⚡ Resumen semanal: Cisco 0-Day, Record DDoS, Lo...

La ciberseguridad nunca se detiene, y tampoco lo hacen los piratas informáticos. Cuando concluyó la semana pasada, ya había nuevos ataques en marcha.

Desde errores de software ocultos hasta ataques DDoS masivos y nuevos trucos de ransomware, el resumen de esta semana le ofrece las medidas de seguridad más importantes que debe conocer. Ya sea que esté protegiendo sistemas clave o bloqueando aplicaciones en la nube, estas son las actualizaciones que necesita antes de tomar su próxima decisión de seguridad.

Eche un vistazo rápido para empezar la semana informado y un paso adelante.

⚡ Amenaza de la semana

Las fallas de Cisco 0-Day están siendo atacadas — Las agencias de ciberseguridad advirtieron que los actores de amenazas han aprovechado dos fallas de seguridad que afectan a los firewalls de Cisco como parte de los ataques de día cero para entregar familias de malware previamente indocumentadas, como RayInitiator y LINE VIPER. Los programas maliciosos RayInitiator y LINE VIPER representan una evolución significativa con respecto al utilizado en la campaña anterior, tanto por su sofisticación como por su capacidad para evadir la detección. Esta actividad implica la explotación del CVE-2025-20362 (puntuación CVSS: 6,5) y del CVE-2025-20333 (puntuación CVSS: 9,9) para eludir la autenticación y ejecutar código malintencionado en los dispositivos vulnerables. Se considera que la campaña está vinculada a un grupo de amenazas denominado ArcaneDoor, que se atribuyó a un grupo de hackers supuestamente vinculado a China conocido como UAT4356 (también conocido como Storm-1849).

Protección preparada para el futuro para Microsoft

El aumento de los ataques exige un plan. Obtenga el manual de estrategias de ciberresiliencia de Veeam para Microsoft 365 y Entra ID y aprenda 10 pasos para prepararse para el futuro y proteger sus datos de SaaS. ¡Descargue ahora el manual de estrategias!

Lea ahora ➝

🔔 Noticias principales

• Nimbus Manticore usa MiniJunk en ataques de infraestructura críticos — Un grupo de ciberespionaje vinculado a Irán ha ampliado sus operaciones más allá de sus cotos de caza tradicionales de Oriente Medio para atacar a las organizaciones de infraestructura crítica de toda Europa occidental utilizando variantes de malware y tácticas de ataque que mejoran constantemente. Se ha observado que Nimbus Manticore, que coincide con la UNC1549 o Smoke Sandstorm, ataca a empresas de fabricación de defensa, telecomunicaciones y aviación en Dinamarca, Portugal y Suecia. Los principales protagonistas de la campaña son MiniJunk, una puerta trasera confusa que permite al atacante acceder de forma persistente a los sistemas infectados, y MiniBrowse, un sencillo programa de robo con versiones independientes para robar credenciales de los navegadores Chrome y Edge. MiniJunk es una versión actualizada de MINIBIKE (también conocida como SlugRein), en la que los correos electrónicos dirigen a las víctimas a páginas de inicio de sesión falsas relacionadas con el trabajo que parecen estar asociadas a empresas como Airbus, Boeing, Flydubai y Rheinmetall. En una nueva escalada de sus tácticas, se ha observado que Nimbus Manticore utilizó el servicio SSL.com a partir de mayo de 2025 para firmar su código y hacer pasar el malware por programas de software legítimos, lo que provocó una «disminución drástica de las detecciones».
• ShadowV2 apunta a Docker para atacar DDoS — Una novedosa campaña de bots de ShadowV2 está convirtiendo los ataques de denegación de servicio distribuido (DDoS) en un verdadero negocio de contratación al atacar contenedores Docker mal configurados en AWS. En lugar de confiar en imágenes maliciosas prediseñadas, los atacantes construyen contenedores en la propia máquina de la víctima para lanzar una RAT basada en Go que puede lanzar ataques DDoS. La razón exacta de este enfoque no está clara, aunque los investigadores de Darktrace sugieren que podría haber sido una forma de reducir los rastros forenses derivados de la importación de un contenedor malintencionado. Una vez instalado, el malware envía una señal de latido al servidor C2 cada segundo, y también busca nuevos comandos de ataque cada cinco segundos.
• Cloudflare mitiga el mayor ataque DDoS registrado — La empresa de seguridad y rendimiento web Cloudflare dijo que sus sistemas bloquearon un ataque de denegación de servicio distribuido (DDoS) que batió récords y que alcanzó un máximo de 22,2 terabits por segundo (Tbps) y 10,6 mil millones de paquetes por segundo (Bpps), y duró solo 40 segundos. El ataque tenía como objetivo la dirección IP única de una empresa europea de infraestructura de red anónima. Se cree que el ataque podría estar impulsado por la botnet AISURU.
• Vane Viper está vinculada a campañas maliciosas que distribuyen malware — Una operación de ciberdelincuencia de gran volumen conocida como Vane Viper que ha estado activa durante más de una década cuenta con el respaldo de una plataforma de publicidad digital comercial con un pasado accidentado. Vane Viper aprovecha cientos de miles de sitios web comprometidos y anuncios maliciosos que redirigen a los usuarios de Internet desprevenidos a destinos como kits de exploits, software malicioso y sitios web poco fiables. Los hallazgos sugieren que Vane Viper no actúa como intermediario involuntario, sino que es cómplice, facilitador y participante activo en operaciones maliciosas. También comparte paralelismos con VexTrio Viper, ya que ambas surgieron de Europa del Este alrededor de 2015 y están controladas por la diáspora rusa en Europa y Chipre. «URL Solutions, Webzilla y AdTech Holding forman un trío de empresas estrechamente relacionadas: dominios registrados en masa a través de un registrador inmerso en la ciberdelincuencia, alojados en una infraestructura gestionada por una empresa que aloja de todo, desde Methbot hasta desinformación patrocinada por el estado, y cargas útiles distribuidas a través de una red publicitaria implicada desde hace mucho tiempo en la publicidad maliciosa», afirma Infoblox. «PropellerAds no solo ha hecho la vista gorda ante el abuso delictivo de su plataforma, sino que los indicadores [...] sugieren, con una confianza de moderada a alta, que varias campañas de fraude publicitario se originaron en la infraestructura atribuida a PropellerAds».
• Dos nuevos errores de Supermicro BMC permiten implantar firmware malintencionado — Los servidores que se ejecutan en placas base vendidas por Supermicro contienen vulnerabilidades de gravedad media que pueden permitir a los piratas informáticos instalar de forma remota firmware malintencionado que se ejecuta incluso antes que el sistema operativo, lo que proporciona una persistencia sin precedentes. Dicho esto, la salvedad es que el actor de la amenaza debe tener acceso administrativo a la BMC interfaz de control para realizar la actualización o distribuirlas como parte de un ataque a la cadena de suministro al comprometer los servidores utilizados para alojar las actualizaciones del firmware y reemplazar las imágenes originales por otras maliciosas, todo ello manteniendo la firma válida. Supermicro dijo que actualizó el firmware de BMC para mitigar las vulnerabilidades y agregó que actualmente está probando y validando los productos afectados. Se desconoce el estado actual de la actualización.

‎️ 🔥 CVs de tendencia

Los hackers no esperan. Aprovechan las vulnerabilidades recién descubiertas en cuestión de horas, transformando un parche perdido o un error oculto en un punto crítico de fallo. Un CVE sin parches es todo lo que se necesita para abrir la puerta a un compromiso a gran escala. A continuación se muestran las vulnerabilidades más críticas de esta semana, que están causando sensación en todo el sector. Revise la lista, priorice la aplicación de parches y cierre la ventana de oportunidad antes de que lo hagan los atacantes.

La lista de esta semana incluye: CVE-2025-20362, CVE-2025-20333, CVE-2025-20363 (Cisco), CVE-2025-59689 (Biblioteca ESG), CVE-2025-20352 (Cisco IOS), CVE-2025-10643, CVE-2025-10644 (Wondershare Repair It), CVE-2025-7937, CVE-2025-6198 (Supermicro BMC), CVE-2025-9844 (CLI de Salesforce), CVE-2025-9125 (Escritorio Lectora), CVE-2025-23298 (NVIDIA Merlín), CVE-2025-59545 (DotNet Nuke), CVE-2025-34508 (enviar a), CVE-2025-27888 (Proxy Apache Druid), CVE-2025-10858 , CVE-2025-8014 (GitLab) y CVE-2025-54831 (Flujo de aire de Apache).

📰 En todo el mundo cibernético

• Microsoft ofrece ESU de forma gratuita en la UE — Microsoft tiene decidido para ofrecer actualizaciones de seguridad ampliadas gratuitas para los usuarios de Windows 10 en el Espacio Económico Europeo (EEE), tras la presión del grupo Euroconsumers. «Nos complace saber que Microsoft ofrecerá una opción gratuita de actualizaciones de seguridad ampliadas (ESU) para los usuarios particulares de Windows 10 del Espacio Económico Europeo (EEE)», dijeron Euroconsumers dijo . En otras regiones, los usuarios deberán habilitar Windows Backup o pagar 30 dólares al año o canjear 1000 puntos Microsoft Reward. Vale la pena señalar que Windows 10 finalizó el soporte (eOS) el 14 de octubre de 2025.
• Olymp Loader visto en estado salvaje — Se ha descubierto un nuevo cargador de malware llamado Olymp Loader, que se propaga a través de repositorios de GitHub o mediante herramientas disfrazadas de software popular, como PuTTY, OpenSSL, Zoom e incluso un mod de Counter Strike llamado Classic Offensive. La solución de malware como servicio (MaaS), escrita en lenguaje ensamblador, incluye módulos robadores integrados, incluida una versión personalizada de BrowserSnatch que está disponible en GitHub. Se ha descubierto que las campañas que utilizan Olymp generan una variedad de troyanos de acceso remoto y ladrones de información, como Lumma, Raccoon, WebRat (también conocido como SalatStealer) y Quasar RAT. La herramienta fue anunciada por primera vez por un vendedor llamado OLYMPO en HackForums el 5 de junio de 2025, como una botnet, antes de convertirse en una herramienta de carga y cifrado. «El vendedor de software malicioso ha publicado una hoja de ruta que trata a Olymp como un paquete compuesto por Olymp Botnet, Olymp Loader, Olymp Crypter, un servicio de instalación y una herramienta de análisis de archivos para realizar pruebas antivirus», Outpost24 dijo . «Queda por ver si OLYMPO puede mantener y respaldar una gama de productos de malware más amplia a lo largo del tiempo». En cualquier caso, la aparición de otro paquete de software contra la delincuencia puede reducir aún más la barrera de entrada para los actores de amenazas con menos experiencia, permitiéndoles montar campañas generalizadas a gran escala en poco tiempo.
• Los anuncios maliciosos de Facebook conducen al malware JSCEAL — Los investigadores de ciberseguridad han revelado un continuo campaña eso está usando anuncios falsos en Facebook y Google para distribuir versiones premium de plataformas de negociación como TradingView de forma gratuita. Según Bitdefender, la actividad también se ha extendido a YouTube, donde los anuncios patrocinados de la plataforma se utilizan para dirigir a los usuarios a descargas repletas de malware que roban credenciales y comprometen cuentas. Estos anuncios se publican a través de cuentas de YouTube verificadas legítimas pero comprometidas para publicar los anuncios. Los atacantes se esfuerzan por garantizar que los canales secuestrados imiten al canal oficial de TradingView reutilizando la marca y las listas de reproducción de este último para aumentar su credibilidad. Se estima que un vídeo oculto subido por el nuevo canal, titulado «Free TradingView Premium: un método secreto que no quieren que conozcas», ha conseguido más de 182 000 visitas gracias a una publicidad agresiva. «La condición de no cotizado en bolsa es deliberada, por supuesto. Al no poder buscarse públicamente, estos vídeos maliciosos evitan la presentación de informes ocasionales y la moderación de la plataforma», dijo Bitdefender dijo . «En cambio, se muestran exclusivamente a través de ubicaciones publicitarias, lo que garantiza que lleguen a sus objetivos y permanezcan ocultos a la vista del público». En última instancia, los ataques condujeron al despliegue de un malware conocido como ISCAL (también conocido como WEEVILPROXY) para robar datos confidenciales.
• LockBit 5.0 Analizado — Los actores de amenazas detrás del LockBit ransomware han lanzado una versión «significativamente más peligrosa», LockBit 5.0, en su sexto aniversario, con técnicas avanzadas de ofuscación y antianálisis, a la vez que es capaz de atacar sistemas Windows, Linux y ESXi. «La versión 5.0 también comparte características de código con LockBit 4.0, incluidos algoritmos de hash y métodos de resolución de API idénticos, lo que confirma que se trata de una evolución del código base original y no de una imitación», explica Trend Micro dijo . «Preservar las funcionalidades principales y, al mismo tiempo, añadir nuevas técnicas de evasión demuestra la estrategia del grupo de mejorar gradualmente su plataforma de ransomware». Puede que LockBit no sea el grupo de ransomware más prolífico que ha sido desde que se interrumpiera su infraestructura en una operación policial a principios del año pasado, pero los resultados muestran que sigue siendo tan agresivo como siempre a la hora de perfeccionar y reorganizar sus tácticas. «El binario de Windows utiliza una gran ofuscación y empaquetado: carga su carga útil mediante la reflexión de las DLL y, al mismo tiempo, implementa técnicas antianálisis, como aplicar parches a ETW y cancelar los servicios de seguridad», afirma la empresa. «Mientras tanto, la variante de Linux recién descubierta mantiene una funcionalidad similar con opciones de línea de comandos para seleccionar directorios y tipos de archivos específicos. La variante ESXi se dirige específicamente a los entornos de virtualización de VMware, diseñados para cifrar infraestructuras completas de máquinas virtuales en un solo ataque».
• Microsoft bloquea el acceso a los servicios utilizados por la unidad militar israelí — Microsoft tiene revelada que «cesó e inhabilitó» un conjunto de servicios a la Unidad 8200 del Ministerio de Defensa de Israel (IMOD) que se utilizaban para permitir la vigilancia masiva de civiles en Gaza y Cisjordania. Dijo que había encontrado pruebas «relacionadas con el consumo de IMOD de la capacidad de almacenamiento de Azure en los Países Bajos y el uso de los servicios de inteligencia artificial». ¿El reservado contraer salió a la luz el mes pasado tras un informe de The Guardian, junto con +972 Magazine y Local Call, que reveló cómo se utilizaba el servicio Azure de Microsoft para almacenar y procesar millones de llamadas telefónicas de civiles palestinos que se hacían cada día en Gaza y Cisjordania. El periódico informó de que el tesoro de llamadas interceptadas ascendía a 8.000 terabytes de datos y se encontraba en un centro de datos de Microsoft en los Países Bajos. Los datos recopilados han sido movido fuera del país y está previsto transferirlo a la plataforma en la nube de Amazon Web Services.
• Los grupos de ransomware utilizan claves de AWS robadas para atacar la nube — Las bandas de ransomware utilizan las claves de Amazon Web Services (AWS) almacenadas en entornos locales, como los servidores de respaldo de Veeam, para pasar a la cuenta de AWS de la víctima y robar datos con la ayuda del Pacú Marco de explotación de AWS, que convierte lo que comenzó como un evento local en un compromiso con la nube . «Los actores de amenazas son cada vez más expertos en explotar los entornos de nube: aprovechan las claves de AWS comprometidas, atacan los servidores de respaldo y utilizan marcos de ataque avanzados para evitar ser detectados», dijo Varonis dijo .
• Meta presenta una opción sin anuncios en el Reino Unido — Meta ha lanzado una experiencia sin anuncios para Facebook e Instagram en el Reino Unido, que permite a los usuarios pagar 2,99 libras al mes para acceder a las plataformas sin anuncios en la web y 3,99 libras al mes para Android e iOS. «Avisaremos a los usuarios del Reino Unido mayores de 18 años que tienen la opción de suscribirse a Facebook e Instagram pagando una tarifa para utilizar estos servicios sin ver anuncios», afirman desde la empresa dijo . «Se aplicará automáticamente una tarifa adicional reducida de 2€ al mes en la web o 3€ al mes en iOS y Android a cada cuenta adicional que aparezca en el Centro de cuentas del usuario». Meta tiene importantes obstáculos en implementación del esquema en la UE, lo que provoca que caminar de regreso su modelo de anuncios, que ofrece a los usuarios la opción de recibir «anuncios menos personalizados» en pantalla completa y que no se pueden omitir temporalmente. A principios de este mes de mayo, la Comisión Europea dijo el modelo no cumple con la Ley de Mercados Digitales (DMA) y multó a Meta con 200 millones de euros. En respuesta, la empresa dijo que tendría que realizar modificaciones en el modelo que «podrían resultar en una experiencia de usuario considerablemente peor para los usuarios europeos y tener un impacto significativo». En un informe publicado en julio de 2025, la organización sin fines de lucro dedicada a la privacidad noyb dijo : «'Pay or Okay' se ha extendido por toda la UE en los últimos años y ahora se puede encontrar en cientos de sitios web. Sin embargo, las autoridades de protección de datos aún no han adoptado un enfoque coherente en toda la UE para hacer frente a estos sistemas. Deberían haberse puesto de acuerdo en esto hace mucho tiempo».
• Arrestan a dúo de adolescentes holandeses por presunto «olfateador de Wi-Fi» para Rusia — Dos adolescentes han sido arrestado en los Países Bajos en sospecha de espionaje , según se informa, en nombre de las agencias de inteligencia rusas. Los niños, ambos de 17 años, fueron arrestados el lunes. Uno ha sido puesto en prisión preventiva mientras que el otro ha sido puesto en libertad bajo fianza. Los arrestos están relacionados con las leyes relativas a la injerencia patrocinada por el Estado, pero no se han publicado detalles adicionales debido a la edad de los sospechosos y a la investigación en curso. Al parecer, a los adolescentes se les encomendó la tarea de llevar un «rastreador de Wi-Fi» a lo largo de una ruta que pasaba junto a edificios de La Haya, incluidas las sedes de Europol y Eurojust, así como de varias embajadas.
• Akira Ransomware infringe cuentas VPN de SonicWall protegidas por MFA — Los investigadores de ciberseguridad han alertado sobre un Akira «agresivo» campaña de ransomware dirigida a las VPN de SonicWall para desplegar rápidamente el casillero como parte de una ola de ataques que comenzó el 21 de julio de 2025. «En casi todas las intrusiones, el ransomware se cifró en menos de cuatro horas desde el acceso inicial, con un intervalo intermedio de tan solo 55 minutos en algunos casos», afirma Arctic Wolf en un nuevo informe. Otras actividades que se observan con frecuencia después de la explotación son el escaneo interno de la red, la actividad de Impacket SMB vinculada al descubrimiento, la detección de Active Directory y los inicios de sesión de clientes VPN que se originan en proveedores de alojamiento de servidores privados virtuales (VPS). Varias intrusiones, dirigidas contra sistemas sincronizados por firewall y LDAP, han implicado que los atacantes aprovecharan la cuenta dedicada que utilizaban para la sincronización de Active Directory para iniciar sesión mediante una VPN SSL, a pesar de no estar configurada intencionadamente para dicho acceso. En más del 50% de las intrusiones analizadas, se detectaron intentos de inicio de sesión en cuentas que tenían habilitada la función de contraseña de un solo uso (OTP). «Los inicios de sesión malintencionados fueron seguidos en cuestión de minutos por el escaneo de puertos, la actividad de las pymes impactadas y el rápido despliegue del ransomware Akira», explica la empresa apuntado . «Las víctimas pertenecían a múltiples sectores y tamaños de organizaciones, lo que sugiere una explotación masiva oportunista».
• Cuatro personas serán juzgadas por el escándalo del spyware en Grecia — Cuatro personas, dos empleados israelíes y dos griegos del proveedor de software espía Intellect, son se espera que sea juzgado en Grecia por el uso del Herramienta de vigilancia de depredadores por el gobierno gobernante en 2022 para escuchar a escondidas a jueces, oficiales militares de alto rango, periodistas y la oposición. Sin embargo, hasta la fecha, ningún funcionario del gobierno ha sido acusado en relación con el escándalo.
• Los correos electrónicos de suplantación de identidad conducen a DarkCloud Stealer — El ladrón de información conocido como DarkCloud se distribuye a través de correos electrónicos de suplantación de identidad disfrazados de correspondencia financiera que engañan a los destinatarios para que abran archivos ZIP maliciosos. El ladrón, además de añadir nuevas capas de cifrado y evasión, ataca los datos de los navegadores web, las pulsaciones de teclas, las credenciales de FTP, el contenido del portapapeles, los clientes de correo electrónico, los archivos y las carteras de criptomonedas. Las credenciales y los datos robados se envían a terminales de Telegram, FTP, SMTP o Web Panel (PHP) controlados por un atacante. Lo comercializa en Telegram un usuario llamado @BluCoder y en clearnet a través del dominio darkcloud.onlinewebshop [.] net. Se anuncia como el «mejor software de vigilancia para padres, cónyuges y empleadores». La empresa de ciberseguridad eSentire dijo : «DarkCloud es un malware que roba información escrito en VB6 y se está actualizando activamente para atacar una amplia gama de aplicaciones, incluidos clientes de correo electrónico, clientes FTP, carteras de criptomonedas y navegadores web, y admite muchas otras funciones de robo de información, como la recopilación de portapapeles y pulsaciones de teclas, el secuestro de portapapeles y la recopilación de archivos».
• «Brecha de configuración» de Nupay Plugs — La empresa india de tecnología financiera Nupay dijo que abordó una brecha de configuración después de UpGuard marcado un depósito de almacenamiento desprotegido de Amazon S3 que contiene más de 270 000 documentos relacionados con transferencias bancarias de clientes indios. La información expuesta incluía números de cuentas bancarias, importes de transacciones, nombres, números de teléfono y direcciones de correo electrónico. Los datos estaban vinculados a al menos 38 bancos e instituciones financieras diferentes. Actualmente no se sabe cuánto tiempo permanecieron los datos a disposición del público en Internet, aunque no son infrecuentes los errores de configuración de este tipo. Nupay dijo TechCrunch reveló un «conjunto limitado de registros de pruebas con detalles básicos del cliente» y que la mayoría de los detalles eran «archivos ficticios o de prueba».
• Los principales chatbots de IA brindan respuestas con afirmaciones falsas — La tendencia de algunos de los principales chatbots de IA a repetir afirmaciones falsas sobre temas de las noticias aumentó casi el doble que el año pasado, según una auditoría de NewsGuard. Las tasas de desinformación de los chatbots casi se han duplicado, pasando del 18% en agosto de 2024 al 35% un año después, y las herramientas proporcionan afirmaciones falsas sobre las noticias más de un tercio de las veces. «En lugar de citar cortes de datos o negarse a opinar sobre temas delicados, los LLM ahora se basan en un ecosistema de información en línea contaminado, a veces sembrado deliberadamente por vastas redes de actores malignos, incluidas las operaciones de desinformación rusas, y tratan las fuentes poco confiables como creíbles», dice. dijo .
• El primer ministro de Israel dice que su discurso en la ONU se transmitió directamente a los teléfonos móviles de Gaza — El primer ministro israelí, Benjamin Netanyahu dijo su discurso en las Naciones Unidas la semana pasada también se extendió a los teléfonos móviles de los residentes de Gaza en una operación sin precedentes. «Señoras y señores, gracias a los esfuerzos especiales de la inteligencia israelí, ahora también se difunden mis palabras», dijo Netanyahu dijo . «Se transmiten en vivo a través de los teléfonos móviles de Gaza». Hay no hay pruebas por cómo habría funcionado o si esto realmente hubiera ocurrido.
• Los instaladores de equipos falsos conducen al malware Oyster — Los actores de amenazas son abusar Envenenamiento por SEO y publicidad maliciosa para atraer a los usuarios que buscan Teams en línea a descargar un instalador falso que conduce a un malware llamado Ostra (también conocido como Broomstick o CleanUploader). «Oyster es una puerta trasera modular de varias etapas que proporciona un acceso remoto persistente, establece comunicaciones de comando y control (C2), recopila información del host y permite la entrega de cargas útiles posteriores», Blackpoint dijo . «Al esconderse detrás de una plataforma de colaboración ampliamente utilizada, Oyster está bien posicionada para evadir la detección casual y mezclarse con el ruido de la actividad empresarial normal». La actividad ha sido atribuida por Conscia a Vainilla Tempest (también conocido como Storm-0832 o Vice Society).
• Fallo en Streamlit Framework parcheado — Los investigadores de ciberseguridad descubrieron una vulnerabilidad en el marco de implementación de aplicaciones Streamlit que puede permitir a los atacantes secuestrar los servidores en la nube subyacentes. «Para ello, los atacantes eluden las restricciones de tipo de archivo y toman el control total de una instancia en la nube mal configurada que ejecuta aplicaciones de Streamlit», dijo Cato Networks dijo . En un hipotético escenario de ataque, los delincuentes pueden aprovechar una vulnerabilidad de carga de archivos en el marco para reescribir los archivos del servidor e implementar nuevas configuraciones de SSH. Streamlit publicó un parche de seguridad en marzo.

🎥 Seminarios web sobre ciberseguridad

• Más allá del bombo publicitario: flujos de trabajo prácticos de IA para equipos de ciberseguridad — La IA está transformando los flujos de trabajo de ciberseguridad, pero los mejores resultados provienen de combinar la supervisión humana con la automatización. En este seminario web, Thomas Kinsella, de Tines, muestra cómo identificar dónde la IA realmente agrega valor, evitar la ingeniería excesiva y crear procesos seguros y auditables que puedan ampliarse.
• Especial de Halloween: historias reales de violaciones de seguridad y la solución para acabar con los horrores de las contraseñas — Las contraseñas siguen siendo un objetivo principal para los atacantes y un problema constante para los equipos de TI. Las credenciales débiles o reutilizadas, los frecuentes restablecimientos del servicio de asistencia técnica y las políticas anticuadas exponen a las organizaciones a costosas infracciones y a daños a su reputación. En este seminario web con temática de Halloween de The Hacker News y Specops Software, conocerás historias reales sobre infracciones de seguridad, descubrirás por qué fallan las políticas de contraseñas tradicionales y verás una demostración en directo sobre cómo bloquear las credenciales comprometidas en tiempo real, para que puedas acabar con las pesadillas con las contraseñas sin aumentar la fricción de los usuarios.
• Del código a la nube: aprenda a ver todos los riesgos y corregir cada eslabón débil — La AppSec moderna necesita una visibilidad integral desde el código hasta la nube. Sin ella, las fallas ocultas retrasan las soluciones y aumentan el riesgo. Este seminario web muestra cómo la asignación del código a la nube une a los desarrolladores, DevOps y la seguridad para priorizar y corregir con mayor rapidez, lo que constituye la columna vertebral de un ASPM eficaz.

🔧 Herramientas de ciberseguridad

• Pangolín — Es un proxy inverso autohospedado que expone de forma segura los servicios privados a Internet sin abrir los puertos del firewall. Crea túneles WireGuard cifrados para conectar redes aisladas e incluye una gestión integrada de identidades y accesos, para que pueda controlar quién accede a sus aplicaciones, API o dispositivos de IoT internos. Ideal para desarrolladores, equipos de DevOps u organizaciones que necesitan un acceso remoto seguro, Pangolin simplifica el uso compartido de los recursos internos y, al mismo tiempo, los mantiene protegidos mediante una autenticación sólida y permisos basados en roles.
• Área de juegos para equipos AI Red — AI Red Teaming Playground Labs de Microsoft ofrece desafíos prácticos para practicar la investigación de los sistemas de IA en busca de brechas de seguridad. Basado en Chat Copilot e impulsado por el marco PyRiT de código abierto, te permite simular inyecciones rápidas y otros ataques adversos para identificar los riesgos ocultos en la IA generativa antes de su implementación.

Descargo de responsabilidad: Las herramientas que se muestran aquí se proporcionan estrictamente con fines educativos y de investigación. No se han sometido a auditorías de seguridad completas y su comportamiento puede presentar riesgos si se utilizan de forma indebida. Antes de experimentar, revise cuidadosamente el código fuente, pruébelo solo en entornos controlados y aplique las medidas de seguridad adecuadas. Asegúrese siempre de que su uso se ajusta a las directrices éticas, los requisitos legales y las políticas de la organización.

🔒 Consejo de la semana

Reforzar Active Directory contra los ataques modernos — Active Directory es un objetivo principal: si lo pone en peligro, los atacantes se apoderarán de su red. Refuerce sus defensas empezando por Kerberos FAST (Flexible Authentication Secure Tunneling), que cifra el tráfico previo a la autenticación para impedir el descifrado de contraseñas sin conexión y los ataques de retransmisión. Impleméntelo en el modo «Compatible», supervise los eventos del KDC (ID 34 y 35) y, a continuación, aplique la opción «Obligatorio» una vez que todos los clientes estén preparados.

Ejecute PingCastle para comprobar rápidamente el estado de los bosques y utilice ADeleg/aDeleginator para descubrir un peligroso exceso de delegación en las unidades organizativas o las cuentas de servicio. Refuerce la seguridad de las contraseñas con políticas de contraseñas detalladas (FGPP) y automatice la rotación de contraseñas de los administradores locales mediante la protección por contraseña de LAPS o Lithnet para bloquear las credenciales violadas en tiempo real.

Refuerce otras capas de control: utilice AppLocker Inspector/Gen para bloquear la ejecución de aplicaciones y gPoZaurr para detectar objetos de política de grupo huérfanos o riesgosos. Analice los servicios de certificación de AD con Locksmith para eliminar errores de configuración y utilice ScriptsEntry para detectar los scripts de inicio de sesión malintencionados que permiten la persistencia sigilosa.

Por último, aplique las líneas base de seguridad de CIS o Microsoft y genere reglas personalizadas de reducción de la superficie de ataque con ASRGen para bloquear las técnicas de explotación que eluden las políticas estándar. Esta estrategia escalonada, que rara vez se implementa, aumenta el costo del compromiso y obliga incluso a los adversarios más avanzados a esforzarse mucho más.

Conclusión

Estos titulares muestran cuán estrechamente conectadas deben estar nuestras defensas en el panorama actual de amenazas. Ningún equipo, herramienta o tecnología puede ser independiente; una seguridad sólida depende de la toma de conciencia y la acción compartidas.

Tómate un momento para compartir estas ideas, iniciar una conversación con tu equipo y convertir este conocimiento en pasos concretos. Cada parche aplicado, cada actualización de una política o cada lección compartida fortalece no solo a tu organización, sino también a la comunidad de ciberseguridad en general en la que todos confiamos.