Boletín Threatday: días cero de Cisco, recompen...

El gobierno del Reino Unido ha propuesto un nuevo proyecto de ley de ciberseguridad y resiliencia que tiene como objetivo fortalecer la seguridad nacional y proteger los servicios públicos, como la atención médica, los proveedores de agua potable, el transporte y la energía, frente a los ciberdelincuentes y los actores respaldados por el estado. Según la propuesta, se regulará a las empresas medianas y grandes que presten servicios como la gestión de TI, el soporte técnico de TI y la ciberseguridad a organizaciones del sector público y privado, como el Servicio Nacional de Salud (NHS). Las organizaciones a las que se aplica la nueva ley deberán denunciar los ciberincidentes más dañinos tanto a su organismo regulador como al Centro Nacional de Ciberseguridad (NCSC) en un plazo de 24 horas, y luego enviar un informe completo en un plazo de 72 horas. Según las nuevas normas, las sanciones por infracciones graves ascenderán a multas diarias equivalentes a 100 000 libras esterlinas (131 000 dólares), o el 10% de la facturación diaria de la organización, lo que sea mayor. «Como tienen acceso fiable a todas las redes gubernamentales, nacionales críticas y empresariales, deberán cumplir con unas obligaciones de seguridad claras», afirman desde el gobierno dijo . «Esto incluye denunciar con prontitud los ciberincidentes importantes o potencialmente importantes al gobierno y a sus clientes, así como contar con planes sólidos para hacer frente a las consecuencias».

Un antiguo empleado de Intel ha sido acusado de descargar miles de documentos poco después de que la empresa lo despidiera en julio, muchos de ellos clasificados como «ultrasecretos». El oregoniano, que reportó sobre la demanda, dijo que Jinfeng Luo descargó 18.000 archivos a un dispositivo de almacenamiento. Tras no ponerse en contacto con Luo en su casa de Seattle ni en otras dos direcciones relacionadas con él, el fabricante de chips presentó una demanda solicitando al menos 250.000 dólares en concepto de daños y perjuicios.

El Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) tiene publicado una versión revisada de su lista de los 10 principales riesgos críticos para las aplicaciones web, añadiendo a la lista dos nuevas categorías, incluidas las fallas en la cadena de suministro de software y la mala gestión de condiciones excepcionales. Mientras que la primera se refiere a los riesgos que se producen dentro o en todo el ecosistema de dependencias de software, sistemas de compilación e infraestructura de distribución, la segunda se centra en «la gestión inadecuada de los errores, los errores lógicos, las fallas de apertura y otros escenarios relacionados derivados de las condiciones anormales a las que pueden enfrentarse los sistemas». El control de acceso interrumpido, la mala configuración de la seguridad, los errores criptográficos, la inyección, el diseño inseguro, los errores de autenticación, los errores de integridad del software y los datos y los errores de registro y alerta ocupan los ocho puestos restantes.

Un estudio de 50 empresas líderes de IA descubrió que el 65% había filtrado secretos verificados en GitHub, incluidas claves de API, tokens y credenciales confidenciales. «Algunas de estas filtraciones podrían haber dejado al descubierto estructuras organizativas, datos de formación o incluso modelos privados», afirman Shay Berkovich y Rami McCarthy, investigadores de Wiz dijo . «Si usa un sistema de control de versiones (VCS) público, implemente el escaneo secreto ahora. Esta es su defensa inmediata e innegociable contra la exposición fácil. Incluso las empresas que ocupan muy poco espacio pueden estar expuestas a filtraciones secretas, como acabamos de demostrar».

Una nueva campaña de suplantación de identidad a gran escala está abusando de las funciones de Facebook Business Suite y facebookmail.com para enviar notificaciones falsas convincentes («Invitación a un socio de Meta Agency» o «Se requiere verificación de cuenta») que parecen provenir directamente de Meta. «Este método hace que sus campañas sean extremadamente convincentes, evita muchos filtros de seguridad tradicionales y demuestra cómo los atacantes explotan la confianza en plataformas conocidas», dijo Check Point dijo . «Si bien el volumen de correos electrónicos puede sugerir un enfoque de rociar y rezar, la credibilidad del dominio del remitente hace que estos intentos de suplantación de identidad sean mucho más peligrosos que el spam común». Hasta la fecha, se han registrado más de 40 000 correos electrónicos de suplantación de identidad, dirigidos principalmente a entidades de EE. UU., Europa, Canadá y Australia que dependen en gran medida de Facebook para hacer publicidad. Para llevar a cabo este plan, los atacantes crean páginas empresariales falsas en Facebook y utilizan la función de invitación empresarial para enviar correos electrónicos de suplantación de identidad que imitan las alertas oficiales de Facebook. El hecho de que estos mensajes se envíen desde el dominio «facebookmail [.] com» significa que los filtros de seguridad del correo electrónico los perciben como fiables. En los correos electrónicos hay enlaces que, al hacer clic en ellos, dirigen a los usuarios a sitios web falsos diseñados para robar credenciales y otra información confidencial.

Mozilla tiene adicional más protecciones de huellas dactilares en su navegador Firefox para evitar que los sitios web identifiquen a los usuarios sin su consentimiento, incluso cuando las cookies están bloqueadas o la navegación privada está habilitada. Las medidas de protección, empezando por Firefox 145, tienen como objetivo bloquear el acceso a ciertos datos utilizados por las huellas dactilares en línea. «Esto va desde reforzar la protección de las fuentes hasta impedir que los sitios web conozcan los detalles del hardware, como el número de núcleos que tiene el procesador, el número de dedos simultáneos que admite la pantalla táctil y las dimensiones del dock o la barra de tareas», explica Mozilla. En concreto, las nuevas protecciones incluir introducir datos aleatorios en las imágenes generadas en los elementos del lienzo, impedir que las fuentes instaladas localmente se utilicen para representar el texto de una página, indicar el número de toques simultáneos admitidos por el hardware del dispositivo como 0, 1 o 5, indicar la resolución de pantalla disponible como la altura de la pantalla menos 48 píxeles e informar el número de núcleos del procesador como 4 u 8.

Los actores de amenazas utilizan un nuevo kit de suplantación de identidad llamado Quantum Route Redirect para robar las credenciales de Microsoft 365. «Quantum Route Redirect viene con una configuración preconfigurada y dominios de suplantación de identidad que simplifican considerablemente un flujo de campaña que antes era técnicamente complejo, y 'democratiza' aún más la suplantación de identidad para los ciberdelincuentes menos expertos», explica KnowBe4 Threat Labs dijo . Las campañas de suplantación de identidad se hacen pasar por servicios legítimos como DocuSign, o se hacen pasar por notificaciones de pago o mensajes de voz perdidos para engañar a los usuarios para que hagan clic en las URL que siguen constantemente el patrón «/([\ w\ d-] +\.) {2} [\ w] {,3}\ /quantum.php/» y están alojadas en dominios estacionados o comprometidos. Se han detectado casi 1000 dominios de este tipo. El kit de suplantación de identidad también permite tomar las huellas dactilares del navegador y detectar VPN/proxy para redirigir las herramientas de seguridad a sitios web legítimos. Las campañas que utilizan este kit han conseguido acabar con víctimas en 90 países, y el 76% de los usuarios afectados son EE. UU..

La plataforma de codificación de IA Lovable tiene se asoció con Guardio para integrar su motor de detección de navegación segura en los flujos de trabajo generativos de IA de la plataforma, con el objetivo de escanear todos los sitios creados en la plataforma para detectar suplantación de identidad, estafas, suplantación de identidad y otras formas de abuso. Esta evolución tiene como telón de fondo informes que revelan que los asistentes de programación basados en inteligencia artificial, como Lovable, son susceptibles a técnicas como Estafa Vibe , permitiendo a los delincuentes crear páginas similares a las de recolección de credenciales y llevar a cabo estafas.

Microsoft ha lanzado oficialmente el soporte nativo para administradores de claves de acceso de terceros en Windows 11. La función está disponible con la actualización de seguridad de Windows de noviembre de 2025. «Esta nueva función permite a los usuarios elegir su administrador de claves de acceso favorito, ya sea Microsoft Password Manager o proveedores externos de confianza», dice Microsoft dijo . La compañía también señaló que ha integrado Microsoft Password Manager de Microsoft Edge en Windows como un complemento, lo que permite usarlo en Microsoft Edge, otros navegadores o cualquier aplicación que admita claves de acceso.

Los actores de amenazas, que van desde operadores de ransomware y redes cibercriminales organizadas hasta grupos de APT patrocinados por el estado, atacan cada vez más a la industria de la construcción al explotar la creciente dependencia del sector de la maquinaria pesada vulnerable habilitada para el IoT, los sistemas de modelado de información de edificios (BIM) y las plataformas de gestión de proyectos basadas en la nube. «Los ciberdelincuentes atacan cada vez más a las empresas de construcción para obtener acceso inicial y filtrar datos, explotando prácticas de seguridad débiles, sistemas obsoletos y anticuados y el uso generalizado de herramientas de gestión de proyectos basadas en la nube», Rapid7 dijo . «Los atacantes suelen emplear mensajes de correo electrónico de suplantación de identidad, credenciales comprometidas y ataques a la cadena de suministro, aprovechando la insuficiente formación de los empleados y la laxitud de la gestión de riesgos de los proveedores». Los atacantes también están optando por obtener el acceso inicial a las redes de las empresas de construcción a través de foros clandestinos, en lugar de llevar a cabo por sí mismos operaciones iniciales de compromiso, que consumen muchos recursos. Estos anuncios facilitan el apoyo a los servicios de depósito en garantía para ofrecer a los compradores garantías sobre la validez de los datos adquiridos. Una vez descubiertos, los responsables de la amenaza recorren la red con rapidez para extraer datos valiosos e incluso extorsionarlos mediante ransomware.

En agosto, Google anunciado planea verificar la identidad de todos los desarrolladores que distribuyen aplicaciones en Android, incluso de aquellos que distribuyen su software fuera de Play Store. La jugada fue se encontró con una reacción violenta , lo que plantea la preocupación de que podría ser el fin de la descarga lateral en Android. Si bien Google ha afirmado que la intención detrás del cambio era hacer frente a las estafas y campañas de malware en Internet, en particular las que se producen cuando los usuarios descargan archivos APK distribuidos a través de mercados de terceros, F-Droid calificó la situación de falsa, dado que Google Play Protect ya existe como mecanismo correctivo. «Cualquier riesgo percibido asociado con la instalación directa de aplicaciones puede mitigarse mediante la educación de los usuarios, la transparencia del código abierto y las medidas de seguridad existentes sin imponer requisitos de registro excluyentes», dijo F-Droid dijo . En respuesta a los comentarios de «desarrolladores y usuarios avanzados», Google dijo se trata de «crear un nuevo flujo avanzado que permita a los usuarios experimentados aceptar los riesgos de instalar software que no está verificado». Se espera que se compartan más detalles en los próximos meses.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha emitido un nueva alerta , declarando que ha identificado dispositivos marcados como «parcheados» como parte de la Directiva de emergencia 25-03, pero que se «actualizaron a una versión del software que sigue siendo vulnerable a la actividad de amenaza» que implica la explotación de CVE-2025-20333 y CVE-2025-20362 . «La CISA tiene conocimiento de que varias organizaciones creían haber aplicado las actualizaciones necesarias pero que, de hecho, no las habían actualizado a la versión mínima de software», dijo la agencia. «La CISA recomienda que todas las organizaciones verifiquen que se han aplicado las actualizaciones correctas». Ambas vulnerabilidades han sido explotadas activamente por un supuesto grupo de hackers vinculado a China conocido como UAT4356 (también conocido como Storm-1849).

El Ministerio de Desarrollo Digital de Rusia ha divulgado que los operadores de telecomunicaciones del país han lanzado un nuevo mecanismo para combatir los drones a pedido de los reguladores. «Si se introduce una tarjeta SIM en Rusia desde el extranjero, se debe confirmar que es utilizada por una persona y no está incrustada en un avión no tripulado», dijo el ministerio en una publicación en Telegram. «Hasta entonces, los servicios de Internet móvil y SMS de esta tarjeta SIM se bloquearán temporalmente». El mecanismo se probará a partir del 10 de noviembre de 2025. El ministerio también señaló que los suscriptores con tarjetas SIM rusas tienen derecho a un período de espera de 24 horas si la tarjeta SIM ha estado inactiva durante 72 horas o al regresar de un viaje internacional. Los suscriptores pueden restablecer el acceso resolviendo un CAPTCHA proporcionado por el operador o llamando a su proveedor de servicios y verificando su identidad por teléfono. La noticia se produce un mes después de que Moscú impusiera un bloqueo similar de 24 horas para las personas que entraran en Rusia con tarjetas SIM extranjeras, por motivos similares.

La empresa de ciberseguridad WatchTowr Labs ha publicado detalles sobre un recién parcheado secuencias de comandos entre sitios reflejadas Fallo (XSS) (CVE-2025-12101, puntuación CVSS: 6,1) en NetScaler ADC y NetScaler Gateway cuando el dispositivo está configurado como servidor virtual de puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o servidor virtual de autenticación, autorización y auditoría (AAA). El vulnerabilidad fue parcheado por Citrix a principios de esta semana . Sina Kheirkhah, de WatchTowr, dijo que la vulnerabilidad se debe a que la aplicación maneja el parámetro RelayState, que permite a un atacante ejecutar una carga XSS arbitraria mediante una solicitud HTTPS especialmente diseñada que contiene un parámetro RelayState con un valor codificado en Base64. «Si bien esto puede no parecer realista como una vulnerabilidad utilizable (y estamos de acuerdo, dado lo fácil que es en otros lugares), en general todavía se puede usar a través de CSRF, ya que el punto final /cgi/logout de NetScaler acepta una solicitud HTTP POST que contiene una SAMLResponse válida y un RelayState modificado», Kheirkhah dijo .

Un nuevo informe de Netskope ha descubierto que aproximadamente 22 de cada 10 000 usuarios del sector manufacturero encuentran contenido malicioso cada mes. «Microsoft OneDrive es ahora la plataforma más explotada, y el 18% de las organizaciones denuncian descargas de malware desde el servicio cada mes», afirma la empresa de ciberseguridad dijo . GitHub ocupó el segundo lugar con un 14%, seguido de Google Drive (11%) y SharePoint (5,3%). Para contrarrestar el riesgo, se recomienda a las organizaciones que inspeccionen todas las descargas HTTP y HTTPS, incluido todo el tráfico web y en la nube, para evitar que el malware se infiltre en la red empresarial.

Un actor de amenazas con motivaciones financieras conocido como Piratas de nómina Se ha observado que (también conocido como Storm-2657) secuestra sistemas de nómina, cooperativas de ahorro y crédito y plataformas de negociación en los EE. UU. mediante la organización de campañas de publicidad maliciosa. Esta actividad maliciosa, descrita como persistente y adaptable, se remonta a mayo de 2023, cuando los atacantes crearon sitios de suplantación de identidad en los que se hacían pasar por plataformas de nómina. Estos sitios se promocionaban a través de Google Ads, engañando a los empleados para que iniciaran sesión en portales de recursos humanos falsos con el objetivo de robar sus credenciales. Una vez que se capturaron los datos de inicio de sesión, los atacantes redirigieron los salarios a sus propias cuentas. Las iteraciones posteriores estaban equipadas con la capacidad de eludir la autenticación de dos factores (2FA). Check Point, que ha estado rastreando el aumento reciente de estas campañas, dijo haber encontrado un único bot de Telegram que se utiliza para capturar los códigos 2FA en tiempo real en las cooperativas de ahorro y crédito, las plataformas de nómina, prestaciones de atención médica y negociación, lo que sugiere una «red unificada». Si bien se ha descubierto que un conjunto de ataques se basa en técnicas de encubrimiento para garantizar que solo las víctimas intencionadas sean redirigidas a los sitios de suplantación de identidad, un segundo grupo se dirige a las instituciones financieras que utilizan Microsoft Ads. «Los dominios envejecen durante meses y albergan docenas de páginas de suplantación de identidad con URL aleatorias», explica Check Point dijo . «Un servicio de ocultación de adspect.ai determina qué página mostrar en función de las huellas dactilares del navegador. Ambos clústeres utilizan los mismos kits de suplantación de identidad. Las páginas se adaptan dinámicamente en función de los comentarios de los operadores, lo que facilita eludir la mayoría de los métodos de autenticación».

El Dana Bot el malware ha regresado con una nueva versión 669, casi seis meses después de que la Operación Endgame de las fuerzas del orden interrumpiera su actividad en mayo. La nueva variante tiene una infraestructura de comando y control (C2) que comprende los dominios Tor y los nodos BackConnect, por Escalador Z . También utiliza cuatro direcciones de monedero diferentes para robar criptomonedas: 12etGPL8EQyowAFw7ddQmeiz87r922WT5L (BTC), 0xb49a8bad358c0adb639f43c035b8c06777487dd7 (ETH), LEDxKbwf4mim3x9f7zmcdaxnnu8a8suohz (LTC), y Ty4inHGUT31CMBe3M6Tu5CoCXVFJ5NP59i (TRX).

Se está creando un nuevo troyano de acceso remoto (RAT) para Android llamado KoMex RAT anunciado a la venta en foros de ciberdelincuencia por un precio mensual de 500 dólares o 1200 dólares por una licencia de por vida. Los compradores potenciales también pueden obtener acceso a todo el código base por 3000$. Según las afirmaciones del vendedor, el troyano se basa en BTMOB , otra herramienta de control remoto de Android que surgió a principios de este año como una evolución de SpySolr. Otras funciones incluyen la posibilidad de adquirir todos los permisos necesarios, eludir Google Play Protect, registrar las pulsaciones de teclas, recopilar mensajes SMS y más. El actor de amenazas también afirma que la RAT funciona en todo el mundo sin restricciones geográficas. Curiosamente, un Página de Facebook de SpySolr afirma que el malware está desarrollado por ELFO , que fue desenmascarado en 2023 como un actor de amenazas sirio detrás de CypherRat y CraxSrat.

Amazon se ha convertido en la última empresa en abrir sus grandes modelos lingüísticos a investigadores de seguridad externos al instituir un programa de recompensas por errores para identificar problemas de seguridad en NOVA , el conjunto de modelos de IA fundamentales de la empresa. «A través de este programa, los investigadores probarán los modelos Nova en áreas críticas, como los problemas de ciberseguridad y la detección de amenazas químicas, biológicas, radiológicas y nucleares (QBRN)», dijo el gigante tecnológico dijo . «Los participantes que reúnan los requisitos pueden ganar recompensas monetarias que oscilan entre 200 y 25 000 dólares».

La organización austriaca sin fines de lucro dedicada a la privacidad None of Your Business (noyb) ha condenado la planes filtrados revisar la histórica regulación de privacidad del bloque, conocida como Reglamento General de Protección de Datos (GDPR), incluida la posibilidad de que las empresas de inteligencia artificial utilicen los datos personales de los ciudadanos de la región para la formación modelo. «Además, la protección especial de los datos sensibles, como los datos de salud, las opiniones políticas o la orientación sexual, se reduciría significativamente», señala dijo . «Además, se permitiría el acceso remoto a los datos personales en PC o teléfonos inteligentes sin el consentimiento del usuario». Max Schrems, fundador de noyb, dijo que el borrador representa una degradación masiva de la privacidad de los usuarios, al tiempo que beneficia principalmente a las grandes empresas tecnológicas. La Comisión tiene previsto introducir las enmiendas el 19 de noviembre.

Un tribunal del Reino Unido ha sentenciado una mujer china de 47 años, Zhimin Qian (también conocido como Yadi Zhang), a 11 años y 8 meses de prisión por lavar bitcoins vinculados a un plan de inversión de 5.600 millones de dólares. Hasta su detención en abril de 2024, la acusada había estado prófuga desde 2017 tras llevar a cabo una estafa a gran escala en China entre 2014 y 2017, en la que se defraudó a más de 128 000 personas. Qian, apodada la reina del Bitcoin, entró en Europa con pasaportes falsos y se estableció en Gran Bretaña con un nombre falso: Yadi Zhang. Ella se declaró culpable a delitos relacionados con la adquisición y posesión de bienes delictivos (es decir, criptomonedas) en septiembre. La investigación también condujo a la incautación de 61 000 bitcoins, ahora valorados en más de 6 000 millones de dólares, lo que la convierte en la mayor incautación de criptomonedas de la historia.

Los investigadores de ciberseguridad han descubierto dos nuevas familias de malware de segunda fase llamadas LeakyInjector y LeakyStealer que están diseñadas para atacar las carteras de criptomonedas y el historial de los navegadores. «LeakyInjector utiliza API de inyección de bajo nivel para evitar que lo detecten, e inyecta LeakyStealer en 'explorer.exe'», Hybrid Analysis dijo . «El dúo realiza un reconocimiento en una máquina infectada y ataca varias carteras criptográficas, incluidas las extensiones de navegador correspondientes a las carteras criptográficas. El malware también busca los archivos del historial del navegador de Google Chrome, Microsoft Edge, Brave, Opera y Vivaldi». LeakyStealer implementa un motor polimórfico que modifica los bytes de la memoria utilizando valores codificados específicos durante el tiempo de ejecución. También se dirige a un servidor externo a intervalos regulares para ejecutar los comandos de Windows y descargar y ejecutar cargas útiles adicionales.

El mes pasado, OpenAI lanzó un conjunto de herramientas de seguridad llamadas Marco de seguridad de barandas para detectar y bloquear el comportamiento potencialmente dañino de los modelos, como los jailbreaks y las inyecciones rápidas. Esto incluye los detectores que se basan en modelos lingüísticos extensos (LLM) para determinar si una entrada o una salida representan un riesgo para la seguridad. La empresa de seguridad basada en inteligencia artificial HiddenLayer afirmó que este enfoque es fundamentalmente erróneo, ya que un atacante puede aprovecharlo para aprovechar el marco Guardrails. «Si el mismo tipo de modelo que se usa para generar respuestas también se usa para evaluar la seguridad, ambos pueden verse comprometidos de la misma manera», afirma dijo . «Este experimento pone de relieve un desafío fundamental en la seguridad de la IA: la autorregulación de los LLM no puede defenderse completamente de la manipulación contradictoria. Las medidas de protección eficaces requieren capas de validación independientes, equipos en red y pruebas contradictorias para identificar las vulnerabilidades antes de que puedan aprovecharse».

UN violación de datos en un proveedor de seguridad chino llamado Knownsec ha provocado la filtración de más de 12 000 documentos clasificados, según el blog de seguridad chino MXRN, «incluida información sobre ciberarmas de propiedad estatal china, herramientas internas y listas de objetivos mundiales». Al parecer, el tesoro también incluía pruebas de que las RAT podían entrar en dispositivos Linux, Windows, macOS, iOS y Android, así como detalles sobre los contratos de la empresa con el gobierno chino. Según se informa, el código de Android puede extraer información de las populares aplicaciones de mensajería chinas y de Telegram. Entre los datos filtrados figuraba también una hoja de cálculo en la que figuraban 80 objetivos en el extranjero que Knownsec había atacado con éxito, además de 95 GB de datos de inmigración obtenidos en la India, 3 TB de registros de llamadas robados al operador de telecomunicaciones surcoreano LG U-Plus, 459 GB de datos de planificación vial obtenidos en Taiwán, contraseñas de cuentas de Yahoo taiwanesas y datos de cuentas brasileñas de LinkedIn. Actualmente no se sabe quién está detrás de las filtraciones. Hay indicios de que la filtración se debe a una antigua violación de datos de Knownsec de 2023, según NetAskari .