Un grupo de amenazas persistentes avanzadas (APT) vinculado a China, conocido como TheWizards, ha sido identificado como el responsable del uso de una sofisticada herramienta de movimiento lateral en redes IPv6 llamada Spellbinder. Esta herramienta facilita ataques de adversario en el medio (AitM) mediante técnicas de suplantación SLAAC (autoconfiguración de direcciones sin estado) en entornos con soporte IPv6.

Spellbinder: Interceptación de tráfico y redirección de actualizaciones maliciosas

De acuerdo con un informe de Facundo Muñoz, investigador de ESET, Spellbinder permite la interceptación de paquetes de red y la redirección del tráfico de actualizaciones legítimas de software chino hacia servidores controlados por atacantes. Entre los casos detectados, la herramienta secuestra el proceso de actualización del popular software chino Sogou Pinyin para descargar y ejecutar malware en el sistema comprometido.

Una vez comprometido, el sistema descarga un archivo malicioso que actúa como instalador de una puerta trasera modular, denominada WizardNet, diseñada para recibir y ejecutar cargas útiles desarrolladas en .NET.

Abuso recurrente del mecanismo de actualización de Sogou Pinyin

Esta no es la primera vez que actores de amenazas chinos aprovechan el proceso de actualización de software de Sogou Pinyin. En enero de 2024, ESET reportó que otro grupo APT, conocido como Blackwood, utilizó un implante llamado NSPX30 mediante la misma técnica. Asimismo, el grupo PlushDaemon desplegó un descargador personalizado denominado LittleDaemon utilizando el mismo vector de ataque a principios de este año.

Objetivos y alcance geográfico del grupo TheWizards

TheWizards APT tiene como blanco a individuos y organizaciones en sectores como el juego online, ubicados en Camboya, Hong Kong, China continental, Filipinas y Emiratos Árabes Unidos. Evidencias técnicas indican que Spellbinder ha estado en uso desde al menos 2022, aunque el vector de acceso inicial aún no ha sido identificado.

En los ataques observados, los actores distribuyen un archivo comprimido ZIP con cuatro componentes clave: AVGApplicationFrameHost.exe, wsc.dll, log.dat y winpcap.exe. El malware instala WinPcap y ejecuta código en memoria para iniciar Spellbinder, que intercepta y manipula tráfico de red mediante RA ICMPv6.

DNS hijacking de actualizaciones en plataformas chinas populares

Uno de los ataques más recientes en 2024 incluyó el secuestro del dominio de actualización de Tencent QQ (update.browser.qq[.]com), mediante spoofing DNS, redirigiendo a un servidor malicioso controlado por los atacantes (43.155.62[.]54). Desde allí, el sistema comprometido descarga la puerta trasera WizardNet.

Spellbinder emplea un analizador propio para inspeccionar las consultas DNS y cotejarlas con una lista interna de dominios objetivo, que incluye servicios ampliamente usados en China como Tencent, Baidu, Youku, iQIYI, Kingsoft, Xiaomi, PPLive, Meitu, Qihoo 360 y más.

Vinculación con DarkNights y el contratista chino Dianke Network Security

Además de WizardNet, TheWizards utiliza otra herramienta de malware llamada DarkNights, también conocida como DarkNimbus, atribuida a otro grupo APT chino denominado Earth Minotaur. Aunque las actividades de ambos grupos presentan similitudes, los investigadores los consideran operadores independientes debido a diferencias en herramientas, infraestructura y objetivos.

Investigaciones posteriores han vinculado a Dianke Network Security Technology Co., Ltd. (también conocida como UPSEC) con el desarrollo de DarkNimbus, posicionando a este contratista del Ministerio de Seguridad Pública de China como un proveedor de software malicioso al servicio de operaciones de ciberespionaje.

Citar"Mientras TheWizards usa una puerta trasera diferente para Windows, el servidor de secuestro está configurado para distribuir DarkNights en dispositivos Android, lo que sugiere que Dianke Network Security actúa como proveedor digital del grupo APT TheWizards", concluyó Muñoz.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El servicio de correo electrónico cifrado Proton Mail ha sido objeto de una orden de bloqueo en India. El Tribunal Superior del estado de Karnataka dictó una resolución el 29 de abril de 2025, ordenando la restricción del acceso a Proton Mail en todo el país. La medida responde a una demanda presentada por la empresa M Moser Design Associated India Pvt Ltd, que denunció la recepción de correos electrónicos ofensivos enviados desde cuentas de este proveedor de correo cifrado.

¿Por qué bloquearon Proton Mail en India?

Según la información publicada por LiveLaw, la denuncia señala que empleados de M Moser Design recibieron mensajes con lenguaje obsceno y abusivo, además de contenido sexualmente explícito generado por inteligencia artificial, incluyendo imágenes deepfake.

Durante la audiencia, el juez M. Nagaprasanna ordenó al gobierno de India iniciar procedimientos formales conforme a la Sección 69A de la Ley de Tecnología de la Información de 2008, en conjunto con la Regla 10 de las Reglas de TI de 2009, para bloquear el acceso a Proton Mail.

Citar"Hasta que el gobierno de la India retome y concluya tales procedimientos, los localizadores uniformes de recursos (URL) infractores deberán ser bloqueados de inmediato", dictaminó el juez.

Estado actual del servicio de Proton Mail en India

A pesar de la orden judicial, Proton Mail aún está accesible en India al momento de redactar esta nota. El medio The Hacker News contactó a la empresa suiza para solicitar declaraciones, aunque aún no se ha recibido respuesta oficial.

Este es el segundo intento de bloqueo de Proton Mail en India. En 2024, las autoridades investigaron el uso del servicio en el envío de amenazas de bomba falsas, lo que generó preocupaciones similares. En esa ocasión, la compañía reiteró su compromiso con el cumplimiento de la ley suiza, manifestando que está "resueltamente en contra del uso de los servicios de Proton para fines ilegales".

Política de privacidad y cumplimiento legal de Proton Mail

Proton Mail, con sede en Suiza, se destaca por ofrecer cifrado de extremo a extremo que protege los correos electrónicos, archivos, calendarios y contraseñas de los usuarios. Sin embargo, aunque la empresa no puede compartir datos con autoridades extranjeras debido a las estrictas leyes de privacidad suizas, sí colabora con las autoridades suizas en caso de órdenes judiciales, quienes pueden a su vez cooperar con otras agencias internacionales.

La compañía ha subrayado que su tecnología de cifrado no exime a los usuarios del cumplimiento legal:

Citar"No está permitido utilizar Proton Mail para actividades que violen la ley suiza", aclaró en su declaración oficial.

En conclusión, el bloqueo de Proton Mail en India abre un nuevo debate sobre el equilibrio entre privacidad digital y seguridad pública. Mientras el cifrado de extremo a extremo protege a millones de usuarios en todo el mundo, también plantea desafíos cuando se usa con fines maliciosos. Este caso podría sentar un precedente importante sobre cómo los gobiernos enfrentan el uso de tecnologías cifradas en sus jurisdicciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El popular emulador de videojuegos multiplataforma RetroArch acaba de lanzar su nueva versión RetroArch 1.21.0, cuatro meses después de su última actualización. Más que un simple emulador, RetroArch actúa como un completo frontend para ejecutar múltiples núcleos (cores) de emulación, integrando en un solo entorno diferentes sistemas y plataformas.

Esta nueva versión introduce mejoras significativas en estabilidad, rendimiento, compatibilidad y funcionalidad, consolidando aún más su posición como la mejor opción en el mundo de la emulación retro.

RetroArch 1.21.0: novedades generales

Entre los principales cambios de RetroArch 1.21.0, se destacan:

• Corrección de errores en los guardados automáticos.
• Soporte para redefinición de directorios mediante variables de entorno.
• Soluciones a fallos al ejecutar sin núcleo seleccionado.
• Mejora en el conteo de fotogramas perdidos, ahora basado en la tasa del núcleo.
• Optimización del rendimiento general y estabilidad del sistema.

Mejoras en audio y vídeo

La gestión del audio ha sido optimizada con un refinamiento en el soporte para PipeWire, especialmente en la latencia, el uso del micrófono y el arranque de aplicaciones. También se incluye:

• Opción para silenciar el audio al rebobinar.
• Mejoras en sombreadores y sincronización de subframes.
• Soporte para BFI en móviles y adaptive vsync en Vulkan, elevando la experiencia audiovisual en dispositivos modernos.

Interfaz gráfica renovada y menús optimizados

La interfaz de RetroArch ha sido mejorada en diversos aspectos:

• Unificación del menú principal entre diferentes controladores.
• Nuevos temas visuales y opciones de personalización (XMB, Ozone).
• Mejoras en navegación, miniaturas y pestañas de listas de reproducción.
• El menú GLUI ahora permite navegación en miniatura a pantalla completa y captura de estados visuales.

Compatibilidad mejorada por plataforma

RetroArch 1.21.0 refuerza su compatibilidad con múltiples sistemas operativos y dispositivos:

• 3DS: estabilidad reforzada, solución de congelamientos y soporte TLS.
• iOS/macOS: integración con CoreMIDI y CoreLocation, mejoras en App Store y soporte GL compartido.
• Linux: ajustes en entrada X11 y detección de sensores.
• Windows: optimización de conectividad vía sockets.
• tvOS/iOS: mejoras de estabilidad, arte en Top Shelf y bloqueo de orientación.
• Emscripten (Web): nuevo reproductor moderno con drivers de audio/vídeo actualizados.
• Consolas: correcciones específicas para Wii, Wii U, PS Vita, entre otras.

Nuevas funciones destacadas en RetroArch 1.21.0

Esta actualización incluye funcionalidades clave para los entusiastas de la emulación:

• Nuevos controladores de cámara (PipeWire, ffmpeg).
• Sincronización en la nube mejorada.
• Soporte SSL en el menú de información.
• Rediseño completo del disparo turbo.
• Compatibilidad con entrada táctil en web y dispositivos MIDI.
• Soporte para logros en red (Cheevos) en juegos online.

Red, netplay y sincronización en la nube

RetroArch 1.21.0 incorpora mejoras sustanciales en conectividad:

• Soporte ampliado para HTTP, incluyendo redirecciones y resolución DNS.
• Ajustes en la funcionalidad netplay y logros en línea.
• Soluciones para sincronización en la nube, especialmente en rutas de Windows y carpetas ignoradas.

RetroArch 1.21.0 ya disponible para todas las plataformas

El código fuente y los binarios de RetroArch 1.21.0 ya pueden descargarse desde su sitio web oficial. Está disponible para:

• Windows (incluyendo versiones antiguas no soportadas por Microsoft)
• Linux (32 y 64 bits, arquitecturas x86 y ARM)
• macOS, Android, iOS, tvOS
• Consolas como Xbox, Switch, PSP, PS Vita, Wii, Wii U, PS2
• Próximamente llegará también a PS3 y PS4
• Y hasta es posible ejecutarlo en navegadores web gracias a su versión Emscripten

Integración con frontends como Batocera y ES-DE

Además de su uso independiente, RetroArch 1.21.0 será integrado en plataformas como Batocera y ES-DE (EmulationStation Desktop Edition). Estas distribuciones Linux están optimizadas para la emulación retro, ofreciendo una experiencia más accesible y visual, ideal para convertir cualquier PC en una consola retro completa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Alibaba refuerza su liderazgo en el campo de la inteligencia artificial de código abierto con el lanzamiento oficial de Qwen3, su nueva serie de modelos de lenguaje de última generación (LLM). Según ha anunciado el gigante tecnológico chino en su blog oficial, Qwen3 incorpora avances clave en razonamiento, seguimiento de instrucciones, uso de herramientas y procesamiento multilingüe, posicionándose como una alternativa de alto nivel frente a modelos populares como DeepSeek R1.

Qwen3: modelos LLM optimizados para rendimiento, flexibilidad y accesibilidad

La nueva serie Qwen3 de Alibaba sucede a uno de los modelos de código abierto mejor valorados en tareas matemáticas. Ahora, con esta tercera generación, la compañía presenta ocho variantes de modelo con diferentes arquitecturas y tamaños, adaptadas para múltiples casos de uso, desde aplicaciones móviles hasta entornos empresariales en la nube.

Entre las principales innovaciones destaca la adopción del llamado "razonamiento híbrido", una técnica que permite a los modelos alternar entre dos modos operativos:

• Modo de pensamiento profundo: optimizado para tareas complejas como programación, análisis lógico o generación técnica.
• Modo sin pensamiento: enfocado en respuestas generales más rápidas y eficientes.

Esta tecnología sitúa a Qwen3 a la vanguardia de las nuevas tendencias en IA, alineándose con enfoques similares adoptados por OpenAI, Google y Anthropic, quienes también exploran la combinación entre velocidad de respuesta y profundidad de razonamiento.

Qwen3-235B-A22B MoE: modelo optimizado para eficiencia y escalabilidad

Uno de los modelos más destacados de esta nueva serie es Qwen3-235B-A22B MoE (Mixture of Experts), diseñado para maximizar el rendimiento sin incrementar el coste computacional. Según CNBC, este modelo reduce significativamente los costes de implementación frente a otros modelos líderes del mercado, lo que refuerza el compromiso de Alibaba con una IA accesible, escalable y eficiente.

Además, todos los modelos Qwen3 están disponibles de forma gratuita para usuarios individuales en plataformas líderes como:

• Hugging Face
• GitHub
• Alibaba Cloud (interfaz web)

Estos modelos también impulsan el rendimiento de Quark, el asistente de IA de Alibaba, lo que demuestra su integración práctica y funcionalidad en productos reales.

Características clave de Qwen3: multilingüismo, código abierto y adopción masiva

Wei Sun, analista de Counterpoint Research, ha calificado a Qwen3 como un "avance significativo" en el panorama de la IA de código abierto, no solo por su alto rendimiento, sino por tres características fundamentales:

• Razonamiento híbrido avanzado
• Compatibilidad multilingüe con 119 idiomas y dialectos
• Licencia de código abierto que fomenta la innovación global

Esta accesibilidad ha impulsado una rápida adopción: más de 300 millones de descargas a nivel mundial y más de 100.000 modelos derivados en Hugging Face.

Alibaba impulsa la inteligencia artificial de código abierto en China

El lanzamiento de Qwen3 refuerza la estrategia de China de posicionarse como líder global en tecnologías de código abierto aplicadas a la inteligencia artificial. Analistas como Ray Wang, con sede en Washington, destacan que este movimiento demuestra la capacidad de los laboratorios chinos para desarrollar modelos competitivos, a pesar de los desafíos regulatorios y las restricciones tecnológicas impuestas por Estados Unidos.

China ha intensificado su apuesta por la apertura tecnológica, atrayendo talento internacional y fomentando la colaboración con la comunidad global de desarrolladores. Empresas como Baidu también han seguido este enfoque, con planes para transitar hacia modelos más abiertos tras el éxito de DeepSeek.

Por su parte, DeepSeek ya trabaja en el sucesor de su modelo R1, mientras que Alibaba con Qwen3 continúa consolidando su posición como uno de los referentes de la inteligencia artificial de código abierto a nivel mundial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha actualizado su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) con dos nuevas fallas de seguridad de alta gravedad, tras detectar explotación activa en entornos reales. Las vulnerabilidades afectan a Broadcom Brocade Fabric OS y al servidor web de Commvault, productos ampliamente utilizados en entornos empresariales y gubernamentales.

CVE-2025-1976: Vulnerabilidad crítica en Broadcom Brocade Fabric OS

• Identificador CVE: CVE-2025-1976
• Puntuación CVSS: 8.6 (Alta)
• Impacto: Ejecución de código arbitrario con privilegios de root
• Sistema afectado: Broadcom Brocade Fabric OS (versiones 9.1.0 a 9.1.1d6)
• Parche disponible: Versión 9.1.1d7

La vulnerabilidad CVE-2025-1976 se debe a un fallo en la validación de direcciones IP, lo que permite a un usuario local con privilegios administrativos ejecutar código con permisos de superusuario (root). Broadcom ha confirmado que esta debilidad puede ser usada para ejecutar cualquier comando del sistema o incluso modificar el propio sistema operativo Fabric OS, lo que representa un riesgo severo para la integridad del sistema.

Citar"A pesar de que esta explotación requiere acceso previo con privilegios administrativos, se ha observado actividad maliciosa activa en entornos reales", alertó Broadcom en un boletín oficial emitido el 17 de abril de 2025.

CVE-2025-3928: Vulnerabilidad en el servidor web de Commvault

• Identificador CVE: CVE-2025-3928
• Puntuación CVSS: 8.7 (Alta)
• Impacto: Creación y ejecución remota de shells web
• Sistema afectado: Commvault Web Server (versiones para Windows y Linux)
• Condiciones de explotación: Requiere credenciales autenticadas

Esta vulnerabilidad afecta al servidor web de Commvault, permitiendo a atacantes autenticados crear y ejecutar shells web de forma remota. Commvault explicó que no es explotable sin credenciales válidas y describió tres condiciones clave para la explotación:

• El entorno debe ser accesible desde Internet.
• Debe haber un compromiso previo por otro vector.
• El atacante debe poseer credenciales legítimas del usuario.

Las versiones afectadas incluyen:

• 11.36.0 - 11.36.45 (corregido en 11.36.46)
• 11.32.0 - 11.32.88 (corregido en 11.32.89)
• 11.28.0 - 11.28.140 (corregido en 11.28.141)
• 11.20.0 - 11.20.216 (corregido en 11.20.217)

Explotación activa y mitigación inmediata

Aunque aún no se han publicado detalles técnicos sobre los métodos específicos de explotación ni sobre la escala o los responsables de los ataques, el hecho de que ambas vulnerabilidades estén siendo explotadas activamente en la naturaleza representa una amenaza significativa.

Por este motivo, la CISA ha emitido una directiva urgente para que todas las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen los parches correspondientes:

• Para Commvault Web Server, antes del 17 de mayo de 2025.
• Para Broadcom Brocade Fabric OS, antes del 19 de mayo de 2025.

Recomendaciones para administradores de sistemas y equipos de ciberseguridad

Las organizaciones que utilicen estas plataformas deben:

• Actualizar inmediatamente a las versiones corregidas.
• Restringir el acceso a interfaces administrativas desde redes externas.
• Auditar accesos privilegiados para detectar anomalías.
• Supervisar el tráfico de red en busca de comandos sospechosos o conexiones reversas.

Además, se recomienda implementar una estrategia de defensa en profundidad que incluya segmentación de red, autenticación multifactor (MFA) y análisis de comportamiento.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa de ciberseguridad SentinelOne ha revelado que el grupo de amenazas persistentes avanzadas (APT) con vínculos con China, conocido como PurpleHaze, intentó realizar actividades de reconocimiento contra su infraestructura y la de varios de sus clientes estratégicos de alto valor.

Según el análisis técnico publicado por los expertos de seguridad Tom Hegel, Aleksandar Milenkoski y Jim Walter, este grupo fue detectado por primera vez durante una intrusión en 2024, dirigida a una organización que prestaba servicios logísticos de hardware para empleados de SentinelOne.

PurpleHaze y su conexión con APT15

Los investigadores vinculan a PurpleHaze con APT15, también conocido como Flea, Nylon Typhoon (anteriormente Nickel), Playful Taurus, Royal APT y Vixen Panda, todos considerados grupos de ciberespionaje patrocinados por el estado chino.

Además, se observó que PurpleHaze atacó en octubre de 2024 a una entidad no identificada vinculada al gobierno del sur de Asia, utilizando una red de retransmisión operativa (ORB) y una puerta trasera en Windows denominada GoReShell. Este implante, desarrollado en lenguaje Go, reutiliza la herramienta de código abierto reverse_ssh para establecer conexiones SSH inversas con dispositivos comprometidos.

"El uso de redes ORB es una tendencia creciente entre actores de amenazas avanzadas, ya que permite crear infraestructuras altamente dinámicas y difíciles de rastrear para operaciones de ciberespionaje", advierten desde SentinelOne.

ShadowPad, ScatterBrain y ataques a infraestructura crítica

Un análisis posterior sugiere que la misma entidad del sur de Asia fue víctima, en junio de 2024, de otro ataque que involucró el uso de ShadowPad (también conocido como PoisonPlug), una puerta trasera muy utilizada por grupos APT chinos y considerada sucesora de PlugX.

Este malware fue identificado con técnicas de ofuscación avanzadas mediante un compilador personalizado conocido como ScatterBrain. Aunque ShadowPad también ha sido usado recientemente para distribuir ransomware, la motivación concreta detrás del ataque de junio permanece incierta.

Se estima que el ShadowPad ofuscado fue utilizado en intrusiones dirigidas a más de 70 organizaciones de sectores como fabricación, gobierno, finanzas, telecomunicaciones e investigación, posiblemente explotando una vulnerabilidad de día cero en dispositivos de puerta de enlace CheckPoint.

Una de las organizaciones afectadas fue la encargada de la logística de hardware para SentinelOne. Afortunadamente, la firma no encontró evidencias de un compromiso secundario en sus sistemas.

Intentos de infiltración desde Corea del Norte

SentinelOne también informó sobre intentos de infiltración por parte de actores alineados con Corea del Norte, quienes, mediante el uso de identidades falsas, buscaron conseguir puestos en áreas críticas de la compañía, incluyendo el equipo de inteligencia SentinelLabs. Se detectaron aproximadamente 360 perfiles falsos y más de 1.000 solicitudes de empleo fraudulentas, parte de una campaña de espionaje encubierto.

Amenazas de ransomware dirigidas a plataformas EDR

Además de los ataques patrocinados por estados, SentinelOne ha sido blanco de operadores de ransomware que buscan evaluar sus productos EDR (Endpoint Detection and Response) para detectar posibles puntos débiles y evadir la detección.

Estos esfuerzos están impulsados por una economía clandestina activa que incluye venta y alquiler de accesos a herramientas de seguridad empresarial a través de canales de mensajería cifrada y foros clandestinos como XSS[.]es, Explotar[.]en y RAMP.

En este contexto, ha emergido un nuevo servicio denominado "EDR Testing-as-a-Service", que permite a los ciberdelincuentes probar malware de forma discreta en entornos semiprivados sin comprometer sus operaciones. Este tipo de pruebas optimiza las cargas útiles maliciosas antes de ser desplegadas en entornos reales.

Nitrogen: ransomware avanzado con ingeniería social sofisticada

Un actor especialmente peligroso es el grupo ransomware Nitrogen, presuntamente dirigido por un ciudadano ruso. A diferencia de otros grupos, Nitrogen evita depender de accesos internos o credenciales robadas, optando por suplantar empresas legítimas para adquirir productos de seguridad oficialmente.

Utilizando dominios clonados, correos falsificados e infraestructura idéntica a compañías reales, Nitrogen logra comprar licencias legítimas de software EDR y otras soluciones de seguridad, con el fin de testear y evadir defensas.

"Este tipo de ingeniería social es extremadamente precisa", señalan los investigadores. "El grupo se enfoca en revendedores pequeños con procesos laxos de verificación KYC (Know Your Customer), reduciendo el riesgo de detección".

En conclusión, el informe de SentinelOne pone de manifiesto cómo grupos APT chinos como PurpleHaze, operadores de ransomware como Nitrogen, y actores norcoreanos están elevando el nivel de sofisticación en las amenazas actuales. Desde ataques dirigidos a infraestructuras críticas, hasta intentos de infiltración corporativa y evaluación de defensas EDR, la ciberseguridad empresarial enfrenta una escalada sin precedentes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Sabías que tu móvil Android podría estar escaneando tus fotos sin que lo hayas activado conscientemente? Una nueva función llamada Android System SafetyCore ha sido incluida en recientes actualizaciones del sistema operativo, y ha generado una gran preocupación en torno a la privacidad digital y el control del usuario sobre sus datos.

En este artículo te explicamos qué es SafetyCore, cómo puede afectar tu privacidad, cómo localizarlo en tu dispositivo y cómo desactivarlo paso a paso.

¿Qué es Android SafetyCore y por qué está en tu móvil?

SafetyCore es un componente del sistema Android diseñado para analizar imágenes almacenadas localmente en tu dispositivo. Su objetivo es detectar contenido sensible o explícito, como desnudos, con el fin de evitar el envío accidental de este tipo de imágenes a través de aplicaciones como Google Messages.

Google asegura que el análisis se realiza de forma local, sin enviar tus fotos a sus servidores, y que la función está orientada a proteger a usuarios menores de edad. Sin embargo, esta herramienta se ha implementado sin notificación previa, sin pedir permiso al usuario y sin aparecer como una aplicación visible.

¿Por qué la función Android SafetyCore genera preocupación?

Estas son algunas razones por las que la función SafetyCore ha sido criticada:

• No se anunció públicamente: SafetyCore fue incluida en actualizaciones sin notificación ni opción de consentimiento.
• Actúa en segundo plano: El escaneo de fotos ocurre automáticamente, sin que el usuario lo active manualmente.
• No es visible como una app común: No aparece en el menú de aplicaciones, lo que dificulta su detección y gestión.
• Reinstalación automática: Algunos usuarios reportan que la función se reactiva tras actualizar el sistema operativo o los Servicios de Google Play.

Cómo desactivar Android SafetyCore en tu dispositivo Android

Si quieres recuperar el control sobre lo que hace tu móvil con tus imágenes, sigue estos pasos para localizar y desactivar Android System SafetyCore:

• Abre los Ajustes de tu dispositivo Android.
• Entra en Aplicaciones o Aplicaciones y notificaciones.
• Toca en Ver todas las aplicaciones.
• Pulsa en el menú de tres puntos (arriba a la derecha) y activa "Mostrar procesos del sistema".
• Busca "Android System SafetyCore".
• Si la encuentras, selecciona la opción Desinstalar o Desactivar (puede variar según el modelo).
• Revisa y restringe los permisos que tenga asignados (como acceso a Internet o almacenamiento).

Importante: si tras una actualización la función vuelve a aparecer, deberás repetir el proceso.

Seguridad vs. privacidad: ¿es Android SafetyCore una función útil o una amenaza?

Aunque Google plantea SafetyCore como una medida de protección, la falta de transparencia ha levantado muchas sospechas. En comparación, Apple ofrece una función similar llamada Communication Safety, pero con una gran diferencia: es opcional y visible para el usuario.

Esta situación abre un debate necesario: ¿hasta qué punto deben las grandes empresas tecnológicas introducir funciones en nombre de la seguridad sin consentimiento explícito del usuario?

En conclusión, Android System SafetyCore podría estar escaneando tus imágenes sin que lo sepas, y aunque la intención declarada sea protegerte, el modo en que se ha introducido genera desconfianza. Si valoras tu privacidad, es recomendable revisar si esta función está activa en tu dispositivo y decidir si deseas desactivarla.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si eres parte de la comunidad Kali Linux, esta noticia es crucial para ti. Offensive Security, los creadores de esta popular distribución Linux enfocada en pruebas de penetración y seguridad informática, ha emitido una alerta importante que requiere tu acción inmediata.

¿El problema? La pérdida de su antigua clave de firma del repositorio (identificada como ED444FF07D8D0BF6) ha obligado a OffSec a generar una nueva clave de firma (ED65462EC8D5E4C5). Esta nueva llave ha sido firmada utilizando los servidores de claves OpenPGP de Ubuntu.

La buena noticia es que la clave anterior no fue comprometida. Sin embargo, esto significa que tu sistema Kali Linux actual no la eliminará automáticamente.

¿Qué significa esto para tu Kali Linux?

Si tu sistema aún utiliza la clave antigua, te toparás con un frustrante error al intentar actualizar tus paquetes de software. El mensaje será claro: "Falta la clave 827C8569F2518CC677FECA1AED65462EC8D5E4C5, que se necesita para verificar la firma". En pocas palabras, ¡no podrás obtener las últimas actualizaciones!

La "Congelación" Temporal del Repositorio: Una Medida Preventiva

Para evitar que los usuarios se vieran afectados por este cambio de clave sin previo aviso, Offensive Security tomó una medida drástica: congeló el repositorio de Kali Linux el pasado 18 de febrero.

En su comunicado, fueron directos: "En los próximos días, prácticamente todos los sistemas Kali no se actualizarán. [..] Esto no es solo tú, esto es para todos, y esto es completamente nuestra culpa. Perdimos el acceso a la clave de firma del repositorio, por lo que tuvimos que crear una nueva".

La buena noticia es que esta pausa fue temporal: "Al mismo tiempo, congelamos el repositorio (es posible que hayan notado que no hubo actualización desde el viernes 18), por lo que nadie se vio afectado todavía. Pero vamos a descongelar el repositorio esta semana, y ahora está firmado con la nueva clave".

La Solución: Una Sencilla Acción Manual

Para evitar los dolores de cabeza de los errores de actualización, Offensive Security ha proporcionado un comando sencillo que debes ejecutar en tu terminal para descargar e instalar manualmente la nueva clave de firma del repositorio Kali:

sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg

Además de este comando, OffSec también te guía sobre cómo verificar que el archivo descargado sea legítimo (comprobando su suma de comprobación) y cómo confirmar que la nueva clave se ha añadido correctamente a tu sistema.

Para los más precavidos, o aquellos que prefieren evitar la manipulación manual del llavero, la opción de reinstalar Kali Linux desde una imagen ISO reciente (que ya incluye la nueva clave) también es válida.

Un Déjà Vu para la Comunidad Kali

Curiosamente, esta no es la primera vez que los usuarios de Kali Linux se enfrentan a una situación similar. En febrero de 2018, un problema con la caducidad de la clave GPG también requirió una actualización manual del llavero por parte de los usuarios.

El equipo de Kali lo recordaba así en aquel entonces: "Si no actualizas Kali con regularidad (tos), entonces tu paquete de llaves de archivo está desactualizado y tendrás discrepancias de clave cuando trabajes con nuestros repositorios. Es una para ti, pero al menos puedes actualizar manualmente".

En resumen: Si eres usuario de Kali Linux, no demores esta acción. Ejecuta el comando proporcionado por Offensive Security para asegurar que tu sistema siga recibiendo actualizaciones sin problemas. ¡Mantente al día para mantener tu Kali Linux funcionando sin contratiempos!

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

España se encuentra sumida en un apagón general de proporciones inéditas, y mientras la incertidumbre persiste sobre las causas, la teoría de un ciberataque de gran escala gana cada vez más adeptos. ¿Cómo es posible que un ataque cibernético haya logrado paralizar el suministro eléctrico de todo un país de esta manera tan drástica?

La expectación crece a medida que se acerca la hora clave de las 12:30 en España, momento en el que se espera que se revele información oficial sobre lo ocurrido. Sin embargo, en las horas previas, especialistas en el sector energético y ciberseguridad han puesto el foco en la posibilidad de un ciberataque sofisticado dirigido a la red eléctrica española.

Aunque la hipótesis pueda sonar alarmante, expertos del sector señalan que un apagón de la magnitud actual sería difícil de explicar por otras causas. No obstante, declaraciones recientes, como las del expresidente de Portugal, Antonio Costa, restan peso a la teoría del ciberataque, aludiendo a la falta de indicios concretos.

Posibles Escenarios de Ciberataque a la Red Eléctrica Española
La pregunta clave que se hacen tanto expertos como ciudadanos es: ¿qué tipo de ciberataque podría haber provocado un colapso de esta magnitud? Los especialistas en seguridad informática barajan principalmente dos escenarios:

• Infección con Malware en Servidores Críticos: Los atacantes podrían haber introducido software malicioso (malware) en los servidores que gestionan las instalaciones eléctricas. Esta infección podría haber comprometido la disponibilidad de los sistemas, provocando una caída repentina y generalizada del circuito eléctrico. La falta de medidas de protección robustas o la existencia de vulnerabilidades no parcheadas podrían haber facilitado este tipo de ataque. Sin embargo, aún es prematuro determinar la metodología exacta y si existían contramedidas efectivas.
• Explotación de Vulnerabilidades en Sistemas Obsoletos: Otra teoría apunta a que los hackers podrían haber identificado y explotado vulnerabilidades preexistentes en los programas y sistemas que controlan la red eléctrica española. Experiencias en otros países sugieren que elementos obsoletos en la infraestructura pueden crear "puertas traseras" para los ciberdelincuentes. Estos podrían haber descubierto estas debilidades y lanzado un ataque coordinado para derribar la red eléctrica de forma implacable.

Entre los elementos sensibles que podrían ser obsoletos, se mencionan plantas de generación y subestaciones que quizás no cuenten con la última tecnología en seguridad, presentando puntos débiles susceptibles de ser explotados por ciberdelincuentes.

Investigación en Curso para Determinar las Causas del Apagón

Como se ha indicado, la investigación para esclarecer las causas del apagón general está en marcha. Tanto en España como a nivel internacional, la teoría del ciberataque no se descarta, y las autoridades competentes están trabajando para determinar qué ha sucedido realmente.

Confirmar un ciberataque como origen del apagón sería crucial, ya que señalaría una urgente necesidad de reforzar y modernizar los sistemas de seguridad para prevenir futuros incidentes de esta gravedad.

Expertos Dudan del Ciberataque Pese a Vulnerabilidades Previas

Expertos en el sector eléctrico español han expresado su sorpresa ante la magnitud del apagón, calificándolo como una situación "casi imposible". Si bien reconocen que las instalaciones energéticas son un objetivo frecuente de ciberataques en España, se consideraba que la modernización de la red española y la adopción de protocolos de seguridad europeos reducían significativamente el riesgo de un ataque de esta envergadura. Estos factores son los que generan dudas entre los especialistas sobre si un ciberataque es realmente la causa detrás de este histórico apagón.

Actualización:


La UE descarta un sabotaje pero la investigación continúa...

El reciente apagón en España ha generado un amplio debate sobre las posibles causas detrás de esta interrupción masiva en el suministro eléctrico. Mientras algunos sectores especulan sobre un ciberataque como origen del incidente, la Unión Europea y representantes del Gobierno español han aclarado que, de momento, no existe evidencia que confirme esta hipótesis.

Según informó el medio El Mundo, Teresa Ribera, vicepresidenta ejecutiva para la Transición Limpia, Justa y Competitiva, declaró que "no hay nada que nos permita afirmar que hay algún tipo de boicot o ciberataque" relacionado con el incidente. Estas declaraciones fueron respaldadas por el presidente del Gobierno, Pedro Sánchez, quien en su comparecencia ante los medios subrayó que no se descarta ninguna opción, ya que la causa del apagón todavía no se ha determinado.

Por el momento, no hay confirmación oficial que relacione el apagón en España con un ciberataque. Tanto la Unión Europea como las autoridades españolas llaman a la prudencia, señalando que la investigación sigue abierta y que todas las hipótesis están sobre la mesa.

Sigue al tanto de nuestro foro para estar al tanto de las últimas novedades y la confirmación de las causas de este apagón general en España.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva amenaza cibernética, conocida como Earth Kurma, ha puesto en la mira a los sectores gubernamental y de telecomunicaciones del sudeste asiático desde junio de 2024. ¿El objetivo? Ciberespionaje a gran escala y robo de información sensible.

Según un reciente informe de la firma de seguridad Trend Micro, este grupo de hackers avanzados (APT) está empleando tácticas muy elaboradas para infiltrarse en sistemas críticos. Su modus operandi incluye el uso de malware hecho a medida, rootkits (software malicioso que se oculta profundamente en el sistema) y plataformas de almacenamiento en la nube para extraer datos sin levantar sospechas.

¿Qué países están en riesgo? Filipinas, Vietnam, Tailandia y Malasia ya han sido identificados como objetivos principales de esta peligrosa campaña.

¿Por qué esta amenaza es tan grave?

Los expertos de Trend Micro, Nick Dai y Sunny Lu, advierten que los ataques de Earth Kurma representan un alto riesgo para las empresas y los gobiernos. No se trata solo de robar información; estos hackers buscan establecer una presencia persistente en los sistemas a través de rootkits a nivel del kernel, lo que les permite volver una y otra vez. Además, utilizan servicios en la nube populares como Dropbox y OneDrive para sacar la información robada, lo que dificulta su detección.

Tras la pista de Earth Kurma: Un historial de ciberespionaje

Las actividades de este grupo no son nuevas. Se han rastreado intrusiones desde noviembre de 2020, utilizando herramientas como TESDAT y SIMPOBOXSPY para desviar datos confidenciales a través de las plataformas de almacenamiento en la nube mencionadas.

Su arsenal de malware también incluye rootkits como KRNRAT y Moriya. Este último ya tiene un historial preocupante, ya que se le ha visto en ataques dirigidos a organizaciones de alto perfil en Asia y África como parte de la campaña de espionaje TunnelSnake.

¿Conexión con otros grupos de hackers?

Trend Micro ha encontrado similitudes entre las herramientas de Earth Kurma (SIMPOBOXSPY) y las de otro grupo APT llamado ToddyCat. Sin embargo, aún no se puede confirmar si están relacionados.

El misterio del acceso inicial y las tácticas de movimiento lateral

Actualmente, los investigadores no saben cómo Earth Kurma logra entrar en los sistemas de sus víctimas. Una vez dentro, utilizan diversas herramientas como NBTSCAN, Ladon, FRPC, WMIHACKER e ICMPinger para explorar la red y moverse lateralmente, buscando más información valiosa. También instalan un keylogger (KMLOG) para robar contraseñas.

Ojo con Ladon: Esta herramienta de código abierto ya ha sido vinculada a un grupo de hackers chino llamado TA428 (o Vicious Panda), lo que añade una capa más de complejidad a la investigación.

Persistencia silenciosa: El arte de no ser detectado

Para asegurarse de mantener el acceso a los sistemas comprometidos, Earth Kurma utiliza tres tipos de "cargadores" maliciosos: DUNLOADER, TESDAT y DMLOADER. Estos programas pueden cargar y ejecutar más malware en la memoria, incluyendo Cobalt Strike Beacons, los rootkits KRNRAT y Moriya, y herramientas para la exfiltración de datos.

Lo que hace que estos ataques sean especialmente difíciles de detectar es su uso de técnicas "Living off the Land" (LotL). En lugar de introducir software malicioso obvio, los hackers aprovechan herramientas legítimas del sistema, como el archivo syssetup.dll, para instalar los rootkits de forma encubierta.

Análisis técnico de los rootkits: Moriya y KRNRAT

• Moriya: Este rootkit está diseñado para analizar el tráfico de red (paquetes TCP) en busca de código malicioso e inyectarlo en un proceso legítimo del sistema (svchost.exe).
• KRNRAT: Una combinación de varios proyectos de código abierto, este rootkit tiene múltiples capacidades, incluyendo la manipulación de procesos, el ocultamiento de archivos, la ejecución de código malicioso, el camuflaje del tráfico de red y la comunicación con sus servidores de control. Al igual que Moriya, se inyecta en el proceso svchost.exe y utiliza un agente en modo de usuario como puerta trasera para recibir más instrucciones.

El robo de documentos y la ruta hacia la nube

Antes de enviar los datos robados, los hackers utilizan el cargador TESDAT para buscar archivos específicos con extensiones como .pdf, .doc, .docx, .xls, .xlsx, .ppt y .pptx. Estos documentos se guardan temporalmente en una carpeta llamada "tmp", se comprimen con WinRAR utilizando una contraseña y luego se envían.

Para esta exfiltración de datos, utilizan herramientas personalizadas como SIMPOBOXSPY, que puede subir los archivos comprimidos directamente a cuentas de Dropbox utilizando tokens de acceso específicos. Curiosamente, un informe anterior de Kaspersky sugiere que el cargador de Dropbox utilizado no es exclusivo de otro grupo de hackers (ToddyCat).

También emplean ODRIZ para cargar la información robada en OneDrive, utilizando un token de actualización específico.

¿Qué podemos esperar?
Trend Micro advierte que Earth Kurma sigue muy activo y continuará atacando países del sudeste asiático. Su capacidad para adaptarse a los sistemas de sus víctimas y mantener una presencia sigilosa los convierte en una amenaza persistente y peligrosa. Además, su habilidad para reutilizar código de campañas anteriores les permite personalizar sus herramientas de manera eficiente, incluso utilizando la propia infraestructura de las víctimas para lograr sus objetivos.

Mantente alerta: Si trabajas en los sectores gubernamental o de telecomunicaciones en el sudeste asiático, es crucial estar al tanto de esta amenaza y tomar medidas preventivas para proteger tus sistemas y tu información.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Puede un modelo de inteligencia artificial más ligero superar a los gigantes del sector? Google cree que sí. Con el lanzamiento de Gemma 3, la compañía promete un modelo de IA eficiente, creativo y sorprendentemente potente, sin necesidad de costosas infraestructuras.

Pero, ¿es realmente mejor que DeepSeek V3, uno de los modelos más precisos y avanzados en el mercado? En esta comparativa de Gemma 3 vs DeepSeek V3, analizamos sus fortalezas, limitaciones y cuál se adapta mejor a tus necesidades.

¿Qué es Gemma 3 y por qué es importante?

Gemma 3 es el nuevo modelo de IA de Google diseñado para ser:

• Más ligero y optimizado.
• Ejecutable en una sola GPU o TPU, reduciendo la necesidad de recursos en la nube.
• Multimodal, capaz de procesar texto, imágenes y vídeos.

Esta accesibilidad convierte a Gemma 3 en una opción ideal para pequeñas empresas, investigadores y desarrolladores que buscan inteligencia artificial potente sin grandes inversiones.

Principales ventajas de Gemma 3

• Creatividad en generación de contenido: produce textos naturales, coherentes y de alta calidad.
• Eficiencia en procesamiento: optimizado para funcionar en hardware de bajo costo.
• Capacidad multimodal: interpreta texto, imágenes y vídeos de manera integrada.

Comparativa: Gemma 3 vs DeepSeek V3

Aunque Gemma 3 ofrece numerosas ventajas, compararlo con DeepSeek V3 revela matices importantes.

¿Dónde destaca Gemma 3?

• Generación de contenido: Ideal para marketing, redacción creativa y generación de textos automáticos.
• Accesibilidad: No requiere infraestructura de alto nivel, abriendo la puerta a más usuarios.
• Multiformato: Trabaja de forma efectiva con diferentes tipos de datos.

¿Dónde DeepSeek V3 mantiene ventaja?

• Precisión en tareas complejas: En análisis financieros, cálculos científicos o razonamiento lógico avanzado, DeepSeek V3 sigue siendo superior.
• Gestión de grandes volúmenes de datos: DeepSeek maneja contextos mayores que Gemma 3, lo que le permite procesar información más profunda y compleja.
• Personalización: Ofrece mayor capacidad de ajuste y optimización para tareas específicas.

¿Cuál modelo de IA deberías elegir en 2025?

La elección entre Gemma 3 y DeepSeek V3 depende de tus prioridades:

• Gemma 3 es perfecto para pequeñas empresas, creadores de contenido y desarrolladores que buscan rendimiento sin grandes costos.
• DeepSeek V3 sigue siendo la mejor opción para corporaciones, investigadores científicos y proyectos que requieren máxima precisión.

En conclusiónm, Gemma 3 representa el futuro de la IA accesible: ligera, rápida y creativa. Si buscas una IA eficiente y versátil en 2025, es una opción a considerar. Sin embargo, para quienes necesitan el máximo rendimiento y análisis de datos avanzados, DeepSeek V3 continúa liderando el sector.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Coinbase, una de las principales plataformas de intercambio de criptomonedas, ha solucionado un error en sus registros de actividad que provocaba confusión y pánico entre los usuarios al hacerles creer que sus credenciales habían sido comprometidas.

A principios de mes, BleepingComputer informó que Coinbase etiquetaba incorrectamente los intentos fallidos de inicio de sesión con contraseñas erróneas como fallos de autenticación de dos factores (2FA). En los registros de actividad de la cuenta, aparecían errores como:

• "second_factor_failure"
• "Error en la verificación en 2 pasos"

Estos mensajes sugerían que un actor malicioso había ingresado correctamente el nombre de usuario y la contraseña, pero había fallado en la verificación 2FA, lo cual no era cierto.

Impacto del error y preocupación de los usuarios

La confusión llevó a numerosos usuarios a temer que Coinbase había sido hackeado o que sus contraseñas habían sido robadas, a pesar de que:

• Utilizaban contraseñas únicas para Coinbase.
• No había señales de malware en sus dispositivos.
• Ninguna otra cuenta asociada se vio afectada.

Ante esta situación, muchos usuarios restablecieron todas sus contraseñas y realizaron auditorías exhaustivas de seguridad en sus dispositivos, generando un pánico innecesario.

Actualización de Coinbase para corregir el problema

Coinbase confirmó a BleepingComputer que los intentos fallidos de inicio de sesión con contraseñas incorrectas se estaban registrando de manera errónea como fallos de 2FA. Los atacantes, en realidad, no lograban superar la fase inicial de autenticación.

Ahora, Coinbase ha implementado una actualización para etiquetar correctamente estos intentos fallidos. A partir de ahora, los usuarios verán registros que indican claramente un "Intento de contraseña fallido" en su historial de actividad.

Riesgos de ingeniería social asociados

El error en el etiquetado de registros también abría la puerta a ataques de ingeniería social. Actores maliciosos podrían utilizar esos mensajes para convencer a los usuarios de que sus cuentas habían sido comprometidas y obtener así información confidencial.

Aunque no se ha confirmado de manera independiente que estos errores hayan sido explotados, Coinbase y BleepingComputer advierten que los ataques de phishing por SMS (smishing) y llamadas fraudulentas suplantando a Coinbase son tácticas comunes para robar:

• Tokens de autenticación
• Credenciales de acceso

Recomendaciones de seguridad para usuarios de Coinbase

Coinbase recuerda a todos sus clientes que:

• Nunca solicitarán cambiar contraseñas o restablecer la autenticación de dos factores por teléfono o mensajes de texto.
• Todos los mensajes solicitando cambios de seguridad deben tratarse como intentos de estafa.

Es fundamental que los usuarios verifiquen siempre cualquier comunicación oficial accediendo directamente a la página de Coinbase y evitando hacer clic en enlaces sospechosos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Brave, el navegador centrado en la privacidad, ha presentado Cookiecrumbler, una nueva herramienta que utiliza grandes modelos de lenguaje (LLM) para detectar avisos de consentimiento de cookies y aplicar bloqueos que no interfieran con la funcionalidad del sitio web.

Desde 2022, Brave bloquea automáticamente los banners de consentimiento de cookies en todos los sitios web. Sin embargo, detectaron que un bloqueo incorrecto puede provocar problemas como errores de diseño, fallos en los flujos de pago o páginas en blanco.

Citar"Un bloqueo demasiado amplio o incorrecto puede interrumpir la funcionalidad esencial del sitio web", advierte Brave.

¿Cómo funciona Cookiecrumbler?

Cookiecrumbler combina inteligencia artificial y revisión manual de la comunidad para garantizar que solo se bloqueen los avisos que no impactan negativamente en la usabilidad. El proceso de funcionamiento incluye:

• Rastreo de principales sitios web mediante proxies regionales.
• Carga de páginas usando Puppeteer para detectar posibles banners de cookies.
• Clasificación automática con un LLM que sugiere correcciones.
• Publicación de resultados en GitHub, donde la comunidad revisa y mejora las sugerencias.

Este enfoque permite el bloqueo de banners de cookies a gran escala, adaptado a diferentes regiones, y minimiza los falsos positivos que afectan la experiencia del usuario.

Cookiecrumbler y la privacidad del usuario

La privacidad sigue siendo la prioridad para Brave. Por ello, han asegurado que Cookiecrumbler:

• Opera íntegramente en el backend de Brave, sin ejecutarse en el navegador del usuario.
• No interactúa con sesiones reales de usuarios, utilizando en su lugar proxies y rastreadores automatizados.
• Simula navegación utilizando listas de sitios públicos como Tranco, sin recolectar datos personales.

Actualmente, Cookiecrumbler no está integrado directamente en el navegador Brave. Brave Software ha indicado que la integración solo se realizará después de completar una revisión exhaustiva de privacidad, garantizando que la herramienta cumpla con sus estrictos estándares de protección de datos.

Cookiecrumbler: de código abierto y disponible para la comunidad

Cookiecrumbler es un proyecto de código abierto disponible en GitHub. Esto permite que:

• Desarrolladores de herramientas de privacidad.
• Auditores de sitios web.
• Mantenedores de listas de bloqueo de anuncios.
• Usuarios avanzados.

puedan utilizar y mejorar la herramienta, generando nuevas reglas de filtrado para fortalecer el bloqueo de banners de cookies sin comprometer la funcionalidad de los sitios web.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha revelado que un actor de amenazas conocido como Storm-1977 ha estado llevando a cabo ataques de pulverización de contraseñas contra inquilinos de la nube en el sector educativo durante el último año.

Según el equipo de Inteligencia de Amenazas de Microsoft, los atacantes están utilizando AzureChecker.exe, una herramienta de interfaz de línea de comandos (CLI) ampliamente explotada por diversos actores maliciosos.

AzureChecker.exe: vector clave para los ataques de contraseñas

El análisis de Microsoft detalla que AzureChecker.exe establece conexión con un servidor externo identificado como "sac-auth.nodefunction[.]vip". A través de esta conexión, el binario recupera un dato cifrado mediante AES que contiene una lista de objetivos para la difusión de contraseñas.

La herramienta también procesa un archivo de texto llamado accounts.txt, que incluye combinaciones de nombre de usuario y contraseña utilizadas para intentar comprometer cuentas en servicios en la nube.

"El actor de amenazas utilizó la información de ambos archivos para publicar y validar credenciales en los inquilinos objetivo", explicó Microsoft.

Minería ilícita de criptomonedas tras comprometer cuentas

En un caso documentado de compromiso exitoso de cuenta, Storm-1977 aprovechó una cuenta de invitado comprometida para crear un grupo de recursos dentro de una suscripción de Azure. A partir de allí, los atacantes desplegaron más de 200 contenedores con el objetivo de realizar minería ilícita de criptomonedas.

Riesgos para los activos en contenedores

Microsoft advierte que los activos en contenedores, incluidos clústeres de Kubernetes, registros de contenedores e imágenes de contenedores, son vulnerables a múltiples amenazas:

• Uso de credenciales en la nube comprometidas para tomar control de clústeres.
• Explotación de imágenes de contenedores con vulnerabilidades o errores de configuración.
• Abuso de interfaces de administración mal configuradas para acceder a la API de Kubernetes e implementar contenedores maliciosos.
• Compromiso de nodos que ejecutan código o software vulnerable.

Recomendaciones para mitigar ataques de pulverización de contraseñas y proteger Kubernetes

Para protegerse frente a este tipo de ataques en la nube y minería no autorizada, Microsoft recomienda:

• Proteger la implementación y el tiempo de ejecución de los contenedores.
• Supervisar las solicitudes inusuales de la API de Kubernetes.
• Configurar políticas de seguridad que impidan la implementación de contenedores desde registros no confiables.
• Verificar que las imágenes de contenedores estén libres de vulnerabilidades antes de su despliegue.

Adoptar estas medidas es crucial para reducir la superficie de ataque y salvaguardar los entornos de nube en sectores especialmente vulnerables como el educativo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad de Cisco Talos han detallado las operaciones de ToyMaker, un corredor de acceso inicial (IAB) que ha sido vinculado a la entrega de accesos a organizaciones para grupos de ransomware de doble extorsión como CACTUS.

ToyMaker ha sido evaluado con un nivel de confianza medio como un actor de amenazas motivado financieramente. Sus actividades incluyen el escaneo de sistemas vulnerables y la implementación de un malware personalizado denominado LAGTOY, también conocido como HOLERUN.

Según los investigadores Joey Chen, Asheer Malhotra, Ashley Shen, Vitor Ventura y Brandon White de Cisco Talos, LAGTOY permite la creación de shells inversos y la ejecución remota de comandos en endpoints comprometidos.

LAGTOY: el malware usado por ToyMaker para comprometer organizaciones

LAGTOY fue documentado inicialmente por Mandiant (parte de Google) en marzo de 2023. El malware fue atribuido a un actor de amenazas rastreado como UNC961, también conocido en la industria como Gold Melody o Prophet Spider.

Las investigaciones han revelado que el actor de amenazas explota un extenso arsenal de vulnerabilidades conocidas en aplicaciones expuestas a Internet para obtener acceso inicial. Posteriormente, realiza:

• Reconocimiento interno.
• Recolección de credenciales.
• Despliegue de LAGTOY en un periodo de aproximadamente una semana.

Adicionalmente, ToyMaker establece conexiones SSH hacia servidores remotos para descargar herramientas forenses como Magnet RAM Capture, con el objetivo de obtener volcados de memoria y extraer credenciales de las víctimas.

Una vez desplegado, LAGTOY se comunica con un servidor de comando y control (C2) codificado de forma rígida, desde donde recibe instrucciones para:

• Crear nuevos procesos.
• Ejecutar comandos con privilegios de usuarios específicos.
• Procesar tres comandos distintos con un intervalo de 11000 milisegundos entre ellos.

ToyMaker y su vínculo con el ransomware CACTUS

Tras una pausa de aproximadamente tres semanas en su actividad, ToyMaker fue nuevamente observado cuando el grupo de ransomware CACTUS utilizó credenciales robadas para penetrar en una empresa víctima. Según Cisco Talos, el acceso proporcionado permitió a CACTUS realizar:

• Actividades de reconocimiento.
• Establecimiento de persistencia en los sistemas.
• Exfiltración de datos y posterior cifrado de los mismos.

Durante este ataque, los actores utilizaron diversas herramientas para garantizar un acceso a largo plazo, como OpenSSH, AnyDesk y eHorus Agent.

Motivaciones financieras detrás de ToyMaker

Cisco Talos concluye que ToyMaker opera exclusivamente con motivaciones financieras. Basado en el análisis del tiempo de permanencia limitado, la falta de robo de datos previo y la rápida transferencia del acceso a actores secundarios, se descarta que ToyMaker tenga fines de espionaje.

En resumen, ToyMaker actúa como un facilitador de ataques de ransomware, vendiendo o transfiriendo accesos privilegiados a organizaciones de alto valor. Los grupos compradores, como CACTUS, utilizan estos accesos para llevar a cabo campañas de doble extorsión, cifrando datos críticos y exigiendo rescates millonarios.

En conclusión, la aparición de actores como ToyMaker subraya la creciente especialización dentro del ecosistema criminal cibernético. La separación entre quienes obtienen el acceso inicial y quienes ejecutan los ataques finales, como los grupos de ransomware, complica la detección y la respuesta a incidentes.

El monitoreo constante de sistemas expuestos, la aplicación de actualizaciones de seguridad, y una gestión proactiva de credenciales son esenciales para protegerse contra amenazas cada vez más organizadas como las facilitadas por ToyMaker.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La versión 15.1 de GCC (GNU Compiler Collection) marca un hito importante en la evolución del compilador libre más utilizado del mundo. Esta actualización incorpora un amplio conjunto de mejoras y novedades, consolidando su papel central en el desarrollo de software para múltiples plataformas.

Entre las innovaciones más destacadas de GCC 15.1 se encuentran el nuevo front-end para COBOL, optimizaciones específicas para procesadores modernos como AMD Zen 5 e Intel Xeon Diamond Rapids, y avances en el soporte de lenguajes como C, C++, Rust, D, Fortran y Modula-2. Además, introduce mejoras significativas para aceleradoras gráficas AMD y NVIDIA, y ya forma parte de las distribuciones más recientes como Fedora 42.

Soporte para COBOL y mejoras en lenguajes populares

Uno de los anuncios más relevantes de GCC 15.1 es la integración nativa de un front-end para COBOL, permitiendo la compilación directa de código COBOL en plataformas GNU/Linux. Esta adición amplía la lista de lenguajes soportados por GCC, facilitando la modernización de proyectos empresariales que dependen de este lenguaje histórico.

Además, GCC 15.1 refuerza su soporte para otros lenguajes:

• C adopta el estándar C23 como configuración predeterminada, introduciendo mejoras de sintaxis, rendimiento y seguridad.
• C++ recibe nuevas implementaciones y optimizaciones, mejorando tanto el tiempo de compilación como la eficiencia del código generado.
• Rust, a través del motor gccrs, avanza en compatibilidad, rendimiento y facilidad de integración dentro del ecosistema GCC.
• Fortran continúa evolucionando con mejoras que refuerzan su uso en computación científica.
• D y Modula-2 mejoran su integración, ofreciendo mayor estabilidad y compatibilidad.

Avances en optimización y compatibilidad de hardware: AMD, Intel, NVIDIA

GCC 15.1 también trae importantes avances en cuanto a optimización de arquitecturas:

• Introduce soporte específico para AMD Zen 5 (znver5), mejorando el rendimiento en las últimas generaciones de procesadores Ryzen y EPYC.
• Añade soporte para Intel Xeon 7 Diamond Rapids, aprovechando las nuevas extensiones AVX10.2 y Advanced Performance Extensions (APX).
• Deja de soportar la arquitectura obsoleta Intel Xeon Phi, alineándose con las tendencias actuales del mercado.

En el ámbito de las aceleradoras gráficas:

El back-end AMDGPU habilita por defecto libstdc++, ampliando las posibilidades de programación en C++ sobre GPUs AMD.

El back-end NVIDIA NVPTX también añade soporte para libstdc++, permitiendo desarrollos más complejos en CUDA y entornos HPC.

Mejoras en depuración, offloading y entornos de alto rendimiento

GCC 15.1 no solo se centra en lenguajes y arquitecturas: también introduce mejoras significativas en depuración avanzada y en el offloading de tareas a dispositivos externos. Estas mejoras, especialmente relevantes para entornos basados en OpenMP y computación paralela, permiten una gestión más eficiente de los recursos y una depuración más precisa en proyectos complejos.

Este enfoque hace que GCC 15.1 sea una herramienta aún más poderosa para el desarrollo de aplicaciones científicas, simulaciones, y proyectos que demandan alto rendimiento sobre arquitecturas modernas.

Disponibilidad y adopción: Fedora 42 y más

El código fuente de GCC 15.1 ya está disponible en la web oficial del proyecto, y su inclusión en distribuciones populares como Fedora 42 facilita su adopción inmediata por parte de desarrolladores y empresas.

Durante los próximos días, se espera la publicación de benchmarks y comparativas de rendimiento que permitirán medir de forma objetiva el impacto de las nuevas optimizaciones introducidas en esta versión.

GCC 15.1, un compilador preparado para el futuro

Con la llegada de GCC 15.1, los desarrolladores disponen de un compilador más versátil, optimizado y compatible que nunca. Su enfoque en lenguajes clásicos y modernos, su compatibilidad con las últimas arquitecturas de AMD, Intel y NVIDIA, y su fortalecimiento en tareas de depuración y offloading lo convierten en una herramienta esencial para quienes buscan máximo rendimiento y flexibilidad.

Ya sea en proyectos científicos, aplicaciones empresariales o entornos de computación de alto nivel, GCC 15.1 se consolida como una opción robusta y preparada para afrontar los retos de la próxima generación de desarrollo de software.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Con el lanzamiento de abril de 2025, CachyOS refuerza su posición como una de las distribuciones Linux más optimizadas para gaming en PC y dispositivos portátiles como Steam Deck, ASUS ROG Ally y Lenovo Legion Go. Basada en Arch Linux, esta nueva versión introduce mejoras clave que apuntan a ofrecer rendimiento extremo, estabilidad y compatibilidad de hardware de primer nivel.

Novedades de CachyOS abril 2025: estabilidad, gaming y soporte extendido

La actualización de abril, denominada "Fix-Up Release", pone el foco en:

• Integración de OCCT: herramienta de testeo y stress test ahora disponible nativamente en Linux.
• Actualización de perfiles de audio y compositor gráfico en dispositivos portátiles.
• Mejoras en Limine bootloader con integración automática gracias a mkinitcpio-limine-hook.
• Correcciones específicas para portátiles ASUS, mejorando la estabilidad del sistema.

OCCT llega a Linux: pruebas de estrés integradas en CachyOS

Una de las incorporaciones más destacadas es OCCT (OverClock Checking Tool), reconocida por validar estabilidad en CPU y GPU:

• Pruebas intensivas: LinPack (SSE y AVX 10.2), Small y Big Data Set.
• Monitorización avanzada: CPU, RAM, latencias y ancho de banda en tiempo real.
• Modo benchmarking: compara fácilmente el rendimiento de tu equipo.
• Entorno aislado: la ISO permite validar hardware antes de la instalación.

Gracias a OCCT, CachyOS se convierte en la mejor opción Linux para gamers, overclockers y entusiastas del hardware.

Componentes actualizados: Linux Kernel 6.14, Mesa 25.0.4 y KDE Plasma 6.3.4

Esta nueva versión de CachyOS incorpora los componentes más recientes:

• Linux Kernel 6.14: mejor rendimiento en procesadores AMD Ryzen y gráficas Radeon.
• Mesa 25.0.4: soporte actualizado para gráficos 3D.
• KDE Plasma 6.3.4, KDE Frameworks 6.13.0 y KDE Gear 25.0.4: entorno de escritorio moderno y eficiente.
• Drivers NVIDIA 570.133.07: soporte optimizado para las últimas GPU.

Todo ello respaldado por QT 6.9.0, ofreciendo una experiencia fluida tanto en juegos como en tareas diarias.

Optimización avanzada en el corazón de CachyOS

CachyOS destaca por un enfoque radical hacia la optimización:

• Compilación para x86-64-v3 y x86-64-v4: maximiza el potencial de CPUs modernas (Zen 4 y Zen 5).
• Técnicas de optimización: LTO (Link Time Optimization), PGO (Profile-Guided Optimization) y soporte para BOLT.
• Nuevos planificadores de CPU: CFS, EEVDF y BORE, ajustables según necesidades de latencia o rendimiento.

Estas mejoras sitúan a CachyOS como una de las distribuciones Linux más rápidas y eficientes del mercado actual.

Edición Handheld: CachyOS optimizado para Steam Deck, ROG Ally y Legion Go

La versión Handheld Edition de CachyOS ha sido adaptada para ofrecer la mejor experiencia en dispositivos portátiles:

• Perfiles de audio optimizados para Steam Deck, ROG Ally X y Legion Go.
• Integración de Gamescope oficial de Valve: compositor gráfico que mejora la estabilidad de juegos en modo portátil.
• Instalación sencilla: mediante herramientas como Rufus, Ventoy o BalenaEtcher desde un USB.

Ideal para quienes desean un entorno gaming en Linux totalmente afinado para dispositivos móviles.

Instalación de CachyOS abril 2025: fácil, rápida y eficiente

La ISO de aproximadamente 2,6 GB, orientada a arquitecturas AMD64, permite:

• Pruebas en modo Live antes de instalar.
• Instalación asistida mediante Calamares 3.3.14, con interfaz intuitiva.
• Actualizaciones inmediatas tras el primer arranque.

Tanto en la versión estándar como en la Handheld, CachyOS garantiza acceso rápido a las últimas tecnologías Linux.

Comparativa frente a otras distribuciones gaming: CachyOS vs SteamOS

Mientras SteamOS apuesta por una experiencia cerrada basada en Debian, CachyOS ofrece:

• Rolling Release basada en Arch Linux: acceso constante a las últimas versiones de kernel, drivers y software.
• Personalización extrema: ideal para usuarios avanzados y entusiastas.
• Herramientas profesionales de testeo como OCCT integradas de serie.

Esto convierte a CachyOS en la mejor alternativa Linux para gaming y uso de alto rendimiento en PC y portátiles.

OCCT en Linux: una revolución para gamers y overclockers

La integración de OCCT en Linux mediante CachyOS abre nuevas posibilidades:

• Validar overclocking directamente desde un entorno Linux.
• Detectar fallos de hardware sin necesidad de recurrir a Windows.
• Mejorar estabilidad antes de comprometerse con una instalación definitiva.

Este hito ha sido posible gracias a la colaboración entre CachyOS Team y los desarrolladores de OCCT.

Documentación, soporte y comunidad

CachyOS mantiene una completa wiki oficial, guías avanzadas y una comunidad activa en foros y redes sociales. Bajo el liderazgo de Peter Jung, el proyecto sigue creciendo como referencia en el sector gaming y de alto rendimiento en Linux.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Valve ha confirmado oficialmente un cambio crucial que impactará a los usuarios de Linux: a partir del 15 de agosto de 2025, el cliente de Steam dejará de funcionar en distribuciones que utilicen una versión de GNU C Library (glibc) anterior a la 2.31.

La glibc es un componente central en cualquier distribución Linux moderna, ya que proporciona las funciones básicas que las aplicaciones necesitan para ejecutarse correctamente. De ahí que esta actualización no sea un simple ajuste técnico, sino una decisión que obliga a los usuarios a mantener sus sistemas operativos actualizados si desean seguir utilizando Steam sin interrupciones.

¿Qué significa el fin de soporte para versiones antiguas de glibc?

Según el comunicado oficial de Valve, los usuarios deberán actualizar sus sistemas a versiones más recientes que incluyan una glibc compatible si quieren seguir accediendo a Steam, sus juegos y cualquier otro producto asociado a la plataforma.

Valve justifica esta medida no solo por razones de compatibilidad, sino también de seguridad. Las distribuciones antiguas sin soporte activo son vulnerables a nuevos malware, exploits y otros riesgos que podrían comprometer tanto el rendimiento de Steam como las credenciales del usuario.

Así, esta actualización no es simplemente una cuestión técnica, sino también un paso hacia un entorno más seguro para la comunidad de jugadores de Linux.

¿Qué distribuciones de Linux se verán afectadas?

Entre las principales distribuciones que se quedarán sin soporte debido al requisito de glibc ≥ 2.31, encontramos versiones lanzadas hace más de cinco años, como:

• Debian 10 (lanzado en 2019)
• Ubuntu 18.04 LTS (abril de 2018)
• Linux Mint 19 (basado en Ubuntu 18.04)
• Red Hat Enterprise Linux 8 (versión inicial de 2019)
• Fedora 31 (octubre de 2019)

Si bien estas versiones fueron ampliamente populares en su momento, es poco probable que la mayoría de los usuarios activos de Steam sigan utilizándolas hoy en día, ya que muchas distribuciones ofrecen actualizaciones regulares o nuevas versiones LTS más recientes.

Sin embargo, si algún usuario todavía depende de estos sistemas por motivos de compatibilidad con software específico o restricciones de hardware, deberá planificar una actualización antes del 15 de agosto de 2025 para seguir accediendo a su biblioteca de Steam.

¿Qué deben hacer los usuarios afectados?

La solución es sencilla: actualizar el sistema operativo a una versión compatible. Las distribuciones modernas como:

• Ubuntu 20.04 LTS (glibc 2.31)
• Ubuntu 22.04 LTS (glibc 2.35)
• Debian 11 y 12
• Fedora 34 y superiores
• openSUSE Leap 15.3 y posteriores

ya incluyen versiones de glibc compatibles con los nuevos requisitos de Steam.

Para quienes prefieren no actualizar toda su distribución, existe la posibilidad más técnica de actualizar la glibc manualmente, pero este proceso es altamente riesgoso y no recomendado para usuarios sin experiencia avanzada, ya que puede dejar el sistema inutilizable.

La recomendación general es optar por una actualización completa de la distribución a una versión moderna y mantenida.

¿Qué pasa con otros aspectos técnicos, como el soporte para 32 bits?

Curiosamente, mientras Valve se actualiza en el soporte de bibliotecas críticas como glibc, Steam todavía requiere soporte para arquitecturas de 32 bits en Linux. Esta contradicción refleja las complejidades de mantener compatibilidad con juegos más antiguos, donde muchos binarios siguen dependiendo de librerías de 32 bits.

Así que, aunque Steam exige distribuciones modernas, aún se requiere que los sistemas mantengan compatibilidad con software de 32 bits para ejecutar ciertos juegos y componentes de la plataforma.

¿Existen alternativas a Steam?

Aunque el foco de esta noticia está en Steam, es importante recordar que existen alternativas para jugar en Linux:

• Heroic Games Launcher (compatible con la Epic Games Store y GOG)
• Lutris (plataforma para organizar y ejecutar juegos de diversas fuentes)
• Bottles (para gestionar juegos de Windows en Linux)
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (para juegos indie)

Aun así, para muchos usuarios, Steam sigue siendo el epicentro de su experiencia de juegos en Linux, y mantenerlo operativo es una prioridad.

En conclusión, Valve apuesta por una plataforma más segura y moderna, eliminando el soporte para sistemas Linux anticuados a partir de agosto de 2025. Si eres usuario de Steam en Linux, asegúrate de verificar la versión de glibc de tu sistema operativo y planifica tu actualización a tiempo para evitar interrupciones.

Actualizar no solo te permitirá seguir disfrutando de tus juegos favoritos, sino que también reforzará la seguridad y estabilidad de tu entorno de escritorio Linux.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han identificado tres vulnerabilidades en Rack Ruby, una interfaz popular para servidores web en aplicaciones Ruby, que podrían permitir acceso no autorizado, inyección de datos maliciosos y manipulación de registros. Las fallas, descubiertas por OPSWAT, representan riesgos serios para entornos que utilicen este middleware ampliamente adoptado.

Detalles de las vulnerabilidades en Rack Ruby

Las tres vulnerabilidades, registradas con identificadores CVE y puntuaciones CVSS, son las siguientes:

• CVE-2025-27610 (CVSS 7.5): Vulnerabilidad de path traversal que permite el acceso a cualquier archivo dentro del directorio raíz especificado. Si un atacante identifica las rutas adecuadas, puede acceder a archivos confidenciales.
• CVE-2025-27111 (CVSS 6.9): Vulnerabilidad de neutralización incorrecta de secuencias CRLF que puede usarse para distorsionar archivos de registro, manipulando entradas con fines maliciosos.
• CVE-2025-25184 (CVSS 5.7): Similar a la anterior, permite la inyección de datos maliciosos en archivos de registro mediante explotación de secuencias CRLF mal gestionadas.

Según el informe de OPSWAT, la más crítica es CVE-2025-27610, ya que puede ser aprovechada por actores no autenticados para extraer información sensible como configuraciones, credenciales y otros datos críticos, aumentando el riesgo de violaciones de datos.

¿Cómo se explotan estas vulnerabilidades?

La causa raíz de CVE-2025-27610 se encuentra en el middleware Rack::Static, que no sanitiza correctamente las rutas proporcionadas por el usuario al servir archivos estáticos como imágenes o JavaScript. Esto permite que un atacante use una ruta manipulada para escapar del directorio estático y acceder a otros archivos del sistema.

OPSWAT explica que si el parámetro :root no está configurado explícitamente, Rack asigna por defecto el directorio de trabajo actual (Dir.pwd) como raíz del sitio. En este contexto, una mala configuración entre :root y :urls abre la puerta a ataques de recorrido de directorios para acceder a rutas no autorizadas.

Medidas de mitigación recomendadas

Para reducir el riesgo asociado a estas vulnerabilidades en Rack Ruby, OPSWAT sugiere:

• Actualizar Rack a la última versión disponible.
• Si no es posible aplicar el parche inmediatamente, eliminar el uso de Rack::Static o garantizar que root: apunte a un directorio con archivos públicos únicamente.
• Revisar las configuraciones actuales de rutas y estructuras de archivos en aplicaciones Ruby basadas en Rack.

CVE-2025-43928: Vulnerabilidad crítica sin parche en Infodraw Media Relay Service

En paralelo, se ha descubierto una vulnerabilidad grave en Infodraw Media Relay Service (MRS), utilizada para la retransmisión de medios en soluciones de videovigilancia móvil. Esta falla, identificada como CVE-2025-43928 y con una puntuación CVSS de 9.8, permite tanto la lectura como la eliminación de archivos arbitrarios desde la página de inicio de sesión del sistema.

¿Qué es Infodraw MRS y por qué es relevante?

Infodraw es una empresa israelí que desarrolla tecnología para transmisión de video, audio y GPS utilizada por agencias gubernamentales, fuerzas del orden y empresas de transporte. Sus productos operan sobre redes móviles y están presentes en múltiples países.

Detalles técnicos del fallo de seguridad

El investigador Tim Philipp Schäfers descubrió que es posible iniciar sesión en el sistema utilizando un nombre de usuario malicioso como "../../../../" para explotar un path traversal trivial. Esto permite a atacantes no autenticados acceder y eliminar cualquier archivo en sistemas afectados, tanto en versiones para Windows como Linux.

Aún más preocupante, no existe un parche oficial, lo que deja a los sistemas expuestos a posibles ataques inminentes. Algunas instancias comprometidas en Bélgica y Luxemburgo han sido desconectadas tras la divulgación responsable.

Recomendaciones urgentes de seguridad

Dada la criticidad del defecto, Schäfers recomienda:

• Desconectar inmediatamente los sistemas MRS vulnerables.
• Si no es viable, reforzar la seguridad mediante:
• Uso exclusivo de VPN.
• Aplicación de filtros IP para acceso controlado.
• Auditoría de accesos y archivos sensibles.

Actualizaciones críticas y configuraciones seguras

Tanto las vulnerabilidades en Rack Ruby como la falla crítica en Infodraw MRS ponen de relieve la necesidad de una gestión proactiva de seguridad en servidores web y sistemas conectados a internet. Las organizaciones deben aplicar parches, revisar configuraciones y emplear controles de acceso estrictos para proteger sus activos frente a ataques sofisticados y vulnerabilidades explotables.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores de amenazas vinculados a Corea del Norte han intensificado sus tácticas de ciberespionaje y distribución de malware con la campaña "Contagious Interview", utilizando empresas fachada en la industria de criptomonedas para lanzar ataques durante procesos de contratación falsos. Esta operación de ingeniería social ha sido documentada por la firma de ciberseguridad Silent Push, que alerta sobre la propagación de tres familias de malware mediante sitios web fraudulentos y perfiles falsos en redes sociales.

Empresas fachada utilizadas por Corea del Norte

Las compañías utilizadas como fachada en esta campaña son:

• BlockNovas LLC (blocknovas[.]com)
• Agencia Angeloper (angeloper[.]com)
• SoftGlide LLC (softglide[.]com)

Estas empresas simulan operar en el ámbito de la consultoría en criptomonedas, pero en realidad sirven como plataforma para ejecutar campañas de infección mediante archivos maliciosos disfrazados de señuelos para entrevistas laborales.

Malware distribuido en las entrevistas falsas

La campaña "Contagious Interview" ha sido usada para propagar tres familias de malware identificadas como:

• BeaverTail: ladrón y cargador basado en JavaScript.
• InvisibleFerret: backdoor desarrollado en Python con capacidades multiplataforma (Windows, macOS y Linux).
• OtterCookie: software malicioso adicional entregado junto a BeaverTail.

Los ataques comienzan cuando el objetivo ejecuta una supuesta prueba técnica o evaluación de vídeo, momento en el que el malware se activa bajo el pretexto de requerir acceso a la cámara o al navegador.

Técnicas avanzadas de evasión y persistencia

BeaverTail establece conexión con un servidor de comando y control (C2) en lianxinxiao[.]com, desde donde recibe instrucciones y descarga InvisibleFerret como carga útil secundaria. Entre sus funciones destacan:

• Recolección de información del sistema.
• Ejecución de shells inversos.
• Robo de datos del navegador y archivos locales.
• Instalación de software de acceso remoto como AnyDesk.

Además, se ha identificado que el subdominio mail.blocknovas[.]com alberga Hashtopolis, una herramienta de gestión de descifrado de contraseñas, lo que refuerza la intención de obtener credenciales sensibles.

Presencia activa en redes sociales y plataformas de desarrollo

Los ciberatacantes norcoreanos han creado perfiles falsos en redes como Facebook, LinkedIn, GitHub, GitLab, Medium, Pinterest y X (Twitter), con el fin de establecer contacto inicial con sus víctimas. Utilizan herramientas de inteligencia artificial, como Remaker, para generar imágenes de perfil creíbles y aumentar la legitimidad de los perfiles fraudulentos.

Ataques vinculados a criptomonedas

También se ha detectado un dominio sospechoso, attisscmo[.]com, utilizado para alojar una herramienta denominada Kryptoneer, diseñada para interactuar con carteras de criptomonedas como Suiet Wallet, Ethos Wallet y Sui Wallet. Esto sugiere un interés particular en comprometer plataformas basadas en la cadena de bloques Sui.

Explotación geográfica e infraestructura

Los actores de amenazas han ocultado su infraestructura maliciosa mediante servicios como Astrill VPN y proxies residenciales, y han operado a través de rangos de IP asociados con Rusia. En concreto, se identificaron direcciones IP asignadas a empresas ubicadas en Khasan y Khabarovsk, regiones con fuertes lazos económicos con Corea del Norte.

Según los investigadores Feike Hacquebord y Stephen Hilt, esta infraestructura apunta a una posible colaboración entre Corea del Norte y entidades rusas, aunque se estima con un nivel de confianza entre bajo y medio.

Campaña paralela: Wagemole

A la par de "Contagious Interview", Corea del Norte también opera la táctica conocida como Wagemole, que implica la creación de identidades falsas para insertar trabajadores de TI norcoreanos como empleados remotos en grandes empresas internacionales. Estas identidades son generadas con IA, y los sueldos obtenidos se redirigen parcialmente a la República Popular Democrática de Corea (RPDC).

La empresa Okta advierte que se están usando herramientas de IA generativa (GenAI) para automatizar procesos de solicitud de empleo, desde la programación de entrevistas hasta la traducción y resumen de conversaciones, con el objetivo de mejorar la eficacia de estas operaciones encubiertas.

Acción legal y desmantelamiento parcial

El FBI incautó el dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login el 23 de abril de 2025, en una operación conjunta para detener la distribución de malware norcoreano mediante ofertas laborales fraudulentas. A pesar de esta acción, muchas de las infraestructuras asociadas siguen activas.

En conclusión, la campaña "Contagious Interview" representa una amenaza avanzada y persistente que combina ingeniería social, malware multiplataforma, criptografía y redes de anonimato para robar datos y financiar al régimen norcoreano. Las empresas deben estar alertas frente a cualquier proceso de contratación sospechoso, especialmente en sectores tecnológicos y de criptomonedas, y adoptar medidas proactivas de ciberseguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login