La Oficina Federal de Policía Criminal de Alemania (BKA) ha identificado públicamente a Vitaly Nikolaevich Kovalev, un ciudadano ruso de 36 años, como el líder de las bandas de cibercrimen Trickbot y Conti. Conocido por el alias "Stern", Kovalev es señalado como el fundador del grupo Wizard Spider, el cual operó algunas de las campañas de malware y ransomware más peligrosas de la última década.

Kovalev: cerebro de Trickbot y Conti, ahora en la mira de Interpol

Según declaraciones oficiales del BKA, Kovalev fue pieza central en las operaciones del grupo Trickbot, utilizando malware como Trickbot, BazarLoader, SystemBC, IcedID, Ryuk, Conti y Diavol. Su papel en la organización lo convierte en uno de los ciberdelincuentes más buscados del mundo.

Una notificación roja de Interpol ha sido emitida contra Kovalev, quien ahora también es perseguido por la justicia alemana bajo cargos de liderar una organización criminal transnacional dedicada a ciberataques a gran escala.

Esta acción se enmarca dentro de la Operación Endgame, una ofensiva internacional coordinada por múltiples agencias de seguridad que apunta a desmantelar la infraestructura de malware y ransomware como servicio (RaaS) empleada por grupos como Trickbot y Conti.

Antecedentes criminales y sanciones en EE. UU.

Kovalev ya había sido identificado previamente por las autoridades. En febrero de 2023, el Departamento del Tesoro de los Estados Unidos lo sancionó junto a otros seis ciudadanos rusos por su implicación con las operaciones de Trickbot y Conti.

En ese momento, fue descrito como un miembro clave del grupo, utilizando varios alias, incluidos "Bentley", "Bergen", "Alex Konor" y "Ben". Sin embargo, no fue hasta las filtraciones de TrickLeaks y ContiLeaks que se confirmó su identidad como "Stern", el verdadero cabecilla de ambas organizaciones criminales.


TrickLeaks y ContiLeaks: las filtraciones que expusieron al grupo

Las filtraciones de 2022 revelaron conversaciones internas, código fuente y, en el caso de TrickLeaks, incluso las identidades reales, cuentas en línea y datos personales de los miembros de Trickbot. Estas revelaciones apuntaban directamente a Kovalev como líder operativo y decisor final en ataques de ransomware y contratación de abogados para miembros arrestados.

Las filtraciones también aceleraron el desmantelamiento de Conti, aunque los integrantes del grupo se reagruparon en nuevas bandas de ransomware como Black Basta, BlackCat (ALPHV), Royal, LockBit, Karakurt, AvosLocker, DagonLocker, Silent Ransom y ZEON.

Impacto global de Trickbot: millones en ganancias y miles de víctimas

De acuerdo con la BKA, el grupo Trickbot llegó a contar con más de 100 miembros, organizados de forma jerárquica y orientados a objetivos lucrativos. Se estima que infectaron cientos de miles de sistemas en Alemania y a nivel mundial, incluyendo:

• Hospitales
• Empresas privadas
• Autoridades gubernamentales
• Particulares

Gracias a sus actividades ilegales, Trickbot habría generado beneficios superiores a los 100 millones de euros, consolidándose como una de las redes de ciberdelincuencia más rentables y peligrosas de la historia reciente.

Búsqueda internacional: Kovalev sigue en libertad

Aunque su identidad ha sido confirmada y su rostro circula en alertas internacionales de Interpol, el paradero actual de Vitaly Kovalev es desconocido. Las autoridades alemanas creen que se encuentra en territorio ruso, protegido por un entorno que le permite evadir la extradición.

La BKA ha solicitado colaboración internacional e instó a que se proporcione cualquier información que ayude a su localización, incluyendo cuentas de redes sociales, direcciones IP asociadas o canales de comunicación utilizados por Kovalev.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han descubierto una vulnerabilidad crítica sin parche en el complemento TI WooCommerce Wishlist para WordPress, que podría ser explotada por atacantes no autenticados para realizar cargas de archivos arbitrarios y potencialmente lograr ejecución remota de código (RCE).

¿Qué es TI WooCommerce Wishlist?

TI WooCommerce Wishlist es un popular plugin de WordPress con más de 100.000 instalaciones activas, que permite a los usuarios de tiendas en línea guardar productos en listas de deseos y compartirlas en redes sociales. Su amplia adopción lo convierte en un objetivo atractivo para los ciberdelincuentes.

Detalles de la vulnerabilidad crítica (CVE-2025-47577)

La falla, catalogada como CVE-2025-47577, ha sido identificada con una puntuación CVSS de 10.0, el valor más alto en la escala de criticidad. Esta vulnerabilidad afecta a todas las versiones hasta e incluida la 2.9.2, publicada el 29 de noviembre de 2024. Actualmente, no existe un parche disponible, lo que incrementa el riesgo de explotación activa.

Según el investigador John Castro de Patchstack, la vulnerabilidad reside en la función tinvwl_upload_file_wc_fields_factory, que usa la función nativa de WordPress wp_handle_upload() para validar las cargas de archivos. Sin embargo, establece los parámetros test_form y test_type como false, lo cual desactiva los mecanismos de validación de tipo MIME y formulario, permitiendo así la subida de archivos no seguros.

Citar"El plugin es vulnerable a una vulnerabilidad de carga de archivos arbitrarios que permite a los atacantes subir archivos maliciosos al servidor sin autenticación", explicó Castro.

Condiciones para la explotación

La función vulnerable puede ser accedida a través de las funciones tinvwl_meta_wc_fields_factory o tinvwl_cart_meta_wc_fields_factory, pero solo cuando el plugin adicional WC Fields Factory está instalado y activo. Además, la integración entre ambos plugins debe estar habilitada dentro de la configuración de TI WooCommerce Wishlist.

Esto significa que la explotación exitosa requiere que WC Fields Factory esté presente en el sitio web, lo cual limita parcialmente la superficie de ataque, aunque sigue siendo una amenaza grave.

Riesgo de ejecución remota de código (RCE)

En un escenario de ataque real, un actor malicioso podría aprovechar esta falla para cargar un archivo PHP malicioso al servidor y luego ejecutarlo directamente, obteniendo control total sobre el sitio WordPress comprometido. Esta técnica es común en campañas de ataques automatizados que buscan vulnerabilidades en plugins populares y desprotegidos.

Recomendaciones de seguridad

Mientras se espera una actualización oficial del desarrollador del complemento, se recomienda encarecidamente a todos los administradores de WordPress que tengan instalado TI WooCommerce Wishlist tomar medidas inmediatas:

• Desactivar y eliminar el plugin hasta que se publique un parche oficial.
• Revisar si WC Fields Factory está activo, y desactivarlo en caso de no ser estrictamente necesario.
• Monitorear los archivos del servidor en busca de archivos PHP sospechosos recientemente subidos.
• Aplicar reglas de firewall a nivel de aplicación (WAF) para bloquear accesos a rutas sensibles.

Los desarrolladores de plugins también deben evitar establecer test_type => false al usar wp_handle_upload(), y aplicar prácticas seguras de validación de archivos para evitar este tipo de vulnerabilidades.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad de Fortinet han revelado un ataque cibernético inusual que empleó malware con encabezados DOS y PE corruptos, dificultando su detección y análisis. Este hallazgo destaca una técnica sofisticada utilizada por actores de amenazas para evadir soluciones de seguridad tradicionales.

¿Qué son los encabezados DOS y PE?

Los encabezados DOS (Disk Operating System) y PE (Portable Executable) son componentes fundamentales de los archivos ejecutables en sistemas Windows.

• El encabezado DOS permite la compatibilidad con sistemas MS-DOS y facilita el reconocimiento del archivo como ejecutable válido.
• El encabezado PE, por su parte, contiene los metadatos necesarios para que Windows cargue y ejecute el programa correctamente.

Técnicas avanzadas de evasión mediante encabezados dañados

Según el informe de Fortinet, el malware detectado presentaba encabezados DOS y PE dañados, una técnica que busca obstaculizar los esfuerzos de análisis forense y dificultar la reconstrucción de la carga útil desde la memoria.

Citar"Descubrimos malware que se había estado ejecutando en una máquina comprometida durante varias semanas", afirmaron Xiaopeng Zhang y John Simmons, del Equipo de Respuesta a Incidentes de FortiGuard, en un informe compartido con The Hacker News.

El ataque se llevó a cabo mediante scripts por lotes y PowerShell, ejecutados dentro de un proceso legítimo de Windows. Aunque Fortinet no logró extraer el malware directamente, sí obtuvo un volcado de memoria del proceso en ejecución, así como un volcado de memoria completo del sistema comprometido.

Ataque vinculado a intento de ransomware

El comportamiento observado fue parte de un único incidente asociado a actividad de ransomware, aunque la amenaza fue neutralizada antes de que el cifrado pudiera desplegarse. El atacante obtuvo acceso inicial mediante infraestructura de acceso remoto, y trató de propagar el malware usando PsExec y scripts de PowerShell, los cuales no pudieron recuperarse durante la investigación.

Características del malware

El malware detectado se ejecuta dentro de un proceso dllhost.exe, ocultando su actividad bajo un ejecutable aparentemente legítimo. Se trata de un archivo PE de 64 bits diseñado específicamente para evadir herramientas de análisis de malware.

Tras superar los obstáculos técnicos, los expertos de Fortinet consiguieron analizar el código malicioso replicando el entorno del sistema afectado en un laboratorio controlado. A través de múltiples iteraciones, lograron reconstruir el comportamiento completo del malware.

Funcionalidades del RAT y conexión C2

Una vez ejecutado, el malware descifra la información del dominio de comando y control (C2) directamente desde la memoria y establece comunicación con el servidor malicioso "rushpapers[.]com" mediante TLS (Transport Layer Security).

El diseño del malware es altamente modular y emplea una arquitectura de sockets multihilo:

• Captura de pantalla del sistema comprometido.
• Enumeración y manipulación de servicios del sistema.
• Capacidad de operar como servidor remoto en espera de conexiones entrantes.

Cada vez que un nuevo cliente (es decir, el atacante) se conecta, el malware crea un nuevo hilo dedicado a la sesión, lo que permite interacciones simultáneas y complejas.

Citar"Este diseño convierte al sistema infectado en una plataforma de acceso remoto totalmente funcional", explicó Fortinet. "El atacante puede lanzar nuevos ataques o realizar acciones en nombre de la víctima."

En fin, este incidente subraya el uso de técnicas avanzadas por parte de los ciberdelincuentes, como la corrupción de encabezados PE y DOS, para evadir la detección. La amenaza, aunque contenida por Fortinet antes de causar daños mayores, revela la creciente sofisticación del malware moderno, especialmente aquellos con funcionalidades de troyano de acceso remoto (RAT).

Las organizaciones deben mantenerse alerta y adoptar soluciones de ciberseguridad proactivas, incluyendo la supervisión de memoria y análisis de comportamiento, para detectar amenazas que emplean métodos de evasión poco convencionales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or LoginDragora vive_? rindete al team gautuno o muere

Mi katana está afilada, mi espíritu es inquebrantable. ¡Fíjate bien a quien amenazas o haré que la historia recuerde este duelo!


Pd. Solid Water soy 100% Team Gato  .

Saludos apreciado AXCESS!!

Los dispositivos IoT basados en Linux están siendo blanco de una nueva y sofisticada botnet llamada PumaBot, desarrollada en el lenguaje de programación Go. Esta amenaza se propaga a través de ataques de fuerza bruta contra servicios SSH, con el objetivo de escalar rápidamente su infraestructura, distribuir malware adicional y establecer persistencia en los sistemas comprometidos.

Según un informe técnico publicado por Darktrace y compartido con The Hacker News, PumaBot no realiza escaneos aleatorios en Internet, sino que obtiene una lista predefinida de objetivos desde un servidor de comando y control (C2). Posteriormente, ejecuta ataques de fuerza bruta SSH para obtener acceso remoto, recibir comandos maliciosos y establecer mecanismos de persistencia mediante servicios del sistema.

¿Cómo funciona la botnet PumaBot?

El proceso de infección de PumaBot se basa en varias etapas:

• Obtención de IPs vulnerables: el malware se conecta a ssh.ddos-cc[.]org, desde donde descarga una lista de direcciones IP con el puerto SSH abierto.
• Fuerza bruta SSH: intenta acceder a estas IPs utilizando credenciales por defecto o contraseñas débiles.
• Evasión de honeypots: PumaBot incorpora verificaciones para evitar sistemas trampa, incluyendo la búsqueda de la cadena "Pumatronix", un fabricante de cámaras de vigilancia.
• Filtrado de información y persistencia: una vez que compromete un dispositivo, recolecta información básica del sistema y crea un servicio systemd persistente, disfrazado como redis.service o mysqI.service (una variante maliciosa de mysql).
• Minería ilícita de criptomonedas: ejecuta comandos como xmrig y networkxm, indicativos de minería de Monero u otras criptomonedas en segundo plano.

Componentes adicionales del ecosistema malicioso

El análisis de Darktrace identificó otros binarios y scripts usados como parte de una campaña más amplia vinculada a PumaBot:

• ddaemon: puerta trasera en Go que descarga y ejecuta el binario networkxm desde /usr/src/bao/ y ejecuta el script You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.
• networkxm: herramienta de fuerza bruta SSH que replica la funcionalidad inicial del malware.
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login: descarga el script You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login desde 1.lusyn[.]xyz, lo ejecuta con permisos máximos y borra el historial de bash.
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login: obtiene un archivo malicioso pam_unix.so y un ejecutable llamado 1, reemplazando componentes legítimos del sistema.
• pam_unix.so: rootkit que roba credenciales interceptando inicios de sesión exitosos y los guarda en /usr/bin/con.txt.
• 1: binario que monitorea y exfiltra el archivo con.txt al servidor C2.

Recomendaciones para proteger sistemas Linux e IoT frente a PumaBot

Dado el comportamiento similar al de un gusano y la capacidad de evasión que presenta PumaBot, los administradores de sistemas deben implementar medidas preventivas de seguridad como:

• Monitorear intentos de inicio de sesión SSH fallidos y registrar actividad inusual.
• Auditar servicios systemd en busca de nombres sospechosos como redis.service o mysqI.service.
• Revisar el archivo authorized_keys para detectar claves SSH no autorizadas.
• Restringir el acceso SSH mediante reglas estrictas de firewall.
• Filtrar tráfico HTTP con encabezados anómalos, como X-API-KEY: jieruidashabi.

En conclusión, PumaBot representa una amenaza emergente en el ecosistema de ciberseguridad, especialmente para entornos que utilizan Linux en dispositivos IoT. Su capacidad para automatizar ataques SSH, establecer persistencia mediante técnicas legítimas y ejecutar funciones de minería ilegal lo convierte en una herramienta altamente peligrosa. Las organizaciones deben fortalecer sus prácticas de seguridad SSH, monitorear servicios activos y mantener políticas de actualización y endurecimiento de sistemas para prevenir infecciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple, líder mundial en tecnología, reveló el martes que ha evitado más de 9.000 millones de dólares en transacciones fraudulentas en su ecosistema desde 2019, incluyendo más de 2.000 millones de dólares solo en 2024. Esta cifra forma parte del informe anual de la compañía sobre fraude en la App Store, donde detalla sus esfuerzos para proteger a usuarios y desarrolladores frente a estafas digitales.

Amenazas comunes en la App Store: desde aplicaciones engañosas hasta fraude financiero

Según el informe de Apple, la App Store enfrenta una amplia gama de amenazas de seguridad, que van desde aplicaciones maliciosas diseñadas para robar datos personales hasta esquemas de pago fraudulentos que intentan explotar a los usuarios.

Como parte de su estrategia de protección, Apple ha tomado medidas significativas, incluyendo:

• Cancelación de más de 46.000 cuentas de desarrolladores por actividades fraudulentas.
• Rechazo de inscripción de 139.000 desarrolladores adicionales con indicios de malas prácticas.
• Desactivación de casi 129 millones de cuentas de clientes para evitar abusos como el spam, la manipulación de reseñas y la alteración de rankings de aplicaciones.

Estadísticas clave del fraude en Apple en 2024

Durante el último año, Apple reforzó su enfoque de seguridad en iOS y la App Store, con acciones concretas como:

• Bloqueo de más de 10.000 aplicaciones ilegítimas distribuidas en tiendas piratas. Estas apps incluían malware, contenido pornográfico, software de apuestas ilegales y versiones pirateadas de apps legítimas.
• Prevención de 4,6 millones de intentos de instalación de aplicaciones distribuidas fuera de los canales oficiales de Apple.
• Rechazo de más de 1,9 millones de solicitudes de publicación de apps por violaciones de privacidad, seguridad y políticas de la App Store.
• Eliminación de más de 37.000 aplicaciones con comportamientos fraudulentos.
• Rechazo de más de 43.000 aplicaciones por contener funciones ocultas o no documentadas.
• Bloqueo de 320.000 apps clonadas o engañosas que imitaban otras aplicaciones populares.
• Exclusión de 7.400 apps potencialmente fraudulentas de las listas públicas y eliminación de 9.500 apps engañosas de los resultados de búsqueda.
• Eliminación de más de 143 millones de valoraciones y reseñas falsas.
• Identificación de 4,7 millones de tarjetas de crédito robadas y bloqueo de 1,6 millones de cuentas involucradas.

Comparativa con años anteriores

La lucha contra el fraude en Apple ha sido constante y creciente. En años anteriores:

• En 2023, Apple evitó transacciones fraudulentas por más de 1.800 millones de dólares y canceló 118.000 cuentas de desarrolladores.
• En 2022, bloqueó fraudes por más de 2.000 millones de dólares.

Estas cifras reflejan una tendencia al alza en los intentos de fraude digital, y la respuesta proactiva de Apple para proteger su ecosistema.

Google también refuerza su seguridad en Android

El informe de Apple coincide con un análisis similar de Google, que a principios de 2024 anunció que bloqueó más de 2,36 millones de aplicaciones maliciosas para Android y prohibió 158.000 cuentas de desarrolladores por infringir las políticas de Google Play.

Este contexto refleja el desafío global que enfrentan los principales mercados de apps móviles frente a amenazas cibernéticas cada vez más sofisticadas.

Apple y el escrutinio por sus políticas en la App Store

Este nuevo informe sobre prevención de fraudes en la App Store llega en un momento de mayor presión regulatoria para Apple. Un fallo reciente en EE. UU. exige que la compañía permita que las apps de iOS incluyan enlaces o botones hacia métodos de pago externos fuera del ecosistema de la App Store.

Este cambio podría tener un impacto en las estrategias de seguridad de Apple, ya que transacciones fuera del App Store podrían estar más expuestas a estafas y fraudes, al no estar sujetas a los mismos controles de seguridad.

En conclusión, el informe anual de Apple pone de manifiesto el compromiso de la empresa con la seguridad digital, destacando medidas preventivas robustas frente a fraudes, estafas y abusos dentro de la App Store. Con miles de millones de dólares en transacciones protegidas, Apple se posiciona como uno de los líderes en la protección del consumidor en entornos digitales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El gigante alemán de ropa deportiva Adidas ha confirmado una violación de datos tras un incidente de seguridad que comprometió a uno de sus proveedores de servicio al cliente. El ataque permitió a actores maliciosos acceder a datos personales de algunos clientes, aunque no se vieron comprometidos datos financieros ni contraseñas.

Detalles del incidente de seguridad en Adidas

La compañía reveló la brecha el pasado viernes, explicando que un tercero no autorizado accedió a información de consumidores mediante un proveedor externo.

Citar"Adidas se dio cuenta recientemente de que una parte externa no autorizada obtuvo ciertos datos de los consumidores a través de un proveedor de servicio al cliente externo", explicó la empresa en un comunicado oficial.

Ante el incidente, la compañía de origen alemán actuó con rapidez, conteniendo la amenaza y lanzando una investigación exhaustiva con el apoyo de expertos en ciberseguridad.

Citar"Inmediatamente tomamos medidas para contener el incidente e iniciamos una investigación exhaustiva, colaborando con los principales expertos en seguridad de la información".

¿Qué información fue robada?

Adidas aclaró que no se vieron comprometidos datos sensibles como información de pago o contraseñas. La filtración se limitó a datos de contacto, aunque no se especificó el volumen exacto de personas afectadas.

Entre los datos potencialmente expuestos se encuentran:

• Nombres completos
• Direcciones de correo electrónico
• Números de teléfono
• Direcciones físicas
• Fechas de nacimiento

Este tipo de información, aunque no financiera, puede ser utilizada para realizar campañas de phishing o suplantación de identidad, por lo que Adidas ha comenzado a notificar a los clientes afectados.

Medidas tomadas y notificación a las autoridades

La compañía afirmó estar en proceso de notificar tanto a los consumidores como a las autoridades de protección de datos y cuerpos de seguridad, en cumplimiento de la legislación vigente en materia de protección de datos.

Citar"Adidas está en el proceso de informar a los consumidores potencialmente afectados, así como a las autoridades apropiadas de protección de datos y aplicación de la ley de acuerdo con la ley aplicable".

Además, reiteró su compromiso con la seguridad de la información:

Citar"Seguimos totalmente comprometidos con la protección de la privacidad y la seguridad de nuestros consumidores, y lamentamos sinceramente cualquier inconveniente o preocupación causada por este incidente".

Historial de violaciones de datos en Adidas

Este incidente se suma a otros casos recientes de filtración de datos en Adidas. A principios de este mes, la compañía reveló violaciones que afectaron a clientes en Turquía y Corea del Sur, quienes se habían comunicado con el centro de atención al cliente en 2024 o antes. En esos casos, también se expuso información personal como nombres, correos electrónicos, teléfonos y fechas de nacimiento.

Además, en junio de 2018, Adidas reportó otra brecha que afectó a varios millones de compradores en EE. UU., comprometiendo nombres de usuario, direcciones de correo electrónico y contraseñas cifradas utilizadas en el sitio web oficial.

Información pendiente y falta de transparencia

Hasta el momento, Adidas no ha revelado el nombre del proveedor afectado, ni ha detallado cuándo se detectó el incidente, cuántas personas están involucradas o si sus propios sistemas fueron comprometidos. Cuando el medio especializado BleepingComputer intentó obtener más información, un portavoz de la empresa indicó que:

Citar"No hay más actualizaciones disponibles y la declaración emitida el viernes sigue vigente".

En conclusión, la violación de datos en Adidas pone de relieve los riesgos crecientes que enfrentan las grandes marcas globales en el ecosistema digital. A pesar de los esfuerzos de la compañía por limitar el impacto y comunicar el incidente, la falta de detalles técnicos genera incertidumbre entre los consumidores.

En un contexto donde la privacidad y la ciberseguridad son prioritarias, este tipo de filtraciones subraya la necesidad de fortalecer la protección de la información no solo en las empresas matrices, sino también a lo largo de toda la cadena de suministro digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MathWorks, reconocida empresa de software especializada en computación matemática y simulación, ha confirmado que una interrupción de sus servicios en línea fue causada por un ataque de ransomware. Este incidente de ciberseguridad ha tenido un impacto significativo en usuarios de MATLAB y Simulink, plataformas ampliamente utilizadas por ingenieros, científicos y desarrolladores en todo el mundo.

La compañía, con sede en Natick, Massachusetts, fue fundada en 1984 y actualmente cuenta con más de 6.500 empleados distribuidos en 34 oficinas internacionales. Su software es utilizado por más de 100.000 organizaciones y más de 5 millones de usuarios en todo el mundo.

Detalles del ciberataque a MathWorks

En un informe publicado en su página oficial de estado, MathWorks confirmó que el ataque ocurrió el domingo 18 de mayo de 2025, afectando varios de sus sistemas informáticos internos y plataformas utilizadas por los clientes. La empresa notificó de inmediato a las autoridades, incluyendo a la policía federal.

Citar"MathWorks sufrió un ataque de ransomware. Hemos notificado a la policía federal sobre este asunto. El ataque afectó nuestros sistemas informáticos", indicó la compañía.

Como resultado del ataque, varios servicios esenciales de MathWorks quedaron fuera de línea, incluyendo:

• MathWorks Cloud Center
• Centro de licencias
• Plataforma de intercambio de archivos
• Tienda oficial de MathWorks

Progresos en la restauración de servicios

Aunque el ataque de ransomware sigue afectando ciertas funcionalidades, MathWorks ha logrado restaurar parcialmente algunos servicios. El 21 de mayo, por ejemplo, se restablecieron funciones críticas como la autenticación multifactor (MFA) y el inicio de sesión único (SSO), lo cual permitió a muchos usuarios volver a acceder a sus cuentas.

Sin embargo, persisten problemas de acceso y creación de nuevas cuentas, especialmente entre usuarios que no han iniciado sesión desde octubre de 2024. Estos usuarios continúan reportando errores al intentar acceder a sus cuentas de MATLAB o adquirir licencias a través de los canales digitales de la empresa.

¿Quién está detrás del ataque?

Hasta el momento, MathWorks no ha revelado el grupo de ransomware responsable del ataque, ni ha confirmado si se produjo algún robo de datos confidenciales de clientes o empleados. Ninguna organización cibercriminal ha asumido públicamente la autoría del ataque, lo que abre la posibilidad de que:

• MathWorks esté negociando en privado con los atacantes.
• La empresa haya pagado el rescate para evitar la filtración de datos.
• El grupo atacante opere bajo bajo perfil y aún no haya divulgado información.

Impacto global del ataque de ransomware a MathWorks

Este incidente evidencia una creciente tendencia de ciberataques dirigidos a empresas tecnológicas con gran presencia internacional. Dado el papel fundamental de MATLAB y Simulink en sectores como la ingeniería, la robótica, la inteligencia artificial y la investigación académica, las interrupciones generadas afectan directamente a una comunidad técnica global.

Además, este ataque pone en relieve la importancia de contar con protocolos sólidos de resiliencia cibernética y respuesta ante incidentes, especialmente en organizaciones que proveen servicios críticos a universidades, gobiernos e industrias.

En conclusión, el ataque de ransomware a MathWorks subraya los riesgos persistentes que enfrentan las grandes compañías tecnológicas. A medida que la empresa trabaja para restaurar sus servicios y esclarecer los detalles del incidente, miles de usuarios de MATLAB y Simulink siguen a la espera de una recuperación total. La comunidad tecnológica internacional estará atenta a cualquier actualización sobre el grupo responsable, la posible filtración de datos y las futuras medidas de ciberseguridad que MathWorks implemente para prevenir nuevos incidentes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Telefónica ha anunciado oficialmente el cierre definitivo de todas sus centrales de cobre en España, lo que marca el fin del ADSL y la consolidación de una nueva era de conectividad basada exclusivamente en fibra óptica FTTH. Con este paso, la compañía cumple con el compromiso adquirido con la CNMC y materializa uno de los hitos más importantes en sus más de 100 años de historia.

La decisión se enmarca en el proceso de modernización tecnológica impulsado por la teleoperadora, que lleva más de 15 años sustituyendo progresivamente el cableado de cobre por redes de fibra óptica de última generación.

Adiós al cobre: más de 8.500 centrales cerradas desde 2014

Desde que en 2014 comenzara el proceso de cierre con las primeras dos centrales en Sant Cugat del Vallès (Barcelona) y Torrelodones (Madrid), Telefónica ha clausurado un total de 8.532 centrales de cobre. El apagón final se produce este 27 de mayo, con la desconexión de los 661 puntos de red restantes distribuidos por todo el país.

Inicialmente previsto para completarse en 2026, el plan fue acelerado por decisión estratégica de la compañía, lo que ha permitido cumplir con antelación los plazos acordados con la Comisión Nacional de los Mercados y la Competencia.

Migración masiva a la fibra óptica FTTH

Gracias al despliegue masivo de infraestructura de fibra óptica, más del 94 % de los usuarios que aún contaban con ADSL han migrado ya a conexiones de alta velocidad por fibra. Esta transformación ha sido especialmente relevante para zonas rurales y la llamada España vaciada, donde la conectividad era históricamente limitada.

Una sola central de fibra es capaz de sustituir a cuatro centrales de cobre, lo que se traduce en una mejora operativa significativa para Telefónica, al tiempo que se aumenta la velocidad, estabilidad y eficiencia energética del servicio.

Telefónica, pionera en Europa en cerrar su red de cobre

Con este movimiento, Telefónica se convierte en la primera operadora en Europa en completar el cierre total de su red de cobre, posicionándose como líder en la transición hacia tecnologías de banda ancha ultrarrápida.

La compañía afirma que más de 31 millones de unidades inmobiliarias están ya conectadas o tienen acceso a su red de fibra FTTH, consolidando así su papel en el proceso de digitalización de infraestructuras en España. Esta migración no solo mejora la experiencia de usuario, sino que también reduce costes de mantenimiento y eleva la sostenibilidad del modelo operativo.

Un antes y un después en la historia de las telecomunicaciones en España

El fin de la red de cobre en España marca un antes y un después en la evolución de las telecomunicaciones del país. La sustitución del ADSL por fibra no solo implica un salto tecnológico, sino también un cambio estructural en la forma de ofrecer servicios de internet, televisión y telefonía.

Telefónica celebra su centenario cerrando un ciclo crucial, apostando por una infraestructura robusta, escalable y preparada para los retos del futuro digital. Su liderazgo en esta transición tecnológica refuerza su posición frente a la competencia y le permite seguir siendo un referente en innovación dentro del mercado europeo.

En fin, la clausura definitiva de las centrales de cobre y el apagón del ADSL en España reafirman la apuesta estratégica de Telefónica por un modelo de conectividad basado exclusivamente en fibra óptica FTTH. Este hito posiciona a la compañía como pionera en Europa en completar esta transición y deja claro su compromiso con la modernización de las redes y la expansión de la conectividad ultrarrápida en todo el territorio español.

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Elon Musk, figura clave en la administración de Donald Trump a través del controvertido Departamento de Eficiencia Gubernamental (DOGE), ha anunciado que volverá a centrarse a tiempo completo en sus empresas tecnológicas. Según el magnate, su atención se dirige ahora a X (antiguo Twitter), Tesla, xAI y el inminente lanzamiento de Starship, lo que indica un aparente distanciamiento de su rol político.

¿Adiós al DOGE? Musk prioriza sus empresas tecnológicas

Musk ha sido una pieza central del ambicioso plan de Trump para reducir el tamaño del gobierno federal. Entre las medidas implementadas bajo el DOGE se encuentran recortes de personal, envío de emails con ultimátums laborales y la promoción de jornadas de trabajo de hasta 120 horas semanales. Sin embargo, los recientes problemas técnicos en sus compañías parecen haber hecho que el empresario replantee sus prioridades.

La caída generalizada de X, que dejó a millones de usuarios sin acceso durante varias horas, fue uno de los detonantes de este cambio de enfoque. En respuesta a un tuit que atribuía la interrupción del servicio a un incendio en un centro de datos en Oregón, Musk explicó que ha vuelto a trabajar en modo 24/7. "Estoy durmiendo en las salas de conferencias, los servidores y las fábricas. Debo concentrarme por completo en X, xAI, Tesla y el lanzamiento de Starship", declaró.

X, xAI y Tesla: el nuevo epicentro de Elon Musk

Musk también aprovechó para explicar los recientes fallos de disponibilidad en 𝕏:

Citar"Como demuestran los problemas de esta semana, es necesario implementar mejoras operativas. La redundancia de conmutación por error debería haber funcionado, pero no lo hizo".

Este enfoque contrasta con sus declaraciones de hace apenas un mes, cuando, tras la presentación de resultados de Tesla, aseguró que dedicaría uno o dos días a la semana a temas de gobierno mientras Trump lo considerara útil, una vez establecida la estructura básica del DOGE.

Menor participación política y foco en la innovación tecnológica

Durante una intervención virtual en el Foro Económico de Catar, Elon Musk afirmó que reducirá significativamente sus donaciones políticas, aunque no especificó los motivos. Este anuncio ha sido interpretado como un nuevo paso hacia su retirada parcial de la escena gubernamental, al menos de forma temporal.

De momento, no hay una confirmación oficial de su renuncia al DOGE ni a su papel en el gobierno de Trump, pero la afirmación de que está "24/7 enfocado en sus empresas" deja poco margen para la especulación. Esta decisión puede verse como una estrategia para recuperar la confianza de los inversores, especialmente después del descenso de ventas de Tesla en Europa, lo que ha generado inquietud en los mercados.

DOGE y su impacto: de la política al código COBOL

La creación del DOGE ha provocado polémica dentro y fuera del gobierno federal. Entre sus objetivos estaba la eliminación o reformulación de agencias clave, como la Oficina de Protección Financiera del Consumidor y la USAID. Incluso propuso una migración urgente del sistema del Seguro Social, desarrollado en COBOL, un lenguaje de programación considerado obsoleto.

Musk y Trump compartían una visión de eficiencia radical, enfocada en eliminar lo que consideraban burocracia innecesaria. Sin embargo, el retorno del empresario a sus intereses corporativos podría dejar al DOGE sin uno de sus principales impulsores.

En fin, la decisión de Elon Musk de dedicar todo su tiempo a X, Tesla, xAI y SpaceX parece marcar un punto de inflexión en su papel dentro de la administración de Trump. Aunque no se ha anunciado oficialmente su salida del DOGE, su reciente actividad y declaraciones públicas apuntan a un repliegue de sus funciones gubernamentales.

Esta nueva etapa reafirma a Musk como un líder tecnológico global que prioriza el desarrollo de inteligencia artificial, vehículos eléctricos y exploración espacial, dejando en segundo plano su aventura política. El tiempo dirá si este alejamiento del DOGE es definitivo o simplemente una pausa estratégica.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Expertos en ciberseguridad han identificado una nueva campaña activa en 2025 que distribuye el malware Winos 4.0 (ValleyRAT) a través de instaladores troyanizados de software legítimo como QQ Browser y LetsVPN. La investigación fue realizada por Rapid7, quienes detectaron la operación maliciosa por primera vez en febrero de 2025.

Esta campaña utiliza un cargador en memoria multietapa denominado Catena, el cual permite evadir herramientas antivirus tradicionales al cargar el malware directamente en la memoria del sistema, sin dejar rastros evidentes en disco.

Catena: carga en memoria y evasión avanzada

Según los investigadores Anna Širokova e Ivan Feigl, Catena emplea shellcode embebido, lógica de configuración dinámica y cargas útiles en memoria para desplegar Winos 4.0, minimizando su visibilidad ante soluciones de seguridad.

Citar"Una vez ejecutado, el malware establece conexión con servidores controlados por los atacantes, mayormente ubicados en Hong Kong, para recibir instrucciones o descargar módulos adicionales", explican los expertos.

El ataque se dirige principalmente a sistemas de habla china, lo que refuerza la hipótesis de que esta es una campaña geoespecífica cuidadosamente planificada, atribuida a un grupo de amenazas sofisticado.

¿Qué es Winos 4.0 (ValleyRAT)?

Winos 4.0, también conocido como ValleyRAT, es un marco malicioso avanzado derivado del troyano de acceso remoto Gh0st RAT. Está escrito en C++ y utiliza una arquitectura modular basada en complementos, permitiendo:

• Robo de información
• Acceso remoto tipo shell
• Ejecución de comandos
• Ataques de denegación de servicio distribuido (DDoS)

Este malware fue documentado por primera vez por Trend Micro en junio de 2024, y ha sido relacionado con el grupo APT Void Arachne, también conocido como Silver Fox.

Vectores de infección: señuelos de software y phishing

La campaña detectada utiliza una cadena de infección sofisticada basada en instaladores NSIS disfrazados de herramientas populares como:

• QQ Browser (desarrollado por Tencent)
• LetsVPN (aplicación VPN)

También se ha observado el uso de phishing dirigido, como correos electrónicos falsificados en nombre de la Oficina Nacional de Impuestos de Taiwán, con archivos maliciosos adjuntos.

Rapid7 señaló que en abril de 2025 se observó un cambio táctico en la operación, ajustando componentes del vector Catena para mejorar su capacidad de evasión.

Evasión de antivirus y persistencia sigilosa

La campaña aplica técnicas avanzadas de evasión, incluyendo:

• Comandos de PowerShell para excluir todas las unidades de escaneo por parte de Microsoft Defender.
• Carga reflexiva de DLLs para mantener la persistencia de manera encubierta.
• Shellcode oculto en archivos .ini.
• Firmas digitales válidas o caducadas para simular legitimidad.

Uno de los binarios identificados estaba firmado con un certificado expirado de VeriSign, supuestamente perteneciente a Tencent Technology (Shenzhen). Este ejecutable toma una instantánea de los procesos en ejecución y detecta la presencia de antivirus como 360 Total Security, desarrollado por Qihoo 360.

Comunicación con infraestructura C2

Winos 4.0 establece conexiones con servidores de comando y control (C2) codificados estáticamente, usando:

• Puerto TCP 18856
• Puerto HTTPS 443
• IPs como 134.122.204[.]11 y 103.46.185[.]44

Aunque el malware verifica si el sistema tiene configurado el idioma chino, la ejecución no se detiene si este requisito no se cumple, lo que indica una funcionalidad aún en desarrollo.

Amenaza persistente y altamente dirigida

La campaña Catena-Winos 4.0 revela una operación de malware avanzada y bien organizada que se enfoca en usuarios y organizaciones de habla china. El uso de instaladores falsificados de software legítimo, técnicas de carga en memoria, evasión de antivirus y persistencia sigilosa la convierten en una amenaza significativa en el panorama actual.

Los investigadores sugieren que la campaña podría estar vinculada a Silver Fox APT, dada la infraestructura compartida y el enfoque lingüístico y geográfico de los ataques.

Recomendaciones para mitigar el riesgo

• Evitar la descarga de software desde fuentes no oficiales.
• Monitorizar la ejecución de procesos inusuales o cargadores NSIS.
• Implementar políticas estrictas de control de PowerShell y exclusiones antivirus.
• Verificar la integridad y validez de los certificados digitales en instaladores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La reconocida plataforma de desarrollo web Glitch ha anunciado oficialmente que cerrará su servicio de alojamiento de aplicaciones y eliminará los perfiles de usuario a partir del 8 de julio de 2025. Esta decisión responde a los cambios en el ecosistema de desarrollo y al creciente abuso del sistema, que ha elevado significativamente los costes operativos.

La noticia fue confirmada por el propio CEO de Glitch, Anil Dash, quien destacó la evolución del mercado como un factor clave para esta transición.

Citar"Con tantas buenas opciones para crear y ejecutar aplicaciones fácilmente, la arquitectura heredada de Glitch ya no ofrece un valor excepcional al ecosistema de desarrolladores", afirmó Dash.

El futuro de Glitch: redireccionamientos y acceso prolongado

Aunque el alojamiento de proyectos y perfiles de usuario se desactivará el 8 de julio, los usuarios seguirán teniendo acceso a su panel hasta finales de 2025. Durante este tiempo, podrán descargar el código de sus proyectos para migrarlos a otras plataformas.

Para facilitar la transición, Glitch implementará una nueva función que permite configurar redireccionamientos de subdominios. De esta forma, las URLs de los proyectos seguirán siendo accesibles. Estos redireccionamientos estarán activos hasta al menos finales de 2026, brindando tiempo suficiente a los usuarios para adaptar sus flujos de trabajo.

¿Qué pasará con las suscripciones a Glitch Pro?

Todos los usuarios con suscripciones activas a Glitch Pro seguirán disfrutando del servicio hasta el cierre oficial en julio. Además, aquellos que hayan pagado por adelantado recibirán un reembolso proporcional. Desde el anuncio, ya no se aceptan nuevas suscripciones a Glitch Pro.

Glitch: una plataforma clave en el desarrollo web

Desde su lanzamiento en 2017, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ha sido un pilar para desarrolladores, educadores y creadores de prototipos, permitiendo la creación y edición de aplicaciones web directamente desde el navegador. En su apogeo, en 2019, Glitch alojaba más de 2,5 millones de aplicaciones, destacando por su interfaz intuitiva y sus funciones de colaboración en tiempo real.

Sin embargo, el entorno tecnológico ha cambiado rápidamente. El aumento de costes de alojamiento y los abusos de la plataforma por parte de actores maliciosos han sido determinantes en la decisión de Glitch de cerrar este capítulo.

Alternativas a Glitch para desarrolladores

El equipo de Glitch reconoce que hoy existen soluciones más modernas y escalables para el desarrollo web. Algunas de las alternativas a Glitch más populares incluyen:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Deno Deploy
• Netlify
• GitHub Pages

En lugar de competir directamente con estas plataformas, Glitch ha optado por redireccionar sus esfuerzos hacia nuevas formas de servir a la comunidad de desarrolladores, como destacar proyectos que se encuentren alojados en plataformas externas.

¿Cómo prepararse para el cierre de Glitch?

Por el momento, Glitch recomienda a sus usuarios visitar el foro de la comunidad para obtener ayuda y consejos sobre la migración de proyectos. Además, están trabajando en la publicación de una guía detallada que facilitará la transición a nuevas plataformas de desarrollo y alojamiento.

En fin, el cierre del alojamiento de aplicaciones en Glitch marca el fin de una era para muchos desarrolladores web. Sin embargo, también representa una oportunidad para adoptar nuevas herramientas y flujos de trabajo más modernos. Con tiempo suficiente para migrar y redireccionamientos garantizados hasta 2026, los usuarios pueden planificar esta transición sin prisa, asegurando que sus proyectos sigan funcionando en nuevos entornos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han identificado una grave vulnerabilidad de inyección de avisos indirecta en GitLab Duo, el asistente de inteligencia artificial (IA) integrado en la plataforma de desarrollo GitLab. Esta falla podría haber permitido a atacantes robar código fuente de proyectos privados, exfiltrar vulnerabilidades críticas y redirigir a las víctimas a sitios web maliciosos mediante la inserción de HTML no confiable en las respuestas del asistente.

¿Qué es GitLab Duo y cómo funciona?

GitLab Duo es un asistente de codificación basado en IA, diseñado para ayudar a los desarrolladores a escribir, revisar y modificar código de forma eficiente. Introducido en junio de 2023, este sistema utiliza los modelos de lenguaje de Claude, desarrollados por Anthropic, y forma parte del esfuerzo de GitLab por integrar inteligencia artificial en sus flujos de trabajo de DevOps.

La vulnerabilidad: inyección de avisos indirecta

Según la firma Legit Security, el asistente GitLab Duo Chat era vulnerable a un tipo de ataque conocido como inyección de avisos indirecta. A diferencia de las inyecciones directas, este tipo de ataques introduce instrucciones maliciosas ocultas en contextos aparentemente inofensivos, como comentarios, descripciones de issues, mensajes de confirmación o incluso fragmentos de código. Al procesar estos elementos, la IA ejecuta sin saberlo comandos diseñados por el atacante.

Impacto potencial

Los efectos de esta vulnerabilidad son significativos:

• Robo de código fuente privado de proyectos confidenciales.
• Manipulación de las sugerencias de código que GitLab Duo muestra a otros usuarios.
• Filtración de vulnerabilidades de día cero aún no divulgadas públicamente.
• Inyección de HTML malicioso que puede generar enlaces a sitios de phishing o ejecutar código JavaScript no autorizado.

Técnicas de evasión utilizadas por los atacantes

Los atacantes utilizaron técnicas avanzadas para ocultar sus instrucciones maliciosas:

• Codificación en Base16 y Unicode.
• Uso de formatos como KaTeX en texto blanco.
• Aprovechamiento de la representación de Markdown en streaming, que permite interpretar HTML mientras se genera la respuesta del asistente.

Estas técnicas complicaban la detección de los avisos inyectados y permitían que se ejecutaran silenciosamente en el navegador del usuario.

Cómo fue posible la explotación

La vulnerabilidad radica en que GitLab Duo analiza todo el contexto visible en la página, sin realizar un filtrado adecuado de los datos introducidos por los usuarios. Esto incluye descripciones, comentarios y código fuente. Esta falta de sanitización permitió que los atacantes sembraran instrucciones maliciosas en múltiples partes del entorno de desarrollo.

El investigador Omer Mayraz señaló que esto también permitía incluir código JavaScript malicioso dentro de los fragmentos sugeridos por Duo o disfrazar URL maliciosas como enlaces seguros, redirigiendo a las víctimas a páginas falsas de inicio de sesión para el robo de credenciales.

Filtración de datos mediante solicitudes de fusión

Legit Security demostró que era posible insertar comentarios maliciosos en las descripciones de las solicitudes de fusión (merge requests). Cuando GitLab Duo procesaba estas solicitudes, el código fuente sensible podía ser enviado automáticamente a un servidor controlado por los atacantes.

Esto fue posible gracias al uso de Markdown de streaming, que interpretaba las respuestas en HTML mientras se generaban, permitiendo la ejecución inadvertida de código HTML malicioso.

Medidas tomadas por GitLab

Tras una divulgación responsable realizada el 12 de febrero de 2025, GitLab corrigió la vulnerabilidad. Sin embargo, el incidente destaca los riesgos asociados con la incorporación de asistentes de IA en procesos de desarrollo sensibles, especialmente en plataformas utilizadas por grandes equipos y empresas.

"Esta vulnerabilidad pone de relieve el doble filo de los asistentes de IA como GitLab Duo", afirmó Mayraz. "Pueden ser herramientas poderosas, pero también introducen vectores de ataque que antes no existían".

Contexto más amplio: otros incidentes similares

Este hallazgo coincide con otras investigaciones recientes sobre asistentes de IA:

• Microsoft Copilot para SharePoint también fue señalado por permitir a atacantes acceder a documentos confidenciales incluso desde archivos con permisos restringidos.
• ElizaOS (anteriormente Ai16z), un framework de agentes IA descentralizados para Web3, puede ser manipulado con instrucciones ocultas que afectan múltiples usuarios y provocan transferencias de activos indeseadas.
• Se ha identificado que los modelos de lenguaje también son vulnerables a técnicas de jailbreaking y alucinaciones, donde la IA produce respuestas erróneas o inventadas sin base en los datos de entrada.

En fin, la exposición de GitLab Duo a ataques por inyección de avisos indirecta revela los desafíos en la seguridad de sistemas basados en inteligencia artificial. Aunque GitLab actuó con rapidez para resolver el problema, el incidente subraya la necesidad de aplicar controles de seguridad más estrictos en entornos de desarrollo con asistencia de IA.

Las organizaciones que adopten soluciones de IA deben considerar no solo los beneficios en productividad, sino también los riesgos latentes que pueden comprometer la integridad de sus sistemas y la privacidad de sus datos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un grupo de investigadores de ciberseguridad ha revelado que un actor de amenazas, identificado como ViciousTrap, ha comprometido cerca de 5.300 dispositivos de red perimetral en 84 países, convirtiéndolos en parte de una red de honeypots maliciosa. La mayoría de los dispositivos infectados se encuentran en Macao, con más de 850 routers afectados.

Vulnerabilidad CVE-2023-20118: el punto de entrada

El actor de amenazas está explotando la vulnerabilidad crítica CVE-2023-20118, que afecta a varios modelos de routers Cisco Small Business, entre ellos:

• RV016
• RV042
• RV042G
• RV082
• RV320
• RV325

Esta falla permite la ejecución remota de comandos no autorizados, lo que ha facilitado el secuestro masivo de dispositivos y su incorporación a una red controlada por el atacante.

NetGhost: el script malicioso detrás de la operación

Según un análisis publicado por Sekoia, la cadena de infección comienza con la ejecución de un script de shell denominado NetGhost, diseñado para redirigir el tráfico entrante desde puertos específicos del router comprometido hacia una infraestructura controlada por el atacante. Esto permite a ViciousTrap interceptar y analizar el tráfico, simulando un entorno tipo honeypot.

Citar"El mecanismo de redireccionamiento posiciona efectivamente al atacante como un observador silencioso, capaz de recopilar intentos de explotación y accesos a web shells en tránsito", explicaron los investigadores Felix Aimé y Jeremy Scion.

ViciousTrap vs PolarEdge: ¿dos campañas relacionadas?

Aunque previamente la explotación de la CVE-2023-20118 se atribuyó a otra botnet conocida como PolarEdge, los analistas de Sekoia no han encontrado evidencia concluyente que vincule ambas operaciones. Sin embargo, se han detectado indicios de reutilización de código, incluyendo un web shell no documentado empleado en ataques anteriores por PolarEdge.

Ampliando el alcance: más de 50 marcas afectadas

ViciousTrap no se limita a routers Cisco. Se cree que el grupo está atacando una amplia gama de dispositivos orientados a Internet, entre ellos:

• Routers SOHO
• Sistemas VPN SSL
• Grabadoras de video digital (DVR)
• Controladores BMC

Entre las marcas objetivo se incluyen ASUS, D-Link, Linksys, QNAP y Araknis Networks, lo que sugiere un esfuerzo coordinado para recopilar información sobre herramientas de explotación y potencialmente capturar vulnerabilidades de día cero (0-day).

Proceso detallado de infección

Explotación inicial: uso de CVE-2023-20118 para ejecutar un script bash mediante ftpget.

• Descarga del binario wget desde un servidor externo.
• Segunda explotación de la vulnerabilidad, esta vez para ejecutar un nuevo script descargado con wget.
• Ejecución de NetGhost, que redirige el tráfico de red y borra su rastro del sistema comprometido.

Este proceso permite al atacante realizar ataques tipo adversario en el medio (AitM) y mantener un bajo perfil, dificultando su detección.

Origen y atribución geográfica

Los intentos de explotación iniciales se remontan a marzo de 2025 y provienen de la dirección IP 101.99.91[.]151, ubicada en Malasia y registrada bajo el Sistema Autónomo AS45839, operado por Shinjiru, un proveedor de hosting. En mayo de 2025, se detectaron nuevos ataques desde otra IP (101.99.91[.]239), esta vez dirigidos a routers ASUS.

Aunque no se han configurado honeypots en esos dispositivos adicionales, el patrón sugiere un intento por expandir la infraestructura de vigilancia y recopilación de datos. Sekoia apunta a un posible origen chino para ViciousTrap, basándose en similitudes con la infraestructura GobRAT y en el hecho de que el tráfico interceptado se redirige a activos en Taiwán y Estados Unidos.

Objetivo incierto, impacto potencial alto

Aunque el objetivo final de ViciousTrap sigue sin estar claro, los investigadores concluyen con alta confianza que se trata de una red global de honeypots maliciosos. Esta infraestructura podría usarse para:

• Espionaje cibernético
• Recolección de exploits desconocidos
• Análisis de tácticas de otros grupos de amenazas
• Desarrollo de nuevos ataques dirigidos

Recomendaciones para prevenir la explotación de CVE-2023-20118

• Actualizar el firmware de los routers Cisco Small Business y otros dispositivos orientados a Internet.
• Deshabilitar el acceso remoto si no es estrictamente necesario.
• Implementar soluciones de detección de intrusos (IDS) y firewalls avanzados.
• Supervisar los logs de red para identificar comportamientos inusuales o comandos ejecutados sin autorización.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ciberdelincuentes han lanzado una nueva campaña maliciosa en TikTok utilizando tácticas de ingeniería social para propagar los malware de robo de información Vidar y StealC. Esta amenaza, identificada por investigadores de Trend Micro, forma parte de una táctica denominada ClickFix, que aprovecha la popularidad de la red social para engañar a los usuarios y hacerlos ejecutar comandos maliciosos de PowerShell.

¿Cómo funciona el ataque ClickFix en TikTok?

Los atacantes publican videos en TikTok, probablemente generados con inteligencia artificial (IA), que simulan ser tutoriales para activar Windows, Microsoft Office o desbloquear funciones premium en aplicaciones legítimas como CapCut o Spotify. Los videos muestran instrucciones detalladas y convincentes que alientan a los usuarios a ejecutar comandos de PowerShell bajo la falsa premisa de mejorar su experiencia.

CitarSegún Trend Micro:

"Este ataque utiliza videos (posiblemente generados por IA) para instruir a los usuarios a ejecutar comandos de PowerShell que en realidad descargan malware. El alcance algorítmico de TikTok amplifica la exposición, con videos que alcanzan cientos de miles de visitas."

Uno de estos videos, que promete mejorar Spotify "al instante", ya acumula cerca de 500,000 visualizaciones, 20,000 me gusta y más de 100 comentarios.

El funcionamiento del ataque: de TikTok al robo de datos

Cuando los usuarios siguen las instrucciones del video, ejecutan un comando de PowerShell que descarga un script remoto desde You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login[.]me/spotify. Este script instala el malware Vidar o StealC, ejecutándolo en segundo plano con privilegios elevados.

Funcionalidades del malware Vidar:

• Captura de pantalla del escritorio
• Robo de credenciales y contraseñas almacenadas
• Exfiltración de cookies, tarjetas de crédito y billeteras de criptomonedas
• Acceso a archivos de texto y bases de datos de autenticación de Authy 2FA

Capacidades del malware StealC:

• Robo de datos desde navegadores web y aplicaciones de criptomonedas
• Recolección de archivos sensibles del sistema
• Monitoreo del comportamiento del usuario

Después de comprometer el sistema, el malware descarga una segunda carga útil desde You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login[.]co/script[.]PS1, que añade una entrada en el registro de Windows para ejecutar el script automáticamente al inicio del sistema.

¿Qué es ClickFix y por qué es peligroso?

ClickFix es una técnica de ataque que emplea falsos mensajes de error o CAPTCHA fraudulentos para manipular al usuario y lograr que ejecute scripts maliciosos. Aunque inicialmente se dirigía a sistemas Windows, ya se han observado variantes dirigidas a macOS y Linux.

Además de actores criminales independientes, grupos de amenazas patrocinados por Estados también han empleado esta técnica:

• APT28 y ColdRiver (Rusia)
• Kimsuky (Corea del Norte)
• MuddyWater (Irán)

Estas organizaciones han incorporado ClickFix en campañas de espionaje cibernético, demostrando la efectividad y versatilidad de esta táctica maliciosa.

TikTok: una plataforma en crecimiento para campañas de malware

Esta campaña no es un caso aislado. En el pasado, los ciberdelincuentes han utilizado desafíos virales de TikTok para distribuir malware. Un ejemplo fue el "Invisible Challenge", que se usó para propagar el WASP Stealer (también conocido como Discord Token Grabber). Esta amenaza fue distribuida mediante videos virales con más de un millón de visitas, infectando a miles de usuarios.

El malware WASP Stealer permite:

• Robar credenciales de Discord
• Acceder a contraseñas y tarjetas de crédito
• Vaciar billeteras de criptomonedas

Además, TikTok ha sido aprovechado por estafadores de criptomonedas, quienes publican falsas promociones de Elon Musk, Tesla y SpaceX para engañar a los usuarios e inducirlos a entregar sus claves privadas y datos financieros.

Recomendaciones para evitar infecciones por malware en TikTok

• Desconfía de videos que te pidan ejecutar comandos de PowerShell, incluso si parecen inofensivos o provienen de cuentas populares.
• Verifica siempre la autenticidad de los tutoriales, especialmente los relacionados con activaciones de software o funciones premium.
• Usa soluciones de ciberseguridad actualizadas con protección en tiempo real contra scripts y malware.
• No descargues archivos desde enlaces acortados o sospechosos, especialmente si provienen de redes sociales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La aplicación de mensajería segura Signal ha implementado una actualización clave en su versión para Windows 11 con el objetivo de proteger la privacidad de los usuarios frente a las nuevas funciones de inteligencia artificial impulsadas por Microsoft. En particular, Signal ha activado por defecto su función de "seguridad de pantalla" para bloquear el acceso de Recall, la polémica herramienta de Microsoft que captura y analiza capturas de pantalla de forma continua.

¿Qué es Microsoft Recall y por qué es un riesgo para la privacidad?

Recall, presentada por Microsoft en mayo de 2024, es una función basada en IA que toma capturas de pantalla periódicas de todas las ventanas activas del sistema para crear una base de datos indexada que puede consultarse mediante lenguaje natural. Aunque la idea detrás de Recall es facilitar la productividad, expertos en ciberseguridad han advertido que representa una amenaza significativa para la privacidad, ya que puede ser explotada por atacantes para robar información confidencial.

Para mitigar el riesgo, Microsoft anunció varios ajustes en Recall, incluyendo:

• Requerir autenticación con Windows Hello.
• Excluir ciertas aplicaciones, sitios web y sesiones privadas.
• Filtrar datos sensibles como contraseñas o números de tarjeta de crédito.
• Incorporar protecciones contra malware y ataques automatizados.

Sin embargo, estas medidas no han sido suficientes para tranquilizar a todos los usuarios ni a los desarrolladores de aplicaciones centradas en la privacidad como Signal.

Signal activa la seguridad de pantalla para bloquear Recall

Ante esta situación, Signal ha decidido actuar por su cuenta. La nueva función de "seguridad de pantalla" en Signal Desktop para Windows 11 impide que Recall y otras aplicaciones puedan realizar capturas de pantalla de las conversaciones, gracias al uso de una etiqueta de gestión de derechos digitales (DRM) que restringe el acceso al contenido visible de la aplicación.

Según Joshua Lund, desarrollador de Signal, "Microsoft no nos ha dejado otra opción. Aunque la compañía ha realizado varios ajustes a Recall en los últimos doce meses, su funcionamiento sigue poniendo en riesgo los datos sensibles mostrados en aplicaciones como Signal".

Consideraciones de accesibilidad y control del usuario

Signal reconoce que habilitar la seguridad de pantalla puede afectar la experiencia de usuarios que utilizan lectores de pantalla, especialmente en entornos como macOS o Linux, donde esta función no impide que otros programas capturen imágenes o grabaciones de las conversaciones.

Por este motivo, Signal permite desactivar la seguridad de pantalla manualmente desde el menú Configuración > Privacidad > Seguridad de la pantalla. No obstante, al hacerlo, la aplicación mostrará una advertencia destacando que Windows podría volver a capturar pantallas de los chats si Recall u otras herramientas están activas.

Un llamado a los desarrolladores de IA

Lund también expresó su preocupación sobre el enfoque de Microsoft y otros equipos de IA, señalando que las aplicaciones centradas en la privacidad no deberían verse obligadas a implementar soluciones de tipo "hack" para proteger los datos de sus usuarios.

Citar"Esperamos que los desarrolladores de IA consideren más seriamente las implicaciones de privacidad. Las personas no deberían tener que elegir entre accesibilidad y seguridad digital", afirmó Lund.

Recall ya está disponible en Windows 11 para el público general

En abril de 2025, Microsoft comenzó el despliegue de Recall a través de la actualización KB5055627 para dispositivos Copilot+. En mayo, amplió su disponibilidad a todos los usuarios que instalaron las actualizaciones del martes de parches correspondientes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una operación internacional coordinada por Europol, denominada Operación RapTor, ha resultado en el arresto de 270 sospechosos vinculados a actividades criminales en la web oscura. Esta acción policial se centró en proveedores y compradores que operaban en mercados clandestinos en línea a lo largo de 10 países.

Las autoridades de Europa, América del Sur, Asia y Estados Unidos participaron en esta operación masiva, que también llevó a la incautación de más de 184 millones de euros (207 millones de dólares) en efectivo y criptomonedas, más de 2 toneladas de drogas (como anfetaminas, cocaína, ketamina, opioides y cannabis), y más de 180 armas de fuego.

Golpe mundial al crimen organizado en la web oscura

"Una operación global de aplicación de la ley, coordinada por Europol, ha asestado un gran golpe a las redes criminales de la dark web, con 270 arrestos de vendedores y compradores ilegales en múltiples países", declaró la agencia europea el jueves.

La Operación RapTor fue diseñada para desmantelar redes dedicadas al tráfico de drogas, armas y productos falsificados que operaban bajo la apariencia del anonimato en la darknet. Las fuerzas del orden utilizaron inteligencia obtenida de operaciones anteriores, como los cierres de los mercados ilegales Nemesis, Tor2Door, Bohemia y Kingdom Market, para identificar a los sospechosos.

Detenciones internacionales por país

La mayoría de los arrestos se llevaron a cabo en:

• Estados Unidos: 130 detenciones
• Alemania: 42
• Reino Unido: 37
• Francia: 29
• Corea del Sur: 19

Otros 13 sospechosos fueron detenidos en Países Bajos, Austria, Brasil, España y Suiza, reflejando el alcance verdaderamente global de esta ofensiva contra la delincuencia digital.

Inteligencia y colaboración: las claves del éxito

Edvardas Šileris, jefe del Centro Europeo de Ciberdelincuencia (EC3) de Europol, destacó la importancia de la colaboración internacional:

Citar"La Operación RapTor demuestra que la web oscura no es inmune al alcance de la ley. La cooperación entre agencias y el intercambio de inteligencia han sido fundamentales para identificar y arrestar a criminales que creían estar ocultos en las sombras digitales."

El equipo Joint Criminal Opioid and Darknet Enforcement (JCODE) del Departamento de Justicia de EE.UU. y Europol continúan analizando evidencia digital recopilada en redadas anteriores para localizar a otros sospechosos vinculados a actividades ilícitas en la darknet.

Antecedentes de operaciones similares contra la web oscura

La Operación RapTor forma parte de una serie de ofensivas globales lideradas por Europol y agencias asociadas para combatir la ciberdelincuencia y el narcotráfico digital:

• Operación SpecTor (2023): 288 arrestos y más de 55 millones de dólares incautados.
• Operación DisrupTor (2020): 179 detenciones de proveedores de la darknet.
• Operación Dark HunTOR (2021): 150 arrestos adicionales en plataformas ilícitas.
• Operación contra Hydra (2022): cierre del mayor mercado de la web oscura, con más de 19.000 cuentas de vendedores y más de 17 millones de clientes a nivel global.

Impacto en el ecosistema de la darknet

Estas operaciones han enviado un mensaje claro a los usuarios de la web oscura: el anonimato no garantiza impunidad. Los arrestos masivos y las incautaciones millonarias demuestran que las autoridades poseen los medios técnicos y legales para rastrear, identificar y detener a los delincuentes digitales, incluso en entornos cifrados y distribuidos.

En fin, la Operación RapTor representa uno de los mayores golpes recientes contra la criminalidad en la web oscura, con un alcance multinacional, incautaciones significativas y un fuerte impacto disuasorio. La colaboración entre agencias de ciberseguridad, policía internacional y unidades especializadas en criptomonedas es clave para frenar el crecimiento de la economía criminal en línea.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las campañas de ciberdelincuentes están evolucionando para atacar a usuarios de macOS mediante aplicaciones falsas de Ledger, con el objetivo de robar frases semilla y obtener acceso completo a billeteras de criptomonedas.

Ledger, una de las marcas más reconocidas de billeteras de hardware para criptomonedas, permite almacenar activos digitales de forma segura y fuera de línea. Su mecanismo de recuperación, la frase semilla (seed phrase), es un conjunto de 12 o 24 palabras aleatorias que permite restaurar el acceso a los fondos. Esta frase debe guardarse en privado, fuera de línea y nunca ser introducida en software o sitios no oficiales.

Evolución de los ataques contra usuarios de Ledger en macOS

Según un informe reciente de Moonlock Lab, los ataques comenzaron en agosto de 2024, cuando versiones maliciosas de la app Ledger Live clonaban la interfaz legítima para recolectar contraseñas, notas y detalles de las billeteras, aunque sin lograr acceso completo a los fondos.

Sin embargo, a partir de marzo de 2025, los ataques evolucionaron con la aparición de un malware para macOS llamado Odyssey, vinculado a un actor de amenazas identificado como Rodrigo. Esta variante sustituye la aplicación Ledger Live real por una versión troyanizada que muestra un mensaje de "error crítico" y luego solicita a la víctima que ingrese su frase inicial de 24 palabras en una interfaz falsa.

Una vez introducida la frase semilla, los atacantes pueden vaciar completamente las carteras Ledger, robando activos como Bitcoin, Ethereum y otras criptomonedas en cuestión de segundos.

Malware Odyssey y campañas imitadoras

Odyssey también es capaz de robar nombres de usuario de macOS y exfiltrar toda la información recopilada a un servidor C2 (comando y control). Su efectividad generó rápidamente la aparición de malware imitador, como el conocido ladrón AMOS, que adoptó estrategias similares para atacar a los usuarios.

En abril, se detectó una campaña de AMOS utilizando un archivo DMG troyanizado (JandiInstaller.dmg) que logra evadir Gatekeeper, el sistema de seguridad de macOS. Esta aplicación mostraba pantallas de phishing idénticas a las de Odyssey. Una vez que la víctima introducía su frase semilla, se mostraba un mensaje falso de "Aplicación corrupta", lo que retrasaba la sospecha mientras se realizaba el robo de activos.

Nuevos actores y campañas activas en 2025

Investigadores de la empresa de seguridad Jamf detectaron recientemente una campaña en curso en la que un archivo DMG ejecuta una versión falsa de Ledger Live que carga una página de phishing mediante iframe, imitando la interfaz oficial. Estos ataques combinan técnicas de phishing dirigido, robo de datos del navegador, y análisis del sistema macOS, para maximizar la extracción de información sensible y criptomonedas.

Además, otro actor identificado en foros de la dark web, bajo el alias @mentalpositive, ha estado promocionando un supuesto módulo "anti-Ledger", aunque hasta ahora no se han detectado muestras funcionales.

Cómo proteger tu billetera Ledger en macOS

Para mantener tus activos digitales seguros y proteger tu billetera Ledger en macOS:

• Descarga Ledger Live solo desde el sitio oficial (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login).
• Nunca ingreses tu frase semilla en una aplicación o sitio web. La frase solo debe escribirse en el dispositivo físico de Ledger durante la configuración o recuperación.
• Evita abrir archivos .DMG de fuentes no verificadas. Verifica la firma del desarrollador antes de instalar cualquier software.
• Activa Gatekeeper y el escaneo automático de malware en tu Mac.
• Considera utilizar software antivirus específico para macOS que detecte malware como Odyssey o AMOS.

En fin, los ataques dirigidos a usuarios de Ledger en macOS están aumentando en frecuencia y sofisticación. El objetivo principal de los ciberdelincuentes es la frase semilla, el acceso maestro a tus criptomonedas. La mejor defensa es la prevención, evitando apps no oficiales y manteniéndose alerta ante cualquier comportamiento sospechoso del sistema.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un grupo de amenazas persistentes avanzadas de habla china, identificado como UAT-6382, ha sido vinculado a la explotación activa de la vulnerabilidad CVE-2025-0944 en el software Trimble Cityworks, con el objetivo de comprometer redes gubernamentales en Estados Unidos. Esta campaña maliciosa permitió la distribución de Cobalt Strike y VShell, dos herramientas ampliamente utilizadas para el control remoto y la persistencia en entornos comprometidos.

Explotación de la vulnerabilidad CVE-2025-0944

La vulnerabilidad CVE-2025-0944, con una puntuación CVSS de 8.6, corresponde a un fallo de deserialización de datos no confiables en Trimble Cityworks, una plataforma de gestión de activos basada en GIS utilizada por múltiples organismos públicos. Esta falla permitía la ejecución remota de código (RCE) en sistemas vulnerables.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) añadió CVE-2025-0944 a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) en febrero de 2025, tras confirmar su uso activo en campañas dirigidas.

Técnicas del grupo UAT-6382

Según un análisis técnico publicado por los investigadores de Cisco Talos, Asheer Malhotra y Brandon White, los ataques comenzaron a partir de enero de 2025 y se enfocaron principalmente en redes empresariales de agencias gubernamentales locales dentro de Estados Unidos.

Citar"UAT-6382 explotó con éxito CVE-2025-0944, realizó tareas de reconocimiento inicial y desplegó una serie de shells web y malware personalizado para mantener acceso persistente", explicaron los expertos.

Una vez obtenido el acceso inicial, UAT-6382 mostró especial interés en sistemas relacionados con la gestión de servicios públicos, apuntando directamente a infraestructuras críticas.

Herramientas utilizadas en la intrusión

La explotación de Trimble Cityworks permitió a UAT-6382 desplegar un cargador de malware escrito en Rust, identificado por Cisco Talos como TetraLoader. Esta herramienta está basada en MaLoader, un framework de construcción de malware disponible públicamente y escrito en chino simplificado, lo que refuerza el vínculo del grupo con actores de origen chino.

TetraLoader fue utilizado para cargar y ejecutar:

• Cobalt Strike, una conocida herramienta de post-explotación usada en pruebas de penetración y por actores maliciosos.
• VShell, una herramienta de acceso remoto (RAT) desarrollada en Go, utilizada para mantener el acceso a largo plazo a los sistemas infectados.

Además, los atacantes desplegaron una variedad de web shells populares en el ecosistema de cibercrimen chino, entre ellos:

• AntSword
• chinatso/Chopper
• Behinder

Estas herramientas facilitaron la ejecución remota de comandos, el movimiento lateral y la exfiltración de datos sensibles.

Reconocimiento y persistencia

Durante la campaña, los operadores de UAT-6382 realizaron una enumeración exhaustiva de directorios en los servidores comprometidos para identificar archivos de interés. Luego, trasladaron estos archivos a directorios donde se encontraban los web shells, permitiendo así una exfiltración discreta.

Citar"UAT-6382 descargó e implementó múltiples puertas traseras usando PowerShell, lo que les permitió mantener control total sobre los sistemas comprometidos", detallaron los investigadores de Cisco Talos.

Recomendaciones de seguridad

Aunque la vulnerabilidad ya ha sido parcheada por Trimble, es crucial que las organizaciones tomen medidas inmediatas para reducir el riesgo de compromisos similares:

• Aplicar todas las actualizaciones de seguridad disponibles para Trimble Cityworks.
• Realizar una auditoría de los sistemas potencialmente expuestos a través de CVE-2025-0944.
• Monitorizar indicadores de compromiso (IoCs) asociados con TetraLoader, Cobalt Strike, VShell y los shells web mencionados.
• Implementar reglas de detección para PowerShell anómalo y procesos ejecutados desde ubicaciones no estándar.

En fin, el ataque dirigido por UAT-6382 contra sistemas que utilizan Trimble Cityworks representa una grave amenaza para las infraestructuras gubernamentales locales, aprovechando una vulnerabilidad crítica para desplegar herramientas avanzadas de ciberespionaje. Esta campaña refuerza la necesidad urgente de mantener una gestión de vulnerabilidades proactiva, así como una vigilancia constante frente a amenazas persistentes avanzadas (APT) de origen extranjero.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva vulnerabilidad de escalada de privilegios en Windows Server 2025 podría permitir que atacantes comprometan a cualquier usuario dentro de un entorno de Active Directory (AD), incluidos los administradores de dominio. El fallo está relacionado con una función recientemente introducida: las Cuentas de Servicio Administradas Delegadas (dMSA).

¿En qué consiste la vulnerabilidad?

La investigación, publicada por Yuval Gordon, experto en seguridad de Akamai, y compartida con The Hacker News, revela que el fallo puede ser explotado con la configuración predeterminada de Windows Server 2025, lo que lo convierte en un vector de ataque potencialmente masivo.

Citar"El ataque explota la función dMSA introducida en Windows Server 2025, funciona con la configuración por defecto y es trivial de implementar", explicó Gordon.

Según los análisis de Akamai, el 91% de los entornos evaluados presentaban usuarios fuera del grupo de administradores de dominio con los permisos necesarios para llevar a cabo el ataque.

¿Qué son las cuentas dMSA y por qué son un riesgo?

Las dMSA (Delegated Managed Service Accounts) fueron incorporadas en Windows Server 2025 como una solución para reemplazar cuentas de servicio tradicionales y mitigar ataques como el Kerberoasting. Estas cuentas permiten crear servicios administrados más seguros y con menor exposición de contraseñas.

Sin embargo, esta misma funcionalidad puede ser manipulada para crear una vía de ataque que ha sido bautizada por Akamai como BadSuccessor.

Citar"dMSA permite a los usuarios crear nuevas cuentas de servicio o reemplazar cuentas de servicio existentes. Durante este proceso, la autenticación se gestiona mediante la Autoridad de Seguridad Local (LSA) y el nuevo dMSA hereda todos los accesos previos", explica Microsoft en su documentación oficial.

El problema de seguridad: PAC y SIDs heredados

El problema se origina en la fase de autenticación Kerberos. Cuando un ticket de concesión de tickets (TGT) es emitido por el Centro de Distribución de Claves (KDC), el certificado de atributo de privilegio (PAC) incluido en el ticket contiene el identificador de seguridad (SID) de la nueva dMSA, así como los SIDs del usuario original y sus grupos asociados.

Esta transferencia de permisos no intencionada puede ser aprovechada por atacantes para simular una migración legítima de cuenta, escalando privilegios sin necesidad de tener control sobre la cuenta de origen. Incluso si una organización no utiliza dMSA, podría estar en riesgo.

Citar"Lo más preocupante es que esta técnica de migración simulada no requiere permisos sobre la cuenta reemplazada, solo permisos de escritura sobre los atributos de cualquier dMSA", advirtió Gordon.

Una vez configurada una dMSA como sucesora de un usuario, el KDC asume una migración válida y asigna todos los permisos del usuario anterior a la nueva cuenta, permitiendo incluso obtener privilegios comparables al derecho de replicación de cambios de directorio, usado comúnmente en ataques DCSync.

Respuesta de Microsoft y mitigaciones

Akamai notificó a Microsoft el 1 de abril de 2025. La compañía de Redmond clasificó el fallo como de gravedad moderada, ya que la explotación requiere permisos específicos sobre objetos dMSA. Sin embargo, se confirmó que un parche ya está en desarrollo.

Mientras tanto, no existe una solución inmediata, por lo que se recomienda a las organizaciones tomar medidas proactivas:

• Restringir la capacidad de crear dMSA a usuarios o grupos estrictamente necesarios.
• Endurecer permisos en unidades organizativas (OU).
• Auditar permisos CreateChild en Active Directory.
• Usar el script de PowerShell publicado por Akamai, el cual permite enumerar todas las entidades que pueden crear dMSA y las OU donde tienen permiso.

En fin, esta vulnerabilidad en Windows Server 2025 demuestra cómo incluso nuevas funciones de seguridad pueden ser explotadas si no se implementan con un control de permisos riguroso. El ataque BadSuccessor representa una amenaza crítica para entornos Active Directory, especialmente aquellos que aún no han auditado su uso de dMSA.

Se recomienda a todos los administradores de sistemas y responsables de ciberseguridad que evalúen de inmediato sus políticas de permisos y creación de cuentas de servicio, en espera de un parche oficial por parte de Microsoft.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login