Boletín del Día de las Amenazas: Exploit de Car...

Anthropic dijo que ha implementado una serie de mejoras de seguridad y protección en Claude Sonnet 4.5, su último modelo centrado en la codificación, que dificultan que los delincuentes exploten y protejan el sistema contra los ataques de inyección inmediata. adulación (es decir, la tendencia de una IA a hacerse eco y validar las creencias de los usuarios sin importar cuán delirantes o dañinas sean), y riesgos para la seguridad de los niños. «La mejora de las capacidades de Claude y nuestra amplia formación en seguridad nos han permitido mejorar sustancialmente el comportamiento de la modelo, reduciendo conductas preocupantes como la adulación, el engaño, la búsqueda de poder y la tendencia a fomentar el pensamiento delirante» la empresa dijo . «En cuanto a las capacidades de uso del modelo como agentes y ordenadores, también hemos logrado avances considerables en la defensa contra los ataques por inyección rápida, uno de los riesgos más graves para los usuarios de estas capacidades». La empresa de inteligencia artificial afirmó que el modelo más reciente tiene mejores capacidades de ciberseguridad defensiva, como la detección de vulnerabilidades, la aplicación de parches y las capacidades básicas de pruebas de penetración. Sin embargo, reconoció que estas herramientas podrían ser de «doble uso», lo que significa que también podrían ser utilizadas por actores malintencionados, así como por profesionales de la ciberseguridad. Los sistemas de IA generativa, como los que ofrecen Microsoft y OpenAI, están a la vanguardia de una batalla entre las empresas que ofrecen sofisticadas capacidades de generación de texto e imágenes y los actores malintencionados que buscan explotarlas.

SANS Internet Storm Center Security ha revelado su observación de un aumento significativo en los escaneos en toda Internet dirigidos a la vulnerabilidad crítica de PAN-OS GlobalProtect ( CVE-2024-3400 ). La vulnerabilidad, revelada el año pasado, es una vulnerabilidad de inyección de comandos que un atacante no autenticado podría aprovechar para ejecutar código arbitrario con privilegios de root en firewalls vulnerables. SANS ISC afirma haber detectado solicitudes especialmente diseñadas para cargar un archivo TXT y, posteriormente, intentar recuperar ese archivo mediante una solicitud HTTP GET. «Esto devolverá un error '403' si el archivo existe y un error '404' si no se ha podido subir. No ejecutará código», es apuntado . «El contenido del archivo es un archivo de sesión estándar de Global Protect y no se ejecutará. Un ataque posterior subiría el archivo a una ubicación que permitiera la ejecución del código». En las últimas semanas, también se han registrado intentos de explotación de cámaras de Hikvision susceptibles de tener una falla anterior ( CVE-2017-7921 ), SIN DISCO dijo .

Una sofisticada campaña de ataque se ha dirigido a servidores Microsoft SQL mal gestionados para implementar el código abierto Xie Broc 2 marco de comando y control (C2) que utiliza PowerShell para establecer un acceso persistente a los sistemas comprometidos. El ataque aprovecha las credenciales vulnerables de los servidores de bases de datos de acceso público, lo que permite a los atacantes obtener una posición inicial y aumentar sus privilegios mediante una herramienta llamada JuicyPotato. «XieBroc2 es un marco C2 con código de código abierto que admite varias funciones, como la recopilación de información, el control remoto y la evasión por motivos de defensa, de forma similar a Cobalt Strike», explica AhnLab dijo .

Google ha descrito las diversas recomendaciones de endurecimiento que las organizaciones pueden adoptar para protegerse contra los ataques organizados por UNC6040 , un grupo de amenazas con motivaciones financieras que se especializa en campañas de suplantación de identidad (vishing) por voz diseñadas específicamente para comprometer las instancias de Salesforce de las organizaciones y provocar el robo de datos a gran escala y la posterior extorsión. Un aspecto fundamental de la operación es engañar a las víctimas para que autoricen una aplicación malintencionada conectada al portal Salesforce de su organización. «Durante los últimos meses, UNC6040 ha demostrado su éxito reiterado a la hora de infringir las redes, haciendo que sus operadores se hicieran pasar por personal de soporte de TI para convencer a sus operadores de ingeniería social mediante contratos telefónicos de ingeniería social», dijo . «Este enfoque ha demostrado ser particularmente eficaz para engañar a los empleados, a menudo de las sucursales angloparlantes de empresas multinacionales, para que actúen de manera que permitan a los atacantes acceder o compartir credenciales confidenciales, lo que, en última instancia, facilita el robo de los datos de Salesforce de la organización. En todos los casos observados, los atacantes se basaron en manipular a los usuarios finales y no en explotar ninguna vulnerabilidad inherente a Salesforce».

Censys dijo que identificó más de 60 páginas de suplantación de identidad de criptomonedas que se hacían pasar por las populares marcas de carteras de hardware Trezor y Ledger mediante un análisis de los archivos robots.txt. Estos sitios tienen una entrada en el archivo: «No permitir: /add_web_phish.php.» «Cabe destacar que el autor de las páginas intentó impedir que los sitios populares de denuncia de suplantación de identidad indexaran las páginas al incluir los puntos finales de los sitios de denuncia de suplantación de identidad en su propio archivo robots.txt», afirma la empresa. El inusual patrón robots.txt también se ha descubierto en varios repositorios de GitHub, algunos de los cuales datan de enero de 2025. «El uso indebido de robots.txt y los conflictos de fusión que se encuentran en varios README también podrían indicar que el autor de estas páginas no conoce bien las prácticas de desarrollo web», afirma Emily Austin, investigadora de seguridad adicional .

Google ha anunciado que está actualizando Google Drive para escritorio con una detección de ransomware basada en inteligencia artificial para detener automáticamente la sincronización de archivos y permitir a los usuarios restaurar archivos fácilmente con unos pocos clics. «Nuestra detección basada en inteligencia artificial en Drive para escritorio identifica la característica principal de un ataque de ransomware (un intento de cifrar o dañar archivos en masa) e interviene rápidamente para crear una burbuja protectora alrededor de los archivos de un usuario al detener la sincronización de archivos con la nube antes de que el ransomware se propague», Google Cloud dijo . «El motor de detección se adapta al nuevo ransomware analizando continuamente los cambios en los archivos e incorporando la nueva información sobre amenazas de VirusTotal. Cuando Drive detecta una actividad inusual que sugiere un ataque de ransomware, detiene automáticamente la sincronización de los archivos afectados, lo que ayuda a evitar que los datos se corrompan de forma generalizada en toda la red de Drive de una organización y se interrumpan las tareas». Posteriormente, los usuarios reciben una alerta en su escritorio y por correo electrónico que les indica cómo restaurar sus archivos. La capacidad de detección del ransomware en tiempo real se basa en un modelo de IA especializado que se basa en millones de archivos de víctimas reales cifrados por varios tipos de ransomware.

Imgur, una popular plataforma de alojamiento de imágenes con más de 130 millones de usuarios, ha bloqueado el acceso a los usuarios del Reino Unido después de que los reguladores señalaran su intención de imponer sanciones por motivos de preocupación relacionados con los datos de los niños. El Reino Unido». El organismo de control de datos, la Oficina del Comisionado de Información (ICO), dijo que recientemente notificó a la empresa matriz de la plataforma, MediaLab AI, sus planes de multar a Imgur tras investigar su enfoque en materia de controles de edad y manejo de los datos personales de los niños. La sonda fue lanzada a principios de este mes de marzo . «La decisión de Imgur de restringir el acceso en el Reino Unido es una decisión comercial tomada por la empresa», dijo la ICO dijo . «Hemos dejado claro que la salida del Reino Unido no permite a una organización eludir su responsabilidad por ninguna infracción previa de la ley de protección de datos, y nuestra investigación sigue en curso». En una página de ayuda, Imgur confirmada Los usuarios del Reino Unido no podrán iniciar sesión, ver contenido ni cargar imágenes.

Una auditoría de la nueva aplicación móvil de mensajería instantánea MAX del gobierno ruso no encontró evidencia de vigilancia más allá del acceso a las funciones necesarias para que la aplicación funcione. «Durante dos días de observación, ninguna configuración de prueba reveló un acceso inadecuado a la cámara, la ubicación, el micrófono, las notificaciones, los contactos, las fotos y los vídeos», dijo RKS Global dijo . «Técnicamente, la aplicación tenía la capacidad de recopilar estos datos y enviarlos, pero los expertos no registraron lo sucedido. Tras revocar los permisos, la aplicación no registra los intentos de volver a obtener estos accesos mediante solicitudes o de forma no autorizada».

El gobierno del Reino Unido ha emitido una nueva solicitud para que Apple proporcione acceso a los datos cifrados de los usuarios de iCloud, esta vez centrándose específicamente en los datos de ciudadanos británicos en iCloud, según el Financial Times. La solicitud, emitida a principios de septiembre de 2025, exigía que Apple creara una forma para que los funcionarios pudieran acceder a las copias de seguridad cifradas de iCloud. En febrero, Apple se retiró Función de protección de datos avanzada de iCloud en el Reino Unido Subsecuente rechazo de grupos de defensa de la libertad civil y del gobierno de los Estados Unidos, llevaron al Reino Unido a abandonar aparentemente sus planes de obligar a Apple a debilitar las protecciones de cifrado e incluir una puerta trasera que habría permitido el acceso a los datos protegidos de los ciudadanos estadounidenses. A finales de agosto, el Financial Times también reportó que la orden secreta del gobierno del Reino Unido «no se limitaba» a la función ADP de Apple e incluía requisitos para que Apple «proporcionara y mantuviera la capacidad de divulgar las categorías de datos almacenadas en un servicio de respaldo basado en la nube», lo que sugiere que el acceso tenía un alcance mucho más amplio de lo que se sabía anteriormente.

En abril de 2025, Oligo Security reveló una serie de fallas en AirPlay llamadas Aerotransportado (CVE-2025-24252 y CVE-2025-24132) que podrían encadenarse para apoderarse de Apple CarPlay, en algunos casos, sin necesidad de interacción o autenticación por parte del usuario. Si bien la tecnología subyacente utiliza el protocolo iAP2 para establecer una conexión inalámbrica a través de Bluetooth y negociar una contraseña Wi-Fi de CarPlay para permitir que un iPhone se conecte a la red e inicie la duplicación de la pantalla, el investigador descubrió que muchos dispositivos y sistemas utilizan de forma predeterminada un enfoque «sin PIN» durante la fase de emparejamiento de Bluetooth, lo que hace que los ataques sean «sencillos y difíciles de detectar». Esto, junto con el hecho de que iAP2 no autentica el iPhone, significa que un atacante con una radio Bluetooth y un cliente iAP2 compatible puede hacerse pasar por un iPhone, solicitar las credenciales de Wi-Fi, iniciar aplicaciones y emitir cualquier comando iAP2 arbitrario. A partir de ahí, los atacantes pueden aprovechar el CVE-2025-24132 para ejecutar código de forma remota con privilegios de usuario root. «Si bien los parches para el CVE-2025-24132 se publicaron el 29 de abril de 2025, solo unos pocos proveedores selectos los aplicaron», Oligo dijo . «Hasta donde sabemos, hasta este post, ningún fabricante de automóviles ha aplicado el parche».

El Ministerio de Desarrollo Digital de Rusia está trabajando en una normativa que obligue a las empresas a restringir el tipo de datos que recopilan de los ciudadanos del país, con la esperanza de minimizar las futuras filtraciones de datos confidenciales. «Los sistemas no deben procesar la información que contenga datos personales más allá de lo necesario para garantizar los procesos empresariales» dijo Evgeny Khasin, director interino del departamento de ciberseguridad del Ministerio de Desarrollo Digital. «Esto se debe a que muchas organizaciones tienden a recopilar la mayor cantidad de datos posible para interactuar con ellos de alguna manera o utilizarlos para sus propios fines, mientras que la ley estipula que los datos deben minimizarse».

El gobierno holandés ha dijo no apoyará la propuesta de Dinamarca de una legislación de control de chat de la UE que obligue a las empresas de tecnología a introducir puertas traseras de cifrado para escanear las comunicaciones en busca de «material abusivo». La propuesta se someterá a votación el 14 de octubre. La Electronic Frontier Foundation (EFF) ha llamada la propuesta legislativa es «peligrosa» y equivale a «vigilancia por chat». Otros países de la UE que tienen opuesto la controvertida legislación incluye a Austria, Chequia, Estonia, Finlandia, Luxemburgo y Polonia.

Google tiene convenido para pagar 48 millones de dólares, y la aplicación de seguimiento menstrual Flo Health pagará 8 millones de dólares para resolver una demanda colectiva en la que se alega que la aplicación compartió ilegalmente datos de salud de personas. Se espera que Google establezca un fondo de 48 millones de dólares para las usuarias de la aplicación Flo que hayan introducido información sobre la menstruación o el embarazo entre noviembre de 2016 y finales de febrero de 2019. En marzo de 2025, la extinta empresa de análisis de datos Flurry dijo pagaría 3,5 millones de dólares por recopilar datos de salud sexual y reproductiva de la aplicación de seguimiento menstrual. La denuncia, presentada en 2021, alegaba que Flo utilizó kits de desarrollo de software para permitir a Google, Meta y Flurry interceptar las comunicaciones de los usuarios dentro de la aplicación.

Metaplataformas dijo planea empezar a utilizar las conversaciones de las personas con su chatbot de IA para ayudar a personalizar los anuncios y el contenido. La política entrará en vigor el 16 de diciembre de 2025. Por ahora, no se aplicará a los usuarios del Reino Unido, Corea del Sur y la Unión Europea. Si bien no existe un mecanismo de exclusión voluntaria, las conversaciones relacionadas con las opiniones religiosas o políticas, la orientación sexual, la salud y el origen racial o étnico sí lo serán excluido automáticamente de los esfuerzos de personalización de la empresa. La compañía dijo que su asistente digital de inteligencia artificial ahora tiene más de mil millones de usuarios activos mensuales.

La Comisión Federal de Comercio (FTC) ha demandado a la empresa operadora de Sendit, Iconic Hearts, y a su director ejecutivo por «recopilar ilegalmente datos personales de niños, engañar a los usuarios enviándoles mensajes de 'personas' falsas y engañando a los consumidores para que compren suscripciones de pago al prometer falsamente revelar quiénes son los remitentes de los mensajes anónimos». ¿La agencia dijo , «Aunque sabía que muchos usuarios eran menores de 13 años, Iconic Hearts no notificó a los padres que recopilaba información personal de los niños, incluidos sus números de teléfono, fechas de nacimiento, fotos y nombres de usuario en Snapchat, Instagram, TikTok y otras cuentas, y no obtuvo el consentimiento verificable de los padres para dicha recopilación de datos».

Los actores de amenazas venden el acceso a MatrixPDF, una herramienta que les permite convertir archivos PDF comunes en señuelos que pueden redirigir a los usuarios a sitios de malware o suplantación de identidad. «Combina funciones de suplantación de identidad y malware en un creador que modifica los archivos PDF legítimos con instrucciones falsas y seguras para los documentos, acciones de JavaScript incrustadas, contenido borroso y redireccionamientos», dijo Varonis dijo . «Para el destinatario, el archivo parece rutinario, pero abrirlo y seguir un mensaje o un enlace puede provocar el robo de credenciales o la entrega de la carga útil».

Microsoft dijo planea introducir una nueva función de seguridad Edge que protegerá a los usuarios contra las extensiones maliciosas que se descargan de forma lateral en el navegador web. «Microsoft Edge detectará y revocará las extensiones maliciosas instaladas de forma lateral», afirma. Se espera que el lanzamiento comience en noviembre de 2025. No proporcionó más detalles sobre cómo se identificarán estas extensiones peligrosas.

El gobierno de EE. UU. extendido la fecha límite para que ByteDance venda las operaciones de TikTok en EE. UU. hasta el 16 de diciembre de 2025, lo que la convierte en la cuarta prórroga de este tipo. El desarrollo se produjo en China dijo la filial estadounidense de TikTok utilizará el algoritmo chino de ByteDance como parte de un marco acordado en Estados Unidos que incluye «licenciar el algoritmo y otros derechos de propiedad intelectual». El algoritmo basado en inteligencia artificial (IA) en el que se basa la aplicación ha sido motivo de preocupación entre los círculos de seguridad nacional, ya que podría manipularse para difundir propaganda china o material polarizador entre los usuarios. China también ha denominado al acuerdo marco un «ganar-ganar». Según el acuerdo marco, alrededor del 80% del negocio de TikTok en EE. UU. sería poseído por una empresa conjunta que incluye a Oracle, Silver Lake Partners, el magnate de los medios Rupert Murdoch y el director ejecutivo de Dell, Michael Dell, y la participación de ByteDance cayó por debajo del 20% para cumplir con la ley de seguridad nacional. La venta también se extiende a otras aplicaciones, como Lemon8 y CapCut, operadas por ByteDance. Además, el algoritmo de TikTok será copiado y reentrenado usando Datos de usuario de EE. UU como parte del acuerdo, con Oracle auditando el sistema de recomendaciones. La Casa Blanca también ha prometido que todos los datos de los usuarios estadounidenses en TikTok se almacenarán en los servidores de Oracle en los EE. UU.

Un ladrón de información conocido como Acreed está ganando terreno entre los actores de amenazas, con un aumento constante de los registros de Acreed en los foros de habla rusa. El ladrón fue anunciado por primera vez en el mercado ruso en febrero de 2025 por un usuario llamado «Nu### #ez" y está considerado como un proyecto privado. En septiembre de 2025, las cinco cepas que más información robaban eran: Rhadamanthys (33%), Lumma (33%), Acreed (17%), Vidar (12%) y StealC (5%). «En la actualidad, Acreed quizás sea un proyecto desarrollado de forma privada, pero nuestro análisis de infraestructura muestra que también está integrado en un ecosistema existente que se superpone al de Vidar», dijo Intrinsec dijo .

La empresa de ciberseguridad Sophos dijo que observó a los actores del ransomware Warlock (también conocidos como Storm-2603 o Gold Salem) abusar del código abierto legítimo Velocirraptor herramienta forense digital y de respuesta a incidentes (DFIR) para establecer un túnel de red de Visual Studio Code en el entorno comprometido. Algunos de los incidentes llevaron al despliegue del ransomware. Brujo ganado prominencia en julio de 2025, después de que se descubriera que los actores de amenazas estaban abusando de una serie de fallas de seguridad en Microsoft SharePoint llamadas ToolShell para infiltrarse en las redes objetivo. A mediados de septiembre de 2025, el grupo se había cobrado 60 víctimas, e inició sus operaciones en marzo, incluida una empresa rusa, lo que sugiere que podría estar operando desde fuera del Kremlin. Microsoft lo ha descrito con una confianza moderada como un actor de amenazas con sede en China. También se ha observado que el grupo utiliza como arma las vulnerabilidades de ToolShell para eliminar una consola web ASPX que se utiliza para descargar un servidor WebSockets basado en Golang y que permite el acceso continuo al servidor comprometido independientemente de la consola web. Además, Gold Salem ha empleado la técnica Bring Your Own Vulnerable Driver (BYOVD) para eludir las defensas de seguridad mediante el uso de una vulnerabilidad ( CVE-2024-51324 ) en el controlador BdApiUtil.sys de Baidu Antivirus para terminar el software EDR. «El grupo emergente demuestra su competencia profesional con un conocido manual de estrategias de ransomware y con toques de ingenio», Sophos dijo .

Los actores de amenazas distribuyen extensiones de Chrome falsas que se hacen pasar por herramientas de inteligencia artificial (IA) como OpenAI ChatGPT, Llama, Perplexity y Claude. Una vez instaladas, las extensiones permiten a los usuarios escribir instrucciones en la barra de búsqueda de Chrome, pero las secuestran para redirigir las consultas a dominios controlados por los atacantes y rastrear la actividad de búsqueda. Los complementos del navegador «anulan la configuración predeterminada del motor de búsqueda mediante la clave de manifiesto chrome_settings_overrides», según Palo Alto Networks Unit 42 dijo . Las consultas se redirigen a dominios como chatgptforchrome [.] com, dinershtein [.] com y gen-ai-search [.] com.

Se ha descubierto que una operación sofisticada permite acceder a enrutadores y dispositivos de IoT utilizando credenciales débiles y fallos de seguridad conocidos, y alquilar los dispositivos comprometidos a otros operadores de botnets. La actividad de la operación ha registrado un importante repunte este año, con un aumento del 230% a mediados de 2025. La infraestructura de carga como servicio de redes de bots se utiliza para entregar cargas útiles para redes de bots de DDoS y de criptominería criptográfica como RondoDox, Mirai y Morte, por Nube SEK .

Los rastreadores de ubicación de Tile filtran información confidencial que puede permitir a los actores de amenazas rastrear la ubicación de un dispositivo. Así lo afirman investigadores del Instituto de Tecnología de Georgia, que aplicaron ingeniería inversa al servicio de rastreo de ubicación y descubrieron que los dispositivos filtran direcciones MAC e identificaciones únicas de los dispositivos. Un atacante puede aprovechar la ausencia de protecciones de cifrado para interceptar y recopilar la información utilizando una simple antena de radio, lo que en última instancia le permite rastrear a todos los clientes de la empresa. «Los servidores de Tile pueden conocer de forma persistente la ubicación de todos los usuarios y etiquetas, los adversarios sin privilegios pueden rastrear a los usuarios a través de los anuncios Bluetooth emitidos por los dispositivos de Tile, y el modo antirrobo de Tile se subvierte fácilmente», afirman los investigadores dijo en un estudio. Los problemas fueron denunciados a su empresa matriz, Life360, en noviembre de 2024, tras lo cual dijo que » número de mejoras «se implementaron para abordar el problema, sin especificar cuáles eran.

Las nuevas estadísticas publicadas por Forescout muestran que una cuarta parte de todos los servidores OpenSSH y el 8,5% de todos los servidores SSH ahora admiten la criptografía poscuántica (PQC). Por el contrario, la adopción del TLSv1.3 se mantiene en el 19% y el TLSv1.2, que no admite PQC, aumentó del 43% al 46%. El informe también reveló que la industria manufacturera, el petróleo y el gas y la minería tienen las tasas de adopción de la PQC más bajas, mientras que los servicios profesionales y empresariales tienen las tasas más altas. «El número absoluto de servidores compatibles con PQC pasó de 11,5 millones en abril a casi 15 millones en agosto, lo que representa un aumento del 30%», afirma adicional . El número relativo pasó del 6,2% del total de servidores al 8,5%.

Synacktiv ha documentado una nueva técnica para inyectar y activar mediante programación extensiones de Chrome en navegadores basados en Chromium dentro de dominios de Windows con fines malintencionados mediante la manipulación de los archivos de preferencias internas de Chromium y su propiedad JSON MAC asociada («super_mac»). La investigación «destaca el desafío inherente de proteger criptográficamente los secretos internos de los navegadores, como la semilla MAC, ya que cualquier solución verdaderamente sólida tendría que tener en cuenta los diversos mecanismos de seguridad específicos del sistema operativo (como DPAPI en Windows) sin afectar a la compatibilidad multiplataforma», dijo la empresa dijo .

Se ha descubierto una campaña de suplantación de identidad por correo electrónico dirigida a entidades del sector de la educación superior para robar credenciales y contraseñas de un solo uso (OTP) de Cisco Duo con el objetivo de comprometer las cuentas, filtrar datos y lanzar ataques laterales. «Los objetivos son canalizados hacia portales de inicio de sesión falsos que imitan a la perfección las páginas de inicio de sesión de las universidades». Abnormal AI dijo . «Luego, los kits de suplantación de identidad diseñados específicamente recopilan tanto las credenciales como las contraseñas de un solo uso (OTP) de Duo mediante flujos fluidos de varios pasos. Con esta información en sus manos, los atacantes se apoderan rápidamente de las cuentas, ocultan sus huellas con reglas de correo malintencionadas y lanzan campañas de suplantación de identidad laterales dentro de la misma organización». Como parte de la campaña, se han identificado más de 40 organizaciones comprometidas y más de 30 universidades e institutos seleccionados como objetivo.