Craft CMS, uno de los sistemas de gestión de contenido más utilizados, ha sido el objetivo de ataques activos de día cero que explotan dos vulnerabilidades críticas para comprometer servidores y extraer información sensible, según un informe de CERT Orange Cyberdefense.

Las fallas fueron detectadas por el CSIRT de Orange Cyberdefense durante una investigación forense a raíz de un servidor comprometido. En su análisis, descubrieron una cadena de explotación que combina dos vulnerabilidades:

• CVE-2025-32432: una vulnerabilidad crítica de ejecución remota de código (RCE) directamente en Craft CMS.
• CVE-2024-58136: una falla de validación de entrada en el framework Yii, utilizado por Craft CMS.

¿Cómo funciona el ataque?

De acuerdo con un informe técnico de SensePost, el equipo de hacking ético de Orange, los atacantes encadenaron ambas fallas para lograr un compromiso completo del servidor.

Etapa 1: Explotación de CVE-2025-32432

El ataque inicia con el uso de CVE-2025-32432, que permite a los atacantes enviar una solicitud HTTP especialmente diseñada con una URL de retorno como parámetro. Esta URL se almacena en un archivo de sesión PHP en el servidor, y el nombre de la sesión es devuelto al cliente como parte de la respuesta.

Esta técnica permite preparar el entorno para la siguiente etapa del ataque.

Etapa 2: Explotación de CVE-2024-58136

La segunda fase explota CVE-2024-58136, presente en versiones vulnerables del framework Yii (versión 2.0.51). El atacante envía una carga maliciosa en formato JSON, que provoca la ejecución del código PHP previamente almacenado en el archivo de sesión.

Esto permite la instalación de un administrador de archivos PHP directamente en el servidor, brindando acceso completo y persistencia al atacante.

Actividad posterior a la explotación

Según declaraciones de Orange a BleepingComputer, también se han observado acciones posteriores al compromiso, como:

• Carga de múltiples puertas traseras adicionales.
• Exfiltración de datos sensibles desde los servidores comprometidos.
• Persistencia prolongada mediante archivos ocultos en el sistema.

Un análisis más detallado de esta actividad está programado para ser publicado próximamente por SensePost.

Correcciones y versiones afectadas

Yii Framework

La falla CVE-2024-58136 fue corregida por los desarrolladores del framework Yii en la versión 2.0.52, publicada el 9 de abril de 2025.

Craft CMS

Craft CMS abordó la vulnerabilidad CVE-2025-32432 en las siguientes versiones:

• Craft CMS 3.9.15
• Craft CMS 4.14.15
• Craft CMS 5.6.17

A pesar de que Yii no fue actualizado completamente en Craft, Orange Cyberdefense confirmó que la cadena de ataque ha sido mitigada con la corrección aplicada en Craft CMS.

Citar"Aunque Yii 2.0.51 sigue presente por defecto, la solución implementada para CVE-2025-32432 impide que la vulnerabilidad de Yii sea explotada", explicó Orange.

Recomendaciones de seguridad para administradores de Craft CMS

Si sospecha que su sitio podría haber sido comprometido, Craft CMS recomienda tomar las siguientes acciones de inmediato:

1. Actualizar la clave de seguridad mediante el comando:



Luego, actualice la variable de entorno CRAFT_SECURITY_KEY en todos los entornos de producción.

2. Rotar claves privadas almacenadas en variables de entorno, como las de Amazon S3 o Stripe.

3. Cambiar las credenciales de la base de datos para evitar acceso no autorizado.

4. Forzar el restablecimiento de contraseñas de los usuarios como medida preventiva. Use el siguiente comando:



5. Consultar el apéndice del informe de SensePost, que contiene indicadores de compromiso (IOC) como direcciones IP maliciosas y nombres de archivos utilizados por los atacantes.

Antecedentes de explotación en Craft CMS

Cabe recordar que en febrero de 2025, la CISA (Agencia de Ciberseguridad e Infraestructura de EE. UU.) ya había advertido sobre otra vulnerabilidad de ejecución remota (RCE), CVE-2025-23209, también presente en Craft CMS versiones 4 y 5, la cual fue explotada activamente en entornos reales.

Mantenga su CMS actualizado

Los recientes ataques demuestran que Craft CMS continúa siendo un objetivo de alto valor para actores de amenazas que aprovechan vulnerabilidades de día cero. Las organizaciones que utilizan este CMS deben:

• Actualizar a las versiones corregidas de Craft CMS y Yii sin demora.
• Monitorear continuamente sus servidores en busca de comportamientos sospechosos.
• Implementar políticas de respuesta ante incidentes y aplicar prácticas de hardening.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SAP ha emitido una actualización de seguridad de emergencia fuera de banda para abordar una vulnerabilidad crítica de ejecución remota de código (RCE) en SAP NetWeaver, identificada como CVE-2025-31324. Esta vulnerabilidad está siendo explotada activamente por ciberdelincuentes para secuestrar servidores empresariales, comprometer sistemas y desplegar cargas maliciosas.

¿Qué es CVE-2025-31324?

La falla, catalogada con una puntuación CVSS v3 de 10.0, afecta al componente Metadata Uploader de SAP NetWeaver Visual Composer Framework versión 7.50. Se trata de una vulnerabilidad de carga de archivos no autenticada, lo que significa que los atacantes pueden cargar archivos maliciosos sin necesidad de iniciar sesión.

Una vez cargados, estos archivos pueden ejecutarse de forma remota, permitiendo a los atacantes tomar control total del sistema afectado.

Explotación activa y hallazgos de seguridad

Aunque SAP aún no ha publicado el boletín completo, ReliaQuest fue la primera firma en alertar sobre la explotación activa de esta falla, indicando que se explota específicamente el endpoint /developmentserver/metadatauploader. Según sus hallazgos:

• Varios clientes ya han sido comprometidos mediante cargas de archivos JSP no autorizados.
• Los atacantes utilizaron simples solicitudes HTTP GET para ejecutar comandos desde el navegador.
• Se observaron capacidades de administración de archivos, como carga, descarga y ejecución remota.

En la fase post-explotación, los actores de amenazas desplegaron herramientas avanzadas como Brute Ratel y técnicas evasivas como Heaven's Gate, además de inyectar código en dllhost.exe para evitar detección.

Lo más alarmante es que los sistemas comprometidos estaban completamente parcheados antes de esta explotación, lo que confirma que se trató de un exploit de día cero.

Confirmaciones adicionales y declaraciones oficiales

La firma de seguridad watchTowr también confirmó a BleepingComputer que han observado explotación activa de la vulnerabilidad. El CEO, Benjamin Harris, advirtió que los atacantes están usando esta falla para instalar puertas traseras (web shells) y obtener persistencia en sistemas vulnerables:

Citar"Los atacantes no autenticados pueden abusar de esta funcionalidad para lograr ejecución remota de código y compromiso total del sistema".

Además, Harris anticipa que la explotación se expandirá rápidamente a medida que más actores maliciosos se enteren de esta vulnerabilidad crítica.

Por su parte, SAP, en respuesta a las consultas de BleepingComputer, negó haber confirmado compromisos exitosos:

Citar"SAP fue informado de una vulnerabilidad que podría permitir ejecución de código no autenticado. No tenemos conocimiento de incidentes que afecten a los clientes. Ya se ha publicado un parche desde el 8 de abril de 2025 y se recomienda aplicarlo de inmediato".

Sin embargo, Onapsis, firma especializada en seguridad para entornos SAP, también confirmó la observación de explotación activa en sus análisis.

¿Qué versiones están afectadas?

La vulnerabilidad CVE-2025-31324 afecta a SAP NetWeaver Visual Composer Framework 7.50. Es importante destacar que la actualización regular publicada el 8 de abril de 2025 no corrige esta falla, por lo que se requiere aplicar el parche de emergencia lanzado posteriormente.

Otras vulnerabilidades abordadas en el parche de emergencia

Además de CVE-2025-31324, la actualización corrige otras dos fallas críticas:

• CVE-2025-27429: vulnerabilidad de inyección de código en SAP S/4HANA.
• CVE-2025-31330: vulnerabilidad de inyección de código en SAP Landscape Transformation.

Medidas de mitigación recomendadas

Si no es posible aplicar el parche de inmediato, se recomienda implementar las siguientes acciones:

• Restringir el acceso al endpoint /developmentserver/metadatauploader.
• Desactivar Visual Composer, si no está en uso dentro del entorno SAP.
• Monitorear los registros del sistema (logs) mediante herramientas SIEM para detectar archivos no autorizados cargados a través del servlet.
• Ejecutar un análisis forense para identificar y eliminar webshells u otros archivos sospechosos antes de realizar cualquier mitigación.

Acción inmediata requerida

La explotación activa de CVE-2025-31324 representa una grave amenaza para la infraestructura empresarial basada en SAP NetWeaver. La facilidad de explotación sin autenticación, combinada con el impacto potencial de un compromiso total del sistema, hace que esta vulnerabilidad sea una de las más críticas del año en entornos SAP.

Es crucial que los administradores de sistemas y equipos de seguridad apliquen el parche de emergencia lo antes posible, o en su defecto, implementen las medidas de mitigación sugeridas mientras se completa el despliegue de la actualización.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los desarrolladores de la plataforma de phishing como servicio (PhaaS) conocida como Darcula han lanzado una importante actualización que integra capacidades de inteligencia artificial generativa (GenAI). Esta nueva funcionalidad permite a los ciberdelincuentes crear páginas de phishing personalizadas en múltiples idiomas sin conocimientos técnicos, según ha informado la empresa de ciberseguridad Netcraft en un reporte compartido con The Hacker News.

Citar"Las nuevas funciones asistidas por IA amplifican el potencial de amenazas de Darcula al simplificar el proceso para crear páginas de phishing personalizadas con soporte multilingüe y generación automática de formularios", señala el informe.

¿Qué es Darcula PhaaS y por qué es peligrosa?

Darcula fue detectada por primera vez en marzo de 2024 como una herramienta utilizada para enviar mensajes de smishing a través de Apple iMessage y RCS, suplantando la identidad de servicios postales como USPS. Esta suite de cibercrimen permite clonar sitios web legítimos y diseñar réplicas falsas, listas para robar credenciales de víctimas desprevenidas.

El grupo detrás de Darcula, identificado por PRODAFT como LARVA-246, comercializa este kit a través de canales de Telegram, incluyendo el popular @darcula_channel. Darcula comparte similitudes con otras plataformas de phishing como Lucid y Lighthouse, lo que sugiere un ecosistema de cibercrimen interconectado que opera principalmente desde China.

Smishing Triad: la red detrás de Darcula

Según Netcraft, Darcula es parte de una red criminal más amplia conocida como Smishing Triad, responsable de ejecutar campañas de phishing a nivel global utilizando SMS como vector de ataque. Esta infraestructura permite ejecutar campañas masivas de smishing con gran eficacia, incluso por operadores sin experiencia técnica.

Citar"Darcula permite a cualquier actor de amenazas, incluso novatos, lanzar campañas de phishing sofisticadas en cuestión de minutos", destaca el investigador Harry Everett.

Integración de GenAI: phishing automatizado, multilingüe y personalizado

El 23 de abril de 2025, Darcula anunció su actualización más reciente con soporte para GenAI, lo que marca un antes y un después en la automatización del phishing. Las capacidades añadidas incluyen:

• Generación automatizada de formularios de phishing en distintos idiomas
• Personalización dinámica de campos según la marca objetivo
• Traducción automática de formularios al idioma local de la víctima

Esta evolución técnica reduce drásticamente la barrera de entrada para ciberdelincuentes, ampliando el alcance de las campañas y multiplicando su efectividad.

Impacto y acciones contra Darcula

Desde la aparición de Darcula en 2024, los expertos en ciberseguridad han combatido activamente esta amenaza. Netcraft reporta haber:

• Eliminado más de 25,000 páginas de phishing creadas con Darcula
• Bloqueado casi 31,000 direcciones IP maliciosas
• Marcado más de 90,000 dominios utilizados en ataques de phishing

A pesar de estos esfuerzos, la constante evolución del kit, ahora potenciado por IA, plantea un reto importante para la industria de la ciberseguridad.

La automatización del phishing alcanza nuevos niveles

La incorporación de inteligencia artificial generativa en plataformas como Darcula PhaaS señala una nueva etapa en la evolución del phishing automatizado. La capacidad de generar formularios multilingües personalizados sin escribir una sola línea de código hace que la amenaza sea más accesible, masiva y peligrosa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad crítica en el subsistema io_uring de Linux está exponiendo a los sistemas a rootkits capaces de operar sin ser detectados por la mayoría de las soluciones de seguridad en tiempo de ejecución. Investigadores de ARMO, especialistas en seguridad de Kubernetes, descubrieron esta falla y desarrollaron un rootkit de prueba de concepto llamado "Curing", que aprovecha la interfaz io_uring para ejecutar código malicioso sin activar alertas en el software de seguridad.

¿Qué es io_uring y por qué es problemático?

io_uring es una interfaz de entrada/salida asíncrona introducida en Linux 5.1 (2019), diseñada para mejorar el rendimiento y la escalabilidad del sistema frente a las limitaciones del modelo tradicional de E/S. En lugar de generar constantes llamadas al sistema, io_uring utiliza búferes compartidos entre el programa y el kernel, permitiendo realizar operaciones sin bloquear el proceso.

El problema, según ARMO, es que la mayoría de las herramientas de seguridad se enfocan en monitorear llamadas al sistema y técnicas comunes como ptrace o seccomp, dejando sin supervisión las operaciones realizadas a través de io_uring. Este vacío representa un punto ciego grave en la defensa de sistemas Linux.

Capacidad ofensiva de io_uring en ataques rootkit

La interfaz io_uring permite más de 60 tipos de operaciones, incluyendo:

• Lectura y escritura de archivos
• Gestión de conexiones de red
• Creación de procesos
• Cambios de permisos de archivos
• Lectura de directorios

Estas capacidades convierten a io_uring en un vector ideal para rootkits. De hecho, Google ha optado por desactivarlo por defecto en Android y ChromeOS, dada su peligrosidad.

"Curing": el rootkit indetectable que evade las herramientas de seguridad

Para demostrar esta amenaza, los investigadores crearon Curing, un rootkit diseñado para extraer comandos desde un servidor remoto y ejecutarlos sin generar llamadas al sistema. Durante las pruebas:

• Falco, incluso con reglas personalizadas, no detectó ninguna actividad.
• Tetragon, en su configuración predeterminada, tampoco logró identificar el comportamiento malicioso.
• Herramientas de seguridad comerciales (no especificadas por ARMO) también fueron incapaces de detectar el rootkit.

No obstante, Tetragon respondió que su plataforma no es vulnerable, ya que permite implementar enganches personalizados para detectar este tipo de amenazas, siempre que se configure adecuadamente.

ARMO recomienda utilizar KRSI y eBPF para mitigar la amenaza

Según ARMO, una solución viable para proteger los sistemas Linux de este tipo de ataques es la adopción de Kernel Runtime Security Instrumentation (KRSI), una arquitectura que permite enganchar eventos del kernel usando programas eBPF. Esta técnica permitiría monitorear acciones internas como las realizadas por io_uring, evitando que rootkits pasen desapercibidos.

Prueba tu sistema: descarga gratuita de Curing en GitHub

Para administradores de sistemas, investigadores o entornos que quieran evaluar su exposición a esta amenaza, ARMO ha puesto a disposición el rootkit Curing en GitHub, como herramienta de prueba de concepto. Es una excelente oportunidad para auditar el nivel de protección real contra amenazas basadas en io_uring.

Nueva frontera en ataques invisibles contra Linux

La aparición de rootkits que evaden herramientas de seguridad modernas utilizando mecanismos como io_uring demuestra que la seguridad en tiempo de ejecución del kernel de Linux debe evolucionar. Incorporar soluciones como eBPF y KRSI puede ser fundamental para cerrar brechas antes ignoradas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ciclo de vida de Ubuntu 20.04 LTS (Focal Fossa) entra en su fase final. Lanzada oficialmente el 23 de abril de 2020, esta versión con soporte a largo plazo ha completado su período de mantenimiento de cinco años y dejará de recibir actualizaciones de seguridad y mantenimiento estándar a partir de mayo de 2025.

Esto marca el fin del soporte gratuito y abierto a través de los repositorios públicos de Canonical, por lo que es momento de tomar decisiones: actualizar a una versión más reciente o activar la protección extendida mediante Ubuntu Pro con ESM (Extended Security Maintenance).

Última actualización: Ubuntu 20.04.6 LTS

La última imagen ISO actualizada de Ubuntu 20.04 fue Ubuntu 20.04.6 LTS, publicada en marzo de 2023. Desde entonces, solo se han proporcionado parches críticos a través del canal estándar, que dejará de estar disponible para todos los usuarios en mayo de 2025.

¿Qué sucede tras el fin del soporte estándar?

Cuando una versión LTS alcanza su EOL (End Of Life) en términos de soporte público, Canonical deja de ofrecer nuevas actualizaciones a través de los canales tradicionales. Sin embargo, esto no implica el abandono del sistema, sino su transición al programa Ubuntu Pro, que incluye:

• Actualizaciones de seguridad extendidas (ESM) para paquetes críticos.
• Protección para más de 2.300 paquetes esenciales.
• Acceso a más de 23.000 paquetes adicionales del repositorio Universe (sin mantenimiento garantizado).

Este servicio es ideal para empresas u organizaciones que no pueden migrar de inmediato a una nueva versión debido a dependencias técnicas o limitaciones logísticas.

Alternativa recomendada: migrar a Ubuntu 24.04 LTS

Canonical recomienda migrar a la última versión con soporte a largo plazo, Ubuntu 24.04 LTS, como la mejor opción para mantener la seguridad y estabilidad del sistema. Esta versión incluye mejoras acumuladas durante cuatro años, por lo que el salto tecnológico es significativo.

La actualización directa desde Ubuntu 20.04 LTS a 24.04 LTS ya está disponible y representa el camino natural para usuarios domésticos y profesionales que buscan continuidad sin interrupciones.

¿Qué es Ubuntu Pro y cómo activar ESM?

Ubuntu Pro es el plan premium de Canonical que extiende el soporte de versiones LTS más allá de los cinco años tradicionales. Incluye:

• ESM activado para seguridad prolongada.
• Cobertura para equipos individuales o grandes flotas.
• Uso gratuito para hasta cinco máquinas por usuario.

Activar ESM en Ubuntu 20.04 es un proceso sencillo. Canonical proporciona instrucciones detalladas en su blog oficial para realizarlo en pocos pasos.

Planes de Ubuntu Pro adaptados a cada necesidad

Canonical ofrece planes personalizados según el número de dispositivos y el tipo de implementación:

• Usuarios individuales pueden activar Ubuntu Pro sin coste para hasta cinco equipos.
• Empresas y organizaciones pueden contratar planes escalables con precios ajustados al hardware y volumen de dispositivos.

Esta flexibilidad convierte a Ubuntu Pro en una solución viable para quienes aún dependen de Ubuntu 20.04 en entornos de producción.

¿Qué camino elegir?

A medida que Ubuntu 20.04 LTS finaliza su soporte estándar en mayo de 2025, los usuarios deben elegir entre dos alternativas:

• Actualizar a Ubuntu 24.04 LTS, para disfrutar de todas las mejoras y mantenerse dentro del soporte oficial.
• Activar Ubuntu Pro con ESM, si se necesita más tiempo antes de migrar.

En conclusión, Ubuntu 20.04 LTS ha sido una versión sólida y confiable, pero el final de su soporte abierto se acerca. Ya sea a través de una migración a Ubuntu 24.04 o mediante la activación de Ubuntu Pro, mantener la seguridad del sistema es esencial para evitar vulnerabilidades y garantizar el rendimiento a largo plazo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OpenMandriva ha anunciado el lanzamiento de OpenMandriva Lx 6.0, una versión mayor de esta distribución Linux que introduce importantes mejoras tanto en el entorno de escritorio como en la infraestructura del sistema. Esta nueva versión marca el salto definitivo a KDE Plasma 6, dejando atrás KDE Plasma 5, e incorpora por primera vez una edición oficial para servidores, ampliando así su alcance a nuevos escenarios de uso.

Ediciones disponibles: Rock y ROME

OpenMandriva Lx 6.0 continúa con su estrategia de ofrecer dos variantes del sistema:

• OpenMandriva Rock, la edición estable destinada a usuarios que prefieren actualizaciones más controladas.
• OpenMandriva ROME, la edición rolling release para quienes buscan lo último en software libre de forma continua.

La versión Rock se presenta con un conjunto actualizado de tecnologías, incluyendo:

• Kernel Linux 6.14 (y kernel 6.15 RC2 para mayor soporte de hardware).
• Compilación con Clang para optimización del sistema.
• Systemd 257.5, Mesa 25 y otros componentes actualizados.

KDE Plasma 6: entorno de escritorio por defecto

La principal novedad visual de OpenMandriva Lx 6.0 es la incorporación de KDE Plasma 6 como entorno de escritorio predeterminado, disponible en versiones para X11 y Wayland. Aunque ambas opciones están disponibles, se recomienda usar X11 en entornos virtuales como VirtualBox para evitar problemas de compatibilidad.

Esta versión incluye:

• KDE Plasma 6.3.4
• KDE Frameworks 6.13.0
• KDE Gear 25.04.0

También se incluye LibreOffice 25.2.3, ahora adaptado a Qt6 y Plasma 6, así como una versión renovada del asistente de bienvenida OM-Welcome.

Otras opciones de escritorio disponibles

Aunque KDE Plasma es el entorno por defecto, OpenMandriva Lx 6.0 ofrece soporte para múltiples escritorios:

• GNOME 48.1
• LXQt 2.2.0
• XFCE
• COSMIC 1.0 Alpha

Esta diversidad permite adaptar la experiencia de usuario según las preferencias personales o los requisitos del hardware.

Software actualizado y mejoras en privacidad

OpenMandriva Lx 6.0 incorpora las últimas versiones de software libre, incluyendo:

• Chromium 135 y Firefox 137, ambos modificados para desactivar funciones invasivas de privacidad.
• GIMP 3.0.2 para edición de imágenes.
• VirtualBox 7.1.8 para virtualización.
• Falkon, navegador ligero y eficiente.

Además, los usuarios que deseen jugar fuera de Steam pueden acceder a Proton y Proton Experimental desde los repositorios oficiales, ampliando la compatibilidad con videojuegos.

OpenMandriva Server: nueva edición minimalista para entornos profesionales

La gran innovación de esta versión es la introducción de OpenMandriva Server, una edición oficial pensada para su uso en servidores. Se trata de una imagen minimalista sin interfaz gráfica, ideal para:

• Usuarios avanzados.
• Entornos virtualizados.
• Despliegues en la nube.

Disponible para arquitecturas x86_64, aarch64 y AMD Zen, esta edición incluye un script de instalación adaptable para distintos escenarios y necesidades empresariales.

Recomendaciones de instalación

Los desarrolladores de OpenMandriva recomiendan a los usuarios de OpenMandriva Lx 5.0 realizar una instalación limpia de la versión 6.0 para aprovechar al máximo las mejoras, especialmente el rendimiento y estabilidad de KDE Plasma 6.

Descarga de OpenMandriva Lx 6.0

OpenMandriva Lx 6.0 está disponible para descarga a través de SourceForge, en todas sus ediciones y sabores. Se recomienda verificar cuidadosamente qué imagen ISO se necesita antes de iniciar la descarga.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un grupo de cibercriminales, identificado como Elusive Comet, está ejecutando una sofisticada campaña de ingeniería social dirigida a usuarios de criptomonedas, utilizando la función de control remoto de Zoom para tomar el control de dispositivos y robar datos sensibles o fondos digitales.

¿Cómo funciona el ataque de Elusive Comet?

La función de control remoto en Zoom, diseñada para compartir el control de pantalla entre participantes, ha sido manipulada por este grupo para engañar a las víctimas y obtener acceso total a sus sistemas. Según un informe de la firma de ciberseguridad Trail of Bits, esta técnica recuerda al método empleado por el grupo Lazarus en el robo de 1.500 millones de dólares en criptomonedas de Bybit en febrero de 2025.

Citar"ELUSIVE COMET replica estrategias donde los atacantes aprovechan flujos de trabajo legítimos, en lugar de vulnerabilidades técnicas, para comprometer sistemas", explica Trail of Bits.

El esquema: entrevistas falsas en Zoom

La campaña inicia con un mensaje directo en redes sociales, especialmente en X (anteriormente Twitter), o por correo electrónico, donde se invita al objetivo a una supuesta entrevista con Bloomberg Crypto. Los mensajes provienen de cuentas falsas que se hacen pasar por periodistas de Bloomberg y utilizan enlaces legítimos de Calendly y Zoom, lo que añade credibilidad al engaño.

Durante la reunión virtual, el atacante comparte pantalla e inicia una solicitud de control remoto. El truco clave es cambiar el nombre de la pantalla del atacante a "Zoom", lo que hace que la víctima reciba una alerta aparentemente legítima que dice:

"Zoom está solicitando el control remoto de su pantalla".

Si la víctima acepta, el atacante obtiene control total sobre el equipo, permitiéndole:

• Robar datos confidenciales
• Instalar malware
• Iniciar transacciones en criptomonedas
• Implantar puertas traseras persistentes

¿Por qué es tan peligroso este ataque?

El ataque aprovecha la confianza del usuario en las notificaciones de Zoom. Muchas personas están acostumbradas a aprobar solicitudes en la plataforma sin examinar cuidadosamente su origen. Esta falsa sensación de legitimidad es lo que hace que el ataque sea altamente efectivo y difícil de detectar.

Recomendaciones de seguridad

Trail of Bits ha emitido recomendaciones clave para protegerse contra esta campaña de Elusive Comet:

• Eliminar Zoom en entornos críticos: Para organizaciones que gestionan activos digitales sensibles, la mejor defensa es eliminar completamente el cliente de Zoom y utilizar versiones web más seguras o alternativas con mayores controles.
• Configurar perfiles de control de privacidad (PPPC): En sistemas macOS, es posible restringir el acceso a funciones sensibles mediante perfiles de preferencias de privacidad. Esto puede evitar que aplicaciones como Zoom accedan a funciones de accesibilidad utilizadas para el control remoto.
• Formación en ciberseguridad: Capacitar a los empleados sobre los riesgos de ingeniería social, el uso de herramientas de videollamada y el reconocimiento de enlaces maliciosos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha anunciado la resolución de múltiples problemas críticos en Windows Server 2025 y Windows 11 versión 24H2, incluyendo errores que provocaban la congelación de sesiones de Escritorio remoto, pantallas azules, problemas con Windows Hello, y fallos en controladores de dominio.

Congelamiento de sesiones RDP en Windows Server 2025 y Windows 11
Uno de los errores más reportados era el que causaba que las sesiones de Escritorio remoto (RDP) se congelaran tras la conexión en sistemas Windows Server 2025. Según Microsoft, el fallo fue introducido por la actualización de seguridad KB5051987, lanzada el 11 de febrero de 2025. El error provocaba que el mouse y el teclado dejaran de responder, obligando a los usuarios a cerrar y restablecer la conexión.

Este problema ha sido solucionado oficialmente mediante la actualización acumulativa KB5055523, incluida en el Patch Tuesday del 8 de abril. Para los usuarios de Windows 11 24H2, el fallo ya había sido corregido con la actualización opcional KB5052093, publicada el 25 de febrero.

Citar"Recomendamos instalar la última actualización disponible para tu dispositivo, ya que incluye correcciones importantes para la estabilidad del Escritorio remoto", comunicó Microsoft.

Known Issue Rollback para fallos en RDP y RDS

El mes pasado, Microsoft recurrió a su sistema de reversión de problemas conocidos, Known Issue Rollback (KIR), para mitigar otros errores de conexión relacionados con Remote Desktop Services (RDS) y RDP en Windows 11 24H2.

El problema afectaba las conexiones UDP desde clientes Windows 11 24H2 a servidores con Windows Server 2016, generando desconexiones temporales que podían durar hasta 65 segundos. Microsoft ha confirmado que, junto con las actualizaciones acumulativas de abril, se lanzó una solución permanente para estos errores de conectividad RDP, beneficiando tanto a entornos empresariales como a usuarios domésticos.

Pantallas azules y errores de instalación en sistemas con más de 256 núcleos

Microsoft también resolvió un error de larga data que afectaba a sistemas Windows Server 2025 con más de 256 procesadores lógicos, causando fallos de instalación y pantallas azules (BSOD). Este problema fue corregido con la actualización acumulativa KB5046617, incluida en el Patch Tuesday de noviembre.

Fallos con Windows Hello y controladores de dominio tras las actualizaciones de abril

A principios de abril, tras las actualizaciones de seguridad mensuales, algunos usuarios reportaron problemas al iniciar sesión con Windows Hello, tanto en dispositivos cliente como en servidores. Microsoft está investigando estos problemas, que afectan la experiencia de inicio de sesión biométrico y con PIN.

Asimismo, la empresa advirtió sobre un nuevo fallo en Windows Server 2025, donde controladores de dominio (DC) pueden volverse inalcanzables tras un reinicio, lo que impacta negativamente en los servicios dependientes de autenticación y otras aplicaciones críticas del sistema.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google anunció oficialmente que ya no implementará un aviso independiente para las cookies de terceros en el navegador Chrome, una decisión que forma parte de su iniciativa Privacy Sandbox, enfocada en mejorar la privacidad de los usuarios sin afectar la publicidad digital.

Citar"Hemos decidido mantener el enfoque actual, permitiendo a los usuarios gestionar las cookies de terceros desde la configuración de privacidad de Chrome, y no lanzaremos un nuevo aviso separado", declaró Anthony Chavez, vicepresidente de Privacy Sandbox en Google.

Cambios en la estrategia de privacidad de Chrome

En julio de 2024, Google ya había comunicado que abandonaría sus planes originales de eliminar por completo las cookies de seguimiento de terceros. En su lugar, propuso ofrecer una experiencia optimizada para que los usuarios puedan tomar decisiones informadas respecto a su privacidad.

Según la compañía, los comentarios de editores, desarrolladores, reguladores y actores de la industria publicitaria revelaron diversas perspectivas sobre los cambios en la disponibilidad de cookies de terceros. Esta falta de consenso ha llevado a Google a optar por una estrategia más gradual.

Mejoras en el modo incógnito y protección de la IP

Como parte de su nueva hoja de ruta, Google planea reforzar el modo incógnito de Chrome, donde las cookies de terceros ya están bloqueadas por defecto. Además, en el tercer trimestre de 2025, se introducirá una función de protección de la dirección IP que restringirá la exposición de la IP original del usuario en contextos de terceros, con el objetivo de mitigar el seguimiento entre sitios.

Esta nueva funcionalidad ya está disponible como un proyecto de código abierto, lo que permite a la comunidad tecnológica contribuir a su evolución.

Citar"A raíz de esta actualización, reconocemos que las API de Privacy Sandbox pueden desempeñar un papel diferente en el soporte del ecosistema publicitario", agregó Chavez. "Durante los próximos meses, trabajaremos con la industria para recopilar comentarios y compartir una hoja de ruta actualizada".

Chrome frente a Safari y Firefox

Mientras que navegadores como Apple Safari y Mozilla Firefox han bloqueado las cookies de terceros por defecto desde 2020, Google ha enfrentado desafíos adicionales. Su rol como navegador líder, proveedor de publicidad y motor de búsqueda dominante complica la implementación de cambios radicales sin afectar sus propios modelos de negocio.

Crece el escrutinio regulatorio sobre Google en EE. UU.

Este anuncio se da en un contexto donde Google enfrenta una creciente presión regulatoria en Estados Unidos. Dos fallos recientes acusan a la empresa de monopolizar los mercados de búsqueda y publicidad digital, lo que podría tener implicaciones significativas para su estructura corporativa.

En particular, el Departamento de Justicia de EE. UU. ha propuesto, tan recientemente como el mes pasado, medidas que incluyen dividir a Google mediante la venta de su navegador Chrome y la sindicación de sus resultados de búsqueda, con el fin de restaurar la competencia en el mercado de búsquedas en línea.

OpenAI muestra interés en adquirir Chrome

Un dato llamativo revelado por Bloomberg y Reuters es que la compañía de inteligencia artificial OpenAI ha expresado interés en adquirir el navegador Chrome, en caso de que Google se vea obligado a venderlo. La visión de OpenAI sería transformar a Chrome en un navegador web centrado en la inteligencia artificial, ofreciendo a los usuarios una experiencia potenciada por tecnologías emergentes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los expertos en ciberseguridad de Darktrace y Cado Security han identificado una sofisticada campaña de malware dirigida a entornos Docker, que utiliza una técnica no documentada previamente para obtener beneficios mediante minería de criptomonedas. A diferencia de las campañas tradicionales de cryptojacking que implementan directamente herramientas como XMRig, esta nueva operación apuesta por métodos alternativos más difíciles de detectar.

El malware identificado no instala directamente un minero de criptomonedas, sino que aprovecha un novedoso servicio Web3 llamado Teneo, una red de infraestructura física descentralizada (DePIN) que permite a los usuarios monetizar datos públicos de redes sociales. Esta monetización se realiza a través de un Nodo Comunitario, el cual otorga Teneo Points como recompensa, los cuales pueden convertirse en $TENEO Tokens.

El nodo como herramienta de scraping distribuido

El nodo actúa como un sistema distribuido de raspado de redes sociales, recolectando información de plataformas como Facebook, X (antes Twitter), Reddit y TikTok. Sin embargo, el análisis de los honeypots de Darktrace muestra que en este caso el nodo no realiza scraping activo, sino que simplemente mantiene una conexión constante mediante WebSocket para acumular puntos en la red Teneo.

La campaña se inicia con una solicitud para desplegar una imagen de contenedor denominada "kazutod/tene:ten", alojada en Docker Hub, que fue subida hace dos meses y ha sido descargada al menos 325 veces. Esta imagen contiene un script Python altamente ofuscado, que requiere 63 iteraciones para desempaquetar el código real. Una vez activado, establece conexión con el dominio teneo[.]pro.

Citar"El script de malware solo envía pings de mantenimiento al WebSocket para ganar Teneo Points. Según la documentación de Teneo, la mayor parte de las recompensas se basa en la frecuencia de los 'latidos' enviados, lo que podría explicar su funcionalidad", informó Darktrace a The Hacker News.

Comparaciones con otras campañas de uso ilícito de recursos

Este tipo de actividad recuerda a otras amenazas que también explotan instancias Docker mal configuradas. Un ejemplo anterior fue el uso del software 9Hits Viewer, utilizado para generar tráfico artificial hacia sitios web con el fin de obtener créditos. Del mismo modo, este ataque también se asemeja al secuestro de proxy o esquemas de compartición de ancho de banda, en los que se descarga software diseñado para monetizar recursos no utilizados del sistema, como la conexión a Internet.

Citar"Aunque XMRig sigue siendo la herramienta más común para el cryptojacking, su alta tasa de detección ha obligado a los atacantes a adoptar nuevas tácticas como esta. Aún está por verse si este método basado en Teneo es más rentable a largo plazo", afirmó Darktrace.

Amenazas paralelas: la botnet RustoBot

En paralelo, los investigadores de Fortinet FortiGuard Labs han descubierto una nueva botnet llamada RustoBot, que se propaga explotando vulnerabilidades conocidas en dispositivos de red como TOTOLINK (CVE-2022-26210 y CVE-2022-26187) y DrayTek (CVE-2024-12987). La botnet se utiliza para lanzar ataques DDoS y tiene como blanco principal al sector tecnológico en países como Japón, Taiwán, Vietnam y México.

Citar"Los dispositivos IoT y routers de red suelen ser puntos finales con defensas limitadas, lo que los convierte en blancos ideales para los cibercriminales. El refuerzo de la autenticación y el monitoreo de endpoints puede reducir significativamente este riesgo", señaló Vincent Li, investigador de Fortinet.

Actualización de estado de la imagen maliciosa

Hasta el momento de esta publicación, la imagen del contenedor malicioso ya no está disponible para descarga en Docker Hub, aunque la cuenta que la alojaba continúa activa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En los últimos días, YouTube está experimentando errores que afectan la experiencia de usuario en todas sus versiones: móvil, escritorio y navegador. Muchos usuarios han reportado que la plataforma deja de mostrar contenido en la pantalla de inicio, impidiendo el acceso a vídeos recomendados o feeds personalizados, lo que genera gran frustración.

Fallo global: YouTube sin vídeos recomendados

Este problema técnico en YouTube afecta tanto a usuarios con sesión iniciada como a quienes navegan como invitados. Al ingresar a la plataforma, la página de inicio aparece en blanco o, en el mejor de los casos, con unos pocos vídeos visibles. Esta falta de contenido afecta directamente a la navegación y a la experiencia habitual del usuario.

Se trata de una incidencia intermitente, ya que en algunos casos la pantalla carga parcialmente, mientras que en otros, directamente no muestra ningún vídeo. Esto ha generado gran desconcierto, ya que los usuarios no saben cómo proceder para restablecer la funcionalidad normal de la aplicación.

Google reconoce el fallo, pero la solución no llega para todos

Google ha reconocido el error y asegura que ya se ha implementado una solución. Sin embargo, muchos usuarios continúan reportando la persistencia del fallo en sus cuentas. Las respuestas oficiales de la empresa han sido ambiguas y no han despejado del todo las dudas. Mientras algunos internautas indican que el problema se ha resuelto, otros siguen afectados.

Este tipo de errores en YouTube no es nuevo. En ocasiones anteriores ya se han reportado incidencias similares que dejaban a los usuarios sin acceso a contenidos personalizados durante varios días. Lo preocupante es que, al repetirse este tipo de fallos, queda en evidencia cierta vulnerabilidad en la infraestructura de YouTube, especialmente en uno de sus pilares clave: la página de inicio.

Consecuencias para usuarios y creadores de contenido

El impacto de este error no solo afecta a los consumidores habituales de contenido, sino también a los creadores de contenido en YouTube. Al desaparecer los vídeos sugeridos y el feed personalizado, los usuarios tienen que buscar manualmente los vídeos que desean ver. Esta situación reduce la exposición de nuevos vídeos y, por ende, puede provocar una caída en el número de visualizaciones y en los ingresos por publicidad para muchos creadores.

Cuando estos fallos se prolongan, representan una amenaza directa para el ecosistema de monetización de YouTube, y pueden empujar a los usuarios hacia otras plataformas alternativas de vídeo.

YouTube sigue siendo el líder del streaming, pero necesita estabilidad

A pesar de estos errores, YouTube sigue siendo la plataforma de streaming más importante a nivel mundial. En los últimos meses ha recuperado fuerza, con un retorno masivo de creadores de contenido que habían migrado a otras plataformas. Sin embargo, para mantener esa posición de liderazgo, es vital que Google garantice una experiencia de usuario fluida y libre de errores críticos como este.

Cada incidente técnico como el actual no solo afecta la percepción de calidad del servicio, sino que también pone en jaque la confianza tanto de los usuarios como de los creadores.

La importancia de una experiencia estable en YouTube

El reciente fallo en la página de inicio de YouTube es una llamada de atención sobre la necesidad de asegurar una infraestructura estable y fiable. Tanto si consumes contenido como si lo creas, estos errores afectan directamente a la experiencia en la plataforma. Aunque Google ha asegurado que el problema está resuelto, muchos usuarios aún lo padecen. Esperamos que la solución definitiva llegue pronto y que YouTube refuerce su compromiso con una experiencia de usuario sin interrupciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento de Justicia de Estados Unidos (DOJ) ha intensificado su ofensiva contra Google, advirtiendo que la empresa podría utilizar su posición dominante en el mercado de búsquedas para monopolizar también el sector de la inteligencia artificial (IA). Esta nueva advertencia se produce en el marco del juicio antimonopolio en curso, que busca frenar las prácticas que han consolidado a Google como actor principal en internet.

El monopolio de Google en las búsquedas y su amenaza en la IA

Google enfrenta un nuevo capítulo en su historial legal: el DOJ ha solicitado al juez Amit Mehta que implemente medidas específicas para impedir que Google aproveche su monopolio en búsquedas para extender su dominio al emergente mercado de la IA generativa. La preocupación principal gira en torno a la integración cada vez más profunda de funciones de IA en productos como el buscador de Google y su chatbot Gemini.

El abogado del DOJ, David Dahlquist, fue claro en su declaración inicial: "El tribunal debe garantizar que Google no utilice su ventaja actual para dominar el futuro de la inteligencia artificial". Además, se mencionó que Google ya está tomando medidas concretas para mantener su liderazgo con Gemini, una de sus apuestas clave en el terreno de la IA.

Empresas tecnológicas afectadas testificarán en el juicio

Empresas como OpenAI, Perplexity AI y otros actores relevantes del sector testificarán para explicar cómo el dominio de Google en las búsquedas afecta directamente a sus negocios. La relación entre búsqueda e inteligencia artificial es cada vez más estrecha, y muchos expertos alertan que el liderazgo de Google podría representar un obstáculo para la innovación y la competencia.

El impacto potencial de este juicio en el futuro de Internet

Medios como Reuters señalan que el resultado de este juicio podría redefinir radicalmente el ecosistema digital actual, especialmente si se logra desbancar a Google como portal de referencia para acceder a la información online. La presión regulatoria también recae en otros gigantes tecnológicos como Meta, aunque en este caso, Google es el foco central.

El DOJ ha dejado claro que es momento de enviar un mensaje contundente: "Es hora de decirles a Google y a todos los demás monopolistas que hay consecuencias cuando se infringen las leyes antimonopolio", subrayó Dahlquist.

Las medidas antimonopolio propuestas contra Google

El gobierno estadounidense, junto con varios fiscales generales estatales, plantea una serie de medidas para restaurar la competencia en el sector digital:

• Obligar a Google a vender Chrome, su navegador web.
• Eliminar acuerdos de exclusividad por los cuales Google paga miles de millones de dólares a fabricantes como Apple para ser el motor de búsqueda predeterminado.
• Licenciar los resultados de búsqueda a competidores más pequeños.
• Impedir a Google pagar a fabricantes de navegadores y smartphones para mantener su posición privilegiada.
• Posibilidad de obligar a vender Android si otras medidas no son efectivas.

La defensa de Google: innovación y sostenibilidad económica

Google ha respondido con firmeza, argumentando que incluir su tecnología de IA en este caso es inapropiado. La compañía asegura que las restricciones propuestas por el DOJ "frenarían la innovación estadounidense en un momento crítico para el desarrollo tecnológico global", según Lee-Anne Mulholland, ejecutiva de Google.

Asimismo, la empresa afirma que dejar de pagar a fabricantes como Mozilla afectaría gravemente la sostenibilidad de esos navegadores, dado que su modelo de negocio depende en gran parte de esos ingresos.

Un conflicto legal de larga data

Este caso judicial no es nuevo: fue presentado en 2020, durante la administración Trump. En 2023, el juez Mehta supervisó un juicio de ocho semanas donde el gobierno alegó que Google consolidó su posición dominante mediante acuerdos que le daban una ventaja competitiva injusta. Se argumentó que, al ser el motor predeterminado, Google acumulaba más datos, perfeccionaba su algoritmo y atraía a más usuarios, cerrando el círculo del monopolio.

Ahora, el DOJ va más allá y propone medidas estructurales para limitar el alcance de Google. Esto incluye impedir los pagos a fabricantes y mantener la posibilidad de desmantelar componentes clave como Android, si se demuestra que su presencia perpetúa la concentración del poder en el ecosistema digital.

El dominio de Google en juego

El juicio que enfrenta Google por prácticas anticompetitivas podría marcar un antes y un después en la regulación tecnológica de EE. UU. La posibilidad de que la empresa extienda su poder al sector de la inteligencia artificial ha encendido las alarmas, y el Departamento de Justicia está decidido a actuar. Si se aprueban las medidas propuestas, podríamos ver una reconfiguración profunda del mercado digital, abriendo paso a una competencia más justa y transparente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace casi un año, Microsoft presentó Recall, una innovadora función diseñada para los nuevos Copilot+ PC, prometiendo revolucionar la forma en que usamos nuestros dispositivos. Esta herramienta registra capturas de pantalla de forma constante, convierte texto mediante OCR y crea una base de datos indexada de todo lo que el usuario ve en su pantalla.

Sin embargo, desde su anuncio, Recall ha sido duramente criticado por expertos en ciberseguridad, como Kevin Beaumont, quien advirtió sobre sus implicaciones en materia de privacidad. Ahora, tras una pausa en su desarrollo, Recall regresa con ajustes, pero todavía presenta fallos que generan preocupación.

¿Qué es Recall y por qué ha generado tanta polémica?

Recall funciona capturando automáticamente todo lo que aparece en pantalla, lo que permite a los usuarios buscar cualquier información visualizada anteriormente. Aunque la idea parece útil, muchos expertos han cuestionado su impacto en la privacidad y la seguridad de los datos.

Beaumont denunció que la herramienta fue desarrollada sin la supervisión adecuada de los equipos de seguridad y sin pruebas públicas con la comunidad de insiders. Las críticas en redes sociales fueron inmediatas y severas, comparando la situación con el fallido lanzamiento de Xbox One. Según el experto, Recall se ha convertido en un símbolo de los temores sobre el uso de la inteligencia artificial en la vida cotidiana.

Microsoft implementa mejoras en la seguridad de Recall

Después de las críticas iniciales, Microsoft retrasó el lanzamiento para introducir mejoras sustanciales. Algunas de las nuevas características destacadas por Beaumont incluyen:

• Función opcional: El usuario puede decidir activar Recall durante la configuración inicial, sin presiones ni preselecciones ocultas.
• Base de datos encriptada: Ahora Recall utiliza cifrado para proteger la base de datos SQLite. Las claves se almacenan en un entorno seguro (VBS).
• Filtrado de datos sensibles: La herramienta intenta evitar la indexación de información como tarjetas de crédito.
• Autenticación con Windows Hello: Se requiere configuración biométrica al activar la herramienta.

Estas mejoras buscan incrementar la seguridad en Recall, pero, según Beaumont, no son suficientes.

Vulnerabilidades críticas persisten en Recall

Autenticación engañosa

Aunque Microsoft declara que Recall necesita autenticación biométrica, Beaumont descubrió que basta con conocer el PIN del usuario para acceder al historial completo. En una prueba, su pareja accedió a conversaciones privadas utilizando solo el PIN, sin necesidad de huella o reconocimiento facial.

Filtrado ineficaz de información sensible

Beaumont documentó cómo Recall sigue capturando números de tarjeta de crédito y códigos CVV, incluso con el filtro activo. Recomienda desactivar la función manualmente antes de realizar compras en línea para evitar la exposición de datos.

Inestabilidad y errores de funcionamiento

Durante sus pruebas, el experto encontró que Recall deja de grabar sin motivo aparente. También presenta fallos al filtrar aplicaciones: al excluir Signal, por ejemplo, el sistema bloqueó el navegador Vivaldi.

¿Qué tan peligrosa es Recall para la privacidad?

Beaumont expone varias preocupaciones relacionadas con la privacidad al utilizar Recall:

• Mensajes eliminados accesibles: Recall almacena contenido borrado de apps como Signal, WhatsApp o Teams.
• Grabación de videollamadas: Indexa tanto el vídeo como el audio de apps como Teams o Webex, incluso los subtítulos en vivo.
• Captura de sesiones remotas: Registra sesiones de AnyDesk, Azure Virtual Desktop y otras plataformas de escritorio remoto.
• Análisis visual avanzado: Detecta objetos, texto manuscrito y nombres de libros, incluso si no están escritos explícitamente.
• Contenido autodestructivo: Indexa mensajes y fotos enviados de forma temporal o privada, lo que compromete la confidencialidad.

Impacto en el rendimiento del sistema

Aunque Recall opera en segundo plano, consume muchos recursos. Beaumont observó que la NPU llegaba al 80% de uso, lo que afecta la autonomía del portátil. También detectó un consumo excesivo de RAM al navegar por la interfaz de Recall, que superaba los 1,2 GB.

Durante sesiones de juego, Recall seguía funcionando, afectando el rendimiento y capturando elementos como logotipos o personajes, lo que dificulta su uso en tareas exigentes.

¿Quiénes deberían evitar el uso de Recall?

Según Beaumont, hay perfiles de usuarios para los cuales Recall representa un riesgo grave:

• Personas en situaciones de violencia doméstica o control coercitivo
• Periodistas y fuentes confidenciales
• Grupos vulnerables o perseguidos
• Usuarios políticamente expuestos
• Empresas sin una evaluación de riesgos previa
• Personas que viajan a países donde se restringen las libertades civiles

Recall: una herramienta útil, pero no para todos

Aunque reconoce los esfuerzos de Microsoft para mejorar la seguridad de Recall, Kevin Beaumont insiste en que la herramienta aún no está lista para un despliegue masivo. En su opinión, ni los gamers ni los usuarios promedio la necesitan, y para las empresas representa una nueva fuente de vulnerabilidades legales y de seguridad.

Su propuesta es clara: reorientar Recall como una herramienta de accesibilidad para personas con deterioro cognitivo leve, no como una función predeterminada para todos los usuarios de Windows.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Meta continúa reforzando sus esfuerzos para que los adolescentes usen Instagram de manera segura. Su más reciente estrategia se enfoca en garantizar que los perfiles reflejen la edad real de los usuarios jóvenes. Para lograrlo, la compañía implementará herramientas de inteligencia artificial (IA) capaces de detectar automáticamente si una cuenta pertenece a un menor, aplicando ajustes de privacidad específicos para su grupo de edad.

Verificación de edad en Instagram mediante inteligencia artificial

Desde 2024, Instagram comenzó a usar inteligencia artificial para identificar señales que pudieran indicar que un usuario era menor de edad, incluso si había registrado una edad falsa. Estos sistemas analizan distintos factores como el lenguaje en los mensajes, los patrones de interacción y el comportamiento general en la plataforma.

Cuando se detectan señales de que el usuario es un adolescente, se activan controles adicionales de manera automática. Entre ellos se incluye la conversión del perfil a privado, la restricción de mensajes de desconocidos y la limitación del contenido visible.

Detección proactiva con ajustes automáticos de privacidad

Instagram anunció en su blog oficial que su próximo paso será el uso proactivo de inteligencia artificial para determinar la edad real de los usuarios. Si el sistema detecta que una cuenta, aunque haya declarado una edad de adulto, pertenece en realidad a un adolescente, se aplicará la configuración de privacidad adecuada para menores sin necesidad de intervención manual.

Esta función de verificación de edad con IA comenzará a probarse en Estados Unidos como parte de un programa piloto. El objetivo es identificar a los denominados "adolescentes sospechosos" y asignar automáticamente las configuraciones correspondientes a su rango etario, lo que incluye restricciones de contenido y mejoras en la protección de la privacidad.

Un sistema con margen de error, pero configurable

Instagram ha señalado que, aunque el sistema de detección ha sido diseñado para ser preciso, existe la posibilidad de errores. En estos casos, los usuarios podrán modificar la configuración de su cuenta si consideran que ha sido clasificada de forma incorrecta. La compañía también enfatizó que está trabajando para reducir al mínimo estas fallas y mejorar continuamente sus sistemas de verificación.

Un desafío persistente: adolescentes que falsean su edad

Durante años, Meta ha tenido dificultades para evitar que menores creen cuentas en Instagram utilizando edades falsas. Para hacer frente a este problema, la empresa ha implementado múltiples mecanismos de control basados en análisis de contenido, interacciones, listas de seguidores y mensajes.

Además, desde finales de 2024, Meta exige pruebas adicionales si un usuario menor de 18 años intenta modificar su fecha de nacimiento. Entre estas medidas se incluye el envío de una selfie en formato de video, la verificación con una identificación oficial o el respaldo de contactos cercanos.

Meta propone involucrar a los padres en la verificación

Como parte de sus esfuerzos por proteger a los menores en redes sociales, Meta también plantea una solución complementaria: que los padres verifiquen la edad de sus hijos tanto en el proceso de registro como al momento de descargar aplicaciones desde tiendas digitales. Esta idea fue propuesta por Antigone Davis, vicepresidenta y jefa global de seguridad de Meta, y se perfila como una estrategia adicional para reforzar la seguridad infantil online.

Instagram refuerza su compromiso con la seguridad de los menores

Con estas nuevas herramientas de inteligencia artificial, Meta busca fortalecer la seguridad y privacidad de los adolescentes en Instagram. A medida que evoluciona el entorno digital, la compañía apuesta por la tecnología como aliada para garantizar entornos adecuados a la edad de los usuarios más jóvenes y reducir los riesgos asociados al uso de redes sociales sin supervisión.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Uno de los casos más impactantes de cibercrimen juvenil en el ecosistema cripto tiene como protagonista a Ellis Pinsky, un adolescente que, con solo 15 años, logró robar 562 bitcoins, valorados entonces en más de 24 millones de dólares. Este robo se llevó a cabo mediante una técnica de ingeniería social conocida como SIM swapping, y tuvo como víctima al empresario y referente de las criptomonedas, Michael Terpin.

De Call of Duty al hacking avanzado

La historia de Pinsky comenzó de forma aparentemente inocente. A los 12 años, era un joven entusiasta de los videojuegos, en particular Call of Duty. Pero su curiosidad por la tecnología lo llevó a explorar herramientas más complejas como Wireshark, utilizada para rastrear direcciones IP.

En poco tiempo, Pinsky comenzó a experimentar con ataques DDoS, técnicas de doxxing e incluso inyección SQL en bases de datos. A los 13 años, ya era parte activa de OGUsers, una comunidad de hackers especializada en la compraventa de cuentas valiosas en redes sociales.

Citar"Siempre he sido autodidacta, siempre he sido muy persistente", afirma Pinsky sobre sus inicios.

El descubrimiento del SIM Swapping

En 2016, Ellis descubrió una de las técnicas más potentes y peligrosas del hacking: el SIM swapping. Esta técnica consiste en engañar a empleados de compañías telefónicas para que transfieran el número de una víctima a una tarjeta SIM controlada por el atacante. Con ello, es posible interceptar códigos de autenticación de dos factores, acceder a correos electrónicos y, en algunos casos, a billeteras de criptomonedas.

Fue a través del SIM swapping como Pinsky orquestó uno de los robos más sonados del mundo cripto.

El ataque a Michael Terpin: un robo de 24 millones de dólares en criptomonedas

El 7 de enero de 2018, un usuario conocido como 'Harry' contactó a Pinsky con un objetivo claro: hackear el número de teléfono de un cliente de AT&T. Ese número pertenecía a Michael Terpin, una figura influyente en el universo de las criptodivisas.

Mediante ingeniería social, lograron que empleados de AT&T transfirieran el número de Terpin a una SIM bajo su control. Acto seguido, ambos adolescentes crearon un script automatizado para buscar archivos relacionados con criptomonedas en los correos electrónicos de Terpin.

El archivo clave y el botín digital

Durante el acceso a la cuenta de Outlook de Terpin, encontraron un archivo titulado "Claves". El tiempo era limitado: sabían que la víctima notaría pronto la pérdida de señal. En cuestión de minutos, accedieron a varias wallets.

Aunque una contenía más de 900 millones de dólares en criptoactivos, no lograron desbloquearla. Sin embargo, otra wallet contenía 3 millones de tokens Triggers, valorados en 7 dólares cada uno. Fue su golpe maestro.

Para blanquear el dinero, Pinsky acudió a Twitter preguntando si alguien tenía una cuenta en Binance para cambiar los tokens por Bitcoin. La operación fue masiva, generando comisiones elevadas y una caída del valor de los tokens, pero lograron convertir el botín en 562 bitcoins.

La caída: de hacker a perseguido por la ley

Durante meses, Pinsky vivió con ansiedad, esperando la llegada del FBI. Pero al ver que no ocurría nada, bajó la guardia. Compró un reloj de lujo y escondió 100.000 dólares en efectivo bajo su cama.

El giro llegó cuando el abogado de Terpin envió un correo a la madre de Pinsky en 2018, acusándolo directamente y detallando el robo. Fue un punto de inflexión para el adolescente:

Citar"Fue la primera vez que me di cuenta de que este videojuego en el que he estado viviendo se hizo real", relató.

El proceso legal y la devolución de los fondos

Tras el enfrentamiento legal, Pinsky devolvió los 562 bitcoins, el reloj de lujo y el dinero en efectivo. No obstante, Terpin exigió 71,4 millones de dólares, amparado en la ley RICO, que permite triplicar las indemnizaciones en casos de crimen organizado. Sin embargo, no pudo recuperar más fondos, ya que no se hallaron más activos a nombre del joven.

Sospechas, amenazas y una nueva vida

Terpin siempre sospechó que Pinsky podría haber ocultado dinero proveniente de otros ataques similares. Esta creencia desató situaciones peligrosas, como el allanamiento de la vivienda familiar, donde individuos exigían la devolución del dinero. Como medida de protección, la familia adquirió un rifle de asalto y comenzó a entrenarse.

Hoy en día, Ellis Pinsky intenta rehacer su vida. Actualmente estudia en la universidad y ha fundado Rentr, una aplicación para la compraventa entre particulares.

Citar"Quiero profundamente distanciarme de todas estas cosas. Es tan feo, tan malo, tan asqueroso. No hay nada más que quiero hacer que seguir adelante", declaró.

El caso que marcó un antes y un después en la seguridad cripto

El caso de Ellis Pinsky no solo revela cómo un adolescente con conocimientos avanzados puede vulnerar sistemas complejos, sino también la fragilidad de muchas plataformas frente al SIM swapping. Este ataque demostró que incluso figuras reconocidas como Michael Terpin pueden ser vulnerables si no se aplican capas adicionales de seguridad.

Para empresas y usuarios, la lección es clara: reforzar la autenticación, evitar depender únicamente del número telefónico y mantener las claves de criptoactivos en almacenamiento seguro fuera del alcance digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva y sofisticada campaña de phishing avanzado ha llamado la atención de la comunidad de ciberseguridad al aprovechar una combinación de debilidades en los sistemas de Google, específicamente en el uso de DKIM, OAuth y Google Sites, para engañar a los usuarios con correos aparentemente legítimos.

El ataque, descubierto por Nick Johnson, desarrollador principal de Ethereum Name Service (ENS), emplea una técnica conocida como "phishing de repetición DKIM", que permite a los atacantes enviar correos firmados con el sello DKIM de Google, lo que les ayuda a evadir filtros de spam y parecer auténticos para los destinatarios.

Un correo falso que pasa todas las verificaciones

Todo comenzó cuando Johnson recibió un correo electrónico fraudulento con apariencia legítima. El mensaje, que parecía proceder de la dirección You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, notificaba una supuesta citación judicial para obtener acceso a su cuenta. El correo incluso fue categorizado por Gmail junto con otras alertas de seguridad reales, lo que aumentaba su credibilidad.

Lo más alarmante es que el mensaje pasó todas las verificaciones de autenticación, incluyendo DomainKeys Identified Mail (DKIM). Esto significa que, desde la perspectiva del sistema de correo, el mensaje realmente parecía haber sido enviado por Google.

Sin embargo, Johnson detectó algo extraño: el enlace del supuesto "portal de soporte" no dirigía a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, sino a una página en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Aunque sigue siendo un dominio legítimo de Google, este servicio permite a cualquier usuario crear sitios web personalizados, lo que lo convierte en una plataforma atractiva para ataques de phishing alojado en dominios de confianza.

Cómo funciona el ataque de phishing con repetición DKIM

La parte más técnica e ingeniosa del ataque radica en cómo se genera el correo fraudulento que pasa la validación DKIM. Johnson explicó que el atacante:

• Registra un dominio personalizado y crea una cuenta de Google, utilizando una dirección como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.
• Crea una aplicación OAuth en Google Cloud y utiliza como nombre de la app el contenido completo del mensaje de phishing, insertando grandes espacios en blanco para ocultar la notificación de Google al pie del mensaje.
• Concede permisos OAuth a esa cuenta, lo que activa el envío automático de una alerta de seguridad real de Google al correo de la cuenta creada.
• Finalmente, el atacante reenvía ese correo firmado por Google a las víctimas.

Como el correo fue originalmente generado y firmado por Google, la firma DKIM es válida y pasa todas las comprobaciones SPF, DKIM y DMARC. A su vez, al nombrar la cuenta como me@dominio, Gmail presenta el mensaje como si fuera una alerta relacionada con el correo del destinatario.

Encubrimiento perfecto: phishing alojado en Google Sites

El enlace contenido en el correo dirigía a un portal falso que imitaba perfectamente la apariencia del verdadero centro de soporte de Google. A simple vista, la diferencia era mínima: el dominio base era You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, no You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Esta técnica de phishing dentro de dominios legítimos reduce significativamente las probabilidades de que los usuarios identifiquen el engaño.

Johnson describió la página falsa como "un duplicado exacto del verdadero portal de soporte de Google", lo que refuerza la efectividad del ataque.

Ataques similares en otras plataformas: el caso de PayPal

El mismo tipo de táctica ha sido replicado con éxito en otras plataformas, como PayPal. En marzo, una campaña de phishing aprovechó la función de "dirección de regalo" en las cuentas de PayPal para vincular una nueva dirección de correo con un campo de texto adicional donde se colocaba el mensaje fraudulento.

El sistema de PayPal enviaba automáticamente un correo de confirmación a esa dirección, y el atacante simplemente lo reenviaba a una lista de distribución de víctimas. Al igual que en el caso de Google, el mensaje era firmado por los servidores de correo de PayPal, pasando las verificaciones DKIM.

Respuesta de Google y análisis técnico

Johnson informó del problema a Google a través de su programa de reporte de errores. Inicialmente, la compañía respondió que el sistema "estaba funcionando según lo previsto". No obstante, tras una segunda revisión, Google reconoció la debilidad en el proceso y confirmó que está trabajando para implementar mejoras de seguridad en OAuth para mitigar esta clase de abusos.

La empresa EasyDMARC, especializada en autenticación de correo electrónico, también analizó el caso y publicó una explicación técnica detallada del ataque de phishing con repetición DKIM, validando los hallazgos de Johnson y ofreciendo recomendaciones para protegerse.

¿Por qué este ataque es tan efectivo?

El éxito del ataque radica en el uso de servicios legítimos para fines maliciosos. Al originarse en Google, pasar DKIM y usar sitios bajo dominios oficiales como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, los mensajes evaden los filtros de seguridad más comunes y aprovechan la confianza del usuario en marcas reconocidas.

Además, la utilización de elementos como OAuth y la estructura interna de Gmail ayuda a camuflar aún más la estafa, haciendo que incluso usuarios experimentados puedan caer.

Recomendaciones para evitar caer en estos ataques

Para protegerse de esta técnica avanzada de phishing, es importante seguir estas buenas prácticas:

• Verificar siempre la URL completa de cualquier enlace, incluso si proviene de un dominio confiable.
• No confiar únicamente en las verificaciones DKIM o SPF como indicadores de autenticidad.
• Evitar hacer clic en enlaces de correos electrónicos inesperados, incluso si parecen provenir de servicios oficiales.
• Usar extensiones o herramientas de análisis de cabeceras de correo para comprobar el origen real del mensaje.
• Activar la verificación en dos pasos para cuentas sensibles como Gmail y PayPal.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una sofisticada campaña de fraude publicitario digital llamada Scallywag ha sido desmantelada parcialmente tras generar hasta 1.400 millones de solicitudes fraudulentas de anuncios por día. Esta operación global monetizaba sitios de piratería y plataformas de acortamiento de enlaces utilizando complementos de WordPress diseñados específicamente para evadir sistemas de detección y generar ingresos ilegítimos.

El descubrimiento de esta red fue realizado por HUMAN, una reconocida firma de ciberseguridad especializada en detección de bots y fraude en medios digitales. Su investigación reveló una infraestructura formada por 407 dominios que trabajaban de forma coordinada para redirigir a los usuarios a páginas llenas de anuncios falsos, simulando tráfico legítimo para los anunciantes.

Cómo funciona Scallywag: plugins de WordPress y sitios intermediarios

A diferencia de otras campañas de fraude digital, Scallywag opera como un fraude como servicio (FaaS). Su modelo se basa en la distribución de cuatro complementos de WordPress maliciosos que permiten a ciberdelincuentes crear flujos automatizados de ingresos desde sitios con contenido de baja calidad o ilegal. Los plugins identificados son:

• Soralink (2016)
• Yu Idea (2017)
• WPSafeLink (2020)
• Droplink (2022)

Estos complementos han sido utilizados por múltiples actores maliciosos que configuran sus propios esquemas de fraude publicitario. Algunos incluso han subido tutoriales a YouTube explicando cómo instalarlos y utilizarlos, facilitando el acceso a este modelo de monetización fraudulenta.

De los cuatro, Droplink se distribuye gratuitamente, pero obliga a los usuarios a realizar ciertas acciones que generan ingresos a los desarrolladores, como parte de un modelo de afiliación disfrazado.

Monetización de sitios de piratería a través de redirecciones

Scallywag se apoya principalmente en sitios web que ofrecen contenido pirata, como películas, series, videojuegos o software premium. Los visitantes acceden a estos portales buscando enlaces de descarga, y al hacer clic en ellos, son redirigidos a través de una cadena de sitios intermedios cargados con anuncios fraudulentos.

Estos sitios intermediarios están impulsados por los plugins de WordPress de Scallywag, que gestionan el proceso completo de redirección, desde la verificación CAPTCHA hasta temporizadores obligatorios que simulan interacción del usuario. En muchas ocasiones, las páginas intermedias muestran un blog limpio si detectan escaneos automatizados o bots de plataformas publicitarias, en un proceso conocido como encubrimiento.

Este enfoque permite que el contenido malicioso pase desapercibido para los anunciantes legítimos, quienes normalmente bloquean la piratería y los acortadores de URL por los riesgos legales, el fraude publicitario y la seguridad de marca.

Asociación gris con sitios piratas

Cabe destacar que no todos los sitios piratas involucrados en esta red son operados directamente por los creadores de Scallywag. En muchos casos, los administradores de estos sitios forman "asociaciones grises" con los operadores del fraude, cediendo el control de la monetización a cambio de recibir ingresos compartidos.

Este modelo colaborativo ha permitido a Scallywag extender su influencia rápidamente, aprovechando el tráfico masivo que generan los sitios piratas sin asumir directamente su operación ni exposición legal.

La caída de Scallywag: análisis, detección y respuesta

El equipo de HUMAN logró identificar la actividad de Scallywag tras detectar comportamientos inusuales en blogs de WordPress aparentemente legítimos, como picos de impresiones publicitarias, mecanismos de encubrimiento y flujos de tráfico forzado. Utilizando técnicas avanzadas de análisis de tráfico, HUMAN clasificó la red como fraudulenta y colaboró con proveedores de anuncios digitales para bloquear sus solicitudes de oferta.

Gracias a estas acciones, el tráfico fraudulento de Scallywag se redujo en un 95%, provocando una caída masiva en los ingresos generados por la red. Muchos de los actores involucrados abandonaron el esquema y comenzaron a buscar nuevas formas de monetización ilícita.

Persistencia de la amenaza y evolución de los actores

A pesar de la desactivación temporal de su ecosistema, los operadores detrás de Scallywag han demostrado una gran capacidad de adaptación. En respuesta a los bloqueos, intentaron evadir la detección utilizando nuevos dominios, redes de redirección abiertas y técnicas para ocultar el referer real del tráfico.

Si bien HUMAN logró identificar y bloquear estos nuevos intentos, se espera que los responsables continúen desarrollando nuevas variantes o incluso trasladen su operación a otras plataformas CMS o métodos de monetización engañosos.

Recomendaciones para protegerse del fraude publicitario

Las empresas del ecosistema publicitario digital, así como administradores de sitios web, deben tomar medidas preventivas para evitar verse involucrados, directa o indirectamente, en esquemas de fraude como Scallywag:

• Auditar regularmente los complementos de WordPress instalados, evitando extensiones de origen dudoso o poco documentado.
• Monitorear el tráfico de red en busca de patrones sospechosos, como tasas de impresión anómalas o visitas desde acortadores de URL poco conocidos.
• Colaborar con plataformas de detección de fraude como HUMAN para implementar soluciones antifraude avanzadas.
• Evitar monetizar sitios con contenido pirata, ya que estos son objetivos prioritarios para esquemas publicitarios fraudulentos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un reciente informe de la firma de ciberseguridad Trustwave SpiderLabs ha revelado un preocupante aumento en la actividad maliciosa proveniente de direcciones IP asociadas con Proton66, un proveedor ruso de alojamiento a prueba de balas. Esta infraestructura, conocida por facilitar operaciones cibercriminales, ha sido vinculada con esfuerzos masivos de escaneo, ataques de fuerza bruta y explotación activa de vulnerabilidades críticas, afectando a organizaciones a nivel mundial desde enero de 2025.

Los bloques de red 45.135.232.0/24 y 45.140.17.0/24 se destacaron por su alta actividad maliciosa. De acuerdo con los investigadores de seguridad Pawel Knapczyk y Dawid Nesterowicz, muchas de las direcciones IP involucradas no habían sido utilizadas previamente o habían permanecido inactivas por más de dos años, lo que sugiere un resurgimiento controlado por actores sofisticados.

Proton66 y su vínculo con redes de cibercrimen

Proton66 opera bajo el sistema autónomo AS58061 y está relacionado con otro sistema denominado PROSPERO. Según la empresa de seguridad francesa Intrinsec, esta infraestructura está fuertemente vinculada a servicios de alojamiento a prueba de balas conocidos como Securehost y BEARHOST, comúnmente publicitados en foros clandestinos rusos.

Estos servicios son atractivos para los ciberdelincuentes debido a su tolerancia hacia actividades ilegales, como el hosting de servidores C2 (comando y control), páginas de phishing, y la distribución de malware. Algunas familias de malware como GootLoader, SpyNote, XWorm, StrelaStealer y WeaXor han utilizado Proton66 para sus campañas.

Explotación de vulnerabilidades críticas

Durante febrero de 2025, se identificaron ataques provenientes de la IP 193.143.1[.]65 de Proton66 que intentaban explotar vulnerabilidades recientemente descubiertas, entre ellas:

• CVE-2025-0108: omisión de autenticación en Palo Alto Networks PAN-OS
• CVE-2024-41713: validación de entrada deficiente en NuPoint MiCollab NPM
• CVE-2024-10914: inyección de comandos en dispositivos D-Link NAS
• CVE-2024-55591 y CVE-2025-24472: fallas de autenticación en Fortinet FortiOS

Estas dos últimas vulnerabilidades fueron utilizadas por un corredor de acceso inicial conocido como Mora_001, que introdujo una nueva variante de ransomware llamada SuperBlack. Esta amenaza cifra los datos de las víctimas y exige un rescate para su recuperación, siguiendo patrones cada vez más comunes en el panorama de ransomware como servicio (RaaS).

Malware y phishing dirigido a dispositivos Android

Otra táctica ampliamente utilizada por los operadores vinculados a Proton66 incluye el uso de sitios WordPress comprometidos para redirigir a usuarios de Android hacia páginas de phishing. En particular, se identificó la IP 91.212.166[.]21 como origen de scripts maliciosos en JavaScript diseñados para engañar a las víctimas y hacerlas descargar aplicaciones APK infectadas.

Estas campañas simulan páginas de Google Play y están dirigidas principalmente a usuarios que hablan francés, español y griego. Los scripts de redirección están cuidadosamente ofuscados y utilizan servicios como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login e You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para detectar el uso de VPNs, proxies y verificar si el dispositivo es Android antes de ejecutar la redirección.

Ingeniería social y ataques dirigidos

Además del malware móvil, Trustwave identificó un ataque dirigido a usuarios de habla coreana, en el que se utilizó un archivo ZIP alojado en Proton66 que implementa XWorm mediante técnicas de ingeniería social. La infección comienza con un archivo LNK que ejecuta una cadena de comandos PowerShell y Visual Basic, culminando con la descarga de un archivo DLL codificado en Base64 que instala el malware.

De forma paralela, los investigadores detectaron una campaña de phishing por correo electrónico contra usuarios de habla alemana. Esta campaña distribuía StrelaStealer, un ladrón de credenciales que se comunica con la IP 193.143.1[.]205, también alojada en la red de Proton66.

En otro hallazgo importante, se observó actividad relacionada con WeaXor, una variante del ransomware Mallox, la cual se comunicaba con el servidor 193.143.1[.]139, fortaleciendo aún más la conexión de Proton66 con amenazas activas.

Recomendaciones de ciberseguridad

Dada la variedad y peligrosidad de las amenazas asociadas a Proton66, los expertos de Trustwave recomiendan a las organizaciones:

• Bloquear todos los rangos CIDR vinculados a Proton66 (como 45.135.232.0/24, 45.140.17.0/24, 193.143.1.0/24).
• Implementar reglas de firewall específicas para denegar tráfico entrante y saliente desde y hacia direcciones IP maliciosas conocidas.
• Monitorear activamente la red en busca de conexiones sospechosas o no autorizadas hacia infraestructura asociada a alojamiento a prueba de balas.
• Actualizar los sistemas y aplicaciones para mitigar la explotación de vulnerabilidades como las CVE mencionadas anteriormente.

También se sugiere prestar atención a posibles vínculos con otros proveedores como Chang Way Technologies, supuestamente relacionado con Hong Kong, cuya infraestructura también ha sido vinculada a estas amenazas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han identificado tres paquetes maliciosos en el registro npm, diseñados para hacerse pasar por una biblioteca legítima de bots de Telegram para Node.js. Estos paquetes, distribuidos en el ecosistema de JavaScript, contienen puertas traseras SSH y funciones de exfiltración de datos, representando una grave amenaza para la seguridad de desarrolladores y sistemas de producción.

Paquetes npm maliciosos detectados

Los paquetes identificados son:

• node-telegram-utils (132 descargas)
• node-telegram-bots-api (82 descargas)
• node-telegram-util (73 descargas)

Según la empresa de seguridad Socket, especializada en proteger la cadena de suministro de software, estos paquetes imitan la biblioteca legítima node-telegram-bot-api, que acumula más de 100,000 descargas semanales. A pesar de su menor alcance, los paquetes fraudulentos todavía están disponibles para su descarga en npm al momento del análisis.

Citar"Aunque las descargas son limitadas, basta con comprometer un único entorno para permitir el acceso no autorizado a servidores de desarrollo o producción", advirtió Kush Pandya, investigador de seguridad en Socket.

Técnicas utilizadas: Starjacking y persistencia en Linux

Los atacantes emplean una técnica conocida como starjacking para simular popularidad y legitimidad. Este método consiste en vincular el paquete malicioso a un repositorio GitHub de una biblioteca auténtica, aprovechando la falta de validación entre el paquete de npm y su fuente en GitHub. Esto engaña a los desarrolladores al hacer que el paquete parezca confiable.

Además, el análisis reveló que los paquetes están específicamente diseñados para funcionar en sistemas Linux. Una vez ejecutados, agregan dos claves SSH al archivo ~/.ssh/authorized_keys, permitiendo a los atacantes un acceso remoto persistente al sistema comprometido.

Los scripts maliciosos también:

• Recopilan el nombre de usuario y la dirección IP externa del sistema mediante ipinfo[.]io.
• Se conectan a un servidor remoto (solana.validator[.]blog) para validar la infección.
• Mantienen el acceso incluso después de eliminar el paquete, ya que las claves SSH insertadas no se eliminan automáticamente.

Otro caso: paquete malicioso @naderabdi/merchant-advcash

La alerta de Socket también incluye un nuevo paquete malicioso denominado @naderabdi/merchant-advcash, el cual simula ser una integración de Volet (antes Advcash) para aceptar pagos con criptomonedas o moneda fiat. Sin embargo, el código contiene una carga útil oculta que establece un shell inverso a un servidor remoto.

A diferencia de otros paquetes que ejecutan código malicioso durante la instalación, este lo hace en tiempo de ejecución, específicamente después de una transacción de pago exitosa. Esta táctica dificulta la detección mediante herramientas automatizadas, ya que el comportamiento malicioso solo se activa en escenarios muy concretos.

Riesgos para la cadena de suministro y medidas de protección

Estos incidentes refuerzan el creciente riesgo de los ataques a la cadena de suministro de software, particularmente en ecosistemas abiertos como npm. El uso de técnicas de evasión avanzadas, persistencia remota y suplantación de bibliotecas populares convierte a estos paquetes en amenazas sofisticadas.

Los desarrolladores deben:

• Verificar manualmente la autenticidad de los paquetes y sus repositorios vinculados.
• Implementar herramientas de análisis estático y detección de malware en dependencias de terceros.
• Monitorear actividades inusuales tras la instalación de nuevos paquetes npm, especialmente aquellos con pocas descargas o actualizados recientemente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El proyecto LXQt continúa avanzando con el lanzamiento de LXQt 2.2, una nueva versión de este entorno de escritorio ligero basado en Qt. Esta actualización refuerza su compatibilidad con Wayland, mejora componentes clave como el gestor de archivos y el terminal, e introduce ajustes importantes en la gestión energética y la estabilidad del sistema.

LXQt 2.2 y su integración con Wayland

La principal novedad de LXQt 2.2 está en su progresiva adaptación al servidor gráfico Wayland, un paso esencial para el futuro de los entornos de escritorio Linux. En esta versión, la gestión de pantallas se moderniza: ahora los monitores se identifican por nombre en lugar de por número, un cambio necesario porque Wayland no reconoce el concepto tradicional de "pantalla principal".

Este ajuste implica que, al iniciar LXQt 2.2 bajo Wayland por primera vez, los elementos del escritorio se reorganizarán automáticamente. Sin embargo, bajo X11, el comportamiento se mantiene como en versiones anteriores.

Además, se mejora la compatibilidad con compositores Wayland modernos. Aunque LXQt utiliza por defecto el compositor de KDE, la compatibilidad se extiende a otros como Sway o Weston, permitiendo una experiencia más flexible y adaptada a distintos entornos.

Mejoras en herramientas clave: PCManFM-Qt y QTerminal

El gestor de archivos PCManFM-Qt recibe varias actualizaciones importantes en LXQt 2.2:

• Soporte para opciones personalizadas de terminal.
• Renombrado masivo con capacidad para reemplazo de cadenas.
• Mejoras en el menú "Abrir con".
• Cambio rápido de vista mediante atajos de teclado.

Por su parte, QTerminal, el emulador de terminal del entorno, incorpora nuevas funciones como:

• Opciones para ocultar el cursor del ratón.
• Activación del parpadeo del cursor de texto.
• Nueva lógica para manejar el cierre de pestañas o ventanas con procesos activos en ejecución.

Estas mejoras refuerzan la usabilidad del entorno, especialmente para usuarios avanzados y administradores que buscan un entorno ligero pero funcional.

Gestión de energía optimizada

Otro punto destacado en LXQt 2.2 es la evolución de su sistema de gestión energética. El módulo LXQt Power Management ahora admite perfiles de energía mediante herramientas como power-profiles-daemon, permitiendo cambiar fácilmente entre perfiles desde el icono de batería en el panel.

Esta integración facilita la gestión del consumo energético en portátiles, mejorando la autonomía sin comprometer el rendimiento.

Otros cambios relevantes en LXQt 2.2

LXQt 2.2 también introduce diversas mejoras menores pero significativas:

• El panel de LXQt optimiza el comportamiento de arrastrar y soltar en el escritorio.
• Se eliminan mensajes de depuración innecesarios, lo que reduce la carga del sistema.
• Se añade una opción para cambiar el color del texto en comandos personalizados del panel.
• LXQt Session mejora la estabilidad al evitar sesiones simultáneas del mismo usuario.
• Se incorpora un nuevo método D-Bus para lanzar aplicaciones mediante atajos de teclado globales, una función especialmente útil en sesiones Wayland.

LXQt 2.2: ligero, estable y en transición hacia el futuro

En resumen, LXQt 2.2 no presenta una revolución, pero sí representa un avance constante en la evolución de este entorno de escritorio ligero, rápido y basado en Qt. Sus mejoras en compatibilidad con Wayland, en herramientas clave y en estabilidad lo consolidan como una excelente opción para equipos modestos o usuarios que priorizan el rendimiento sin renunciar a la funcionalidad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login