⚡ Resumen semanal: Oracle 0-Day, BitLocker Bypa...

El mundo cibernético nunca se detiene y mantenerse alerta es más importante que nunca. Cada semana trae nuevos trucos, ataques más inteligentes y nuevas lecciones aprendidas sobre el terreno.

Este resumen elimina el ruido para compartir lo que realmente importa: las tendencias clave, las señales de advertencia y las historias que configuran el panorama de seguridad actual. Ya sea que estés defendiendo sistemas o simplemente manteniéndote al día, estos puntos destacados te ayudan a detectar lo que viene antes de que aparezca en tu pantalla.

⚡ Amenaza de la semana

Oracle 0-Day está siendo atacado — Los actores de amenazas vinculados al grupo de ransomware Cl0p han aprovechado una falla de día cero en E-Business Suite para facilitar los ataques de robo de datos. La vulnerabilidad, catalogada como CVE-2025-61882 (puntuación CVSS: 9,8), se debe a un error no especificado que podría permitir a un atacante no autenticado con acceso a la red mediante HTTP poner en peligro el componente de procesamiento simultáneo de Oracle y hacerse con el control del mismo. En una publicación compartida en LinkedIn, Charles Carmakal, director de tecnología de Mandiant en Google Cloud, afirmó que «Cl0p explotó múltiples vulnerabilidades de Oracle EBS, lo que le permitió robar grandes cantidades de datos de varias víctimas en agosto de 2025», y añadió que «se explotaron múltiples vulnerabilidades, incluidas las que se corrigieron en la actualización de julio de 2025 de Oracle y una que se solucionó este fin de semana (CVE-2025-61882)».

No se limite a encontrar amenazas, corríjalas más rápido con XM Cyber y Google

La integración de XM Cyber con Google Security Operations le ayuda a centrarse en lo que más importa. Reduzca de forma proactiva la superficie de ataque convirtiendo el contexto de seguridad en un plan de corrección claro y práctico.

Más información ➝

🔔 Noticias principales

• El Phantom Taurus apunta a África, Oriente Medio y Asia — Un actor estatal chino, anteriormente indocumentado, ha estado atacando a agencias gubernamentales, embajadas, operaciones militares y otras entidades en África, Oriente Medio y Asia en una operación de ciberespionaje tan sofisticada como sigilosa y persistente. Lo que diferencia a la campaña de otras actividades relacionadas con China es la precisión quirúrgica del actor de la amenaza, su persistencia sin precedentes y el uso de un conjunto de herramientas altamente sofisticado y personalizado llamado NET-STAR para perseguir los sistemas de alto valor en las organizaciones de interés. Las operaciones del actor de la amenaza cuentan con el respaldo de otras herramientas personalizadas, como TunnelSpecter y SweetSpecter para comprometer los servidores de correo y robar datos basándose en búsquedas de palabras clave.
• Detour Dog usa sitios de WordPress comprometidos para ofrecer Strela Stealer — Un grupo establecido y persistente de ciberdelincuentes ha estado infectando silenciosamente sitios web de WordPress en todo el mundo desde 2020, utilizándolos para redirigir a los visitantes desprevenidos del sitio hacia estafas y, más recientemente, hacia malware como Strela Stealer. El autor de la amenaza es rastreado como Detour Dog. El ataque implica el uso de registros TXT de DNS para enviar comandos secretos a los sitios infectados con el fin de redirigir a los visitantes a estafas o buscar y ejecutar código malicioso. En aproximadamente el 90% de los casos, el sitio web funciona según lo previsto y desencadena su comportamiento malintencionado solo en determinadas condiciones. Como los visitantes normales rara vez se encuentran con cargas maliciosas, las infecciones suelen pasar desapercibidas durante largos períodos de tiempo. Infoblox dijo que Detour Dog probablemente opere como una distribución como servicio (DaaS) y utilice su infraestructura para distribuir otro tipo de malware.
• SORVEPOTEL, el malware de WhatsApp que se propaga automáticamente, apunta a Brasil — Los usuarios brasileños se han convertido en el objetivo de un nuevo malware de autopropagación que se propaga a través de la popular aplicación de mensajería WhatsApp. La campaña, cuyo nombre clave es SORVEPOTEL de Trend Micro, aprovecha la confianza depositada en la plataforma para extender su alcance a todos los sistemas Windows, añadiendo que el ataque está «diseñado pensando en la velocidad y la propagación» y no en el robo de datos o el ransomware. El punto de partida del ataque es un mensaje de suplantación de identidad enviado por un contacto de WhatsApp que ya estaba en situación de riesgo para darle cierta credibilidad. El mensaje contiene un archivo ZIP que se hace pasar por un recibo aparentemente inofensivo o un archivo relacionado con una aplicación de salud. Una vez abierto el archivo adjunto, el malware se propaga automáticamente a través de la versión web de escritorio de WhatsApp y, en última instancia, provoca la prohibición de las cuentas infectadas por enviar spam excesivo. No hay indicios de que los actores de la amenaza hayan aprovechado el acceso para filtrar datos o cifrar archivos.
• Las campañas de spyware ProSpy y ToSpy se dirigen a los usuarios de Android de los Emiratos Árabes Unidos — Dos campañas de spyware para Android denominadas ProSpy y ToSpy se han hecho pasar por aplicaciones como Signal y ToTok para dirigirse a usuarios de los Emiratos Árabes Unidos (EAU). Las aplicaciones maliciosas se distribuyen a través de sitios web falsos y de ingeniería social para engañar a usuarios desprevenidos para que las descarguen. Una vez instaladas, ambas cepas de software espía y malware establecen un acceso persistente a los dispositivos Android comprometidos y filtran los datos. Ninguna de las aplicaciones que contenía el spyware estaba disponible en las tiendas de aplicaciones oficiales.
• Investigadores demuestran cómo dañar la RAM y el WireTap — Un nuevo ataque llamado Battering RAM puede utilizar un interpositor de 50 dólares para eludir las defensas informáticas confidenciales de los procesadores Intel y AMD utilizados en el hardware que alimenta los entornos de nube, lo que permite a los atacantes romper el cifrado diseñado para proteger los datos confidenciales. Del mismo modo, WireTap socava las garantías que ofrecen las extensiones Software Guard (SGX) de Intel en los sistemas DDR4 para descifrar pasivamente los datos confidenciales. Sin embargo, para que el ataque tenga éxito, es necesario que alguien tenga acceso físico al sistema de hardware una sola vez. Tanto Intel como AMD han calificado el ataque físico como «fuera del alcance» de sus modelos de amenazas. Los hallazgos coinciden con los de VMscape, otro ataque que rompe el aislamiento existente de la virtualización para filtrar memoria arbitraria y exponer las claves criptográficas. Se ha descrito a VMscape como «el primer ataque de extremo a extremo basado en Spectre en el que un usuario invitado malintencionado puede filtrar información confidencial y arbitraria del hipervisor del dominio host, sin necesidad de modificar el código y en la configuración predeterminada».

‎️ 🔥 CVs de tendencia

Los hackers se mueven rápido. Suelen aprovechar las nuevas vulnerabilidades en cuestión de horas, lo que convierte un único parche perdido en una brecha importante. Un CVE sin parches puede ser todo lo que se necesita para lograr un compromiso total. A continuación se muestran las vulnerabilidades más críticas de esta semana que están atrayendo la atención de todo el sector. Revíselas, priorice sus soluciones y cierre la brecha antes de que los atacantes se aprovechen de ellas.

La lista de esta semana incluye: CVE-2025-27915 (Colaboración con Zimbra), CVE-2025-61882 (Suite de negocios electrónicos de Oracle), CVE-2025-4008 (Smartbedded Meteobridge), CVE-2025-10725 (Red Hat OpenShift AI), CVE-2025-59934 (Formar ladrillos), CVE-2024-58260 (SUSE Rancher), CVE-2025-43400 (iOS 26.0.1, iPadOS 26.0.1, iOS 18.7.1, iPadOS 18.7.1, macOS Tahoe 26.0.1, macOS Sequoia 15.7.1, macOS Sonoma 14.8.1 y VisionOS 26.0.1), CVE-2025-30247 (MyCloud de Western Digital), CVE-2025-41250 , CVE-2025-41251 , CVE-2025-41252 (Broadcom VMware), CVE-2025-9230, CVE-2025-9231, CVE-2025-9232 (OpenSSL), CVE-2025-52906 (PARA VINCULAR), CVE-2025-59951 (Termix Docker), CVE-2025-10547 ( DrayTek ), CVE-2025-49844 (Redis), CVE-2025-57714 (NetBak Replicator de QNAP) y vulnerabilidades en un sistema ruso de gestión de huéspedes llamado PassOffice.

📰 En todo el mundo cibernético

• La nueva herramienta de inyección de vídeo para iOS puede realizar ataques de Deepfake — Los investigadores de ciberseguridad han descubierto una herramienta altamente especializada diseñada para realizar ataques avanzados de inyección de vídeo, lo que supone un aumento significativo del fraude de identidad digital. «La herramienta se implementa a través de dispositivos iOS 15 o posteriores con jailbreak y está diseñada para eludir los débiles sistemas de verificación biométrica y, lo que es más importante, para aprovechar los procesos de verificación de identidad que carecen por completo de salvaguardias biométricas», afirma iProov. «Este desarrollo marca un cambio hacia métodos de ataque más programáticos y escalables». Para llevar a cabo el ataque, el autor de la amenaza utiliza un servidor del mecanismo de transferencia de presentaciones remotas (RPTM) para conectar su ordenador al dispositivo iOS comprometido y, a continuación, inyectar un sofisticado medio sintético.
• Qilin Ransomware reclama 104 ataques en agosto — La operación de ransomware Qilin denunció 104 ataques en agosto de 2025, lo que la convirtió en el grupo más activo, seguido de Akira (56), Sinobi (36), DragonForce (30) y SafePay (29). «Estados Unidos sigue siendo, por abrumadora mayoría, el principal objetivo de los grupos de ransomware, mientras que Europa y Canadá siguen despertando un gran interés por parte de los atacantes, mientras que Alemania y el Reino Unido superan a Canadá y ocupan el segundo y tercer lugar, respectivamente», dijo Cyble dijo . Según los datos recopilados por Tiempos mejores , La fabricación, el comercio minorista y los hospitales y clínicas médicas fueron los sectores verticales industriales más atacados en agosto de 2025.
• Surge un nuevo kit de herramientas para soluciones de impacto — Ha aparecido un nuevo conjunto de herramientas de suplantación de identidad denominado Impact Solutions en las redes de ciberdelincuencia, que democratiza aún más el acceso a los ataques de suplantación de identidad avanzados para los actores de amenazas con conocimientos técnicos mínimos. El kit incluye módulos para crear archivos adjuntos mediante métodos abreviados de Windows (LNK), archivos HTML para ataques de contrabando de HTML, plantillas HTML que imitan páginas de inicio de sesión y visores de facturas seguros, archivos SVG integrados con secuencias de comandos y cargas útiles que aprovechan el cuadro de diálogo Ejecutar de Windows para atacar con ClickFix. «Impact Solutions, que se promociona como un marco integral de entrega de cargas útiles, ofrece a los atacantes una interfaz fácil de usar que utiliza solo un clic para crear archivos adjuntos de correo electrónico malintencionados que parecen completamente legítimos», Abnormal AI dijo . «El conjunto de herramientas se especializa en crear señuelos de ingeniería social persuasivos diseñados para eludir tanto los filtros de seguridad como de conciencia de los usuarios. Entre ellas se incluyen los archivos de acceso directo de Windows (.LNK) utilizados como armas, las páginas HTML encubiertas y las imágenes SVG disfrazadas de forma ingeniosa, todas ellas diseñadas para aprovechar la confianza humana y no las vulnerabilidades técnicas».
• Microsoft planea retirar el soporte de SVG en Outlook — Microsoft anunció que retirará el soporte para imágenes de gráficos vectoriales escalables (SVG) en línea en Outlook para Web y el nuevo Outlook para Windows a partir de principios de septiembre de 2025. «Outlook para Web y el nuevo Outlook para Windows dejarán de mostrar imágenes SVG integradas y, en su lugar, mostrarán espacios en blanco», afirman desde la empresa dijo en una actualización del Centro de mensajes de Microsoft 365. «Esto afecta a menos del 0,1% de las imágenes, mejora la seguridad y no requiere ninguna acción por parte del usuario. Los archivos adjuntos SVG siguen siendo compatibles. Las organizaciones deben actualizar la documentación e informar a los usuarios». El desarrollo se produce como actores de amenazas somos cada vez más usando archivos SVG como una forma de distribuir malware en campañas de suplantación de identidad. Anteriormente, Microsoft dijo la aplicación Outlook para Windows comenzará a bloquear los tipos de archivo .library-ms y .search-ms.
• Perfil de Keymous+ — Un perfil de Keymous+ lo describe como un actor de amenazas que utiliza servicios de arranque DDoS disponibles al público para lanzar ataques DDoS. Según NETSCOUT, se ha atribuido al grupo la confirmación de 249 ataques DDoS contra organizaciones de 15 países y 21 sectores industriales. Las agencias gubernamentales, la hostelería y el turismo, el transporte y la logística, los servicios financieros y las telecomunicaciones son algunos de los sectores más atacados. Marruecos, Arabia Saudí, Sudán, India y Francia han sufrido los ataques más frecuentes. «Si bien los ataques individuales del grupo alcanzaron un máximo de 11,8 Gbps, los esfuerzos de colaboración con los socios alcanzaron los 44 Gbps, lo que demuestra una capacidad disruptiva significativamente mejorada», afirma la empresa dijo .
• Lunar Spider utiliza un CAPTCHA falso para la entrega de malware — Se ha observado que el grupo cibercriminal de habla rusa conocido como Lunar Spider (también conocido como Gold Swathmore), del que se cree que está detrás de IceDid y Latrodectus, utiliza tácticas de ClickFix para distribuir Latrodectus. «El falso marco CAPTCHA incluye un comando para ejecutar PowerShell que descarga un archivo MSI y también permite monitorizar los clics de las víctimas, que informa a un canal de Telegram», NVISO Labs dijo . «Durante la cadena de ejecución, el archivo MSI contiene un archivo EXE de Intel registrado en una clave de ejecución que, posteriormente, carga una DLL maliciosa, identificada como Latrodectus V2». En otro informe publicado por The DFIR Report, se atribuyó al autor de la amenaza una intrusión de casi dos meses en mayo de 2024, que comenzó con un archivo JavaScript disfrazado de formulario fiscal para ejecutar el marco Brute Ratel a través de un instalador MSI, junto con Latrodectus, Cobalt Strike y un backdoor .NET personalizado. «La actividad de los actores de amenazas persistió durante casi dos meses, con conexiones intermitentes de comando y control (C2), descubrimiento, movimiento lateral y exfiltración de datos», dijo dijo . «Veinte días después de la intrusión, los datos se filtraron mediante Rclone y FTP». Los detalles de la actividad fueron previamente compartido de EclecticiQ.

• Red Hat confirma un incidente de seguridad — Red Hat reveló que actores de amenazas no autorizados irrumpieron en su instancia de GitLab, utilizada para la colaboración interna de Red Hat Consulting en determinadas contrataciones, y copiaron algunos datos de la misma. «La instancia de GitLab comprometida contenía datos sobre las contrataciones de consultoría, que podían incluir, por ejemplo, las especificaciones de los proyectos de Red Hat, fragmentos de código y comunicaciones internas sobre los servicios de consultoría», dijo la empresa dijo . «Esta instancia de GitLab no suele albergar datos personales confidenciales». También dijo que se está comunicando directamente con los clientes afectados. El reconocimiento se produjo después de que un grupo de extorsión se autodenominara Colectivo Crimson dijo robó casi 570 GB de datos comprimidos en 28 000 repositorios de desarrollo internos.
• Google actualiza CSE en Gmail — Google anunció que los usuarios del cifrado del lado del cliente (CSE) de Gmail pueden enviar correos electrónicos cifrados de extremo a extremo (E2EE) a cualquier persona, incluso si el destinatario utiliza un proveedor de correo electrónico diferente. «Los destinatarios recibirán una notificación y podrán acceder fácilmente al mensaje cifrado a través de una cuenta de invitado, lo que garantiza una comunicación segura sin la molestia de intercambiar claves o utilizar un software personalizado», explica Google dijo . La empresa primero anunciado CSE en Gmail allá por diciembre de 2022 y lo logró disponible en general en marzo de 2023.
• FunkSec regresa con FunkLocker — El FunkSec El grupo de ransomware ha resurgido con una nueva cepa de ransomware llamada FunkLocker que muestra signos de haber sido desarrollada por inteligencia artificial. «Algunas versiones apenas funcionan, mientras que otras integran funciones avanzadas, como las comprobaciones contra máquinas virtuales», ANY.RUN dijo . «FunkLocker termina forzosamente los procesos y servicios mediante listas predefinidas, lo que a menudo provoca errores innecesarios, pero aun así provoca una interrupción total del sistema».
• Actor de amenazas de ransomware conectado a Play, RansomHub y DragonForce — Una intrusión en septiembre de 2024, que comenzó con la descarga de un archivo malicioso que imitaba la aplicación EarthTime de DeskSoft, llevó al despliegue de SectopRAT, que luego dejó de usar SystemBC y otras herramientas para realizar el reconocimiento. También se descubrieron en el entorno comprometido Grixba, una utilidad de reconocimiento vinculada al ransomware Play; Betruger, una puerta trasera asociada a RansomHub; y la presencia de un resultado anterior de NetScan que contenía datos de una empresa supuestamente comprometida por el ransomware DragonForce, lo que indicaba que el actor de la amenaza probablemente estaba afiliado a varios grupos de ransomware, según el informe DFIR dijo . Si bien no se ejecutó ningún malware para cifrar archivos, el actor logró moverse lateralmente por la red a través de conexiones RDP y filtrar datos a través de WinSCP a un servidor FTP en forma de archivos WinRAR.
• LinkedIn demanda a ProAPIs por raspado no autorizado — LinkedIn archivado una demanda contra una empresa llamada ProApis por supuestamente operar una red de millones de cuentas falsas que se utilizan para extraer datos de los miembros de LinkedIn antes de vender la información a terceros sin permiso. La empresa propiedad de Microsoft afirmó que ProApis cobra a sus clientes hasta 15 000 dólares al mes por los datos de usuario extraídos de la plataforma de redes sociales. «La empresa de cuentas falsas de los demandados, a escala industrial, recopila la información de los miembros que personas reales han publicado en LinkedIn, incluidos datos que solo están disponibles detrás del muro de contraseñas de LinkedIn y a los que los clientes de los demandados no podrían acceder de otro modo y, desde luego, no se les permite copiar y conservar a perpetuidad», según la demanda.
• Periodista de la BBC ofreció dinero para hackear la red de la empresa — Un periodista de la BBC fue ofreció una cantidad significativa de dinero por parte de ciberdelincuentes que intentaron hackear la red de la BBC con la esperanza de robar datos valiosos y aprovecharlos para obtener un rescate. «Si estás interesado, podemos ofrecerte el 15% de cualquier pago de rescate si nos das acceso a tu ordenador», fue el mensaje que recibió el periodista en la aplicación de mensajería Signal en julio de 2025. La persona que contactó afirmó ser parte del grupo de ransomware Medusa. Finalmente, por precaución, su cuenta se desconectó por completo de la BBC. Cuando el periodista dejó de responder, el autor de la amenaza terminó borrando su cuenta de Signal. Los hallazgos muestran que los actores de amenazas buscan cada vez más empleados mal pagados o descontentos ante posibles objetivos para vender su acceso a fin de entrar en las redes.
• Repunte de los esfuerzos de explotación dirigidos a Grafana Flaw — Ruido gris prevenido de una fuerte oleada de intentos de explotación en un día contra el CVE-2021-43798, una vulnerabilidad de Grafana que permite la lectura arbitraria de archivos, el 28 de septiembre de 2025. A lo largo del día, 110 direcciones IP maliciosas únicas intentaron ser explotadas, y las IP con sede en China, Alemania y Bangladesh se centraron en EE. UU., Eslovaquia y Taiwán. «El patrón uniforme de segmentación en todos los países y herramientas de origen indica que se están realizando tareas comunes o que se utilizan exploits compartidos», afirmó. «La convergencia sugiere que un operador aproveche una infraestructura diversa o que varios operadores reutilicen el mismo kit de exploits y el mismo conjunto de objetivos».
• LAPSUS$, Scattered Spider y ShinyHunters lanzan un nuevo sitio de filtración de datos — El grupo holgado compuesto por LAPSUS$, Scattered Spider y ShinyHunters, tiene publicado un sitio dedicado a la filtración de datos en la web oscura, llamado Scattered LAPSUS$ Hunters, que amenaza con publicar casi mil millones de registros robados a empresas que almacenan los datos de sus clientes en bases de datos en la nube alojadas por Salesforce. «Somos conscientes de los recientes intentos de extorsión por parte de actores de amenazas, que hemos investigado en colaboración con expertos y autoridades externas», dijo Salesforce dijo en respuesta. «Nuestras conclusiones indican que estos intentos están relacionados con incidentes pasados o sin fundamento, y seguimos colaborando con los clientes afectados para proporcionarles asistencia. En este momento, no hay indicios de que la plataforma de Salesforce se haya visto comprometida, ni esta actividad está relacionada con ninguna vulnerabilidad conocida de nuestra tecnología». En su canal de Telegram llamado «SLSH 6.0 Part 3», Scattered Lapsus$ Hunters anunció que tenía previsto lanzar un segundo sitio de filtración de datos después de la fecha límite del 10 de octubre, para dedicarlo a «nuestra campaña (UNC6395) sobre la aplicación Salesloft Drift». El desarrollo se produjo después del grupo de ciberextorsión anunciado se despidió el mes pasado.
• Signal anuncia Sparse Post Quantum Ratchet — Signal tiene introducido el Sparse Post Quantum Ratchet (SPQR), una nueva actualización de su protocolo de cifrado que combina la criptografía de seguridad cuántica con su actual Double Ratchet. El resultado, que Signal denomina Triple Ratchet, hace que sea mucho más difícil para los ordenadores cuánticos del futuro romper las conversaciones privadas. El nuevo componente garantiza la confidencialidad en el futuro y la seguridad tras el compromiso, garantizando que, incluso en el caso de que se comprometa una clave o sea robada, los mensajes futuros que intercambien las partes estarán protegidos. Signal señaló que la implementación del SPQR en la plataforma de mensajería será gradual y que los usuarios no tendrán que realizar ninguna acción para que la actualización se aplique, aparte de mantener a sus clientes actualizados a la última versión. En septiembre de 2023, la aplicación de mensajería añadió por primera vez soporte para la resistencia cuántica al actualizar la especificación Extended Triple Diffie-Hellman (X3DH) a la versión posterior a Quantum Extended Diffie-Hellman ( PQXDH ).
• Las operaciones de suplantación de identidad a gran escala pasan desapercibidas durante años — Un «plan multianual de suplantación de identidad y suplantación de identidad de marca a escala industrial» funcionó sin ser detectado durante más de tres años en las plataformas Google Cloud y Cloudflare. La actividad está relacionada con una operación de suplantación de identidad como servicio (PhaaS) a gran escala, en la que participaron 48 000 servidores y más de 80 clústeres que abusaban de dominios caducados de «alta confianza». Posteriormente, la campaña utilizó estos dominios para hacerse pasar por marcas de confianza y distribuir páginas de inicio de sesión falsas, software malicioso y contenido sobre juegos de azar. «Muchos de los sitios clonados siguen cargando recursos de la infraestructura en la nube de la marca original, lo que significa que es posible que la marca original esté distribuyendo contenido de forma activa a un imitador malintencionado», dijo Deep Specter dijo .
• HeartCrypt se convierte en un cargador para Stealer y RAT — El empaquetador como servicio ( PaaS ) malware llamado Cripta del corazón se ha distribuido a través de correos electrónicos de suplantación de identidad para, en última instancia, desplegar ladrones y troyanos de acceso remoto (RAT) disponibles en el mercado, así como un programa de terminación de antivirus menos frecuente conocido como AvKiller. La actividad utilizaba avisos de infracción de derechos de autor para dirigirse a las víctimas en Italia que utilizaban archivos LNK que contenían una URL para obtener una carga útil intermedia de PowerShell que mostraba un documento señuelo y, al mismo tiempo, descargaba HeartCrypt de Dropbox. «El Cripta del corazón packer toma ejecutables legítimos y los modifica inyectando código malicioso en la sección .text. También inserta algunos recursos ejecutables portátiles (PE) adicionales», afirma Sophos. Estos recursos se disfrazan de archivos de mapa de bits y comienzan con un encabezado BMP, pero después aparece el contenido malintencionado».
• Ataque a la cadena de suministro de software que explota el pedido de embalaje — Investigadores del Real Instituto de Tecnología de KTH y de la Universidad de Montreal han detallado un novedoso ataque llamado Maven-Hijack que aprovecha el orden en el que Maven empaqueta las dependencias y la forma en que la máquina virtual Java (JVM) resuelve las clases en tiempo de ejecución. «Al inyectar una clase maliciosa con el mismo nombre completo que una legítima en una dependencia empaquetada anteriormente, un atacante puede anular silenciosamente el comportamiento de las aplicaciones principales sin modificar la base de código principal o los nombres de las bibliotecas», dijeron los investigadores. dijo .
• Los archivos LNK conducen a RAT — En una nueva cadena de ataques detallada por K7 Security Labs, se ha descubierto que los actores de amenazas aprovechan los archivos LNK distribuidos a través de Discord para lanzar un PDF señuelo y ejecutar PowerShell, responsable de eliminar un archivo ZIP que, a su vez, ejecuta una DLL maliciosa mediante la herramienta de línea de comandos de Windows odbcconf.exe. La DLL es una RAT multifuncional diseñada para ejecutar comandos desde un servidor C2 y recopilar información del sistema del host infectado. «Emplea varias técnicas, como recopilar información sobre los productos antivirus, eludir la interfaz de escaneo antimalware (AMSI) y aplicar parches a ETWeventWrite para deshabilitar el rastreo de eventos de Windows (ETW), lo que dificulta que las soluciones de seguridad detecten sus actividades maliciosas», explica la empresa dijo .
• Fallos sin corregir en la cámara inteligente Cognex InSight IS2000M-120 — Se han producido hasta nueve vulnerabilidades de seguridad divulgado en la IS2000M-120 de Cognex, una cámara inteligente industrial que se utiliza para aplicaciones de visión artificial, que permite a un atacante comprometer por completo los dispositivos, lo que socava su integridad y seguridad operativas. No se está planificando la instalación de parches para el modelo, dado que la empresa está considerando la posibilidad de ponerlo al final de su vida útil. «En primer lugar, un atacante no autenticado que se encuentre en el mismo segmento de red que el dispositivo (que sea capaz de interceptar el tráfico, por ejemplo, mediante un ataque tipo Man-in-the-Middle (MiTM)) puede comprometer totalmente el dispositivo mediante múltiples vectores de ataque», explica Nozomi Networks dijo . «Este escenario presenta un riesgo crítico en entornos en los que no se aplica la segmentación o el cifrado de la red». Además, un usuario con pocos privilegios y acceso limitado a la cámara puede aumentar sus privilegios creando una nueva cuenta administrativa y obteniendo el control total del dispositivo. Por último, un atacante con acceso limitado a la estación de trabajo Windows en la que está instalado el software In-Sight Explorer de Cognex puede manipular los datos de respaldo destinados a la cámara y llevar a cabo acciones malintencionadas.
• El grupo hacktivista zerodayx1 lanza un ransomware — Un propalestino grupo hacktivista conocido como zerodayx1 lanzó su propia operación de ransomware como servicio (RaaS) llamada BqtLock, lo que lo convirtió en el último grupo en crear este tipo de Pivot. Se cree que Zerodayx1 es un hacktivista libanés activo desde al menos 2023, posicionándose como un actor de amenazas musulmán y propalestino. «El hacktivismo ya no se limita a los mensajes ideológicos», dice Outpost24 dijo . «Cada vez más, los grupos están integrando operaciones con motivaciones financieras, lo que indica un cambio hacia modelos híbridos que combinan el activismo con las agendas con fines de lucro».
• Las aplicaciones móviles filtran datos — Los nuevos hallazgos de Zimperium han revelada que una de cada tres aplicaciones de Android y más de la mitad de las aplicaciones de iOS filtran datos confidenciales. Casi la mitad de las aplicaciones móviles contienen secretos codificados de forma rígida, como las claves de API. Además de eso, un análisis de 800 aplicaciones VPN gratuitas para Android e iOS descubierto que muchas aplicaciones no proporcionan ninguna privacidad real, algunas solicitan permisos excesivos que van mucho más allá de su propósito, otras filtran datos personales y algunas se basan en códigos vulnerables y obsoletos. Otras conductas riesgosas incluían la falta de etiquetas de privacidad y nutrición en las aplicaciones y la susceptibilidad a los ataques tipo Manin-the-Middle (MiTM). «No se puede confiar en todas las aplicaciones de VPN», afirma la empresa. «Muchas tienen un cifrado débil, filtraciones de datos o solicitudes de permiso peligrosas, problemas que son invisibles para la mayoría de los usuarios finales». En otra investigación publicado el mes pasado, Mike Oude Reimer descubrió que las aplicaciones móviles mal configuradas podían aprovecharse para acceder a más de 150 servicios diferentes de Firebase. Esto consistía en el acceso a bases de datos, depósitos de almacenamiento y secretos en tiempo real.
• Microsoft comparte información sobre las fallas del XSS — Según Microsoft , el 15% de todos los casos importantes o críticos del MSRC entre julio de 2024 y julio de 2025 se debieron a fallas de secuencias de comandos entre sitios (XSS). De los 265 casos de XSS, 263 se calificaron de gravedad importante y 2 de gravedad crítica. En total, la empresa ha mitigado más de 970 casos de XSS solo desde enero de 2024 a mediados de 2025.
• Threat Actor se expone después de instalar un software de seguridad — Un agente de amenazas ha revelado inadvertidamente sus métodos y actividades cotidianas tras instalar una versión de prueba del software de seguridad Huntress en su propio ordenador operativo y una extensión de navegador premium de Malwarebytes. Se dice que el actor descubrió a Huntress a través de un anuncio en Google mientras buscaba soluciones de seguridad como Bitdefender. Un análisis más detallado reveló sus intentos de usar make.com para automatizar ciertos flujos de trabajo, encontrar instancias de Evilginx en ejecución y su interés por los servicios de proxy residenciales como LunaProxy y Nstbrowser. «Este incidente nos proporcionó información detallada sobre las actividades cotidianas de un agente de amenazas, desde las herramientas que le interesaban hasta la forma en que investigaban y abordaban los diferentes aspectos de los ataques», dijo Huntress dijo .
• Uso de bitpixie para eludir BitLocker — Los investigadores de ciberseguridad han descubierto que los atacantes pueden eludir el cifrado de la unidad BitLocker mediante una falla de escalamiento de privilegios locales de Windows. «La vulnerabilidad bitpixie del administrador de arranque de Windows se debe a una falla en la función de reinicio parcial de PXE, que impide que la clave de BitLocker se borre de la memoria», dice SysS dijo . «Para aprovechar esta vulnerabilidad en sistemas actualizados, se puede realizar un ataque de degradación cargando un gestor de arranque antiguo y sin parches. Esto permite a los atacantes extraer la clave maestra de volumen (VMK) de la memoria principal y eludir el cifrado de BitLocker, que podría darles acceso administrativo». Para contrarrestar la amenaza, se recomienda usar un PIN previo al arranque o aplica un parche que Microsoft publicó en 2023 (CVE-2023-21563), que evita los ataques de degradación contra el vulnerable gestor de arranque al reemplazar el antiguo certificado de Microsoft de 2011 por el nuevo certificado UEFI CA 2023 de Windows.
• Cómo los actores de amenazas pueden abusar de la fachada de dominio — En el frente de dominio, un atacante podría conectarse a un dominio aparentemente legítimo conectándose a un dominio como google.com o meet.google.com, mientras que las rutas del backend desvían silenciosamente la conexión a una infraestructura controlada por el atacante alojada en Google Cloud Platform. Al dirigir el tráfico C2 a través de la infraestructura y los dominios principales de Internet, permite que el tráfico malintencionado se mezcle y pase desapercibido. «Haces que el SNI [indicación del nombre del servidor] parezca un servicio fiable y de gran reputación (google.com), pero el encabezado del host dirige silenciosamente el tráfico a una infraestructura controlada por el atacante», dijo Praetorian dijo . «Desde fuera, el tráfico parece el uso normal de un servicio importante. Pero en el backend, se dirige a un lugar completamente diferente».
• Certificados emitidos incorrectamente para el servicio DNS 1.1.1.1 de Cloudflare — Cloudflare reveló que Fina CA emitió certificados no autorizados para 1,11,1 , una de las direcciones IP utilizadas por su servicio público de resolución de DNS. «Desde febrero de 2024 hasta agosto de 2025, Fina CA emitió 12 certificados para 1.1.1.1 sin nuestro permiso», dijo la empresa de infraestructura web dijo . «No tenemos pruebas de que los malos actores se hayan aprovechado de este error. Para hacerse pasar por el solucionador de DNS público 1.1.1.1 de Cloudflare, un atacante no solo necesitaría un certificado no autorizado y su correspondiente clave privada, sino que los usuarios atacados también tendrían que confiar en la Fina CA».
• Nuevo ataque para comprometer a los agentes de IA que navegan por la web — Un novedoso ataque demostrado por JFrog muestra que las técnicas de ocultación de sitios web pueden utilizarse como armas para envenenar a los agentes autónomos de navegación web impulsados por modelos lingüísticos grandes (LLM). «A medida que estos agentes se vuelven más frecuentes, sus huellas digitales únicas y a menudo homogéneas (que comprenden los atributos del navegador, las firmas del marco de automatización y las características de la red) crean una clase de tráfico web nueva y diferenciable. El ataque aprovecha esta capacidad de huella dactilar», dijo el investigador de seguridad Shaked Zychlinski dijo . «Un sitio web malintencionado puede identificar una solicitud entrante como procedente de un agente de IA y publicar de forma dinámica una versión diferente y «encubierta» de su contenido. Mientras los usuarios humanos ven una página web benigna, al agente se le presenta una página visualmente idéntica con instrucciones ocultas y maliciosas, como la inyección indirecta de mensajes. Este mecanismo permite a los adversarios secuestrar el comportamiento de los agentes, lo que lleva a la filtración de datos, la ejecución de malware o la propagación de información errónea, sin dejar de ser completamente invisible para los usuarios humanos y los rastreadores de seguridad convencionales».
• Solicitud de invocación de una herramienta de explotación para secuestrar sistemas agenciales basados en LLM — Mensaje de invocación de la herramienta ( PUNTA ) actúa como un componente fundamental en los sistemas LLM, ya que determina cómo los sistemas agenciales basados en LLM invocan varias herramientas externas e interpretan los comentarios de la ejecución de estas herramientas. Sin embargo, una nueva investigación ha divulgado que herramientas como Cursor y Claude Code son susceptibles a la ejecución remota de código o a la denegación de servicio (DoS) al inyectar mensajes o código malintencionados en las descripciones de las herramientas. El hallazgo llega como Forescout apuntado que los LLM no están realizando las tareas de desarrollo de explotación y descubrimiento de vulnerabilidades.

🎥 Seminarios web sobre ciberseguridad

• Más allá del bombo publicitario: flujos de trabajo prácticos de IA para equipos de ciberseguridad — La IA está transformando los flujos de trabajo de ciberseguridad, pero los mejores resultados provienen de combinar la supervisión humana con la automatización. En este seminario web, Thomas Kinsella, de Tines, muestra cómo identificar dónde la IA realmente agrega valor, evitar la ingeniería excesiva y crear procesos seguros y auditables que puedan ampliarse.

• Especial de Halloween: historias reales de violaciones de seguridad y la solución para acabar con los horrores de las contraseñas — Las contraseñas siguen siendo un objetivo principal para los atacantes y un problema constante para los equipos de TI. Las credenciales débiles o reutilizadas, los frecuentes restablecimientos del servicio de asistencia técnica y las políticas anticuadas exponen a las organizaciones a costosas infracciones y a daños a su reputación. En este seminario web con temática de Halloween de The Hacker News y Specops Software, conocerás historias reales sobre infracciones de seguridad, descubrirás por qué fallan las políticas de contraseñas tradicionales y verás una demostración en directo sobre cómo bloquear las credenciales comprometidas en tiempo real, para que puedas acabar con las pesadillas con las contraseñas sin aumentar la fricción de los usuarios.

🔧 Herramientas de ciberseguridad

• Malifiscan - Las cadenas de suministro de software modernas se basan en repositorios de paquetes públicos e internos, pero las cargas malintencionadas se filtran cada vez más a través de canales confiables. Malifiscan ayuda a los equipos a detectar y bloquear estas amenazas comparando fuentes de vulnerabilidades externas, como OSV, con sus propios registros y repositorios de artefactos. Se integra con JFrog Artifactory, es compatible con más de 10 ecosistemas y automatiza la creación de patrones de exclusión para evitar que las dependencias comprometidas se descarguen o desplieguen.
• Kit de auditoría - Esta nueva herramienta ayuda a los equipos a verificar el cumplimiento de la nube en AWS y Azure sin tener que hacer conjeturas manuales. Diseñada para los marcos SOC2, PCI-DSS y CMMC, automatiza las comprobaciones de control, resalta las brechas críticas de auditoría y genera guías de evidencia listas para los auditores. Ideal para los equipos de seguridad y cumplimiento que se preparan para las evaluaciones formales, AuditKit cierra la brecha entre los escaneos técnicos y la documentación que los auditores realmente necesitan.

Descargo de responsabilidad: Estas herramientas son únicamente para uso educativo y de investigación. No se han sometido a pruebas de seguridad exhaustivas y podrían suponer un riesgo si se utilizan de forma incorrecta. Revisa el código antes de probarlos, pruébalo solo en entornos seguros y sigue todas las normas éticas, legales y organizativas.

🔒 Consejo de la semana

Fortalecimiento rápido de Windows con herramientas de código abierto — La mayoría de los ataques a Windows no tienen éxito porque no tienen días cero, sino porque los valores predeterminados son débiles: puertos abiertos, protocolos antiguos, contraseñas de administrador reutilizadas o parches faltantes. Los atacantes se aprovechan de lo que ya existe. Unos pocos cambios pequeños e inteligentes pueden bloquear la mayoría de las amenazas antes de que comiencen.

Refuerce sus sistemas Windows con herramientas gratuitas y confiables de código abierto que abarcan la auditoría, la configuración y la supervisión. No necesita herramientas empresariales para aumentar su base de defensa, solo unos pocos pasos sólidos.

Acciones rápidas (menos de 30 minutos):

• Ejecute Hardentools: desactive los valores predeterminados inseguros al instante.
• Utilice CIS-CAT Lite: identifique los parches que faltan, el RDP abierto o las políticas débiles.
• Compruebe los administradores locales: elimine las cuentas no utilizadas e implemente LAPS para la rotación de contraseñas.
• Active el registro: habilite los registros de PowerShell, Windows Defender y las políticas de auditoría.
• Ejecute WinAudit: exporte un informe y compárelo semanalmente para ver si hay cambios no autorizados.
• Escanee con Wazuh u OpenVAS: busque software desactualizado o servicios expuestos.

Riesgos clave a tener en cuenta:

🔑 Contraseñas de administrador reutilizadas o compartidas

🌐 Abra RDP/SMB sin firewall ni NLA

⚙️ Versiones antiguas de PowerShell sin registro

🧩 Usuarios que funcionan con derechos de administrador local

Faltan las reglas de reducción de la superficie de ataque (ASR) de Defender

📦 Software sin parches o sin firmar de repositorios de terceros

Estas comprobaciones simples y repetibles cierran el 80% de la superficie de ataque explotada en las campañas de ransomware y robo de credenciales. No cuestan nada, tardan unos minutos y aumentan la memoria muscular para una buena higiene cibernética.

Conclusión

Gracias por leer el resumen de esta semana. Sigue aprendiendo, mantén la curiosidad y no esperes a que llegue la próxima alerta para tomar medidas. Unas cuantas medidas inteligentes hoy pueden ahorrarle mucho trabajo de limpieza en el futuro.