⚡ Resumen semanal: F5 Breached, Linux Rootkits,...

Date: 20 Oct 2025 | Author: Ciberplaneta Bot cybersecurity

Es fácil pensar que tus defensas son sólidas, hasta que te das cuenta de que los atacantes han estado dentro de ellas todo el tiempo. Los incidentes más recientes muestran que las infracciones silenciosas y prolongadas se están convirtiendo en la norma. La mejor defensa ahora no es solo aplicar parches rápidamente, sino observar de forma más inteligente y mantenerse alerta ante lo que no se espera.

He aquí un vistazo rápido a las principales amenazas, nuevas tácticas e historias de seguridad de esta semana que están configurando el panorama.

⚡ Amenaza de la semana

El F5 está expuesto a una violación entre un estado-nación — F5 reveló que actores de amenazas no identificados irrumpieron en sus sistemas y robaron archivos que contenían parte del código fuente de BIG-IP e información relacionada con vulnerabilidades no reveladas del producto. La compañía dijo que se enteró del incidente el 9 de agosto de 2025, aunque se cree que los atacantes estuvieron en su red durante al menos 12 meses. Se dice que los atacantes utilizaron una familia de malware llamada BRICKSTORM, que se atribuye a un grupo de espionaje relacionado con China denominado UNC5221. Ruido gris dijo observó una actividad de escaneo elevada dirigida a BIG-IP en tres oleadas el 23 de septiembre, el 14 de octubre y el 15 de octubre de 2025, pero hizo hincapié en que las anomalías pueden no estar necesariamente relacionadas con el hackeo. Censo dijo identificó más de 680 000 balanceadores de cargas y pasarelas de aplicaciones F5 BIG-IP visibles en la Internet pública, con la mayoría de los hosts ubicados en EE. UU., seguidos de Alemania, Francia, Japón y China. No todos los sistemas identificados son necesariamente vulnerables, pero cada uno representa una interfaz de acceso público que debe inventariarse, restringirse el acceso y parchearse de forma proactiva como medida de precaución. «Los proveedores de infraestructura periférica y seguridad siguen siendo los principales objetivos de los actores de amenazas a largo plazo, a menudo vinculados a los estados», afirma John Fokker, vicepresidente de estrategia de inteligencia de amenazas de Trellix. «A lo largo de los años, hemos visto el interés de los estados nacionales por aprovechar las vulnerabilidades de los dispositivos periféricos, reconociendo su posición estratégica en las redes globales. Incidentes como estos nos recuerdan que fortalecer la resiliencia colectiva no solo requiere una tecnología más sólida, sino también una colaboración abierta y un intercambio de inteligencia entre toda la comunidad de seguridad».

Zero Trust + AI: prospere en la era de la IA y capacite a su fuerza laboral

No es de extrañar que los piratas informáticos utilicen la IA de forma creativa para comprometer a los usuarios y atacar a las organizaciones. Zscaler Zero Trust + AI ayuda a derrotar los ataques actuales basados en el ransomware y la inteligencia artificial, ya que te permite detectar y bloquear las amenazas avanzadas, así como descubrir y clasificar datos confidenciales en cualquier lugar.

Más información sobre Zscaler Zero Trust + AI ➝

🔔 Noticias principales

Corea del Norte usa EtherHiding para ocultar el malware dentro de los contratos inteligentes de blockchain — Se ha observado que los actores de amenazas norcoreanos aprovechan la técnica EtherHiding para distribuir malware y permitir el robo de criptomonedas, lo que supone la primera vez que un grupo de hackers patrocinado por un estado adopta este método. La actividad se ha atribuido a un clúster registrado con el nombre UNC5342 (también conocido como Famous Chollima). La ola de ataques forma parte de una campaña de larga data, denominada Contagious Interview, en la que los atacantes se acercan a posibles objetivos en LinkedIn haciéndose pasar por reclutadores o gerentes de contratación, y los engañan para que ejecuten código malicioso con el pretexto de evaluar el puesto de trabajo tras cambiar la conversación a Telegram o Discord. En las últimas oleadas de ataques observadas desde febrero de 2025, los atacantes utilizan un descargador de JavaScript que interactúa con un contrato inteligente malicioso del BSC para descargar JADESNOW, que posteriormente consulta el historial de transacciones asociado a una dirección de Ethereum para obtener la versión JavaScript de InvisibleFerret.
El rootkit LinkPro Linux descubierto en estado salvaje — Una investigación sobre el peligro de una infraestructura alojada en Amazon Web Services (AWS) llevó al descubrimiento de un nuevo rootkit para GNU/Linux denominado LinkPro. La puerta trasera incluye funcionalidades que se basan en la instalación de dos módulos ampliados del filtro de paquetes de Berkeley (eBPF) para ocultarse y activarse de forma remota al recibir un paquete mágico: un paquete TCP SYN con un tamaño de ventana específico (54321) que indica al rootkit que espere más instrucciones en un período de una hora, lo que le permite eludir las defensas de seguridad tradicionales. Los comandos compatibles con LinkPro incluyen ejecutar /bin/bash en un pseudoterminal, ejecutar un comando de shell, enumerar archivos y directorios, realizar operaciones con archivos, descargar archivos y configurar un túnel proxy SOCKS5. Actualmente no se sabe quién está detrás del ataque, pero se sospecha que los autores de la amenaza tienen motivaciones financieras.
La campaña Zero Disco se dirige a los dispositivos Cisco con rootkits — Una nueva campaña ha aprovechado una falla de seguridad recientemente revelada que afecta al software Cisco IOS y al software IOS XE para implementar rootkits de Linux en sistemas antiguos y desprotegidos. La actividad, denominada Operation Zero Disco de Trend Micro, implica convertir en arma el CVE-2025-20352 (puntuación CVSS: 7,7), una vulnerabilidad de desbordamiento de pilas en el subsistema del Protocolo simple de administración de redes (SNMP) que podría permitir a un atacante remoto autenticado ejecutar código arbitrario enviando paquetes SNMP diseñados a un dispositivo susceptible. La operación afectó principalmente a los dispositivos Cisco 9400, 9300 y las series 3750G antiguas, según Trend Micro. Las intrusiones no se han atribuido a ningún actor o grupo de amenazas conocido.
El ataque de pixnapping conduce al robo de datos en dispositivos Android — Se ha descubierto que los dispositivos Android de Google y Samsung son vulnerables a un ataque de canal lateral que podría aprovecharse para robar de forma encubierta códigos de autenticación de dos factores (2FA), cronogramas de Google Maps y otros datos confidenciales sin que los usuarios lo sepan píxel por píxel. El nombre clave del ataque es Pixnapping. Google está rastreando el problema con el identificador CVE CVE-2025-48561 (puntuación CVSS: 5.5). El gigante tecnológico publicó parches para la vulnerabilidad como parte de su boletín de seguridad de Android de septiembre de 2025, y las correcciones adicionales se publicarán en diciembre.
Los actores de amenazas chinos explotaron ArcGIS Server como puerta trasera — Se ha atribuido a los actores de amenazas vinculados a China una campaña novedosa que puso en peligro un sistema ArcGIS y lo convirtió en una puerta trasera durante más de un año. La actividad es obra de un grupo de hackers patrocinado por el estado chino llamado Flax Typhoon, que también es rastreado como Ethereal Panda y RedJuliett. «El grupo modificó hábilmente la extensión de objetos de servidor Java (SOA) de una aplicación de mapeo geográfico para convertirla en una consola web funcional», afirma ReliaQuest. «Al bloquear el acceso con una clave codificada para tener un control exclusivo e integrarla en las copias de seguridad del sistema, lograron una persistencia profunda y duradera que podría sobrevivir a una recuperación total del sistema». En la cadena de ataque, los atacantes atacaron un servidor ArcGIS orientado al público que estaba vinculado a un servidor ArcGIS privado e interno, poniendo en peligro una cuenta de administrador del portal para implementar una propiedad de usuario maliciosa, lo que les permitía mezclarse con el tráfico normal y mantener el acceso durante períodos prolongados. A continuación, los atacantes dieron instrucciones al servidor público para que creara un directorio oculto que sirviera de «espacio de trabajo privado» del grupo. También bloquearon el acceso a otros atacantes y administradores con una clave codificada. Los hallazgos demuestran el modus operandi constante de Flax Typhoon, consistente en utilizar discretamente las propias herramientas de una organización en su contra, en lugar de utilizar malware o exploits sofisticados.

‎️ 🔥 CVs de tendencia

Los hackers se mueven rápido. Suelen aprovechar las nuevas vulnerabilidades en cuestión de horas, lo que convierte un único parche perdido en una brecha importante. Un CVE sin parches puede ser todo lo que se necesita para lograr un compromiso total. A continuación se muestran las vulnerabilidades más críticas de esta semana que están atrayendo la atención de todo el sector. Revíselas, priorice sus soluciones y cierre la brecha antes de que los atacantes se aprovechen de ellas.

La lista de esta semana incluye: CVE-2025-24990, CVE-2025-59230 (Microsoft Windows), CVE-2025-47827 (IGEL OS antes de 11), CVE-2023-42770, CVE-2023-40151 (León rojo Sixnet Trus), CVE-2025-2611 (Transmisión de TIC), CVE-2025-55315 (Microsoft ASP.NET Core), CVE-2025-11577 (Firmware UEFI de Clevo), CVE-2025-37729 (Elastic Cloud Enterprise), CVE-2025-9713, CVE-2025-11622 ( Gestor de terminales Ivanti ), CVE-2025-48983 , CVE-2025-48984 (Veeam), CVE-2025-11756 (Google Chrome), CVE-2025-49201 (Fortinet FortiPAM y FortiSwitch Manager), CVE-2025-58325 (CLI de Fortinet para TiOS), CVE-2025-49553 (suite de colaboración Adobe Connect), CVE-2025-9217 (complemento Slider Revolution), CVE-2025-10230 (Samba), CVE-2025-54539 (Apache ActiveMQ), CVE-2025-41703, CVE-2025-41704, CVE-2025-41706, CVE-2025-41707 (Phoenix Contact QUINT4), y CVE-2025-11492, CVE-2025-11493 (ConnectWise Automate).

📰 En todo el mundo cibernético

Microsoft presenta nuevas mejoras de seguridad — Microsoft revelada que «partes del núcleo de Windows 11 se han reescrito en Rust, lo que ayuda a mitigar las vulnerabilidades de corrupción de la memoria, como los desbordamientos del búfer, y ayuda a reducir las superficies de ataque». La empresa también señaló que está tomando medidas para proteger las experiencias de los agentes basados en la inteligencia artificial en el sistema operativo, garantizando que funcionan con permisos limitados y solo obtienen acceso a los recursos a los que los usuarios conceden permiso de forma explícita. Además, Microsoft dijo que los agentes que se integran con Windows deben estar firmados criptográficamente por una fuente confiable para que puedan revocarse si se descubre que son maliciosos. Cada agente de IA también funcionará con su propia cuenta de agente dedicada, distinta de la cuenta de usuario del dispositivo. «Esto facilita la aplicación de políticas específicas para los agentes, que pueden diferir de las reglas que se aplican a otras cuentas, como las de usuarios humanos», dijo .
La campaña de SEO utiliza instaladores falsos de Ivanti para robar credenciales — Una nueva campaña de ataque ha aprovechado el envenenamiento por SEO para atraer a los usuarios a descargar una versión maliciosa del cliente VPN Ivanti Pulse Secure. La actividad se dirige a los usuarios que buscan software legítimo en motores de búsqueda como Bing y los redirige a sitios web similares controlados por atacantes (ivanti-pulsesecure [.] com o ivanti-secure-access [.] org). El objetivo de este ataque es robar las credenciales de la VPN de la máquina de la víctima, lo que permite un mayor riesgo. «El instalador malintencionado, un archivo MSI firmado, contiene una DLL que roba credenciales diseñada para localizar, analizar y filtrar los detalles de la conexión VPN», dijo Zscaler dijo . «El malware se dirige específicamente al archivo connectionstore.dat para robar los URI guardados de los servidores VPN, que combina con credenciales codificadas para su exfiltración. Los datos se envían a un servidor de comando y control (C2) alojado en la infraestructura de Microsoft Azure».
Se exponen los vínculos de Qilin con los proveedores de HPB — Investigadores de ciberseguridad de Resecurity examinado La «estrecha afiliación» del grupo de ransomware Qilin con operadores clandestinos de alojamiento a prueba de balas (BPH), descubrió que el actor de la delincuencia electrónica no solo ha confiado en Cat Technologies Co. Limitado. (que, a su vez, está alojada en una dirección IP vinculada al Grupo Aeza) para alojar su sitio de filtración de datos, pero también para anunciar servicios como Servidores BEARHOST (también conocido como Underground) en su sitio WikiLeaksV2, donde el grupo publica contenido sobre sus actividades. BEARHOST ha estado en funcionamiento desde 2016 y ofrece sus servicios por entre 95 y 500 dólares. Si bien BEARHOST anunció abruptamente la interrupción de su servicio el 28 de diciembre de 2024, se estima que los actores de la amenaza han convertido el servicio BPH en modo privado y solo está dirigido a actores clandestinos de confianza e investigados. El 8 de mayo de 2025, resurgió como Voodoo Servers, pero los operadores volvieron a interrumpir el servicio a finales de mes por motivos políticos. «Los actores decidieron desaparecer recurriendo a una estrategia de 'estafa de salida', lo que hizo que la audiencia clandestina no tuviera ni idea», dijo Resecurity. «Cabe destacar que las entidades legales detrás del servicio continúan con sus operaciones». Cabe destacar que Cat Technologies Co. Limited. también comparte enlaces a entidades sospechosas como Red Bytes LLC, Hostway, Starcrecium Limited y Chang Way Technologies Co. Limited, la última de las cuales se ha relacionado con una amplia actividad de malware, aloja los servidores de comando y control (C2) de Amadey, StealC y Cobalt Strike utilizados por los ciberdelincuentes. Otra entidad destacada es Next Limited, que comparte la misma dirección en Hong Kong que Chang Way Technologies Co. Limitado y se ha atribuido a actividades malintencionadas en relación con Protón 66 .
Un juez estadounidense prohíbe a NSO Group atacar WhatsApp — Un juez estadounidense prohibido NSO Group dejó de atacar a los usuarios de WhatsApp y redujo a 4 millones de dólares la sentencia punitiva por daños y perjuicios dictada por un jurado a Meta en mayo de 2025, porque el tribunal no tenía pruebas suficientes para determinar que el comportamiento de NSO Group era «particularmente atroz». La orden judicial permanente dictada por la jueza de distrito estadounidense Phyllis Hamilton significa que el vendedor israelí no puede usar WhatsApp para infectar los dispositivos de sus objetivos. Como recordatorio, Meta demandó a NSO Group en 2019 por el uso del software espía Pegasus al aprovechar una falla de la aplicación de mensajería que, en aquel momento, se encontraba en el día cero, para espiar a 1400 personas de 20 países, entre las que había periodistas y activistas de derechos humanos. Lo era multado con cerca de 168 millones de dólares a principios de este mes de mayo. La medida cautelar propuesta exige que NSO Group borre y destruya el código informático relacionado con las plataformas de Meta, y concluyó que la disposición es «necesaria para evitar futuras violaciones, especialmente dada la naturaleza indetectable de la tecnología de los acusados».
La iniciativa Privacy Sandbox de Google está oficialmente muerta — En 2019, Google lanzó una iniciativa llamada Privacy Sandbox para crear alternativas que mejoren la privacidad y reemplazar las cookies de terceros en la web. Sin embargo, con la empresa abandonando Con sus planes de eliminar las cookies de seguimiento de terceros, el proyecto parece estar llegando a su fin. Con ese fin, el gigante tecnológico dijo es retirándose las siguientes tecnologías de Privacy Sandbox citan bajos niveles de adopción: API de informes de atribución (Chrome y Android), protección de IP, personalización en el dispositivo, agregación privada (incluido el almacenamiento compartido), audiencia protegida (Chrome y Android), señales de aplicaciones protegidas, conjuntos de sitios web relacionados (incluidos RequestStorageAccessFor y la partición de sitios web relacionada), SelectURL, SDK Runtime y Topics (Chrome y Android). En una declaración compartida con Adweek, la empresa dijo seguirá trabajando para mejorar la privacidad en Chrome, Android y la web, pero no con la marca Privacy Sandbox.
Rusia bloquea las tarjetas SIM extranjeras — Rusia dijo está tomando medidas para bloquear temporalmente la Internet móvil para las tarjetas SIM extranjeras, por motivos de seguridad nacional. La nueva norma impone un apagón obligatorio de Internet móvil de 24 horas para cualquier persona que entre en Rusia con una tarjeta SIM extranjera.
Se revela una falla en los encabezados CORS en los navegadores web — El Centro de Coordinación del CERT (CERT/CC) divulgado detalles de una vulnerabilidad en los encabezados de uso compartido de recursos entre orígenes (CORS) en Chromium, Google Chrome, Microsoft Edge, Safari y Firefox que permite manipular la política CORS. Esto se puede combinar con técnicas de reenlace de DNS para emitir solicitudes arbitrarias a los servicios que escuchan en puertos arbitrarios, independientemente de la política de CORS que aplique el objetivo. «Un atacante puede usar un sitio malintencionado para ejecutar una carga útil de JavaScript que envía periódicamente encabezados CORS para preguntar al servidor si la solicitud de origen cruzado es segura y está permitida», explica CERT/CC. «Naturalmente, el nombre de host controlado por el atacante responderá con encabezados CORS permisivos que eludirán la política del CORS. A continuación, el atacante realiza un ataque de reenlace de DNS para asignar al nombre de host la dirección IP del servicio objetivo. Cuando el DNS responde con la dirección IP modificada, el nuevo objetivo hereda la política CORS más flexible, lo que permite a un atacante extraer datos del objetivo». Mozilla está rastreando la vulnerabilidad como CVE-2025-8036.
Las campañas de suplantación de identidad utilizan el logotipo de Microsoft para las estafas de soporte técnico — Los actores de amenazas están explotando el nombre y la marca de Microsoft en los correos electrónicos de suplantación de identidad para atraer a los usuarios a realizar estafas fraudulentas de soporte técnico. Los mensajes contienen enlaces que, al hacer clic en ellos, llevan a las víctimas a un falso desafío CAPTCHA, tras lo cual son redirigidas a una página de inicio de suplantación de identidad para iniciar la siguiente fase del ataque. «Tras pasar la verificación del captcha, la víctima se ve repentinamente sobrecargada visualmente con varias ventanas emergentes que parecen ser alertas de seguridad de Microsoft», dijo Cofense dijo . «Su navegador es manipulado para que parezca bloqueado, y pierden la capacidad de localizar o controlar el ratón, lo que aumenta la sensación de que el sistema está comprometido. Esta pérdida involuntaria del control crea una falsa experiencia de ransomware, que lleva al usuario a creer que su ordenador está bloqueado y a tomar medidas inmediatas para poner remedio a la infección». Desde allí, se indica a los usuarios que llamen a un número para ponerse en contacto con el servicio de soporte técnico de Windows, donde se ponen en contacto con un técnico fraudulento para llevar adelante el ataque. «El autor de la amenaza podría aprovecharse aún más pidiéndole al usuario que proporcione las credenciales de la cuenta o persuadiéndolo de que instale herramientas de escritorio remoto, lo que permitiría un acceso total a su sistema», afirma la empresa.
Contribuyentes y conductores objeto de estafas de reembolso y robo de peajes — Una campaña de robo ha aprovechado al menos 850 nombres de dominio recién registrados en septiembre y principios de octubre para atacar a personas que viven en EE. UU., el Reino Unido y otros lugares con enlaces de suplantación de identidad que utilizan reembolsos de impuestos, cargos por peajes o entregas fallidas de paquetes como señuelo. Los sitios web, diseñados para cargarse solo cuando se lanzan desde un dispositivo móvil, afirman que proporcionan información sobre el estado de su devolución de impuestos o que obtienen una subvención de hasta 300 libras esterlinas para ayudar a compensar los gastos de combustible en invierno (nota: se trata de verdadera iniciativa del gobierno del Reino Unido ), solo para pedirles que proporcionen datos personales como el nombre, la dirección postal, el número de teléfono y la dirección de correo electrónico, así como la información de la tarjeta de pago. Los datos introducidos se filtran a los atacantes a través del protocolo WebSocket. También se ha descubierto que algunos de los sitios web fraudulentos están dirigidos a residentes y visitantes de Canadá, Alemania y España, por Netcraft .
La nueva función de collage de Meta puede usar fotos en el rollo de cámara del teléfono — Meta está lanzando oficialmente una nueva función de suscripción para los usuarios de Facebook de EE. UU. y Canadá para sugerir las mejores fotos y vídeos del álbum de cámara de los usuarios y crear collages y ediciones. «Con tu permiso y la ayuda de la IA, nuestra nueva función permite a Facebook descubrir automáticamente las joyas ocultas (esos momentos memorables que se pierden entre capturas de pantalla, recibos e instantáneas aleatorias) y editarlos para guardarlos o compartirlos», explica la empresa dijo . La función era probado por primera vez a finales de junio de 2025. La empresa de redes sociales hizo hincapié en que las sugerencias son privadas y que no utiliza los contenidos obtenidos de los dispositivos de los usuarios a través del rollo de cámara para entrenar a sus modelos, a menos que los usuarios opten por editar los medios con sus herramientas de inteligencia artificial o publicar esas sugerencias en Facebook. Los usuarios que deseen excluirse de esta función pueden hacerlo desde Ajustes y privacidad > Ajustes > Preferencias > Sugerencias para compartir el rollo de cámara.
Los sitios falsos de Homebrew, TradingView y LogMeIn sirven para robar malware dirigido a Mac — Los actores de amenazas emplean tácticas de ingeniería social para engañar a los usuarios para que visiten sitios web falsos que se hacen pasar por plataformas confiables como Homebrew, TradingView y LogMeIn, donde se les indica que copien y ejecuten un comando malicioso en la aplicación Terminal como parte de ataques al estilo de ClickFix, lo que resulta en el despliegue de malware robador, como Atomic Stealer y Odyssey Stealer. «Se identificaron más de 85 dominios de suplantación de identidad, conectados a través de certificados SSL compartidos, servidores de carga útil e infraestructura reutilizada», Hunt.io dijo . «Los hallazgos sugieren una campaña coordinada y continua en la que los operadores adaptan continuamente su infraestructura y tácticas para mantener la persistencia y evadir la detección dentro del ecosistema macOS». Se sospecha que los usuarios son conducidos a estos sitios web a través de anuncios patrocinados en motores de búsqueda como Bing y Google.
El organismo de control de protección de datos holandés multa a Experian con 3,2 millones de dólares por violaciones de la privacidad — La Autoridad Holandesa de Protección de Datos (DPA) impuso una multa de 2,7 millones de euros (3,2 millones de dólares) a Experian Netherlands por recopilar datos en contravención del Reglamento General de Protección de Datos (GDPR) de la UE. La DPA afirmó que la empresa de informes crediticios al consumidor recopiló información sobre personas de fuentes públicas y privadas y no aclaró por qué era necesaria la recopilación de ciertos datos. Además de la sanción, se espera que Experian elimine la base de datos de datos personales antes de fin de año. La empresa también ha cesado sus operaciones en el país. «Hasta el 1 de enero de 2025, Experian proporcionaba a sus clientes evaluaciones crediticias de personas», dice la DPA dijo . «Para ello, la empresa recopiló datos como el comportamiento de pago negativo, las deudas pendientes o las quiebras. La AP descubrió que Experian violó la ley al usar ilegalmente datos personales».
Los actores de amenazas envían falsas alertas de violación del administrador de contraseñas — Los malos actores son enviando alertas de suplantación de identidad en las que se afirma que sus cuentas de gestión de contraseñas de 1Password y Lastpass se han visto comprometidas con el fin de engañar a los usuarios para que proporcionen sus contraseñas y secuestrar sus cuentas. En respuesta al ataque, LastPass dijo no ha sido hackeado y que se trata de un intento por parte de los atacantes de generar una falsa sensación de urgencia. ¿En algunos casos detectada por Bleeping Computer, también se descubrió que la actividad instaba a los destinatarios a instalar una versión más segura del administrador de contraseñas, lo que resultaba en el despliegue de un software legítimo de acceso remoto llamado Syncro. Desde entonces, el proveedor de software ha tomado medidas para cerrar las cuentas maliciosas para evitar que se sigan instalando.
MaaS de SocHolish detallado — LevelBlue ha publicado un análisis de un clúster de actividad de amenazas conocido como Tan holístico (también conocido como FakeUpdates), que se sabe que está activo desde 2017, aprovecha las falsas instrucciones de actualización del navegador web en los sitios web comprometidos para atraer la distribución de malware. Por lo general, se envía a las víctimas a través de sistemas de distribución del tráfico (TDS), como Keitaro y Parrot TDS, para filtrar a los usuarios en función de factores específicos, como la ubicación, el tipo de navegador o la configuración del sistema, y garantizar que solo los objetivos previstos queden expuestos a la carga útil. Lo ofrece bajo la modalidad de malware como servicio (MaaS) un grupo de ciberdelincuencia con motivaciones financieras llamado TA569. SocGholish destaca por su capacidad para convertir sitios web legítimos en plataformas de distribución de malware a gran escala. Al actuar como intermediario de acceso inicial (IAB), sus operaciones se benefician de los compromisos posteriores de otros actores. «Una vez ejecutadas, sus cargas útiles van desde cargadores y ladrones hasta ransomware, lo que permite una amplia explotación posterior», dijo LevelBlue dijo . «Esta combinación de amplio alcance, mecanismos de entrega simples y uso flexible por parte de múltiples grupos convierte a SocGholish en una amenaza persistente y peligrosa en todas las industrias y regiones». Uno de sus principales usuarios es Evil Corp, y el malware también se utilizó para lanzar RansomHub a principios de 2025.

🎥 Seminarios web sobre ciberseguridad

El marco práctico para controlar a los agentes de inteligencia artificial sin ralentizar la innovación → La IA lo está cambiando todo con rapidez, pero para la mayoría de los equipos de seguridad sigue pareciendo una lucha por mantenerse al día. El objetivo no es frenar la innovación con más controles, sino hacer que esos controles funcionen por el negocio. Al incorporar la seguridad a la IA desde el principio, puede convertir lo que solía ser un cuello de botella en un verdadero acelerador del crecimiento y la confianza.
El futuro de la IA en GRC: convertir el riesgo en una ventaja de cumplimiento - La IA está cambiando rápidamente la forma en que las empresas gestionan el riesgo y el cumplimiento. Brinda grandes oportunidades, pero también nuevos desafíos. Este seminario web muestra cómo usar la IA de manera segura y eficaz en GRC, evitar errores comunes y convertir reglas complejas en una verdadera ventaja empresarial.
Claridad del flujo de trabajo: cómo combinar la IA y el esfuerzo humano para obtener resultados reales - Demasiados equipos se apresuran a «agregar IA» sin un plan, y terminan con flujos de trabajo desordenados y poco confiables. Únase a nosotros para aprender un enfoque más claro: cómo usar la IA de manera inteligente, simplificar la automatización y crear sistemas que se escalen de forma segura.

🔧 Herramientas de ciberseguridad

Belcebú - Convierte la implementación de honeypot en una experiencia potente y con poco código. Utiliza la inteligencia artificial para simular sistemas reales, lo que ayuda a los equipos de seguridad a detectar ataques, rastrear las amenazas emergentes y compartir información a través de una red global de inteligencia sobre amenazas.
Network Hound - Mapea su red de Active Directory desde adentro hacia afuera. Descubre todos los dispositivos (unidos a un dominio o en la sombra), valida los servicios web y para pymes y crea un gráfico completo compatible con Bloodhound para que pueda ver y proteger su entorno con claridad.

Descargo de responsabilidad: Estas herramientas son únicamente para uso educativo y de investigación. No se han sometido a pruebas de seguridad exhaustivas y podrían suponer un riesgo si se utilizan de forma incorrecta. Revisa el código antes de probarlos, pruébalo solo en entornos seguros y sigue todas las normas éticas, legales y organizativas.

🔒 Consejo de la semana

La mayoría de las brechas de seguridad en la nube no son ataques informáticos, son errores de configuración. A continuación, le indicamos cómo solucionarlos: Los depósitos de almacenamiento en la nube, como AWS S3, Azure Blob y Google Cloud Storage, facilitan el intercambio de datos, pero una configuración incorrecta puede dejarlo todo al descubierto. La mayoría de las filtraciones de datos no se deben a la piratería informática, sino a que alguien dejó un depósito público, se saltó el cifrado o usó un depósito de prueba que nunca se bloqueó. Las plataformas en la nube le brindan flexibilidad, no garantizan la seguridad, por lo que debe comprobar y controlar el acceso usted mismo.

Las configuraciones incorrectas suelen ocurrir cuando los permisos son demasiado amplios, el cifrado está deshabilitado o la visibilidad se pierde en varias nubes. Las comprobaciones manuales no escalan, especialmente si administras datos en AWS, Azure y GCP. La solución consiste en utilizar herramientas que encuentran, informan e incluso corrigen automáticamente las configuraciones no seguras antes de que causen daños.

Suite Scout es un punto de partida sólido para la visibilidad entre nubes. Analiza AWS, Azure y GCP en busca de cubos abiertos, funciones de IAM débiles y falta de cifrado, y luego crea un informe HTML fácil de leer. **Prowler** profundiza en AWS y comprueba la configuración de S3 comparándola con los puntos de referencia de CIS y AWS para detectar las ACL incorrectas o los depósitos no cifrados.

Para un control continuo, Custodio de la nube le permite escribir políticas sencillas que hagan cumplir las reglas automáticamente, por ejemplo, obligar a todos los depósitos nuevos a utilizar el cifrado. Y CloudQuery puede convertir la configuración de la nube en una base de datos con capacidad de búsqueda, para que pueda supervisar los cambios, realizar un seguimiento del cumplimiento y visualizar los riesgos en un solo lugar.

El mejor enfoque es combinarlos: ejecuta ScoutSuite o Prowler semanalmente para encontrar problemas y deja que Cloud Custodian se encargue de las soluciones automáticas. Incluso si dedicas unas pocas horas a configurarlos, puedes detener el tipo de filtraciones de datos que acaparan los titulares. Dé siempre por sentado que cada depósito es público hasta que se demuestre lo contrario, y asegúrelo tal como es.

Conclusión

La verdad es que ninguna herramienta o parche nos protegerá por completo. Lo que más importa es estar alerta: saber qué es normal, qué está cambiando y cómo piensan los atacantes. Cada alerta, registro o anomalía menor es una pista. Sigue conectando esos puntos antes de que alguien más lo haga.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS

Volver