La evolución del malware continúa sorprendiendo incluso a los expertos en ciberseguridad. En esta ocasión, una nueva campaña activa desde enero ha puesto en evidencia una técnica particularmente sofisticada: el uso de un plugin malicioso para interceptar códigos sensibles sin necesidad de comprometer directamente dispositivos móviles. El protagonista de esta amenaza es la herramienta RAT conocida como CloudZ RAT, ahora potenciada con un módulo inédito llamado Feno.

CloudZ RAT y el plugin Feno: una combinación peligrosa

Investigadores de Cisco Talos han identificado una nueva variante de CloudZ que incorpora el plugin Feno, diseñado específicamente para secuestrar la funcionalidad de Microsoft Phone Link. Esta aplicación, integrada por defecto en sistemas Windows 10 y Windows 11, permite a los usuarios sincronizar sus dispositivos móviles con el ordenador, facilitando la gestión de llamadas, mensajes SMS y notificaciones.

El problema radica en que esta integración, pensada para mejorar la productividad, se convierte en un vector de ataque altamente efectivo cuando es explotada por actores maliciosos.

Cómo funciona el ataque: interceptación sin comprometer el móvil

El plugin Feno monitoriza activamente las sesiones de Microsoft Phone Link en el sistema comprometido. Una vez detectada actividad, accede a la base de datos local en formato SQLite, donde se almacenan mensajes SMS y notificaciones, incluyendo contraseñas de un solo uso (OTP).

Este enfoque representa un cambio significativo en la estrategia de los atacantes: en lugar de comprometer directamente el dispositivo móvil, atacan el punto de sincronización en el ordenador. Esto permite interceptar códigos sensibles sin activar mecanismos de seguridad en el smartphone, lo que reduce significativamente la probabilidad de detección.

Según Cisco Talos, esta técnica permite a los atacantes capturar:

• Códigos OTP enviados por SMS
• Notificaciones de aplicaciones autenticadoras
• Mensajes sensibles sincronizados con el sistema

En términos prácticos, esto puede derivar en el secuestro de cuentas, especialmente aquellas protegidas únicamente por autenticación en dos factores basada en SMS.

Capacidades avanzadas de CloudZ RAT

Más allá del plugin Feno, CloudZ RAT es una herramienta altamente versátil con múltiples capacidades maliciosas. Entre sus funcionalidades destacan:

• Exfiltración de datos almacenados en navegadores web
• Perfilado completo del sistema comprometido
• Ejecución remota de comandos
• Gestión de archivos (eliminar, descargar, modificar)
• Grabación de pantalla en tiempo real
• Gestión dinámica de plugins
• Terminación del propio proceso para evadir análisis

Además, el malware utiliza técnicas avanzadas de evasión, como la rotación de cadenas de user-agent para simular tráfico legítimo y el uso de cabeceras anti-caché en solicitudes HTTP, dificultando su detección en entornos de red.

Cadena de infección: ingeniería social y evasión avanzada

Aunque el vector de acceso inicial no ha sido completamente identificado, los investigadores descubrieron que la infección comienza con una actualización falsa de ScreenConnect. Este método aprovecha la confianza del usuario para ejecutar un cargador malicioso desarrollado en Rust.

Posteriormente, se despliega un loader basado en .NET que instala CloudZ RAT en el sistema y establece persistencia mediante tareas programadas. Este loader incluye múltiples técnicas anti-análisis, tales como:

• Detección de entornos sandbox mediante retrasos temporales
• Identificación de herramientas como Wireshark, Fiddler, Procmon y Sysmon
• Comprobaciones de ejecución en máquinas virtuales

Estas medidas permiten al malware evadir entornos de análisis automatizados y dificultan la investigación por parte de analistas de seguridad.

Riesgos para empresas y usuarios

El impacto de esta amenaza es significativo, especialmente en entornos corporativos donde Microsoft Phone Link puede estar habilitado por defecto. La capacidad de interceptar OTPs sin comprometer el móvil rompe uno de los pilares tradicionales de la autenticación en dos factores.

Esto pone en riesgo:

• Cuentas corporativas protegidas con MFA basado en SMS
• Accesos a plataformas SaaS críticas
• Información confidencial compartida mediante notificaciones

Además, la combinación de ingeniería social, evasión avanzada y exfiltración silenciosa convierte a CloudZ en una amenaza difícil de detectar y contener.

Recomendaciones de seguridad: cómo mitigar el riesgo

Ante este escenario, los expertos recomiendan adoptar medidas de seguridad más robustas:

1. Evitar OTPs basados en SMS

Los códigos enviados por SMS son vulnerables a interceptación. Es preferible utilizar aplicaciones autenticadoras que generen códigos localmente.

2. Implementar autenticación resistente al phishing

El uso de llaves de seguridad físicas (hardware tokens) ofrece una capa adicional de protección frente a ataques avanzados.

3. Supervisar integraciones de sistema

Las aplicaciones como Microsoft Phone Link deben ser evaluadas en entornos corporativos para determinar si representan un riesgo innecesario.

4. Detectar comportamientos anómalos

El monitoreo continuo de endpoints puede ayudar a identificar accesos inusuales a bases de datos locales o procesos sospechosos.

5. Mantener sistemas actualizados

Aunque en este caso se utilizó una actualización falsa, contar con mecanismos de validación de software reduce la probabilidad de ejecución de código malicioso.

Indicadores de compromiso y defensa proactiva

Cisco Talos ha publicado una lista de indicadores de compromiso (IoCs), incluyendo direcciones IP, dominios maliciosos y hashes de archivos, que pueden ser utilizados por equipos de seguridad para detectar y bloquear esta amenaza.

La implementación de estos indicadores en soluciones SIEM y EDR puede marcar la diferencia entre una intrusión contenida y una brecha de gran escala.

En fin...

La aparición del plugin Feno en CloudZ RAT marca un punto de inflexión en las tácticas de ciberataque. Al explotar aplicaciones legítimas como Microsoft Phone Link, los atacantes logran acceder a información crítica sin levantar sospechas en los dispositivos móviles.

Este caso demuestra que la seguridad ya no puede centrarse únicamente en proteger endpoints individuales. Es necesario adoptar un enfoque integral que contemple todas las interconexiones dentro del ecosistema digital.

La ciberseguridad moderna exige anticipación, visibilidad y una estrategia basada en múltiples capas. De lo contrario, amenazas como CloudZ seguirán encontrando formas innovadoras de comprometer incluso los entornos más protegidos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La reciente brecha de seguridad que involucra a Vimeo y al grupo de ciberdelincuencia ShinyHunters vuelve a poner en el centro del debate la creciente sofisticación de los ataques contra plataformas digitales y servicios SaaS. Este incidente, que expuso los datos personales de más de 119.000 usuarios, representa un caso crítico para comprender los riesgos actuales en materia de ciberseguridad, así como las debilidades en las integraciones de terceros.

Brecha de seguridad en Vimeo: qué ocurrió realmente

En abril, Vimeo confirmó que sufrió un acceso no autorizado a ciertos datos de usuarios tras una vulnerabilidad en Anodot, una empresa especializada en detección de anomalías basada en inteligencia artificial. Este vector de ataque pone de manifiesto una tendencia creciente: los ciberdelincuentes ya no atacan directamente a las grandes plataformas, sino que explotan proveedores externos para infiltrarse en sus sistemas.

Según el comunicado oficial de Vimeo, los datos comprometidos incluían principalmente información técnica, metadatos de videos y, en algunos casos, direcciones de correo electrónico. La compañía fue enfática en aclarar que no se vieron comprometidas credenciales de acceso ni información financiera, lo que reduce el impacto directo en los usuarios desde una perspectiva de fraude financiero.

A pesar de esto, el incidente sigue siendo grave. La filtración de correos electrónicos y nombres puede ser utilizada en campañas de phishing altamente dirigidas, incrementando el riesgo de ataques secundarios.

Filtración masiva en la dark web: presión y extorsión

Tras el descubrimiento de la brecha, ShinyHunters publicó un archivo de aproximadamente 106 GB en la dark web, luego de que Vimeo no accediera a sus demandas de extorsión. Este tipo de tácticas se ha vuelto común en el ecosistema del cibercrimen: primero roban los datos, luego intentan negociar y, si no obtienen respuesta, los filtran públicamente para maximizar el daño reputacional.

El grupo afirmó haber accedido a datos provenientes de instancias de Snowflake y BigQuery mediante tokens de autenticación comprometidos de Anodot. Esta declaración sugiere un ataque complejo, enfocado en explotar credenciales y accesos indirectos dentro de entornos cloud.

Confirmación de datos expuestos: el papel de Have I Been Pwned

El servicio de monitoreo de brechas Have I Been Pwned confirmó que al menos 119.200 registros fueron comprometidos. Entre los datos expuestos se encuentran direcciones de correo electrónico y, en algunos casos, nombres completos.

Este tipo de validación independiente es clave en incidentes de ciberseguridad, ya que permite a los usuarios verificar si su información ha sido comprometida y tomar medidas preventivas, como cambiar contraseñas o activar autenticación multifactor (MFA).

ShinyHunters: una amenaza persistente en el ecosistema digital

El grupo ShinyHunters no es nuevo en el panorama del cibercrimen. En los últimos meses, ha sido vinculado a múltiples ataques de alto perfil, incluyendo organizaciones como:

• Comisión Europea
• Rockstar Games
• McGraw Hill
• Medtronic
• Carnival Corporation
• Zara
• 7-Eleven
• Udemy

Además, han sido asociados con campañas avanzadas de vishing (phishing por voz), dirigidas a empleados de empresas BPO y organizaciones que utilizan soluciones de identidad como Microsoft Entra, Okta y Google SSO.

Ataques a SaaS y SSO: una tendencia en auge

Uno de los aspectos más preocupantes de este incidente es la forma en que los atacantes explotan servicios SaaS conectados. Tras comprometer cuentas SSO, pueden acceder a múltiples plataformas empresariales interconectadas, incluyendo CRM, sistemas de colaboración y almacenamiento en la nube.

Entre los servicios potencialmente afectados en este tipo de ataques se encuentran:

• Salesforce
• SAP
• Slack
• Adobe
• Atlassian
• Zendesk
• Dropbox
• Microsoft 365
• Google Workspace

Esto demuestra que el riesgo ya no está aislado a una sola plataforma, sino que puede propagarse rápidamente dentro de un ecosistema digital completo.

Respuesta de Vimeo: medidas adoptadas

Tras detectar la brecha, Vimeo actuó rápidamente implementando varias medidas de contención:

• Desactivación inmediata de todas las credenciales asociadas a Anodot
• Eliminación de la integración entre Anodot y sus sistemas
• Contratación de expertos externos en ciberseguridad
• Notificación a las autoridades competentes

La compañía también aseguró que sus servicios no sufrieron interrupciones, lo que indica que el ataque fue dirigido específicamente a la exfiltración de datos y no a la interrupción operativa.

Impacto y lecciones clave para empresas

Este incidente deja varias lecciones fundamentales para organizaciones de todos los tamaños:

• Gestión de terceros: Las integraciones con proveedores externos deben ser auditadas constantemente.
• Seguridad en tokens y APIs: El uso indebido de tokens de autenticación puede abrir puertas críticas.
• Modelo Zero Trust: Limitar accesos y verificar continuamente cada interacción es esencial.
• Monitoreo continuo: Detectar anomalías en tiempo real puede prevenir filtraciones masivas.
• Capacitación contra ingeniería social: El vishing sigue siendo una herramienta efectiva para los atacantes.

En fin...

La brecha de seguridad en Vimeo y la posterior filtración por parte de ShinyHunters evidencian la evolución del cibercrimen hacia modelos más sofisticados y estratégicos. La explotación de proveedores externos, el uso de técnicas de extorsión y la focalización en ecosistemas SaaS reflejan un panorama donde la seguridad debe ser integral y proactiva.

Para los usuarios, este incidente subraya la importancia de adoptar buenas prácticas como el uso de contraseñas únicas, gestores de contraseñas y autenticación multifactor. Para las empresas, representa un recordatorio contundente de que la ciberseguridad no es opcional, sino un pilar crítico del negocio digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft continúa fortaleciendo su ecosistema empresarial con nuevas capacidades de administración en Windows 11. En esta ocasión, la compañía ha actualizado su política de eliminación de aplicaciones preinstaladas, introduciendo una lista dinámica que permite a los administradores de TI decidir con mayor precisión qué aplicaciones de la Microsoft Store pueden eliminarse de los dispositivos corporativos.

Esta mejora representa un avance significativo en la gestión de entornos empresariales, donde el control, la seguridad y la optimización del sistema operativo son factores críticos.

Nueva política dinámica: más control para administradores de TI

La política actualizada, denominada RemoveDefaultMicrosoftStorePackages, permite eliminar cualquier aplicación preinstalada basada en paquetes MSIX/APPX, utilizando el identificador técnico conocido como Package Family Name (PFN). Esta funcionalidad puede implementarse a través de herramientas clave como:

• Group Policy Object (Directiva de Grupo)
• Configuración personalizada mediante OMA-URI en soluciones de MDM

Gracias a este enfoque dinámico, los administradores ya no están limitados a una lista fija de aplicaciones. Ahora pueden personalizar completamente qué software permanece en los dispositivos, alineando el entorno con las políticas internas de la organización.

Requisitos para activar la función

Para aprovechar esta nueva capacidad, es necesario cumplir con ciertos requisitos técnicos:

• Tener instalada la actualización no relacionada con seguridad de abril de 2026
• En el caso de los usuarios del programa Insider, contar con compilaciones posteriores al 13 de marzo de 2026 en los canales Dev o Beta
• Ejecutar versiones compatibles como Windows 11 24H2 (Enterprise y Education) o superiores

Este último punto es especialmente relevante, ya que Microsoft ha ampliado el soporte de esta política a versiones anteriores del sistema.

Compatibilidad ampliada: más empresas beneficiadas

Inicialmente, esta política solo estaba disponible en versiones más recientes como Windows 11 25H2. Sin embargo, con esta actualización, Microsoft ha extendido su compatibilidad a dispositivos que ejecutan Windows 11 24H2 en ediciones Enterprise y Education.

Esto significa que las organizaciones que aún no han migrado a versiones más recientes pueden beneficiarse de esta funcionalidad sin necesidad de realizar una actualización completa del sistema operativo. En términos de estrategia IT, esto reduce costos, minimiza riesgos y mejora la adopción de nuevas políticas.

Cómo eliminar aplicaciones preinstaladas paso a paso

Para implementar esta política mediante Directiva de Grupo, los administradores deben seguir un proceso estructurado:

1. Identificar el Package Family Name (PFN)

Utilizando PowerShell, se puede obtener el PFN de la aplicación que se desea eliminar. Por ejemplo:

Get-AppxPackage *Notepad* | Select-Object PackageFamilyName

Este comando devuelve el identificador único del paquete, necesario para su eliminación.

2. Configurar la Directiva de Grupo

Abrir el Editor de Políticas de Grupo (gpedit.msc) y navegar a:

Configuración del equipo > Plantillas administrativas > Componentes de Windows > Despliegue de Paquetes de Aplicaciones

Allí, seleccionar la opción "Eliminar paquetes predeterminados de la Microsoft Store del sistema".

3. Añadir los PFN a la lista dinámica

En el campo "Especificar nombres adicionales de familias de paquetes para eliminar", se deben introducir los PFN, uno por línea. Esto permite definir múltiples aplicaciones a eliminar en una sola política.

Integración con MDM y futuro en Intune

Aunque esta funcionalidad ya está disponible mediante GPO y configuraciones MDM personalizadas, Microsoft ha confirmado que su integración completa con Microsoft Intune aún está en desarrollo.

Actualmente, Intune no incluye soporte para listas dinámicas dentro de esta política, pero se espera que esta capacidad llegue en los próximos meses. Una vez disponible, los administradores podrán gestionar la eliminación de aplicaciones desde una interfaz centralizada, simplificando aún más la administración a gran escala.

Beneficios clave para entornos empresariales

La introducción de listas dinámicas en la política RemoveDefaultMicrosoftStorePackages ofrece múltiples ventajas:

1. Mayor control del entorno

Permite eliminar aplicaciones innecesarias o no autorizadas, reduciendo la superficie de ataque.

2. Optimización del rendimiento

Menos aplicaciones preinstaladas significa menor consumo de recursos y mejor rendimiento general.

3. Cumplimiento normativo

Facilita la alineación con políticas de seguridad y compliance en sectores regulados.

4. Experiencia personalizada

Los dispositivos pueden configurarse según las necesidades específicas de cada organización.

Eliminación de Copilot: más control sobre la IA en Windows

En paralelo a esta actualización, Microsoft también ha introducido una nueva política llamada RemoveMicrosoftCopilotApp, que permite desinstalar el asistente basado en inteligencia artificial en dispositivos empresariales.

Esta funcionalidad se habilita tras instalar las actualizaciones acumulativas del Patch Tuesday de abril de 2026, ofreciendo a las organizaciones mayor control sobre la adopción de herramientas de IA en sus entornos.

Implicaciones estratégicas para TI

Estas mejoras reflejan una tendencia clara: Microsoft está priorizando la flexibilidad y el control empresarial en Windows 11. La posibilidad de gestionar aplicaciones preinstaladas de forma dinámica no solo mejora la eficiencia operativa, sino que también fortalece la postura de seguridad de las organizaciones.

Además, la integración progresiva con herramientas como Intune sugiere un futuro donde la administración de dispositivos será cada vez más centralizada, automatizada y basada en políticas.

En fin...

La actualización de la política RemoveDefaultMicrosoftStorePackages marca un antes y un después en la gestión de aplicaciones en Windows 11. Con la introducción de listas dinámicas, los administradores de TI ahora cuentan con una herramienta poderosa para personalizar, optimizar y asegurar sus entornos corporativos.

En un contexto donde la ciberseguridad y la eficiencia son prioridades clave, este tipo de innovaciones posicionan a Windows 11 como una plataforma cada vez más robusta y adaptable a las necesidades empresariales modernas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha confirmado una de las actualizaciones más interesantes para Windows 11: la llegada de un nuevo diálogo Ejecutar (Run) modernizado, que promete una experiencia más rápida, eficiente y alineada con el diseño actual del sistema. Esta mejora ya está disponible en la versión preliminar Build 26300.8346, marcando un paso clave en la evolución de una de las herramientas más emblemáticas del sistema operativo.

El diálogo Ejecutar: una herramienta clásica que evoluciona

El cuadro de diálogo Ejecutar ha estado presente desde los días de Windows 95, y continúa siendo una pieza fundamental para usuarios avanzados. Su funcionamiento es simple pero poderoso: al presionar Win + R, permite ejecutar comandos, abrir rutas, lanzar herramientas del sistema o acceder rápidamente a configuraciones sin necesidad de navegar por múltiples menús.

A pesar de su simplicidad, esta funcionalidad ha resistido el paso del tiempo gracias a su velocidad y eficiencia. Sin embargo, su interfaz apenas había cambiado en décadas, lo que hacía inevitable una modernización acorde a las tendencias actuales.

Modern Run en Windows 11: diseño actualizado y mayor rendimiento

Con esta nueva implementación, Microsoft introduce un Run moderno que adopta el lenguaje visual de Fluent Design, integrándose perfectamente con la estética de Windows 11. Entre sus principales mejoras destacan:

• Soporte nativo para modo oscuro, una característica ampliamente demandada
• Interfaz más limpia y coherente con el sistema
• Mejor integración visual con el entorno moderno
• Inclusión de iconos en la lista de resultados

Pero el cambio más relevante no es solo visual: también hay una mejora significativa en el rendimiento.

Más rápido que nunca: rendimiento optimizado

Uno de los mayores retos para Microsoft fue mantener —o incluso superar— la velocidad del Run clásico. Y lo logró. Mientras que el diálogo heredado tarda aproximadamente 103 milisegundos en aparecer tras presionar Win + R, el nuevo Run reduce ese tiempo a 94 milisegundos en promedio.

Este avance es especialmente relevante porque contradice la percepción común de que las interfaces modernas suelen ser más lentas. Microsoft confirmó que el rendimiento fue una prioridad absoluta durante el desarrollo, ya que muchos usuarios dependen de esta herramienta para tareas rápidas, como pegar texto desde el portapapeles o ejecutar comandos críticos.

Según la compañía, este logro fue posible gracias a mejoras en toda la plataforma, lo que no solo beneficia al diálogo Ejecutar, sino al sistema operativo en general.

Decisiones basadas en datos: adiós al botón "Explorar"

Para diseñar esta nueva versión, Microsoft analizó el comportamiento de millones de usuarios. Un dato clave reveló que el botón "Explorar", que permitía navegar manualmente por archivos, tenía un uso extremadamente bajo: menos del 0,0038% en una muestra de 35 millones de usuarios.

Como resultado, esta función ha sido eliminada en el nuevo Run. La decisión responde a una filosofía clara: mantener la herramienta ligera, rápida y enfocada en lo que realmente utilizan los usuarios.

Nuevas funciones y mejoras de usabilidad

Además del rediseño y la optimización, el nuevo diálogo Ejecutar incorpora mejoras que elevan su funcionalidad:

• Acceso rápido al directorio personal mediante atajos
• Visualización de iconos para facilitar la identificación de comandos
• Interfaz más intuitiva sin sacrificar simplicidad
• Mejor compatibilidad con flujos de trabajo modernos

Estas mejoras buscan mantener la esencia del Run original, pero adaptarlo a las necesidades actuales.

Cómo activar o desactivar el nuevo Run en Windows 11

Una de las decisiones más acertadas de Microsoft es que esta función será opcional. Es decir, los usuarios pueden elegir entre mantener el diálogo clásico o activar el moderno.

Para habilitarlo, debes seguir estos pasos:

• Abrir Configuración
• Ir a Configuración Avanzada
• Activar la opción Ejecución Moderna (Modern Run)

Esto reemplazará automáticamente la versión heredada. Si no te convence, puedes desactivarlo en cualquier momento.

Otras novedades en Windows 11 Build 26300.8346

Además del nuevo diálogo Ejecutar, esta versión preliminar introduce mejoras adicionales que optimizan la experiencia del usuario:

Mejoras en Windows Share

La interfaz de compartir ahora permite instalar aplicaciones directamente sin necesidad de abrir la tienda. Esto agiliza el flujo de trabajo y mejora la productividad.

Magnifier más avanzado

La herramienta de accesibilidad Magnifier ahora incluye niveles de zoom predefinidos como 5%, 10%, 25%, 50%, 100%, 150%, 200% y 400%, ofreciendo mayor control y precisión.

Canal Experimental

Estas funciones están disponibles actualmente en el canal experimental de Windows 11, lo que indica que aún están en fase de pruebas antes de su lanzamiento general.

Implicaciones para usuarios y productividad

La modernización del diálogo Ejecutar no es solo un cambio estético. Representa una optimización real en la forma en que los usuarios interactúan con el sistema. Para profesionales IT, desarrolladores y usuarios avanzados, esta mejora puede traducirse en:

• Mayor velocidad en tareas repetitivas
• Mejora en la eficiencia operativa
• Experiencia más fluida y coherente
• Integración total con el diseño moderno

Además, demuestra el compromiso de Microsoft por evolucionar incluso las funciones más pequeñas, pero críticas.

En fin...

La llegada del nuevo diálogo Ejecutar en Windows 11 marca un equilibrio perfecto entre tradición e innovación. Microsoft ha logrado modernizar una herramienta clásica sin comprometer su rendimiento, manteniendo su esencia mientras mejora su funcionalidad y diseño.

Este tipo de actualizaciones reflejan una tendencia clara: la optimización de herramientas clave para mejorar la productividad diaria. A medida que Windows 11 continúa evolucionando, es evidente que incluso los elementos más pequeños pueden tener un gran impacto en la experiencia del usuario.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La evolución del ciberespionaje patrocinado por Estados continúa intensificándose, y una reciente investigación ha puesto al descubierto una sofisticada campaña alineada con intereses estratégicos de China. Expertos en ciberseguridad han revelado una operación dirigida a entidades gubernamentales y del sector defensa en Asia —incluyendo el sur, este y sudeste asiático—, así como a un país europeo miembro de la OTAN. Esta actividad demuestra el creciente nivel de sofisticación técnica y coordinación en las amenazas persistentes avanzadas (APT).

SHADOW-EARTH-053: una amenaza persistente en expansión

La investigación, liderada por Trend Micro, atribuye esta campaña a un clúster de amenazas identificado como SHADOW-EARTH-053, activo al menos desde diciembre de 2024. Este grupo presenta solapamientos operativos con otras amenazas previamente documentadas como CL-STA-0049, Earth Alux y REF7707, lo que sugiere una posible infraestructura compartida o vínculos indirectos entre actores.

Los investigadores Daniel Lunghi y Lucas Silva detallan que el grupo explota vulnerabilidades conocidas (N-day) en servicios críticos como Microsoft Exchange e Internet Information Services. Entre las técnicas utilizadas destaca la explotación de la cadena de vulnerabilidades conocida como ProxyLogon, ampliamente utilizada en campañas APT en los últimos años.

Cadena de ataque: explotación, persistencia y control total

El vector inicial de intrusión se basa en la explotación de sistemas expuestos a internet que no han sido parcheados. Una vez dentro, los atacantes despliegan web shells como Godzilla, herramientas que permiten ejecutar comandos de forma remota y mantener acceso persistente sin levantar sospechas.

Posteriormente, los actores avanzan hacia la implantación de malware más sofisticado como ShadowPad, una backdoor ampliamente utilizada en operaciones de ciberespionaje vinculadas a China. Este implante se introduce mediante técnicas de carga lateral de DLL, aprovechando ejecutables legítimos firmados para evadir soluciones de seguridad.

Además, se ha documentado el uso de herramientas de acceso remoto como AnyDesk para facilitar el control de los sistemas comprometidos.

Expansión geográfica y objetivos estratégicos

Los países afectados incluyen Pakistán, Tailandia, Malasia, India, Myanmar, Sri Lanka y Taiwán. En Europa, el único país identificado es Polonia, lo que subraya el interés en objetivos estratégicos dentro de la OTAN.

Trend Micro también identificó una superposición significativa con otro clúster denominado SHADOW-EARTH-054, especialmente en países como Malasia, Sri Lanka y Myanmar, aunque sin evidencia concluyente de coordinación directa.

Herramientas ofensivas y técnicas avanzadas

El arsenal técnico de SHADOW-EARTH-053 incluye múltiples herramientas diseñadas para evasión, movimiento lateral y escalada de privilegios:

• Mimikatz para robo de credenciales
• Sharp-SMBExec para ejecución remota mediante SMB
• Lanzadores personalizados de Remote Desktop Protocol
• Herramientas de tunelización como IOX, GOST y Wstunnel
• RingQ para empaquetado y evasión

En un caso destacado, los atacantes explotaron la vulnerabilidad React2Shell (CVE-2025-55182), facilitando la distribución de Noodle RAT (también conocido como ANGRYREBEL). Esta actividad fue previamente vinculada por el Google Threat Intelligence Group al grupo UNC6595.

Recomendaciones críticas de seguridad

Trend Micro enfatiza que el principal vector de entrada sigue siendo la explotación de vulnerabilidades en aplicaciones web expuestas, especialmente en entornos IIS. Por ello, recomienda:

• Aplicar parches de seguridad de forma inmediata
• Implementar soluciones IPS y WAF con reglas específicas
• Monitorizar गतिविधades sospechosas en servidores críticos
• Restringir accesos remotos innecesarios

En escenarios donde el parcheo inmediato no sea viable, el uso de "parcheo virtual" mediante WAF puede mitigar significativamente el riesgo.

GLITTER CARP y SEQUIN CARP: espionaje dirigido a periodistas y activistas

En paralelo, el laboratorio de investigación Citizen Lab ha revelado campañas de phishing dirigidas a periodistas, activistas y organizaciones de la sociedad civil. Estas operaciones, atribuidas a actores afiliados a China, han sido denominadas GLITTER CARP y SEQUIN CARP.

GLITTER CARP ha atacado al Consorcio Internacional de Periodistas de Investigación, mientras que SEQUIN CARP ha centrado sus esfuerzos en periodistas como Scilla Alecci.

Tácticas de phishing e ingeniería social

Estas campañas utilizan sofisticadas técnicas de suplantación digital, incluyendo:

• Correos electrónicos que imitan a contactos conocidos
• Alertas falsas de seguridad tecnológica
• Páginas de phishing para robar credenciales
• Solicitudes de acceso mediante tokens OAuth

Además, GLITTER CARP emplea píxeles de seguimiento 1x1 para confirmar la apertura de correos y recolectar información del dispositivo de la víctima.

Infraestructura compartida y solapamiento de actores

Citizen Lab identificó el uso simultáneo de kits de phishing como AITT y la entrega de malware HealthKick, lo que sugiere una infraestructura compartida entre múltiples grupos. También se han observado vínculos con campañas previamente documentadas por Proofpoint bajo los nombres UNK_SparkyCarp y UNK_DualTone.

Estas operaciones han afectado a sectores académicos, legales, políticos y tecnológicos en regiones como Estados Unidos, Europa y Taiwán.

Implicaciones geopolíticas y ciberseguridad global

El análisis conjunto de estas campañas revela una tendencia preocupante: la consolidación de redes distribuidas de actores que operan en nombre de intereses estatales. La amplitud de los objetivos —desde gobiernos hasta periodistas— refleja prioridades estratégicas alineadas con inteligencia nacional.

Citizen Lab concluye que existe una probabilidad moderada de que estas actividades estén siendo ejecutadas por contratistas comerciales al servicio del Estado chino, una práctica cada vez más común en operaciones de ciberespionaje.

En fin...

Las campañas SHADOW-EARTH-053, GLITTER CARP y SEQUIN CARP representan una nueva generación de amenazas híbridas que combinan explotación técnica avanzada con ingeniería social altamente dirigida. El uso de vulnerabilidades conocidas, herramientas legítimas y técnicas de evasión sofisticadas demuestra que los actores estatales continúan refinando sus capacidades ofensivas.

Para las organizaciones, la clave está en adoptar una postura de seguridad proactiva, basada en inteligencia de amenazas, parcheo continuo y monitoreo avanzado. En un entorno donde el ciberespionaje es cada vez más frecuente, la resiliencia digital se convierte en un pilar estratégico.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La reciente identificación de una operación cibercriminal altamente sofisticada, vinculada a actores en Vietnam, vuelve a poner en evidencia la evolución constante del phishing y el abuso de plataformas legítimas para evadir controles de seguridad. Esta campaña, bautizada como AccountDumpling por la empresa de ciberseguridad Guardio, destaca por utilizar hojas de aplicaciones de Google AppSheet como un "relé de phishing", permitiendo distribuir correos electrónicos maliciosos con una apariencia legítima y alta tasa de éxito.

AccountDumpling: una operación de phishing a gran escala

Según el análisis compartido con The Hacker News, esta campaña no se limita a un simple kit de phishing. Se trata de una infraestructura criminal compleja, con paneles de control en tiempo real, mecanismos avanzados de evasión y un modelo de negocio completamente estructurado. El investigador Shaked Chen describe esta operación como un ecosistema "vivo", capaz de adaptarse, evolucionar y monetizar continuamente las cuentas comprometidas.

Se estima que más de 30.000 cuentas de Facebook han sido hackeadas como parte de esta campaña, afectando principalmente a usuarios de Meta con perfiles empresariales o activos publicitarios. Estas cuentas son posteriormente revendidas en mercados clandestinos, generando beneficios económicos significativos para los atacantes.

Cómo funciona el ataque: ingeniería social y abuso de plataformas confiables

El vector inicial de ataque es un correo electrónico de phishing dirigido a administradores de cuentas de Facebook Business. Estos mensajes simulan provenir del soporte oficial de Meta, alertando sobre una supuesta infracción que podría resultar en la eliminación permanente de la cuenta.

Lo más preocupante es que los correos se envían desde direcciones legítimas como "[email protected]
", lo que les permite evadir filtros de spam tradicionales. Esta técnica aprovecha la reputación de plataformas confiables como Google para aumentar la credibilidad del ataque.

Una vez que la víctima interactúa con el mensaje, es redirigida a una página fraudulenta diseñada para capturar credenciales de acceso. Estas páginas imitan con precisión los portales oficiales de Meta, generando una falsa sensación de urgencia que impulsa a los usuarios a actuar sin verificar la autenticidad.

Tácticas avanzadas: múltiples señuelos y exfiltración de datos

En las últimas semanas, los atacantes han diversificado sus estrategias utilizando diferentes tipos de señuelos psicológicos, todos centrados en generar "pánico relacionado con Meta". Entre los más comunes se encuentran:

• Alertas de desactivación de cuentas
• Reclamos por derechos de autor
• Solicitudes de verificación de identidad
• Notificaciones de accesos sospechosos
• Ofertas laborales falsas

Guardio identificó cuatro principales grupos de ataque dentro de esta campaña:

1. Páginas falsas alojadas en Netlify

Estas páginas simulan centros de ayuda de Facebook y permiten el robo de datos sensibles como fechas de nacimiento, números telefónicos e identificaciones oficiales. La información es enviada a canales controlados por los atacantes en Telegram.

2. Señuelos de verificación (insignia azul)

Las víctimas son dirigidas a páginas falsas de "Security Check" que incluyen CAPTCHA fraudulentos. Posteriormente, se les solicita ingresar credenciales, datos empresariales y códigos de autenticación de dos factores (2FA), que son interceptados por los atacantes.

3. PDFs maliciosos alojados en Google Drive

Estos documentos, creados con cuentas gratuitas de Canva, contienen instrucciones falsas para verificar cuentas. Solicitan información altamente sensible, incluyendo contraseñas, códigos 2FA y documentos de identidad. Incluso utilizan herramientas como html2canvas para capturar datos directamente del navegador.

4. Ofertas de empleo fraudulentas

Los atacantes se hacen pasar por empresas reconocidas como WhatsApp, Adobe, Apple o Coca-Cola para generar confianza. Posteriormente, redirigen a las víctimas a plataformas controladas para continuar el engaño.

Infraestructura criminal y monetización

Uno de los aspectos más alarmantes de AccountDumpling es su modelo de negocio. Los datos robados no solo se utilizan para acceder a cuentas, sino que también alimentan un mercado negro donde se comercian activos digitales como:

• Cuentas publicitarias verificadas
• Identidades empresariales
• Historiales de campañas
• Accesos privilegiados

Los canales de Telegram vinculados a esta operación almacenaban cerca de 30.000 registros de víctimas, muchas de las cuales fueron completamente bloqueadas de sus propias cuentas.

Evidencia y atribución: rastros hacia Vietnam

La atribución de esta campaña a actores vietnamitas se sustenta en múltiples evidencias. Entre ellas, destacan los metadatos encontrados en documentos PDF generados con Canva, que identifican a un usuario llamado "PHẠM TÀI TÂN". Investigaciones adicionales revelaron la existencia de un sitio web asociado que ofrece servicios de marketing digital, lo que sugiere una conexión directa entre actividades legítimas y operaciones ilícitas.

Implicaciones para la ciberseguridad

Este caso refleja una tendencia creciente en el panorama de amenazas: el uso de plataformas legítimas como vectores de ataque. Servicios como Google AppSheet, Netlify o Google Drive están siendo reutilizados como capas de entrega, alojamiento y monetización, dificultando la detección por parte de soluciones tradicionales.

Además, pone en evidencia la profesionalización del cibercrimen, donde los atacantes operan como verdaderas empresas, con estructuras organizadas, atención al "cliente" y ciclos de monetización bien definidos.

Recomendaciones para protegerse

Para mitigar el riesgo de caer en este tipo de ataques, se recomienda:

• Verificar siempre la autenticidad de los correos electrónicos
• No hacer clic en enlaces sospechosos
• Activar autenticación multifactor (MFA)
• Revisar la URL antes de ingresar credenciales
• Utilizar soluciones de seguridad avanzadas

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El panorama de amenazas en ciberseguridad continúa evolucionando hacia modelos cada vez más sofisticados, silenciosos y difíciles de detectar. Recientemente, investigadores han identificado dos grupos de ciberdelincuencia que están redefiniendo la forma en que se ejecutan los ataques: operaciones rápidas, precisas y casi invisibles que se desarrollan directamente dentro de entornos SaaS corporativos.

Nuevos grupos de hackers ejecutan ataques rápidos dentro de entornos SaaS

Los clústeres identificados como Cordial Spider y Snarky Spider están detrás de campañas de robo de datos y extorsión altamente efectivas. También conocidos por múltiples alias como BlackFile, UNC6671 o UNC6661, estos actores han estado activos al menos desde octubre de 2025, mostrando un alto nivel de coordinación y similitud operativa.

Según investigaciones de CrowdStrike, ambos grupos ejecutan "ataques rápidos y de alto impacto" que aprovechan la confianza inherente en plataformas SaaS para operar sin levantar sospechas. Esta estrategia reduce significativamente su huella digital y complica la detección por parte de los equipos de seguridad.

Vishing y phishing AiTM: la puerta de entrada

El principal vector de ataque utilizado por estos grupos es el phishing por voz (vishing). A través de llamadas telefónicas, los atacantes se hacen pasar por personal de soporte técnico para engañar a las víctimas y redirigirlas a páginas maliciosas.

Estas páginas utilizan técnicas de adversario en el medio (AiTM) con temática de inicio de sesión único (SSO), permitiendo capturar credenciales de acceso y códigos de autenticación multifactor (MFA). Una vez obtenida esta información, los atacantes acceden directamente a aplicaciones SaaS integradas con SSO.

Este enfoque elimina la necesidad de comprometer múltiples sistemas individuales, ya que una sola sesión autenticada puede abrir la puerta a todo el ecosistema digital de la organización.

Ataques sin malware: el uso de técnicas Living off the Land

Una de las características más peligrosas de estas campañas es el uso de técnicas conocidas como Living off the Land (LotL). En lugar de introducir malware tradicional, los atacantes utilizan herramientas y funcionalidades legítimas del sistema para ejecutar sus acciones.

Esto incluye el uso de proxies residenciales para ocultar su ubicación real y evadir sistemas de detección basados en reputación de direcciones IP. Además, manipulan configuraciones internas de las plataformas SaaS para mantener el acceso y evitar alertas de seguridad.

Investigaciones de Palo Alto Networks y el grupo RH-ISAC han vinculado estas actividades con el ecosistema criminal conocido como The Com, lo que refuerza la hipótesis de una red organizada y altamente especializada.

Compromiso de cuentas y evasión de MFA

Una vez dentro del sistema, los atacantes implementan tácticas avanzadas para asegurar la persistencia. Entre ellas destacan:

• Registro de nuevos dispositivos autorizados para evitar controles MFA
• Eliminación de dispositivos previamente registrados
• Creación de reglas en bandejas de entrada para suprimir alertas de seguridad
• Eliminación automática de correos relacionados con accesos sospechosos

Estas acciones permiten a los ciberdelincuentes mantener el control de las cuentas comprometidas sin que los usuarios o administradores detecten actividad inusual.

Movimiento lateral en entornos SaaS

Tras asegurar el acceso inicial, los atacantes realizan reconocimiento interno mediante la extracción de directorios de empleados. Esto les permite identificar cuentas con privilegios elevados y escalar su nivel de acceso.

Posteriormente, se mueven lateralmente dentro del entorno SaaS, accediendo a plataformas críticas como:

• Google Workspace
• Microsoft SharePoint
• Salesforce
• HubSpot

El objetivo final es identificar y exfiltrar datos sensibles, incluyendo documentos estratégicos, informes financieros y bases de datos de clientes.

Extorsión y robo de datos: objetivo final

Los datos robados son transferidos a infraestructuras controladas por los atacantes, donde pueden ser utilizados para extorsión, venta en mercados clandestinos o ataques posteriores.

Según Mandiant, estas tácticas guardan similitudes con campañas del grupo ShinyHunters, conocido por ataques de alto perfil y filtraciones masivas de datos.

La velocidad de ejecución es uno de los factores clave: en muchos casos, los atacantes logran comprometer sistemas y exfiltrar información en cuestión de horas.

Desafíos para la detección y respuesta

El uso exclusivo de entornos SaaS representa un desafío significativo para los equipos de seguridad. Al operar dentro de plataformas legítimas, los atacantes evitan activar alertas tradicionales basadas en comportamiento anómalo o presencia de malware.

Además, la dependencia de sistemas SSO y proveedores de identidad (IdP) centraliza el acceso, convirtiéndolos en objetivos críticos. Una vez comprometido el IdP, los atacantes pueden acceder a múltiples servicios sin necesidad de autenticarse nuevamente.

Recomendaciones para mitigar estos ataques

Ante esta nueva ola de amenazas, las organizaciones deben adoptar un enfoque proactivo en su estrategia de ciberseguridad:

• Implementar autenticación resistente al phishing, como FIDO2 o llaves de seguridad físicas
• Monitorear accesos a IdP y aplicaciones SaaS en tiempo real
• Restringir el registro de nuevos dispositivos sin validación adicional
• Auditar reglas de correo electrónico para detectar manipulaciones
• Capacitar al personal para identificar intentos de vishing y phishing

Asimismo, es fundamental aplicar principios de Zero Trust, limitando el acceso a recursos según el contexto y nivel de riesgo.

En fin...

Los grupos Cordial Spider y Snarky Spider representan una evolución significativa en el panorama de amenazas, demostrando que los ataques modernos no requieren malware para ser efectivos. Su capacidad para operar dentro de entornos SaaS, aprovechar relaciones de confianza y ejecutar acciones rápidas los convierte en adversarios altamente peligrosos.

La defensa frente a estas amenazas exige una combinación de tecnología avanzada, vigilancia constante y concienciación del usuario. En un entorno digital cada vez más interconectado, proteger la identidad y el acceso se ha convertido en la primera línea de defensa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La cadena de suministro de software vuelve a estar en el punto de mira de la ciberseguridad global. Investigadores han detectado una sofisticada campaña maliciosa que utiliza paquetes "durmientes" para infiltrarse en entornos de desarrollo, comprometer sistemas y robar información crítica sin levantar sospechas iniciales.

Ataque a la cadena de suministro: paquetes maliciosos en Ruby y Go ponen en riesgo a desarrolladores

Una nueva campaña de ciberataques ha sido atribuida a la cuenta maliciosa de GitHub identificada como "BufferZoneCorp". Este actor ha publicado múltiples repositorios que contenían gemas Ruby y módulos en Go diseñados para comprometer sistemas durante su instalación y ejecución.

Según el análisis del investigador Kirill Boychenko, esta operación forma parte de un ataque coordinado a la cadena de suministro de software dirigido específicamente a desarrolladores, entornos de integración continua (CI) y sistemas de construcción automatizados.

Aunque los paquetes ya han sido eliminados de plataformas como RubyGems y bloqueados en Go, el riesgo persiste para quienes los descargaron previamente.

Paquetes durmientes: una técnica avanzada de evasión

Uno de los aspectos más preocupantes de esta campaña es el uso de paquetes "durmientes". Este enfoque consiste en publicar bibliotecas aparentemente legítimas que permanecen inactivas durante un tiempo, ganando confianza y evitando la detección inicial. Posteriormente, se actualizan con cargas maliciosas que se activan en entornos reales.

Entre las gemas Ruby identificadas se encuentran:

• nudo-activosupport-logger
• nodo-devesa-jwt-ayudante
• nodo-rails-assets-pipeline
• knot-rspec-formatter-json
• knot-date-utils-rb (durmiente)
• nudo-simple-formador (durmiente)

En el ecosistema Go, los módulos maliciosos incluían repositorios como:

• go-metrics-sdk
• go-weather-sdk
• go-retryablehttp
• grpc-client
• config-loader
• log-core (durmiente)
• go-envconfig (durmiente)

Estos paquetes imitaban bibliotecas populares como activesupport-logger, devise-jwt o grpc-client, con el objetivo de engañar a los desarrolladores y facilitar su adopción.

Robo de credenciales y exfiltración de datos sensibles

Las gemas Ruby maliciosas estaban diseñadas para ejecutar código durante el proceso de instalación, lo que les permitía recolectar información sensible directamente del entorno del desarrollador. Entre los datos comprometidos se incluyen:

• Variables de entorno
• Claves SSH
• Credenciales de AWS
• Archivos .npmrc y .netrc
• Configuración de la CLI de GitHub
• Credenciales de RubyGems

Una vez recopilados, estos datos eran exfiltrados a servidores controlados por los atacantes mediante endpoints remotos tipo webhook, facilitando el acceso no autorizado a infraestructuras críticas.

Manipulación de GitHub Actions y persistencia mediante SSH

Por su parte, los módulos en Go presentaban capacidades más avanzadas, orientadas a comprometer flujos de trabajo automatizados. Estas bibliotecas maliciosas podían:

• Interceptar ejecuciones en pipelines de CI/CD
• Manipular variables de entorno como GITHUB_ENV y GITHUB_PATH
• Configurar proxies HTTP/HTTPS para redirigir tráfico
• Insertar ejecutables falsos que suplantan comandos legítimos

Uno de los mecanismos más sofisticados consistía en la creación de un binario falso de Go que se colocaba en la ruta de ejecución antes que el original. Este "wrapper" permitía interceptar comandos sin interrumpir el flujo de trabajo, lo que dificultaba su detección.

Además, los módulos añadían una clave pública SSH codificada en el archivo ~/.ssh/authorized_keys, otorgando a los atacantes acceso persistente a los sistemas comprometidos.

Impacto en la seguridad de la cadena de suministro

Este tipo de ataques representa una amenaza crítica para la seguridad del desarrollo de software. Al comprometer dependencias externas, los atacantes pueden infiltrarse en múltiples proyectos simultáneamente, afectando a organizaciones enteras sin necesidad de vulnerar directamente sus sistemas.

El uso de plataformas como GitHub Actions amplifica el impacto, ya que permite ejecutar código malicioso en entornos automatizados con acceso a credenciales sensibles y recursos internos.

Recomendaciones de seguridad para mitigar el riesgo

Ante este escenario, los expertos recomiendan adoptar medidas inmediatas para proteger los entornos de desarrollo:

• Eliminar paquetes comprometidos: Desinstalar cualquier dependencia sospechosa relacionada con BufferZoneCorp.
• Rotar credenciales: Cambiar claves SSH, tokens de acceso y credenciales expuestas.
• Auditar archivos críticos: Revisar modificaciones en ~/.ssh/authorized_keys y otros archivos sensibles.
• Monitorear tráfico de red: Identificar conexiones HTTPS salientes hacia endpoints desconocidos.
• Verificar integridad de dependencias: Utilizar herramientas de análisis de seguridad para detectar paquetes maliciosos.

Además, es fundamental implementar políticas de seguridad en la cadena de suministro, como el uso de repositorios privados, validación de firmas digitales y revisión manual de dependencias críticas.

Tendencia creciente en ciberataques a desarrolladores

Los ataques a la cadena de suministro han aumentado significativamente en los últimos años, convirtiéndose en una de las principales preocupaciones en ciberseguridad. Los ciberdelincuentes buscan explotar la confianza en bibliotecas de terceros para infiltrarse en sistemas de alto valor.

Casos como este demuestran que incluso los entornos de desarrollo, tradicionalmente considerados seguros, pueden ser vectores de ataque si no se implementan controles adecuados.

En fin...

La campaña atribuida a BufferZoneCorp evidencia un nivel elevado de sofisticación en ataques dirigidos a desarrolladores y entornos CI/CD. El uso de paquetes durmientes, técnicas de evasión y mecanismos de persistencia avanzada pone de manifiesto la necesidad urgente de reforzar la seguridad en la cadena de suministro de software.

Las organizaciones deben adoptar un enfoque proactivo, combinando herramientas de análisis, buenas prácticas de desarrollo seguro y concienciación del personal técnico para mitigar riesgos y proteger sus activos digitales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El fenómeno del swatting continúa consolidándose como una de las formas más peligrosas de acoso digital en la actualidad, combinando ciberdelincuencia, manipulación de servicios de emergencia y riesgos reales para la vida de las víctimas. En este contexto, la reciente condena de un ciudadano rumano marca un precedente clave en la lucha internacional contra este tipo de delitos.

Condenan a líder de red de swatting por ataques contra funcionarios y periodistas

Un ciudadano rumano identificado como Thomasz Szabo ha sido condenado a cuatro años de prisión federal en Estados Unidos tras liderar una red de swatting que atacó a más de 75 funcionarios públicos, periodistas y múltiples instituciones religiosas. La sentencia también incluye tres años de libertad supervisada, tras haberse declarado culpable en junio de 2025 de conspiración y amenazas con explosivos.

Szabo, de 27 años, fue extraditado desde Rumanía en noviembre de 2024 para enfrentar cargos en territorio estadounidense, lo que evidencia el creciente nivel de cooperación internacional en materia de ciberseguridad y delitos digitales.

¿Qué es el swatting y por qué es tan peligroso?

El swatting es una táctica criminal que consiste en realizar llamadas falsas a los servicios de emergencia reportando incidentes graves —como tiroteos o amenazas de bomba— en la dirección de una víctima. El objetivo es provocar el despliegue de unidades policiales armadas, generando una situación de alto riesgo.

Este tipo de ataques no solo representa acoso, sino que puede derivar en consecuencias fatales. La respuesta de equipos tácticos ante amenazas potencialmente letales incrementa la probabilidad de errores, poniendo en peligro tanto a las víctimas como a los agentes del orden.

Operación criminal: una red organizada y altamente activa

De acuerdo con documentos judiciales, Szabo operaba bajo múltiples alias en línea, incluyendo "Jonah", "Plank", "Cypher" y "War Lord", entre otros. Desde finales de 2020, lideró una comunidad digital que ejecutaba ataques coordinados de swatting y amenazas de bomba.

El propio Szabo participó activamente en estas acciones. En diciembre de 2020, realizó una amenaza falsa de tiroteo masivo en sinagogas de Nueva York. Posteriormente, en enero de 2021, amenazó con detonar explosivos en el Capitolio de Estados Unidos y asesinar al entonces presidente electo Joe Biden.

Estas acciones no solo generaron pánico, sino que movilizaron recursos críticos de seguridad nacional, afectando la capacidad de respuesta ante emergencias reales.

Alcance de los ataques: funcionarios, instituciones y periodistas

La red liderada por Szabo tuvo un impacto significativo. Entre diciembre de 2023 y principios de 2024, se registró una ola de ataques que afectó a:

• Al menos 25 miembros del Congreso de Estados Unidos o sus familiares
• Seis altos funcionarios del poder ejecutivo
• 13 agentes federales de alto rango
• Miembros del poder judicial federal
• 27 funcionarios estatales
• Cuatro instituciones religiosas

Además, periodistas también fueron blanco de estas campañas, lo que evidencia un intento de intimidación hacia figuras públicas y medios de comunicación.

Uno de los miembros del grupo incluso afirmó haber realizado más de 25 llamadas de swatting en un solo día, generando un gasto estimado de más de 500.000 dólares en recursos públicos en apenas 48 horas.

Impacto económico y operativo del swatting

El swatting no solo pone en riesgo vidas humanas, sino que también representa un enorme coste para el Estado. Cada despliegue policial implica movilización de personal, equipos tácticos, vehículos y coordinación interinstitucional.

Según declaraciones del FBI, los ataques liderados por Szabo provocaron un drenaje significativo de recursos policiales y fondos públicos. Este tipo de פעילות criminal desvía la atención de emergencias reales, comprometiendo la seguridad general de la población.

El agente especial Michael Burgwald destacó que la sentencia busca enviar un mensaje claro: el swatting no es una broma, sino un delito grave con consecuencias legales severas.

Red internacional y cómplices implicados

El caso también involucra a otros actores. Nemanja Radovanovic, de 23 años, fue acusado en agosto de 2024 por su participación en el mismo esquema criminal y enfrenta procesos judiciales separados.

La existencia de múltiples implicados demuestra que el swatting suele operar como una actividad organizada, facilitada por comunidades en línea donde se comparten técnicas, objetivos y resultados.

Cooperación internacional contra el cibercrimen

La extradición de Szabo desde Rumanía subraya la importancia de la colaboración entre países para combatir delitos digitales. Las autoridades estadounidenses han intensificado sus esfuerzos para perseguir a ciberdelincuentes más allá de sus fronteras, especialmente en casos que afectan la seguridad nacional.

Este tipo de cooperación es fundamental en un entorno donde las amenazas digitales no reconocen límites geográficos.

Concienciación y prevención: claves para combatir el swatting

El aumento de incidentes de swatting ha llevado a las autoridades a reforzar las campañas de concienciación. Es fundamental que tanto ciudadanos como instituciones comprendan los riesgos asociados y adopten medidas preventivas, como:

• Protección de datos personales en línea
• Monitoreo de actividad sospechosa
• Coordinación con fuerzas del orden para identificar posibles amenazas

Asimismo, las plataformas digitales deben asumir un rol activo en la detección y eliminación de comunidades que promueven este tipo de գործունե delictiva.

En fin...

La condena de Thomasz Szabo representa un hito en la lucha contra el swatting y envía un mensaje contundente a quienes consideran este tipo de acciones como simples bromas. La realidad es que se trata de un delito grave con implicaciones legales, económicas y humanas significativas.

A medida que la ciberdelincuencia evoluciona, también deben hacerlo las estrategias de defensa y cooperación internacional. Solo mediante un enfoque integral será posible mitigar los riesgos y proteger a la sociedad frente a amenazas cada vez más sofisticadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha corregido un error crítico que afectaba a la visualización de advertencias de seguridad en archivos de Escritorio Remoto (.rdp), un componente ampliamente utilizado en entornos empresariales. Este fallo, que impactaba directamente la experiencia del usuario y la seguridad operativa, ha sido solucionado mediante una actualización acumulativa opcional, reforzando así la estrategia de protección frente a amenazas emergentes como el phishing avanzado.

Microsoft corrige error en advertencias de seguridad de archivos RDP en Windows

El problema detectado provocaba que los cuadros de diálogo de advertencia de seguridad asociados a conexiones de Escritorio Remoto se mostraran de forma incorrecta en sistemas con múltiples monitores y configuraciones de escalado diferentes. Este comportamiento afectaba a varias versiones del sistema operativo de Microsoft, incluyendo Windows 11 (KB5083768 y KB5083769), Windows 10 (KB5082200) y Windows Server (KB5082063).

La incidencia fue abordada en la actualización acumulativa opcional KB5083631 preview para Windows 11, lanzada recientemente, la cual incluyó además más de 30 mejoras y correcciones adicionales. Según el fabricante, el fallo se originaba tras la instalación de las actualizaciones de seguridad de abril de 2026, generando una renderización defectuosa de los cuadros de advertencia en escenarios con múltiples pantallas.

Impacto del fallo: riesgos en usabilidad y seguridad

El error no era meramente visual. En los sistemas afectados, los botones dentro de las ventanas de advertencia aparecían desalineados o parcialmente ocultos, mientras que el texto resultaba difícil de leer. Esto dificultaba, e incluso impedía, que los usuarios interactuaran correctamente con el diálogo de seguridad antes de establecer una conexión remota.
Este tipo de fallos puede tener implicaciones importantes en la ciberseguridad empresarial. Las advertencias de seguridad cumplen un rol clave al informar al usuario sobre posibles riesgos antes de establecer conexiones remotas, especialmente en entornos donde el uso de archivos .rdp es frecuente.

Archivos RDP: funcionalidad y vector de ataque

Los archivos de Escritorio Remoto (.rdp) son ampliamente utilizados en organizaciones para facilitar el acceso remoto a sistemas. Estos archivos permiten preconfigurar parámetros como la redirección de recursos locales (discos, portapapeles, impresoras o dispositivos USB), optimizando la experiencia del usuario.
Sin embargo, esta misma funcionalidad los convierte en un objetivo atractivo para los ciberdelincuentes. En los últimos años, los archivos RDP han sido utilizados como vector de ataque en campañas de phishing sofisticadas. Grupos de ciberespionaje como APT29 han explotado estos archivos para robar credenciales y exfiltrar información sensible de forma remota.

Nuevas medidas de seguridad implementadas por Microsoft

Para mitigar estos riesgos, Microsoft introdujo en abril de 2026 nuevas advertencias de seguridad en los sistemas Windows. Estas medidas incluyen:


Aviso educativo inicial: Al abrir un archivo RDP por primera vez tras la actualización, el sistema muestra una advertencia informativa sobre los riesgos asociados.

Diálogo de seguridad previo a la conexión: Antes de establecer cualquier conexión, se presenta un cuadro detallado que incluye:

• Identidad del editor del archivo
• Dirección del sistema remoto
• Recursos locales que serán redirigidos

Opciones desactivadas por defecto: Todas las redirecciones de recursos vienen deshabilitadas inicialmente para minimizar riesgos.

Cuando un archivo RDP no está firmado digitalmente, el sistema muestra una advertencia destacada indicando "Precaución: Conexión remota desconocida". En cambio, si el archivo está firmado, se solicita al usuario verificar su legitimidad antes de proceder.
Estas medidas buscan reforzar la seguridad en un contexto donde los ataques de ingeniería social y phishing continúan evolucionando.

Problemas adicionales detectados tras actualizaciones de abril

Además del fallo en las advertencias RDP, algunos usuarios han reportado que la actualización de seguridad KB5083769 genera problemas en aplicaciones de respaldo de terceros. Específicamente, se han observado fallos relacionados con el servicio VSS (Volume Shadow Copy Service), provocando tiempos de espera que afectan la ejecución de copias de seguridad en sistemas Windows 11 versiones 24H2 y 25H2.

Este tipo de incompatibilidades puede impactar la continuidad operativa de las organizaciones, especialmente aquellas que dependen de soluciones de backup automatizadas.

Respuesta de Microsoft ante fallos recientes

En respuesta a estos incidentes, Microsoft también lanzó actualizaciones fuera de banda (OOB) el mes anterior para solucionar problemas críticos en Windows Server. Estos incluían bucles de reinicio y fallos en la instalación de actualizaciones, lo que evidencia la complejidad del ecosistema Windows y la necesidad de mantener una gestión constante de parches.

Importancia de mantener sistemas actualizados

Este caso pone de manifiesto la importancia de aplicar actualizaciones de seguridad de forma oportuna, pero también de evaluar su impacto en entornos productivos. Las organizaciones deben implementar estrategias de gestión de parches que incluyan pruebas previas, monitoreo continuo y planes de contingencia.
Asimismo, es fundamental capacitar a los usuarios sobre los riesgos asociados al uso de conexiones remotas y archivos RDP, especialmente en contextos donde el teletrabajo y la administración remota son habituales.

En fin...

La corrección del error en las advertencias de seguridad de archivos RDP por parte de Microsoft representa un paso importante en la protección de los usuarios frente a amenazas cada vez más sofisticadas. No obstante, también pone en evidencia los desafíos asociados a la implementación de nuevas medidas de seguridad en sistemas complejos.
Las empresas deben mantenerse alertas, adoptar buenas prácticas de ciberseguridad y garantizar que sus sistemas estén correctamente actualizados para minimizar riesgos y proteger sus activos digitales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han revelado detalles de un marco de puerta trasera sigiloso basado en Python llamado DEEP#DOOR, que cuenta con capacidades para establecer acceso persistente y recolectar una amplia gama de información sensible de hosts comprometidos.

"La cadena de intrusiones comienza con la ejecución de un script por lotes ('install_obf.bat') que desactiva los controles de seguridad de Windows, extrae dinámicamente una carga útil Python embebida ('svc.py') y establece persistencia a través de múltiples mecanismos, incluyendo scripts de carpeta de arranque, claves de ejecución del registro, tareas programadas y suscripciones opcionales a WMI", dijeron los investigadores de Securonix Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un informe compartido con The Hacker News.

Se evalúa que el script por lotes se distribuye mediante métodos tradicionales como el phishing. Actualmente no se sabe cuán extendidos son los ataques que distribuyen el malware, ni si alguna de esas infecciones ha tenido éxito.

Lo que hace que la cadena de ataques sea notable es que el implante central de Python está incrustado directamente dentro del script dropper, desde donde se extrae, reconstruye y ejecuta. Esto reduce la necesidad de tener que contactar repetidamente con infraestructuras externas y minimiza la huella forense.

Una vez lanzado, el malware establece comunicación con "bore[.]pub", un servicio de túneles basado en Rust, que permite al operador emitir órdenes que facilitan la ejecución remota de comandos y una vigilancia extensa. Esto incluye:

• Carcasa inversa
• Reconocimiento de sistemas
• Registro de teclas
• Monitorización con portapapeles
• Captura de pantalla
• Acceso por webcam
• Grabación de audio ambiental
• Recolección de credenciales en navegadores web
• Extracción de claves SSH
• Credenciales almacenadas en Google Chrome, Mozilla Firefox y Windows Credential Manager
• Robo de credenciales en la nube (Amazon Web Services, Google Cloud y Microsoft Azure)

El uso del servicio público de túnel TCP para comandos y control (C2) ofrece varias ventajas, ya que elimina la necesidad de configurar infraestructura dedicada, mezcla tráfico malicioso y evita incrustar detalles del servidor dentro de la carga útil.

Paralelamente, DEEP#DOOR incorpora una serie de mecanismos antianálisis y evasión de defensa, como la detección de sandbox, depurador y máquinas virtuales (VM), parches AMSI y Event Tracing for Windows (ETW), desconexión NTDLL, manipulación de Microsoft Defender, bypass SmartScreen, supresión de registros PowerShell, borrado por línea de comandos, pisoteo de marcas de tiempo y limpieza de logs, para pasar desapercibidos y complicar los esfuerzos de respuesta a incidentes.

También emplea múltiples mecanismos de persistencia que implican crear scripts de carpeta de inicio de Windows, claves de Ejecución del Registro y tareas programadas, además de depender de un mecanismo de vigilancia para asegurarse de que los artefactos de persistencia no se hayan eliminado y, de ser así, recrearlos automáticamente, dificultando la remediación.

"El implante resultante funciona como un Troyano de Acceso Remoto (RAT) completo capaz de persistencia, espionaje, movimiento lateral y operaciones posteriores a la explotación a largo plazo en entornos comprometidos", dijo Securonix. "El implante prioriza evadir la detección y la visibilidad forense manipulando directamente los mecanismos de seguridad y telemetría de Windows."

"DEEP#DOOR destaca la evolución continua de los actores amenazantes hacia marcos de intrusión, sin archivos y guiados por scripts, que dependen en gran medida de componentes nativos del sistema y lenguajes interpretados como Python. Al incrustar la carga útil directamente en el dropper y extraerla en tiempo de ejecución, el malware reduce significativamente las dependencias externas y limita las oportunidades tradicionales de detección."

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad de máxima gravedad ha sido identificada y corregida en la herramienta Gemini CLI, desarrollada por Google, que podría haber permitido a atacantes ejecutar comandos arbitrarios en sistemas anfitriones.

El fallo, detectado por la firma de ciberseguridad Novee Security, afecta tanto al paquete npm @google/gemini-cli como al flujo de trabajo google-github-actions/run-gemini-cli en GitHub Actions, y ha sido calificado con una puntuación CVSS de 10.0, el nivel más crítico posible.

¿En qué consiste la vulnerabilidad?

La vulnerabilidad permitía a un atacante externo sin privilegios inyectar configuraciones maliciosas dentro del entorno de ejecución de Gemini CLI. Esto desencadenaba la ejecución de comandos directamente en el sistema anfitrión, incluso antes de que se inicializara el sandbox de seguridad.

El problema radicaba en una confianza implícita en directorios de trabajo, especialmente en entornos CI/CD donde el código puede provenir de fuentes no confiables, como pull requests públicos.

CitarSegún Novee Security:

"El fallo permitía forzar la carga de contenido malicioso como configuración Gemini, habilitando ejecución de comandos sin restricciones."

Versiones afectadas

Las siguientes versiones de Gemini CLI estaban expuestas:

• @google/gemini-cli < 0.39.1
• @google/gemini-cli < 0.40.0-preview.3
• google-github-actions/run-gemini-cli < 0.1.22

La ausencia de identificador CVE no reduce su impacto, ya que la puntuación CVSS 10.0 refleja un riesgo crítico en entornos productivos.

Causa raíz: confianza automática en entornos no seguros

En versiones anteriores, Gemini CLI en modo headless (sin interfaz gráfica) confiaba automáticamente en los directorios del workspace para cargar archivos de configuración y variables de entorno.

Esto implicaba que:

• Cualquier archivo en la carpeta .gemini/ podía ser ejecutado
• No existía validación ni consentimiento del usuario
• Se omitía el sandbox de seguridad

Un atacante podía aprovechar este comportamiento colocando archivos maliciosos en repositorios públicos, transformando pipelines CI/CD en vectores de ataque a la cadena de suministro.

Impacto: ejecución remota de código en entornos CI/CD

El impacto principal de esta vulnerabilidad es la posibilidad de Remote Code Execution (RCE) en sistemas que ejecutan flujos automatizados.

Escenarios de riesgo incluyen:

• Revisión automática de pull requests en GitHub
• Pipelines CI/CD que procesan código de terceros
• Automatización de pruebas con IA
• Integración de agentes autónomos

Esto convierte a herramientas como GitHub Actions en posibles puertas de entrada para ataques avanzados.

Solución implementada por Google

Google ha corregido la vulnerabilidad introduciendo un mecanismo de confianza explícita en directorios.

Ahora, los usuarios deben definir manualmente qué entornos son seguros antes de permitir la carga de configuraciones.

Recomendaciones oficiales

1. Para entornos confiables:

GEMINI_TRUST_WORKSPACE=true

2. Para entornos no confiables:

• Revisar configuraciones manualmente
• Limitar ejecución de comandos
• Endurecer pipelines CI/CD

Riesgo adicional: modo "--yolo" y ejecución automática

Otro vector crítico identificado es el uso del modo --yolo en Gemini CLI, que permite ejecutar comandos sin confirmación del usuario.

En versiones anteriores:

• Ignoraba listas de permisos
• Ejecutaba comandos como run_shell_command automáticamente
• Era vulnerable a inyección de prompts maliciosos

La actualización introduce controles más estrictos sobre la lista de herramientas permitidas, reduciendo el riesgo de ejecución no autorizada.

Vulnerabilidad en Cursor IDE: ejecución de código mediante repositorios maliciosos

En paralelo, Novee Security también reveló una vulnerabilidad crítica en Cursor IDE, identificada como CVE-2026-26268 (CVSS 8.1).

¿Cómo funciona el ataque en Cursor?

El exploit aprovecha una interacción entre agentes de IA y el sistema de control de versiones Git.

 Cadena de ataque:

• El usuario clona un repositorio malicioso desde GitHub
• El repositorio contiene un .git anidado con hooks maliciosos
• El usuario abre el proyecto en Cursor IDE
• Solicita una acción inocente (ej. "explicar el código")
• El agente ejecuta git checkout automáticamente
• Se activa el hook malicioso → ejecución de código

Problema estructural: agentes autónomos + Git hooks

• Según Assaf Levkovich:
• "El problema no es un bug directo, sino la interacción entre IA autónoma y funcionalidades legítimas de Git."

Esto demuestra cómo los agentes inteligentes pueden convertirse en vectores de ataque cuando interactúan con sistemas tradicionales sin controles adicionales.

CursorJacking: robo de credenciales y acceso no autorizado

Otra vulnerabilidad crítica, denominada CursorJacking, descubierta por LayerX, permite a extensiones acceder a datos sensibles almacenados localmente.

Impacto:

• Exposición de claves API
• Robo de tokens de sesión
• Acceso no autorizado a servicios backend
• Riesgo financiero

CitarSegún Roy Paz:

"Cursor no aplica controles de acceso entre extensiones y datos sensibles."

Recomendaciones de seguridad

Para mitigar estos riesgos:

• Actualizar Gemini CLI a versiones seguras
• Revisar pipelines CI/CD
• Evitar ejecutar código no confiable
• Instalar solo extensiones verificadas
• Auditar repositorios antes de abrirlos en IDEs con IA

La nueva superficie de ataque en la era de la IA

Estas vulnerabilidades reflejan un cambio crítico en el panorama de ciberseguridad: la integración de IA en herramientas de desarrollo introduce nuevas superficies de ataque.

Tanto Gemini CLI como Cursor IDE evidencian cómo la automatización puede ser explotada si no se implementan controles estrictos.

Las organizaciones deben adaptar sus estrategias de seguridad para proteger entornos CI/CD, pipelines automatizados y herramientas impulsadas por IA.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una grave amenaza de seguridad ha sido descubierta en el popular plugin de WordPress Quick Page/Post Redirect Plugin, utilizado en más de 70.000 sitios web. Según un reciente análisis, este complemento habría incluido una puerta trasera (backdoor) durante años, permitiendo la inyección de código arbitrario y comprometiendo la integridad de miles de páginas.

El hallazgo ha generado preocupación en la comunidad de ciberseguridad, especialmente por el impacto potencial en SEO, integridad de datos y control total del sitio.

Descubrimiento del malware: cómo se detectó la amenaza

El problema fue identificado por Austin Ginder, fundador del proveedor de hosting WordPress Anchor Hosting. El investigador detectó actividad sospechosa tras recibir alertas de seguridad en 12 sitios web comprometidos dentro de su infraestructura.

Tras un análisis profundo, se descubrió que el plugin estaba ejecutando comportamientos no autorizados, vinculados a un mecanismo oculto de actualización remota.

¿Qué hace el plugin afectado?

El plugin Quick Page/Post Redirect es ampliamente utilizado en WordPress para:

• Crear redirecciones personalizadas
• Gestionar URLs de páginas y publicaciones
• Optimizar la navegación y SEO técnico

Su funcionalidad aparentemente inocente lo convirtió en un vector ideal para ocultar actividad maliciosa sin levantar sospechas.

El origen del ataque: un autoactualizador malicioso

Las versiones 5.2.1 y 5.2.2, publicadas entre 2020 y 2021, incluían un mecanismo oculto de actualización automática que no dependía del repositorio oficial de WordPress.

Este sistema se conectaba a un dominio externo (anadnet[.]com), desde donde podía descargar y ejecutar código arbitrario sin supervisión.

 Punto crítico: este comportamiento permitía a un atacante tomar control total del sitio web afectado.

En febrero de 2021, este mecanismo fue eliminado en versiones posteriores del plugin en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, pero no antes de causar un impacto significativo.

Distribución de una versión manipulada

Según la investigación, en marzo de 2021, los sitios que utilizaban las versiones vulnerables recibieron de forma silenciosa una actualización maliciosa (versión 5.2.3) desde el servidor externo.

Esta versión contenía una puerta trasera pasiva, diseñada para:

• Activarse únicamente para usuarios no autenticados
• Evitar ser detectada por administradores
• Inyectar contenido dinámico en el sitio

Además, el archivo distribuido tenía un hash distinto al de la versión oficial, lo que confirma su manipulación.

SEO comprometido: el verdadero objetivo del ataque

El ataque no solo buscaba acceso al sistema, sino también explotar el posicionamiento web de los sitios infectados.

El malware utilizaba la técnica conocida como SEO parasitario, permitiendo a terceros:

• Insertar contenido oculto optimizado para buscadores
• Manipular rankings en Google
• Aprovechar la autoridad del dominio comprometido

CitarSegún Austin Ginder:

"El plugin alquilaba el ranking de Google en decenas de miles de sitios web."

Este tipo de ataque puede dañar gravemente la reputación del sitio, provocar penalizaciones en buscadores e incluso incluir enlaces maliciosos sin conocimiento del propietario.

Riesgo persistente: una amenaza aún latente

Aunque actualmente el servidor de comando y control no responde, el dominio sigue activo, y el mecanismo de actualización malicioso permanece en instalaciones antiguas del plugin.

Esto significa que:

• El ataque podría reactivarse en cualquier momento
• Los sitios siguen siendo vulnerables
• Existe riesgo de ejecución remota de código

Además, el plugin ha sido retirado temporalmente del repositorio oficial de WordPress, lo que indica la gravedad de la situación.

Medidas de mitigación y solución

Para proteger tu sitio web, se recomienda actuar de inmediato:

Acciones críticas

• Desinstalar el plugin afectado inmediatamente
• Verificar integridad de archivos del sitio
• Escanear el sistema en busca de código malicioso
• Revisar contenido SEO sospechoso

Solución recomendada

Instalar una versión limpia (5.2.4 o superior) desde el repositorio oficial de WordPress cuando esté disponible nuevamente.

Impacto en entornos empresariales y hosting

El incidente resalta un problema crítico en la cadena de suministro de software, especialmente en plataformas como WordPress, donde plugins de terceros pueden introducir vulnerabilidades graves.

Los entornos más afectados incluyen:

• Sitios corporativos con alto tráfico
• Plataformas de comercio electrónico
• Redes multisite
• Proveedores de hosting compartido

Seguridad en WordPress no es opcional

Este caso demuestra que incluso plugins populares y aparentemente confiables pueden convertirse en vectores de ataque avanzados.

La combinación de:

• Actualizaciones externas no verificadas
• Puertas traseras ocultas
• Manipulación SEO

convierte este incidente en una de las amenazas más relevantes en el ecosistema WordPress en los últimos años.

La recomendación es clara: implementar políticas estrictas de seguridad, auditorías periódicas y monitoreo continuo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva vulnerabilidad crítica de seguridad en el kernel de Linux, identificada como CVE-2026-31431 y apodada "Copy Fail", ha encendido las alarmas en la comunidad de ciberseguridad. Este fallo permite a un atacante local sin privilegios obtener acceso root de forma fiable, afectando a sistemas Linux desplegados desde 2017.

El exploit ya es público, lo que incrementa significativamente el riesgo de explotación en entornos productivos, especialmente en infraestructuras multiusuario, contenedores y entornos cloud.

¿Qué es la vulnerabilidad Copy Fail (CVE-2026-31431)?

La vulnerabilidad CVE-2026-31431 fue descubierta por la empresa de seguridad ofensiva Theory utilizando su plataforma automatizada de pentesting impulsada por IA, denominada Xint Code.

El fallo reside en un error lógico en la implementación criptográfica del kernel de Linux, específicamente en el subsistema que maneja operaciones de autenticación. Este bug permite a un usuario autenticado realizar una escritura controlada de 4 bytes en la caché de página de cualquier archivo legible del sistema.

Aunque puede parecer limitado, este comportamiento abre la puerta a una escalada de privilegios completa.

¿Cómo funciona el exploit?

El ataque combina dos componentes clave del sistema Linux:

• La interfaz de sockets criptográficos AF_ALG, que permite acceder a funciones criptográficas del kernel desde el espacio de usuario.
• La llamada al sistema splice(), utilizada para mover datos entre descriptores de archivos sin copiar datos entre buffers.

Al explotar esta interacción, un atacante puede escribir datos arbitrarios en la caché de páginas del sistema en lugar de hacerlo en un buffer convencional.

Si esta escritura de 4 bytes impacta sobre un binario con permisos setuid root, puede modificar su comportamiento al ejecutarse, resultando en la obtención de privilegios de superusuario.

Origen del fallo: optimización introducida en 2017

El origen de la vulnerabilidad se remonta a una optimización introducida en el kernel de Linux en 2017 (versión 4.14). Esta modificación permitió reutilizar buffers en operaciones criptográficas "in situ", eliminando la separación estricta entre entrada y salida.

Aunque mejoró el rendimiento, esta decisión introdujo una debilidad estructural que permaneció sin detectar durante años.

Impacto: exploit 100% fiable en múltiples distribuciones

Los investigadores de Theory desarrollaron un exploit funcional en Python de apenas 732 bytes, el cual ha demostrado ser:

• 100% fiable
• Portable entre distribuciones
• Altamente explotable

El exploit fue probado con éxito en:

• Ubuntu 24.04 LTS
• Amazon Linux 2023
• RHEL 10.1
• SUSE Linux 16

Sin embargo, según los investigadores, el alcance real es mucho mayor, afectando a todas las distribuciones Linux basadas en kernels vulnerables desde 2017 hasta 2026.

Comparación con Dirty Pipe

La vulnerabilidad Copy Fail ha sido comparada con la conocida vulnerabilidad Dirty Pipe, pero presenta ventajas preocupantes desde el punto de vista del atacante:

• Mayor fiabilidad (casi 100% de éxito)
• Mayor portabilidad (funciona en más versiones de kernel)
• Menor dependencia de configuraciones específicas

A diferencia de Dirty Pipe, que requería versiones específicas del kernel, Copy Fail cubre una ventana de casi una década.

Parches y estado de mitigación

La vulnerabilidad fue reportada el 23 de marzo y corregida rápidamente el 1 de abril mediante la reversión del comportamiento criptográfico vulnerable.

Las versiones corregidas del kernel incluyen:

• 6.18.22
• 6.19.12
• 7.0

Aunque varias distribuciones ya están implementando parches, el analista de vulnerabilidades Will Dormann ha señalado la falta de avisos oficiales en algunos casos, lo que podría retrasar la adopción de medidas por parte de administradores.

Medidas de mitigación temporales

Para sistemas que aún no han recibido actualizaciones, se recomienda aplicar mitigaciones inmediatas desactivando la interfaz vulnerable:

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead

Estas acciones evitan la creación de sockets AF_ALG, bloqueando el vector de ataque.

Entornos en mayor riesgo

Los investigadores destacan que ciertos entornos deben ser priorizados en la aplicación de parches:

• Sistemas multi-inquilino
• Clústeres Kubernetes
• Infraestructura de contenedores
• Runners de CI/CD
• Plataformas SaaS en la nube

En estos escenarios, un atacante podría escalar privilegios desde un contenedor o usuario limitado hacia control total del sistema.

Una amenaza crítica que exige acción inmediata

La vulnerabilidad Copy Fail (CVE-2026-31431) representa una de las fallas más peligrosas en el kernel de Linux en los últimos años. Su facilidad de explotación, alta fiabilidad y amplio alcance la convierten en un riesgo crítico para organizaciones de todos los tamaños.

Dado que el exploit ya es público, el tiempo de respuesta es clave. Aplicar parches del kernel y medidas de mitigación debe ser una prioridad absoluta para evitar compromisos graves.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han revelado una vulnerabilidad crítica que afecta a LeRobot, la plataforma robótica de código abierto impulsada por Hugging Face. El fallo, identificado como CVE-2026-25874, presenta una puntuación CVSS de 9,3, lo que lo posiciona como una amenaza de alta gravedad capaz de permitir ejecución remota de código (RCE) sin autenticación.

Este descubrimiento pone en evidencia los riesgos asociados al desarrollo acelerado de soluciones basadas en inteligencia artificial y robótica, especialmente cuando la seguridad no se prioriza desde las primeras etapas.

¿Qué es LeRobot y por qué es relevante?

LeRobot es una plataforma de código abierto diseñada para facilitar el desarrollo de sistemas robóticos inteligentes, integrando modelos de IA, control de hardware y procesos de inferencia en tiempo real. Con miles de estrellas en GitHub, se ha convertido en una herramienta popular para investigación, prototipado y desarrollo experimental.

Sin embargo, su creciente adopción en entornos más cercanos a producción ha expuesto debilidades críticas que podrían ser explotadas por atacantes.

Detalles técnicos de la vulnerabilidad CVE-2026-25874

El fallo radica en una deserialización insegura de datos no confiables, provocada por el uso del formato pickle en componentes clave del sistema.

Específicamente:

• Se utiliza pickle.loads() para procesar datos recibidos
• Las comunicaciones se realizan mediante gRPC
• No existe autenticación ni cifrado TLS
• Los datos provienen de fuentes potencialmente controladas por atacantes

Esto permite que un atacante remoto envíe cargas maliciosas diseñadas para ejecutar código arbitrario en el sistema objetivo.

Componentes afectados

El problema se origina principalmente en el componente PolicyServer, encargado de gestionar la inferencia asíncrona dentro del sistema. Este servicio:

• Escucha conexiones de red
• Procesa datos serializados
• Ejecuta instrucciones relacionadas con modelos de IA

Debido a su diseño, cualquier actor con acceso al puerto correspondiente puede explotar la vulnerabilidad sin necesidad de autenticación.

Impacto de la explotación

El impacto potencial de esta vulnerabilidad es extremadamente amplio, especialmente en entornos donde LeRobot opera con privilegios elevados. Un ataque exitoso podría permitir:

• Ejecución remota de código sin autenticación
• Compromiso total del servidor afectado
• Control sobre robots conectados
• Robo de datos sensibles (claves API, credenciales SSH, modelos)
• Movimiento lateral dentro de la red
• Sabotaje de operaciones o corrupción de modelos
• Riesgos físicos en entornos robóticos reales

Este último punto es especialmente crítico, ya que conecta la ciberseguridad con la seguridad física, algo cada vez más relevante en sistemas industriales y automatizados.

Estado actual: vulnerabilidad sin parche

El investigador Valentin Lobstein validó la vulnerabilidad en la versión 0.4.3 de LeRobot, confirmando su explotación en entornos reales.

Actualmente:

• No existe parche oficial disponible
• Se espera una corrección en la versión 0.6.0
• El fallo fue reportado previamente por otro investigador independiente

El equipo de desarrollo ha reconocido que el problema se debe a limitaciones en el diseño original del sistema, el cual fue concebido principalmente para investigación.

El riesgo del uso de pickle en entornos de producción

El caso de LeRobot vuelve a poner sobre la mesa los riesgos del uso de pickle en aplicaciones críticas. Este formato de serialización:

• No es seguro para datos no confiables
• Permite ejecución de código durante la deserialización
• Es ampliamente conocido por su potencial de explotación

Paradójicamente, Hugging Face desarrolló alternativas más seguras como Safetensors, diseñadas precisamente para evitar este tipo de vulnerabilidades en entornos de machine learning.

¿Por qué es una amenaza crítica?

Esta vulnerabilidad es especialmente peligrosa por varias razones:

1. No requiere autenticación

Cualquier atacante con acceso a la red puede explotarla.

2. Afecta sistemas de alto valor

Los entornos de IA suelen manejar datos sensibles y recursos costosos.

3. Permite control total del sistema

Desde ejecución de comandos hasta robo de información.

4. Impacto en múltiples capas

Desde software hasta hardware (robots físicos).

Recomendaciones de mitigación

Hasta que se publique un parche oficial, se recomienda aplicar medidas urgentes:

1. Restringir acceso de red

Limitar el acceso al PolicyServer mediante firewalls o segmentación.

2. Implementar TLS

Asegurar las comunicaciones para evitar interceptación y manipulación.

3. Evitar uso de pickle

Sustituirlo por formatos seguros como JSON o Safetensors.

4. Monitorear actividad sospechosa

Detectar intentos de explotación o comportamiento anómalo.

5. Ejecutar en entornos aislados

Utilizar contenedores o sandboxing para reducir impacto.

Implicaciones para el futuro de la robótica y la IA

Este incidente refleja un problema más amplio: la velocidad de innovación en inteligencia artificial y robótica está superando las prácticas de seguridad tradicionales.

A medida que estas tecnologías se integran en entornos críticos:

• La superficie de ataque aumenta
• Los riesgos se extienden al mundo físico
• La seguridad debe ser una prioridad desde el diseño

En fin...

La vulnerabilidad en LeRobot es un claro recordatorio de que incluso los proyectos más innovadores pueden presentar fallos críticos si la seguridad no se integra desde el inicio. Con un CVSS de 9,3 y capacidad de ejecución remota de código, este fallo representa una amenaza seria para organizaciones que utilizan esta plataforma.

La recomendación es clara: actuar de inmediato para mitigar riesgos y prepararse para aplicar el parche en cuanto esté disponible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva amenaza en el panorama de la ciberseguridad está generando preocupación entre expertos y empresas: VECT 2.0, una operación de ransomware que en realidad funciona más como un borrador de datos irreversible. Investigadores de Check Point Software Technologies han advertido que este malware presenta un fallo crítico en su implementación de cifrado que impide la recuperación de archivos, incluso si las víctimas pagan el rescate.

Este hallazgo cambia por completo las reglas del juego en ataques de ransomware, donde tradicionalmente el pago ofrecía —aunque no garantizaba— la posibilidad de recuperar la información.

¿Qué es VECT 2.0 y cómo opera?

VECT 2.0 es un esquema de Ransomware-as-a-Service (RaaS) que emergió a finales de 2025, permitiendo a afiliados lanzar ataques a cambio de una tarifa inicial relativamente baja. El modelo sigue la tendencia de "industrialización del cibercrimen", donde actores con pocos conocimientos técnicos pueden ejecutar campañas sofisticadas.

El grupo promueve un modelo de triple extorsión basado en:

• Exfiltración de datos
• Cifrado de archivos
• Amenazas de filtración

Además, exige una tarifa de entrada pagada en Monero, lo que refuerza el anonimato de sus operadores.

El fallo crítico: cuando el ransomware destruye en lugar de cifrar

El problema más grave de VECT 2.0 radica en su implementación defectuosa del cifrado. Aunque afirma utilizar algoritmos modernos como ChaCha20-Poly1305, los investigadores han descubierto que en realidad emplea una versión incorrecta y sin mecanismos de integridad.

El resultado es devastador:

• Archivos mayores a 131 KB (la mayoría de los datos empresariales)
• Son parcialmente procesados
• Pero los elementos necesarios para descifrarlos se eliminan
• Lo que provoca pérdida permanente e irreversible

En términos prácticos, esto significa que no existe posibilidad de recuperación, ni siquiera para los propios atacantes.

¿Por qué no se pueden recuperar los datos?

El malware divide los archivos grandes en bloques y genera múltiples valores criptográficos (nonces). Sin embargo, solo guarda uno de ellos, mientras que los otros son descartados durante el proceso.

Dado que el algoritmo requiere todos los elementos para reconstruir los datos:

• El 75% del archivo queda inutilizable
• No hay forma técnica de descifrarlo
• No existe herramienta de recuperación posible

Esto convierte a VECT 2.0 en algo más cercano a un wiper (destructor de datos) que a un ransomware tradicional.

Implicaciones para empresas y CISOs

Este comportamiento tiene implicaciones críticas para responsables de seguridad:

• Pagar el rescate no sirve de nada
• No existe descifrador funcional
• La información se pierde desde el momento del ataque

Como advierten expertos, el enfoque debe cambiar radicalmente:

• Priorizar la resiliencia
• Implementar copias de seguridad offline
• Ejecutar planes de recuperación probados
• Mejorar la detección temprana
• Expansión del ecosistema criminal

VECT 2.0 no opera de forma aislada. Ha establecido alianzas con plataformas como BreachForums y el grupo TeamPCP, facilitando el acceso a datos robados y reduciendo la barrera de entrada para nuevos atacantes.

Este tipo de colaboración marca una evolución preocupante:

• Integración entre robo de credenciales
• Distribución en cadena de suministro
• Automatización de ataques

El resultado es un modelo de cibercrimen altamente escalable y peligroso.

Capacidades técnicas del malware

Las variantes de VECT 2.0 afectan múltiples plataformas:

• Windows: incluye evasión contra herramientas de seguridad, persistencia en modo seguro y movimiento lateral.
• Linux y ESXi: comparten base de código y funcionalidades, incluyendo propagación mediante SSH.

En sistemas Windows, el malware puede:

• Reiniciar en modo seguro para evadir defensas
• Modificar el registro para persistencia
• Atacar múltiples tipos de almacenamiento

Sin embargo, presenta inconsistencias técnicas que sugieren falta de madurez en su desarrollo.

Geovallado y comportamiento inusual

Una característica llamativa es su sistema de geovallado, que evita ejecutarse en países de la Comunidad de Estados Independientes (CEI), incluyendo Ucrania.

Este comportamiento es inusual en el ransomware moderno y podría indicar:

• Uso de código antiguo
• Desarrollo asistido por inteligencia artificial
• Falta de coherencia en el diseño

¿Actores novatos detrás de VECT 2.0?

A pesar de su presentación sofisticada, expertos consideran que los operadores de VECT 2.0 podrían ser actores relativamente inexpertos. Las fallas en el cifrado y errores de implementación sugieren:

• Desarrollo apresurado
• Posible uso de código reutilizado
• Intervención de herramientas de IA en la creación

Esto refuerza una tendencia preocupante: la democratización del cibercrimen mediante tecnologías accesibles.

Recomendaciones de seguridad ante VECT 2.0

Para protegerse frente a este tipo de amenazas, las organizaciones deben adoptar un enfoque preventivo:

1. Copias de seguridad offline

Evita depender de sistemas conectados que puedan ser comprometidos.

2. Segmentación de red

Limita la propagación lateral del malware.

3. Actualización constante

Mantén sistemas y aplicaciones al día.

4. Monitoreo continuo

Detecta comportamientos anómalos en tiempo real.

5. Capacitación del personal

Reduce el riesgo de ataques iniciales como phishing.

En fin...

VECT 2.0 representa una evolución peligrosa en el ecosistema del ransomware. Aunque se presenta como una herramienta de extorsión, en realidad actúa como un destructor irreversible de datos, eliminando cualquier posibilidad de recuperación.

Este caso demuestra que el paradigma de "pagar para recuperar" está quedando obsoleto. En el entorno actual, la única defensa efectiva es la prevención, resiliencia y preparación ante incidentes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una reciente interrupción global en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el servicio de correo electrónico de Microsoft, ha generado un impacto significativo en millones de usuarios alrededor del mundo. Tras resolver el incidente, la compañía ha emitido una recomendación crítica: los usuarios de iPhone deben volver a introducir manualmente sus credenciales para recuperar el acceso a sus cuentas de Outlook y Hotmail mediante la aplicación Mail predeterminada.

Este evento pone nuevamente en el foco la estabilidad de los servicios en la nube y la importancia de una correcta gestión de autenticación en plataformas críticas como el correo electrónico.

¿Qué ocurrió con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login?

Microsoft confirmó que el incidente comenzó con problemas intermitentes de inicio de sesión, los cuales impedían a los usuarios acceder a sus buzones. A medida que avanzaba la falla, algunos usuarios reportaron:

• Cierres de sesión inesperados
• Errores de autenticación
• Mensajes de "demasiadas solicitudes"
• Fallos de sincronización

Estos síntomas son típicos de problemas en sistemas de autenticación o en la gestión de sesiones, lo que sugiere un fallo en los servicios backend de la plataforma.

La compañía atribuyó inicialmente el problema a un "cambio introducido recientemente", sin proporcionar detalles técnicos adicionales. Este tipo de cambios suele estar relacionado con actualizaciones de infraestructura, seguridad o ajustes en sistemas de validación de identidad.

Duración e impacto del incidente

La interrupción tuvo una duración aproximada de 10 horas, desde los primeros reportes hasta su mitigación completa. Aunque Microsoft no especificó cuántos usuarios fueron afectados ni las regiones impactadas, el alcance fue claramente global.

El incidente fue clasificado como una "degradación del servicio", lo que significa que:

• El sistema no dejó de funcionar completamente
• Hubo afectación parcial en la experiencia del usuario
• Algunos usuarios pudieron acceder sin problemas mientras otros no

Este tipo de eventos son comunes en infraestructuras cloud complejas, donde múltiples servicios distribuidos pueden fallar de forma parcial.

Impacto específico en usuarios de iPhone

Uno de los puntos más relevantes fue el impacto en dispositivos de Apple, especialmente aquellos que utilizan la aplicación Mail en iOS.

Tras la recuperación del servicio, Microsoft indicó que los usuarios de iPhone deben reintroducir sus credenciales manualmente, ya que los tokens de autenticación almacenados previamente pudieron invalidarse durante la caída.

Cómo recuperar el acceso en iPhone (paso a paso)

Si utilizas Outlook o Hotmail en un iPhone y experimentas problemas, sigue estos pasos:

• Abre la app Configuración en tu iPhone.
• Desplázate y selecciona Correo.
• Ingresa en Cuentas.
• Selecciona la cuenta afectada.
• Toca en Configuración de la cuenta o en el campo Contraseña.
• Introduce tu contraseña actual.
• Pulsa Hecho para guardar los cambios.
• Abre la app Mail y verifica que los correos se sincronizan correctamente.

Este procedimiento restablece la autenticación y permite recuperar el acceso normal al servicio.

Falta de transparencia sobre la causa raíz

Uno de los aspectos más criticados es que Microsoft no ha revelado detalles sobre la causa raíz del incidente. La falta de información limita la capacidad de análisis para expertos en ciberseguridad y empresas que dependen de estos servicios.

Sin embargo, basándonos en los síntomas, es probable que el problema esté relacionado con:

• Cambios en sistemas de autenticación
• Fallos en gestión de tokens
• Problemas de escalabilidad o carga
• Errores en actualizaciones recientes
• Historial reciente de fallos en Microsoft 365

Este incidente no es aislado. En los últimos meses, Microsoft ha enfrentado varios problemas en su ecosistema:

• Interrupciones en Exchange Online que afectaron buzones y calendarios
• Fallos de inicio de sesión en Microsoft 365 Copilot y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Errores en Outlook clásico con códigos NDR como 0x80070005-0x0004dc-0x000524
• Problemas en Microsoft OneNote donde desaparecía el cursor
• Fallos de conexión al crear grupos en Outlook

Estos eventos reflejan los desafíos de operar plataformas cloud a escala global.

Implicaciones para usuarios y empresas

Para usuarios individuales, el impacto puede ser limitado, pero para empresas que dependen del correo electrónico, estas interrupciones pueden traducirse en:

• Pérdida de productividad
• Retrasos en comunicación
• Riesgos operativos
• Problemas en atención al cliente

Por ello, es fundamental contar con estrategias de resiliencia digital.

Recomendaciones clave

Para mitigar el impacto de futuros incidentes, se recomienda:

• Utilizar aplicaciones oficiales como Outlook
• Activar autenticación multifactor (MFA)
• Mantener credenciales actualizadas
• Supervisar el estado de servicios de Microsoft
• Implementar soluciones de respaldo

En fin...

La caída global de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login demuestra que incluso los servicios más robustos pueden fallar. La rápida respuesta de Microsoft permitió restaurar el servicio, pero el incidente deja lecciones importantes sobre la gestión de autenticación y la resiliencia en entornos cloud.

Para los usuarios de iPhone, la solución es clara: reintroducir las credenciales manualmente para restablecer el acceso. Para las organizaciones, el reto es mayor: prepararse para un entorno donde la disponibilidad total nunca está garantizada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha anunciado un cambio clave en su estrategia de seguridad: a partir de julio de 2026 comenzará a bloquear las conexiones TLS heredadas (TLS 1.0 y TLS 1.1) para clientes de correo que utilicen los protocolos POP e IMAP en Exchange Online. Esta decisión forma parte de una tendencia global orientada a reforzar la seguridad del tráfico en Internet y eliminar tecnologías obsoletas que representan riesgos críticos.

En este artículo analizamos en profundidad qué significa esta medida, a quién afecta, qué riesgos implica seguir utilizando versiones antiguas de TLS y cómo prepararse para evitar interrupciones en los servicios de correo electrónico.

¿Qué es TLS y por qué es tan importante?

El protocolo Transport Layer Security (TLS) es la base de la seguridad en las comunicaciones digitales modernas. Su función principal es proteger los datos que se transmiten entre clientes y servidores, garantizando:

Confidencialidad: evita que terceros intercepten la información.
Integridad: impide la manipulación de los datos en tránsito.
Autenticación: asegura que las partes involucradas son legítimas.

Sin TLS, cualquier comunicación —incluyendo correos electrónicos— sería vulnerable a ataques como espionaje, manipulación o suplantación.

TLS 1.0 y 1.1: protocolos obsoletos y vulnerables

Las versiones TLS 1.0 (1999) y TLS 1.1 (2006) han estado en uso durante más de dos décadas. Sin embargo, hoy en día son consideradas inseguras y obsoletas, debido a múltiples vulnerabilidades descubiertas con el tiempo.

Entre los principales problemas destacan:

• Uso de algoritmos criptográficos débiles
• Falta de soporte para cifrados modernos
• Exposición a ataques como downgrade y exploits conocidos
• Incapacidad para cumplir estándares actuales de seguridad

Por estas razones, organismos y empresas líderes del sector han impulsado su eliminación progresiva.

¿Qué cambiará en Exchange Online?

Con esta actualización, Microsoft eliminará completamente el soporte para TLS 1.0 y TLS 1.1 en conexiones POP3 e IMAP4. Esto implica lo siguiente:

• Las conexiones requerirán TLS 1.2 o superior
• Cualquier intento de conexión con TLS antiguo fallará automáticamente
• Aplicaciones o dispositivos heredados dejarán de funcionar
• Sistemas personalizados o embebidos deberán actualizarse

Microsoft ha señalado que la mayoría de los usuarios no se verá afectada, ya que el tráfico actual ya utiliza TLS 1.2 o superior, y los clientes modernos están preparados para este cambio.

¿Quiénes sí podrían verse afectados?

Aunque el impacto será limitado, existen escenarios donde sí puede haber interrupciones:

1. Aplicaciones heredadas

Sistemas antiguos que no han sido actualizados pueden seguir dependiendo de TLS 1.0 o 1.1.

2. Dispositivos embebidos

Equipos como impresoras, escáneres o sistemas IoT que envían correos mediante POP/IMAP pueden no soportar TLS moderno.

3. Software personalizado

Desarrollos internos o integraciones legacy podrían requerir ajustes técnicos.

4. Configuraciones manuales antiguas

Algunos usuarios o empresas pudieron haber configurado endpoints heredados explícitamente.

Recomendaciones clave para evitar interrupciones

Para garantizar la continuidad del servicio, Microsoft recomienda tomar medidas preventivas antes de julio de 2026:

Auditoría de sistemas

Revisa qué aplicaciones, dispositivos o servicios utilizan POP o IMAP en tu organización.

Verificación de soporte TLS

Confirma que todos los clientes soportan TLS 1.2 o superior.

Actualización de software

Migra aplicaciones y sistemas a versiones modernas compatibles con estándares actuales.

Eliminación de endpoints heredados

Asegúrate de no estar utilizando configuraciones antiguas o inseguras.

Consulta con proveedores

Si utilizas soluciones de terceros, verifica con el proveedor su compatibilidad con TLS moderno.

Un cambio alineado con la industria tecnológica

La decisión de Microsoft no es aislada. En 2018, empresas como Apple, Google y Mozilla anunciaron conjuntamente la retirada de TLS 1.0 y 1.1, consolidando un estándar de seguridad más robusto en toda la industria.

Además, Microsoft ha avanzado en la adopción de versiones más modernas como TLS 1.3, habilitado por defecto en versiones recientes de Windows 10, lo que mejora significativamente la velocidad y seguridad de las conexiones.

Recomendaciones de organismos de seguridad

La Agencia de Seguridad Nacional de EE. UU. (NSA) también ha emitido directrices claras sobre la necesidad de eliminar protocolos TLS obsoletos. Según sus recomendaciones:

• Se deben identificar configuraciones inseguras
• Migrar a versiones modernas de TLS
• Reducir la superficie de ataque
• Prevenir accesos no autorizados

Estas medidas son fundamentales en un contexto donde las amenazas cibernéticas evolucionan constantemente.

Beneficios de adoptar TLS moderno

Actualizar a TLS 1.2 o superior no solo evita interrupciones, sino que también aporta ventajas clave:

• Mayor protección contra ataques avanzados
• Cumplimiento de normativas de seguridad
• Mejor rendimiento en conexiones seguras
• Compatibilidad con tecnologías modernas

En otras palabras, no se trata solo de evitar fallos, sino de fortalecer la postura de ciberseguridad de cualquier organización.

En fin...

La eliminación de TLS 1.0 y 1.1 en Exchange Online representa un paso necesario hacia un entorno digital más seguro. Aunque el impacto será limitado para la mayoría, las organizaciones que dependen de sistemas heredados deben actuar cuanto antes para evitar interrupciones.

La clave está en la prevención: auditar, actualizar y adaptarse a estándares modernos no es opcional, sino esencial en el panorama actual de ciberseguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de ciberataques dirigida a desarrolladores ha encendido las alarmas en la comunidad tecnológica. Investigadores han identificado decenas de extensiones maliciosas en el repositorio Open VSX Registry que están vinculadas a una operación de robo de información conocida como GlassWorm v2, una evolución sofisticada de ataques a la cadena de suministro que aprovecha la confianza en herramientas ampliamente utilizadas como Visual Studio Code.

GlassWorm v2: una amenaza silenciosa en VS Code

De acuerdo con el análisis publicado por Socket, se han identificado al menos 73 extensiones sospechosas, de las cuales seis han sido confirmadas como directamente maliciosas. Estas extensiones son clones casi idénticos de paquetes legítimos, replicando nombres, iconos y descripciones para engañar a los usuarios.

Entre las extensiones confirmadas como maliciosas se encuentran:

• outstormcommand.monochromator-theme
• keyacrosslaud.auto-loop-para-antigravedad
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-valide
• winnerdomain17.version-lens-tool

El resto de los paquetes actúa como "sleepers" o extensiones durmientes, diseñadas para parecer inofensivas en un primer momento. Su objetivo es generar confianza, acumular descargas y posteriormente introducir código malicioso mediante actualizaciones.

Ingeniería social y typosquatting: claves del engaño

Uno de los aspectos más peligrosos de esta campaña es el uso combinado de técnicas de ingeniería social y typosquatting. Los atacantes crean nombres casi idénticos a los originales, como en el caso de paquetes similares a extensiones legítimas, y reutilizan elementos visuales para reforzar la ilusión de autenticidad.

Este enfoque, conocido como "confianza visual", incrementa significativamente las probabilidades de instalación por parte de desarrolladores desprevenidos. Al ver una extensión con apariencia legítima en Open VSX Registry, muchos usuarios no cuestionan su autenticidad, especialmente si ya cuenta con descargas previas.

Evolución del ataque: de extensiones a malware persistente

La campaña GlassWorm no se limita a distribuir extensiones maliciosas. Según Socket, los atacantes han evolucionado su estrategia para incluir:

• Dependencias transitivas maliciosas
• Paquetes durmientes que se activan posteriormente
• Droppers desarrollados en el lenguaje Zig

Estos droppers permiten descargar e instalar una segunda carga útil desde repositorios en GitHub, lo que complica la detección inicial y amplía el alcance del ataque.

Cómo funciona el ataque: cadena de infección

El mecanismo de infección es particularmente sofisticado:

• El usuario instala una extensión aparentemente legítima en Visual Studio Code
• La extensión actúa como un cargador (loader) sin levantar sospechas
• Se descarga una extensión VSIX maliciosa desde GitHub
• La carga útil se instala automáticamente en múltiples entornos de desarrollo

Entre los IDE afectados se encuentran:

• Visual Studio Code
• Cursor
• Windsurf
• VSCodium

La instalación se realiza mediante el comando --install-extension, lo que permite que el malware se propague silenciosamente en todo el entorno de desarrollo del usuario.

Objetivos del malware: robo de datos y control remoto

El objetivo final de GlassWorm v2 es comprometer completamente el entorno del desarrollador. Entre sus capacidades destacan:

Robo de información sensible

• Credenciales de acceso
• Tokens de autenticación
• Datos de proyectos
• Configuraciones de desarrollo

Instalación de malware adicional

El ataque incluye la implementación de un RAT (Remote Access Trojan), que permite a los atacantes controlar remotamente el sistema infectado.

Extensión maliciosa basada en Chromium

El malware también despliega una extensión fraudulenta en navegadores basados en Chromium, diseñada para extraer:

• Credenciales guardadas
• Marcadores
• Historial de navegación

Curiosamente, el malware incluye mecanismos para evitar la ejecución en sistemas ubicados en Rusia, una característica común en campañas cibercriminales para evadir persecución local.

JavaScript ofuscado y evasión de detección

Otro elemento clave del ataque es el uso de JavaScript altamente ofuscado, que oculta la lógica maliciosa y dificulta su análisis por herramientas de seguridad.

Según Socket, este enfoque permite mantener la carga útil fuera del paquete inicial, reduciendo las probabilidades de detección durante revisiones automatizadas.

En lugar de incluir directamente el malware, la extensión actúa como intermediaria, descargando y ejecutando el código malicioso solo después de su instalación.

Impacto en la cadena de suministro de software

Este incidente refuerza una tendencia preocupante: los ataques dirigidos a la cadena de suministro de software están aumentando en frecuencia y sofisticación. Herramientas como Visual Studio Code se han convertido en objetivos prioritarios debido a su adopción masiva.

El hecho de que más de 320 artefactos relacionados con GlassWorm hayan sido identificados desde diciembre de 2025 demuestra la persistencia y escala de la campaña.

Recomendaciones de seguridad para desarrolladores

Para mitigar riesgos asociados a este tipo de amenazas, se recomienda:

Verificación de extensiones

• Instalar solo extensiones de desarrolladores verificados
• Revisar reseñas y número de descargas

Control de dependencias

• Auditar paquetes y dependencias regularmente
• Evitar instalaciones automáticas sin revisión

Seguridad en entornos de desarrollo

• Utilizar soluciones de seguridad especializadas
• Monitorear actividad sospechosa en IDEs

Buenas prácticas

• Evitar confiar únicamente en la apariencia visual
• Mantener actualizado el software
• Implementar autenticación multifactor

En fin...

La campaña GlassWorm v2 representa una amenaza crítica para desarrolladores y organizaciones que dependen de herramientas modernas de desarrollo. La combinación de ingeniería social, evasión avanzada y distribución a través de repositorios confiables como Open VSX Registry demuestra que los atacantes están explotando cada vez más la confianza en el ecosistema de código abierto.

En un entorno donde la automatización y la velocidad son esenciales, la seguridad no puede ser una opción secundaria. La vigilancia constante y la adopción de prácticas seguras son fundamentales para evitar convertirse en la próxima víctima.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La seguridad de la cadena de suministro de software vuelve a estar en el punto de mira tras nuevas revelaciones sobre el incidente que afecta a Checkmarx. La compañía confirmó que, como parte de su investigación en curso, un grupo cibercriminal ha publicado en la dark web datos presuntamente extraídos de uno de sus repositorios en GitHub, lo que eleva la gravedad de un ataque que ya había comprometido múltiples componentes del ecosistema de desarrollo.

Checkmarx y la filtración en la dark web: lo que se conoce

Según el comunicado oficial de Checkmarx, las evidencias actuales apuntan a que los datos filtrados se originaron en un repositorio alojado en GitHub. Este acceso no autorizado estaría directamente relacionado con el ataque inicial a la cadena de suministro ocurrido el 23 de marzo de 2026.

La empresa subraya que dicho repositorio está completamente separado de sus entornos de producción, donde se gestionan los datos de clientes. En consecuencia, afirma que no se almacenan datos de clientes en ese repositorio comprometido, lo que podría limitar el impacto directo sobre usuarios finales.

No obstante, la investigación forense sigue en curso, y la compañía ha adoptado medidas inmediatas, como el bloqueo del acceso al repositorio afectado, en un intento de contener el incidente y evitar una mayor exposición.

LAPSUS$ entra en escena: filtración de datos sensibles

El incidente tomó un giro más preocupante cuando el grupo cibercriminal LAPSUS$ incluyó a Checkmarx entre sus víctimas en un sitio de filtraciones. La información fue amplificada por Dark Web Informer, que reportó que los datos publicados incluirían:

• Código fuente propietario
• Base de datos de empleados
• Claves API
• Credenciales de bases de datos (MongoDB/MySQL)

Este tipo de información es extremadamente valiosa para atacantes, ya que puede facilitar accesos posteriores, ataques dirigidos o incluso el desarrollo de exploits más sofisticados.

Origen del ataque: compromiso en la cadena de suministro

El incidente tiene su origen en un ataque más amplio a la cadena de suministro de software, específicamente vinculado a Trivy. A raíz de este ataque, varios componentes críticos de Checkmarx fueron comprometidos:

• Dos flujos de trabajo en GitHub Actions
• Dos plugins distribuidos a través de Open VSX Registry

Estos elementos fueron manipulados para distribuir un malware tipo stealer, diseñado para recolectar credenciales y secretos de desarrolladores. El ataque fue atribuido al actor conocido como TeamPCP.

Expansión del ataque: Docker, VS Code y Bitwarden

La situación se agravó cuando, días después, se detectó un nuevo compromiso vinculado al mismo ecosistema. Se sospecha que un grupo motivado financieramente manipuló:

• La imagen Docker de KICS (Checkmarx)
• Extensiones de Visual Studio Code
• Flujos de trabajo adicionales en GitHub Actions

El malware utilizado en esta fase era similar: un ladrón de credenciales capaz de recolectar secretos de entornos de desarrollo, tokens, claves y configuraciones sensibles.

El impacto no se detuvo ahí. Como consecuencia de este ataque en cadena, se produjo un compromiso temporal del paquete npm de la CLI de Bitwarden, lo que demuestra cómo una vulnerabilidad en la cadena de suministro puede escalar rápidamente y afectar a múltiples proyectos interconectados.

Riesgos reales: por qué este ataque es crítico

Este incidente representa un ejemplo claro de los riesgos asociados a la cadena de suministro de software moderna. Las organizaciones dependen cada vez más de herramientas externas, automatización y componentes de terceros, lo que amplía la superficie de ataque.

Entre los principales riesgos destacan:

1. Exposición de credenciales

El robo de claves API, tokens y credenciales de bases de datos puede permitir accesos persistentes a sistemas críticos.

2. Compromiso de código fuente

La filtración de código puede revelar vulnerabilidades internas o lógica sensible.

3. Ataques en cascada

Como se evidenció con Bitwarden, un solo punto de fallo puede propagarse a múltiples plataformas.

4. Pérdida de confianza

Las filtraciones en la dark web afectan la reputación y credibilidad de las empresas tecnológicas.

Respuesta de Checkmarx y medidas de contención

Checkmarx ha indicado que está trabajando activamente para determinar el alcance total del incidente. Entre las acciones implementadas destacan:

• Bloqueo del repositorio comprometido
• Investigación forense en curso
• Evaluación de los datos filtrados
• Compromiso de notificar a clientes si se detecta exposición

La empresa también enfatizó que notificará de inmediato a las partes afectadas en caso de confirmarse que datos de clientes estuvieron involucrados.

Lecciones clave para la ciberseguridad empresarial

Este incidente deja varias enseñanzas críticas para organizaciones y equipos de desarrollo:

Fortalecer la seguridad en CI/CD

Es esencial limitar privilegios en herramientas como GitHub Actions y auditar continuamente los workflows.

Validar dependencias externas

Herramientas como Trivy deben ser utilizadas junto con controles adicionales para evitar compromisos.

Monitorear repositorios y accesos

La detección temprana puede reducir significativamente el impacto de un ataque.

Adoptar el principio de mínimo privilegio

Reducir permisos innecesarios limita la capacidad de movimiento lateral de los atacantes.

En fin...

El caso de Checkmarx pone de relieve cómo los ataques a la cadena de suministro continúan evolucionando en complejidad y alcance. La combinación de repositorios comprometidos, herramientas de desarrollo manipuladas y filtraciones en la dark web demuestra que ningún eslabón del ecosistema está completamente a salvo.

La evolución de esta investigación será clave para entender el verdadero impacto del incidente y para reforzar las estrategias de defensa en un entorno donde la automatización y la interconectividad son tanto una ventaja como un riesgo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login