Remote Desktop Protocol) es más común entre administradores de TI y empresas, y no entre los usuarios individuales que conforman la mayoría de su base de clientes.

Citar"Este problema habría afectado más comúnmente a usuarios que usan activamente RDP, un protocolo que generalmente no es utilizado por consumidores típicos", explicó ExpressVPN.

Aun así, se recomienda encarecidamente a todos los usuarios de Windows actualizar su cliente VPN a la última versión para garantizar la máxima protección y privacidad.

Medidas futuras de seguridad por parte de ExpressVPN

En respuesta a esta vulnerabilidad, ExpressVPN anunció que implementará mejoras en sus procesos internos, como:

• Fortalecimiento de sus verificaciones de compilación.
• Automatización avanzada en las pruebas de desarrollo.
• Revisión más estricta del código antes de ser incluido en versiones de producción.

No es la primera vez: ExpressVPN ya enfrentó otra fuga en 2024
Esta no es la primera vez que ExpressVPN enfrenta una fuga de datos. En 2024, se detectó una fuga de solicitudes DNS al activar la función de "túnel deslizante" en el cliente de Windows. La función fue deshabilitada temporalmente hasta que se lanzó una versión corregida.

Mantén tu ExpressVPN actualizado

Si eres usuario de ExpressVPN en Windows, es fundamental que actualices a la versión 12.101.0.45 o superior para evitar cualquier riesgo de fuga de IP mediante RDP. Aunque el riesgo fue clasificado como bajo, mantener tu software VPN actualizado es clave para garantizar tu anonimato en línea, protección de datos y una experiencia de navegación segura.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han revelado una grave vulnerabilidad en el framework Laravel, que permite la ejecución remota de código (RCE) cuando su clave APP_KEY es expuesta. Esta falla crítica se debe a problemas de deserialización combinados con malas prácticas de gestión de secretos, lo que representa una amenaza significativa para la seguridad de miles de aplicaciones web.

¿Qué es APP_KEY y por qué es tan importante en Laravel?

La APP_KEY es una cadena de 32 bytes generada aleatoriamente durante la instalación de Laravel. Se utiliza para:

• Cifrar y descifrar datos confidenciales
• Generar tokens seguros
• Firmar cookies de sesión
• Proteger integridad de datos

Se almacena en el archivo .env, junto a otros secretos sensibles como credenciales de bases de datos o tokens de API. Por tanto, la exposición de esta clave compromete toda la seguridad criptográfica de la aplicación.

Exposición masiva de APP_KEYs en GitHub

De acuerdo con un informe de GitGuardian, en colaboración con Synacktiv, se han recopilado más de 260,000 APP_KEYs filtradas en GitHub desde 2018 hasta mayo de 2025. De estas, más de 10,000 claves fueron únicas y 400 fueron validadas como funcionales, permitiendo la explotación directa de aplicaciones activas.

Entre los hallazgos más preocupantes:

• Más de 600 aplicaciones Laravel vulnerables a ataques RCE confirmadas
• 28,000 pares APP_KEY + APP_URL expuestos simultáneamente
• 120 aplicaciones con claves válidas y accesibles, vulnerables a ataques triviales

La combinación de APP_KEY y APP_URL permite a los atacantes apuntar directamente a la aplicación, obtener cookies de sesión cifradas y descifrarlas para obtener acceso privilegiado.

Deserialización insegura y ejecución remota de código

El origen de la vulnerabilidad está en cómo Laravel maneja la función decrypt(). Al descifrar datos, Laravel deserializa automáticamente la información, lo que abre la puerta a la ejecución de código si el contenido ha sido manipulado maliciosamente.

Citar"Si un atacante tiene acceso a APP_KEY y puede invocar la función decrypt() con una carga útil manipulada, puede ejecutar código arbitrario en el servidor web", explicó Guillaume Valadon, investigador de seguridad.

Este vector de ataque fue identificado inicialmente como CVE-2018-15133, que afecta a versiones anteriores a Laravel 5.6.30. Sin embargo, la amenaza sigue presente en versiones más recientes cuando los desarrolladores utilizan configuraciones como SESSION_DRIVER=cookie, como lo evidencia la vulnerabilidad CVE-2024-55556.

AndroxGh0st y ataques en la vida real

La vulnerabilidad no es teórica. Ha sido explotada activamente por grupos maliciosos, como los asociados con el malware AndroxGh0st, que escanean Internet en busca de archivos .env mal configurados y con claves expuestas.

Un análisis detallado muestra que:

• El 63% de las exposiciones de APP_KEY provienen directamente de archivos .env
• Estos archivos también contienen otros secretos como:
• Tokens de almacenamiento en la nube
• Credenciales de bases de datos
• API Keys de servicios de IA y comercio electrónico

Ecosistema en riesgo: secretos en contenedores y DockerHub

El problema no se limita a Laravel. GitGuardian también ha detectado 100,000 secretos válidos en imágenes públicas de Docker en DockerHub, incluyendo credenciales de:

• Amazon Web Services (AWS)
• Google Cloud Platform
• GitHub
• CircleCI
• Claves API y tokens JWT

Un análisis de Binarly en más de 80,000 imágenes únicas reveló 644 secretos únicos expuestos, abarcando múltiples organizaciones y servicios. La presencia de repositorios Git completos dentro de imágenes de contenedores agrava aún más el riesgo.

Recomendaciones clave para desarrolladores y equipos de seguridad

GitGuardian subraya que eliminar una clave comprometida del repositorio no es suficiente. Si el repositorio fue clonado o almacenado por herramientas de terceros, el secreto sigue en riesgo.

Medidas recomendadas:

• Rotar inmediatamente cualquier APP_KEY comprometida.
• Actualizar todos los entornos de producción con la nueva clave.
• Implementar un sistema de monitoreo de secretos continuo.
• Configurar correctamente SESSION_DRIVER para evitar el uso inseguro de cookies serializadas.
• Eliminar archivos .env sensibles de las imágenes de Docker.
• Aplicar herramientas como phpggc para probar vulnerabilidades de deserialización en entornos controlados.
• Adoptar un enfoque de seguridad por diseño, incluyendo guías específicas para Laravel y otras plataformas populares.

Nuevas amenazas: MCP y filtraciones en aplicaciones de IA

La adopción acelerada del Modelo de Contexto de Protocolo (MCP) en aplicaciones de IA corporativas también ha introducido nuevos vectores de ataque. GitGuardian identificó que el 5,2% de los repositorios con MCP publicados en GitHub filtraron al menos un secreto, superando el promedio global del 4,6%.

Este descubrimiento posiciona a los servidores MCP como una nueva fuente de filtración de secretos, especialmente relevantes para flujos de trabajo agentivos en entornos de inteligencia artificial empresarial.

En fin, la exposición de APP_KEYs en Laravel no es solo una mala práctica, sino una amenaza crítica que permite la ejecución remota de código, comprometiendo datos sensibles, infraestructura y modelos de negocio. La magnitud de las filtraciones en GitHub, DockerHub y servidores MCP demuestra que la gestión de secretos debe ser una prioridad absoluta en cualquier estrategia de ciberseguridad.

Para proteger tus aplicaciones Laravel y demás servicios, es esencial combinar rotación activa de claves, monitoreo continuo de secretos, configuración segura de entornos y concienciación de los equipos de desarrollo. Solo así se puede reducir significativamente el riesgo ante ataques sofisticados como los descritos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

NVIDIA ha emitido una advertencia urgente a sus clientes sobre una nueva variante del ataque RowHammer, denominada GPUHammer, que compromete la integridad de sus unidades de procesamiento gráfico (GPU), afectando directamente la precisión de los modelos de inteligencia artificial (IA). La compañía insta a los usuarios a habilitar los códigos de corrección de errores (ECC) a nivel de sistema como medida de defensa.

¿Qué es GPUHammer y por qué representa una amenaza?

GPUHammer es el primer exploit conocido de tipo RowHammer dirigido específicamente a GPUs, demostrado en modelos como la NVIDIA A6000 con memoria GDDR6. Este ataque permite que usuarios maliciosos manipulen la memoria compartida de una GPU para modificar datos almacenados por otros usuarios, todo sin acceso directo a sus cargas de trabajo.

En una prueba realizada por investigadores de la Universidad de Toronto, se comprobó que un solo cambio de bit podía reducir la precisión de un modelo de IA de ImageNet del 80% al 0,1%. Esto convierte a GPUHammer no solo en una amenaza para la seguridad, sino en una vulnerabilidad crítica para la fiabilidad de los modelos de IA.

RowHammer: de la DRAM a la GPU

RowHammer es una vulnerabilidad a nivel de hardware que afecta a la memoria DRAM. Mediante accesos repetitivos a una fila de memoria, un atacante puede provocar interferencias eléctricas que alteran los bits en filas adyacentes. A diferencia de Spectre y Meltdown, que explotan fallos en la ejecución especulativa de CPUs, RowHammer actúa directamente sobre el comportamiento físico de la memoria.

En 2022, investigadores de la Universidad de Michigan y Georgia Tech combinaron RowHammer y Spectre en un ataque denominado SpecHammer, capaz de insertar valores maliciosos en la memoria de un dispositivo víctima mediante cambios de bits, facilitando así ataques especulativos.

GPUHammer extiende esta técnica a las GPUs, incluso en presencia de mitigaciones tradicionales como Target Row Refresh (TRR), exponiendo una nueva superficie de ataque poco explorada hasta ahora.

Impacto en la inteligencia artificial y el aprendizaje automático

El principal objetivo de GPUHammer es corromper modelos de red neuronal profunda (DNN) sin alterar los datos de entrada. Esta manipulación subrepticia puede degradar drásticamente la precisión de modelos de IA, afectando aplicaciones críticas como:

• Vehículos autónomos
• Motores de detección de fraudes
• Diagnóstico médico asistido por IA
• Plataformas de IA periférica

En entornos de GPU compartidas, como servicios en la nube o infraestructuras de escritorio virtual (VDI), un atacante podría explotar GPUHammer para afectar cargas de trabajo adyacentes, introduciendo riesgos entre inquilinos que no suelen contemplarse en los esquemas de seguridad actuales.

Mitigaciones recomendadas por NVIDIA

Para reducir el riesgo de ataques GPUHammer, NVIDIA recomienda habilitar ECC mediante el comando:


Y verificar su estado con:


La activación de ECC permite detectar y corregir errores de memoria causados por fluctuaciones de voltaje o manipulaciones intencionadas. Sin embargo, esta protección puede conllevar:

• Hasta un 10% de ralentización en cargas de inferencia
• Reducción del 6,25% en capacidad de memoria disponible

Por ello, se sugiere habilitar ECC selectivamente en nodos de entrenamiento o tareas de alto riesgo. Además, se recomienda supervisar registros del sistema como /var/log/syslog o dmesg en busca de errores corregidos que puedan indicar intentos de explotación en curso.

Cabe destacar que las GPUs más recientes, como la NVIDIA H100 o la RTX 5090, integran ECC en el chip, ofreciendo protección nativa frente a ataques de esta clase.

Riesgos regulatorios y de cumplimiento

La corrupción silenciosa de modelos de IA mediante ataques de inversión de bits plantea graves riesgos regulatorios, especialmente en sectores como:

• Sanidad
• Finanzas
• Defensa
• Sistemas autónomos

Una inferencia errónea causada por un modelo dañado podría infringir normativas de seguridad, integridad de datos y explicabilidad, reguladas por estándares como ISO/IEC 27001 o la Ley de IA de la Unión Europea. Por ello, las organizaciones que dependen intensamente de GPUs deben considerar la memoria de GPU como parte esencial de su postura de seguridad y auditoría.

CrowHammer y ataques poscuánticos

El descubrimiento de GPUHammer coincide con otra investigación avanzada: CrowHammer, una variante de RowHammer presentada por investigadores de NTT Social Informatics Laboratories y CentraleSupelec. Este ataque permite comprometer FALCON (FIPS 206), un esquema de firma digital poscuántico seleccionado por el NIST para su estandarización.

Según el estudio, un solo cambio de bit en la tabla de distribución de Falcon puede sesgar la salida lo suficiente como para permitir la recuperación completa de la clave criptográfica, exponiendo incluso algoritmos diseñados para resistir la computación cuántica.

En fin, GPUHammer representa una nueva clase de amenazas de hardware, dirigidas no solo a vulnerar sistemas, sino a socavar la integridad fundamental de los modelos de inteligencia artificial. Su aparición debe servir como una alerta para todos los sectores que dependen de GPUs para sus operaciones críticas.

La habilitación de ECC, la segmentación de cargas de trabajo y la inclusión de la memoria GPU en auditorías de seguridad son pasos esenciales para proteger los modelos de IA frente a manipulaciones invisibles. A medida que la IA continúa expandiéndose, la seguridad de la infraestructura que la sustenta se vuelve más crucial que nunca.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una grave vulnerabilidad de seguridad ha sido descubierta en McHire, la plataforma impulsada por inteligencia artificial que McDonald's utiliza para gestionar solicitudes de empleo en sus restaurantes. El fallo, identificado por los investigadores de ciberseguridad Ian Carroll y Sam Curry, expuso transcripciones de chats, tokens de sesión y datos personales de más de 64 millones de postulaciones en Estados Unidos.

¿Qué es McHire y cómo funciona?

McHire es una plataforma desarrollada por la empresa You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, utilizada por aproximadamente el 90% de los franquiciados de McDonald's. Su propósito es simplificar el proceso de contratación mediante un chatbot conversacional llamado Olivia, que interactúa con los aspirantes y recopila información como:

• Nombre completo
• Dirección de correo electrónico
• Número telefónico
• Dirección residencial
• Disponibilidad laboral
• Resultados de una prueba de personalidad

Este sistema ha sido adoptado masivamente debido a su eficiencia, pero la reciente brecha de seguridad pone en duda su fiabilidad en términos de protección de datos.

Detalles técnicos de la vulnerabilidad

Los investigadores descubrieron que la interfaz de administración de McHire vinculada a una franquicia de prueba utilizaba credenciales extremadamente débiles: el nombre de usuario y la contraseña eran ambos "123456". Una vez autenticados, Carroll y Curry enviaron una solicitud de empleo simulada a través del chatbot Olivia para estudiar cómo se manejaban los datos.

Durante la prueba, observaron que las solicitudes HTTP se enviaban a un punto final de API:
/api/lead/cem-xhr,

utilizando un parámetro lead_id (identificador del solicitante). Al modificar este número —incrementándolo o reduciéndolo— descubrieron que podían acceder a otras transcripciones de chat y datos confidenciales de postulantes reales, sin ninguna validación de permisos.

Este tipo de vulnerabilidad es conocido como IDOR (Insecure Direct Object Reference), una falla común pero crítica que ocurre cuando una aplicación expone identificadores internos sin verificar si el usuario tiene permiso para acceder a esos datos.

Citar"Durante una revisión superficial de seguridad de solo unas horas, identificamos dos problemas graves: el uso de credenciales predeterminadas en el panel de administración, y una referencia directa de objeto insegura en una API interna que nos permitía acceder a cualquier contacto y chat que quisiéramos", explicó Carroll.

¿Qué datos estuvieron expuestos?

El acceso indebido permitía obtener:

• Transcripciones completas del chat entre el candidato y el chatbot Olivia
• Tokens de sesión
• Información personal proporcionada por los usuarios
• Interacciones como clics en botones, incluso si no se ingresó información adicional

Aunque You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login aclaró que no todos los registros contenían datos personales, el riesgo fue considerable debido al volumen masivo de solicitudes comprometidas.

Línea de tiempo y respuesta

• 30 de junio de 2025: Los investigadores reportaron la falla a McDonald's y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.
• 1 hora después: McDonald's reconoció el informe y ordenó desactivar las credenciales predeterminadas.
• Ese mismo día: Paradox aplicó una solución inmediata para mitigar la vulnerabilidad IDOR.

En declaraciones a Wired, McDonald's expresó su descontento:

Citar"Estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo. Tan pronto como nos enteramos del problema, exigimos su corrección inmediata. Paradox resolvió la falla el mismo día en que fue reportada."

Medidas tomadas y próximos pasos

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ha implementado medidas adicionales para reforzar la seguridad de la plataforma y evitar que este tipo de incidentes vuelva a ocurrir. La empresa también anunció una revisión exhaustiva de su infraestructura, así como mejoras en los mecanismos de autenticación y autorización.

Además, se aclaró que las "64 millones de solicitudes" no equivalen a 64 millones de personas únicas, sino al número total de interacciones o intentos de aplicación registrados por la plataforma.

Reflexiones sobre la ciberseguridad en plataformas de empleo

Este incidente pone en relieve varios temas críticos:

• La importancia de evitar credenciales predeterminadas en entornos de producción
• La necesidad de implementar validación de acceso robusta en APIs
• La responsabilidad compartida entre proveedores tecnológicos y las empresas que los contratan
• La urgencia de realizar auditorías de seguridad periódicas, incluso para herramientas de automatización

En fin, la vulnerabilidad descubierta en McHire subraya los peligros de una configuración inadecuada de seguridad, especialmente en plataformas que manejan información altamente sensible. Aunque la falla fue mitigada con rapidez, su existencia inicial demuestra la necesidad de mayor vigilancia, control de calidad y auditorías independientes para garantizar la privacidad de los usuarios.

Tanto las empresas tecnológicas como los grandes corporativos deben comprometerse a implementar estándares estrictos de ciberseguridad. En un mundo donde cada clic puede significar una exposición de datos, no hay lugar para contraseñas como "123456".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google Gemini, el asistente de inteligencia artificial integrado en Workspace, está siendo explotado por actores maliciosos para generar resúmenes de correos electrónicos aparentemente legítimos que contienen advertencias o instrucciones falsas. Esta sofisticada técnica de phishing sin enlaces ni archivos adjuntos se basa en el uso de inyecciones rápidas (prompt injections) diseñadas para manipular la interpretación del contenido por parte del modelo de IA.

Inyecciones indirectas: el nuevo vector de ataque en correos electrónicos

El ataque consiste en incrustar comandos maliciosos invisibles dentro de un correo electrónico, los cuales Gemini interpreta y obedece al generar el resumen del mensaje. Estos comandos están ocultos mediante técnicas de HTML y CSS que reducen el tamaño de fuente a cero y cambian el color del texto a blanco, volviéndolos invisibles para el usuario en la interfaz de Gmail. Dado que el mensaje no incluye enlaces ni archivos adjuntos, es más probable que pase los filtros de spam y llegue directamente a la bandeja de entrada.

Cuando el destinatario abre el correo electrónico y solicita un resumen a través de Gemini, el modelo analiza todo el contenido, incluidas las instrucciones ocultas. Como resultado, el resumen puede contener advertencias falsas, como mensajes de seguridad que alertan sobre una supuesta filtración de contraseña o invitan a llamar a un número de soporte técnico fraudulento.

Caso revelado por el programa 0din de Mozilla

El ataque fue descubierto por Marco Figueroa, investigador y gerente del programa de recompensas por errores de IA generativa en Mozilla, a través del programa 0din, una iniciativa enfocada en identificar vulnerabilidades en modelos de inteligencia artificial.

Figueroa demostró cómo un correo con una directiva oculta podía manipular a Gemini para mostrar un mensaje de advertencia que alertaba falsamente sobre un compromiso en la cuenta de Gmail del usuario. En su demostración, Gemini incluso proporcionaba un número de teléfono falso para "soporte técnico", haciendo que el ataque se asemejara a una comunicación oficial de Google.

Este hallazgo demuestra cómo los atacantes pueden aprovechar la confianza de los usuarios en herramientas automatizadas de IA para facilitar ataques de ingeniería social altamente convincentes.

Medidas de detección y mitigación recomendadas

El investigador propuso varias estrategias para mitigar esta amenaza emergente:

1. Neutralización del contenido oculto

Los equipos de seguridad pueden implementar filtros que eliminen o ignoren cualquier contenido que utilice estilos CSS para ocultarse en el cuerpo del correo. Esto reduciría la posibilidad de que Gemini procese instrucciones maliciosas sin el conocimiento del usuario.

2. Escaneo del contenido generado

Se sugiere aplicar un sistema de posprocesamiento sobre los resúmenes generados por Gemini. Este sistema debería analizar la salida en busca de mensajes urgentes, números de teléfono o direcciones URL sospechosas. Cualquier contenido que cumpla estos criterios puede marcarse para revisión manual.

3. Concienciación del usuario

Es fundamental que los usuarios comprendan que los resúmenes generados por IA no deben considerarse autorizaciones oficiales de seguridad. Las alertas legítimas sobre contraseñas, accesos no autorizados o actividad sospechosa deben verificarse siempre a través de canales oficiales de Google o del equipo de TI de la organización.

La respuesta de Google

En respuesta a las consultas realizadas por el medio especializado BleepingComputer, un portavoz de Google confirmó que la compañía está al tanto de la investigación y aseguró que se están implementando medidas para fortalecer la protección contra ataques de inyección rápida.

"Estamos constantemente fortaleciendo nuestras defensas mediante ejercicios de equipo rojo que entrenan a nuestros modelos contra ataques adversarios", señaló un vocero de Google.

Asimismo, el portavoz indicó que algunas de las mitigaciones ya están en proceso de implementación o se desplegarán en breve. Según Google, no existen hasta ahora evidencias concretas de que este tipo de manipulación se haya producido en entornos reales fuera del entorno de prueba descrito por Figueroa.

En fin, el uso malicioso de Google Gemini para Workspace representa una evolución significativa en las tácticas de phishing. Al explotar la confianza depositada en los sistemas de IA, los atacantes pueden ejecutar campañas altamente efectivas sin recurrir a métodos tradicionales como archivos maliciosos o enlaces de phishing.

Las empresas y usuarios deben estar alerta ante esta amenaza emergente, implementar filtros proactivos y educar a los empleados sobre los riesgos de confiar ciegamente en herramientas automatizadas de resumen de contenido. La ciberseguridad en la era de la inteligencia artificial requiere no solo tecnología avanzada, sino también una mentalidad crítica y defensas en múltiples niveles.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

AT&T ha lanzado oficialmente su nueva función de seguridad "Wireless Lock", diseñada para proteger a los usuarios frente a los crecientes y sofisticados ataques de intercambio de SIM (SIM swapping). Esta medida de protección evita que se realicen cambios no autorizados en las cuentas, incluida la portabilidad de números telefónicos, mientras la función está activada.

¿Qué es Wireless Lock y cómo protege tu número de teléfono?

Wireless Lock permite a los clientes de AT&T bloquear su número de teléfono directamente desde la aplicación móvil o el portal web de la compañía. Una vez activado, el sistema impide:

• Transferencias del número a otra tarjeta SIM.
• Cambios de proveedor (portabilidad).
• Modificaciones en la información de facturación.
• Alteraciones de usuarios autorizados.
• Cambios en los números de teléfono asociados a la cuenta.

Este nivel de protección se aplica incluso ante intentos de modificación realizados por empleados de AT&T, lo que añade una capa adicional de defensa contra fraudes internos y externos. Para desactivar la función, es necesario que el titular de la cuenta inicie sesión y lo haga manualmente.

Una respuesta tardía pero necesaria a un problema crítico

Aunque Wireless Lock ya estaba disponible para algunos usuarios desde hace casi un año, AT&T ha comenzado su implementación generalizada para todos los clientes. Sin embargo, la compañía ha sido criticada por su demora en adoptar esta funcionalidad, considerando que Verizon y otros operadores ya contaban con herramientas similares desde hace más de cinco años.

¿Qué es un ataque de intercambio de SIM?

Los ataques de intercambio de SIM (también conocidos como SIM hijacking) ocurren cuando un ciberdelincuente logra transferir el número de teléfono de una víctima a una tarjeta SIM controlada por él. Esto les permite interceptar:

• Llamadas telefónicas
• Mensajes SMS
• Códigos de autenticación multifactor (2FA)

Con este acceso, los atacantes pueden vulnerar cuentas bancarias, correos electrónicos, redes sociales e incluso billeteras de criptomonedas, provocando pérdidas económicas y compromisos de seguridad graves.

En muchos casos, los atacantes logran sus objetivos mediante:

• Ingeniería social: engañar a empleados de soporte para realizar el cambio.
• Sobornos a trabajadores de telecomunicaciones, ofreciendo hasta $300 por realizar el intercambio de SIM de forma interna.
• Violaciones de seguridad en operadores y servicios externos.

Casos recientes de SIM swapping que refuerzan la necesidad de protección

Los ataques de SIM swapping han aumentado en frecuencia e impacto. Algunos ejemplos notables:

• 2020: El ciberdelincuente Joseph James O'Connor ('PlugwalkJoke') se declaró culpable de robar $794,000 en criptomonedas mediante ataques de intercambio de SIM.
• 2021: T-Mobile alertó a clientes sobre múltiples intentos de SIM swapping vinculados a filtraciones de datos.
• 2023: Un ataque a Google Fi facilitó intercambios de SIM para tomar control de cuentas vinculadas.
• Scatter Spider, un grupo de amenazas avanzado, fue acusado en EE. UU. de usar esta técnica para infiltrarse en redes corporativas.

Incluso se han documentado campañas de secuestro de eSIM, donde los atacantes activan tarjetas SIM electrónicas con los datos de las víctimas, sin necesidad de acceso físico a una tarjeta SIM.

El problema interno: empleados como objetivo de los ciberdelincuentes

Más allá de los hackers externos, en 2023 se descubrió que empleados de Verizon y T-Mobile recibieron mensajes directos ofreciéndoles pagos a cambio de realizar cambios no autorizados en las SIM de clientes. Esta táctica refuerza la necesidad de implementar barreras automatizadas, como Wireless Lock, que no dependan exclusivamente del personal humano.

Regulaciones de la FCC y el futuro de la protección móvil

Ante el incremento alarmante de estos fraudes, la Comisión Federal de Comunicaciones (FCC) de EE. UU. aprobó en 2023 nuevas normativas para endurecer los controles de identidad durante el intercambio de SIM y los procesos de portabilidad numérica.

Estas regulaciones buscan exigir a los operadores:

• Autenticación multifactor para cambios de SIM.
• Notificaciones proactivas ante cualquier intento de portabilidad.
• Verificación rigurosa antes de realizar alteraciones en las cuentas de usuarios.

Funciones avanzadas para cuentas empresariales

Para clientes corporativos, Wireless Lock de AT&T incluye funciones adicionales, como:

• Exención personalizada de líneas del bloqueo para permitir operaciones legítimas.
• Restricción granular de tipos de cambio que pueden realizarse en cuentas empresariales.
• Control de privilegios según usuarios autorizados dentro de una misma cuenta empresarial.

Wireless Lock es un paso vital hacia la ciberseguridad móvil

Aunque su implementación haya tardado, AT&T da un paso importante con Wireless Lock para prevenir el fraude de intercambio de SIM, una amenaza real que ha causado millonarias pérdidas económicas y severos incidentes de seguridad.

Los usuarios deben activar esta función de inmediato desde su cuenta AT&T para proteger sus números y minimizar los riesgos de acceso no autorizado a sus cuentas sensibles, como banca en línea, autenticaciones 2FA, y billeteras digitales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha confirmado un problema crítico en Microsoft 365 relacionado con una configuración incorrecta de registros DNS, que está afectando la entrega de códigos de acceso de un solo uso (OTP) en Exchange Online. Este fallo impacta a usuarios que intentan abrir correos electrónicos cifrados a través del portal de Office 365 desde plataformas como Gmail, Yahoo Mail u otros clientes que no están suscritos a Microsoft 365.

¿Qué está ocurriendo con los mensajes OTP en Exchange Online?

Cuando un usuario recibe un mensaje cifrado enviado a un correo externo, Microsoft ofrece la posibilidad de acceder al contenido a través de un código OTP enviado en un correo electrónico independiente. Este código permite al destinatario abrir el mensaje de forma segura desde el portal de cifrado de mensajes de Office 365.

Sin embargo, en las últimas semanas, numerosos usuarios han reportado no recibir los mensajes OTP, lo que les impide acceder al contenido cifrado. Según una alerta de servicio publicada en el Centro de administración de Microsoft 365, el problema se debe a una configuración errónea en los registros DNS del dominio encargado de generar y entregar estos códigos de acceso.

Citar"Algunos usuarios que esperan recibir mensajes de correo electrónico OTP para mensajes cifrados en Exchange Online pueden verse afectados", indicó Microsoft.

Causa raíz: error en los registros DNS

Microsoft detalló que el dominio que genera y entrega los correos electrónicos OTP presentaba registros DNS mal configurados, lo que provocó el fallo en la entrega. En una fase anterior del incidente, se identificó que los registros DNS asociados fueron eliminados accidentalmente, afectando la resolución de nombres y, en consecuencia, la entrega de los mensajes.

La empresa ha tomado medidas correctivas:

• Se restauraron y corrigieron los registros DNS del dominio implicado.
• Se inició la comunicación directa con una muestra de usuarios afectados para validar si el problema fue resuelto.
• Se continúa el monitoreo del impacto como un incidente de servicio crítico dentro de Microsoft 365.

Usuarios afectados y procesos específicos

El error no afecta a todos los usuarios por igual. Microsoft aclaró que el fallo ocurre principalmente en entornos que han configurado verificaciones de DNS para los mensajes entrantes. Es decir, las organizaciones que utilizan filtros de seguridad avanzados o políticas de validación DNS son más propensas a bloquear los mensajes OTP por considerar el dominio no válido, dada la configuración incorrecta.

Este detalle resalta la importancia de validar correctamente los registros SPF, DKIM y DMARC, ya que las fallas en estos elementos esenciales del sistema de nombres de dominio pueden resultar en errores de entrega, como en este caso.

Antecedentes: fallos DNS frecuentes en Microsoft

Este incidente no es aislado. Microsoft ha enfrentado diversos problemas relacionados con configuraciones DNS en los últimos años, algunos con gran impacto global:

• Febrero de 2025: Error de autenticación en Entra ID debido a cambios en el DNS del dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que afectó la autenticación de múltiples usuarios en servicios de Microsoft 365.
• Agosto de 2023: Una configuración incorrecta en el registro SPF de DNS provocó errores masivos en la entrega de correos desde Hotmail a nivel mundial.
• Abril de 2021: Una falla en el código causó una sobrecarga de los servidores DNS de Azure, lo que derivó en una interrupción global de servicios como Teams, Outlook y SharePoint.

Estos eventos reflejan cómo una mala configuración de DNS puede comprometer la disponibilidad de servicios esenciales, afectando tanto la comunicación como la seguridad de las plataformas en la nube.

Recomendaciones para usuarios y administradores de TI

Mientras Microsoft continúa resolviendo el problema, se recomienda a los usuarios y equipos de TI:

• Verificar si sus sistemas de filtrado de correo están bloqueando mensajes desde el dominio de OTP de Microsoft.
• Reforzar la configuración de los registros SPF, DKIM y DMARC para permitir la recepción de mensajes de autenticación.
• Consultar regularmente el Centro de administración de Microsoft 365 para obtener actualizaciones en tiempo real sobre incidentes.
• Configurar reglas de filtrado que identifiquen mensajes legítimos de OTP y eviten su marcado como spam o phishing.

En gin, el reciente problema de entrega de códigos OTP en Exchange Online debido a una configuración errónea de DNS pone de manifiesto la dependencia crítica de la infraestructura de nombres de dominio en la funcionalidad de los servicios en la nube. Aunque Microsoft ha implementado correcciones, la situación recuerda a administradores y usuarios que incluso pequeños errores en la configuración pueden tener un impacto global en la experiencia del usuario y la seguridad de los datos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login