⚡ Resumen semanal: Lazarus llega a la Web3, los...

Los ciberataques son cada vez más inteligentes y difíciles de detener. Esta semana, los piratas informáticos utilizaron herramientas engañosas, engañaron a sistemas confiables y se aprovecharon rápidamente de los nuevos problemas de seguridad, algunos de ellos tan solo unas horas después de haber sido descubiertos. Ningún sistema era totalmente seguro.

Desde el espionaje y las estafas laborales falsas hasta el potente ransomware y la suplantación de identidad engañosa, los ataques procedían de todos lados. Incluso se pusieron a prueba las copias de seguridad cifradas y las áreas seguras.

Siga leyendo para obtener la lista completa de las noticias cibernéticas más importantes de esta semana, explicadas de manera clara y fácil de seguir.

⚡ Amenaza de la semana

Se aprovecha la falla de Motex Lanscope para dejar caer Gokcpdoor — Se ha atribuido a un supuesto actor chino de ciberespionaje conocido como Tick a una campaña de segmentación que ha aprovechado una falla de seguridad crítica recientemente revelada en Motex Lanscope Endpoint Manager (CVE-2025-61932, puntuación CVSS: 9,3) para infiltrarse en las redes objetivo e implementar una puerta trasera llamada Gokcpdoor. Sophos, que dio a conocer detalles de la actividad, dijo que estaba «limitada a sectores alineados con sus objetivos de inteligencia».

Los malos actores utilizan nuevas capacidades de inteligencia artificial y potentes agentes de inteligencia artificial

Los firewalls y las VPN tradicionales no ayudan, sino que amplían la superficie de ataque y permiten el movimiento lateral de las amenazas. También se aprovechan más fácilmente con ataques impulsados por la inteligencia artificial. Ha llegado la hora de Zero Trust + AI.

Más información ➝

🔔 Noticias principales

• El ataque de canal lateral Tee.fail extrae secretos de los enclaves seguros DDR5 de Intel y AMD — Se ha descubierto que un ataque físico de canal lateral de bajo costo infringe las garantías de confidencialidad y seguridad que ofrecen los modernos entornos de ejecución confiables (TEE) de Intel y AMD, lo que permite la extracción total de las claves criptográficas y la subversión de los mecanismos de certificación segura. El ataque, cuyo nombre en código es Tee.fail, aprovecha el cifrado determinista y la interposición del bus DDR5 para eludir con éxito las protecciones de los sistemas SGX y TDX de Intel, así como del SEV-SNP de AMD, al escuchar a escondidas las transacciones de memoria mediante una configuración de analizador lógico casera creada por menos de 1000 dólares. Dicho esto, el ataque requiere acceso físico al objetivo, así como privilegios a nivel de raíz para modificar el controlador del kernel.
• Hackers rusos atacan a Ucrania con tácticas sigilosas — Los investigadores descubrieron que presuntos piratas informáticos rusos irrumpieron en las redes ucranianas este verano utilizando herramientas administrativas ordinarias para robar datos y permanecer sin ser detectados. Según un informe de Symantec y Carbon Black, propiedad de Broadcom, los atacantes atacaron a una gran empresa ucraniana de servicios empresariales y a una agencia gubernamental local en dos incidentes distintos a principios de este año. Lo que hace que estos ataques sean notables es que los piratas informáticos desplegaron poco malware personalizado y, en cambio, se basaron en gran medida en tácticas de vida libre, es decir, utilizaron software legítimo que ya estaba presente en las redes de las víctimas para llevar a cabo sus acciones maliciosas. No se identificó a las organizaciones atacadas y no está claro qué información, si es que la hay, fue robada.
• Corea del Norte apunta al sector Web3 con GhostCall y GhostHire — El actor de amenazas BlueNoroff, afiliado a Corea del Norte, también conocido con los alias APT38 y TA444, ha resurgido con dos nuevas campañas denominadas GhostCall y GhostHire, dirigidas a ejecutivos, desarrolladores de Web3 y profesionales de la cadena de bloques. Las campañas se basan en la ingeniería social a través de plataformas como Telegram y LinkedIn para enviar falsas invitaciones a reuniones e iniciar cadenas de malware en varias etapas para poner en peligro a los anfitriones de Windows, Linux y macOS. GhostCall supone un gran salto en cuanto a sigilo operacional en comparación con las operaciones anteriores de BlueNoroff, ya que los atacantes utilizan varios niveles de preparación para eludir la detección. La operación GhostHire adopta un enfoque diferente: se dirige a los desarrolladores de la Web3 mediante ofertas de trabajo falsas y pruebas de contratación. BlueNoroff es un subgrupo con motivaciones financieras del Grupo Lazarus, la unidad cibernética de Corea del Norte patrocinada por el Estado y vinculada a la Oficina General de Reconocimiento (RGB), y se cree que dirige la campaña SnatchCrypto, de larga data. Se considera que GhostCall y GhostHire son las últimas extensiones de esta campaña. Se dice que la estrategia del actor de amenazas ha evolucionado más allá del robo de criptomonedas y credenciales de navegador para pasar a la adquisición integral de datos sobre una amplia gama de activos. «Los datos recopilados se explotan no solo contra el objetivo inicial, sino también para facilitar los ataques posteriores, lo que permite al actor ejecutar ataques a la cadena de suministro y aprovechar las relaciones de confianza establecidas para afectar a una gama más amplia de usuarios», afirma Kaspersky.
• El nuevo malware bancario para Android Herodotus imita el comportamiento humano — Los investigadores han descubierto un nuevo malware bancario para Android llamado Herodotus que elude la detección imitando el comportamiento humano al controlar de forma remota los dispositivos infectados. El malware es promocionado por un hacker poco conocido con el nombre de K1R0. Herodotus funciona como muchos troyanos bancarios modernos para Android. Los operadores lo distribuyen a través de mensajes SMS que engañan a los usuarios para que descarguen una aplicación maliciosa. Una vez instalado, el malware espera a que se abra una aplicación específica y, a continuación, superpone una pantalla falsa que imita la interfaz bancaria o de pago real para robar las credenciales. También intercepta los mensajes SMS entrantes para capturar códigos de acceso únicos y aprovecha las funciones de accesibilidad de Android para leer lo que aparece en la pantalla del dispositivo. Según ThreatFabric, lo que hace que Herodotus sea inusual es que trata de «humanizar» las acciones que llevan a cabo los atacantes durante el control remoto. En lugar de pegar todos los datos robados en los campos del formulario de una sola vez (un comportamiento que se puede marcar fácilmente como automático), el malware escribe cada carácter por separado, con pausas aleatorias de entre 0,3 y 3 segundos entre pulsaciones de teclas, imitando la forma en que escribiría una persona real.
• Qilin Ransomware utiliza cifradores de Linux en los ataques a Windows — Se ha observado que los actores del ransomware Qilin aprovechan el subsistema de Windows para Linux ( WSL ) para lanzar cifradores de Linux en Windows en un intento de evadir la detección. Qilin, que surgió a mediados de 2022, ha atacado a más de 700 víctimas en 62 países este año. La tasa sostenida de víctimas denunciadas en su sitio de filtración de datos subraya la posición de Qilin como una de las operaciones de ransomware más activas y perniciosas del mundo. En los nuevos ataques detectados por Trend Micro, se ha visto a filiales de Qilin utilizar WinSCP para transferir el encriptador ELF de Linux a los dispositivos comprometidos, que luego se lanza a través del software de gestión remota Splashtop. Esto se logra habilitando o instalando WSL en el servidor, lo que les permite ejecutar de forma nativa los archivos binarios de Linux en Windows sin la necesidad de una máquina virtual.

‎️ 🔥 CVs de tendencia

Los hackers se mueven rápido. Suelen aprovechar las nuevas vulnerabilidades en cuestión de horas, lo que convierte un único parche perdido en una brecha importante. Un CVE sin parches puede ser todo lo que se necesita para lograr un compromiso total. A continuación se muestran las vulnerabilidades más críticas de esta semana que están atrayendo la atención de todo el sector. Revíselas, priorice sus soluciones y cierre la brecha antes de que los atacantes se aprovechen de ellas.

La lista de esta semana incluye: CVE-2025-55315 (Agente NetBak para PC de QNAP), CVE-2025-10680 (OpenVPN), CVE-2025-55752 , CVE-2025-55754 (Apache Tomcat), CVE-2025-52665 (Ubiquiti UniFi Access), CVE-2025-12044 , CVE-2025-11621 (Bóveda de HashiCorp), CVE-2025-43995 (Administrador de almacenamiento de Dell), CVE-2025-5842 (Sistema automático de medición de tanques Veeder-Root TLS4B), CVE-2025-24893 (Wiki), CVE-2025-62725 (Docker Compose), CVE-2025-12080 (Mensajes de Google para Wear OS), CVE-2025-12450 (complemento LiteSpeed Cache), CVE-2025-11705 (complemento Anti-Malware Security y Brute-Force Firewall), CVE-2025-55680 (controlador de minifiltro de Microsoft Cloud Files), CVE-2025-6325, CVE-2025-6327 (Complemento King Addons para Elementor), CVE-2025-49401 (complemento Quiz and Survey Master), CVE-2025-54603 (Claroty Secure Remote Access) y CVE-2025-10932 (Transferencia Progress MOVEit).

📰 En todo el mundo cibernético

• Canadá advierte sobre los ataques hacktivistas contra infraestructuras críticas — El Centro Canadiense de Ciberseguridad ha emitido una alerta de alerta sobre los ataques organizados por hacktivistas contra los sistemas de control industrial (ICS) expuestos a Internet. «Un incidente afectó a una instalación de suministro de agua, alterando los valores de la presión del agua y reduciendo el servicio a la comunidad», explica el Cyber Centre dijo . «Otro involucró a una empresa canadiense de petróleo y gas, donde se manipuló un medidor automático de tanques (ATG), lo que provocó falsas alarmas. Una tercera se refería a un silo de secado de granos en una granja canadiense, donde se manipulaban los niveles de temperatura y humedad, lo que generaba condiciones potencialmente inseguras si no se detectaban a tiempo». Se recomienda a las organizaciones que se aseguren de que todos los servicios estén debidamente inventariados, documentados y protegidos.
• Kinsing aprovecha la falla de Apache ActiveMQ — El actor de amenazas conocido como Kinsing es explotando CVE-2023-46604 , un defecto conocido de Apache ActiveMQ, que permite realizar ataques de criptojacking en sistemas Linux y Windows. La última serie de ataques, observada por AhnLab, destaca por el despliegue de una puerta trasera de.NET llamada Sharpire, junto con XMRig y Stager. » Sharpire es una puerta trasera de.NET que es compatible con PowerShell Empire», afirma la empresa surcoreana de ciberseguridad. «Durante el proceso de toma del control del sistema infectado, el actor de la amenaza utiliza CobaltStrike, Meterpreter y PowerShell Empire a la vez». Vale la pena señalar que Kinsing fue descubierto explotando el mismo defecto tras su divulgación pública en 2023.
• 2 fallas en 8 sistemas informáticos confidenciales — Se han descubierto dos fallos de seguridad (CVE-2025-59054 y CVE-2025-58356) en ocho sistemas informáticos confidenciales diferentes (Oasis Protocol, Phala Network, Flashbots TDX, Fortanix Salmiac, Edgeless Constellation, Edgeless Contrast y Cosmian VM) que utilizan Linux Unified Key Setup versión 2 (LUKS2) para el cifrado de discos. Se ha introducido una mitigación parcial en configuración de criptas versión 2.8.1. «Al utilizar estas vulnerabilidades, un actor malintencionado con acceso a los discos de almacenamiento puede extraer todos los datos confidenciales almacenados en ese disco y modificar el contenido del disco de forma arbitraria», dijo Tjaden Hess, investigador de Trail of Bits dijo . «Las vulnerabilidades se deben a encabezados de metadatos maleables que permiten a un atacante engañar a un huésped de un entorno de ejecución confiable para que cifre datos secretos con un cifrado nulo». Dicho esto, la explotación de este problema requiere acceso de escritura a los discos cifrados. No hay evidencia de que las vulnerabilidades hayan sido explotadas de forma espontánea.
• Los piratas informáticos abusan de LinkedIn para atacar a ejecutivos financieros — Los piratas informáticos abusan de LinkedIn para atacar a los ejecutivos de finanzas con ataques de suplantación de identidad mediante mensajes directos que se hacen pasar por invitaciones a la junta ejecutiva con el objetivo de robarles sus credenciales de Microsoft. Los mensajes contienen una URL malintencionada y, al hacer clic en ellos, se activa una cadena de redireccionamiento que lleva a las víctimas a una página de destino falsa en la que se les indica que inicien sesión con las credenciales de su cuenta Microsoft para ver un documento. La página de suplantación de identidad también implementa una protección contra bots, como Cloudflare Turnstile, para bloquear los escáneres automáticos. «Enviar mensajes de suplantación de identidad a través de aplicaciones de redes sociales como LinkedIn es una excelente manera de llegar a los empleados en un lugar donde esperan que personas ajenas a su organización se pongan en contacto con ellos», dijo Push Security dijo . «Al evadir por completo el punto de control de suplantación de identidad tradicional (correo electrónico), los atacantes reducen significativamente el riesgo de interceptación».
• WhatsApp añade soporte para copias de seguridad cifradas con contraseña — WhatsApp ha anunciado una nueva forma de acceder a las copias de seguridad cifradas con soporte para claves de acceso. «Las claves de acceso te permitirán usar tu huella digital, rostro o código de bloqueo de pantalla para cifrar las copias de seguridad de tus chats, en lugar de tener que memorizar una contraseña o una engorrosa clave de cifrado de 64 dígitos», dice WhatsApp dijo . «Ahora, con solo un toque o un vistazo, las copias de seguridad de tus chats y chats personales en WhatsApp se aplican a las copias de seguridad de tus chats para que estén siempre seguras, accesibles y privadas». Se espera que el cambio se implemente gradualmente durante las próximas semanas y meses. Las claves de acceso son un método de autenticación sin contraseña basado en el estándar industrial FIDO. Están diseñadas para reemplazar las contraseñas por claves criptográficas almacenadas en el dispositivo del usuario y protegidas mediante métodos biométricos o de bloqueo del dispositivo. WhatsApp lanzó la compatibilidad con claves de acceso en Android en octubre de 2023 y para iOS en abril de 2024.
• 12 extensiones de VS Code maliciosas marcadas — Los investigadores de ciberseguridad han identificado un conjunto de 12 componentes maliciosos en el mercado de extensiones de Visual Studio Code (VS Code) que vienen con la capacidad de robar información confidencial o instalar una puerta trasera que establece una conexión persistente con una dirección de servidor controlada por un atacante y ejecuta código arbitrario en el host del usuario. «El malware en los complementos del IDE es un canal de ataque a la cadena de suministro que los equipos de seguridad empresarial deben tomarse muy en serio», dijo HelixGuard dijo . El desarrollo se produce cuando Aikido informó que los actores de amenazas detrás del Campaña GlassWorm apuntando al mercado de extensiones de VS Code y Open VSX se han trasladado a GitHub, empleando el mismo truco de esteganografía de Unicode para ocultar sus cargas maliciosas en los proyectos de JavaScript. La empresa dedicada a la seguridad de la cadena de suministro afirmó que el uso de código malicioso oculto con caracteres invisibles de zonas de uso privado (PUA) de Unicode se observó por primera vez en un conjunto de paquetes npm maliciosos en marzo de 2025. «Estos incidentes ponen de manifiesto la necesidad de aumentar la concienciación sobre el uso indebido de Unicode, especialmente sobre los peligros que representan los caracteres invisibles en las zonas de uso privado», afirma el investigador de seguridad Ilyas Makari dijo . «Los desarrolladores solo pueden defenderse de lo que ven y, en este momento, la mayoría de las herramientas no les muestran lo suficiente. Ni la interfaz web de GitHub ni VS Code mostraron ningún signo de que algo estuviera mal».
• Proton lanza un observatorio de violación de datos — La empresa suiza Proton, centrada en la privacidad, ha lanzado Observatorio de brechas de datos como una forma de escanear la web oscura en busca de filtraciones de datos confidenciales de las empresas. Dijo que se habían filtrado más de 306,1 millones de registros de 794 infracciones, y que los sectores más atacados eran el comercio minorista, la tecnología y los medios de comunicación. «Las pequeñas y medianas empresas (empresas con entre 1 y 249 empleados) representaron el 70,5% de las infracciones denunciadas», dijo la empresa dijo . «Las empresas más grandes (entre 250 y 999 empleados) representaron el 13,5% de las filtraciones de datos, y las organizaciones empresariales con más de 1000 empleados representaron el 15,9% restante. Las pymes son el blanco perfecto para los piratas informáticos, ya que, si bien pueden ofrecer un salario inferior al de una organización empresarial, es mucho más fácil infringirlas porque cuentan con menos protecciones de seguridad».
• Rusia arresta a 3 personas en relación con el robo de información de Meduza — Autoridades rusas arrestado tres personas que se cree que crearon y vendieron el robo de información Meduza. Los sospechosos fueron arrestados la semana pasada en el área metropolitana de Moscú, según el Ministerio del Interior de Rusia. Las autoridades dijeron que incautaron equipos informáticos, teléfonos y tarjetas bancarias durante las redadas en las casas de los sospechosos. La portavoz del Ministerio, Irina Volk, dijo el malware se utilizó en ataques contra al menos una red gubernamental en la región de Astrakhan. En un informe publicado en septiembre pasado, la empresa de seguridad rusa BI.ZONE dijo que Meduza era usado en ataques múltiples apuntando a organizaciones rusas el año pasado.
• Un ciudadano ucraniano es extraditado a Estados Unidos por los ataques de Conti — Un ciudadano ucraniano que se cree era miembro de la operación de ransomware Conti ha sido extraditado a los Estados Unidos. «Alrededor de 2020 y hasta junio de 2022 aproximadamente, Oleksii Oleksiyovych Lytvynenko, de 43 años, de Cork (Irlanda), conspiró con otros para utilizar el ransomware Conti para extorsionar a las víctimas y robar sus datos», dijo el Departamento de Justicia de los Estados Unidos dijo . «Lytvynenko controlaba los datos robados a numerosas víctimas de Conti y participó en las notas de rescate distribuidas en los sistemas de las víctimas». Lytvynenko fue arrestado por las autoridades irlandesas en julio de 2023. Está acusado de conspiración para cometer fraude informático y conspiración para cometer fraude electrónico. Si es declarado culpable, se enfrenta a una pena máxima de 5 años de prisión por la conspiración de fraude informático y de 20 años de prisión por la conspiración de fraude electrónico. Según las estimaciones, Conti fue utilizado para atacar a más de 1000 víctimas en todo el mundo, lo que supuso el pago de al menos 150 millones de dólares en rescates en enero de 2022. Si bien el grupo cerró la marca «Conti» en 2022, sus miembros se dividieron en grupos más pequeños y se dedicaron a otras operaciones de ransomware o extorsión. Cuatro de los presuntos cómplices de Lytvynenko, Maksim Galochkin, Maksim Rudenskiy, Mikhail Mikhailovich Tsarev y Andrey Yuryevich Zhuykov, fueron acusados en 2023.
• La FCC eliminará los requisitos de ciberseguridad para las empresas de telecomunicaciones de EE. UU. — La Comisión Federal de Comunicaciones (FCC) de los Estados Unidos anunció que votará el mes que viene para eliminar los nuevos requisitos de ciberseguridad para los proveedores de telecomunicaciones. «Tras un amplio compromiso de la FCC con los operadores, el artículo anuncia las importantes medidas que los proveedores han tomado para reforzar sus defensas de ciberseguridad», dijo Brendan Carr, presidente de la FCC, dijo .
• Dinamarca se retira del control de chat de la UE — El gobierno danés ha retirado su legislación sobre el control del chat después de que la controvertida propuesta no lograra obtener el apoyo mayoritario de los miembros del bloque de la UE. El 8 de octubre, el gobierno alemán anunció que no apoyaría el plan. Mientras Control de chat se presentó como una forma de combatir la amenaza que surge del material de abuso sexual infantil (CSAM). Los críticos de la propuesta dijeron que exigiría el escaneo de todas las comunicaciones digitales privadas, incluidos los mensajes y fotos cifrados, lo que pondría en peligro la privacidad y la seguridad de todos los ciudadanos de la región.
• Polonia arresta a 11 personas por llevar a cabo una estafa de inversiones — Las autoridades polacas han arrestado 11 sospechosos que llevaron a cabo un plan de estafa de inversiones que se basaba en centros de llamadas ubicados en el extranjero para engañar a los ciudadanos polacos para que invirtieran su dinero en sitios web de inversión falsos. Al parecer, la banda ganó más de 20 millones de dólares con al menos 1.500 víctimas.
• 4 nuevos RAT usan Discord para C2 — Los investigadores de ciberseguridad han arrojado luz sobre cuatro nuevos troyanos de acceso remoto (RAT) que utilizan la plataforma Discord de comando y control (C2). Esto incluye UwuDisrat, STD RAT, Minecraft RAT y Propionanilide RAT. «Minecraft RAT [...] está dirigido por un grupo de actores de amenazas que se autodenomina 'STD Group'», ReversingLabs dijo . «También operan una serie de RAT muy relacionadas que utilizan Discord como mecanismo C2. Las RAT están tan estrechamente relacionadas que pueden ser la misma base de código, pero que han cambiado su nombre». Propionanilide RAT, por otro lado, cuenta con un empaquetador llamado Proplock o STD Crypter para descifrar e iniciar la funcionalidad Discord RAT.
• Debilidades de seguridad en los sitios de Tata Motors — Se han producido varios problemas de seguridad descubierto en los sitios de Tata Motors, como E-Dukaan, FleetEdge y cvtestdrive.tatamotors [.] com, incluidas las claves de API de Azuga expuestas, dos claves de AWS y una cuenta «clandestina» integrada que permitía el acceso no autorizado a más de 70 TB de información e infraestructura confidenciales en cientos de cubos, ponían en peligro su sistema de gestión de flotas de prueba y obtenían acceso de administrador a una cuenta de Tableau gestionada por el conglomerado. Tras la divulgación responsable por parte del investigador de seguridad Eaton Zveare en agosto de 2023 en coordinación con el Equipo de Respuesta a Emergencias Informáticas (CERT-In) de la India, los problemas se resolvieron finalmente a principios de enero de 2024. En los últimos meses, Zveare también ha demostrado métodos para entrar Sitios web internos de Intel e identificó fallas en un fabricante de automóviles anónimo plataforma centralizada para concesionarios se podría haber abusado de eso para obtener el control total de los sistemas de más de 1000 concesionarios de automóviles en los EE. UU. mediante la creación de una cuenta de administrador nacional. El investigador también identificados un defecto de seguridad a nivel de API en una plataforma no especificada que permitía acceder a los comandos para iniciar y detener los generadores de energía. Si bien el problema se solucionó en octubre de 2023, la plataforma ya no está activa.
• Tangerine Turkey usa scripts por lotes y de Visual Basic para eliminar a los mineros de criptomonedas — Se ha descubierto una campaña de minería de criptomonedas denominada Tangerine Turkey que aprovecha archivos por lotes y scripts de Visual Basic para ganar persistencia, evadir las defensas e implementar mineros de XMRig en los entornos de las víctimas. Desde su aparición a finales de 2024, se considera que la campaña ha ampliado su alcance y se ha dirigido a organizaciones de forma indiscriminada de múltiples sectores y zonas geográficas. «El acceso inicial a la campaña de malware de Tangerine Turkey se logra a través de un dispositivo USB infectado», dijo Cybereason dijo . «El ataque comienza cuando el wscript.exe ejecuta un script VB malicioso ubicado en la unidad extraíble. Al aprovechar los archivos binarios tradicionales, como wscript.exe y printui.exe, así como las modificaciones del registro y los directorios señuelo, el malware puede eludir las defensas tradicionales y mantener la persistencia».
  
• Hezi Rash apunta a sitios de todo el mundo en una campaña hacktivista — Un nuevo actor de amenazas por motivos ideológicos conocido como Hezi Rash (que significa Fuerza Negra) ha sido vinculado a aproximadamente 350 ataques distribuidos de denegación de servicio (DDoS) contra países considerados hostiles a las comunidades kurdas o musulmanas entre agosto y octubre de 2025. Fundado en 2023, el grupo hacktivista nacionalista kurdo se ha descrito a sí mismo como un colectivo digital que defiende a la sociedad kurda contra las ciberamenazas, según Check Point, al tiempo que promueve una mezcla de nacionalismo, religión y activismo en sus mensajes. Se cree que el actor de amenazas utiliza herramientas y servicios de actores de amenazas más establecidos, como EliteStress, una plataforma de DDoS como servicio (DaaS) vinculada a Keymous+, KillNet y Project DDoSIA y Abyssal DDoS v3. «Si bien el impacto técnico de estos ataques, como las interrupciones temporales de sitios web, es evidente, las consecuencias empresariales generales siguen sin estar claras», dijo Check Point dijo . «Los ataques parecen ser de la 'variedad habitual' y se centran en la disrupción más que en la explotación sofisticada». La revelación se produce tras un informe de Radware, en el que se destaca el aumento de las supuestas actividades de DDoS entre el 6 y el 8 de octubre de 2025 por parte de grupos hacktivistas que tenían como objetivo Israel. Algunos de los principales grupos participantes son Sylhet Gang, Keymous+, Arabian Ghosts y NoName057 (16). «Solo el 7 de octubre, se registraron más de 50 denuncias de ciberataques contra objetivos israelíes», dijo Radware dijo . «El promedio semanal de ataques denunciados se disparó hasta casi tres veces el promedio en comparación con las semanas anteriores al 7 de octubre. Esta brusca escalada subraya cómo las campañas hacktivistas siguen utilizando aniversarios simbólicos para ampliar su visibilidad y coordinar la acción global».
• Las campañas de suplantación de identidad distribuyen Lampion Stealer — Se ha detectado un grupo de amenazas brasileño empleando señuelos de recibo de transferencia bancaria que contienen archivos ZIP para eliminar el Lampión robador mediante páginas de estilo Clickfix presentes dentro de las páginas HTML presentes en el archivo. El troyano bancario ha estado activo al menos desde 2019. «El primer cambio se produjo a mediados de septiembre de 2024, cuando las TAC empezaron a utilizar archivos adjuntos en formato ZIP en lugar de enlaces a un ZIP; el segundo cambio se produjo a mediados de diciembre de 2024, con la introducción de los señuelos ClickFix como una nueva técnica de ingeniería social; el último cambio se produjo a finales de junio de 2025, cuando se añadieron las capacidades de persistencia a la primera fase», Bitsight dijo . El comando que se ejecuta después de ClickFix allana el camino para tres scripts de VB diferentes que, en última instancia, implementan el componente robador de DLL del malware.
  
• MITRE lanza ATT&CK v18 — The MITRE Corporation ha publicado una versión actualizada del marco ATT&CK (v18), que actualiza las detecciones con dos nuevos objetos: estrategias de detección para detectar técnicas de ataque específicas y análisis que proporcionan una lógica de detección de amenazas específica para la plataforma. «En el ámbito de la telefonía móvil, hay cobertura sobre el uso indebido, patrocinado por el estado, de los dispositivos vinculados a señales o WhatsApp y sobre las técnicas mejoradas de recopilación de cuentas», dijo MITRE dijo . «Y en ICS, los objetos Asset nuevos y actualizados amplían la gama de escenarios de ataque y equipos industriales que ATT&CK puede representar, ya que incluyen la mejora de las conexiones entre la terminología específica del sector a través de Related Assets».

🎥 Seminarios web sobre ciberseguridad

• Deje de ahogarse en las listas de vulnerabilidades: descubra la reducción dinámica de la superficie de ataque — ¿Cansado de demasiados problemas de seguridad y de no tener tiempo suficiente para solucionarlos? Únase a The Hacker News y Bitdefender para obtener información sobre la reducción dinámica de la superficie de ataque (DASR), una nueva forma de cerrar rápidamente las brechas de seguridad mediante herramientas inteligentes y la automatización. Descubra cómo Bitdefender PHASR ayuda a los equipos a mantenerse seguros, reducir los riesgos y bloquear las amenazas antes de que causen daño.
• Protección de la infraestructura de nube: estrategias para equilibrar la agilidad, el cumplimiento y la seguridad — A medida que más empresas se trasladan a la nube, es más difícil mantener seguros los datos y el acceso. En este seminario web, los expertos compartirán consejos fáciles de seguir para proteger los sistemas en la nube, gestionar el acceso de los usuarios y mantenerse al tanto de las normas globales, todo ello sin ralentizar su negocio. Aprenderá las medidas reales que puede tomar de inmediato para mantener su nube segura y que su equipo funcione con rapidez.

🔧 Herramientas de ciberseguridad

• Corre Zero Hound — Un nuevo y práctico conjunto de herramientas de código abierto de RunZero que convierte los datos de sus activos en «gráficos de ataque» visuales para que pueda ver exactamente cómo las amenazas podrían moverse por su red. Con esto en tus manos, podrás detectar rutas peligrosas, cerrar las brechas más rápido y anticiparte a lo que los atacantes podrían intentar a continuación.
• Droid Run — Es una herramienta de pruebas de seguridad que ayuda a los investigadores y analistas a ejecutar y monitorear de forma segura el malware de Android en un entorno aislado. Está diseñada para facilitar la observación del comportamiento de las aplicaciones maliciosas sin poner en riesgo el sistema. Perfecto para el análisis dinámico, es compatible con la automatización y proporciona información detallada sobre la actividad del malware.

Descargo de responsabilidad: Estas herramientas son únicamente para uso educativo y de investigación. No se han sometido a pruebas de seguridad exhaustivas y podrían suponer un riesgo si se utilizan de forma incorrecta. Revisa el código antes de probarlos, pruébalo solo en entornos seguros y sigue todas las normas éticas, legales y organizativas.

🔒 Consejo de la semana

Por qué la reducción de la superficie de ataque es más importante que nunca — ¿Qué pasa si su mayor riesgo no es un nuevo día cero, sino algo que ya se encuentra silenciosamente dentro de su sistema?

Esta semana, la atención se centra en la reducción de la superficie de ataque (ASR), una estrategia que se está convirtiendo rápidamente en algo imprescindible, no en algo agradable. A medida que las empresas utilizan más aplicaciones, API y cuentas en la nube, los piratas informáticos encuentran formas fáciles de acceder a lo que ya está expuesto. Piense en subdominios olvidados, puertos no utilizados o cuentas de usuario antiguas. Cuanto más tenga, más tendrá con qué trabajar.

¿La buena noticia? Las herramientas de código abierto están aumentando. Easm fácil ayuda a mapear lo que está en vivo en la web. Analiza la superficie de ataque de Microsoft r muestra lo que cambia después de las actualizaciones o instalaciones. SARGEN le permite probar reglas inteligentes en Windows Defender para detener los comportamientos de riesgo antes de que se aprovechen de ellos.

Esta es la verdad: no tiene que dejar de construir rápido, solo tiene que construir de manera inteligente. Reducir la superficie de ataque no ralentiza la innovación. La protege.

No esperes a recibir una alerta. Toma el control antes de que lo hagan los atacantes. Haz un mapa. Córtalo. Ciérralo.

Conclusión

¿La gran lección de esta semana? Las ciberamenazas no siempre parecen amenazas. Pueden ocultarse en aplicaciones normales, sitios web de confianza o incluso ofertas de trabajo. Ya no se trata solo de detener los virus, sino de detectar trucos, actuar con rapidez y pensar en el futuro. Cada clic, actualización e inicio de sesión es importante.

La ciberseguridad no es una solución de una sola vez. Es un hábito diario.