Boletín del Día de las Amenazas: Fallo en el en...

Los correos electrónicos de suplantación de identidad que contienen archivos SVG adjuntos dirigidos a personas colombianas de habla hispana con temas relacionados con la oficina del Fiscal General de Colombia se han utilizado para entregar PureHVNC RAT . «Los correos electrónicos incitan al usuario a descargar un 'documento oficial' del sistema de información judicial, lo que inicia la cadena de infección al ejecutar un Cargador Hijack ejecutable que conduce al troyano de acceso remoto (RAT) PureHVNC», IBM X-Force dijo . La actividad se observó entre agosto y octubre de 2025. Los resultados son notables porque es la primera vez que se utiliza Hijack Loader en campañas dirigidas a la región, además de utilizar el cargador para distribuir PureHVNC.

Peter Williams, de 39 años y ciudadano australiano, se declaró culpable en los Estados Unidos en relación con la venta de los secretos comerciales de su empleador a un agente ruso de ciberherramientas. Williams se declaró culpable de dos cargos de robo de secretos comerciales robados al contratista de defensa estadounidense L3Harris Trenchant entre 2022 y 2025. Esto incluía software centrado en la seguridad nacional que incluía al menos ocho componentes sensibles y protegidos contra ciberataques, destinados a venderse exclusivamente al gobierno de los EE. UU. y a algunos aliados selectos. «Williams vendió los secretos comerciales a un corredor ruso de ciberherramientas que se anuncia públicamente como distribuidor de ciberataques a varios clientes, incluido el gobierno ruso», dijo el Departamento de Justicia de los Estados Unidos dijo . El acusado recibió un pago en criptomonedas por la venta de exploits de software y utilizó las ganancias ilícitas para comprar relojes de lujo y otros artículos. Acusaciones contra Williams salió a la luz la semana pasada. Si bien no se reveló el nombre del agente de exploits, las pruebas apuntan a Operation Zero, que anteriormente ofrecía hasta 4 millones de dólares para exploits de Telegram y 20 millones de dólares para obtener herramientas que podrían usarse para acceder a dispositivos Android y iPhone. Operación Zero anuncia ella misma como la «única plataforma de compra de vulnerabilidades de día cero con sede en Rusia». A principios de agosto, otra empresa emergente con sede en los Emiratos Árabes Unidos llamada Advanced Security Solutions también anunciado recompensas de hasta 20 millones de dólares por herramientas de hackeo que podrían ayudar a los gobiernos a entrar en cualquier teléfono inteligente con un mensaje de texto.

Europol ha destacado la necesidad urgente de un enfoque coordinado y multifacético para mitigar la suplantación transfronteriza del identificador de llamadas. «La suplantación del identificador de llamadas fomenta el fraude financiero y posibilita las estafas de ingeniería social, lo que provoca importantes daños económicos y sociales, y se estima que se pierden 850 millones de euros en todo el mundo al año», señala la agencia dijo . «Los principales vectores de ataque son las llamadas telefónicas y los mensajes de texto, que permiten a los actores malintencionados manipular la información que aparece en el identificador de llamadas de un usuario para mostrar un nombre o número falso que parezca legítimo y confiable». Esta técnica, que representa aproximadamente el 64% de los casos de fraude denunciados relacionados con llamadas telefónicas y mensajes de texto, sustenta una amplia gama de esquemas de fraude en línea y estafas de ingeniería social, que cuestan aproximadamente 850 millones de euros (990 millones de dólares) en todo el mundo cada año.

Para mejorar la seguridad de los usuarios, Google dijo que cambiará la configuración predeterminada de Chrome para navegar solo a los sitios web que admitan HTTPS . «Habilitaremos la configuración 'Usar siempre conexiones seguras' en su variante de sitios públicos de forma predeterminada en octubre de 2026, con el lanzamiento de Chrome 154», el gigante tecnológico dijo . «Antes de habilitarlo de forma predeterminada para todos los usuarios, en Chrome 147, que saldrá en abril de 2026, habilitaremos la opción Usar siempre conexiones seguras en su variante de sitios públicos para los más de mil millones de usuarios que han optado por las protecciones mejoradas de navegación segura en Chrome». La configuración «Usar siempre conexiones seguras» era introducido en Chrome en 2022, como función opcional, y estaba activada de forma predeterminada en Chrome 141 para un pequeño porcentaje de usuarios.

Según SixMap, una evaluación de ciberseguridad de 21 proveedores de energía estadounidenses identificó 39 986 anfitriones con un total de 58 862 servicios expuestos a Internet. Aproximadamente el 7% de todos los servicios expuestos se ejecutan en puertos no estándar, lo que crea puntos ciegos, ya que los productos tradicionales de gestión de la exposición y la gestión de superficies de ataque suelen inspeccionar solo entre los 1000 y los 5000 puertos principales. La investigación también reveló que, en promedio, cada organización tenía un 9% de sus servidores en el espacio IPv6, otra área de riesgo potencial, ya que las herramientas tradicionales de gestión de la exposición no rastrean estos activos. «En el espacio IPv6 había un total de 2.253 direcciones IP. Esto significa que, en conjunto, alrededor del 6% de las direcciones IP se ejecutaban en IPv6 en las 21 empresas», dijo SixMap dijo . Además, se identificaron un total de 5.756 servicios vulnerables con CVE en todas las exposiciones. «De las 5.756 especies vulnerables identificadas por SixMap, 377 han sido explotadas en estado salvaje», añade. «De los 377 CVE que se sabe que están siendo explotados, 21 pertenecen a servicios vulnerables que se ejecutan en puertos no estándar, lo que indica un nivel de riesgo muy grave».

Avast tiene publicado un descifrador gratuito que permite a las víctimas del ransomware Midnight recuperar sus archivos de forma gratuita. El ransomware Midnight normalmente añade la extensión.Midnight o.endpoint a los archivos cifrados. Se considera que el ransomware se basa en una versión anterior del ransomware Babuk. Avast afirma que las «nuevas modificaciones criptográficas» realizadas en la base de código de Babuk introdujeron debilidades que hicieron posible el descifrado.

El actor de amenazas conocido como Cloud Atlas ha sido observado apuntando al sector agrícola de Rusia con señuelos vinculados a un próximo foro industrial. La campaña de suplantación de identidad, detectada este mes, consiste en enviar correos electrónicos que contienen documentos de Microsoft Word con trampas explosivas que, al abrirse, activan un exploit para el CVE-2017-11882 con el fin de entregar un cuentagotas responsable de lanzar el Ducha VB puerta trasera. Vale la pena señalar que el grupo de hackers convirtió en arma el mismo defecto allá por 2023. Se considera que Cloud Atlas es un actor de amenazas altamente adaptable, activo al menos desde 2014, y que también aumentará su ritmo operativo en 2025, especialmente contra objetivos en Rusia y Bielorrusia. A principios de enero, Positive Technologies detallada Cloud Atlas usa servicios en la nube como Google Sheets como comando y control (C2) para VBShower y otro backdoor basado en PowerShell llamado PowerShower. En los últimos meses, las organizaciones rusas también han sido blanco de CAFÉ (también conocido como Hombre lobo de papel ) y Núcleo fantasma , y este último también lanzó una nueva puerta trasera de Go denominada PhantomGoShell a través de correos electrónicos de suplantación de identidad que comparte algunas similitudes con PhantomRat y PhantomrShell . Otras de las herramientas del arsenal de los actores de amenazas son PhantomTaskShell (una puerta trasera de PowerShell), PhantomStealer (un sistema de robo basado en Go) y PhantomProxyLite (una herramienta que establece un túnel SSH entre el host y el servidor C2). Se dice que el grupo logró hacerse con el control de 181 sistemas en el país durante la campaña, entre mediados de mayo y finales de julio de 2025. Tecnologías positivas juzgado que PhantomGoShell es obra de miembros rusófonos de las comunidades de jugadores de Discord que pueden haber «recibido el código fuente clandestino y la orientación de un miembro con una formación ciberdelictiva más establecida» y que el grupo es una rama poco cualificada de PhantomCore.

Se han encontrado hasta 5.912 instancias vulnerables a CVE-2025-40778 (puntuación CVSS: 8.6), una falla recientemente revelada en el resolutor BIND 9. «Un atacante que se desvía podría inyectar datos de direcciones falsificados en la caché del solucionador acelerando o falsificando las respuestas», dijo Censys dijo . «Este envenenamiento de la memoria caché permite redirigir a los clientes intermedios a una infraestructura controlada por los atacantes sin provocar nuevas búsquedas». Se ha utilizado una prueba de concepto (PoC) para aprovechar esta vulnerabilidad puesto a disposición del público . Se recomienda actualizar a las versiones 9.18.41, 9.20.15 y 9.21.14 de BIND 9, restringir la recursión a los clientes de confianza, habilitar la validación de DNSSEC y supervisar las cachés.

Los investigadores de Synacktiv han demostrada que es posible crear un Binario de Rust «de dos caras» en Linux, que «ejecuta un programa inofensivo la mayor parte del tiempo, pero ejecutará un código oculto diferente si se implementa en un host de destino específico». En un nivel alto, el binario esquizofrénico sigue un proceso de cuatro pasos: (1) Extrae los UUID de la partición del disco del host, que identifican de forma exclusiva al objetivo, (2) obtiene una clave incrustada en el binario con los datos del host anterior utilizando HKDF , produciendo una nueva clave, (3) descifre los datos binarios incrustados cifrados «ocultos» de la clave derivada y (4) si el descifrado se realiza correctamente, ejecute el programa «oculto» descifrado o, de lo contrario, ejecute el programa «normal».

Los actores de amenazas son apalancamiento una técnica inusual que aprovecha los caracteres invisibles incrustados en las líneas de asunto de los correos electrónicos para evadir los filtros de seguridad automatizados. Este método de ataque utiliza la codificación MIME combinada con guiones flexibles de Unicode para disfrazar las intenciones maliciosas y, al mismo tiempo, parecer benigno para los lectores humanos. Esta técnica representa otra evolución en los ataques de suplantación de identidad, ya que los delincuentes encuentran formas novedosas de eludir los mecanismos de filtrado del correo electrónico que se basan en la detección de palabras clave y la coincidencia de patrones.

El Centro de Coordinación CERT (CERT/CC) ha revelado que la sintaxis de los encabezados de los mensajes de correo electrónico puede aprovecharse para eludir los protocolos de autenticación como SPF, DKIM y DMARC, lo que permite a los atacantes entregar correos electrónicos falsificados que parecen provenir de fuentes confiables. Concretamente, esto implica abusar de los campos De: y Remitente: para suplantar la identidad de una dirección de correo electrónico con fines malintencionados. «Con una sintaxis especializada, un atacante puede insertar varias direcciones en el campo Desde: del encabezado del correo», CERT/CC dijo . «Muchos clientes de correo electrónico analizarán el campo De: para mostrar solo la última dirección de correo electrónico, de modo que el destinatario no sepa que el correo electrónico proviene supuestamente de varias direcciones. De este modo, un atacante puede hacerse pasar por alguien conocido para el usuario». Para mitigar la amenaza, se insta a los proveedores de servicios de correo electrónico a implementar medidas para garantizar que los encabezados de los correos electrónicos salientes autenticados se verifiquen correctamente antes de firmar o transmitir los mensajes.

Autoridades de Myanmar dijo han demolido partes del parque KK mediante explosiones, semanas después de que el ejército del país allanara a mediados de octubre de 2025 lo que se ha descrito como un importante centro de operaciones de ciberdelincuencia. Tailandia dijo que había establecido refugios temporales para quienes habían huido de Myanmar. Group-IB, que ha observado un aumento de las estafas de inversión realizadas a través de plataformas en línea en Vietnam, afirmó que los actores de amenazas utilizan empresas falsas, cuentas falsas e incluso documentos de identidad robados comprados en mercados clandestinos para recibir y transferir fondos de las víctimas, lo que les permite eludir los débiles controles de Conozca a su cliente (KYC) o Conozca su negocio (KYB). Las operaciones de estafa suelen estar compuestas por diferentes equipos con funciones y responsabilidades claramente definidas: (1) La inteligencia objetivo, que identifica y perfila a las posibles víctimas, (2) los promotores, que crean personas convincentes en las redes sociales y atraen a las víctimas a invertir en plataformas falsas, en algunos casos utilizan una herramienta generadora de chat para crear conversaciones inventadas, (3) los operadores de backend, que se encargan del mantenimiento de la infraestructura, y (4) los gestores de pagos, que blanquean las ganancias del crimen. «Existe una tendencia creciente en las estafas de inversión a utilizar chatbots para detectar objetivos y guiar los depósitos o retiros», dijo la empresa de ciberseguridad dijo . «Las plataformas fraudulentas suelen incluir simuladores de chat para organizar conversaciones falsas y paneles de administración para controlar el backend, lo que proporciona información sobre cómo los operadores gestionan a las víctimas y la infraestructura».

El grupo austriaco de privacidad noyb ha presentado una denuncia penal contra la empresa de reconocimiento facial Clearview AI y su dirección, acusando a la controvertida empresa de reconocimiento facial de ignorar las multas del RGPD en Francia, Grecia, Italia y los Países Bajos, y de seguir operando a pesar de enfrentarse a prohibiciones. En 2022, Austria descubrió que las prácticas de Clearview AI violaban el RGPD, pero no multó a la empresa ni le ordenó que dejara de procesar los datos. Clearview lo ha hecho se enfrentó al escrutinio por extraer miles de millones de fotos de ciudadanos de la UE sin su permiso y utilizar los datos para un producto de reconocimiento facial vendido a los organismos encargados de hacer cumplir la ley. «La IA de Clearview acumuló una base de datos global de fotos y datos biométricos, que permite identificar a las personas en cuestión de segundos», dijo Max Schrems, de nob dijo . «Tal poder es extremadamente preocupante y socava la idea de una sociedad libre, donde la vigilancia es la excepción y no la regla».

Se ha anunciado en el mercado una nueva y sigilosa RAT llamada Atroposia con la adquisición oculta de escritorios remotos; el robo de portapapeles, credenciales y monederos de criptomonedas; el secuestro del DNS; y la capacidad de escaneo de vulnerabilidades locales, la última incorporación a una ya larga lista de herramientas delictivas «listas para usar» disponibles para actores de amenazas poco cualificados. El malware modular tiene un precio aproximado de 200 dólares al mes, 500 dólares cada tres meses o 900 dólares durante seis meses. «Su panel de control y su generador de complementos hacen que la herramienta sea sorprendentemente fácil de usar, lo que reduce la habilidad necesaria para ejecutar ataques complejos», dijo Varonis dijo . «La asequibilidad y la interfaz fácil de usar de Atroposia hacen que sea accesible incluso para atacantes con poca o ninguna habilidad». La aparición de Atroposia continúa con la mercantilización de la ciberdelincuencia, ya que dota a los actores de amenazas de una herramienta integral para facilitar una amplia gama de acciones maliciosas contra los entornos empresariales.

Los actores de amenazas son seguir aprovechando La ingeniería social al estilo de Clickfix atrae a distribuir cargadores para NetSupport RAT, lo que en última instancia conduce al despliegue del troyano. «NetSupport Manager es un RMM legítimo que los actores de amenazas siguen utilizando para controlar de forma remota total y sin autorización las máquinas comprometidas, y se distribuye principalmente a través del vector de acceso inicial de ClickFix», esEntire dijo . El desarrollo coincide con un aumento de las campañas de suplantación de identidad que distribuyen versiones sin archivos del RAT de Remcos. «Remcos se anuncia como un software legítimo que puede usarse con fines de vigilancia y pruebas de penetración, pero se ha utilizado en numerosas campañas de hackeo», dijo CyberProof dijo . «Una vez instalado, Remcos abre una puerta trasera en el dispositivo/computadora, lo que otorga acceso total al usuario remoto».

Usuarios de LinkedIn, tomen nota. La red social profesional propiedad de Microsoft anunció anteriormente cambios en sus términos de uso de datos hace varias semanas y señaló que, a partir de la próxima semana, comenzaría a utilizar datos de «miembros de la UE, el EEE, Suiza, Canadá y Hong Kong» para entrenar modelos de inteligencia artificial (IA). «El 3 de noviembre de 2025, comenzaremos a utilizar algunos datos de los miembros de estas regiones para entrenar modelos de inteligencia artificial que generen contenido que mejoren su experiencia y conecten mejor a nuestros miembros con las oportunidades», dijo la compañía dijo . «Esto puede incluir datos como detalles de tu perfil y contenido público que publiques en LinkedIn; no incluye tus mensajes privados».

Si bien más de 70 países formalmente firmado Estados Unidos, un tratado de la ONU sobre la ciberdelincuencia para colaborar y combatir la ciberdelincuencia, ha sido una excepción notable. Según El récord , el Departamento de Estado dijo que Estados Unidos continúa revisando el tratado, pero aún no lo ha firmado.

El pago medio de rescates durante el tercer trimestre de 2025 fue de 376.941 dólares, un 66% menos que en el segundo trimestre de 2025. El pago del rescate a los medios de comunicación se situó en 140.000 dólares, lo que representa una caída del 65% con respecto al trimestre anterior. Las tasas de pago de rescates mediante el cifrado, la exfiltración de datos y otros tipos de extorsión cayeron a un mínimo histórico del 23% en el tercer trimestre de 2025, frente al máximo del 85% registrado en el primer trimestre de 2019. Esto indica que las grandes empresas se niegan cada vez más a pagar, lo que obliga a «los actores del ransomware a ser menos oportunistas y más creativos a la hora de elegir a sus víctimas», dijo Coveware dijo , añadiendo que «la reducción de las ganancias está impulsando una mayor precisión. Los costes iniciales de entrada para los actores aumentarán drásticamente, lo que los obligará a centrarse en las grandes empresas que pueden pagar un elevado rescate». Akira, Qilin, Lynx, ShinyHunters y KAWA4096 se convirtieron en algunas de las variantes de ransomware más frecuentes durante ese período.

Las principales compañías energéticas estadounidenses están siendo suplantadas en ataques de suplantación de identidad, y los actores de amenazas crean dominios falsos disfrazados de Chevron, ConocoPhillips, PBF Energy y Phillips 66. Hunt.io afirma haber registrado más de 1465 detecciones de suplantación de identidad relacionadas con este sector en los últimos 12 meses. «Los atacantes confiaban en herramientas de clonación baratas [como HT Track ] para crear cientos de sitios similares, muchos de los cuales permanecieron en línea durante meses sin que se detectara a ningún proveedor», dijo la empresa dijo .

El actor de amenazas rastreado por QianXin bajo el apodo UTG-Q-010 ha dirigido El sistema financiero de Hong Kong y los inversores de alto valor del continente atacan a la cadena de suministro con el objetivo de «robar grandes sumas de dinero o manipular el mercado para obtener enormes beneficios». Los ataques a la cadena de suministro implican la distribución de paquetes de instalación troyanos a través de los sitios web oficiales de las instituciones financieras Jinrong China («jrjr [.] hk») y Wanzhou Gold («wzg [.] com»), con sede en Hong Kong, que conducen al despliegue de Adaptic C2 , un marco C2 gratuito y de código abierto.