⚡ Resumen semanal: Drift Breach Chaos, Zero-Day...

La ciberseguridad nunca se ralentiza. Cada semana trae nuevas amenazas, nuevas vulnerabilidades y nuevas lecciones para los defensores. Para los equipos de seguridad y TI, el desafío no es solo mantenerse al día con las noticias, sino saber qué riesgos son más importantes en este momento. Para eso está aquí este resumen: una sesión informativa clara y sencilla que le ayude a centrarse en lo que importa.

Esta semana, una historia destaca por encima de las demás: la violación de Salesloft—Drift, en la que los atacantes robaron tokens de OAuth y accedieron a los datos de Salesforce de algunos de los nombres más importantes del sector tecnológico. Es un claro recordatorio de cómo las frágiles integraciones pueden convertirse en el eslabón más débil de las defensas empresariales.

Además, analizaremos varios CVE de alto riesgo que se están explotando activamente, las últimas medidas adoptadas por actores de amenazas avanzadas y nuevos conocimientos sobre cómo hacer que los flujos de trabajo de seguridad sean más inteligentes, no más ruidosos. Cada sección está diseñada para brindarle lo esencial, lo suficiente como para mantenerse informado y preparado, sin perderse en el ruido.

⚡ Amenaza de la semana

Salesloft desconectará Drift en medio de un incidente de seguridad — Salesloft anunció que desconectará temporalmente Drift «en un futuro muy próximo», ya que varias empresas se han visto envueltas en una ola de ataques de gran alcance a la cadena de suministro contra el producto de marketing de software como servicio, que ha provocado el robo masivo de tokens de autenticación. «Esto proporcionará la forma más rápida de revisar exhaustivamente la aplicación y aumentar la resiliencia y la seguridad del sistema para que la aplicación vuelva a funcionar plenamente», afirma la empresa. «Como resultado, el chatbot de Drift en los sitios web de los clientes no estará disponible y no se podrá acceder a Drift. Hasta la fecha, Cloudflare, Google Workspace, PagerDuty, Palo Alto Networks, Proofpoint, SpyCloud, Tanium, Tenable y Zscaler han confirmado que se vieron afectados por el hackeo. La actividad se ha atribuido a un grupo de amenazas rastreado por Google y Cloudflare como UNC6395 y GRUB1, respectivamente.

Zero Trust + AI: prospere en la era de la IA y capacite a su fuerza laboral

No es de extrañar que los piratas informáticos utilicen la IA de forma creativa para comprometer a los usuarios y atacar a las organizaciones. Zscaler Zero Trust + AI ayuda a derrotar los ataques actuales basados en el ransomware y la inteligencia artificial, ya que te permite detectar y bloquear las amenazas avanzadas, así como descubrir y clasificar datos confidenciales en cualquier lugar.

Más información sobre Zscaler Zero Trust + AI ➝

🔔 Noticias principales

• La falla de Sitecore está siendo explotada activamente en la naturaleza — Malhechores desconocidos están explotando una vulnerabilidad de configuración en varios productos de Sitecore para ejecutar código de forma remota a través de una clave expuesta al público e implementar malware espía en las máquinas infectadas. La vulnerabilidad de deserialización de ViewState, CVE-2025-53690, se ha utilizado para implementar malware y herramientas adicionales orientadas al reconocimiento interno y la persistencia en uno o más entornos comprometidos. Los atacantes atacaron el punto final "/sitecore/blocked.aspx «, que contiene un formulario ViewState no autenticado, con solicitudes HTTP POST que contenían una carga útil ViewState diseñada de forma personalizada. Mandiant afirmó que interrumpió la intrusión a mitad de camino, lo que le impidió obtener más información sobre el ciclo de vida del ataque y determinar las motivaciones de los atacantes.
• El APT28 ruso implementa la puerta trasera de Outlook «NotDoor» — El grupo de hackers patrocinado por el estado ruso y rastreado como APT28 ha sido atribuido a una nueva puerta trasera de Microsoft Outlook llamada NotDoor (también conocida como GONEPOSTAL) en los ataques dirigidos contra varias empresas de diferentes sectores en los países miembros de la OTAN. NotDoor «es una macro de VBA para Outlook diseñada para monitorear los correos electrónicos entrantes en busca de una palabra clave específica», afirmó el equipo de inteligencia de amenazas LAB52 de S2 Grupo. «Cuando se detecta un correo electrónico de este tipo, un atacante puede filtrar datos, subir archivos y ejecutar comandos en el ordenador de la víctima».
• El nuevo actor de GhostRedirector hackea 65 servidores Windows en Brasil, Tailandia y Vietnam — Un clúster de amenazas previamente indocumentado denominado GhostRedirector ha conseguido comprometer al menos 65 servidores Windows ubicados principalmente en Brasil, Tailandia y Vietnam. Los ataques, según la empresa eslovaca de ciberseguridad ESET, llevaron al despliegue de una puerta trasera pasiva de C++ llamada Rungan y de un módulo nativo de Internet Information Services (IIS) con el nombre en código Gamshen. Se cree que el actor de la amenaza está activo al menos desde agosto de 2024. «Si bien Rungan tiene la capacidad de ejecutar comandos en un servidor comprometido, el objetivo de Gamshen es ofrecer un servicio de fraude SEO, es decir, manipular los resultados de los motores de búsqueda para aumentar la clasificación de las páginas de un sitio web objetivo configurado», afirma la empresa.
• Google corrige 2 fallas de Android explotadas activamente — Google ha publicado actualizaciones de seguridad para corregir 120 fallos de seguridad en su sistema operativo Android como parte de sus correcciones mensuales para septiembre de 2025, incluidos dos problemas que, según afirma, se han aprovechado en ataques dirigidos. Una de ellas, la CVE-2025-38352, es una vulnerabilidad de escalamiento de privilegios en el componente anterior del núcleo de Linux. La segunda deficiencia es una falla de escalamiento de privilegios en Android Runtime (CVE-2025-48543). A Benoît Sevens, del Grupo de Análisis de Amenazas (TAG) de Google, se le atribuye el mérito de haber descubierto y denunciado una falla en el núcleo de Linux anterior, lo que sugiere que podría haber sido objeto de abuso como parte de ataques selectivos de software espía.
• Los actores de amenazas afirman utilizar la IA de HexStrike como arma en ataques del mundo real — Los actores de amenazas están intentando aprovechar una herramienta de seguridad ofensiva de inteligencia artificial (IA) recientemente lanzada llamada HexStrike AI para aprovechar las fallas de seguridad descubiertas recientemente. «Este es un momento crucial: se ha afirmado que una herramienta diseñada para reforzar las defensas se está reutilizando rápidamente para convertirla en un motor de explotación, cristalizando conceptos anteriores en una plataforma ampliamente disponible que impulsa ataques en el mundo real», afirma Check Point.
• Hackers iraníes vinculados a ataques contra embajadas europeas — Un grupo Irán-Nexus llevó a cabo una campaña de spear-phishing «coordinada» y de «múltiples oleadas» dirigida a las embajadas y consulados de Europa y otras regiones del mundo. La empresa israelí de ciberseguridad Dream ha atribuido esta actividad a operadores alineados con Irán relacionados con las actividades cibernéticas ofensivas más amplias emprendidas por un grupo conocido como Homeland Justice. «Se enviaron correos electrónicos a múltiples destinatarios gubernamentales de todo el mundo, disfrazando una comunicación diplomática legítima», dijo la empresa. «La evidencia apunta a un esfuerzo de espionaje regional más amplio dirigido a entidades diplomáticas y gubernamentales en un momento de mayor tensión geopolítica».

🔥 CVEs de moda

Los piratas informáticos actúan con rapidez y, a menudo, aprovechan las nuevas fallas en cuestión de horas. La pérdida de una actualización o un único error de detección automática sin parches pueden provocar graves daños. Estas son las vulnerabilidades de alto riesgo de esta semana que aparecen en los titulares. Revíselas, parchee rápidamente y manténgase a la vanguardia.

La lista de esta semana incluye: CVE-2025-53690 (SiteCore), CVE-2025-42957 (SAP S/4HANA), CVE-2025-9377 (TP-Link Archer C7 (UE) V2 y TL-WR841N/ND (MS) V9), CVE-2025-38352 (Núcleo de Linux/Google Android), CVE-2025-48543 (Google Android), CVE-2025-29927 (Next.js), CVE-2025-52856 , CVE-2025-52861 (QVR DE QNAP), CVE-2025-0309 (Cliente de Netskope para Windows), CVE-2025-21483, CVE-2025-27034 (Qualcomm), CVE-2025-6203 (Bóveda de HashiCorp), CVE-2025-58161 (MobSF), CVE-2025-5931 (complemento Dokan Pro), CVE-2025-53772 (Implementación web), CVE-2025-9864 (Google Chrome), CVE-2025-9696 (SunPower PVS6), CVE-2025-57833 (Django), CVE-2025-24204 (Apple macOS), CVE-2025-55305 (Marco electrónico), CVE-2025-53149 (Controlador de servicio WOW Thunk de Microsoft Kernel Streaming), CVE-2025-6519 , CVE-2025-52549 , CVE-2025-52548 (Copeland E2 y E3), CVE-2025-58782 (Liebre apache), CVE-2025-55190 (CD Argo), CVE-2025-1079, CVE-2025-4613 y una ejecución remota de código en el lado del cliente (sin CVE) (Diseñador web de Google).

📰 En todo el mundo cibernético

• Se revela el nuevo AI Waifu RAT — Los investigadores de ciberseguridad han descubierto un potente troyano de acceso remoto (RAT) basado en Windows llamado AI Waifu RAT que utiliza la potencia de un modelo de lenguaje de gran tamaño para transmitir comandos. «Un agente local recorre la máquina de la víctima y escucha los comandos de un puerto fijo», explica un investigador llamado ryingo dijo . «Estos comandos, que se originan en el LLM, pasan a través de una interfaz de usuario web y se envían al agente local como solicitudes HTTP de texto sin formato». El malware se dirige específicamente a las comunidades de juegos de rol de LLM, y aprovecha su interés por la tecnología para ofrecer a los personajes de inteligencia artificial la posibilidad de leer archivos locales para «jugar roles personalizados» y ejecutar código arbitrario de forma directa.
• DoJ: «No todos los héroes llevan capas. Algunos tienen canales de YouTube» — El Departamento de Justicia de los Estados Unidos (DoJ) dijo que dos canales de YouTube llamados Scammer Payback y Trilogy Media desempeñaron un papel crucial a la hora de desenmascarar e identificar a los miembros de una gigantesca red de estafas que robó más de 65 millones de dólares a personas de la tercera edad. Los 28 presuntos miembros de la red del crimen organizado chino supuestamente usaron centros de llamadas con sede en la India para llamar a personas mayores haciéndose pasar por funcionarios del gobierno, empleados de bancos y agentes de soporte técnico. «Una vez conectados, los estafadores utilizaron mentiras escritas y manipulaciones psicológicas para ganarse la confianza de las víctimas y, a menudo, el acceso remoto a sus ordenadores», dijo el Departamento de Justicia dijo . «El plan más común consistía en convencer a las víctimas de que habían recibido un reembolso erróneo y presionarlas (o amenazarlas) para que devolvieran el supuesto exceso de fondos mediante transferencia bancaria, efectivo o tarjetas de regalo». A las personas que enviaban dinero en efectivo se les indicaba que utilizaran servicios de mensajería urgente o de un solo día para enviar los paquetes a nombres falsos vinculados a documentos de identidad falsos. Los enviaban a alquileres de corta duración en los Estados Unidos que utilizaban los conspiradores, incluidos los acusados acusados, para recaudar las ganancias del fraude. La red opera en el sur de California desde 2019.
• Análisis del parche BadSuccessor — Microsoft, como parte de su actualización del martes de parches de agosto de 2025, solucionó una falla de seguridad llamada Mal sucesor (CVE-2025-53779), que abusó de una laguna en la dMSA, lo que provocó que el Centro de distribución de claves (KDC) tratara una dMSA vinculada a cualquier cuenta de Active Directory como la sucesora durante la autenticación. Como resultado, un atacante podría crear una DMSA en una unidad organizativa (OU) y vincularla a cualquier objetivo (incluso a controladores de dominio, administradores de dominio, usuarios protegidos o cuentas marcadas como «confidenciales y no delegables») y ponerlos en peligro. Un análisis del parche ha revelado que en la validación del KDC se implementó la aplicación de los parches. «El atributo aún se puede escribir, pero el KDC no lo respetará a menos que la combinación parezca una migración legítima», explica Yuval Gordon, investigador de seguridad de Akamai dijo . «Aunque la vulnerabilidad se puede corregir, BadSuccessor sigue siendo una técnica válida; es decir, la verificación del KDC elimina la ruta de escalamiento previa al parche, pero no mitiga todo el problema. Como el parche no ofrecía ninguna protección al atributo de enlace, un atacante puede heredar otra cuenta si vincula una DMSA controlada con una cuenta objetivo».
• Los suplantadores de identidad pasan al esquema de rampa y descarga — Los grupos de ciberdelincuentes que anuncian sofisticados kits de suplantación de identidad que convierten los datos de tarjetas robadas en carteras móviles tienen cambiaron su enfoque a dirigirse a los clientes de los servicios de corretaje y a utilizar cuentas de corretaje comprometidas para manipular los precios de las acciones extranjeras como parte de lo que se denomina un plan de rampa y volcado.
• Los actores de amenazas explotan los marcos populares de C2 — Sliver, Havoc, Metasploit, Mythic, Brute Ratel C4 y Cobalt Strike (en ese orden) se han convertido en los marcos de comando y control (C2) más utilizados en ataques maliciosos en el segundo trimestre de 2025, según datos de Kaspersky. «Los atacantes personalizan cada vez más sus agentes C2 para automatizar las actividades maliciosas y dificultar la detección», afirma la empresa dijo . La evolución se produjo cuando la mayoría (53%) de las explotaciones de vulnerabilidad atribuidas en el primer semestre de 2025 fueron realizadas por actores patrocinados por el estado con fines estratégicos y geopolíticos, según Grupo Insikt de Recorded Future . En total, se publicaron 23 667 CVEs en el primer semestre de 2025, lo que representa un aumento del 16% en comparación con el primer semestre de 2024. Los atacantes explotaron activamente 161 vulnerabilidades, y el 42% de esas vulnerabilidades explotadas tenían vulnerabilidades de PoC públicas.
• Los convertidores de PDF falsos ofrecen el malware JScoreRunner para macOS — Se utilizan aplicaciones que se hacen pasar por convertidores de PDF para entregar un malware llamado JScoreRunner. Una vez descargado de sitios como fileripple [.] com, el malware establece conexiones con un servidor remoto y secuestra el navegador Chrome del usuario modificando la configuración del motor de búsqueda para que, por defecto, sea un proveedor de búsquedas fraudulento, rastreando así las búsquedas de los usuarios y redirigiéndolos a sitios falsos, exponiéndolos aún más a robos financieros y de datos, por Mosyle . El ataque se desarrolla en dos etapas: el paquete inicial (cuya firma ha sido revocada desde entonces por Apple), que despliega una carga útil secundaria sin firmar del mismo dominio que, a su vez, ejecuta la principal carga maliciosa.
• Copeland publica correcciones para las fallas de Frostbyte10 — La empresa tecnológica estadounidense Copeland ha publicado una actualización del firmware para corregir diez vulnerabilidades en los controladores Copeland E2 y E3. Los chips se utilizan para gestionar la eficiencia energética en los sistemas de climatización y refrigeración. Las diez vulnerabilidades se han denominado colectivamente Frostbyte10. «Las fallas descubiertas podrían haber permitido a actores no autorizados manipular parámetros de forma remota, deshabilitar sistemas, ejecutar código remoto u obtener acceso no autorizado a datos operativos confidenciales», dijo Armis. «Cuando se combinan y explotan, estas vulnerabilidades pueden provocar la ejecución remota de código sin autenticar con privilegios de usuario root». La falla más grave es la CVE-2025-6519, un caso en el que un usuario administrador predeterminado, «ONEDAY», tenía una contraseña generada a diario y que podía generarse de forma predecible. En un escenario de ataque hipotético, un atacante podría encadenar el CVE-2025-6519 y el CVE-2025-52549 con el CVE-2025-52548, lo que puede permitir el acceso a SSH y Shellinabox mediante una llamada API oculta, para facilitar la ejecución remota de comandos arbitrarios en el sistema operativo subyacente.
• Más de 1,000 servidores Ollama expuestos — Un nuevo estudio de Cisco descubrió que había más de 1.100 servidores Ollama expuestos, con aproximadamente un 20% de modelos de alojamiento activo susceptibles de acceso no autorizado. De los 1139 servidores expuestos, se descubrió que 214 alojaban y respondían activamente a las solicitudes con modelos activos, lo que representa aproximadamente el 18,8% del total de usuarios analizados, siendo Mistral y LLama los despliegues más frecuentes. El 80% restante de los servidores detectados, aunque se podía acceder a ellos a través de interfaces no autenticadas, no tenían ningún modelo instanciado. Aunque están inactivos, estos servidores siguen siendo susceptibles de ser explotados mediante la carga no autorizada de modelos o la manipulación de la configuración. Los hallazgos «subrayan la urgente necesidad de establecer puntos de referencia de seguridad en los despliegues de la LLM y proporcionan una base práctica para futuras investigaciones sobre la monitorización de las superficies de amenaza de la LLM», según la empresa dijo .
• El kit de suplantación de identidad Tycoon evoluciona — El kit de suplantación de identidad Tycoon se ha actualizado para que sea compatible con las técnicas de codificación de URL para ocultar los enlaces maliciosos incrustados en los mensajes de correo de voz falsos para eludir las comprobaciones de seguridad del correo electrónico. También se ha observado que los atacantes utilizan la técnica del prefijo de protocolo redundante por motivos similares. «Esto implica crear una URL que solo tenga un hipervínculo parcial o que contenga elementos no válidos (como dos «https» o ningún «//») para ocultar el verdadero destino del enlace y, al mismo tiempo, garantizar que la parte activa tenga un aspecto benigno y legítimo y no despierte sospechas entre los objetivos ni entre los controles del navegador», Barracuda dijo . «Otro truco es usar el símbolo '@' en una dirección web. Los navegadores tratan todo lo que aparece antes de la «@» como «información de usuario», por lo que los atacantes colocan en esta parte algo que parece fiable y respetable, como «office365». El destino real del enlace aparece después de la '@'».
• El Departamento de Estado de los Estados Unidos ofrece hasta 10 millones de dólares a los piratas informáticos rusos — El Departamento de Estado de los Estados Unidos es ofrecimiento una recompensa de hasta 10 millones de dólares para obtener información sobre tres agentes del Servicio Federal de Seguridad (FSB) de Rusia involucrados en ciberataques contra organizaciones estadounidenses de infraestructura crítica en nombre del gobierno ruso. Los tres individuos, Marat Valeryevich Tyukov, Mikhail Mikhailovich Gavrilov y Pavel Aleksandrovich Akulov, forman parte del Centro 16 o Unidad Militar 71330 del FSB, que rastreado como Berserk Bear, Blue Kraken, Crouching Yeti, Dragonfly, Koala Team y Static Tundra. Se les ha acusado de atacar a 500 empresas de energía en 135 países. En marzo de 2022, los tres oficiales de la FBS también estaban cargado por su participación en una campaña que tuvo lugar entre 2012 y 2017, dirigida a las agencias gubernamentales de EE. UU.
• El malware XWorm utiliza métodos engañosos para evadir la detección — Una nueva campaña de malware de XWorm utiliza métodos engañosos e intrincados para evadir la detección y aumentar la tasa de éxito del malware. «La cadena de infección del malware de XWorm ha evolucionado para incluir técnicas adicionales que van más allá de los ataques tradicionales por correo electrónico», dijo Trellix dijo . «Si bien el correo electrónico y los archivos.LNK siguen siendo vectores de acceso iniciales comunes, XWorm ahora también aprovecha los nombres de archivo.EXE de aspecto legítimo para disfrazarse de aplicaciones inofensivas, explotando la confianza de los usuarios y del sistema». La cadena de ataque utiliza archivos LNK para iniciar una infección compleja. Al ejecutar el archivo .LNK, se activan comandos maliciosos de PowerShell que envían un archivo.TXT y descargan un binario con un nombre engañoso denominado «discord.exe». A continuación, el ejecutable elimina "main.exe" y "system32.exe», siendo esta última la carga útil del malware XWorm. «Main.exe», por otro lado, es responsable de deshabilitar el Firewall de Windows y comprobar la presencia de aplicaciones de seguridad de terceros. XWorm, además de llevar a cabo un minucioso reconocimiento para obtener un perfil completo de la máquina, realiza comprobaciones antianalíticas para comprobar la presencia de un entorno virtualizado y, de ser así, detiene la ejecución. También incorpora la funcionalidad de puerta trasera al contactar con un servidor externo para ejecutar comandos, apagar el sistema, descargar archivos, abrir direcciones URL y lanzar ataques DDoS. Las campañas recientes distribuyen el malware a través de una nueva oferta de cifrado como servicio conocida como Cripta fantasma . «Ghost Crypt entrega a la víctima un archivo comprimido que contiene una aplicación de lectura de PDF, una DLL y un archivo PDF», dijo Kroll dijo . «Cuando el usuario abre el PDF, la DLL maliciosa se carga lateralmente, lo que inicia la ejecución del malware». La aplicación PDF Reader es HaihaiSoft PDF Reader, conocida por tener una vulnerabilidad de carga lateral de las DLL, que anteriormente se utilizaba para ofrecer Remcos RAT, NodeStealer y PureRAT.
• Dos grupos de ciberdelincuencia utilizan Stealerium Stealer en nuevas campañas — Dos grupos de ciberdelincuentes diferentes, el TA2715 y el TA2536, que preferían a Snake Keylogger, llevaron a cabo campañas de suplantación de identidad en mayo de 2025, utilizando un ladrón de información de código abierto llamado Stealerium (o variantes del mismo). «Los correos electrónicos observados suplantaban la identidad de muchas organizaciones diferentes, incluidas fundaciones benéficas, bancos, tribunales y servicios de documentación, algo habitual en las campañas de ciberdelincuencia», explica Proofpoint dijo . «Las líneas de asunto solían transmitir urgencia o relevancia financiera, como «pago pendiente», «citación judicial» y «factura de donación».
• Chequia emite una advertencia contra la tecnología china en infraestructuras críticas — NÚKIB, la agencia de ciberseguridad de la República Checa, ha publicado un boletín sobre la amenaza que representan los sistemas tecnológicos que transfieren datos a China o se administran de forma remota desde China. «Los sistemas de infraestructura crítica actuales dependen cada vez más del almacenamiento y el procesamiento de datos en repositorios en la nube y de la conectividad de red que permite el funcionamiento y las actualizaciones remotas», señala la agencia prevenido . «En la práctica, esto significa que los proveedores de soluciones tecnológicas pueden influir de manera significativa en el funcionamiento de la infraestructura crítica y/o acceder a datos importantes, por lo que la confianza en la confiabilidad del proveedor es absolutamente crucial».
• Google Chrome 140 gana soporte para prefijos de cookies — Google ha lanzado la versión 140 de su navegador Chrome con soporte para una nueva función de seguridad diseñada para proteger las cookies configuradas en el servidor de las modificaciones del lado del cliente. Se llama prefijo de cookie , implica añadir un fragmento de texto antes de los nombres de las cookies de un navegador. «En algunos casos, es importante distinguir, en el lado del servidor, entre las cookies configuradas por el servidor y las configuradas por el cliente. Uno de esos casos se refiere a las cookies que normalmente siempre son configuradas por el servidor», explica Google dijo . «Sin embargo, un código inesperado (como un exploit de XSS, una extensión malintencionada o una confirmación de un desarrollador confuso) puede hacer que aparezcan en el cliente. Esta propuesta añade una señal que permite a los servidores hacer esa distinción. Más específicamente, define los prefijos __Http y __HostHttp, que garantizan que no se establezca una cookie en el lado del cliente mediante un script».
• Detallan nuevas cepas de ransomware — Un nuevo grupo de ransomware llamado LunaLock ha pirateado un portal de encargos artísticos llamado Artists&Clients y está extorsionando a sus propietarios y artistas amenazándolos con enviar las obras robadas para entrenar a modelos de inteligencia artificial (IA), a menos que pague un rescate de 50 000 dólares. Otro grupo de ransomware descubierto recientemente es Obscura , que Huntress observó por primera vez el 29 de agosto de 2025. La variante del ransomware basada en Go intenta interrumpir más de 120 procesos que suelen estar relacionados con herramientas de seguridad como Microsoft Defender, CrowdStrike y SentinelOne.
• El tribunal de la UE respalda el acuerdo de transferencia de datos acordado por EE. UU. y la UE — El Tribunal General del Tribunal de Justicia de la Unión Europea ha despedido un demanda judicial que pretendía anular el Marco de privacidad de datos de la UE y los EE. UU. El tribunal dictaminó que el nuevo tratado y los Estados Unidos protegen adecuadamente los datos personales de los ciudadanos de la UE. La demanda alegaba que el Tribunal de Revisión de la Protección de Datos de los Estados Unidos (DPRC), que depende del Departamento de Justicia y que históricamente se ha considerado un baluarte para controlar las actividades de vigilancia de datos estadounidenses, no es lo suficientemente independiente ni protege adecuadamente a los europeos de la recopilación masiva de datos por parte de las agencias de inteligencia estadounidenses.
• Microsoft pasará a la fase 2 de la aplicación de la MFA en octubre de 2025 — Microsoft dijo que ha estado aplicando la autenticación multifactor (MFA) para los inicios de sesión de Azure Portal en todos los inquilinos desde marzo de 2025. «Nos enorgullece anunciar que, en marzo de 2025, el 100% de los inquilinos de Azure implementaron la aplicación de múltiples factores a la hora de iniciar sesión en Azure Portal», afirman desde la empresa dijo . «Al aplicar la MFA para los inicios de sesión en Azure, nuestro objetivo es ofrecerle la mejor protección contra las ciberamenazas como parte del compromiso de Microsoft de mejorar la seguridad de todos los clientes y acercarnos un paso más a un futuro más seguro». La siguiente fase del requisito de MFA está programada para comenzar el 1 de octubre de 2025 y exige el uso de MFA para los usuarios que realizan operaciones de administración de recursos de Azure a través de la interfaz de línea de comandos (CLI) de Azure, Azure PowerShell, Azure Mobile App, las API REST, las bibliotecas cliente del Kit de desarrollo de software (SDK) de Azure y las herramientas de infraestructura como código (IaC).
• Aumento de la actividad de escaneo dirigida a Cisco ASA — GreyNoise lo dijo detectado dos oleadas de escaneos contra dispositivos Cisco Adaptive Security Appliance (ASA) el 22 y 26 de agosto de 2025, y la primera oleada se originó en más de 25 100 direcciones IP ubicadas principalmente en Brasil, Argentina y EE. UU. El segundo aumento repitió el sondeo de ASA, y subconjuntos afectaron tanto al software IOS Telnet/SSH como al ASA. La actividad se dirigió a EE. UU., el Reino Unido y Alemania.
• LinkedIn amplía la verificación para combatir las estafas relacionadas con el trabajo — Red social profesional propiedad de Microsoft desvelado nuevas medidas para fortalecer la confianza y garantizar que los usuarios interactúen con las personas que «dicen ser». Esto incluye las páginas de empresa premium verificadas, que obligan a los reclutadores a verificar su lugar de trabajo en su perfil, y los requisitos de verificación laboral para los puestos de alto nivel, como director ejecutivo, director general y vicepresidente, con el fin de combatir la suplantación de identidad. Los cambios pretenden evitar que los estafadores se hagan pasar por empleados de la empresa o reclutadores y lleguen a posibles objetivos ofreciéndoles oportunidades de trabajo falsas, una técnica se aventuró por piratas informáticos norcoreanos.
• Las cuentas de hoteleros son objeto de una campaña de publicidad maliciosa y de suplantación de identidad — Una campaña de suplantación de identidad a gran escala se ha hecho pasar por al menos 13 proveedores de servicios especializados en hoteles y alquileres vacacionales. «En estos ataques, los usuarios objetivo son atraídos a sitios de suplantación de identidad altamente engañosos mediante anuncios maliciosos en los motores de búsqueda, especialmente anuncios patrocinados en plataformas como Google Search», explica Okta dijo . «Los ataques aprovechan páginas de inicio de sesión falsas y convincentes tácticas de ingeniería social para eludir los controles de seguridad y explotar la confianza de los usuarios». Se considera que el objetivo final de la campaña es comprometer las cuentas de las plataformas de mensajería para huéspedes y administración de propiedades basadas en la nube.
• DamageLib surge tras el derribo del XSS Forum — Un nuevo foro sobre ciberdelincuencia llamado DamageLib ha crecido de forma espectacular y ha atraído a más de 33.000 usuarios que siguen el arresto de XSS [.] es admin Toha en julio de 2025. Si bien XSS sigue en línea, abundan las especulaciones de que podría ser un nido de miel para las fuerzas del orden, lo que generaría desconfianza entre los ciberdelincuentes. «El tráfico de foros sobre exploits aumentó casi un 24% durante la crisis del XSS, ya que los actores buscaron alternativas, mientras que las visitas al XSS se desplomaron», explica KELA dijo . «Al 27 de agosto de 2025, DamageLib contaba con 33.487 usuarios, casi el 66% de los 50.853 miembros de XSS. Sin embargo, la participación se retrasó: solo 248 hilos y 3.107 publicaciones en su primer mes, en comparación con los más de 14.400 mensajes de XSS del mes anterior a la incautación».
• El ataque a la cadena de suministro de GhostAction roba 3.325 secretos — Un enorme ataque a la cadena de suministro denominado GhostAction, ha permitido a los atacantes inyectar un flujo de trabajo malicioso de GitHub denominado «Github Actions Security» para filtrar 3.325 secretos, incluidos los tokens PyPI, npm y DockerHub mediante solicitudes HTTP POST a un punto final remoto controlado por un atacante («bold-dhawan.45-139-104-115.plesk [.] page»). La actividad afectó a 327 usuarios de GitHub en 817 repositorios.
• Una nueva campaña abusa de la inteligencia artificial simplificada para robar las credenciales de Microsoft 365 — Se ha observado una nueva campaña de suplantación de identidad que aloja páginas falsas en el dominio legítimo de la IA simplificada con el fin de evitar ser detectadas y mezclarse con el tráfico empresarial habitual. «Al hacerse pasar por un ejecutivo de una distribuidora farmacéutica mundial, los atacantes entregaron un PDF protegido con contraseña que parecía legítimo», dijo Cato Networks dijo . «Una vez abierto, el archivo redirigía a la víctima al sitio web de Simplified AI, pero en lugar de generar contenido, el sitio se convirtió en la plataforma de lanzamiento de un portal de inicio de sesión falso de Microsoft 365 diseñado para recopilar credenciales empresariales».
• Japón, Corea del Sur y EE. UU. apuntan a la estafa de trabajadores de TI de Corea del Norte — Japón, Corea del Sur y los Estados Unidos se unieron para luchar contra la amenaza creciente de actores de amenazas norcoreanos que se hacen pasar por trabajadores de TI para integrarse en organizaciones de toda Asia y del mundo y generar ingresos para financiar sus programas ilegales de armas de destrucción masiva (ADM) y misiles balísticos. «Aprovechan la demanda actual de habilidades informáticas avanzadas para obtener contratos de trabajo independientes de un número cada vez mayor de clientes objetivo en todo el mundo, incluso en Norteamérica, Europa y Asia Oriental», dijeron los países dijo en una declaración conjunta. «Los propios trabajadores de TI norcoreanos también tienen muchas probabilidades de participar en actividades cibernéticas malintencionadas, particularmente en las industrias de la cadena de bloques. Contratar, apoyar o subcontratar a trabajadores de TI norcoreanos plantea cada vez más riesgos graves, que van desde el robo de propiedad intelectual, datos y fondos hasta el daño a la reputación y las consecuencias legales».
• Nueva herramienta de detección y validación de vulnerabilidades de Android con tecnología de inteligencia artificial — Científicos informáticos afiliados a la Universidad de Nanjing en China y a la Universidad de Sídney en Australia dijeron que han desarrollado un sistema de identificación de vulnerabilidades de inteligencia artificial llamado A2 que emula la forma en que los cazadores de errores humanos descubren las fallas, lo que supone un paso adelante para el análisis de seguridad automatizado. Según el estudio , A2 «valida las vulnerabilidades de Android a través de dos fases complementarias: (i) el descubrimiento de vulnerabilidades por agencia, que razona sobre la seguridad de las aplicaciones al combinar la comprensión semántica con las herramientas de seguridad tradicionales; y (ii) la validación de vulnerabilidades por agencia, que valida sistemáticamente las vulnerabilidades en las interacciones entre la superficie y la interfaz de usuario de los ataques multimodales de Android, la comunicación entre componentes, las operaciones del sistema de archivos y los cálculos criptográficos». A2 se basa en A1 , un sistema de agencia que transforma cualquier LLM en un generador de exploits de extremo a extremo.
• La función Spotify DM conlleva riesgos de doxxing — El servicio de streaming de música Spotify, el mes pasado, anunciado una nueva función de mensajería para compartir música con amigos. Pero informes Ahora están apareciendo en Reddit como «amigos sugeridos», personas con las que los usuarios pueden haber compartido enlaces de Spotify en el pasado en otras plataformas de redes sociales, lo que podría revelar sus nombres reales en el proceso. Esto es posible gracias a un parámetro «si» único en los enlaces de Spotify que sirve como información de referencia.
• La campaña de spear-phishing apunta a la alta dirección por robo de credenciales — Se ha llevado a cabo una sofisticada campaña de suplantación de identidad dirigida a empleados de alto nivel, especialmente aquellos que ocupan puestos directivos y de alta dirección, para robarles sus credenciales mediante mensajes de correo electrónico con señuelos con temas salariales o notificaciones falsas de intercambio de documentos de OneDrive. «Los responsables de esta campaña utilizan correos electrónicos personalizados que se hacen pasar por comunicaciones internas de RRHH, a través de un documento compartido en OneDrive, para engañar a los destinatarios para que introduzcan sus credenciales corporativas», dijo Stripe OLT dijo . «Los correos electrónicos se envían a través de la infraestructura de Amazon Simple Email Service (SES). El actor está alternando entre muchos dominios y subdominios de envío para evitar ser detectado». Como parte de esta campaña, se han identificado hasta 80 dominios.
• Los atacantes intentan explotar la técnica del WDAC — En diciembre de 2024, los investigadores Jonathan Beierle y Logan Goins demostrada una técnica novedosa que aprovecha una política maliciosa de control de aplicaciones de Windows Defender (WDAC) para bloquear soluciones de seguridad como los sensores de detección y respuesta de terminales (EDR) tras un reinicio del sistema mediante una herramienta personalizada con nombre en código Krueger . Desde entonces, ha surgido que los actores de amenazas han incorporado el método a su arsenal de ataques para deshabilitar las soluciones de seguridad que utilizan las políticas de la WDAC. También ha llevado al descubrimiento de una nueva cepa de malware denominada DreamDemon que utiliza el WDAC para neutralizar los programas antivirus. Contiene una política del WDAC integrada, que luego se coloca en el disco y se oculta», dijo Beierle dijo . «En ciertos casos, DreamDemon también cambiará la hora en que se creó la política para evitar ser detectada».
• Se detecta un nuevo malware de cryptojacking de NBMiner — Los investigadores de ciberseguridad han descubierto una nueva campaña que aprovecha un script de PowerShell para eliminar un cargador AutoIt utilizado para enviar un minero de criptomonedas llamado NBMiner desde un servidor externo. El acceso inicial al sistema se logra mediante un acuerdo basado en el principio. «El programa incluye varias medidas de evasión», Darktrace dijo . «Realiza una operación antisandboxing al inactivarse para retrasar el análisis y termina el archivo sigverif.exe (verificación de la firma del archivo). Comprueba si hay productos antivirus instalados y solo funciona cuando Windows Defender es la única protección. También verifica si el usuario actual tiene derechos administrativos. De lo contrario, intenta eludir el control de cuentas de usuario (UAC) a través de Fodhelper para aumentar y ejecutar su carga útil de forma silenciosa sin avisar al usuario».
• La nueva campaña utiliza GPT personalizados para la suplantación de identidad de marca y el phishing — Los actores de amenazas están abusando de las funciones personalizadas en plataformas de inteligencia artificial confiables, como OpenAI ChatGPT, para crear chatbots maliciosos de «atención al cliente» que se hacen pasar por marcas legítimas. Estos GPT personalizados aparecen en los resultados de búsqueda de Google y engañan a los usuarios para que tomen medidas malintencionadas bajo la apariencia de un útil chatbot, lo que pone de manifiesto cómo Las herramientas de IA pueden utilizarse indebidamente dentro de una cadena de ingeniería social más amplia. «Este método introduce un nuevo vector de amenazas: la ingeniería social alojada en la plataforma a través de interfaces de inteligencia artificial confiables», dijo Doppel dijo . «Se han observado varias GPT personalizadas disponibles al público que se hacen pasar por empresas conocidas». Los ataques pueden provocar el robo de información confidencial, la distribución de malware y dañar la reputación de las marcas legítimas. El desarrollo es parte de una tendencia más amplia donde los ciberdelincuentes abusan de las herramientas de IA, incluido el fraude por suplantación de identidad a través de deepfakes, los centros de llamadas fraudulentos asistidos por IA, las herramientas de correo y spam impulsadas por la IA, el desarrollo de herramientas maliciosas y los chatbots generativos de IA autohospedados y sin restricciones que pueden crear kits de suplantación de identidad y sitios web falsos; crear contenido para estafas románticas o de inversión; desarrollar malware; y ayudar en las cadenas de reconocimiento de vulnerabilidades y explotación.
• Multan a McDonald's en Polonia por filtrar datos personales — Agencia de protección de datos de Polonia multado McDonald's Polonia casi 4 millones de euros por filtrar datos personales de sus empleados, violando las protecciones de privacidad de datos del RGPD. El incidente ocurrió en una empresa asociada que gestionaba los horarios de trabajo de los empleados. Los datos personales, como los nombres, los números de pasaporte, los puestos y los horarios de trabajo, quedaron expuestos en Internet a través de un directorio abierto. Se trata de la segunda multa más importante impuesta por las autoridades polacas en virtud del RGPD, después de haber impuesto al servicio postal del país una multa de 6,3 millones de euros a principios de este año . En una noticia relacionada, las vulnerabilidades de McHire, la plataforma de contratación de chatbots de McDonald's, expusieron más de 64 millones de solicitudes de empleo en EE. UU., según los investigadores de seguridad Ian Carroll y Sam Curry descubierto . El chatbot lo creó Paradox.ai, que no eliminó las credenciales predeterminadas de una cuenta de prueba (nombre de usuario 123456, contraseña 123456) ni consiguió proteger un punto final que permitiera el acceso a las interacciones de chat de todos los solicitantes. Hay no hay pruebas que la cuenta de prueba fue explotada alguna vez en un contexto malintencionado. También se ha descubierto otro conjunto de problemas de seguridad en los portales de socios y empleados del gigante de la comida rápida, que expusieron datos confidenciales, como las claves de API, y permitieron el acceso no autorizado para realizar cambios en el sitio web del propietario de una franquicia. Los problemas, según Bob Da Hacker , han sido parcheados desde entonces.
• Se descubren nuevas operaciones de influencia — La empresa de ciberseguridad Recorded Future señaló dos redes de operaciones de influencia a gran escala y alineadas con el estado que apoyaban a India y Pakistán durante el conflicto entre India y Pakistán de abril y mayo de 2025. Estas redes de influencia han recibido los nombres en clave Hidden Charkha (a favor de la India) y Khyber Defender (a favor de Pakistán). «Es muy probable que estas redes estén motivadas por el patriotismo y es casi seguro que están alineadas con los objetivos de política nacional y exterior de la India y Pakistán, respectivamente», según Recorded Future dijo . «Todas las redes intentaron incriminar sistemáticamente a la India o Pakistán, respectivamente, diciendo que mantenían una capacidad tecnológica y militar superior —y, por lo tanto, la capacidad implícita de que cada país respectivo ejercía moderación táctica— como prueba de que tenían una posición moral elevada y, por lo tanto, de que contaban con el apoyo nacional e internacional». Ambas campañas fueron en gran medida infructuosas a la hora de moldear la opinión pública, dada la falta de participación orgánica en las redes sociales. Una segunda operación de influencia involucra a múltiples redes vinculadas a Rusia, como Operation Overload, Operation Undercut, Foundation to Battle Injustice y Portal Kombat, que buscan desestabilizar las elecciones e impedir la adhesión de Moldavia a la Unión Europea (UE). Además de intentar calificar a los actuales líderes de Moldavia de corruptos y contrarios a los intereses de Moldavia, la actividad describe «la mayor integración de Moldavia en la UE como desastrosa para su futuro económico y su soberanía, y que Moldavia en su conjunto está en desacuerdo con las normas y valores europeos». La campaña no ha logrado ningún éxito sustancial a la hora de moldear la opinión pública, Recorded Future adicional .
• Descubierta una red masiva de piratería de IPTV — Una gran red de piratería de televisión por protocolo de Internet (IPTV) extendiendo Se han descubierto más de 1.100 dominios y más de 10.000 direcciones IP que alojan contenido pirateado, retransmiten ilegalmente canales autorizados y participan en fraudes de suscripción. Activa desde hace varios años, más de 20 marcas importantes se han visto afectadas, entre ellas: Prime Video, Bein Sports, Disney Plus, NPO Plus, Formula 1, HBO, Viaplay, Videoland, Discovery Channel, Ziggo Sports, Netflix, Apple TV, Hulu, NBA, RMC Sport, Premier League, Champions League, Sky Sports, NHL, WWE y UFC. Silent Push dijo que identificó a dos empresas que se beneficiaban del alojamiento de contenido pirateado: XiOne y Tiyansoft. Se cree que XuiOne comparte conexiones con Stalker Portal , otro conocido proyecto de IPTV de código abierto que existe desde 2013. Estos servicios se anuncian en forma de aplicaciones para Android, y los dominios se distribuyen a través de grupos de Facebook e Imgur. La empresa de ciberseguridad también identificó a una persona, Nabi Neamati, de Herat (Afganistán), como figura central de sus operaciones.
• Análisis de seguridad del resumen de mensajes de WhatsApp — NCC Group tiene publicado un análisis en profundidad de WhatsApp Función de resumen de mensajes con tecnología de inteligencia artificial , que fue anunciado por la plataforma de mensajería en junio de 2025. En total, la evaluación descubrió 21 hallazgos, 16 de los cuales fueron corregidos por WhatsApp. Entre ellas figuraban tres puntos débiles notables: el hipervisor podía haber asignado interfaces de red a la CVM a través de las cuales se podían filtrar datos privados; cualquier imagen antigua de una máquina virtual confidencial (CVM) con vulnerabilidades conocidas podría haber sido utilizada indefinidamente por un atacante; y la posibilidad de enviar configuraciones de claves malintencionadas a los clientes de WhatsApp podría haber permitido a Meta infringir las garantías de privacidad y de no segmentación.
• Inyección indirecta de mensajes mediante archivos de registro — Los modelos lingüísticos grandes (LLM) utilizados en un contexto de seguridad pueden ser engañado mediante eventos y archivos de registro especialmente diseñados con instrucciones ocultas para ejecutar acciones maliciosas cuando los agentes de IA los analizan.

🎥 Seminarios web sobre ciberseguridad

• De los puntos ciegos a la claridad: por qué la visibilidad del código a la nube define el AppSec moderno — La mayoría de los programas de seguridad conocen sus riesgos, pero no saben dónde comienzan realmente ni cómo se propagan. Esa brecha entre el código y la nube está costando a los equipos tiempo, propiedad y resiliencia. Este seminario web muestra cómo la visibilidad del código a la nube cierra esa brecha al ofrecer a los desarrolladores, DevOps y la seguridad una visión compartida de las vulnerabilidades, los errores de configuración y la exposición al tiempo de ejecución. ¿Cuál es el resultado? Menos ruido, soluciones más rápidas y una protección más sólida para las aplicaciones de las que depende su empresa.
• Agentes de inteligencia artificial en la sombra: el riesgo oculto que impulsa los puntos ciegos empresariales — Los agentes de IA ya no son futuristas: ya están integrados en sus flujos de trabajo, procesos y plataformas. ¿Cuál es el problema? Muchos de ellos son invisibles para el gobierno, alimentados por identidades no humanas descontroladas que crean una superficie de ataque cada vez mayor. La IA oculta no solo añade complejidad, sino que multiplica el riesgo con cada clic. Este seminario web explica dónde se esconden estos agentes, cómo detectarlos antes de que lo hagan los atacantes y qué medidas puede tomar para controlarlos sin ralentizar la innovación.
• IA + Quantum 2.0: la doble disrupción que los líderes de seguridad no pueden ignorar — La próxima crisis de ciberseguridad no vendrá únicamente de la IA o la cuántica, sino de su convergencia. A medida que se aceleran los avances cuánticos y la IA impulsa la automatización a gran escala, la superficie de ataque de los sectores sensibles se expande más rápido de lo que pueden mantener la mayoría de las defensas. Este panel reúne a las principales voces de la investigación, el gobierno y la industria para analizar qué significa Quantum 2.0 para la seguridad, por qué la criptografía segura desde el punto de vista cuántico y la resiliencia de la IA deben ir de la mano, y cómo los responsables de la toma de decisiones pueden empezar a fomentar la confianza y la resiliencia antes de que los adversarios utilicen estas tecnologías como armas.

🔧 Herramientas de ciberseguridad

• Conoce a C2 — Es un ingenioso marco C2 de prueba de concepto que usa Google Calendar (sí, el mismo calendario que tu equipo usa todos los días) como un canal de comando oculto entre un operador y un terminal comprometido. Al buscar eventos e incrustar comandos en los elementos del calendario a través de las API confiables de Google (oauth2.googleapis.com, www.googleapis.com), se demuestra cómo las plataformas SaaS legítimas pueden reutilizarse para operaciones encubiertas. Los equipos de seguridad pueden usar MeetC2 en ejercicios controlados con equipos morados para mejorar la lógica de detección ante el uso inusual de las API de calendario, validar la eficacia del registro y la telemetría y ajustar las medidas de protección contra las estrategias de C2 ocultas basadas en la nube. En resumen, dota a los defensores de un banco de pruebas ligero y de gran relevancia para simular y defenderse de forma proactiva contra las tácticas de los adversarios de próxima generación.
• termóptico — Es un proxy HTTP avanzado que oculta a los clientes de bajo nivel, como curl, para que parezcan indistinguibles de un navegador Chrome/Chromium completo en la capa de huellas dactilares de la red. Los sistemas WAF y antibots modernos confían cada vez más en las firmas JA4+ (que rastrean las huellas digitales de TLS, HTTP, TCP y certificados) para bloquear las herramientas de extracción o detectar cuándo los usuarios cambian de navegador a scripts. Al enviar las solicitudes a través de una instancia de Chrome en contenedores, thermoptic garantiza que las huellas digitales coincidan con los navegadores reales byte por byte, incluso en varias capas. Para los defensores, se trata de una forma eficaz de comparar los canales de detección con tácticas sofisticadas de evasión, validar la visibilidad de los registros del JA4+ y explorar cómo los adversarios podrían mezclarse con el tráfico legítimo del navegador. Para los investigadores éticos y los equipos secretos, thermoptic ofrece una plataforma realista y de código abierto para simular el rastreo furtivo o el tráfico encubierto, lo que ayuda a los equipos de seguridad a pasar de la teoría a la resiliencia en la carrera armamentista por la toma de huellas dactilares.

Descargo de responsabilidad: Las herramientas que se muestran aquí se proporcionan estrictamente con fines educativos y de investigación. No se han sometido a auditorías de seguridad completas y su comportamiento puede presentar riesgos si se utilizan de forma indebida. Antes de experimentar, revise cuidadosamente el código fuente, pruébelo solo en entornos controlados y aplique las medidas de seguridad adecuadas. Asegúrese siempre de que su uso se ajusta a las directrices éticas, los requisitos legales y las políticas de la organización.

🔒 Consejo de la semana

Bloquee su router antes de que los piratas informáticos pongan un pie en la puerta — La mayoría de la gente piensa que la seguridad del router es simplemente «cambiar la contraseña» o «deshabilitar UPnP». Sin embargo, los atacantes se están volviendo mucho más creativos: desde desviar el tráfico de Internet a través de rutas BGP falsas hasta secuestrar los servicios en la nube que se comunican directamente con el router. ¿La mejor defensa? Un enfoque por capas que cierra esas puertas antes de que se llegue a un acuerdo.

Aquí hay 3 movimientos avanzados pero prácticos que puedes empezar hoy mismo:

1. Proteja su ruta de Internet con RPKI
   Por qué es importante: Los atacantes a veces se apoderan de las rutas de Internet (ataques BGP) para espiar o redirigir el tráfico.
   Prueba esto: Incluso si no dirige una gran empresa, puede comprobar si su ISP es compatible con RPKI (infraestructura de clave pública de recursos) mediante el servicio gratuito ¿BGP ya es seguro? herramienta. Si su proveedor no está protegido, pregúntele acerca de RPKI.
   
   
2. Utilice claves de acceso de corta duración en lugar de contraseñas estáticas
   Por qué es importante: Una sola contraseña de router robada puede dejar entrar a los atacantes durante años.
   Prueba esto: Si su router lo admite (OpenWrt, pfSense, MikroTik), configure el acceso SSH con claves en lugar de contraseñas. Para usuarios domésticos o de pequeñas oficinas, herramientas como Llave Yubi puede generar tokens de inicio de sesión únicos, por lo que, incluso si su PC es pirateado, el router permanece seguro.
   
   
3. Controla quién puede incluso llamar a la puerta
   Por qué es importante: La mayoría de los problemas de los enrutadores se producen porque los atacantes pueden acceder al puerto de administración desde Internet.
   Prueba esto: En lugar de dejar la administración abierta, usa la autorización de paquete único (SPA) con una herramienta gratuita como Fwknop . Oculta los puertos de administración del router hasta que envías un «golpe» secreto, lo que hace que el router sea invisible para los escáneres.

Piense en su router como la «puerta de entrada a su casa digital». Con estas herramientas, no solo lo cierra con llave, sino que se asegura de que los atacantes ni siquiera sepan dónde está la puerta y, aunque lo sepan, la llave cambia todos los días.

Conclusión

Con eso concluye la sesión informativa de esta semana, pero la historia nunca termina realmente. Ya se vislumbran nuevas hazañas, nuevas tácticas y nuevos riesgos, y estaremos aquí para desgranarlos. Hasta entonces, mantente alerta, mantén la curiosidad y recuerda: una visión clara puede marcar la diferencia a la hora de detener el próximo ataque.