Google ha publicado su actualización de seguridad de mayo de 2025 para Android, corrigiendo un total de 46 vulnerabilidades que afectan al sistema operativo. Entre ellas destaca CVE-2025-27363, una falla crítica en el componente del sistema que ha sido explotada activamente en escenarios del mundo real.

La vulnerabilidad, clasificada con una puntuación CVSS de 8.1, permite la ejecución de código local sin privilegios adicionales y sin interacción del usuario, lo que la convierte en una amenaza significativa para millones de dispositivos Android.

¿Qué es CVE-2025-27363 y por qué es peligrosa?

Este fallo de seguridad se origina en FreeType, una biblioteca de renderizado de fuentes de código abierto ampliamente utilizada en Android. Fue reportado inicialmente por Meta (Facebook) en marzo de 2025 y afecta al procesamiento de fuentes TrueType GX y variables. El problema, descrito como un error de escritura fuera de los límites, puede ser explotado para ejecutar código malicioso.

Google reconoció oficialmente en su boletín de seguridad Android de mayo que CVE-2025-27363 podría estar siendo utilizada en ataques dirigidos, aunque no se han revelado detalles técnicos sobre la naturaleza de estas intrusiones.

La vulnerabilidad ya ha sido corregida en las versiones de FreeType posteriores a la 2.13.0, por lo que se recomienda a los desarrolladores y fabricantes de dispositivos actualizar sus sistemas lo antes posible.

Más fallas solucionadas en Android

Además de CVE-2025-27363, Google ha solucionado otras ocho vulnerabilidades críticas dentro del sistema Android, así como 15 fallas en el módulo Framework. Estas podrían facilitar ataques de escalada de privilegios, filtración de datos sensibles o denegación de servicio (DoS).

El boletín destaca que muchas de estas vulnerabilidades afectan únicamente a versiones anteriores del sistema operativo, lo que refuerza el consejo de Google:

Citar"Recomendamos a todos los usuarios actualizar a la versión más reciente de Android siempre que sea posible".

¿Por qué es importante actualizar Android?

Las actualizaciones de seguridad mensuales son esenciales para proteger dispositivos Android frente a amenazas emergentes. Vulnerabilidades como CVE-2025-27363, que ya están siendo explotadas activamente, representan un riesgo real de infección por malware, robo de datos personales o control remoto del dispositivo.

Actualizar garantiza que los parches de seguridad más recientes se apliquen, reduciendo significativamente el riesgo de ataques y mejorando la estabilidad general del sistema.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En una reciente investigación de ciberseguridad, expertos de Infoblox han revelado dos campañas sofisticadas de estafas de inversión, impulsadas por actores de amenazas denominados Reckless Rabbit y Ruthless Rabbit. Estos grupos se especializan en la creación de plataformas fraudulentas, utilizando patrocinios falsos de celebridades, sistemas de distribución de tráfico (TDS) y técnicas avanzadas de evasión para engañar a usuarios desprevenidos, especialmente en Europa del Este.

Cómo operan las campañas de estafa

Ambos grupos emplean anuncios pagados en redes sociales, principalmente en Facebook, para atraer víctimas. Estos anuncios redirigen a sitios que simulan ser artículos de noticias con respaldo de celebridades conocidas. Al hacer clic, las víctimas son llevadas a supuestas plataformas de inversión que contienen formularios web diseñados para recolectar información personal: nombre, teléfono, correo electrónico, e incluso generar contraseñas automáticas.

Esta información es utilizada para validar a los usuarios mediante consultas a servicios legítimos como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login e You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, filtrando a aquellos que no pertenecen a los países objetivo o cuyos datos parecen falsos. Si los datos son considerados válidos, el usuario es redirigido a través de un sistema TDS que lo lleva a la página de estafa definitiva.

Infraestructura y camuflaje digital

Reckless Rabbit ha estado utilizando un algoritmo de generación de dominios registrados (RDGA) desde abril de 2024 para registrar dominios únicos vinculados a las plataformas fraudulentas. A diferencia de los DGA tradicionales, los RDGA ocultan el algoritmo de creación de dominios, lo que dificulta su detección.

Los anuncios de Facebook que promueven estos fraudes están mezclados con contenido legítimo, como productos reales disponibles en Amazon, lo que permite evadir los filtros de seguridad de las plataformas publicitarias. Además, emplean dominios señuelo visibles (como "amazon[.]pl") que difieren del dominio real de destino (por ejemplo, "tyxarai[.]org"), ocultando así su verdadera naturaleza maliciosa.

Ruthless Rabbit y su sistema propio de verificación

Ruthless Rabbit, activo desde al menos noviembre de 2022, ha establecido un sistema propio de validación con su dominio mcraftdb[.]tech. Al igual que Reckless Rabbit, dirige a los usuarios verificados a plataformas fraudulentas donde se les solicita ingresar datos financieros bajo la promesa de una oportunidad de inversión rentable.

Una vez dentro del sistema, las víctimas pueden ser guiadas a través de llamadas telefónicas por operadores que les indican cómo configurar una cuenta y transferir fondos a las falsas plataformas. Aquellos que no superan el proceso de validación simplemente ven una página de agradecimiento, evitando levantar sospechas.

La conexión con otras estafas recientes

Estas campañas recuerdan al esquema Nomani, expuesto por ESET en diciembre de 2024, que combinaba deepfakes generados con IA, anuncios patrocinados en redes sociales y supuestas recomendaciones de celebridades. Más recientemente, en abril de 2025, autoridades españolas arrestaron a seis personas por operar una estafa de inversión en criptomonedas a gran escala, también impulsada por herramientas de inteligencia artificial.

Aunque no se ha confirmado una conexión directa entre estos casos y las campañas de Reckless y Ruthless Rabbit, expertos de Infoblox advierten que estos grupos seguirán activos y evolucionando, debido a la alta rentabilidad de estas operaciones fraudulentas.

Las estafas de suscripción y cajas misteriosas: una amenaza paralela

Bitdefender ha emitido un informe adicional sobre el aumento de estafas basadas en suscripciones ocultas, utilizando más de 200 sitios web falsos. Estas estafas se disfrazan como promociones de "cajas misteriosas" con productos de marcas reconocidas como Apple y Zara, a precios muy bajos. Una vez que el usuario realiza el pago inicial, se activa una suscripción mensual no autorizada que genera ingresos continuos para los atacantes.

Las campañas usan anuncios múltiples en Facebook, de los cuales solo uno es malicioso, mientras los demás muestran contenido legítimo para eludir los sistemas de detección. También incluyen encuestas y formularios para asegurarse de que las víctimas sean personas reales y no bots.

Implicaciones geopolíticas y sanciones internacionales

A este contexto se suma una advertencia del Departamento del Tesoro de EE. UU., que ha sancionado al Ejército Nacional Karen (KNA) de Myanmar por facilitar redes de estafas cibernéticas a escala industrial. Estas operaciones no solo generan ingresos multimillonarios, sino que también están vinculadas a la trata de personas y otras actividades delictivas.

Según la ONU, estas redes criminales generan aproximadamente 40 mil millones de dólares al año, mostrando que las estafas digitales han alcanzado una magnitud industrial y transnacional.

La necesidad de una respuesta integral
El auge de campañas como las de Reckless Rabbit y Ruthless Rabbit evidencia la creciente sofisticación de las estafas de inversión online. A través del uso de TDS, generación de dominios, deepfakes, validación de víctimas y anuncios maliciosos, estos grupos están logrando evadir controles y engañar a miles de usuarios.

Para los usuarios, es crucial desconfiar de las oportunidades de inversión que llegan por redes sociales, especialmente aquellas asociadas con celebridades o plataformas no verificadas. Las empresas tecnológicas y los reguladores deben reforzar sus sistemas de detección y cooperación internacional para contrarrestar esta amenaza en constante evolución.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ciberdelincuentes están explotando activamente una vulnerabilidad crítica de ejecución remota de código (RCE) sin autenticación en el servidor Samsung MagicINFO 9, con el objetivo de tomar el control de dispositivos y desplegar malware de forma remota.


¿Qué es Samsung MagicINFO y por qué es vulnerable?

Samsung MagicINFO Server es una solución CMS (Content Management System) centralizada utilizada para la administración remota de pantallas de señalización digital de la marca Samsung. Esta plataforma es ampliamente adoptada en entornos como tiendas minoristas, aeropuertos, hospitales, edificios corporativos y restaurantes, donde es fundamental programar, distribuir, visualizar y monitorear contenido multimedia.

Uno de los componentes del servidor incluye una funcionalidad de carga de archivos, diseñada para actualizar el contenido de las pantallas. Sin embargo, los actores maliciosos han encontrado una forma de abusar de esta función para cargar archivos maliciosos y ejecutar comandos de forma remota.


Detalles técnicos de la vulnerabilidad CVE-2024-7399

La falla, rastreada como CVE-2024-7399, fue divulgada públicamente en agosto de 2024 y corregida con el lanzamiento de Samsung MagicINFO versión 21.1050. El proveedor describió la vulnerabilidad como una "limitación incorrecta del nombre de ruta que permite la escritura de archivos arbitrarios con privilegios de sistema".

El 30 de abril de 2025, el equipo de investigación de SSD-Disclosure publicó un artículo técnico junto a una prueba de concepto (PoC) funcional que demuestra cómo explotar la vulnerabilidad para lograr RCE sin autenticación. El método consiste en enviar una solicitud POST no autenticada que sube un archivo malicioso .jsp, el cual se guarda en una ubicación accesible desde la web. Al acceder a este archivo mediante un parámetro como cmd, los atacantes pueden ejecutar comandos del sistema operativo y visualizar los resultados directamente en el navegador.

Explotación activa y amenaza de malware

Días después de la publicación de la PoC, la firma de ciberseguridad Arctic Wolf confirmó que la vulnerabilidad CVE-2024-7399 está siendo explotada activamente por actores de amenazas en escenarios reales. Esto demuestra que los atacantes han adoptado rápidamente el exploit en sus operaciones.

Citar"Dada la baja barrera de entrada y la disponibilidad pública de la PoC, es probable que los ciberatacantes continúen explotando esta vulnerabilidad", advirtió Arctic Wolf.

Asimismo, el analista de seguridad Johannes Ullrich ha informado la detección de una variante del malware de botnet Mirai que aprovecha esta vulnerabilidad para comprometer sistemas y agregarlos a su red de dispositivos infectados.

Recomendaciones de seguridad para administradores

Debido al estado de explotación activa de esta vulnerabilidad, se insta a los administradores de sistemas a aplicar medidas de mitigación urgentes:

• Actualizar inmediatamente Samsung MagicINFO a la versión 21.1050 o superior.
• Restringir el acceso a la funcionalidad de carga de archivos desde redes públicas o no confiables.
• Supervisar los registros del servidor (logs) en busca de intentos de carga de archivos .jsp o accesos inusuales.
• Implementar reglas de detección en sistemas de seguridad (SIEM, IDS/IPS) que identifiquen tráfico sospechoso relacionado con el patrón de explotación de CVE-2024-7399.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha publicado una herramienta de explotación de prueba de concepto (PoC) para una vulnerabilidad crítica en Apache Parquet, identificada como CVE-2025-30065, lo que facilita la detección de servidores vulnerables expuestos a ataques. Esta falla, de gravedad máxima, afecta a todas las versiones de Apache Parquet hasta la 1.15.0 inclusive.

La herramienta fue desarrollada por investigadores de F5 Labs, quienes analizaron la vulnerabilidad tras comprobar que las PoC existentes eran ineficaces o completamente no funcionales. Esta nueva PoC no solo demuestra que la explotación práctica de CVE-2025-30065 es posible, sino que también ofrece a los administradores de sistemas una forma efectiva de evaluar la seguridad de sus entornos frente a esta amenaza.

¿Qué es Apache Parquet y por qué es relevante esta vulnerabilidad?

Apache Parquet es un formato de almacenamiento columnar de código abierto, ampliamente utilizado en entornos de big data, análisis de datos e ingeniería de datos. Gracias a su eficiencia en el procesamiento, Parquet se ha convertido en una pieza clave en plataformas como Apache Spark, Hive, y otras herramientas de análisis distribuidas.

La vulnerabilidad CVE-2025-30065 fue divulgada públicamente el 1 de abril de 2025 y descubierta inicialmente por Keyi Li, investigador de Amazon. Se clasifica como una falla de ejecución remota de código (RCE), concretamente una vulnerabilidad de deserialización en el módulo parquet-avro de Apache Parquet para Java. El fallo permite la creación de instancias de clases Java arbitrarias al leer datos Avro embebidos en archivos Parquet, sin aplicar restricciones adecuadas.

Detalles técnicos y riesgos asociados


Desde una perspectiva técnica, la vulnerabilidad no constituye una deserialización RCE completa, pero puede ser aprovechada si se invocan clases con efectos secundarios durante la instanciación, como el envío de solicitudes de red a servidores controlados por atacantes. Un análisis posterior de F5 Labs confirmó este riesgo y demostró su potencial mediante una herramienta de tipo exploit canary, que genera una solicitud HTTP GET utilizando la clase javax.swing.JEditorKit.

Aunque la explotación de CVE-2025-30065 requiere una serie de condiciones específicas y poco comunes, sigue representando una amenaza para organizaciones que procesan archivos Parquet de fuentes externas, especialmente si estos archivos no son validados adecuadamente.

Citar"Si bien Apache Parquet y Avro son tecnologías ampliamente adoptadas, este tipo de ataque necesita un conjunto muy particular de condiciones. Incluso en ese caso, el CVE solo permite la instanciación de objetos Java, y estos deben tener efectos secundarios explotables", se destaca en el informe de F5 Labs.

Recomendaciones de seguridad para Apache Parquet

Para mitigar los riesgos derivados de CVE-2025-30065, se recomienda:

• Actualizar Apache Parquet a la versión 1.15.1 o superior, donde la vulnerabilidad ha sido corregida.
• Restringir la deserialización de clases configurando la propiedad org.apache.parquet.avro.SERIALIZABLE_PACKAGES para permitir únicamente paquetes de confianza.
• Utilizar la herramienta de detección publicada por F5 Labs (disponible en GitHub), que permite verificar si los servidores son susceptibles a la explotación mediante una prueba controlada.

La divulgación de esta herramienta subraya la importancia de revisar periódicamente las configuraciones de seguridad en entornos que manejan grandes volúmenes de datos y emplean tecnologías como Apache Parquet. Aunque la probabilidad de explotación masiva sea baja, el impacto potencial en sistemas expuestos a archivos no verificados sigue siendo considerable.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha emitido una advertencia crítica sobre los riesgos de seguridad asociados a las configuraciones predeterminadas en Kubernetes, especialmente en aquellas implementaciones que utilizan Helm Charts listos para usar. Según un reciente informe de Microsoft Defender for Cloud Research, estas configuraciones inseguras podrían exponer datos sensibles públicamente, dejando las cargas de trabajo vulnerables ante posibles ataques.

Helm Charts inseguros: un problema común en Kubernetes

Helm es el gestor de paquetes más popular para Kubernetes, ya que facilita la implementación de aplicaciones complejas mediante gráficos o "charts" que contienen plantillas YAML con los recursos necesarios para ejecutar una aplicación.

Sin embargo, la facilidad de uso puede comprometer la seguridad. Investigadores de Microsoft, Michael Katchinskiy y Yossi Weizman, advierten que muchos de estos Helm Charts prediseñados:

• No requieren autenticación.
• Dejan abiertos puertos explotables.
• Usan contraseñas débiles o codificadas de forma insegura.

Estas prácticas inseguras son especialmente peligrosas cuando las implementaciones se realizan por usuarios sin experiencia en seguridad en la nube, quienes tienden a desplegar los charts tal como están, sin validaciones ni ajustes de configuración. Esto deja los servicios expuestos a escaneos automatizados, accesos no autorizados y ataques dirigidos.

"Facilidad vs Seguridad": el dilema en entornos Kubernetes

Kubernetes es una plataforma de código abierto ampliamente adoptada por organizaciones para automatizar la implementación, escalado y gestión de aplicaciones en contenedores. Si bien Helm simplifica este proceso, Microsoft subraya que las configuraciones por defecto sin controles de seguridad representan una amenaza seria.

Citar"Sin revisar cuidadosamente los manifiestos YAML y los Helm Charts, las organizaciones pueden implementar servicios totalmente expuestos a atacantes", señala el informe.

Además, cuando estas aplicaciones permiten la consulta de API sensibles o acceso administrativo, las consecuencias pueden ser graves. Los investigadores detallan tres ejemplos reales de gráficos de Helm inseguros que ilustran este riesgo:

Casos destacados de Helm Charts con vulnerabilidades:

1. Apache Pinot

Expone los servicios pinot-controller y pinot-broker mediante un LoadBalancer, sin autenticación.

2. Meshery

Permite el registro público desde IPs expuestas, dando acceso total al clúster a cualquier usuario externo.

3. Selenium Grid

Usa un NodePort que expone servicios en todos los nodos del clúster, dependiendo únicamente de reglas externas de firewall. Aunque el gráfico oficial de Helm no está afectado, muchos proyectos en GitHub sí lo están.

Este último caso ha sido explotado anteriormente por atacantes para desplegar mineros de criptomonedas como XMRig, usados para minar Monero en entornos Kubernetes vulnerables, según han reportado empresas como Wiz.

Recomendaciones de Microsoft para asegurar Helm y Kubernetes

Para mitigar estos riesgos, Microsoft recomienda a los administradores de Kubernetes adoptar las siguientes mejores prácticas de seguridad:

Auditar cada Helm Chart antes de la implementación, prestando especial atención a:

• Reglas de autenticación.
• Exposición de puertos.
• Aislamiento de red.
• Evitar el uso de contraseñas por defecto o codificadas dentro de los manifiestos YAML.
• Configurar controles de acceso estrictos para los recursos desplegados.
• Supervisar continuamente los contenedores y cargas de trabajo en busca de actividades sospechosas o inusuales.
• Realizar análisis periódicos de configuración para detectar exposiciones no intencionadas en interfaces y servicios.

Seguridad en Kubernetes: una prioridad en entornos en la nube

El informe de Microsoft destaca la importancia de no confiar ciegamente en las configuraciones predeterminadas, especialmente en entornos como Kubernetes, donde la exposición de servicios puede tener consecuencias críticas. Las organizaciones deben tratar cada despliegue como una potencial superficie de ataque y aplicar principios de "zero trust" desde el inicio.

La creciente adopción de Kubernetes en entornos de producción hace imprescindible implementar políticas de seguridad sólidas. Ignorar los riesgos que suponen configuraciones inseguras en Helm Charts podría significar la pérdida de datos confidenciales, la interrupción del servicio o incluso costos económicos y reputacionales significativos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de cibercrimen conocido como Luna Moth, también identificado como Silent Ransom Group (SRG), ha intensificado sus campañas de phishing de devolución de llamada (callback phishing), apuntando especialmente a firmas legales y entidades financieras en los Estados Unidos. Este grupo ha adoptado tácticas avanzadas de ingeniería social, prescindiendo del uso de ransomware en sus ataques recientes, pero con un objetivo claro: robo de datos y extorsión.

Según el investigador de EclecticIQ, Arda Büyükkaya, Luna Moth ha evolucionado desde sus inicios vinculados a BazarCall —una técnica usada para obtener acceso inicial a redes corporativas que luego facilitaban ataques con ransomware como Ryuk y Conti— hacia operaciones más sofisticadas centradas exclusivamente en el engaño a través de interacción directa con la víctima.

Origen y evolución de Silent Ransom Group

En marzo de 2022, tras la desintegración del grupo Conti, los actores detrás de BazarCall establecieron una operación independiente bajo el nombre de Silent Ransom Group. Desde entonces, han centrado sus esfuerzos en la suplantación de soporte técnico mediante correos electrónicos falsos, sitios web fraudulentos y llamadas telefónicas.

A diferencia de otros ataques cibernéticos tradicionales, las campañas actuales de Luna Moth no requieren malware ni enlaces infectados. El enfoque se basa únicamente en el engaño humano, lo que las hace más difíciles de detectar por soluciones antivirus convencionales.

Cómo opera Luna Moth en sus ataques recientes

Desde marzo de 2025, EclecticIQ ha identificado al menos 37 dominios registrados a través de GoDaddy utilizados por Luna Moth para suplantar a servicios de soporte técnico. Estos dominios imitan portales legítimos de asistencia de reconocidas firmas legales y empresas financieras, empleando errores tipográficos y patrones de nombres comunes como:

• [nombre_empresa]-helpdesk.com
• [nombreempresa]helpdesk.com

El ataque comienza con un correo electrónico fraudulento que solicita a la víctima llamar a un número de asistencia técnica. Cuando la víctima llama, un operador de Luna Moth —haciéndose pasar por personal de TI— la persuade para instalar software de acceso remoto legítimo (RMM), como:

• AnyDesk
• Zoho Assist
• Atera
• SuperOps
• Syncro
• Splashtop

Estas herramientas están firmadas digitalmente y, al ser comúnmente utilizadas en entornos corporativos, no generan alertas de seguridad.

Acceso, exfiltración de datos y extorsión

Una vez instalada la herramienta RMM, el atacante obtiene control total del equipo, lo que le permite:

• Explorar carpetas locales y unidades compartidas
• Identificar y extraer datos confidenciales
• Propagarse a otros dispositivos conectados

La exfiltración se realiza mediante herramientas como WinSCP (vía SFTP) o Rclone para sincronización en la nube. Posteriormente, Luna Moth contacta a la organización víctima para exigir un rescate millonario, advirtiendo que los datos serán publicados en su portal de la clear web si no se paga. Las demandas oscilan entre 1 y 8 millones de dólares, dependiendo del perfil de la organización afectada.

Un ataque silencioso pero efectivo

Büyükkaya destaca que el éxito de estos ataques radica en su sigilo. No involucran archivos adjuntos, malware ni enlaces maliciosos. La víctima instala voluntariamente el software RMM, creyendo estar en contacto con su equipo de soporte técnico. Debido a que estas herramientas son habituales en entornos corporativos, las soluciones de seguridad no las consideran una amenaza, lo que permite que los atacantes operen sin obstáculos.

Recomendaciones de seguridad

EclecticIQ ha publicado una lista de indicadores de compromiso (IoC), que incluye direcciones IP y dominios de phishing que deberían ser añadidos a listas de bloqueo corporativas. Además, se recomienda:

• Restringir el uso de herramientas RMM que no estén autorizadas dentro del entorno organizacional.
• Implementar medidas de verificación de identidad para solicitudes de asistencia técnica.
• Capacitar al personal sobre ingeniería social y phishing de devolución de llamada.

La sofisticación y efectividad de Luna Moth demuestran cómo el factor humano sigue siendo uno de los eslabones más débiles en la ciberseguridad. A medida que los grupos de amenazas evolucionan, es crucial que las organizaciones adapten sus estrategias de defensa para identificar, bloquear y responder a este tipo de ataques altamente personalizados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuando hablamos de videojuegos en formato digital, Steam sigue siendo la primera tienda que viene a la mente de la mayoría de usuarios. Esta plataforma ha dominado durante años el mercado gracias a su extenso catálogo que incluye desde juegos AAA hasta títulos independientes. Sin embargo, hoy en día existen alternativas sólidas a Steam que ofrecen mejores condiciones para los desarrolladores, como Epic Games Store y GOG.

Steam y su polémica comisión del 30%

Hasta hace poco, los desarrolladores que querían publicar sus juegos no tenían más remedio que aceptar las condiciones de Steam, que aplica una comisión del 30% sobre cada venta, una cifra similar a la que imponen Apple y Google en sus respectivas tiendas. Aunque este porcentaje puede variar según los ingresos generados, sigue siendo considerado como una tarifa elevada teniendo en cuenta que Steam solo ofrece infraestructura para vender y distribuir el contenido.

Epic Games Store cambia las reglas del juego

Frente a estas políticas restrictivas, Epic Games —liderada por Tim Sweeney— ha revolucionado el panorama con su propia tienda digital. Además de desafiar legalmente a Apple y Google por sus comisiones abusivas, Epic ha establecido un modelo más favorable para los desarrolladores, reteniendo solo el 12% de los ingresos, frente al 30% de Steam.

Un claro ejemplo del impacto de esta política es Alan Wake 2, desarrollado por Remedy Entertainment, disponible exclusivamente en la Epic Games Store. El primer título de la saga sí puede encontrarse en Steam, pero la segunda entrega fue lanzada exclusivamente en Epic debido a las mejores condiciones económicas.

Otro caso destacado es Escape from Tarkov: Arena, desarrollado por Battlestate Games Limited, que también apostó por lanzar su título únicamente en Epic Games Store.

Epic Games reducirá aún más las comisiones a partir de junio

Epic no se conforma con su actual modelo y ha anunciado una mejora aún más agresiva para atraer a desarrolladores independientes y estudios pequeños. Según un comunicado oficial en el blog de Epic, a partir de junio, todos los juegos que generen menos de 1 millón de dólares en ventas estarán exentos de pagar comisiones. Es decir, Epic se quedará con el 0% de los ingresos hasta alcanzar esa cifra.

Una vez superado ese umbral, se aplicará la tarifa habitual del 12%, lo que sigue siendo muy inferior al 30% que impone Steam. Esta medida representa una gran oportunidad para desarrolladores emergentes, quienes ahora podrán publicar sus juegos digitales sin sacrificar una parte significativa de sus ganancias.

Comparativa económica: Steam vs Epic Games Store

Tomemos como ejemplo Alan Wake 2, cuyo precio base es de 49,99 euros. En Steam, con una comisión del 30%, la plataforma se quedaría con 15 euros por unidad vendida. En cambio, en Epic Games Store, con una comisión del 12%, la retención sería de solo 6 euros.

Si el juego ha vendido más de un millón de unidades desde su lanzamiento en 2024, la diferencia en ingresos para el desarrollador es millones de euros, no simples cientos. Esta realidad está motivando a muchos estudios a priorizar plataformas que ofrecen una mayor rentabilidad.

¿Puede Steam mantener su posición dominante?

Steam ha gozado de una posición privilegiada como la tienda de videojuegos digitales más antigua y conocida a nivel mundial. Sin embargo, si no revisa sus políticas de comisión, podría perder atractivo frente a nuevas plataformas que ofrecen condiciones más justas para los desarrolladores.

Por ahora, los usuarios de consola siguen atados a las tiendas oficiales de cada fabricante, como PlayStation Store o Xbox Store, donde no existen alternativas viables. Pero en PC, el mercado es más competitivo que nunca, y Epic Games Store se perfila como un serio competidor en el terreno de los videojuegos digitales.

El futuro de la distribución digital está cambiando

El dominio de Steam en el mercado de juegos digitales ya no es incuestionable. Con iniciativas como las de Epic Games Store, que eliminan comisiones para ingresos bajos y reducen significativamente los porcentajes para el resto, los desarrolladores tienen ahora más poder de decisión.

Este nuevo panorama impulsa una mayor competencia, lo que podría beneficiar tanto a estudios independientes como a grandes desarrolladores. A largo plazo, también podría repercutir positivamente en los precios para los usuarios finales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las restricciones impuestas por el gobierno de Estados Unidos a la exportación de chips de alta gama a países como China han tenido un fuerte impacto económico en NVIDIA, que ha perdido miles de millones de dólares. Sin embargo, la compañía no tiene intención de abandonar ese mercado. En lugar de rendirse, está adoptando una estrategia más ágil: crear nuevos chips adaptados a las regulaciones estadounidenses.

Desde hace años, Estados Unidos ha endurecido sus políticas para evitar que China acceda a tecnologías avanzadas, especialmente aquellas relacionadas con la inteligencia artificial (IA), por temor a su posible uso militar. Esto ha derivado en una serie de sanciones tecnológicas que restringen la exportación de GPUs de alto rendimiento.

El chip H20 de NVIDIA no logró superar las últimas restricciones

Una de las medidas más notables de NVIDIA fue el desarrollo del chip H20, diseñado específicamente para cumplir con los límites de exportación hacia China. Sin embargo, una nueva ronda de regulaciones exigió permisos especiales incluso para este modelo, obligando a la empresa a replantear su estrategia.

Este cambio ha dejado en claro que NVIDIA necesita un enfoque más flexible para mantener su presencia en el gigantesco mercado chino, en el que empresas como Alibaba, Tencent y ByteDance son clientes clave en el ámbito de la inteligencia artificial.

NVIDIA prepara nuevos chips basados en la arquitectura Blackwell

La respuesta de NVIDIA a esta situación podría ser el desarrollo de nuevas GPUs basadas en su arquitectura Blackwell, presentadas en 2024 como el futuro de la computación acelerada por IA. Estas nuevas GPU tendrían capacidades reducidas para cumplir con las regulaciones de EE. UU., pero seguirían ofreciendo un rendimiento competitivo en tareas de IA.

Se espera que las versiones limitadas estén basadas en los chips B100 y B200, diseñados originalmente para el mercado global. Estas variantes serían optimizadas para China, respetando los umbrales impuestos por las restricciones de exportación sin comprometer por completo el rendimiento.

NVIDIA mantiene relaciones con socios estratégicos en China

A pesar del escenario geopolítico, NVIDIA ha comunicado a sus principales socios chinos —entre ellos ByteDance, Alibaba y Tencent— su intención de mantener las relaciones comerciales. La estrategia gira en torno a proveerles soluciones viables de IA, incluso si eso significa rediseñar continuamente sus productos.

Con esta jugada, la empresa pretende seguir presente en uno de los mercados más grandes y estratégicos para la inteligencia artificial, sin romper las normativas impuestas por el Departamento de Comercio de EE. UU.

¿Qué pasará si Estados Unidos impone nuevas restricciones?

Aun con estos nuevos desarrollos, existe un riesgo importante: que Estados Unidos imponga futuras restricciones también sobre estos chips adaptados. Ya ha ocurrido antes con modelos anteriores, por lo que la incertidumbre regulatoria se mantiene como un factor clave que puede frenar los planes de NVIDIA.

En este contexto, la compañía se enfrenta a un difícil equilibrio: innovar tecnológicamente mientras sortea las barreras geopolíticas. Pero si algo ha demostrado NVIDIA es su capacidad para adaptarse rápidamente a los cambios del mercado, especialmente en un campo tan competitivo como el de la inteligencia artificial.

NVIDIA no se rinde y redobla su apuesta por China

Las restricciones de exportación de chips impuestas por Estados Unidos representan un enorme reto para NVIDIA. Sin embargo, la empresa ha optado por una estrategia de adaptación tecnológica, desarrollando chips personalizados para el mercado chino, cumpliendo con las regulaciones y manteniendo su liderazgo en IA.

Con la introducción de nuevos chips basados en la arquitectura Blackwell, NVIDIA busca seguir siendo un socio estratégico en China, sin perder su posición dominante en la carrera global por el desarrollo de la inteligencia artificial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft anunció oficialmente que Skype dejará de funcionar el 5 de mayo de 2025. La icónica plataforma de videollamadas y mensajería instantánea, que durante años fue el referente en comunicación digital, se despide para siempre. El motivo principal de esta decisión es el crecimiento y adopción masiva de Microsoft Teams, una solución más completa y moderna para reuniones virtuales, eventos y trabajo colaborativo.

¿Qué pasará con tus datos de Skype?

Microsoft ha informado que los datos asociados a las cuentas de Skype —como historiales de conversación, contactos y archivos— seguirán disponibles hasta finales de 2025. A partir de esa fecha, todo el contenido será eliminado de forma permanente. Por esta razón, se recomienda a los usuarios realizar cuanto antes la migración de datos a Microsoft Teams, proceso que se puede hacer fácilmente iniciando sesión con la cuenta de Skype.

Las 4 mejores alternativas a Skype en 2025

Si aún usabas Skype para comunicarte con amigos, familiares o colegas, no te preocupes. Existen excelentes alternativas a Skype disponibles para mantener tus videollamadas y chats activos sin complicaciones. A continuación, te mostramos las opciones más recomendables.

1. Microsoft Teams – La alternativa oficial a Skype

Microsoft Teams es la opción más recomendada por Microsoft y la alternativa más directa a Skype. Está pensada tanto para uso personal como profesional y ofrece:

• Mensajes por chat.
• Llamadas de audio y video individuales o grupales.
• Compartir pantalla y archivos.
• Integración con Microsoft 365 y OneDrive.

La ventaja principal es la sincronización directa con tu cuenta de Skype, lo que permite migrar tus datos automáticamente. Además, existe una versión gratuita con todas las funciones esenciales, ideal para usuarios domésticos.

2. WhatsApp – Una solución rápida y fácil para videollamadas

WhatsApp se ha convertido en una de las aplicaciones más utilizadas para videollamadas y mensajes instantáneos. Aunque originalmente no fue diseñada como alternativa a Skype, hoy en día ofrece:

V

• ideollamadas individuales y grupales.
• Llamadas de voz de alta calidad.
• Envío de mensajes de texto, imágenes, documentos y notas de voz.
• Compatibilidad con móviles Android e iOS.

Lo mejor es que ya viene instalada en la mayoría de teléfonos móviles, por lo que no necesitas descargar nada adicional.

3. Google Meet – Integración total con tu cuenta de Google

Google Meet es la plataforma oficial de Google para videollamadas, integrada directamente en dispositivos Android y en el ecosistema de Google. Es una alternativa ideal a Skype para quienes buscan algo simple y accesible:

• No requiere instalación en móviles Android.
• Inicia sesión con tu cuenta de Google.
• Videollamadas fáciles de iniciar.
• Permite invitar por correo electrónico y sincronizar con Google Calendar.

Su interfaz es amigable, lo que la convierte en una opción perfecta incluso para quienes no tienen experiencia tecnológica.

4. Discord – La mejor opción para gamers y comunidades online

Discord es una plataforma muy popular entre gamers, pero su uso se ha extendido a comunidades de todo tipo. Es ideal si solías usar Skype para jugar online o hablar en grupo con amigos:

• Videollamadas y llamadas de voz.
• Chats de texto.
• Compartir pantalla.
• Crear servidores temáticos y unirte a comunidades activas.

Además, permite personalizar notificaciones y crear canales específicos para diferentes temas, algo que Skype no ofrecía de forma tan avanzada.

Skype se despide, pero las opciones sobran

La desaparición de Skype marca el final de una era en las comunicaciones digitales, pero no significa que te quedes sin opciones. Ya sea que busques una plataforma sencilla como WhatsApp o una herramienta profesional como Microsoft Teams, hay alternativas a Skype en 2025 para todo tipo de necesidades.

Recuerda que tienes hasta finales de 2025 para respaldar tus datos y migrar tus conversaciones. No dejes pasar el tiempo y prepárate para dar el salto a una nueva plataforma de comunicación.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El malware StealC, uno de los descargadores de malware y ladrones de información más populares en foros clandestinos, ha lanzado su segunda versión principal con mejoras significativas en capacidades de evasión, robo de datos y distribución de cargas útiles.

La versión 2.2.4 de StealC fue puesta a disposición de actores maliciosos en marzo de 2025, y desde entonces ha recibido varias actualizaciones menores que fortalecen su funcionalidad. Investigadores de Zscaler ThreatLabz han publicado recientemente un análisis técnico en profundidad sobre esta peligrosa herramienta de cibercrimen.

StealC: evolución de un malware de bajo perfil a una amenaza sofisticada

StealC se detectó por primera vez a principios de 2023, cuando comenzó a circular en la dark web como un malware ligero enfocado en el robo de información sensible. Su modelo de negocio tipo "malware como servicio" (MaaS) ofrecía acceso por 200 dólares mensuales, atrayendo a múltiples operadores.

En 2024, StealC participó en campañas de publicidad maliciosa a gran escala y en ataques que bloqueaban los sistemas en modos quiosco ineludibles. A finales del mismo año, se confirmó que sus desarrolladores seguían activos y habían implementado mecanismos avanzados de evasión, como la bypass de 'App-Bound Encryption' en Google Chrome, permitiendo la reutilización de cookies caducadas para secuestrar cuentas de Google.

Principales mejoras en StealC 2.2.4

La versión 2 de StealC, lanzada oficialmente en marzo de 2025, incluye una serie de funciones que elevan su nivel de sofisticación. Según el informe de Zscaler, se destacan las siguientes mejoras clave:

1. Entrega flexible de cargas útiles

• Soporte para múltiples formatos: ejecutables (.exe), paquetes MSI y scripts de PowerShell.
• Activación de carga configurable, adaptable según el entorno del objetivo.

2. Comunicación cifrada y aleatoriedad

• Implementación de cifrado RC4 en cadenas de código y tráfico C2 (comando y control).
• Parámetros aleatorios en las respuestas C2 para dificultar la detección por firmas.

3. Mejora de arquitectura y persistencia

• Compatibilidad con sistemas de 64 bits mediante nuevas cargas compiladas.
• Resolución dinámica de funciones de API en tiempo de ejecución.
• Rutina de autoeliminación para reducir huellas tras la ejecución.

4. Constructor de malware integrado

• Herramienta interna para generar nuevas variantes con reglas de robo personalizadas.
• Permite una rápida personalización por parte de los operadores.

5. Funciones avanzadas de vigilancia

• Captura de pantallas de escritorio con soporte para múltiples monitores.
• Integración con bots de Telegram para enviar alertas en tiempo real.

Cambios y posibles direcciones futuras

Junto con las nuevas capacidades, algunas funciones fueron eliminadas, como las comprobaciones anti-VM (máquinas virtuales) y la ejecución de DLLs remotas. Esto podría indicar un rediseño del malware enfocado en una ejecución más ágil, aunque no se descarta que se reintroduzcan con mejoras en futuras versiones.

Técnicas de distribución detectadas

En campañas recientes analizadas por Zscaler, se observó que StealC fue desplegado mediante el malware Amadey, utilizado como loader o cargador. Sin embargo, es probable que distintos operadores utilicen otros métodos de distribución o cadenas de ataque para propagar el malware.

Cómo protegerse del malware StealC y otras amenazas similares

Para reducir el riesgo de ser víctima de StealC u otros malwares de robo de información, se recomienda seguir estas buenas prácticas:

• Evite almacenar contraseñas u otros datos sensibles en navegadores web.
• Active la autenticación multifactor (MFA) en todas sus cuentas críticas.
• No descargue software de fuentes no confiables, especialmente contenido pirata.
• Utilice soluciones antivirus con protección contra amenazas avanzadas (ATP).
• Mantenga actualizado su sistema operativo y navegadores web.

En conclusión, el lanzamiento de StealC 2.2.4 confirma la evolución constante del malware orientado al robo de credenciales y datos sensibles. Con nuevas técnicas de evasión, entrega y vigilancia, esta herramienta representa una amenaza creciente para usuarios individuales y organizaciones por igual. La conciencia sobre ciberseguridad y la adopción de buenas prácticas son fundamentales para mitigar su impacto.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El loader de malware MintsLoader ha sido identificado como un componente clave en recientes campañas de ciberataques, utilizado para distribuir GhostWeaver, un troyano de acceso remoto (RAT) avanzado escrito en PowerShell. Este cargador opera a través de una compleja cadena de infección de múltiples etapas que combina JavaScript y PowerShell ofuscado.

Según un informe del Insikt Group de Recorded Future, MintsLoader emplea las siguientes técnicas avanzadas:

• Evasión de máquinas virtuales y entornos sandbox
• Algoritmo de generación de dominios (Domain Generation Algorithm, DGA)
• Comunicación C2 (comando y control) sobre protocolo HTTP

Estas capacidades hacen que MintsLoader sea especialmente difícil de detectar y analizar, convirtiéndolo en una herramienta atractiva para grupos de amenazas persistentes avanzadas (APT).

Campañas activas desde 2023 con MintsLoader y GhostWeaver

Desde inicios de 2023, Orange Cyberdefense ha documentado múltiples campañas de phishing y descarga maliciosa que distribuyen MintsLoader como etapa inicial de infección. El cargador ha sido observado desplegando malware como:

• StealC, un infostealer especializado
• Una versión modificada del cliente BOINC (Berkeley Open Infrastructure for Network Computing)

Además, MintsLoader ha sido utilizado por grupos de delitos cibernéticos como:

• SocGholish (también conocido como FakeUpdates)
• LandUpdate808 (TAG-124)

Estos actores han apuntado a sectores sensibles como el industrial, legal y energético, usando correos electrónicos de phishing y falsas actualizaciones de navegador para propagar el malware.

ClickFix: ingeniería social que potencia la propagación del malware

Una táctica destacada en campañas recientes es el uso del método de ingeniería social ClickFix, que busca engañar a los usuarios para que copien y ejecuten manualmente código malicioso en sus sistemas.

Los atacantes distribuyen enlaces a páginas falsas de ClickFix mediante spam y correos no deseados, donde los usuarios son inducidos a ejecutar scripts JavaScript y PowerShell, facilitando así la infección por MintsLoader y sus cargas útiles secundarias.

Técnicas de evasión y persistencia empleadas por MintsLoader

Aunque MintsLoader se limita a funcionar como loader sin funciones de robo de información, su eficacia reside en su sofisticación técnica. Entre sus métodos destacan:

• Evasión de sandboxing
• Ofuscación de scripts
• DGA que genera dominios basados en la fecha de ejecución
• Carga de scripts PowerShell desde dominios generados dinámicamente

Estas características permiten ocultar su actividad maliciosa, obstaculizar el análisis forense y evadir herramientas de detección tradicionales.


GhostWeaver: troyano persistente con complementos y cifrado TLS

El troyano GhostWeaver, cargado por MintsLoader, es un malware complejo que:

• Mantiene conexión persistente con el servidor C2
• Genera dominios C2 a través de un DGA con semillas semanales y anuales
• Entrega cargas útiles adicionales en forma de complementos
• Roba información del navegador y manipula contenido HTML

Un aspecto técnico clave es que GhostWeaver puede reutilizar MintsLoader como carga útil secundaria mediante su comando sendPlugin.

Además, la comunicación entre GhostWeaver y su infraestructura de comando y control está cifrada mediante TLS, utilizando un certificado X.509 ofuscado y autofirmado, incrustado directamente en el script PowerShell. Esto fortalece la autenticación del lado del cliente y complica aún más el análisis del tráfico malicioso.

Nuevas campañas asociadas: ClickFix y Lumma Stealer

Paralelamente, la firma Kroll ha reportado intentos recientes de obtener acceso inicial utilizando la campaña denominada CLEARFAKE, que también explota el mecanismo de ClickFix. Esta campaña induce a los usuarios a ejecutar comandos MSHTA, culminando en la ejecución del malware Lumma Stealer, un infostealer popular en foros clandestinos.

MintsLoader y GhostWeaver, una amenaza avanzada para entornos corporativos

El dúo MintsLoader–GhostWeaver representa una evolución peligrosa en los métodos de entrega de malware, integrando PowerShell malicioso, evasión avanzada, DGA dinámico y cifrado TLS. Esta amenaza está diseñada para infiltrarse sigilosamente en entornos corporativos, especialmente aquellos menos protegidos contra técnicas modernas de ingeniería social y evasión.

Recomendaciones para mitigar el riesgo:

• Bloquear el uso de PowerShell no autorizado
• Monitorizar dominios DGA y tráfico HTTP sospechoso
• Utilizar herramientas de seguridad capaces de detectar evasión sandbox
• Educar a los usuarios sobre ataques como ClickFix y MSHTA
• Auditar continuamente los scripts y macros ejecutados desde el correo

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de seguridad cibernética han identificado tres módulos maliciosos escritos en Go que contienen código ofuscado capaz de ejecutar una carga útil destructiva en sistemas Linux. Esta amenaza puede sobrescribir completamente el disco principal y dejar la máquina inoperativa.

Nombres de los paquetes maliciosos de Go:

• github[.]com/truthfulpharm/prototransform
• github[.]com/blankloggia/go-mcp
• github[.]com/steelpoor/tlsproxy

Según Kush Pandya, investigador de la firma de seguridad Socket, estos módulos aparentemente legítimos incluían scripts ocultos que descargan cargas útiles remotas utilizando wget, específicamente cuando detectan que están ejecutándose en un sistema operativo Linux.

Una carga útil diseñada para inutilizar servidores Linux

La carga maliciosa descargada es un script de shell destructivo que sobrescribe el disco primario (/dev/sda) con ceros, eliminando por completo cualquier dato. Este tipo de ataque:

• Imposibilita el arranque del sistema
• Evita la recuperación con herramientas forenses
• Deja servidores y entornos de desarrollo completamente inutilizados

Esta amenaza demuestra el peligro extremo de los ataques a la cadena de suministro, en los que código aparentemente confiable puede convertirse en una herramienta de sabotaje devastadora.

Paquetes npm maliciosos orientados al robo de criptomonedas

En paralelo, se han descubierto múltiples paquetes npm maliciosos diseñados para robar frases semilla mnemotécnicas y claves privadas de billeteras de criptomonedas, además de exfiltrar otros datos sensibles.

Lista de paquetes npm identificados:

• cripto-encript-ts
• react-native-scrollpageviewtest
• de bancabundleserv
• buttonfactoryserv-PayPal
• TommyboyTesting
• cumplimientoreadserv-PayPal
• oauth2-PayPal
• de pagoapiplataformaservicio-PayPal
• userbridge-PayPal
• Relación de usuario-PayPal

Estos paquetes fueron detectados por Socket, Sonatype y Fortinet, quienes alertan sobre el uso de nombres relacionados con PayPal para ganar legitimidad falsa y atraer desarrolladores desprevenidos.

Malware en PyPI con capacidades de exfiltración y control remoto

También se han identificado paquetes maliciosos en el Python Package Index (PyPI), centrados en robo de frases semilla de criptomonedas y técnicas de exfiltración encubierta de datos utilizando Gmail y WebSockets.

Paquetes PyPI con funcionalidades maliciosas:

• web3x
• herewalletbot
• CFC-BSB (2.913 descargas)
• Coffin2022 (6.571 descargas)
• coffin-codes-2022 (18.126 descargas)
• coffin-codes-net (6.144 descargas)
• coffin-codes-net2 (6.238 descargas)
• coffin-codes-pro (9.012 descargas)
• Ataúd-Tumba (6.544 descargas)

Estos paquetes utilizan credenciales codificadas de cuentas de Gmail para iniciar sesión en el servidor SMTP y enviar correos que confirman la infección del sistema. Luego, establecen canales WebSocket para permitir ejecución remota de comandos por parte del atacante.

CitarEl paquete CFC-BSB, a diferencia de los demás, no utiliza Gmail pero sí incorpora lógica WebSocket para control remoto, lo que lo convierte en una variante igualmente peligrosa.

Tácticas evasivas para evitar la detección

Estos actores de amenazas aprovechan la confianza en dominios legítimos como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login[.]com, que no suelen ser marcados como sospechosos por proxies corporativos ni soluciones de seguridad de endpoints. Esta táctica aumenta el sigilo de la comunicación maliciosa, dificultando su detección y respuesta temprana.

Cómo mitigar ataques a la cadena de suministro de software

Para protegerse de estos paquetes maliciosos y mantener entornos de desarrollo seguros, se recomienda:

• Verificar el historial del editor del paquete y los enlaces del repositorio en GitHub
• Auditar dependencias con herramientas automáticas
• Controlar estrictamente el acceso a claves privadas
• Monitorear conexiones salientes inusuales, especialmente tráfico SMTP
• No confiar en paquetes solo por su antigüedad o popularidad

Citar"No confíes ciegamente en un paquete solo porque ha existido por años", advierte Olivia Brown, investigadora de Socket. "Los atacantes pueden tomar control de paquetes aparentemente inofensivos en cualquier momento".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La comunidad de Tails (The Amnesic Incognito Live System) ha anunciado el lanzamiento de la versión 6.15, una actualización que llega poco después de su versión anterior, con un enfoque claro en mejorar la seguridad digital, la estabilidad del sistema y el soporte de hardware.

Entre las novedades más destacadas se incluyen:

• Actualización del navegador Tor a la versión 14.5.1
• Integración del kernel de Linux 6.1.135
• Eliminación de drivers obsoletos o problemáticos
• Correcciones menores que mejoran la estabilidad general del sistema

Navegador Tor 14.5.1: más seguridad y compatibilidad web

Una de las principales mejoras de Tails 6.15 es la integración del navegador Tor 14.5.1, basado en Firefox ESR (Extended Support Release). Esta nueva versión proporciona:

• Mayor compatibilidad con sitios web actuales
• Parcheo de vulnerabilidades críticas
• Mejora en la navegación segura dentro de la red Tor

Para los usuarios de Tails, que utilizan Tor como su principal herramienta de acceso a Internet de forma anónima, esta actualización es esencial para evitar seguimiento, vigilancia y ataques de explotación remota.

Kernel Linux 6.1.135: soporte ampliado para hardware y mayor protección

La adopción del Linux kernel 6.1.135, una versión LTS (Long-Term Support), garantiza mejoras en:

• Compatibilidad con hardware moderno
• Estabilidad del sistema operativo
• Aplicación de correcciones de seguridad recientes

Aunque no es el kernel más nuevo del ecosistema Linux, su madurez y mantenimiento a largo plazo lo hacen ideal para un sistema centrado en la privacidad y el anonimato como Tails.

Eliminación de drivers obsoletos: más rendimiento, menos riesgos

Tails 6.15 también incluye una limpieza de controladores de dispositivos que ya no cuentan con soporte o que han presentado problemas. Se han eliminado drivers relacionados con:

• Audio
• Red
• Gráficos
• Otros periféricos obsoletos o inestables

Esta decisión reduce la superficie de ataque del sistema y previene errores que podrían comprometer la seguridad o la experiencia del usuario. No obstante, quienes utilicen hardware antiguo pueden notar pérdida de compatibilidad, mientras que los usuarios con dispositivos actualizados no deberían verse afectados.

Correcciones adicionales y mejoras de estabilidad

Además de las actualizaciones principales, Tails 6.15 incorpora diversas mejoras internas y ajustes funcionales, como:

• Optimización en la conexión automática a la red Tor
• Mejoras en la interfaz de usuario
• Ajustes en los scripts internos que mantienen el anonimato del sistema

Estas correcciones contribuyen a un funcionamiento más fluido y robusto, acorde con la misión del sistema operativo.

¿Por qué actualizar a Tails 6.15?

Los desarrolladores de Tails recomiendan encarecidamente que todos los usuarios actualicen a la versión 6.15 lo antes posible. Esta versión refuerza:

• La seguridad frente a vigilancia digital
• La estabilidad en entornos críticos
• El soporte para nuevos dispositivos y controladores compatibles

Tails es un sistema operativo que se ejecuta desde una unidad USB sin dejar rastros en el equipo, lo que lo convierte en una herramienta indispensable para periodistas, activistas, defensores de derechos humanos y usuarios preocupados por su privacidad digital.

Con cada nueva versión, Tails reafirma su compromiso con la libertad, el anonimato y la protección frente a amenazas cibernéticas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha confirmado que Microsoft Authenticator, su popular aplicación de autenticación multifactor (MFA), dejará de ofrecer funciones de almacenamiento de contraseñas y autocompletado a partir de julio de 2025. La eliminación será definitiva en agosto de 2025, marcando una transición hacia el navegador Microsoft Edge como plataforma principal de gestión de credenciales.

Esta medida tiene como objetivo consolidar la administración de contraseñas y optimizar la experiencia de autocompletado en una sola herramienta más robusta y segura.

¿Qué pasará y cuándo? Fechas clave del cambio

La desactivación de funciones será progresiva y se realizará en tres fases:

• Junio de 2025: ya no se podrán guardar nuevas contraseñas en Authenticator.
• Julio de 2025: la función de autocompletar será deshabilitada y se eliminará la información de pago almacenada.
• Agosto de 2025: se perderá el acceso a las contraseñas guardadas y a las contraseñas generadas no almacenadas en la app.

¿Qué deben hacer los usuarios de Microsoft Authenticator?

Los usuarios tienen hasta el 1 de agosto de 2025 para exportar sus contraseñas desde Authenticator. De no hacerlo, podrían perder permanentemente sus datos de acceso.

¿Cómo exportar tus contraseñas?

Abre la app Microsoft Authenticator.

• Dirígete a Menú > Configuración > Autocompletar > Exportar contraseñas.
• Selecciona una ubicación de exportación.
• Toca "Guardar" para completar el proceso.

⚠️ Nota: solo las contraseñas de cuentas pueden exportarse. La información de pago deberá ingresarse manualmente por motivos de seguridad.

Microsoft Edge: el nuevo hogar para tus contraseñas

Con la retirada de estas funciones en Authenticator, Microsoft redirige a los usuarios hacia Microsoft Edge, que ahora incorpora un gestor de contraseñas completo y sincronización segura con cuentas de Microsoft.

Para mantener la funcionalidad de autocompletado, se recomienda:

• Instalar Microsoft Edge en tu dispositivo iOS o Android.
• Abrir Edge e iniciar sesión con tu cuenta de Microsoft.
• Ir a Configuración del dispositivo > Autocompletar / Contraseñas y elegir Edge como servicio predeterminado.
• Verifica que puedes acceder a tus contraseñas en Configuración > Contraseñas dentro del navegador.

¿Y si no quiero usar Edge?

Microsoft permite exportar las contraseñas a otros gestores antes del 1 de agosto de 2025. Esto proporciona flexibilidad a quienes prefieran alternativas como 1Password, Bitwarden o LastPass.

La fecha límite para exportar información de pago es julio de 2025, por lo que se recomienda actuar cuanto antes.

Funciones que permanecen en Microsoft Authenticator

A pesar de los cambios, Microsoft Authenticator seguirá admitiendo claves de acceso (passkeys) y métodos de autenticación multifactor como:

• Contraseñas de un solo uso basadas en el tiempo (TOTP).
• Notificaciones push.
• Autenticación biométrica.

Esto asegura que los usuarios puedan seguir utilizando la app como herramienta MFA segura para iniciar sesión en cuentas de Microsoft, Azure AD, GitHub y otros servicios, incluso después del cambio.

Con esta transición, Microsoft apuesta por centralizar sus funciones de seguridad en Microsoft Edge, reforzando la integración entre navegador y servicios de autenticación. Es crucial que los usuarios de Authenticator realicen la migración o exportación de datos a tiempo para evitar la pérdida de información sensible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un joven de 25 años de California, identificado como Ryan Kramer y conocido en línea como "NullBulge", se ha declarado culpable de un grave incidente de ciberataque y robo de datos contra The Walt Disney Company. El atacante logró acceder de forma no autorizada a canales internos de Slack y exfiltrar más de 1,1 terabytes (TB) de información confidencial.

El Departamento de Justicia de EE. UU. (DOJ) confirmó que el ataque se originó tras la creación y distribución de un programa malicioso a inicios de 2024. Kramer promocionó el software en GitHub y otras plataformas como una supuesta herramienta de generación de imágenes mediante inteligencia artificial, pero en realidad se trataba de un malware diseñado para robar credenciales y datos sensibles de los dispositivos en los que se instalaba.

Acceso no autorizado a Slack mediante malware oculto

De acuerdo con el DOJ, uno de los afectados fue Matthew Van Andel, un empleado de Disney que, sin saberlo, descargó y ejecutó el software malicioso en su equipo. Al hacerlo, Kramer obtuvo acceso a su ordenador y, específicamente, a las contraseñas almacenadas en su gestor de contraseñas 1Password.

Con estas credenciales robadas, Kramer logró infiltrarse en los canales internos de Slack de Disney, accediendo a miles de canales no públicos. A partir de mayo de 2024, descargó aproximadamente 1,1 TB de datos corporativos sensibles, incluyendo mensajes, archivos, proyectos confidenciales, código fuente, imágenes inéditas y enlaces a herramientas internas de Disney.

Extorsión y filtración de datos en BreachForums

Luego del robo de datos, Kramer intentó extorsionar a Van Andel, haciéndose pasar por un supuesto grupo hacktivista ruso llamado NullBulge. Le advirtió que si no cooperaba, su información personal y los datos robados de Disney serían publicados en línea.

Ante la falta de respuesta, el 12 de julio de 2024, NullBulge publicó un mensaje en el conocido foro de cibercriminales BreachForums, bajo el título "DISNEY INTERNAL SLACK". En dicho post, el atacante reveló la magnitud del ataque:

Citar"1,1 TiB de datos. Casi 10.000 canales, todos los mensajes y archivos posibles, volcados. Proyectos inéditos, imágenes y código en bruto, algunos inicios de sesión, enlaces a páginas web / API internas, ¡y más! Diviértete revisándolo, hay mucho allí".

La publicación causó gran preocupación en la comunidad de ciberseguridad, ya que incluía referencias a datos altamente sensibles y herramientas internas no divulgadas públicamente por Disney.

Cargos penales y consecuencias legales para el atacante

Ryan Kramer enfrenta dos cargos federales: uno por acceso no autorizado a una computadora para obtener información y otro por amenazar con dañar una computadora protegida. Cada uno de estos cargos conlleva una pena máxima de hasta cinco años de prisión en una cárcel federal.

Además, Kramer admitió que al menos otras dos personas descargaron su malware, lo que le permitió acceder también a sus dispositivos. El FBI continúa investigando estos casos adicionales para determinar la extensión completa de la operación de Kramer.

Su primera audiencia en la corte federal de Los Ángeles está programada para las próximas semanas.

Disney, Slack y las implicaciones en la ciberseguridad corporativa

Este incidente pone de relieve los riesgos asociados con plataformas de colaboración empresarial como Slack, especialmente cuando se usan de forma intensiva por empresas como Disney para manejar información sensible. También destaca el creciente uso de malware disfrazado de herramientas legítimas basadas en inteligencia artificial como método para comprometer dispositivos de empleados.

Empresas de todos los sectores deben reforzar sus estrategias de ciberseguridad corporativa, implementar sistemas de detección de amenazas avanzadas, y capacitar a su personal en la identificación de software potencialmente malicioso.

En conclusión, el caso de Ryan Kramer y el robo de 1,1 TB de datos internos de Disney mediante acceso a Slack es uno de los ciberataques más relevantes de 2024 hasta la fecha. El uso de malware disfrazado, la explotación de credenciales robadas y la publicación masiva de información en foros de hacking refuerzan la urgencia de adoptar medidas más estrictas para proteger los entornos digitales corporativos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha anunciado un importante avance en materia de seguridad: todas las nuevas cuentas de Microsoft serán configuradas sin contraseña de forma predeterminada, como parte de su estrategia para combatir amenazas como el phishing, los ataques de fuerza bruta y el relleno de credenciales.

Este cambio coincide con el despliegue de nuevas experiencias de inicio de sesión en sus aplicaciones web y móviles, optimizadas para el uso de métodos de autenticación sin contraseña, como las claves de paso.

¿Qué implica este cambio para los nuevos usuarios?

Según anunciaron Joy Chik, presidenta de Identidad y Acceso en Microsoft, y Vasu Jakkal, vicepresidente corporativo de Seguridad, las nuevas cuentas de Microsoft ya no requerirán establecer una contraseña durante su configuración. En su lugar, los usuarios tendrán acceso a varias opciones de autenticación segura sin contraseña.

Citar"Las nuevas cuentas de Microsoft ahora serán 'sin contraseña por defecto'. Los nuevos usuarios podrán iniciar sesión usando opciones sin contraseña desde el principio y nunca necesitarán registrar una contraseña", explicaron los ejecutivos.

Los usuarios existentes también pueden adoptar este modelo accediendo a la configuración de su cuenta y eliminando su contraseña manualmente.

Claves de paso: el futuro del inicio de sesión en Microsoft

Como parte de este cambio, Microsoft está promoviendo activamente el uso de las claves de paso (passkeys), una alternativa más segura y moderna a las contraseñas tradicionales. Estas claves funcionan mediante autenticación biométrica (huellas dactilares, reconocimiento facial) o mediante dispositivos seguros, como smartphones, que almacenan la clave privada del usuario.

Una vez que el usuario inicia sesión por primera vez, se le solicitará registrar una clave de paso. En futuras sesiones, el acceso se realizará directamente mediante esa clave, eliminando la necesidad de recordar o ingresar contraseñas.

Este nuevo enfoque ha demostrado ser eficiente. Según Microsoft, la implementación de claves de paso ha reducido el uso de contraseñas en más del 20% en pruebas internas, con la expectativa de que este número continúe disminuyendo a medida que se extiende su adopción.

Microsoft y su rol en la FIDO Alliance

Microsoft no está sola en esta iniciativa. Es miembro activo de la FIDO Alliance, una organización que impulsa estándares abiertos para autenticación sin contraseña. Esta alianza incluye a empresas tecnológicas líderes y promueve el uso de claves de paso en más de 15.000 millones de cuentas de usuario en todo el mundo.

Como parte de este esfuerzo, Microsoft ha ido introduciendo gradualmente soporte para claves de paso en sus productos:

• En 2023, habilitó la autenticación sin contraseña para cuentas personales de Microsoft.
• Con la actualización Windows 11 22H2, se incorporó un administrador de claves de paso directamente en Windows Hello.
• Más recientemente, Microsoft comenzó a probar nuevas API de WebAuthn para permitir la autenticación mediante proveedores externos de claves de paso en Windows 11.

Seguridad sin contraseñas: un futuro más seguro

La eliminación progresiva de contraseñas no solo mejora la experiencia de usuario, sino que refuerza la seguridad digital. Las contraseñas son uno de los eslabones más débiles en la cadena de seguridad, y Microsoft lo sabe. Por eso, su objetivo es reducir su uso hasta que ya no sean necesarias en absoluto.

Con estas medidas, Microsoft busca:

• Prevenir ataques de phishing dirigidos a obtener contraseñas.
• Eliminar la reutilización de contraseñas entre servicios.
• Impedir accesos no autorizados mediante técnicas de fuerza bruta.
• Ofrecer una experiencia de inicio de sesión más rápida y segura.

En conclusión, la transición hacia un mundo sin contraseñas es una prioridad para Microsoft y para toda la industria de la ciberseguridad. Al establecer la autenticación sin contraseña como el estándar para nuevas cuentas, Microsoft da un paso firme hacia un futuro digital más seguro, eficiente y fácil de usar.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de la empresa ARMO han encendido las alarmas en la comunidad de ciberseguridad tras descubrir una preocupante evolución en el desarrollo de rootkits para Linux. Según su reciente publicación, los atacantes están utilizando la interfaz io_uring del kernel de Linux para crear malware completamente funcional capaz de evadir los métodos tradicionales de detección.

Esta técnica representa un cambio de paradigma en la seguridad de sistemas Linux, ya que io_uring permite realizar operaciones de entrada/salida sin recurrir a las clásicas llamadas al sistema que las herramientas de detección suelen monitorear.

¿Qué es io_uring y por qué es relevante para la seguridad?

io_uring es una API introducida en Linux 5.1 diseñada para optimizar las operaciones de E/S asíncronas. Su arquitectura se basa en dos búferes en forma de anillo compartidos entre el espacio de usuario y el del kernel, lo que permite a las aplicaciones ejecutar múltiples solicitudes de E/S sin bloquear el hilo principal.

A diferencia de las API tradicionales basadas en llamadas como read(), write() o connect(), io_uring permite realizar estas acciones sin invocar directamente dichas llamadas. Esto reduce el overhead del sistema, pero también oculta las actividades maliciosas de muchas herramientas de seguridad, ya que estas dependen de interceptar las llamadas al sistema para detectar comportamientos anómalos.

Investigación y antecedentes técnicos

ARMO ya había explorado en investigaciones anteriores la evasión de mecanismos de seguridad basados en eBPF, como la manipulación de mapas o los ataques TOC-TOU (Time-of-Check to Time-of-Use). Sin embargo, un hallazgo clave fue una publicación del 6 de junio de 2022 de Daniel Teixeira, operador sénior del Red Team, en la que demostró cómo io_uring puede burlar la monitorización de llamadas al sistema.

Motivados por este enfoque, los expertos de ARMO decidieron investigar a fondo las implicaciones de io_uring en el desarrollo de rootkits avanzados.

Curing: el rootkit indetectable basado en io_uring

Para demostrar esta técnica, el equipo de ARMO desarrolló Curing, un prototipo de rootkit funcional que utiliza exclusivamente io_uring para comunicarse con un servidor remoto y ejecutar comandos maliciosos. En una de sus pruebas, Curing logró exfiltrar el archivo crítico /etc/shadow mediante una conexión TCP en el puerto 8888 sin ser detectado por soluciones como Falco o Tetragon.

Ambas herramientas fallaron porque no contemplan io_uring como un canal de comunicación relevante para sus sistemas de monitoreo, lo cual también ocurre en la mayoría de las soluciones comerciales de detección de amenazas para entornos Linux.

¿Cómo defenderse ante esta nueva técnica?

Los investigadores de ARMO recomiendan adoptar métodos más avanzados de monitoreo en tiempo real, como KRSI (Kernel Runtime Security Instrumentation), disponible desde Linux 5.7. KRSI permite conectar programas eBPF a ganchos LSM (Linux Security Modules), lo que brinda visibilidad profunda incluso en operaciones que no involucran llamadas al sistema.

Gracias a KRSI, es posible detectar comportamientos sospechosos relacionados con:

• Acceso no autorizado a archivos.
• Establecimiento de conexiones de red.
• Ejecución de procesos mediante io_uring.

La integración de KRSI en soluciones de seguridad modernas podría cerrar la brecha que técnicas como la usada por Curing están explotando actualmente.

io_uring y sus implicaciones en seguridad

No es la primera vez que io_uring genera preocupaciones en materia de seguridad. De hecho, ha estado en el centro de diversas vulnerabilidades críticas en los últimos años. Google ha optado por desactivarlo por defecto en sistemas como ChromeOS, Android y en su propia infraestructura de servidores.

En línea con estas preocupaciones, a partir de Linux 6.6 se ha introducido el parámetro io_uring_disabled en sysctl, el cual permite a los administradores del sistema desactivar io_uring sin necesidad de recompilar el kernel. Esta opción representa una capa adicional de defensa para quienes no requieren el uso de esta interfaz.

En conclusión, el uso de io_uring en rootkits para Linux representa una amenaza emergente que pone en evidencia las limitaciones de las herramientas de detección tradicionales. La investigación de ARMO, materializada en el prototipo Curing, demuestra que es posible desarrollar malware indetectable que opere fuera del radar del monitoreo convencional basado en llamadas al sistema.

La implementación de soluciones como KRSI y la revisión de políticas de activación de io_uring serán fundamentales para enfrentar estos nuevos desafíos en la ciberseguridad en Linux.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Valve ha anunciado una decisión crucial que afectará a los usuarios de Steam en Linux: a partir del 15 de agosto de 2025, el cliente de Steam dejará de funcionar en cualquier distribución Linux que utilice una versión de la biblioteca GNU C Library (glibc) anterior a la 2.31. Este cambio impactará especialmente a usuarios que aún utilizan sistemas operativos antiguos o sin soporte.

¿Qué significa este cambio para los usuarios de Steam en Linux?

Según la nota oficial publicada por Valve, los usuarios que deseen seguir utilizando Steam deberán actualizar su sistema operativo a una versión que incluya una versión de glibc igual o superior a la 2.31. Esta medida no solo busca garantizar la compatibilidad del cliente de Steam con las bibliotecas del sistema, sino también mejorar la seguridad del entorno Linux, ya que muchas distribuciones antiguas son vulnerables a malware, exploits y otros riesgos de ciberseguridad.

Valve hace hincapié en que mantener el sistema actualizado no es únicamente una cuestión técnica, sino una necesidad para proteger los datos del usuario, mejorar el rendimiento de los juegos y asegurar el correcto funcionamiento de la plataforma.

¿Qué distribuciones Linux se verán afectadas?

Este cambio afectará principalmente a las versiones de Linux lanzadas antes de 2020, que aún utilizan versiones antiguas de glibc. Entre las distribuciones y versiones potencialmente afectadas se encuentran:

• Debian 10 (Buster)
• Ubuntu 18.04 LTS
• Linux Mint 19
• Red Hat Enterprise Linux 8
• Fedora 31

Aunque la mayoría de los usuarios activos de Steam probablemente ya utilicen versiones más modernas, todavía existen entornos (como máquinas virtuales, entornos corporativos o usuarios con hardware antiguo) donde estas versiones siguen vigentes. En estos casos, será imprescindible planificar una actualización del sistema operativo para continuar disfrutando de Steam y sus juegos.

¿Qué deben hacer los usuarios?

La solución es clara: actualizar a una distribución Linux moderna que incorpore glibc 2.31 o superior. Algunas opciones populares y compatibles incluyen:

• Ubuntu 20.04 LTS o superior
• Debian 11 o 12
• Linux Mint 20.x o 21.x
• Fedora 34 o superior
• Arch Linux (con glibc siempre actualizada)

Esta medida puede parecer drástica para algunos, pero es coherente con las prácticas recomendadas en seguridad informática y mantenimiento de software. Continuar utilizando versiones sin soporte no solo compromete la estabilidad del sistema, sino también la integridad de tus datos personales y credenciales de acceso a Steam.

Steam y el soporte a largo plazo: ¿una contradicción?

Algunos usuarios han señalado la aparente contradicción de que Steam continúe exigiendo soporte para sistemas de 32 bits, mientras corta compatibilidad con bibliotecas clave más antiguas. Sin embargo, Valve prioriza cada vez más el soporte para arquitecturas modernas, por lo que es probable que futuros cambios también afecten el uso de sistemas de 32 bits.

Aunque existen alternativas a Steam en Linux, como Lutris, Heroic Games Launcher o incluso Wine, este cambio específico no está relacionado con la exclusividad de la plataforma, sino con la evolución tecnológica y la necesidad de mantener estándares de seguridad actualizados.

En conclusión, a partir del 15 de agosto de 2025, Steam dejará de funcionar en Linux con glibc anterior a 2.31. Para evitar interrupciones en el servicio y seguir accediendo a tu biblioteca de juegos, es fundamental que los usuarios actualicen sus distribuciones Linux a versiones modernas y compatibles. Esta actualización no solo es necesaria para el uso de Steam, sino que también fortalece la seguridad y estabilidad del sistema operativo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un conjunto de vulnerabilidades críticas en AirPlay, el protocolo de transmisión inalámbrica de Apple, ha puesto en riesgo a millones de dispositivos Apple y de terceros sin parches. Las fallas también afectan el kit de desarrollo de software (SDK) de AirPlay, utilizado ampliamente en altavoces, televisores y sistemas de infoentretenimiento.

23 vulnerabilidades permiten ataques RCE, MITM y lectura de archivos confidenciales

De acuerdo con Oligo Security, la firma de ciberseguridad que identificó las fallas, las vulnerabilidades permiten:

• Ejecución remota de código (RCE), incluso en ataques de clic cero
• Ataques de intermediario (MITM) y denegación de servicio (DoS)
• Elusión de listas de control de acceso (ACL)
• Acceso a información sensible
• Lectura arbitraria de archivos locales

Las 23 vulnerabilidades, denominadas colectivamente como "AirBorne", fueron reportadas a Apple, que lanzó parches de seguridad el 31 de marzo de 2025 para los siguientes sistemas:

• iPhones y iPads: iOS 18.4 y iPadOS 18.4
• Mac: macOS Ventura 13.7.5, Sonoma 14.7.5 y Sequoia 15.4
• Apple Vision Pro: visionOS 2.4

También se corrigieron fallos en el SDK de audio y video de AirPlay y en el complemento de comunicación CarPlay, afectando a dispositivos de terceros como parlantes, televisores inteligentes y sistemas automotrices compatibles.

Dispositivos Apple vulnerables a ataques en redes Wi-Fi locales

Aunque las fallas solo pueden explotarse dentro de la misma red local —ya sea Wi-Fi o conexión peer-to-peer—, los atacantes pueden tomar control total de un dispositivo vulnerable y usarlo como punto de entrada para comprometer otros dispositivos habilitados para AirPlay en la misma red.

Los investigadores lograron demostrar que dos de las vulnerabilidades más graves:

• CVE-2025-24252
• CVE-2025-24132

pueden utilizarse para crear exploits RCE automáticos tipo gusano, sin necesidad de interacción del usuario. Además, la vulnerabilidad CVE-2025-24206 permite eludir la confirmación de conexión AirPlay, haciendo innecesario el clic de "Aceptar" por parte del usuario. Esta falla puede combinarse con otras para lanzar ataques de clic cero sin detección.

Riesgos potenciales: ransomware, espionaje y ataques a la cadena de suministro

Según Oligo Security:

Citar"Un atacante puede tomar el control de dispositivos AirPlay comprometidos y desplegar malware que se propague a través de redes locales, facilitando ataques como espionaje, ransomware o sabotaje de la cadena de suministro".

La amenaza se agrava por la amplia adopción del protocolo AirPlay en el ecosistema Apple. Se estima que hay más de 2.350 millones de dispositivos Apple activos (iPhones, iPads, Macs, AppleTV, Vision Pro, etc.), además de millones de dispositivos de terceros —como altavoces, televisores y sistemas de infoentretenimiento para automóviles— que utilizan AirPlay o CarPlay.

Recomendaciones de seguridad: cómo proteger los dispositivos Apple

La firma de ciberseguridad recomienda tomar las siguientes medidas inmediatas para reducir la superficie de ataque AirPlay y evitar el compromiso de sistemas:

• Actualizar todos los dispositivos Apple y AirPlay a la versión más reciente de su sistema operativo.
• Solicitar a empleados que actualicen también sus dispositivos personales compatibles con AirPlay.
• Deshabilitar AirPlay Receiver si no se está utilizando.
• Restringir el acceso AirPlay a dispositivos de confianza mediante configuraciones de red y reglas de firewall.
• Limitar el uso de AirPlay al usuario actual, evitando conexiones no autorizadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de malware dirigida a sitios WordPress ha sido detectada, en la cual los atacantes distribuyen un plugin malicioso disfrazado de herramienta de seguridad, engañando a los administradores para que lo instalen y confíen en él. Esta amenaza proporciona acceso persistente, ejecución remota de código e inyección de JavaScript, todo mientras se oculta del panel de administración de WordPress para evitar la detección.

Cómo opera el malware en sitios WordPress

Investigadores de Wordfence, empresa especializada en la seguridad de WordPress, descubrieron el malware durante una limpieza de sitio a finales de enero de 2025. Detectaron una versión manipulada del archivo wp-cron.php, el cual creaba y activaba automáticamente un plugin malicioso llamado WP-antymalwary-bot.php.

El malware también ha sido detectado con otros nombres de plugins, entre ellos:

• addons.php
• wpconsole.php
• wp-performance-booster.php
• scr.php

Estos complementos no aparecen en la lista de plugins activos dentro del panel de administración de WordPress, lo que dificulta su detección por parte de los usuarios.

Mecanismos de persistencia y reinfección automática

Una de las características más peligrosas de esta campaña es que, incluso si el plugin malicioso es eliminado, el archivo wp-cron.php lo recrea automáticamente en la siguiente visita al sitio web. Esta función garantiza que los atacantes mantengan el acceso persistente a los sistemas comprometidos.

Debido a la ausencia de registros del servidor que puedan ayudar a rastrear el origen exacto de la infección, Wordfence sugiere que la intrusión puede haberse producido a través de credenciales FTP comprometidas o una cuenta de alojamiento vulnerada.

Acceso de administrador y ejecución remota de comandos

Una vez instalado, el plugin realiza una autoverificación de estado y habilita el acceso de administrador a los atacantes. Utiliza una función llamada emergency_login_all_admins, que permite iniciar sesión como administrador mediante un parámetro GET (emergency_login) y una contraseña en texto plano.

Este mecanismo localiza todos los usuarios con rol de administrador en la base de datos, selecciona uno e inicia sesión como ese usuario, otorgando a los atacantes control total del sitio WordPress.

Modificación del header.php y JavaScript malicioso

El malware también registra una ruta API REST personalizada no autenticada, lo que permite insertar código PHP arbitrario en todos los archivos header.php del tema activo. Esta API puede ejecutar múltiples comandos, entre ellos:

• Inserción de código PHP en archivos críticos
• Borrado de cachés de plugins
• Inyección de JavaScript codificado en base64 en la etiqueta <head> del sitio

Estos scripts pueden ser utilizados para mostrar publicidad invasiva, lanzar ataques de phishing o redirigir a los visitantes a sitios web maliciosos.

Cómo detectar señales de infección en WordPress

Además de los nombres de plugins mencionados, los administradores de sitios deben revisar cuidadosamente:

• El archivo wp-cron.php para identificar código sospechoso o funciones de autoinstalación.
• El archivo header.php del tema activo en busca de inserciones no autorizadas de código PHP o JavaScript.
• Los registros de acceso web, buscando patrones como emergency_login, check_plugin, urlchange y key, que pueden ser indicadores claros de actividad maliciosa.

¿Dónde está alojado el servidor C2?

Aunque aún se desconoce la identidad de los atacantes, Wordfence identificó que el servidor de comando y control (C2) asociado a esta campaña está ubicado en Chipre. Además, se han observado similitudes con un ataque a la cadena de suministro detectado en junio de 2024, lo que podría indicar un mismo actor o infraestructura compartida.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login