La plataforma china de inteligencia artificial DeepSeek ha suspendido temporalmente los registros en su servicio de chat DeepSeek-V3 debido a un ciberataque a gran escala dirigido a su infraestructura.

DeepSeek: un nuevo competidor en IA

DeepSeek es una plataforma emergente en el sector de la inteligencia artificial que ha ganado notoriedad recientemente gracias al desarrollo de un modelo de IA avanzado. Se afirma que este modelo iguala o incluso supera las capacidades de los modelos de empresas tecnológicas estadounidenses, pero con costos significativamente reducidos.

El lanzamiento de este modelo generó un impacto inmediato en el mercado bursátil de EE. UU., desencadenando una venta masiva de acciones, mientras la competencia en inteligencia artificial se intensifica.

Ciberataque y suspensión de registros en DeepSeek

Con el aumento de su popularidad, DeepSeek también ha captado la atención de actores maliciosos e, incluso, según algunos analistas, de posibles rivales corporativos. Hoy, coincidiendo con el momento en que la aplicación DeepSeek AI Assistant superó a ChatGPT como la más descargada en la App Store de Apple, la compañía se vio obligada a restringir nuevos registros tras sufrir un ataque cibernético.

"Debido a ataques maliciosos a gran escala contra nuestros servicios, estamos limitando temporalmente los registros para garantizar la continuidad del servicio", se lee en un comunicado oficial en la página de estado de DeepSeek.

Si bien la empresa no ha proporcionado detalles específicos sobre la naturaleza del ataque, los informes sugieren que se trata de un ataque de denegación de servicio distribuido (DDoS), el cual busca sobrecargar los servidores enviando un volumen masivo de tráfico malicioso.

A pesar de las restricciones en el registro, los usuarios existentes pueden continuar accediendo a la plataforma. Además, aquellos que deseen iniciar sesión pueden hacerlo mediante su cuenta de Google, compartiendo información como nombre, correo electrónico, idioma preferido y foto de perfil.

DeepSeek bajo escrutinio de ciberseguridad

La rápida popularidad de DeepSeek también ha atraído la atención de investigadores en ciberseguridad. La firma KELA informó hoy que ha logrado vulnerar el modelo DeepSeek R1 mediante técnicas de jailbreak, lo que le permitió generar contenido malicioso.

"KELA ha observado que, si bien DeepSeek R1 comparte similitudes con ChatGPT, es considerablemente más vulnerable", se detalla en su informe. "Nuestro equipo rojo de IA logró evadir sus restricciones en varios escenarios, permitiendo la generación de resultados maliciosos, como código de ransomware, información confidencial y guías detalladas para la fabricación de sustancias y explosivos".

BleepingComputer intentó comunicarse con DeepSeek para obtener más información sobre el ataque y sus medidas de mitigación, pero hasta el momento no ha recibido respuesta.

En conclusión, el ataque contra DeepSeek subraya los riesgos de ciberseguridad asociados con las plataformas emergentes de IA, especialmente aquellas que experimentan un crecimiento explosivo. A medida que la competencia en el sector de la inteligencia artificial se intensifica, la seguridad de estos modelos y la confianza de los usuarios se convertirán en factores determinantes para su éxito a largo plazo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha comenzado a probar una nueva función de "bloqueador de scareware" en su navegador Edge para Windows, utilizando aprendizaje automático (ML) para detectar y prevenir estafas de soporte técnico en tiempo real.

Protección contra estafas de scareware

Las estafas de scareware, también conocidas como estafas de soporte técnico, han sido una amenaza persistente durante años. Los ciberdelincuentes utilizan páginas fraudulentas para engañar a los usuarios haciéndoles creer que sus dispositivos están infectados con malware, con el objetivo de obtener acceso remoto a sus sistemas.

Defender SmartScreen ya protege a los usuarios de Edge al detectar y bloquear sitios web maliciosos en minutos. Sin embargo, el nuevo bloqueador de scareware de Microsoft, presentado en la conferencia Ignite 2024, ofrece una capa adicional de protección con detección avanzada basada en inteligencia artificial.

Cómo funciona el bloqueador de scareware en Edge

Este bloqueador utiliza un modelo de aprendizaje automático ejecutado localmente en el equipo del usuario. Gracias a la visión por computadora, compara las páginas de pantalla completa con miles de ejemplos de estafas previamente identificadas por la comunidad de seguridad.

Cuando Edge detecta una página fraudulenta:

• Sale del modo de pantalla completa.
• Silencia cualquier audio intrusivo.
• Muestra una advertencia al usuario.

• Permite continuar con la carga del sitio si el usuario confía en él.

Los usuarios también pueden reportar sitios sospechosos, ayudando a mejorar la base de datos de Defender SmartScreen y reduciendo los falsos positivos.

Cómo activar el bloqueador de scareware en Microsoft Edge

• Para habilitar esta nueva función en Edge:
• Asegúrese de que su administrador permita las vistas previas.
• Actualice Edge a la versión más reciente.
• Reinicie el navegador.
• Verifique la configuración en "Búsqueda de privacidad y servicios" para activar el bloqueador.

Refuerzo de seguridad con Microsoft Defender SmartScreen

El bloqueador de scareware complementa las protecciones existentes en Edge, fortaleciendo la seguridad de los usuarios contra amenazas emergentes. Además, Microsoft sigue expandiendo sus soluciones de ciberseguridad, como la nueva protección contra la suplantación de identidad de marca en Teams Chat, que estará disponible a mediados de febrero de 2025.

Con estas mejoras, Microsoft refuerza su compromiso con la seguridad en línea, ayudando a los usuarios a navegar con mayor confianza y protección frente a amenazas digitales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha descubierto una vulnerabilidad crítica en el modelo de lenguaje grande (LLM) Llama de Meta, que podría permitir a atacantes ejecutar código arbitrario en servidores de inferencia.

CVE-2024-50050: Detalles de la vulnerabilidad

📌 Gravedad: 6.3 (CVSS), 9.3 (Snyk)
📌 Impacto: Ejecución remota de código (RCE) a través de deserialización insegura
📌 Componente afectado: Llama Stack, interfaz API para aplicaciones de inteligencia artificial

El fallo reside en la implementación de la API de inferencia en Python, que utiliza pickle para la serialización de datos. Dado que pickle permite la ejecución de código arbitrario, los atacantes pueden explotar esta falla enviando datos maliciosos a través de sockets ZeroMQ expuestos en la red.

🛑 "Si el socket ZeroMQ está expuesto, los atacantes pueden inyectar objetos maliciosos y lograr ejecución de código en el servidor host", advirtió el investigador de Oligo Security, Avi Lumelsky.

Meta lanza parche de seguridad para CVE-2024-50050

✔️ Fecha de divulgación: 24 de septiembre de 2024
✔️ Corrección: 10 de octubre de 2024 (versión 0.0.41 de Meta Llama)
✔️ Solución: Sustitución de pickle por JSON para evitar la ejecución de código no autorizado

Además, se ha corregido el problema en pyzmq, la biblioteca de Python que interactúa con ZeroMQ.

Otras vulnerabilidades críticas en inteligencia artificial y LLM

🔹 CVE-2024-3660 en Keras (TensorFlow) (CVSS 9.: Uso inseguro del módulo marshal, permitiendo ejecución de código arbitrario.
🔹 Fallo de seguridad en ChatGPT de OpenAI: Mal manejo de solicitudes HTTP POST puede ser explotado para realizar ataques DDoS masivos.
🔹 Exposición de claves API en asistentes de código IA: Investigaciones revelan que asistentes de codificación basados en IA recomiendan credenciales inseguras, aumentando el riesgo de filtraciones.

"Los LLM están facilitando ataques más rápidos y precisos", señala Mark Vaitzman, investigador de Deep Instinct.

¿Cómo protegerse de vulnerabilidades en modelos de IA?

✅ Actualizar a la versión más reciente de Meta Llama (0.0.41)
✅ Evitar exponer sockets ZeroMQ a redes públicas
✅ Revisar y reforzar la seguridad en APIs de inferencia
✅ Monitorear actividad sospechosa en servidores de IA

Las amenazas cibernéticas en inteligencia artificial están evolucionando, y la seguridad en LLMs como Llama, ChatGPT y TensorFlow es fundamental para mitigar riesgos de RCE, filtración de credenciales y ataques DDoS.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se han revelado múltiples vulnerabilidades de seguridad en GitHub Desktop y otros proyectos relacionados con Git, las cuales podrían permitir a atacantes obtener acceso no autorizado a credenciales de Git.

Principales vulnerabilidades descubiertas

El investigador de seguridad Ry0taK, de GMO Flatt Security, identificó fallos en la implementación del Git Credential Protocol, que podrían provocar la fuga de credenciales debido a un manejo inadecuado de mensajes.

Lista de vulnerabilidades críticas:

•   CVE-2025-23040 (CVSS 6.6): URLs maliciosas pueden filtrar credenciales en GitHub Desktop.
•   CVE-2024-50338 (CVSS 7.4): Un carácter de retorno de carro en la URL remota permite la filtración de credenciales en Git Credential Manager.
•   CVE-2024-53263 (CVSS 8.5): Git LFS permite recuperar credenciales a través de URLs HTTP manipuladas.
•   CVE-2024-53858 (CVSS 6.5): GitHub CLI puede filtrar tokens de autenticación a hosts externos en clonaciones recursivas.

¿Cómo se explotan estas vulnerabilidades?

🔹 GitHub Desktop es vulnerable a la inyección de retorno de carro (\r), lo que permite a atacantes interceptar credenciales mediante URLs diseñadas maliciosamente.
🔹 Git Credential Manager sufre de una vulnerabilidad similar en su paquete NuGet, exponiendo credenciales a hosts no relacionados.
🔹 Git LFS no verifica caracteres de control incrustados, lo que posibilita inyecciones CRLF mediante URLs HTTP.
🔹 GitHub CLI filtra tokens de autenticación en GitHub Codespaces si se establecen las variables de entorno GITHUB_ENTERPRISE_TOKEN, GH_ENTERPRISE_TOKEN y GITHUB_TOKEN.
"Clonar un repositorio malicioso en GitHub Codespaces usando GitHub CLI siempre filtrará el token de acceso a los atacantes", advirtió Ry0taK.
Parche de seguridad y mitigaciones

Microsoft y GitHub han lanzado actualizaciones para mitigar estas vulnerabilidades:

📌 CVE-2024-52006 (CVSS 2.1): Relacionado con CVE-2020-5260, aborda la fuga de credenciales causada por caracteres de retorno de carro únicos. Se corrigió en Git v2.48.1.
📌 CVE-2024-50349 (CVSS 2.1): Permite a atacantes crear URLs con secuencias de escape para engañar a los usuarios.

Cómo protegerse

✅ Actualizar a la última versión de Git y GitHub Desktop.
✅ Evitar clonar repositorios con --recurse-submodules si no son de confianza.
✅ No usar Git Credential Manager en repositorios desconocidos.
✅ Revisar variables de entorno en GitHub Codespaces para evitar filtraciones de tokens.

En conclusión, las vulnerabilidades en GitHub Desktop, Git Credential Manager y GitHub CLI representan un riesgo significativo para la seguridad de las credenciales de Git. Se recomienda a los administradores y desarrolladores actualizar sus herramientas y aplicar medidas preventivas para evitar ataques de exfiltración de datos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha confirmado que la sincronización de controladores en Windows Server Update Services (WSUS) quedará obsoleta el 18 de abril de 2025, instando a los administradores de TI a migrar a soluciones basadas en la nube.

Fin de la sincronización de controladores en WSUS

La compañía anunció esta obsolescencia en junio de 2024, promoviendo alternativas como Microsoft Intune y Windows Autopatch.
Según el comunicado de Microsoft:

📌 Fecha de desuso: 18 de abril de 2025.
📌 Impacto: No se podrán importar controladores a WSUS, pero seguirán disponibles en el Catálogo de Microsoft Update.
📌 Alternativas recomendadas:
•   Microsoft Intune y Windows Autopatch para administración en la nube.
•   Paquetes de controladores de dispositivos para entornos locales.

WSUS también quedará obsoleto en Windows Server 2025

En septiembre, Microsoft confirmó que WSUS dejará de recibir nuevas funciones, aunque continuará publicando actualizaciones y mantendrá su funcionalidad actual.
De hecho, el 13 de agosto de 2024, WSUS fue incluido en la lista de características eliminadas o sin desarrollo activo en Windows Server 2025. Según Nir Froimovici, ingeniero de Microsoft:

"No invertiremos en nuevas capacidades ni aceptaremos solicitudes de funciones para WSUS. Sin embargo, seguiremos ofreciendo soporte y actualizaciones a través del canal WSUS".
WSUS, lanzado en 2005 como Software Update Services (SUS), ha sido una herramienta clave para administradores de TI, permitiendo la gestión centralizada de actualizaciones en redes empresariales. Sin embargo, su retiro marca la transición hacia soluciones de administración de actualizaciones basadas en la nube.

Opciones recomendadas para reemplazar WSUS

Microsoft alienta a las organizaciones a adoptar alternativas modernas para la gestión de actualizaciones:
✅ Microsoft Intune: Gestión unificada de dispositivos en la nube.
✅ Windows Autopatch: Automatización de actualizaciones para dispositivos empresariales.
✅ Azure Update Manager: Administración de actualizaciones basada en la nube para servidores y clientes.

En conclusión, la eliminación de la sincronización de controladores en WSUS y la obsolescencia de WSUS en Windows Server 2025 refuerzan el cambio de Microsoft hacia soluciones en la nube. Las organizaciones deben prepararse para la transición y considerar opciones como Microsoft Intune y Windows Autopatch para optimizar la administración de actualizaciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los piratas informáticos han lanzado una campaña de suplantación de identidad (phishing) con más de 1.000 sitios web falsos que imitan a Reddit y WeTransfer. Estos portales fraudulentos conducen a la descarga del peligroso malware Lumma Stealer, diseñado para robar credenciales y datos confidenciales.

Cómo funciona el ataque

Los ciberdelincuentes crean páginas falsas con un diseño idéntico a Reddit, donde publican hilos ficticios sobre temas específicos. En estos foros manipulados:
1.   Un usuario ficticio solicita ayuda para descargar una herramienta.
2.   Otro usuario responde ofreciendo un enlace de WeTransfer.
3.   Un tercero agradece, generando confianza en la legitimidad del enlace.

Cuando las víctimas desprevenidas hacen clic en el enlace, son redirigidas a un sitio falso de WeTransfer, que imita la interfaz del servicio real. Sin embargo, al presionar el botón "Descargar", en realidad obtienen la carga maliciosa de Lumma Stealer, alojada en un dominio fraudulento como weighcobbweo[.]arriba.

Detalles de la campaña de malware

•   Cantidad de sitios falsos: 529 imitan a Reddit y 407 a WeTransfer.
•   Nombres de dominio utilizados: Incorporan la marca suplantada con números y caracteres aleatorios para parecer legítimos.
•   Extensiones más utilizadas: .org y .net.

El investigador de ciberseguridad Crep1x de Sekoia identificó estos sitios maliciosos y compartió una lista completa con los dominios fraudulentos involucrados en la campaña.

Métodos de distribución y vectores de ataque

Los ciberdelincuentes utilizan múltiples estrategias para distribuir Lumma Stealer:

•   SEO malicioso (Black Hat SEO) para posicionar las páginas fraudulentas en Google.
•   Publicidad maliciosa que redirige a los sitios falsos.
•   Mensajes directos en redes sociales con enlaces infectados.
•   Sitios web comprometidos que alojan la carga útil del malware.

Este modus operandi es similar a una campaña anterior descubierta hace un año, donde 1.300 sitios falsos suplantaban a AnyDesk para distribuir el malware Vidar Stealer.

Lumma Stealer: Un peligroso malware de robo de información

Lumma Stealer es una de las herramientas más avanzadas de robo de credenciales y evasión de seguridad. Se vende en foros clandestinos y es distribuida a través de:

•   Comentarios maliciosos en GitHub.
•   Sitios web de deepfake.
•   Publicidad engañosa en redes sociales y buscadores.

Este malware puede robar:

✅ Contraseñas almacenadas en navegadores web.
✅ Tokens de sesión para secuestrar cuentas sin necesidad de credenciales.
✅ Datos confidenciales de empresas, que luego se venden en foros de ciberdelincuentes.

En los últimos meses, Lumma Stealer ha sido vinculado a ataques de alto impacto contra empresas como PowerSchool, HotTopic, CircleCI y Snowflake.
Cómo protegerse de esta amenaza:

🔹 Verifica los enlaces antes de hacer clic. Si recibes un enlace de WeTransfer o Reddit, revisa la URL cuidadosamente.
🔹 Utiliza software de ciberseguridad actualizado. Un buen antivirus puede detectar intentos de phishing y malware.
🔹 Habilita la autenticación en dos pasos (2FA). Esto reduce el riesgo de robo de cuentas en caso de fuga de credenciales.
🔹 Evita descargar archivos de fuentes no verificadas. Siempre confirma la autenticidad de los enlaces antes de proceder.

En conclusión, la campaña de suplantación de Reddit y WeTransfer con Lumma Stealer demuestra cómo los ciberdelincuentes explotan la confianza de los usuarios para robar información confidencial. Mantenerse informado y aplicar buenas prácticas de seguridad digital es clave para evitar caer en estas trampas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Brave Search ha presentado Rerank, una nueva función que permite a los usuarios personalizar el orden de los resultados de búsqueda y dar mayor prioridad a sitios web específicos. 

Esta herramienta de búsqueda, desarrollada por Brave Software, se enfoca en la privacidad y utiliza su propio índice web, diferenciándose de motores como Google o Bing, que dependen de rastreadores y perfiles de usuario para ofrecer resultados. 

Brave Search: una alternativa privada con 75 millones de usuarios

Según las últimas estadísticas, Brave Search cuenta con más de 75 millones de usuarios activos y gestiona 1.2 mil millones de búsquedas mensuales. 

Ahora, con Rerank, los usuarios pueden subir o bajar dominios en sus resultados de búsqueda, ajustándolos según sus preferencias individuales. 

Cómo funciona Rerank en Brave Search

La función Rerank está disponible a través de un nuevo panel en la página de resultados, ubicado en el lado derecho de la pantalla. 

Personalización con un solo clic
Los usuarios pueden ajustar los resultados fácilmente: 

- Pulgar arriba: Aumenta la clasificación de un dominio en búsquedas futuras. 
- Pulgar abajo: Reduce la prioridad o elimina un sitio de los resultados. 

De esta forma, es posible priorizar fuentes confiables y descartar aquellas que no cumplen con las expectativas de calidad. 

Mayor control sin rastreo de datos

A diferencia de los algoritmos de personalización utilizados por Google o Bing, Rerank permite a los usuarios ajustar los resultados de manera transparente y sin recopilación de datos. 

Según Arjaldo Karaj, vicepresidente de Brave Search: 

> "Rerank permite a los usuarios ajustar fácilmente los resultados de búsqueda de acuerdo con sus preferencias, explícitamente, mientras tienen el control total. Algoritmos desconocidos no realizan ninguna personalización opaca, ya que Rerank pone a los usuarios a cargo de su experiencia de búsqueda". 

Además, Brave Search no almacena ni utiliza los datos de Rerank para modificar los resultados globales. Todas las preferencias se guardan localmente en el dispositivo del usuario y se aplican solo a su cuenta. 

Privacidad garantizada: sin seguimiento ni almacenamiento de datos 

- La configuración de Rerank se guarda mediante cookies, pero estas no se utilizan para rastreo. 
- Los usuarios pueden restablecer sus preferencias en cualquier momento y volver a la configuración predeterminada de Brave Search. 

Diferencias entre Rerank y Goggles

Rerank se basa en Goggles, una función introducida en 2022 que permite a los usuarios crear sus propias reglas y filtros para modificar los algoritmos de búsqueda. 

Sin embargo, Rerank no sustituye a Goggles, sino que ofrece una herramienta más sencilla y rápida para ajustar la clasificación de los resultados sin necesidad de configuraciones avanzadas. 

Un buscador más personal y privado 

Con Rerank, Brave Search se consolida como una alternativa innovadora a los motores de búsqueda tradicionales, ofreciendo: 

✅ Mayor control sobre los resultados de búsqueda. 
✅ Privacidad total sin rastreo ni almacenamiento de datos. 
✅ Configuración flexible que se adapta a cada usuario. 

Si buscas un motor de búsqueda privado y personalizable**, Brave Search con Rerank es una excelente opción para mejorar tu experiencia de navegación sin comprometer tu privacidad. 


Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han detectado una nueva campaña de **distribución de malware** que utiliza verificaciones CAPTCHA falsas** para engañar a los usuarios y entregar el infame Lumma Stealer, un troyano especializado en el robo de información. 

Según Netskope Threat Labs, esta amenaza ha afectado a víctimas en **Argentina, Colombia, Estados Unidos, Filipinas y otros países. "La campaña no solo es global, sino que también se dirige a múltiples industrias, incluidas la atención médica, la banca, el marketing y las telecomunicaciones**, siendo esta última la más afectada", afirmó Leandro Fróes, ingeniero senior de investigación de amenazas en Netskope, en un informe compartido con *The Hacker News*. 

Método de ataque: CAPTCHA falso y ejecución de comandos maliciosos

El ataque comienza cuando la víctima visita un sitio web comprometido, que la redirige a una página con un CAPTCHA falso. Esta página instruye al usuario para que copie y pegue un comando en la terminal de ejecución de Windows. 

Dicho comando ejecuta mshta.exe, un binario legítimo de Windows, para descargar y ejecutar un **archivo HTA malicioso** desde un servidor remoto. 

Evolución de la técnica: ClickFix y PowerShell

Esta táctica recuerda a una técnica anterior llamada ClickFix, que utilizaba un script de PowerShell codificado en Base64 para desplegar **Lumma Stealer**. 

En esta nueva versión, el archivo **HTA** ejecuta un **comando de PowerShell** que inicia una cadena de ejecución compuesta por múltiples scripts de PowerShell: 

1. Carga útil inicial: Un script que desempaqueta un segundo script. 
2. Evasión de seguridad: Antes de ejecutar Lumma, el malware omite la **interfaz de análisis antimalware de Windows (AMSI)** para evitar la detección. 

"Al utilizar este método, los atacantes evitan las defensas basadas en el navegador, ya que es la víctima quien ejecuta manualmente cada paso del ataque", explicó Fróes. 

Lumma Stealer y el modelo Malware-as-a-Service (MaaS)

Lumma Stealer es un malware que sigue el modelo **Malware-as-a-Service (MaaS), lo que significa que se vende en la dark web para que otros ciberdelincuentes lo utilicen. Su alta actividad en los últimos meses ha dificultado la detección y el bloqueo, ya que emplea diversos métodos de distribución. 

En enero de 2024, Lumma se ha propagado a través de 1.000 dominios falsos que imitan plataformas legítimas como Reddit y WeTransfer, redirigiendo a los usuarios a descargas de archivos protegidos con contraseña. 

Estos archivos contienen un dropper de AutoIT, conocido como **SelfAU3 Dropper**, que finalmente ejecuta **Lumma Stealer**. Según el investigador **Crep1x de Sekoia**, esta estrategia es similar a la usada en 2023, cuando se registraron más de **1.300 dominios falsos** de **AnyDesk** para distribuir **Vidar Stealer**. 

Phishing avanzado: Tycoon 2FA y ataques con Gravatar 

Paralelamente, Barracuda Networks** ha identificado una versión mejorada del kit de herramientas de phishing como servicio (PhaaS) Tycoon 2FA, con nuevas técnicas para **evadir las herramientas de seguridad** y frustrar su análisis. 

Estas técnicas incluyen: 

- Uso de cuentas de correo legítimas comprometidas para enviar campañas de phishing. 
- Detección de scripts de seguridad automatizados. 
- Bloqueo del menú contextual del botón derecho del ratón. 
- **Escucha de pulsaciones de teclas** que indican inspección web. 

Además, los investigadores han detectado ataques de **robo de credenciales** que aprovechan Gravatar, un servicio de avatares en línea, para suplantar empresas legítimas como **AT&T, Comcast, Eastlink, Infinity, Kojeko y Proton Mail**. 

"Los atacantes están utilizando los 'Perfiles como servicio' de **Gravatar** para crear perfiles falsos convincentes que engañan a los usuarios y los llevan a entregar sus credenciales", explicó **Stephen Kowski, CTO de SlashNext**. 

A diferencia del phishing tradicional, estos ataques están diseñados para imitar visualmente a empresas legítimas y aumentar su efectividad. 

Protegerse de Lumma Stealer y Tycoon 2FA

Para mitigar estas amenazas, se recomienda: 

- Evitar copiar y pegar comandos desconocidos** en la terminal de Windows. 
- Verificar la autenticidad de los CAPTCHA** antes de completar cualquier acción. 
- No descargar archivos desde enlaces sospechosos** en correos electrónicos o redes sociales. 
- Utilizar soluciones avanzadas de ciberseguridad** con protección contra malware y phishing. 

La evolución de Lumma Stealer, junto con el crecimiento de técnicas de **phishing avanzadas** como Tycoon 2FA, refuerza la necesidad de que empresas y usuarios refuercen sus estrategias de ciberseguridad. 

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una evaluación exhaustiva de tres modelos de firewall de **Palo Alto Networks** ha revelado **fallos de seguridad críticos** en el firmware de los dispositivos, así como configuraciones de seguridad inadecuadas que podrían ser explotadas por ciberdelincuentes. 

Según el informe publicado por **Eclypsium**, estos no son errores desconocidos ni aislados. "Se trata de vulnerabilidades ampliamente documentadas que no esperaríamos ver ni siquiera en dispositivos de consumo", afirmó la firma de ciberseguridad en un informe compartido con *The Hacker News*. Estos fallos permiten a los atacantes **evadir protecciones clave como el arranque seguro** y modificar el firmware de los dispositivos afectados. 

Modelos de firewall afectados

Eclypsium analizó tres firewalls de Palo Alto Networks: 

- **PA-3260**: Llegó al final de su venta el 31 de agosto de 2023. 
- **PA-1410 y PA-415**: Siguen siendo modelos totalmente compatibles. 

 PANdora's Box: lista de vulnerabilidades detectadas

Los fallos de seguridad descubiertos, agrupados bajo el nombre **PANdora's Box**, incluyen: 

1. **CVE-2020-10713 (BootHole)** – Afecta a **PA-3260, PA-1410 y PA-415**. Es un **desbordamiento de búfer** que permite **evadir el arranque seguro** en sistemas Linux. 
2. **CVE-2022-24030, CVE-2021-33627, CVE-2021-42060, CVE-2021-42554, CVE-2021-43323 y CVE-2021-45970** – Afectan al **PA-3260**. Son vulnerabilidades en el **modo de administración del sistema (SMM)** del firmware UEFI **InsydeH2O**, que podrían **permitir escaladas de privilegios y omisión del arranque seguro**. 
3. **LogoFAIL** – Afecta al **PA-3260**. Se trata de fallos en las bibliotecas de análisis de imágenes del firmware UEFI que permiten **ejecutar código malicioso durante el arranque**. 
4. **PixieFail** – Afecta a **PA-1410 y PA-415**. Se encuentra en la pila de protocolos de red **TCP/IP de UEFI**, lo que podría derivar en **ejecución de código malicioso y filtración de datos**. 
5. **Vulnerabilidad de control de acceso flash inseguro** – Afecta al **PA-415**. Controles mal configurados en la memoria **SPI Flash** permiten modificar el firmware UEFI y evadir mecanismos de seguridad. 
6. **CVE-2023-1017** – Afecta al **PA-415**. Es una vulnerabilidad de **escritura fuera de límites** en la especificación TPM 2.0. 
7. **Omisión de claves filtradas de Intel BootGuard** – Afecta al **PA-1410**. 

Recomendaciones de seguridad 

Eclypsium advierte que incluso dispositivos diseñados para la protección pueden convertirse en **vectores de ataque** si no se actualizan y configuran correctamente. 

Las organizaciones deben adoptar un enfoque proactivo en **seguridad de la cadena de suministro**, incluyendo: 

- **Evaluaciones rigurosas de los proveedores**. 
- **Actualizaciones periódicas de firmware**. 
- **Monitoreo continuo de la integridad del dispositivo**. 

Al identificar y mitigar estas vulnerabilidades, las empresas pueden **proteger sus redes y datos contra ataques sofisticados**, evitando que los propios sistemas de seguridad se conviertan en puntos de acceso para ciberdelincuentes. 


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

**Oracle** ha instado a sus clientes a aplicar la **actualización de parches críticos (CPU) de enero de 2025**, diseñada para abordar **318 vulnerabilidades de seguridad** que afectan múltiples productos y servicios. 

Falla crítica en Oracle Agile PLM Framework (CVE-2025-21556)

Entre los errores más graves se encuentra una vulnerabilidad en **Oracle Agile Product Lifecycle Management (PLM) Framework** (**CVE-2025-21556**, **CVSS 9.9**), que podría permitir a un atacante tomar el control de instancias vulnerables. 

> *"La vulnerabilidad fácilmente explotable permite a los atacantes con pocos privilegios comprometer Oracle Agile PLM Framework a través de HTTP"*, señala la **Base de Datos Nacional de Vulnerabilidades (NVD) del NIST**. 

Oracle también advierte sobre intentos de explotación activa contra otra vulnerabilidad en el mismo producto (**CVE-2024-21287**, **CVSS 7.5**), descubierta en **noviembre de 2024**. Ambas afectan la versión **9.3.6** de Agile PLM Framework. 

Lista de vulnerabilidades críticas en productos Oracle

Entre las fallas con **puntuación CVSS de 9.8**, incluidas en esta actualización, destacan: 

- **CVE-2025-21524**: Falla en el componente **SEC de JD Edwards EnterpriseOne Tools**. 
- **CVE-2023-3961**: Vulnerabilidad en el **E1 Dev Platform Tech (Samba)** de JD Edwards EnterpriseOne Tools. 
- **CVE-2024-23807**: Exploit en el **analizador XML Apache Xerces C++** de Oracle Agile Engineering Data Management. 
- **CVE-2023-46604**: Problema en el **componente Apache ActiveMQ** del enrutador de señalización de diámetro de Oracle. 
- **CVE-2024-45492**: Falla en el **analizador XML (libexpat)** de Oracle Communications Network Analytics Data Director y Financial Services. 
- **CVE-2024-56337**: Vulnerabilidad en **Apache Tomcat** de Oracle Communications Policy Management. 
- **CVE-2025-21535**: Fallo en el **núcleo de Oracle WebLogic Server**. 
- **CVE-2016-1000027**: Problema en el **Spring Framework** de Oracle BI Publisher. 
- **CVE-2023-29824**: Exploit en el **Analytics Server (SciPy)** de Oracle Business Intelligence Enterprise Edition. 

CVE-2025-21535: Una amenaza similar a CVE-2020-2883

La vulnerabilidad **CVE-2025-21535** en **Oracle WebLogic Server** se asemeja a **CVE-2020-2883** (**CVSS 9.8**), una falla crítica que puede ser explotada remotamente a través de **IIOP o T3**. 

Dicha vulnerabilidad fue recientemente añadida por la **CISA (Cybersecurity & Infrastructure Security Agency)** al catálogo de **Vulnerabilidades Explotadas Conocidas (KEV)**, indicando pruebas de explotación activa. 

Falla crítica en Kerberos 5 (CVE-2024-37371)

Otro problema abordado en esta actualización es **CVE-2024-37371** (**CVSS 9.1**), una vulnerabilidad en **Kerberos 5**, que afecta el sistema de **facturación y gestión de ingresos de Oracle Communications**. 

Este fallo podría permitir a un atacante provocar **lecturas de memoria no válidas** mediante el envío de **tokens de mensajes con longitudes incorrectas**. 

Oracle Linux: 285 parches adicionales de seguridad 

Además de estas actualizaciones, Oracle ha lanzado **285 nuevos parches de seguridad para Oracle Linux**, con el objetivo de corregir vulnerabilidades y reforzar la protección de los sistemas operativos. 

Instalar la actualización es crucial para la ciberseguridad

Oracle recomienda a todos los usuarios aplicar la **actualización de enero 2025** de inmediato para mitigar los riesgos asociados a estas vulnerabilidades críticas. Mantener los sistemas actualizados es esencial para **prevenir ataques cibernéticos y garantizar la seguridad de la infraestructura TI**. 

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El expresidente de Estados Unidos, **Donald Trump**, anunció el martes el **indulto total e incondicional** a **Ross Ulbricht**, fundador del infame mercado de la **web oscura** **Silk Road**, tras haber pasado **11 años en prisión**. 

**Trump anuncia el indulto de Ross Ulbricht en Truth Social** 

A través de su plataforma **Truth Social**, Trump compartió la noticia con una publicación en la que expresó su apoyo a Ulbricht y al **Movimiento Libertario**. 

> *"Acabo de llamar a la madre de Ross William Ulbricht para hacerle saber que, en honor a ella y al Movimiento Libertario, que me apoyó tan fuertemente, fue un placer para mí haber firmado un indulto total e incondicional a su hijo, Ross"*, escribió Trump. 

El expresidente también criticó a quienes participaron en la condena de Ulbricht, calificándolos de *"escoria"* y acusándolos de estar involucrados en la *"militarización del gobierno contra mí"*. 

Silk Road: el mercado de la web oscura que generó millones

**Silk Road** fue lanzado en **febrero de 2011** y rápidamente se convirtió en un **centro de comercio ilegal** en la **dark web**, permitiendo la venta de **drogas, bienes y servicios ilícitos**. 

Según las autoridades, el mercado generó más de **200 millones de dólares en ingresos** en menos de tres años. En **octubre de 2013**, **Ross Ulbricht**, quien operaba bajo el alias **Dread Pirate Roberts**, fue arrestado y Silk Road fue cerrado. 

En **2015**, Ulbricht fue **sentenciado a cadena perpetua sin libertad condicional** tras ser declarado culpable de: 

- **Lavado de dinero**. 
- **Tráfico de narcóticos**. 
- **Piratería informática**. 

Incautación récord de criptomonedas vinculadas a Silk Road


En **noviembre de 2021**, el **Departamento de Justicia de EE.UU. (DoJ)** anunció la confiscación de **50,676 Bitcoin** robados en el hackeo de **2012** a Silk Road. Esta incautación, valuada en **cientos de millones de dólares**, es una de las más grandes en la historia de las **criptomonedas**. 

Casos relacionados con Silk Road

Uno de los actores clave en el mercado, **James Ellingson (alias redandwhite)**, afirmó haber organizado **asesinatos por encargo** para Ulbricht. Sin embargo, el **Departamento de Justicia** señaló que no hay evidencia de que estos asesinatos se llevaran a cabo. 

Ellingson ha sido acusado de **tráfico de narcóticos y lavado de dinero**, al igual que otros vendedores de Silk Road. 

Ross Ulbricht: de la ideología libertaria al arresto

Antes de su sentencia, Ulbricht envió una carta al juez en la que expresaba su arrepentimiento y explicaba sus intenciones al crear **Silk Road**: 

> *"No buscaba ganancias financieras cuando comencé Silk Road. Quería dar a las personas la libertad de tomar sus propias decisiones y buscar su felicidad como lo consideraran adecuado"*. 

Añadió que, en su momento, creía que la gente tenía derecho a **comprar y vender libremente**, siempre que no hicieran daño a otros, pero reconoció que **fue una idea ingenua y costosa de la que se arrepiente profundamente**. 


En fin, el **indulto de Ross Ulbricht** por parte de **Donald Trump** ha generado debate en la comunidad política y tecnológica. Mientras algunos lo consideran un acto de **justicia libertaria**, otros lo ven como una decisión polémica dada la naturaleza delictiva de **Silk Road**. 
 

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha anunciado que Windows 11 24H2 ha entrado en su fase de implementación amplia y ya está disponible para todos los usuarios a través de Windows Update.

Además, la actualización Windows 11 2024 Update comenzó a desplegarse este martes en PC elegibles con Windows 10 22H2.

Microsoft amplía la actualización de Windows 11 24H2

Según Microsoft, la distribución de Windows 11 24H2 se está realizando de manera gradual y ahora incluye dispositivos con Windows 10 22H2.

"Si tienes un dispositivo con Windows 10 o Windows 11 elegible, puedes verificar si la actualización está disponible en Configuración > Windows Update y seleccionar "Buscar actualizaciones". Si tu dispositivo es compatible, verás la opción "Descargar e instalar Windows 11, versión 24H2".

Microsoft forzará la actualización en dispositivos elegibles

Microsoft también ha anunciado que forzará la instalación de Windows 11 24H2 en dispositivos compatibles que ejecuten las ediciones Home y Pro de Windows 11 22H2 y 23H2, siempre que no estén administrados por una organización.
El despliegue de Windows 11 2024 Update comenzó en octubre como una actualización completa del sistema operativo en dispositivos con Windows 11 22H2 y 23H2.

Cómo pausar o retrasar la actualización de Windows 11 24H2

Si aún no estás listo para instalar Windows 11 24H2, puedes pausar la actualización desde:
📌 Configuración > Windows Update > Elegir cuándo recibir actualizaciones.

Sin embargo, una vez que se alcance el límite de pausa, la instalación será obligatoria para garantizar que el sistema reciba las últimas mejoras de seguridad y rendimiento.

Problemas de compatibilidad en Windows 11 24H2

Algunos dispositivos pueden no recibir la actualización debido a retenciones de compatibilidad con hardware o software incompatibles.
Entre los problemas conocidos que bloquean la actualización se incluyen:

•   PC ASUS con incompatibilidades detectadas.
•   Dispositivos con Auto HDR activado.
•   Software de mejora de audio Dirac.
•   Incompatibilidad con juegos como Asphalt 8 (Airborne).
•   Equipos con cámaras integradas o que usan Safe Exam Browser y Easy Anti-Cheat.

Microsoft ofrece una guía de solución de problemas en su portal de soporte para ayudar a los usuarios a resolver inconvenientes durante la actualización.

En conclusión, Windows 11 24H2 ya está disponible para la mayoría de dispositivos compatibles, y Microsoft continuará su despliegue gradual en los próximos meses. Si tienes un equipo con Windows 10 22H2 o Windows 11 22H2/23H2, revisa Windows Update para comprobar si la actualización está disponible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hewlett Packard Enterprise (HPE) está investigando una posible violación de seguridad luego de que el grupo de amenazas IntelBroker afirmara haber robado documentos de los entornos de desarrollo de la compañía.

A pesar de la denuncia, HPE aseguró a BleepingComputer que hasta el momento no ha encontrado pruebas de una brecha de seguridad.

IntelBroker y el presunto robo de datos de HPE

Según Clare Loxley, portavoz de HPE, la compañía tuvo conocimiento de estas acusaciones el 16 de enero y activó inmediatamente sus protocolos de respuesta cibernética.

Citar"HPE desactivó las credenciales relacionadas e inició una investigación para evaluar la validez de las afirmaciones. No hay evidencia de que la información del cliente esté comprometida, ni impacto operativo en el negocio", declaró Loxley.

IntelBroker asegura haber accedido a la API de HPE, la plataforma WePay y repositorios de código en GitHub (tanto públicos como privados). Además, el grupo afirma haber robado:

• Certificados digitales (claves privadas y públicas).
• Código fuente de Zerto e iLO.
• Compilaciones de Docker.
• Datos personales de antiguos usuarios.

El 1 de febrero de 2024, IntelBroker publicó otro archivo con credenciales y tokens de acceso presuntamente sustraídos de HPE hace casi un año. En ese momento, la empresa negó haber detectado una brecha de seguridad, aunque inició una investigación.

IntelBroker y su historial de ciberataques

IntelBroker ha estado vinculado a múltiples ciberataques de alto perfil, incluyendo:

• DC Health Link: filtración de datos de 170,000 personas, incluyendo miembros de la Cámara de Representantes de EE. UU.
• Empresas tecnológicas y gubernamentales: Nokia, Cisco, Europol, Home Depot, Acuity, AMD, Ford y General Electric Aviation.
• Gobiernos e instituciones: Departamento de Estado de EE. UU. y Zscaler.

Antecedentes de ciberataques contra HPE

Hewlett Packard Enterprise ha enfrentado varias violaciones de seguridad en el pasado:

2018: Piratas informáticos chinos del grupo APT10 comprometieron sistemas de HPE y utilizaron el acceso para infiltrarse en dispositivos de clientes.
2021: Repositorios de datos de Aruba Central fueron comprometidos, permitiendo acceso no autorizado a información sobre dispositivos y sus ubicaciones.
2023: En mayo, atacantes vinculados al grupo APT29 (relacionado con el Servicio de Inteligencia Exterior de Rusia) accedieron al entorno de Microsoft Office 365 de HPE.

En conclusión, aunque HPE continúa investigando las afirmaciones de IntelBroker, la empresa sostiene que no hay evidencia de una brecha de seguridad ni impacto en sus operaciones. No obstante, el historial de ataques sufridos por la compañía refuerza la importancia de mantener medidas avanzadas de ciberseguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha publicado una solución temporal para un problema que provoca el bloqueo de Outlook clásico al escribir, responder o reenviar correos electrónicos.

Este fallo afecta a las versiones de Outlook para Microsoft 365, Outlook 2021, Outlook 2019 y Outlook 2016 tras la actualización a la versión 2412 (compilación 18324.20168), publicada el 7 de enero de 2025. Al producirse el error, los usuarios ven códigos de excepción "0xc0000005".

Cómo Identificar el Problema en Outlook

Microsoft recomienda verificar si este problema está afectando a tu sistema mediante el Visor de eventos de Windows:

• Abre el Visor de Eventos y dirígete a Registro de Aplicaciones.
• Busca el evento de bloqueo 1000 o 1001.
• Comprueba los detalles del evento para identificar si está relacionado con la actualización de Outlook.

Microsoft Implementará una Solución Oficial el 28 de Enero

El equipo de Outlook ya ha desarrollado una solución definitiva, que se implementará en el Canal Actual el próximo 28 de enero de 2025, con la actualización versión 2501 (Build 18429.20000).

Mientras tanto, la empresa ha proporcionado un método temporal para revertir Outlook a una versión anterior y solucionar el problema.

Cómo Solucionar el Bloqueo de Outlook Manualmente

Si experimentas fallos en Outlook, puedes revertir la aplicación a la versión 2411 (compilación 18227.20162), que no presenta este error. Sigue estos pasos:

Pasos para Restaurar Outlook a una Versión Anterior
1️⃣ Abre el Símbolo del Sistema como Administrador

Escribe Símbolo del sistema en la barra de búsqueda de Windows.
Haz clic derecho en el icono y selecciona "Ejecutar como administrador".
2️⃣ Introduce los siguientes comandos en la ventana del símbolo del sistema y presiona Enter después de cada uno:

cd %programfiles%\Common Files\Microsoft Shared\ClickToRun
officec2rclient.exe /update user updatetoversion=16.0.18227.20162

Con estos comandos, Outlook se restaurará a la versión anterior, eliminando los bloqueos hasta que Microsoft implemente la solución definitiva.

Otros Problemas Recientes en Outlook y Microsoft 365

📌 Fallo en Windows Server 2016 y 2019
La semana pasada, Microsoft solucionó otro error que provocaba bloqueos en las aplicaciones de Microsoft 365 y Outlook clásico en servidores con Windows Server 2016 y 2019.

📌 Nueva Versión de Outlook en Windows 10
Microsoft anunció que, a partir de la actualización de seguridad de febrero de 2025, instalará automáticamente el nuevo cliente de Outlook en los sistemas con Windows 10.

📌 Otros Errores Recientes en Outlook
En los últimos meses, Microsoft ha lanzado parches y soluciones temporales para problemas como:

• Bloqueos al abrir Outlook.
• Fallos en el inicio de sesión de Gmail en Outlook clásico.

Solución Temporal Disponible, Fijar Actualización el 28 de Enero
Si tu Outlook clásico se bloquea al escribir correos, puedes aplicar la solución manual proporcionada por Microsoft. Además, la empresa ha confirmado que el 28 de enero de 2025 se implementará una actualización oficial con el parche definitivo.


Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Comisión Federal de Comercio (FTC) ha iniciado acciones contra General Motors (GM) y su subsidiaria OnStar por la recopilación y venta ilegal de datos de geolocalización y comportamiento de conducción de millones de conductores en Estados Unidos.

La agencia gubernamental propone un acuerdo de cinco años que prohibirá a GM compartir datos confidenciales y exigirá mayor transparencia en la gestión de la información de los usuarios.

Investigación de la FTC: Violaciones Graves a la Privacidad

General Motors, fabricante de marcas como Chevrolet, Buick, GMC y Cadillac, produce más de 6,1 millones de vehículos al año en ocho países. Su subsidiaria OnStar ofrece servicios digitales en el automóvil, como navegación, asistencia en emergencias, seguridad, comunicación y diagnóstico remoto.

Tras una exhaustiva investigación, la FTC identificó múltiples violaciones en la recolección y venta de datos por parte de GM y OnStar:

🚨 Recopilación de Datos sin Consentimiento: GM registraba la geolocalización de los vehículos cada tres segundos y analizaba el comportamiento de conducción (frenado, aceleración y velocidad) sin autorización de los conductores.

💰 Venta de Datos a Terceros: La empresa vendió esta información a agencias de informes del consumidor como Verisk y Lexis Nexis, y posteriormente a Jacobs Engineering, cuyos análisis influían en las tarifas de seguros o incluso llevaban a la denegación de cobertura para los conductores afectados.

🛑 Engaño a los Consumidores: GM promovió la función "Smart Driver" de OnStar como una herramienta de autoevaluación para mejorar los hábitos de conducción, cuando en realidad era un mecanismo encubierto de recolección de datos.

🔎 Falta de Transparencia en Políticas de Privacidad: La FTC determinó que las declaraciones de privacidad de GM eran vagas e insuficientes, ya que no informaban claramente que los datos estaban siendo recolectados y vendidos a terceros.

Nuevas Regulaciones: Prohibición de Compartir Datos de Conductores

El acuerdo propuesto por la FTC impone restricciones clave a GM y OnStar, incluyendo:

✅ Prohibición de compartir datos de geolocalización y comportamiento de conducción con agencias de informes del consumidor durante 5 años.
✅ Obligación de obtener el consentimiento del usuario antes de recopilar o vender datos personales.
✅ Eliminación de datos retenidos previamente, salvo que el usuario decida conservarlos.
✅ Acceso y eliminación de datos: Los conductores podrán revisar y borrar su información fácilmente.
✅ Desactivación del rastreo en el vehículo: Se ofrecerá un método sencillo para deshabilitar la recopilación de datos de conducción.
✅ Mayor transparencia: Se exigirán divulgaciones claras sobre el uso de la información recopilada.
✅ Limitación en la recopilación de datos: Solo se permitirá almacenar información necesaria para los servicios esenciales del vehículo.

Aunque la FTC no ha impuesto una multa monetaria inmediata, ha establecido sanciones civiles de hasta $51,744 por cada violación, otorgando a GM y OnStar un plazo de 180 días para cumplir con la nueva normativa.

Caso Relacionado: Demanda Contra Allstate por Venta de Datos de Conductores

El escándalo de recolección ilegal de datos de conducción no se limita a General Motors.

El martes, BleepingComputer informó que el fiscal general de Texas, Ken Paxton, presentó una demanda contra la aseguradora Allstate y su subsidiaria de datos Arity por la recopilación, uso y venta ilegal de información de conducción de más de 45 millones de estadounidenses.

🚗 Seguimiento a través de Aplicaciones Populares:
El rastreo se realizaba mediante el SDK de Arity, integrado en aplicaciones como Life360, GasBuddy, Fuel Rewards y Routely, sin conocimiento ni consentimiento de los usuarios.

🏭 Involucramiento de Fabricantes de Automóviles:
La demanda también apunta a varios fabricantes de vehículos, incluyendo Toyota, Lexus, Mazda, Chrysler, Dodge, Fiat, Jeep, Maserati y Ram, quienes habrían compartido datos directamente con Allstate y Arity.

La Privacidad de los Conductores en Riesgo

El caso de GM y OnStar, junto con la demanda contra Allstate, expone el creciente problema del uso indebido de datos en la industria automotriz.

A medida que las tecnologías conectadas se vuelven más comunes, los reguladores como la FTC intensifican sus esfuerzos para proteger la privacidad de los consumidores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU. ha impuesto sanciones contra una empresa china de ciberseguridad y un actor cibernético con sede en Shanghái por su presunta relación con el grupo de amenazas Salt Typhoon y el reciente ciberataque a una agencia federal estadounidense.

Hackers Chinos Apuntan a Infraestructura Crítica de EE.UU.

Según el comunicado del Tesoro, actores maliciosos vinculados a la República Popular China (RPC) continúan atacando sistemas gubernamentales de EE.UU., incluyendo el Departamento del Tesoro y otras infraestructuras críticas.

Uno de los sancionados es Yin Kecheng, un hacker con más de una década de actividad cibernética, supuestamente afiliado al Ministerio de Seguridad del Estado (MSS) de China. El Tesoro lo asocia con la reciente violación de su propia red, un incidente que salió a la luz a principios de este mes.

El ataque aprovechó una vulnerabilidad en los sistemas de BeyondTrust, permitiendo que los ciberdelincuentes se infiltraran en instancias SaaS de Remote Support mediante una clave API comprometida. La actividad se ha atribuido a Silk Typhoon (antes Hafnium), el grupo responsable de la explotación de fallos de seguridad en Microsoft Exchange Server (ProxyLogon) en 2021.

Ciberespionaje: Robo Masivo de Documentos Gubernamentales

De acuerdo con Bloomberg, los atacantes irrumpieron en al menos 400 computadoras del Tesoro y sustrajeron más de 3.000 archivos confidenciales, incluyendo:

✅ Documentos de políticas y viajes
✅ Organigramas y material sobre sanciones
✅ Datos de inversión extranjera
✅ Información sensible para las fuerzas del orden

El informe también señala que los hackers accedieron a las computadoras de altos funcionarios, incluyendo la secretaria del Tesoro, Janet Yellen, el subsecretario Adewale Adeyemo y el subsecretario interino Bradley T. Smith.

Salt Typhoon y su Conexión con la Empresa China Sichuan Juxinhe

Además de Kecheng, la OFAC sancionó a Sichuan Juxinhe Network Technology Co., LTD., una empresa de ciberseguridad con sede en Sichuan, acusada de estar involucrada en ataques dirigidos a proveedores de servicios de telecomunicaciones e Internet en EE.UU.

Las investigaciones vinculan a Sichuan Juxinhe con Salt Typhoon, un grupo de hackers chino también conocido como:

• Earth Estries
• FamousSparrow
• GhostEmperor
• UNC2286

Este grupo de ciberespionaje ha estado activo desde al menos 2019, ejecutando ataques avanzados contra infraestructura crítica y entidades gubernamentales.

Recompensa de $10 Millones por Información sobre Hackers Chinos

Como parte de las medidas contra la ciberdelincuencia internacional, el Departamento de Estado ofrece una recompensa de hasta $10 millones de dólares por información que ayude a identificar o localizar actores cibernéticos maliciosos que operan bajo órdenes de Estados extranjeros.

El Departamento del Tesoro advirtió que continuará sancionando a grupos de ciberespionaje que atenten contra EE.UU., sus empresas y su gobierno.

Nuevas Regulaciones de la FCC Contra Ciberataques a Telecomunicaciones

Los ataques a proveedores de telecomunicaciones en EE.UU. han llevado a la Comisión Federal de Comunicaciones (FCC) a imponer nuevas normativas de ciberseguridad, exigiendo que las empresas del sector:

✔️ Protejan sus redes contra accesos no autorizados
✔️ Implementen planes de gestión de riesgos de ciberseguridad
✔️ Presenten una certificación anual ante la FCC

La presidenta saliente de la FCC, Jessica Rosenworcel, calificó estos hackeos como "uno de los mayores compromisos de inteligencia jamás vistos".

China, la Mayor Amenaza Cibernética para EE.UU.

Según Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el programa cibernético de China representa "la amenaza más grave y significativa" para la seguridad nacional de EE.UU. y su infraestructura crítica.

Salt Typhoon, identificado en redes federales mucho antes de su incursión en AT&T, T-Mobile, Verizon y otros proveedores, demuestra el avance y persistencia del ciberespionaje chino.

Creciente Tensión en la Guerra Cibernética EE.UU.-China

Estas sanciones reflejan la creciente tensión en la guerra cibernética entre EE.UU. y China. La actividad de grupos de hackers como Salt Typhoon y Silk Typhoon evidencia el uso agresivo de vulnerabilidades para infiltrarse en sistemas clave.

Además, la OFAC ha sancionado previamente a otras empresas chinas, como:

• Integrity Technology Group (Flax Typhoon)
• Sichuan Silence Information Technology (Pacific Rim)
• Wuhan Xiaoruizhi Science and Technology (APT31)

La ciberseguridad en EE.UU. enfrenta un desafío sin precedentes, lo que refuerza la importancia de políticas de protección robustas para defender la infraestructura crítica del país.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de ciberamenazas DoNot Team, también conocido como APT-C-35, Origami Elephant, SECTOR02 y Viceroy Tiger, ha sido vinculado a un nuevo malware para Android diseñado para realizar ataques altamente dirigidos.

Tanzeem y Tanzeem Update: Malware Avanzado para Android

Los investigadores de Cyfirma, empresa especializada en ciberseguridad, detectaron en octubre y diciembre de 2024 dos aplicaciones maliciosas denominadas Tanzeem y Tanzeem Update. Estas aplicaciones presentan funcionalidades idénticas, con leves modificaciones en la interfaz de usuario.

Según el análisis de Cyfirma, aunque la aplicación simula ser una plataforma de chat, deja de funcionar inmediatamente después de que el usuario concede los permisos necesarios. El nombre "Tanzeem" sugiere que el malware está diseñado para atacar individuos o grupos específicos en distintos países.

Modus Operandi de DoNot Team

DoNot Team, un grupo de hackers presuntamente de origen indio, ha utilizado históricamente correos electrónicos de spear-phishing y diversas familias de malware para Android con el fin de recopilar información confidencial. En octubre de 2023, se vinculó a este actor de amenazas con Firebird, una puerta trasera basada en .NET utilizada para espiar a víctimas en Pakistán y Afganistán.

Aunque los objetivos exactos del nuevo malware aún no están claros, se sospecha que ha sido desplegado contra individuos específicos con el fin de recopilar inteligencia sobre amenazas internas.

OneSignal: Herramienta Legítima, Uso Malicioso

Un aspecto notable de este malware de Android es su uso de OneSignal, una plataforma legítima de notificaciones push utilizada por empresas para enviar mensajes automáticos, correos electrónicos y SMS. Cyfirma teorizó que los atacantes han abusado de esta biblioteca para distribuir enlaces de phishing, lo que facilita la propagación del malware.

Independientemente del método de distribución, la aplicación infectada muestra una interfaz de chat falsa e insta a la víctima a hacer clic en el botón "Iniciar chat". Al hacerlo, se activa un mensaje que solicita acceso a la API de servicios de accesibilidad, lo que permite al malware ejecutar diversas acciones maliciosas sin que el usuario lo note.

Permisos Explotados y Funcionalidades del Malware

El malware Tanzeem y Tanzeem Update requieren permisos intrusivos para ejecutar sus funciones maliciosas, entre ellos:

• Acceso a registros de llamadas, contactos y mensajes SMS
• Ubicación en tiempo real del dispositivo
• Información de la cuenta del usuario
• Archivos almacenados en el dispositivo
• Captura de grabaciones de pantalla
• Conexión con servidores de comando y control (C2)

Además, los investigadores de Cyfirma han detectado que las muestras analizadas incluyen una nueva táctica basada en notificaciones push, diseñadas para engañar a los usuarios y lograr la instalación de malware adicional para Android, asegurando así su persistencia en el dispositivo.

En onclusión, este nuevo hallazgo refuerza la estrategia de DoNot Team de utilizar malware para Android con técnicas cada vez más avanzadas para el espionaje cibernético. La combinación de permisos intrusivos, abuso de OneSignal y el uso de servicios de accesibilidad demuestra la evolución de este grupo en el ámbito de la ciberseguridad ofensiva.

🔹 Recomendación: Para protegerse contra amenazas como Tanzeem, los usuarios deben evitar descargar aplicaciones de fuentes no verificadas, revisar los permisos solicitados y contar con una solución de seguridad móvil actualizada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores en ciberseguridad han detectado una nueva campaña de skimmer de tarjetas de crédito dirigida a sitios web de comercio electrónico en WordPress. Este ataque aprovecha la inserción de código JavaScript malicioso en bases de datos del sistema de gestión de contenido (CMS), enfocándose específicamente en las páginas de pago.

¿Cómo Funciona el Ataque?

El malware, identificado por Puja Srivastava de Sucuri, inyecta JavaScript malicioso en la tabla wp_options de WordPress utilizando la opción "widget_block". Esto permite al skimmer:

• Evadir la detección por herramientas de seguridad tradicionales.
• Persistir en sitios comprometidos sin alertar a los administradores.

Desde el panel de administración (wp-admin > widgets), los atacantes pueden incrustar el código malicioso en widgets de bloques HTML.

Tácticas del Malware

• Falsificación de formularios de pago: El JavaScript malicioso verifica si la página actual es de pago. Si es así, crea dinámicamente un formulario falso que imita a procesadores de pago legítimos como Stripe.
• Captura de datos confidenciales: El malware roba números de tarjetas de crédito, fechas de vencimiento, códigos CVV e información de facturación. También puede interceptar datos ingresados en formularios legítimos en tiempo real.
• Ofuscación avanzada: Los datos robados se codifican en Base64 y se cifran con AES-CBC antes de enviarse a servidores controlados por los atacantes como valhafather[.]xyz.

Relación con Ataques Previos

Esta campaña se asemeja a otra observada por Sucuri recientemente, donde los datos se ofuscaban en tres capas:

• Codificación en JSON.
• Cifrado XOR con la clave "script".
• Codificación Base64.

Los datos terminaban en servidores como staticfonts[.]com, y los ataques se dirigían también a Magento, robando información de clientes a través de sus modelos de datos.

Amenazas Adicionales

Además de los skimmers, los investigadores han identificado una campaña de phishing avanzada que utiliza correos de PayPal legítimos para secuestrar cuentas de usuarios mediante solicitudes de pago fraudulentas.

Por otro lado, se ha reportado una nueva técnica llamada suplantación de simulación de transacciones en billeteras Web3, explotando funcionalidades legítimas para drenar criptomonedas.

Recomendaciones de Seguridad

• Actualización constante: Asegúrese de que el sistema y los complementos de WordPress estén actualizados.
• Auditorías de seguridad: Revise regularmente las tablas de bases de datos, especialmente wp_options, para detectar entradas sospechosas.
• Implementar WAF: Un firewall de aplicaciones web puede bloquear actividades maliciosas como inyecciones de JavaScript.

Capacitación en ciberseguridad: Eduque a los equipos sobre la detección de ataques sofisticados, incluyendo phishing y técnicas avanzadas de exfiltración de datos.

En conclusión, la evolución de los ataques cibernéticos en plataformas populares como WordPress y tecnologías emergentes como Web3 subraya la necesidad de implementar estrategias de seguridad robustas y mantenerse informado sobre amenazas emergentes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad crítica, identificada como CVE-2024-50603, afecta al Aviatrix Controller, una plataforma de redes en la nube ampliamente utilizada. La falla, calificada con una puntuación máxima de CVSS 10.0, está siendo explotada activamente para desplegar puertas traseras y mineros de criptomonedas.

Detalles de la Vulnerabilidad

La explotación exitosa de esta vulnerabilidad permite a los atacantes ejecutar comandos maliciosos del sistema operativo debido a la falta de saneamiento en ciertos puntos finales de la API. Esto podría dar lugar a una ejecución remota de código no autenticado.

La vulnerabilidad, descubierta por Jakub Korepta de la firma de ciberseguridad Securing, ha sido solucionada en las versiones 7.1.4191 y 7.2.4996 del Aviatrix Controller. Sin embargo, un exploit de prueba de concepto (PoC) ya está disponible públicamente, aumentando el riesgo de explotación.

Impacto en Entornos Empresariales

Según datos recopilados por la empresa de seguridad en la nube Wiz, aproximadamente el 3% de los entornos empresariales en la nube utilizan Aviatrix Controller, y de estos, el 65% presenta rutas de movimiento lateral hacia permisos administrativos del plano de control.

Particularmente preocupante es la implementación en entornos de AWS, donde la configuración predeterminada facilita la escalada de privilegios, lo que aumenta significativamente el impacto potencial de la explotación.

Ataques Observados en el Mundo Real

Los atacantes están aprovechando la vulnerabilidad para:

• Minar criptomonedas: Utilizando herramientas como XMRig para monetizar el acceso a las instancias comprometidas.
• Persistencia: Implementando el marco de comando y control (C2) Sliver para mantener el acceso.
• Enumeración y exfiltración de datos: Aunque no se ha confirmado el movimiento lateral en la nube, se sospecha que los atacantes están explorando permisos en el entorno afectado para potencialmente extraer datos.

Recomendaciones de Seguridad

A la luz de la explotación activa, Wiz y otros expertos recomiendan:

• Actualizar inmediatamente: Aplique los parches disponibles (versiones 7.1.4191 y 7.2.4996).
• Restringir el acceso público: Evite exponer el Aviatrix Controller a la red pública.
• Auditorías y monitoreo: Realice revisiones constantes de los permisos en la nube para detectar actividades sospechosas.

En conclusión, la explotación activa de CVE-2024-50603 resalta la necesidad de una gestión proactiva de vulnerabilidades en plataformas de redes en la nube. Implementar las medidas de seguridad recomendadas y aplicar parches de manera oportuna es clave para proteger los entornos empresariales y evitar compromisos significativos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una campaña de ransomware ha comenzado a explotar los buckets de Amazon S3 utilizando el cifrado del lado del servidor con claves proporcionadas por el cliente (SSE-C), un mecanismo donde solo el actor de amenazas conoce la clave. Este método permite exigir rescates a las víctimas a cambio de la clave de descifrado.

Detalles del Ataque

Descubierta por Halcyon, la campaña ha sido atribuida a un grupo de amenazas denominado "Codefinger", que ya ha afectado al menos a dos víctimas. Sin embargo, se teme que estas tácticas puedan adoptarse rápidamente por otros actores maliciosos.

Amazon S3 es un servicio de almacenamiento de objetos seguro y escalable de Amazon Web Services (AWS), utilizado para alojar archivos, copias de seguridad y registros, entre otros. Los buckets de S3 pueden ser cifrados con SSE-C, que utiliza claves de cifrado proporcionadas y gestionadas por el cliente.

En estos ataques, los actores maliciosos emplean credenciales de AWS comprometidas para identificar claves con privilegios como s3:GetObject y s3:PutObject, lo que les permite cifrar los objetos almacenados. Los atacantes generan claves AES-256 locales para este propósito. Dado que AWS no almacena estas claves, las víctimas no pueden recuperar los datos sin la clave proporcionada por el atacante.

CitarHalcyon explicó:

"Al utilizar los servicios nativos de AWS, logran el cifrado de una manera que es segura e irrecuperable sin su cooperación".

Método de Extorsión

Después del cifrado, los atacantes configuran una política de eliminación de archivos en siete días utilizando la API de gestión del ciclo de vida de objetos de S3. Además, colocan notas de rescate que instruyen a las víctimas a pagar un rescate en Bitcoin a cambio de la clave de descifrado. Las notas advierten que cualquier intento de cambiar permisos o modificar los datos puede terminar unilateralmente las negociaciones.

Medidas de Defensa

Halcyon notificó a Amazon sobre esta campaña. AWS afirmó que se esfuerza por alertar rápidamente a los clientes con claves expuestas, fomentando la adopción de protocolos de seguridad más estrictos.

Entre las recomendaciones de Halcyon para mitigar estos ataques se incluyen:

• Restringir el uso de SSE-C: Implementar políticas que deshabiliten esta opción en buckets de S3.
• Gestionar claves de AWS:
• Deshabilitar las claves no utilizadas.
• Rotar claves activas con frecuencia.
• Mantener los permisos en un nivel mínimo necesario.
• Auditorías periódicas: Revisar actividades no autorizadas y fortalecer la configuración de seguridad de AWS.

En conclusión, este tipo de ataques subraya la necesidad de una gestión robusta de credenciales y políticas de seguridad en la nube. Mantener configuraciones restrictivas y realizar auditorías regulares puede ser crucial para evitar incidentes de ransomware en entornos de almacenamiento como Amazon S3.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login