Google ha dado un paso significativo en la integración de herramientas avanzadas en Android con el lanzamiento de un terminal Linux nativo, que permite ejecutar Debian en una máquina virtual dentro del sistema operativo móvil. Esta función está dirigida a desarrolladores y administradores de sistemas, ofreciendo un acceso eficiente a entornos Linux directamente desde un smartphone.

Disponibilidad y requisitos

Actualmente, el terminal Linux en Android solo está disponible en dispositivos Pixel con la actualización Pixel Feature Drop de marzo de 2025. Aunque no hay confirmación oficial, se especula que esta funcionalidad podría expandirse a otros dispositivos con el lanzamiento de Android 16.

¿Por qué es relevante un terminal Linux en Android?

Si bien la mayoría de los usuarios de Android no requieren un entorno Linux en su dispositivo, para desarrolladores, expertos en ciberseguridad y administradores de servidores, esta herramienta representa un avance clave. Entre sus principales beneficios destacan:

• Acceso a comandos avanzados para desarrollo y administración de sistemas.
• Automatización de tareas sin necesidad de un PC o soluciones de terceros.
• Mayor seguridad y estabilidad, ya que se ejecuta en una máquina virtual aislada.
• Alternativa nativa a emuladores de terminal como Termux.

Esta implementación es similar a la que se encuentra en ChromeOS, donde los usuarios pueden ejecutar aplicaciones Linux de manera segura dentro del sistema.


Funciones y características clave

Google ha optimizado la experiencia del usuario en el terminal Linux de Android, incorporando opciones avanzadas como:

• Gestión del almacenamiento: permite redimensionar el espacio asignado a la máquina virtual.
• Controles de red: configuración de permisos de red para el entorno Linux.
• Opción de recuperación: facilita la restauración del sistema en caso de fallos.

Además, Google trabaja en la compatibilidad con aceleración de hardware y entornos gráficos, lo que hará que esta terminal sea aún más versátil en futuras actualizaciones. Esto podría posicionarla como una opción competitiva frente a herramientas populares como CPU Fetch para la visualización de información del sistema.

¿Se expandirá a otros dispositivos?

Por ahora, el terminal Linux en Android es exclusivo de los dispositivos Pixel, pero su expansión a otros modelos dependerá de la evolución de Android 16. Si esta función se generaliza, marcaría un cambio importante en cómo Android maneja entornos de desarrollo avanzados, eliminando la necesidad de aplicaciones de terceros para ejecutar comandos Linux.

Esta integración acerca aún más a Android al ecosistema Linux, permitiendo que los smartphones se conviertan en herramientas poderosas para el desarrollo de software y la administración de servidores. Con futuras mejoras, como la integración de servicios en la nube como Dropbox en el terminal Linux, se abrirían nuevas oportunidades para profesionales de TI.

Sin duda, este avance puede redefinir la manera en que los expertos en tecnología utilizan Android como una plataforma de desarrollo en el futuro.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

DuckDuckGo no solo es el motor de búsqueda más potente en términos de privacidad, sino que también ofrece una de las experiencias de inteligencia artificial más accesibles y seguras. Su compromiso con la privacidad sigue siendo una prioridad, como lo ha reiterado su CEO, Gabriel Weinberg, en el blog oficial de la compañía.

Un enfoque de IA centrado en la privacidad y utilidad

Weinberg destaca que la estrategia de DuckDuckGo en inteligencia artificial es privada, útil y opcional. «No estamos creando funciones de IA solo por crearlas. Deben ser realmente útiles en el día a día», afirmó. Y lo cierto es que DuckDuckGo está ejecutando este enfoque con gran acierto, superando a otros asistentes de IA centrados en la privacidad.

Uno de los principales avances es la evolución de DuckDuckGo AI Chat, ahora renombrado como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Tras un extenso periodo de pruebas, durante el cual ha procesado millones de respuestas diarias, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login sale de su fase beta con modelos actualizados y nuevas funcionalidades.

Modelos de IA disponibles en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login permite a los usuarios elegir entre diversos modelos de IA según sus necesidades:

• GPT-4o mini: rápido, eficiente y versátil para conversaciones y generación de contenido.
• Llama 3.37 0B: diseñado para tareas específicas con un enfoque diferenciado.
• Claude 3 Haiku: ideal para creatividad y generación de texto literario.
• o3-mini: optimizado para respuestas rápidas y eficiencia de recursos.
• Mistral Small 3: modelo ligero para tareas que requieren menor consumo de recursos.

Es importante destacar que You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login utiliza GPT-4o mini, una versión más rápida y eficiente de GPT-4, aunque con ciertas limitaciones. No obstante, estos modelos cubren las necesidades básicas de la mayoría de los usuarios. Para quienes buscan más potencia, siempre pueden recurrir a opciones comerciales como ChatGPT, Gemini o Claude.

Privacidad sin compromisos en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una de las mayores ventajas de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login es que no impone límites de uso y respeta la privacidad del usuario. Esto significa que todas las solicitudes se camuflan, no se requiere registro y no se almacenan registros más allá del dispositivo del usuario. Existe, eso sí, la opción de conservar mensajes hasta por 30 días, lo que supone un pequeño compromiso en funcionalidad, pero garantiza un nivel de privacidad sin precedentes.

IA en las búsquedas de DuckDuckGo

Además de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, la compañía ha implementado un asistente de IA en los resultados de búsqueda. A diferencia del enfoque tradicional de redirigir preguntas al chatbot, esta nueva funcionalidad integra respuestas generadas por IA directamente en los resultados, similar a Brave Search con Leo, pero con una ventaja: el usuario puede configurar su uso y comportamiento. De momento, este despliegue comienza en inglés.

DuckDuckGo: una alternativa confiable para quienes buscan privacidad

Si no te interesa la IA, DuckDuckGo sigue siendo una excelente opción por su enfoque en la privacidad. Pero si te preocupa el impacto de la inteligencia artificial en la seguridad de tus datos, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login es una de las mejores alternativas disponibles, combinando accesibilidad y protección de la información personal sin concesiones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Garuda Linux se ha convertido en una de las distribuciones derivadas de Arch Linux más comentadas en los últimos tiempos. Con actualizaciones constantes y mejoras significativas, su nueva versión, Garuda Linux 'Broadwing', trae consigo importantes cambios diseñados para mejorar la experiencia del usuario.

¿Qué hace especial a Garuda Linux?

Originaria de la India, Garuda Linux despegó en 2020 y ha ido ganando popularidad rápidamente. Su enfoque en el alto rendimiento y la optimización lo distingue de otras distribuciones basadas en Arch. A diferencia de muchas derivadas de Arch Linux, que suelen limitarse a ofrecer actualizaciones dentro de su modelo rolling release, Garuda introduce características innovadoras en cada versión.

Esta distribución destaca por utilizar el kernel Zen, una versión optimizada de Linux que mejora el rendimiento, y por su fuerte orientación al gaming. Además, ofrece una amplia variedad de entornos de escritorio, incluyendo Cinnamon, Dr460nized (KDE Plasma), Dr460nized-Gaming, GNOME, Hyprland, i3, KDE-Lite, Sway y Xfce, proporcionando opciones para todo tipo de usuarios.

Novedades en Garuda Linux 'Broadwing'


La nueva versión Broadwing introduce dos ediciones adicionales a su catálogo:

Garuda Mokka: basada en KDE Plasma y con un diseño moderno inspirado en el popular tema Catppuccin.

Garuda Cosmic: utiliza el entorno de escritorio Cosmic de System76, aunque aún se encuentra en fase alfa.

Garuda Rani: la nueva herramienta de administración del sistema

Una de las grandes innovaciones de esta versión es Garuda Rani, una aplicación diseñada para unificar y mejorar las utilidades del sistema. Rani (Reliable Assistant for Native Installations) reemplaza herramientas como Welcome, Gamer y Assistant, consolidando en una sola interfaz el control y la personalización del sistema. Con esta nueva aplicación, Garuda Linux busca simplificar la experiencia del usuario y ofrecer un entorno más intuitivo.

Garuda Mokka: un nuevo diseño visual con Catppuccin

El diseño siempre ha sido un aspecto debatido en Garuda Linux, pero con Mokka han apostado por un estilo más moderno y atractivo. Basado en KDE Plasma, este nuevo sabor adopta el tema Catppuccin, ofreciendo una apariencia más refinada y agradable a la vista.

Mejoras en los repositorios con Chaotic-AUR e Infra 4.0

Otro cambio significativo en Broadwing es la optimización del sistema de repositorios, con la actualización a Infra 4.0 para Chaotic-AUR. Esta mejora incluye nuevas formas de visualizar datos y una página de inicio renovada, facilitando la gestión de paquetes y la instalación de software.

Descarga y prueba Garuda Linux

Si te interesa probar Garuda Linux, puedes descargar las nuevas imágenes de instalación desde las notas de lanzamiento oficiales. Explora esta potente distribución basada en Arch Linux y comparte tu experiencia.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este fin de semana, Linux Mint publicó su boletín mensual, revelando datos interesantes sobre el uso de sus entornos de escritorio. Mientras que muchos medios han resaltado el rediseño del menú de inicio de Cinnamon, un aspecto que merece atención son las estadísticas sobre la popularidad de cada escritorio en la distribución.

Cinnamon domina en Linux Mint

Como es sabido, Linux Mint se ofrece en tres variantes: Cinnamon, MATE y Xfce. Si bien todas son opciones populares en el ecosistema Linux, Cinnamon se considera la alternativa más moderna y completa, comparable con KDE Plasma y GNOME.

Según las cifras compartidas en el boletín, Cinnamon es la opción más descargada, con un 60% de las descargas, seguido de Xfce y MATE, cada uno con un 20%. Es importante destacar que estos datos reflejan solo las descargas recientes y no necesariamente el uso real, aunque pueden servir como indicador de tendencias dentro de la comunidad.

Distribución de versiones de Linux Mint

Además de los entornos de escritorio, el boletín incluye información sobre la popularidad de las versiones de Linux Mint. La versión más reciente lidera con una amplia ventaja:

📌 Linux Mint 22.1 – 70%
📌 Linux Mint Debian Edition (LMDE) 6 – 14%
📌 Linux Mint 22 – 8%
📌 Linux Mint 21.3 – 8%

Estos resultados coinciden con encuestas previas y reflejan una preferencia clara por las versiones más modernas.

Linux Mint 21.3 Edge será la última de su tipo

El boletín también informa sobre un cambio importante: Linux Mint 21.3 Edge será la última versión en este formato. A partir de Linux Mint 22, la distribución adoptará las actualizaciones del LTS Enablement Stack de Ubuntu, alineándose con su calendario de lanzamientos. Esto significa que la próxima versión de Linux Mint incluirá las novedades introducidas en Ubuntu 24.04.2 LTS.

Sin embargo, aún faltan varios meses para el lanzamiento de Linux Mint 22.2, por lo que los usuarios deberán esperar antes de ver estos cambios en acción.

Así es el nuevo menú de inicio de Cinnamon

Finalmente, el boletín muestra una vista previa del nuevo menú de inicio de Cinnamon, una de las novedades más comentadas. Este rediseño busca mejorar la usabilidad y ofrecer una experiencia más moderna a los usuarios de este entorno de escritorio.


Para más información sobre Linux Mint y sus últimas novedades, visita el sitio oficial del proyecto.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

DeepSeek, la empresa china especializada en inteligencia artificial (IA), continúa su expansión tecnológica con Fire-Flyer File System (3FS), un sistema de archivos distribuido de alto rendimiento diseñado para gestionar grandes volúmenes de datos en entornos de IA. Este desarrollo optimiza el almacenamiento y acceso a información clave en procesos de entrenamiento e inferencia de modelos avanzados, superando las limitaciones de los sistemas de archivos tradicionales.

DeepSeek: la IA china que desafía el sector tecnológico

DeepSeek ha revolucionado la industria de la IA con soluciones capaces de competir con los modelos de lenguaje más avanzados. Aunque la compañía se ha presentado como un proyecto de código abierto, existen ciertos matices en esta afirmación. Si bien ha liberado modelos como DeepSeek LLM y DeepSeek Coder, aún no ha divulgado información esencial sobre los datos y procesos de entrenamiento.

Pese a los desafíos regulatorios y la creciente competencia, DeepSeek sigue avanzando con iniciativas como 3FS, demostrando su apuesta por el desarrollo tecnológico y el código abierto.

Fire-Flyer File System (3FS): almacenamiento eficiente para IA a gran escala

El sistema de archivos 3FS ha sido diseñado para optimizar la gestión de datos en infraestructuras de IA, abordando problemas como la latencia y la escalabilidad. Basado en FUSE (Filesystem in Userspace), permite ejecutar el sistema de archivos en el espacio de usuario sin modificar el kernel de Linux, facilitando su integración en distintas distribuciones.

Principales características de 3FS

✔ Alto rendimiento: diseñado para manejar grandes volúmenes de datos con latencia mínima, optimizando el entrenamiento e inferencia de modelos de IA.
✔ Escalabilidad: su arquitectura distribuida permite ampliar la capacidad de almacenamiento sin afectar la velocidad o estabilidad.
✔ Optimización para hardware moderno: el uso de SSD y RDMA (Remote Direct Memory Access) reduce la latencia y mejora el rendimiento.
✔ Basado en FUSE: se ejecuta en el espacio de usuario, facilitando la implementación sin requerir modificaciones en el kernel.

Un modelo de desarrollo abierto

A diferencia de otras soluciones propietarias, DeepSeek ha publicado el código de 3FS bajo licencia MIT, permitiendo que la comunidad de desarrolladores pueda acceder, modificar y mejorar el sistema según sus necesidades. Toda la información sobre Fire-Flyer File System (3FS) está disponible en GitHub, donde DeepSeek también ha compartido otros componentes de su ecosistema tecnológico.

Con este lanzamiento, DeepSeek refuerza su posición en el sector de la inteligencia artificial, apostando por soluciones de alto rendimiento y código abierto que impulsan el desarrollo de modelos más eficientes y escalables.

Fuente:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha identificado cinco vulnerabilidades en el controlador Paragon Partition Manager BioNTdrv.sys, una de las cuales ha sido explotada por bandas de ransomware en ataques de día cero para obtener privilegios de SISTEMA en Windows.

Ataques BYOVD: Un riesgo creciente en Windows

Los atacantes han utilizado los controladores vulnerables en ataques "Bring Your Own Vulnerable Driver" (BYOVD), una técnica en la que los ciberdelincuentes instalan un controlador del kernel en un sistema objetivo para elevar sus privilegios y ejecutar código malicioso.

"Un atacante con acceso local a un dispositivo puede explotar estas vulnerabilidades para escalar privilegios o causar una denegación de servicio (DoS) en la máquina de la víctima", alertó CERT/CC. "Dado que el ataque involucra un controlador firmado por Microsoft, un atacante puede aprovechar la técnica BYOVD incluso si Paragon Partition Manager no está instalado".

Dado que BioNTdrv.sys es un controlador a nivel de kernel, los ciberdelincuentes pueden explotar estas fallas para ejecutar comandos con privilegios elevados, eludiendo las protecciones de seguridad y los sistemas antivirus.

Vulnerabilidad explotada en ataques de ransomware

Microsoft descubrió cinco fallas, incluyendo CVE-2025-0289, utilizada en ataques de ransomware BYOVD para escalar privilegios al nivel de SISTEMA y ejecutar código malicioso. Aunque Microsoft no ha especificado qué bandas de ransomware han explotado esta falla, se sabe que actores como Scatter Spider, Lazarus, BlackByte y LockBit han empleado ataques BYOVD en el pasado.

Detalle de las vulnerabilidades encontradas

Las cinco vulnerabilidades identificadas son:

• CVE-2025-0288: Escritura arbitraria en la memoria del kernel debido a un manejo incorrecto de la función 'memmove', permitiendo escalamiento de privilegios.
• CVE-2025-0287: Desreferencia de puntero nulo por falta de validación en una estructura 'MasterLrp', permitiendo ejecución de código de kernel arbitrario.
• CVE-2025-0286: Escritura arbitraria de memoria del kernel por validación incorrecta de longitudes de datos proporcionados por el usuario, permitiendo ejecución de código.
• CVE-2025-0285: Asignación arbitraria de memoria del kernel, permitiendo escalada de privilegios mediante manipulación de asignaciones de memoria.
• CVE-2025-0289: Acceso inseguro a recursos del kernel debido a validación inadecuada del puntero 'MappedSystemVa', comprometiendo los recursos del sistema.

Las primeras cuatro vulnerabilidades afectan a Paragon Partition Manager v7.9.1 y anteriores, mientras que CVE-2025-0289 afecta a la versión 17 y anteriores.

Medidas de mitigación y protección

Se recomienda actualizar a la última versión del software, que incluye BioNTdrv.sys v2.0.0, la cual corrige todas las vulnerabilidades. No obstante, incluso si Paragon Partition Manager no está instalado, los ataques BYOVD siguen siendo una amenaza, ya que los ciberdelincuentes pueden incluir el controlador vulnerable en sus propios paquetes maliciosos.

Microsoft ha actualizado su "Lista de bloqueo de controladores vulnerables" para evitar la carga de BioNTdrv.sys en Windows. Para verificar que esta protección esté activa, los usuarios deben ir a:

Configuración → Privacidad y seguridad → Seguridad de Windows → Seguridad del dispositivo → Aislamiento principal → Lista de bloqueo de controladores vulnerables de Microsoft y asegurarse de que esté habilitada.


Paragon Software también ha emitido una advertencia recomendando la actualización de Paragon Hard Disk Manager, ya que también utiliza el controlador vulnerable.

Creciente uso de ataques BYOVD en ransomware

El uso de ataques BYOVD está en aumento, ya que permite a los ciberdelincuentes obtener privilegios elevados en dispositivos Windows con facilidad. Grupos de amenazas conocidos como Scatter Spider, Lazarus, BlackByte y LockBit han empleado esta técnica en diversas campañas maliciosas.

Dada la gravedad de estas vulnerabilidades, se recomienda a usuarios y empresas implementar medidas de seguridad adicionales, incluyendo la actualización constante del software y el monitoreo de actividad sospechosa en sus sistemas.

En fin, las vulnerabilidades en Paragon Partition Manager representan un riesgo significativo para la seguridad de los sistemas Windows, especialmente debido al uso de ataques BYOVD por parte de bandas de ransomware. La aplicación de parches de seguridad y la activación de la lista de bloqueo de controladores vulnerables son pasos clave para mitigar esta amenaza y proteger la integridad de los dispositivos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La banda de ransomware Qilin ha reivindicado el ciberataque contra Lee Enterprises, ocurrido el 3 de febrero de 2025, causando interrupciones operativas significativas. Los ciberdelincuentes han filtrado muestras de datos supuestamente robados y han amenazado con publicar toda la información el 5 de marzo de 2025, a menos que se pague el rescate.

Lee Enterprises: objetivo del ransomware Qilin

Lee Enterprises, una de las principales compañías de medios en Estados Unidos, opera más de 77 periódicos diarios, 350 publicaciones y múltiples plataformas digitales. Su audiencia mensual alcanza decenas de millones de usuarios.

En una presentación ante la Comisión de Bolsa y Valores de EE. UU. (SEC), la empresa confirmó que fue víctima de un ciberataque el 3 de febrero de 2025, lo que resultó en graves interrupciones operativas. Según BleepingComputer, el ataque provocó pérdida de acceso a sistemas internos, fallos en el almacenamiento en la nube y en las VPN corporativas.

Una semana después, Lee Enterprises actualizó su declaración a la SEC, revelando que los atacantes cifraron aplicaciones críticas y exfiltraron archivos, confirmando así un ataque de ransomware.

Datos filtrados y amenaza de publicación

El ransomware Qilin ha agregado a Lee Enterprises a su sitio de extorsión en la dark web, publicando muestras de datos confidenciales que incluyen:

• Escaneos de identificaciones gubernamentales.
• Acuerdos de confidencialidad.
• Hojas de cálculo financieras.
• Contratos y otros documentos sensibles.

Los ciberdelincuentes afirman haber robado 120.000 archivos con un tamaño total de 350 GB y amenazan con publicar la totalidad de los datos el 5 de marzo de 2025.

BleepingComputer contactó a Lee Enterprises para confirmar la legitimidad de los datos filtrados. Un portavoz de la empresa respondió: "Estamos al tanto de las afirmaciones y actualmente las estamos investigando".

Evolución del ransomware Qilin

Qilin, anteriormente conocido como Agenda, surgió en agosto de 2022 y ha evolucionado significativamente en los últimos años. A pesar de no ser la banda de ransomware más prolífica, ha atacado a organizaciones importantes, incluyendo:

• Yangfeng, gigante de la industria automotriz.
• Servicios Judiciales de Victoria (Australia).
• Hospitales del NHS en Londres.

Innovaciones técnicas de Qilin


El ransomware ha mejorado su capacidad de ataque con el tiempo:

• Diciembre de 2023: Introducción de una variante para Linux (VMware ESXi).
• Agosto de 2024: Implementación de un ladrón de credenciales para Chrome.
• Octubre de 2024: Incorporación de un bloqueador de datos en Rust, con cifrado avanzado y mejor evasión de detección.

Además, un informe de Microsoft reveló que Scatter Spider, un colectivo de hackers conocido, ha comenzado a utilizar Qilin en sus ataques.

En fin, el ataque a Lee Enterprises demuestra la creciente amenaza del ransomware y la sofisticación de grupos como Qilin. Las empresas de medios y otras organizaciones deben reforzar sus estrategias de ciberseguridad para mitigar riesgos y proteger datos sensibles.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un activista serbio de 23 años fue víctima de un exploit de día cero desarrollado por Cellebrite para desbloquear su dispositivo Android, según un informe de Amnistía Internacional.

Exploit de día cero en dispositivos Android

Amnistía Internacional reveló que el teléfono de un estudiante manifestante fue atacado con una cadena de exploits de día cero dirigidos a controladores USB de Android. "El exploit permitió a los clientes de Cellebrite con acceso físico al dispositivo eludir la pantalla de bloqueo y obtener acceso privilegiado", afirmó la organización.

La vulnerabilidad clave es CVE-2024-53104 (CVSS 7.8 ), una escalada de privilegios en el controlador USB Video Class (UVC) del kernel de Linux. Un parche para esta falla se lanzó en diciembre de 2024 y fue incorporado en Android a principios de este mes.

Este exploit se combinó con otras dos vulnerabilidades:

• CVE-2024-53197: acceso fuera de límites en dispositivos Extigy y Mbox.
• CVE-2024-50302 (CVSS 5.5): uso de recursos no inicializados que pueden causar pérdida de memoria del kernel.

Uso del exploit en manifestaciones en Serbia

El activista, identificado como "Vedran" por razones de privacidad, fue detenido el 25 de diciembre de 2024 tras una protesta estudiantil en Belgrado. Su teléfono, un Samsung Galaxy A32, fue confiscado y desbloqueado mediante el exploit de Cellebrite.

El análisis de Amnistía Internacional sugiere que las autoridades intentaron instalar una aplicación desconocida en el dispositivo. Aunque la naturaleza exacta de esta app sigue sin determinarse, el procedimiento es similar a infecciones previas del spyware NoviSpy, reportadas en diciembre de 2024.

Reacciones y respuesta de Cellebrite

Cellebrite, empresa israelí de ciberseguridad, declaró que sus herramientas no están diseñadas para actividades cibernéticas ofensivas y que trabaja activamente para prevenir el uso indebido de su tecnología.

Además, la compañía anunció que prohibirá el uso de su software en Serbia, afirmando: "Consideramos apropiado detener el uso de nuestros productos por parte de los clientes relevantes en este momento".

En fin, este caso destaca la creciente preocupación sobre el abuso de herramientas forenses en la represión de activistas y la explotación de vulnerabilidades en Android. La comunidad de ciberseguridad sigue alerta ante nuevas amenazas relacionadas con el acceso no autorizado a dispositivos móviles.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han detectado una campaña de phishing masiva que utiliza imágenes CAPTCHA falsas en documentos PDF alojados en la red de entrega de contenido (CDN) de Webflow para distribuir el malware ladrón Lumma Stealer.

Detalles de la campaña de phishing

Netskope Threat Labs identificó 260 dominios únicos que alojan 5,000 archivos PDF maliciosos. Estos archivos redirigen a las víctimas a sitios fraudulentos diseñados para robar credenciales y datos financieros.

Los ciberdelincuentes emplean estrategias de SEO malicioso para posicionar estas páginas en los motores de búsqueda, engañando a los usuarios para que accedan a los documentos infectados. "Si bien muchas páginas de phishing buscan robar información de tarjetas de crédito, algunos archivos PDF contienen CAPTCHA falsos que inducen a las víctimas a ejecutar comandos de PowerShell, lo que finalmente descarga Lumma Stealer", explicó Jan Michael Alcantara, investigador de seguridad de Netskope.

Se estima que esta operación ha afectado a más de 1,150 organizaciones y a 7,000 usuarios desde mediados de 2024, con un impacto significativo en América del Norte, Asia y el sur de Europa. Los sectores más afectados incluyen tecnología, servicios financieros y manufactura.

Distribución y métodos de ataque

La mayoría de los 260 dominios comprometidos están vinculados a Webflow, seguidos de GoDaddy, Strikingly, Wix y Fastly. Además, los atacantes han subido los archivos PDF a bibliotecas y repositorios legítimos como PDFCOFFEE, PDF4PRO, PDFBean e Internet Archive, aumentando su visibilidad en los motores de búsqueda.

Los documentos PDF incluyen imágenes CAPTCHA fraudulentas diseñadas para obtener información financiera o descargar malware. Al hacer clic en estas imágenes, la víctima es redirigida a una página de verificación CAPTCHA falsa que utiliza la técnica ClickFix para ejecutar un comando MSHTA, activando un script de PowerShell que instala Lumma Stealer.

En las últimas semanas, Lumma Stealer se ha disfrazado de juegos de Roblox y versiones crackeadas de Total Commander para Windows. Estos archivos maliciosos se promocionan en videos de YouTube, posiblemente desde cuentas comprometidas. "Los enlaces y archivos infectados suelen aparecer en videos, comentarios o descripciones de YouTube", advirtió Silent Push. "Evitar fuentes no verificadas al descargar contenido es clave para prevenir estas amenazas".

Lumma Stealer y su modelo de distribución

Lumma Stealer es un malware vendido bajo el modelo de Malware como Servicio (MaaS), permitiendo a los ciberdelincuentes recopilar información de equipos infectados. A principios de 2024, sus operadores anunciaron una integración con GhostSocks, un malware proxy basado en Golang.

"Agregar la función de backconnect SOCKS5 a Lumma Stealer es altamente lucrativo", señaló Infrawatch. "Permite a los atacantes eludir restricciones geográficas y controles de IP, facilitando accesos no autorizados a cuentas bancarias y otros servicios críticos".

Otras amenazas emergentes

Las revelaciones coinciden con la distribución de otros malware, como Vidar y Atomic macOS Stealer (AMOS), utilizando la técnica ClickFix con señuelos relacionados con el chatbot de IA DeepSeek, según Zscaler ThreatLabz y eSentire.

Asimismo, se han identificado ataques de phishing que emplean una técnica de ofuscación de JavaScript basada en caracteres Unicode invisibles. Este método, documentado en octubre de 2024, usa caracteres de relleno Unicode Hangul (U+FFA0 y U+3164) para representar valores binarios y convertir texto ASCII en código JavaScript malicioso.

"Estos ataques son altamente personalizados, incorporan información no pública y cuentan con mecanismos para evadir análisis", reveló Juniper Threat Labs. "Si se detecta un entorno de depuración, el código aborta el ataque y redirige a un sitio legítimo".

En fin, la campaña de phishing con CAPTCHA falsos demuestra la creciente sofisticación de los ataques cibernéticos, combinando técnicas avanzadas de engaño con estrategias de SEO malicioso. Para protegerse, los usuarios deben evitar descargar archivos de fuentes no verificadas, prestar atención a señales de phishing y emplear soluciones de seguridad actualizadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha corregido un problema conocido en Outlook clásico que impedía la función de arrastrar y soltar correos electrónicos y eventos del calendario tras instalar actualizaciones recientes en Windows 11 24H2.

¿Qué causó el problema en Outlook clásico?

🔹 Actualización KB5050094 (enero 2025): actualización acumulativa de vista previa.
🔹 Actualización KB5051987 (febrero 2025): actualización de seguridad de Windows 11.

Según Microsoft, tras instalar estas actualizaciones, los usuarios de Outlook clásico en Windows 24H2 encontraron dificultades para mover correos electrónicos o elementos del calendario a carpetas.

Solución oficial de Microsoft

El error ha sido corregido en la actualización acumulativa de vista previa KB5052093, lanzada el martes 25 de febrero de 2025. Sin embargo, la corrección se implementará completamente para todos los usuarios en el martes de parches de marzo 2025.

Solución temporal para restaurar arrastrar y soltar en Outlook

Si no puedes instalar la actualización KB5052093 de inmediato, puedes restaurar la funcionalidad de arrastrar y soltar en Outlook clásico siguiendo estos pasos:

1️⃣ Abre Outlook clásico y ve a la pestaña Archivo.
2️⃣ Selecciona Opciones.
3️⃣ En la pestaña General, busca Opciones de la interfaz de usuario.
4️⃣ Selecciona "Optimizar para obtener la mejor apariencia" y guarda los cambios.

Importante: Esta es una solución temporal hasta que se aplique la actualización oficial.

Otros problemas recientes en Outlook y sus soluciones

Desde principios de 2025, Microsoft ha solucionado múltiples errores en Outlook, incluyendo:

✔️ Outlook clásico se bloquea al escribir, responder o reenviar correos.
✔️ Fallo en Microsoft 365 y Outlook en Windows Server 2016 y 2019.
✔️ Errores de inicio de sesión en Gmail desde Outlook clásico.
✔️ Cierres inesperados de Outlook tras abrir la aplicación.

Transición al nuevo cliente de Outlook en Windows 10


A partir de febrero de 2025, Microsoft comenzará a forzar la instalación del nuevo cliente de Outlook en dispositivos con Windows 10. Este cambio, anunciado en enero, se probó inicialmente con la actualización KB5050081.

Mantén Outlook actualizado para evitar problemas

Microsoft sigue mejorando la estabilidad de Outlook con actualizaciones constantes. Si experimentas errores, asegúrate de:

✔️ Mantener Windows y Outlook actualizados.
✔️ Aplicar las soluciones temporales recomendadas.
✔️ Revisar las actualizaciones mensuales de seguridad y parches.

 Si el problema persiste, revisa los documentos de soporte de Microsoft para más detalles y soluciones actualizadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo malware para Linux ha surgido de manera inesperada, desconcertando a los expertos en ciberseguridad. Denominado Auto-Color, este software malicioso fue detectado por primera vez en noviembre de 2023 y, hasta la fecha, su origen y método exacto de infección siguen siendo un misterio.

¿Cómo se propaga Auto-Color?

Investigadores de Palo Alto Networks han identificado Auto-Color en servidores gubernamentales y universitarios en América del Norte y Asia. Sin embargo, aún no han determinado cómo se produce la infección.

Lo que sí se sabe es que Auto-Color requiere ejecución manual en la máquina, lo que sugiere que su método de propagación podría estar basado en ingeniería social y phishing.

 Punto clave: No se ejecuta mediante explotación remota, sino que necesita que la víctima lo active explícitamente.

Funciones y capacidades del malware Auto-Color

Una vez en el sistema, Auto-Color otorga acceso remoto total al atacante, permitiendo:

✅ Crear un shell inverso para el control del sistema.
✅ Ejecutar comandos para recopilar información sensible.
✅ Modificar y crear archivos en el sistema infectado.
✅ Ejecutar aplicaciones maliciosas sin ser detectado.
✅ Convertir el dispositivo en un proxy para ocultar actividades ilícitas.
✅ Autodesinstalarse para eliminar rastros de su presencia.

Además, Auto-Color evade la detección con técnicas avanzadas como:

🔹 Uso de nombres de archivo genéricos (ejemplo: "door" o "egg") antes de su instalación.
🔹 Ocultación de conexiones de red para evitar su rastreo.
🔹 Modificación de permisos para impedir su eliminación sin software especializado.

¿Auto-Color es una backdoor?

Aunque el informe de Palo Alto Networks describe a Auto-Color como una backdoor, aún no se han identificado los vectores exactos de infección. Sin embargo, el patrón sigue el de otros malwares conocidos:

1️⃣ Aprovecha vulnerabilidades desconocidas.
2️⃣ Escala privilegios en el sistema infectado.
3️⃣ Otorga acceso total al atacante.

¿Por qué se llama Auto-Color?

El nombre Auto-Color proviene de la denominación interna que el propio malware se asigna tras la infección. Antes de instalarse, los archivos ejecutables utilizan nombres genéricos y poco sospechosos, dificultando su identificación.

Una amenaza creciente para Linux

Auto-Color representa una amenaza significativa para servidores y sistemas Linux en instituciones académicas y gubernamentales. Su capacidad para otorgar acceso remoto, modificar archivos y ocultar su presencia lo convierte en un malware altamente peligroso.

Recomendaciones para mitigar el riesgo:

✔️ Evitar la ejecución de archivos sospechosos en Linux.
✔️ Actualizar regularmente el sistema operativo y los paquetes de seguridad.
✔️ Implementar soluciones de detección de malware especializadas.
✔️ Educar a los usuarios sobre phishing y técnicas de ingeniería social.

La evolución de Auto-Color y su propagación global demuestran que Linux sigue siendo un objetivo atractivo para los ciberdelincuentes. 🚀 Mantener buenas prácticas de ciberseguridad es clave para prevenir infecciones y proteger sistemas críticos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de malware ha sido detectada apuntando a dispositivos periféricos de Cisco, ASUS, QNAP y Synology, infectándolos con la botnet PolarEdge desde finales de 2023.

Según la firma de ciberseguridad Sekoia, los atacantes están explotando CVE-2023-20118 (puntuación CVSS: 6.5), una vulnerabilidad crítica en enrutadores Cisco Small Business (RV016, RV042, RV042G, RV082, RV320 y RV325). Esta falla permite la ejecución de comandos arbitrarios, lo que facilita el control remoto de los dispositivos.

Vulnerabilidad en routers Cisco: Un problema sin parche
Punto clave: Cisco no ha lanzado un parche para esta vulnerabilidad, ya que los dispositivos afectados han alcanzado el estado End of Life (EoL).

Como medida de mitigación, Cisco recomendó en 2023:

✅ Desactivar la gestión remota
✅ Bloquear los puertos 443 y 60443

A pesar de estas recomendaciones, los atacantes han explotado activamente la vulnerabilidad para instalar una puerta trasera TLS en los dispositivos comprometidos.

Cómo funciona el ataque de PolarEdge

Los ciberdelincuentes utilizan esta vulnerabilidad para inyectar un implante malicioso en los dispositivos comprometidos. La botnet PolarEdge opera de la siguiente manera:

1️⃣ Explota CVE-2023-20118 para acceder al dispositivo.
2️⃣ Descarga un script de shell ("q") vía FTP, que ejecuta el código malicioso.
3️⃣ Limpia registros y termina procesos sospechosos para evitar la detección.
4️⃣ Descarga una carga maliciosa ("t.tar") desde la dirección IP 119.8.186[.]227.
5️⃣ Ejecuta "cipher_log", un binario que actúa como puerta trasera TLS.
6️⃣ Establece persistencia, modificando el archivo /etc/flash/etc/cipher.sh para que "cipher_log" se ejecute repetidamente.

Una vez activo, PolarEdge entra en un bucle infinito, estableciendo una sesión TLS y generando un proceso secundario para recibir comandos de los atacantes.

Comunicación con el Servidor C2

📡 El malware informa al servidor de comando y control (C2) que la infección ha sido exitosa, enviando datos del dispositivo comprometido, incluyendo IP y puerto.

Expansión de la botnet: ASUS, QNAP y Synology también afectados

Investigaciones posteriores han identificado cargas útiles similares dirigidas a dispositivos de ASUS, QNAP y Synology.

🔹 Todos los artefactos fueron subidos a VirusTotal por usuarios ubicados en Taiwán.
🔹 Se distribuyen a través de FTP, utilizando la IP 119.8.186[.]227 (perteneciente a Huawei Cloud).

Impacto global: Se estima que PolarEdge ha comprometido más de 2.017 direcciones IP en países como:

• 🇺🇸 Estados Unidos
• 🇹🇼 Taiwán
• 🇷🇺 Rusia
• 🇮🇳 India
• 🇧🇷 Brasil
• 🇦🇺 Australia
• 🇦🇷 Argentina

¿Cuál es el propósito de la botnet PolarEdge?

Aunque el objetivo exacto de PolarEdge aún no está claro, los expertos creen que:

🔹 Podría convertir los dispositivos comprometidos en nodos de retransmisión para lanzar ciberataques ofensivos.
🔹 Su sofisticación sugiere que está operada por actores altamente calificados.

Ataques de fuerza bruta contra Microsoft 365: Relación con una botnet masiva

La revelación de PolarEdge coincide con un informe de SecurityScorecard, que ha identificado una botnet de 130,000 dispositivos infectados utilizada para ataques de rociado de contraseñas contra cuentas de Microsoft 365 (M365).

Método utilizado:

Los atacantes explotan inicios de sesión no interactivos con autenticación básica, que:

✅ No activan la autenticación multifactor (MFA) en muchas configuraciones.
✅ Permiten enviar credenciales en texto plano, aumentando el riesgo de robo de datos.

Se sospecha que esta actividad está vinculada a actores de amenazas chinos, utilizando infraestructura de CDS Global Cloud y UCLOUD HK para acceder a cuentas comprometidas.

Una amenaza en expansión

 PolarEdge es una botnet emergente que está comprometiendo dispositivos de Cisco, ASUS, QNAP y Synology en todo el mundo. Su capacidad para evadir detección, establecer persistencia y comunicarse con servidores C2 la convierte en una amenaza seria para la seguridad de redes y dispositivos IoT.

Recomendaciones clave para mitigar riesgos:

✔️ Desactivar la gestión remota en dispositivos vulnerables.
✔️ Bloquear puertos utilizados en ataques (443 y 60443).
✔️ Actualizar firmwares y reemplazar hardware obsoleto.
✔️ Monitorizar actividad inusual en redes empresariales.

La rápida evolución de PolarEdge y su relación con otras botnets sugiere que esta amenaza seguirá creciendo. La ciberseguridad proactiva es clave para proteger infraestructuras críticas y datos sensibles.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login[/color]

Los investigadores de ciberseguridad han descubierto una versión actualizada de TgToxic (también conocido como ToxicPanda), un malware bancario para Android que sigue evolucionando para evadir la detección y mejorar sus capacidades de ataque.

Según un informe de Intel 471, las modificaciones recientes reflejan la vigilancia de los ciberdelincuentes sobre los informes públicos y su compromiso con el perfeccionamiento de este troyano bancario.

¿Qué es TgToxic y cómo afecta a los usuarios de Android?

TgToxic fue identificado por primera vez a principios de 2023 por Trend Micro, que lo describió como un troyano bancario capaz de robar credenciales de acceso, fondos de billeteras criptográficas y datos financieros de aplicaciones bancarias. Su actividad ha sido rastreada desde al menos julio de 2022, con un enfoque inicial en usuarios de Taiwán, Tailandia e Indonesia.

En noviembre de 2024, la empresa italiana de prevención de fraudes Cleafy identificó una variante mejorada con funciones avanzadas de recopilación de datos y un alcance ampliado a Italia, Portugal, Hong Kong, España y Perú. Se cree que este malware de Android proviene de un grupo de habla china.

Métodos de distribución de TgToxic

El último análisis de Intel 471 señala que TgToxic se propaga mediante archivos APK cuentagotas, probablemente a través de:

• Mensajes SMS maliciosos
• Sitios web de phishing

Sin embargo, el mecanismo exacto de entrega aún no se ha confirmado.

Principales mejoras en la última versión de TgToxic

Las modificaciones recientes de TgToxic incluyen técnicas más avanzadas para evadir la detección y mantener el control de los dispositivos infectados.

1. Mejor detección de emuladores

El malware ahora analiza el hardware y el sistema del dispositivo para identificar entornos de prueba o emulación, dificultando su análisis por parte de los investigadores de ciberseguridad.

Cómo lo hace:

• Examina propiedades clave del dispositivo, como marca, modelo y huella digital
• Detecta discrepancias típicas de los sistemas emulados

2. Cambio de servidores C2 mediante foros públicos

TgToxic ha pasado de usar dominios C2 codificados a aprovechar foros públicos, como el foro de desarrolladores de Atlassian, para ocultar su infraestructura maliciosa.

Cómo funciona:

• Crea perfiles falsos en foros que contienen cadenas cifradas con la dirección del servidor C2 real
• El APK de TgToxic selecciona aleatoriamente una URL del foro para obtener la dirección del servidor de comando y control

Ventaja clave: Los ciberdelincuentes pueden cambiar los servidores C2 simplemente actualizando el perfil del foro, sin necesidad de modificar el malware.

3. Uso de un algoritmo de generación de dominios (DGA)

Las versiones más recientes de TgToxic (diciembre de 2024) implementan un DGA (Domain Generation Algorithm), lo que le permite crear nuevos dominios dinámicamente para sus servidores C2.

Ventaja clave: Mayor resistencia a la eliminación de dominios, ya que el malware siempre puede generar nuevas direcciones para comunicarse con los atacantes.

¿Por qué TgToxic es una amenaza tan peligrosa?

Según Ted Miracco, CEO de Approov, TgToxic se ha convertido en uno de los troyanos bancarios más sofisticados para Android debido a sus técnicas avanzadas de evasión, que incluyen:

✅ Ofuscación del código y cifrado de la carga útil
✅ Mecanismos anti-emulación para evitar la detección
✅ Automatización de ataques para robar credenciales y realizar transacciones fraudulentas

Un malware en constante evolución

La rápida evolución de TgToxic demuestra cómo los atacantes ajustan sus estrategias para evadir la detección y maximizar su impacto. Con su capacidad para robar datos financieros, evadir análisis y persistir en los dispositivos infectados, este troyano bancario de Android sigue representando una amenaza crítica para usuarios y empresas.

Recomendaciones para protegerse de TgToxic

⚠️ Evita descargar APKs fuera de la Google Play Store
⚠️ No hagas clic en enlaces sospechosos de SMS o correos electrónicos
⚠️ Utiliza soluciones de ciberseguridad que detecten malware avanzado

La ciberseguridad es clave para mantenerse protegido frente a amenazas como TgToxic. 🚨

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han identificado una campaña de malware en GitHub, dirigida a jugadores e inversores en criptomonedas mediante proyectos de código abierto falsos.

La campaña, bautizada como GitVenom por Kaspersky, abarca cientos de repositorios infectados, diseñados para robar datos personales, credenciales bancarias y criptomonedas.

Cómo funciona GitVenom: malware oculto en proyectos de GitHub

Los atacantes han subido proyectos fraudulentos en GitHub, que supuestamente ofrecen herramientas como:

• Bots de automatización para Instagram.
• Gestión remota de billeteras de Bitcoin a través de Telegram.
• Cracks para juegos como Valorant.

Sin embargo, estas herramientas son falsas y contienen carga maliciosa que permite a los ciberdelincuentes:

• Robar datos personales y financieros.
• Secuestrar direcciones de billeteras criptográficas.
• Infectar dispositivos con malware adicional.

Impacto de GitVenom: criptomonedas robadas y alcance global

• Se han robado al menos 5 bitcoins, con un valor estimado de 456.600 dólares.
• La campaña ha estado activa por más de dos años.
• Principales países afectados: Rusia, Brasil y Turquía.

Técnicas de ataque: desde robo de credenciales hasta malware clipper

Los proyectos maliciosos están escritos en Python, JavaScript, C, C++ y C#, pero todos tienen un mismo propósito: ejecutar malware que descarga más componentes desde un repositorio de GitHub controlado por los atacantes.

Entre los módulos maliciosos detectados se incluyen:

1. Ladrón de información basado en Node.js

• Extrae contraseñas, credenciales bancarias y datos de criptobilleteras.
• Recopila historial de navegación y datos guardados.
• Envía la información robada a los atacantes mediante Telegram.

2. RATs (Troyanos de Acceso Remoto)

• Se han identificado AsyncRAT y Quasar RAT, que permiten el control remoto de los dispositivos infectados.

3. Malware Clipper

• Reemplaza direcciones de billeteras de criptomonedas copiadas al portapapeles, redirigiendo los fondos a los ciberdelincuentes.

El riesgo de software malicioso en GitHub

Según Georgy Kucherin, investigador de Kaspersky, las plataformas de código abierto como GitHub seguirán siendo utilizadas para propagar malware.

Recomendación de seguridad:

Antes de ejecutar o integrar código de terceros, es crucial verificar qué acciones realiza para evitar infecciones.

Estafas en torneos de eSports: un nuevo peligro para jugadores de CS2

Paralelamente, Bitdefender ha revelado otra amenaza dirigida a jugadores de Counter-Strike 2 (CS2).

Los ciberdelincuentes están secuestrando cuentas de YouTube para suplantar a jugadores profesionales como s1mple, NiKo y donk, atrayendo a sus seguidores con falsos sorteos de skins de CS2.

Consecuencias de esta estafa:

• Robo de cuentas de Steam.
• Pérdida de criptomonedas.
• Sustracción de artículos valiosos dentro del juego.

En fin, las campañas de malware en GitHub y las estafas en torneos de eSports demuestran cómo los ciberdelincuentes están evolucionando para explotar plataformas digitales populares.

Para evitar ser víctima de estos ataques:

✅ Verifica siempre el código fuente en GitHub antes de ejecutarlo.
✅ No descargues software de fuentes no oficiales.
✅ Desconfía de sorteos sospechosos en redes sociales y YouTube.

La seguridad en línea es clave para proteger datos personales, criptomonedas y cuentas de juegos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una campaña de malware a gran escala ha sido descubierta utilizando un controlador de Windows vulnerable vinculado a la suite de productos de Adlice para evadir detección y distribuir el troyano de acceso remoto Gh0st RAT.

Cómo los ciberdelincuentes explotan un controlador vulnerable para evitar la detección

Según un informe de Check Point, los atacantes han modificado deliberadamente múltiples versiones del controlador Truesight.sys (versión 2.0.2) para mantener una firma válida mientras cambian partes específicas del PE (Portable Executable). Este método les permite evadir herramientas de seguridad como EDR (Endpoint Detection and Response) mediante una técnica conocida como BYOVD (Bring Your Own Vulnerable Driver).

Impacto de la vulnerabilidad y número de muestras detectadas

• Se han identificado hasta 2.500 variantes del controlador Truesight.sys en VirusTotal, aunque la cifra real podría ser mayor.
• El módulo EDR-killer, utilizado para desactivar soluciones de seguridad, fue detectado por primera vez en junio de 2024.
• La vulnerabilidad afecta a todas las versiones anteriores a la 3.4.0 del controlador y ha sido explotada en ataques anteriores, como los desarrollados con Darkside y TrueSightKiller.

Relación con Silver Fox APT y distribución del malware

Investigaciones sugieren que la campaña podría estar vinculada al grupo Silver Fox APT, basándose en patrones de ataque, vectores de infección y similitudes con muestras previas.

• 75% de las víctimas están en China, mientras que el resto se encuentra en Singapur y Taiwán.
• El malware se propaga mediante sitios web falsos con ofertas en productos de lujo y canales fraudulentos en Telegram.
• Las cargas maliciosas se disfrazan de archivos PNG, JPG y GIF para evadir detección.

Objetivo final: Gh0st RAT y desactivación de medidas de seguridad

Una vez en el sistema, la segunda etapa del ataque descarga HiddenGh0st, una variante avanzada de Gh0st RAT, diseñada para:

• Tomar control remoto del sistema.
• Robar datos sensibles.
• Realizar vigilancia y manipulación del sistema.

El ataque utiliza BYOVD para deshabilitar procesos de seguridad y evitar la lista de bloqueo de controladores vulnerables de Microsoft, lo que le otorga una ventaja significativa en términos de persistencia.

Respuesta de Microsoft y medidas de seguridad

El 17 de diciembre de 2024, Microsoft actualizó su lista de controladores bloqueados, impidiendo la explotación del Truesight.sys. Sin embargo, los atacantes lograron evadir las protecciones de Microsoft y LOLDrivers durante meses al modificar el controlador mientras mantenían su firma digital.

En fin, esta campaña de malware demuestra cómo los ciberdelincuentes siguen evolucionando sus tácticas para evadir soluciones de seguridad y distribuir RATs avanzados como Gh0st RAT. Empresas y usuarios deben implementar actualizaciones de seguridad, fortalecer sus estrategias de detección de malware y monitorear posibles intentos de explotación de controladores vulnerables.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

DISA Global Solutions, una empresa líder en investigación de antecedentes y pruebas de drogas y alcohol en EE. UU., ha sufrido una violación de datos masiva que afectó a 3,3 millones de personas.

Detalles del ciberataque a DISA Global Solutions

La empresa informó por primera vez sobre el incidente en enero, señalando que ocurrió entre el 9 de febrero de 2024 y el 22 de abril de 2024, fecha en que detectó la brecha de seguridad. Inicialmente, DISA aseguró que no había evidencia de uso indebido de los datos. Sin embargo, tras una investigación más profunda, se confirmó que 3.332.750 personas fueron afectadas.

DISA cuenta con más de 55.000 clientes, incluyendo el 30% de las empresas Fortune 500, lo que significa que esta violación de datos podría tener graves consecuencias en múltiples sectores.

Datos filtrados en la violación de seguridad

En una notificación enviada a los afectados, DISA confirmó que los datos expuestos incluyen:

• Nombre completo
• Número de Seguro Social (SSN)
• Número de licencia de conducir
• Número de identificación oficial
• Información de cuentas financieras
• Otros datos sensibles

Si bien DISA no detalló qué más se filtró, la empresa maneja información altamente confidencial, como historial laboral y educativo, antecedentes penales, datos médicos, pruebas de drogas y alcohol, y más.

¿Fue un ataque de ransomware?

DISA no ha revelado el tipo de ciberataque sufrido, pero un aviso eliminado sugiere que la empresa pagó un rescate para evitar que los datos robados fueran publicados en la dark web.

En dicho aviso, DISA afirmaba que "tomó medidas para disuadir al actor de amenazas de divulgar públicamente cualquier dato adquirido y obtuvo confirmación de su eliminación".

Medidas de protección para los afectados

Para mitigar los riesgos de la exposición de datos, DISA ofrece 12 meses de monitoreo de crédito y protección contra el robo de identidad a través de Experian. Además, recomienda a los afectados:

• Activar alertas de fraude en sus cuentas bancarias y financieras.
• Implementar bloqueos de seguridad para evitar accesos no autorizados.

En fin, la violación de datos en DISA Global Solutions es una de las más graves en lo que va del año, afectando a millones de personas y poniendo en riesgo información altamente sensible. Este incidente resalta la importancia de la ciberseguridad en empresas que manejan datos críticos, especialmente en sectores de recursos humanos, salud y cumplimiento normativo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Anthropic ha comenzado a desplegar Claude 3.7 Sonnet, su modelo de IA más avanzado hasta la fecha y el primero con razonamiento híbrido. Este innovador enfoque permite combinar respuestas rápidas y sencillas con la capacidad de procesar tareas complejas paso a paso, lo que lo posiciona como una de las mejores opciones para programación y desarrollo de software.

Claude 3.7 Sonnet supera a ChatGPT y DeepSeek en precisión

Las primeras pruebas muestran que Claude 3.7 Sonnet supera a modelos de OpenAI (ChatGPT) y DeepSeek, logrando una precisión líder en evaluaciones de ingeniería de software. Según la prueba "Ingeniería de software (verificado por SWE-bench)", Claude 3.7 alcanza un 62% de precisión, aumentando al 70% con pruebas adicionales, mientras que otros modelos como Claude 3.5 Sonnet y las variantes de OpenAI se quedan en torno al 50%.

Este estándar de referencia mide la capacidad de la IA para codificar programas con precisión, y los resultados indican que Claude 3.7 Sonnet es significativamente más eficiente que sus competidores.

Un "momento AGI" para los usuarios

La comunidad ha expresado su asombro ante las capacidades del modelo. Usuarios en Reddit afirman que Claude 3.7 Sonnet resuelve problemas de programación complejos que otros modelos no pueden abordar.

• Un usuario comentó: "Claude Code fue mi momento 'Feel the AGI'. Le envié errores que ningún otro modelo pudo solucionar, pero Claude Code los resolvió sin problemas."
• Otro añadió: "Claude 3.7 eliminó un proyecto en el que trabajé durante meses: 5000 líneas de código, frontend, depuración... todo desde cero y sin interrupciones."

Claude 3.7 Sonnet destaca en matemáticas y ciencias

Además de su rendimiento en programación, Claude 3.7 Sonnet sobresale en matemáticas y ciencias gracias a su capacidad de razonamiento extendido, superando modelos como OpenAI 0.1 y DeepSeek R1 en múltiples pruebas.

En conclusión, Claude 3.7 Sonnet representa un salto significativo en la inteligencia artificial, estableciendo un nuevo estándar en precisión y rendimiento para programación y tareas complejas. Con su razonamiento híbrido y mejora en múltiples áreas, se posiciona como una de las mejores opciones para desarrolladores y empresas que buscan eficiencia en IA.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una estafa por correo electrónico de PayPal en curso explota la configuración de direcciones de la plataforma para enviar notificaciones falsas de compra, con el objetivo de engañar a los usuarios y obtener acceso remoto a sus dispositivos.

Cómo funciona la estafa del correo falso de PayPal

Durante el último mes, BleepingComputer y otros medios han recibido correos electrónicos de PayPal con el asunto:

"Agregaste una nueva dirección. Esta es solo una confirmación rápida de que agregaste una dirección en tu cuenta de PayPal".

El correo también incluye un mensaje que parece una confirmación de compra falsa para una MacBook M4. Además, solicita que los usuarios llamen a un número de teléfono fraudulento si no autorizaron la compra.

Ejemplo del mensaje:

"Confirmación: Su dirección de envío para el MacBook M4 Max 1TB ($1,098.95) ha sido cambiada. Si no autorizó esta actualización, comuníquese con PayPal al +1-888-668-2508."

Estos correos son enviados directamente desde "[email protected]", lo que genera preocupación entre los usuarios al hacerles creer que su cuenta ha sido hackeada.

¿Por qué los correos parecen legítimos?

✔️ Son enviados desde los servidores oficiales de PayPal.
✔️ Pasan los filtros de seguridad y spam, ya que provienen de una dirección confiable.
✔️ Incluyen encabezados de seguridad DKIM que validan su autenticidad.

Sin embargo, no se han agregado nuevas direcciones a las cuentas de PayPal afectadas, lo que indica que es una táctica de phishing avanzada.

El objetivo de los estafadores

Los ciberdelincuentes buscan generar pánico en los usuarios, haciéndoles creer que su cuenta fue utilizada para una compra no autorizada. Esto los lleva a llamar al número falso de soporte de PayPal, donde la estafa sigue estos pasos:

• Reproducción de una grabación falsa que imita el soporte de PayPal.
• Un falso agente de atención al cliente convence al usuario de que su cuenta ha sido hackeada.
• Le solicitan descargar software remoto, supuestamente para "recuperar el acceso".
• Se instala ConnectWise ScreenConnect, una herramienta de acceso remoto utilizada para robar datos, instalar malware o vaciar cuentas bancarias.

En una prueba realizada por BleepingComputer, los estafadores dirigieron a los usuarios a sitios como pplassist[.]com, donde ingresaban un código de servicio falso que descargaba el software malicioso.

Cómo los estafadores logran enviar correos desde PayPal

El truco radica en el uso de la función "direcciones de regalo" de PayPal.

📌 Paso 1: Los estafadores agregan una nueva dirección a su cuenta de PayPal.
📌 Paso 2: En el campo "Dirección 2", insertan un mensaje falso de confirmación de compra.
📌 Paso 3: PayPal envía un correo automático a la dirección del estafador, incluyendo el mensaje fraudulento.
📌 Paso 4: La dirección de correo del estafador reenvía automáticamente el mensaje a una cuenta de Microsoft 365 configurada como lista de correo.
📌 Paso 5: La lista de correo distribuye el mensaje a múltiples víctimas.

De esta manera, el correo falso de PayPal se distribuye masivamente sin ser detectado por los filtros de seguridad.

Cómo protegerse de esta estafa de PayPal

🔹 No llames al número proporcionado en el correo electrónico.
🔹 Inicia sesión en tu cuenta de PayPal desde el sitio oficial y verifica que no haya cambios en tu dirección.
🔹 No descargues ningún software de asistencia remota si alguien te lo solicita.
🔹 Reporta el correo como phishing a PayPal y a tu proveedor de correo electrónico.
🔹 Activa la autenticación en dos pasos en tu cuenta de PayPal para mayor seguridad.

Medidas que PayPal debería tomar

Esta estafa es posible debido a que PayPal permite ingresar mensajes largos en los campos de dirección. Para prevenir estos fraudes, la compañía debería:

✔️ Limitar la cantidad de caracteres en los campos de dirección.
✔️ Implementar validaciones que detecten mensajes sospechosos en estos campos.
✔️ Alertar a los usuarios cuando se detecten cambios sospechosos en sus cuentas.

En fin, las estafas de PayPal continúan evolucionando, y esta nueva táctica demuestra cómo los ciberdelincuentes explotan funciones legítimas para hacer pasar sus correos por auténticos. Si recibes un correo de PayPal que menciona una nueva dirección o una compra no autorizada, verifica directamente en tu cuenta y no contactes a los números proporcionados en el correo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha lanzado versiones con publicidad de sus aplicaciones de escritorio de Office, que tienen funciones limitadas pero permiten a los usuarios de Windows editar sus documentos.

Si bien Microsoft permite a los clientes usar Word, Excel, PowerPoint y otras aplicaciones de Microsoft 365 de forma gratuita con Office en la web, la compañía no ha compartido ninguna información sobre estas nuevas aplicaciones de Office para escritorio con publicidad.

Una vez iniciadas, las aplicaciones mostrarán un panel vertical en el lado derecho de la ventana, mostrando anuncios mientras ve y edita sus documentos de Office.

Las aplicaciones de Office con publicidad también mostrarán los mensajes "Para quitar anuncios, suscríbase a Microsoft 365" debajo de los anuncios, lo que pedirá a los usuarios que hagan clic en el vínculo "Ver beneficios".

Para probar las nuevas aplicaciones de Microsoft Office con publicidad para usuarios de Windows, debe descargar e instalar Microsoft 365 (anteriormente Office 365) y presionar "Omitir por ahora" en la pantalla "Iniciar sesión para comenzar".

Esto abrirá un "Bienvenido a Word, Excel y PowerPoint gratuitos", donde debe hacer clic en el botón "Continuar gratis" y en "Guardar en OneDrive" en la siguiente pantalla.

Como el sitio de noticias tecnológicas Beebom detectó por primera vez, debe pagar una suscripción a Microsoft 365 para guardar documentos editados con estas aplicaciones de Office con publicidad en unidades locales.

Además de permitirle solo guardar en OneDrive, las aplicaciones de Word, Excel y PowerPoint con publicidad tienen funcionalidad básica y restricciones adicionales, como se detalla en la tabla a continuación:


BleepingComputer no pudo replicar los hallazgos, lo que indica que puede tratarse de una prueba regional.

Un portavoz de Microsoft no pudo compartir de inmediato un comentario de la compañía cuando BleepingComputer se comunicó anteriormente.

Anuncios en el menú Inicio, el Explorador de Windows y mucho más

Esta no es la primera vez que Microsoft experimenta con mostrar anuncios en sus productos y servicios. Por ejemplo, mostró anuncios en la sección "Recomendados" del menú Inicio de Windows 11 el año pasado, y también promocionó algunos de sus propios productos en el menú desplegable de cierre de sesión en noviembre de 2022, ampliando la función con nuevos "tratamientos" en marzo de 2023.

En marzo de 2021, también mostró anuncios de sus productos a Insiders en el Explorador de archivos de Windows y promocionó Microsoft Edge en el menú Inicio de Windows 10 un año antes. En septiembre de 2021, también rompió el menú Inicio y la barra de tareas mientras probaba los anuncios de Microsoft Teams.

Hace cinco años, la aplicación Wordpad de Windows 10 también mostraba anuncios que promocionaban las aplicaciones web gratuitas de Office de Microsoft en su barra de menú.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Australia ha prohibido la instalación de software de seguridad de la empresa rusa Kaspersky, citando riesgos de seguridad nacional relacionados con espionaje, interferencia extranjera y sabotaje.

Según Stephanie Foster PSM, secretaria del Departamento de Asuntos Internos, la decisión se tomó tras un análisis detallado de amenazas y riesgos asociados con el uso de los productos de Kaspersky en redes gubernamentales.

Citar"El uso de los productos y servicios web de Kaspersky Lab, Inc. representa un riesgo inaceptable para el gobierno australiano, sus redes y datos", afirmó Foster.

Motivos de la prohibición del software de Kaspersky en Australia

La principal preocupación del gobierno australiano es la amplia recopilación de datos de usuarios por parte de Kaspersky y la posibilidad de que dicha información esté expuesta a órdenes extrajudiciales de un gobierno extranjero, lo que podría entrar en conflicto con la legislación australiana.

Además, Foster enfatizó la necesidad de enviar una señal clara a las infraestructuras críticas y otros organismos gubernamentales sobre los riesgos asociados con el uso del software de Kaspersky.

Nueva directiva del gobierno australiano

Bajo la directiva 002-2025, emitida el 23 de febrero de 2025, todas las entidades gubernamentales deben:

✅ Eliminar cualquier instalación existente de productos Kaspersky antes del 1 de abril de 2025.
✅ Prohibir la instalación futura de software de Kaspersky en sistemas y dispositivos gubernamentales.
✅ Solicitar exenciones solo si existe una razón comercial legítima y se aplican medidas de mitigación adecuadas.

Las exenciones serán limitadas en el tiempo y estarán sujetas a un control estricto, especialmente en casos donde sea necesario cumplir con funciones de cumplimiento y aplicación de la ley.

Australia sigue los pasos de Estados Unidos en la prohibición de Kaspersky

La prohibición en Australia sigue a la decisión de Estados Unidos, que en junio de 2024 prohibió a Kaspersky vender software y emitir actualizaciones de productos en su territorio. Como resultado, la empresa abandonó el mercado estadounidense en julio de 2024.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login