⚡ Resumen semanal: malware USB, React2Shell, gu...

Ha sido una semana de caos en el código y calma en los titulares. Un error que rompió el sistema favorito de Internet, piratas informáticos persiguiendo herramientas de inteligencia artificial, aplicaciones falsas que robaron dinero y ciberataques sin precedentes, todo en cuestión de días. Si parpadeas, te perderás la rapidez con la que cambia el mapa de amenazas.

Se encuentran, publican y explotan nuevas fallas en horas en lugar de semanas. Las herramientas impulsadas por la inteligencia artificial destinadas a ayudar a los desarrolladores se están convirtiendo rápidamente en nuevas superficies de ataque. Los grupos delictivos reciclan viejos trucos con nuevos disfraces: aplicaciones falsas, alertas falsas y confianza falsa.

Mientras tanto, los defensores se apresuran a corregir los sistemas, bloquear oleadas masivas de DDoS y descubrir campañas de espionaje que se esconden silenciosamente dentro de las redes. La lucha es constante, el ritmo es implacable.

Para obtener más información sobre estas historias, además de las nuevas herramientas de ciberseguridad y los próximos seminarios web de expertos, consulte el boletín completo ThreatsDay.

⚡ Amenaza de la semana

La falla de Max Severity React es atacada — Una falla de seguridad crítica que afecta a React Server Components (RSC) ha sido objeto de una amplia explotación pocas horas después de la divulgación de la publicación. La vulnerabilidad, CVE-2025-55182 (puntuación CVSS: 10,0), se refiere a un caso de ejecución remota de código que podría ser provocada por un atacante no autenticado sin necesidad de ninguna configuración especial. También se rastrea como React2Shell. Amazon informó de que había observado intentos de ataque procedentes de infraestructuras asociadas a grupos de hackers chinos como Earth Lamia y Jackpot Panda pocas horas después de que se revelara públicamente la falla. Coalition, Fastly, GreyNoise, VulnCheck y Wiz también han informado de que han realizado esfuerzos para aprovechar la falla, lo que indica que varios actores de amenazas están realizando ataques oportunistas. La Fundación Shadowserver dijo que había detectado 28 964 direcciones IP vulnerables a la falla de React2Shell el 7 de diciembre de 2025, frente a las 77 664 del 5 de diciembre, con aproximadamente 10 100 ubicadas en EE. UU., 3 200 en Alemania y 1 690 en China.

Informe de la encuesta sobre seguridad en la nube de 2025

Aprenda de la mano de más de 400 líderes y profesionales de la seguridad para obtener los últimos conocimientos y tendencias sobre la seguridad en la nube, incluidos los riesgos y las amenazas, el aprovechamiento de la inteligencia artificial, la gestión de los despliegues, la gestión de los volúmenes de datos en la nube y más.

Lea el informe de la encuesta sobre seguridad en la nube de 2025 ➝

🔔 Noticias principales

• Más de 30 fallas en los IDE impulsados por IA — El investigador de seguridad Ari Marzouk reveló detalles de más de 30 vulnerabilidades de seguridad en varios entornos de desarrollo integrado (IDE) basados en inteligencia artificial (IA) que combinan primitivas de inyección rápida con funciones legítimas para lograr la exfiltración de datos y la ejecución remota de código. Las vulnerabilidades se han denominado colectivamente IDesaster. «Todos los IDE de IA (y los asistentes de codificación que se integran con ellos) ignoran de manera efectiva el software base (IDE) de su modelo de amenaza», afirma Marzouk. «Consideran que sus funciones son intrínsecamente seguras porque llevan años ahí. Sin embargo, una vez que añadas agentes de IA que puedan actuar de forma autónoma, las mismas funciones se pueden utilizar como armas para convertirlas en primitivas de exfiltración de datos y RCE». Se han publicado parches para solucionar estos problemas, y Anthropic ha reconocido el riesgo mediante una advertencia de seguridad.
• Los piratas informáticos chinos utilizan BRICKSTORM para atacar a entidades estadounidenses — Los actores de amenazas vinculados a China, incluidos UNC5221 y Warp Panda, están utilizando una puerta trasera denominada BRICKSTORM para mantener la persistencia a largo plazo en los sistemas comprometidos, según un aviso del gobierno de los EE. UU. «BRICKSTORM es una puerta trasera sofisticada para los entornos VMware vSphere y Windows», afirma la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA). «BRICKSTORM permite a los ciberdelincuentes mantener un acceso sigiloso y proporciona capacidades de iniciación, persistencia y mando y control seguros. Esta actividad ha reavivado una vez más la preocupación por la capacidad sostenida de China para penetrar más profundamente en las redes de infraestructuras críticas y agencias gubernamentales sin ser detectadas, a menudo durante períodos prolongados. Los ataques también han aumentado la persistente preocupación por la actividad de ciberespionaje de China, que cada vez tiene más objetivos en las redes periféricas y ha aprovechado las técnicas de vida en tierra firme para pasar desapercibida.
• GoldFactory apunta al sudeste asiático con aplicaciones bancarias falsas — Se ha observado que los ciberdelincuentes asociados a un grupo con motivaciones financieras conocido como GoldFactory organizan una nueva ronda de ataques contra usuarios de dispositivos móviles en Indonesia, Tailandia y Vietnam haciéndose pasar por servicios gubernamentales. Esta actividad, que se lleva a cabo desde octubre de 2024, consiste en distribuir aplicaciones bancarias modificadas que sirven de conducto para el malware de Android. Group-IB dijo que ha identificado más de 300 muestras únicas de aplicaciones bancarias modificadas que han provocado casi 2.200 infecciones en Indonesia. Las cadenas de infección implican suplantar la identidad de entidades gubernamentales y marcas locales de confianza y dirigirse a posibles objetivos por teléfono con el fin de engañarlos para que instalen software malicioso pidiéndoles que hagan clic en un enlace enviado desde aplicaciones de mensajería como Zalo. Los enlaces redirigen a las víctimas a páginas de destino falsas que se hacen pasar por listados de aplicaciones de Google Play Store, lo que resulta en el despliegue de un troyano de acceso remoto como Gigabud, MMRat o Remo, que apareció a principios de este año con las mismas tácticas que GoldFactory. Luego, estos cuentagotas allanan el camino para la carga principal, que abusa de los servicios de accesibilidad de Android para facilitar el control remoto.
• Cloudflare bloquea un ataque DDoS sin precedentes de 29,7 Tbps — Cloudflare detectó y mitigó el mayor ataque de denegación de servicio distribuido (DDoS) de la historia, que alcanzó los 29,7 terabits por segundo (Tbps). La actividad se originó a partir de una red de bots DDoS a sueldo conocida como AISURU, que se ha relacionado con varios ataques DDoS hipervolumétricos durante el último año. El ataque duró 69 segundos. No reveló el objetivo del ataque. La botnet se ha centrado principalmente en proveedores de telecomunicaciones, empresas de juegos, proveedores de alojamiento y servicios financieros. Cloudflare también abordó un ataque DDoS de 14,1 Bpps desde la misma botnet. Se cree que AISURU funciona gracias a una enorme red que comprende entre 1 y 4 millones de servidores infectados en todo el mundo.
• Brasil se ve afectado por la propagación de un troyano bancario a través del gusano WhatsApp — Los usuarios brasileños están siendo el objetivo de varias campañas que aprovechan WhatsApp Web como vector de distribución de malware bancario. Si bien una campaña atribuida a un actor de amenazas conocido como Water Saci lanza un Casbaneiro variante, otro conjunto de ataques ha llevado al despliegue del Astaroth troyano bancario. Sophos está rastreando el segundo clúster con el nombre STAC3150 desde el 24 de septiembre de 2025. «El señuelo ofrece un archivo ZIP que contiene un archivo VBS o HTA malintencionado», dijo Sophos dijo . «Cuando se ejecuta, este archivo malintencionado lanza PowerShell para recuperar cargas útiles de la segunda etapa, como un script de PowerShell o Python que recopila los datos de los usuarios de WhatsApp y, en casos posteriores, un instalador de MSI que entrega el malware Astaroth». A pesar de los solapamientos tácticos, por el momento no está claro si son obra del mismo actor de amenazas. «En esta campaña en particular, el malware se propaga a través de WhatsApp», dijo K7 Security Labs dijo . «Como el archivo malintencionado lo envía alguien que ya está en nuestros contactos, no solemos verificar su autenticidad de la misma manera que lo haríamos si proviene de un remitente desconocido. Esta confianza en los contactos conocidos reduce nuestra cautela y aumenta las probabilidades de que el malware se abra y ejecute».

‎️ 🔥 CVs de tendencia

Los hackers actúan rápido. Pueden detectar nuevos errores en cuestión de horas. La falta de una actualización puede provocar una violación grave. Estas son las fallas de seguridad más graves de esta semana. Revíselos, corrija primero lo que sea importante y manténgase protegido.

La lista de esta semana incluye: CVE-2025-6389 (complemento Sneeit Framework), CVE-2025-66516 (Apache Tika), CVE-2025-55182 (Reaccionar), CVE-2025-9491 (Microsoft Windows), CVE-2025-10155, CVE-2025-10156, CVE-2025-10157 (Picklescan), CVE-2025-48633, CVE-2025-48572 (Google Android), CVE-2025-11699 (sin comercio electrónico), CVE-2025-64775 (Apache Struts), CVE-2025-59789 (Apache BrPC), CVE-2025-13751 , CVE-2025-13086 , CVE-2025-12106 (OpenVPN), CVE-2025-13658 (Longwatch de vídeo y control industriales), CVE-2024-36424 (K7 Ultimate Security), CVE-2025-66412 (Angular), CVE-2025-13510 (Iskra iHub e iHub Lite), CVE-2025-13372, CVE-2025-64460 (Django), CVE-2025-13486 (Campos personalizados avanzados: complemento extendido), CVE-2025-64772 (Hub Sony INZONE), CVE-2025-64983 (SwitchBot), CVE-2025-31649, CVE-2025-31361 (Dell ControlVault), CVE-2025-47151 (Lazo entr'ouvert), CVE-2025-66373 (Akamai), CVE-2025-13654 (duque), CVE-2025-13032 (Avast), CVE-2025-33211, CVE-2025-33201 (NVIDIA Tritón), CVE-2025-66399 (Cactus), CVE-2025-20386, CVE-2025-20387 (Splunk) y CVE-2025-66476 (Vim para Windows).

📰 En todo el mundo cibernético

• Se utilizan USB comprometidos para la entrega de Crypto Miner — Se ha observado una campaña en curso que utiliza unidades USB para infectar a otros servidores e implementar mineros de criptomonedas desde septiembre de 2024. Si bien en una versión anterior de la campaña se utilizaban familias de malware como DIRTYBULK y CUTFAIL , la última versión detectada por AhnLab emplea un script por lotes para lanzar una DLL de cuentagotas que lanza PrintMiner, que luego instala cargas útiles adicionales, incluida XMRig. «El malware está oculto en una carpeta y solo se ve un archivo de acceso directo llamado 'Unidad USB'», explica AhnLab dijo . «Cuando un usuario abre el archivo de acceso directo, puede ver no solo el malware, sino también los archivos que pertenecen al usuario anterior, lo que dificulta que los usuarios se den cuenta de que están infectados con malware». La noticia se produce cuando Cyble anunció que había identificado una campaña activa dirigida a Linux que desplegaba una red de bots derivada de Mirai con el nombre en código V3G4, combinada con un minero de criptomonedas sigiloso y configurado sin archivos. «Una vez activo, el bot se hace pasar por un inicio de sesión en el sistema, realiza un reconocimiento del entorno, realiza escaneos SSH a gran escala con conectores sin procesar, mantiene una comunicación C2 persistente y, en última instancia, lanza un minero Monero oculto basado en XMRig que se configura dinámicamente en tiempo de ejecución», dijo la empresa dijo .
• Incautan un falso dominio de inversión en criptomonedas — El Grupo de Trabajo del Centro de Estafas del Departamento de Justicia de los Estados Unidos (DoJ) se apoderó de Tickmilleas [.] com, un sitio web utilizado por estafadores ubicados en el complejo fraudulento de Tai Chang (también conocido como Casino Kosai) ubicado en la aldea de Kyaukhat, Birmania, para atacar y defraudar a los estadounidenses mediante estafas de fraude de inversiones en criptomonedas (CIF). «El dominio tickmilleas [.] com se disfrazó de plataforma de inversión legítima para engañar a las víctimas para que depositaran sus fondos», dijo el DoJ dijo . «Las víctimas que usaron el dominio denunciaron al FBI que el sitio ofrecía beneficios lucrativos por lo que creían que eran sus inversiones y mostraba supuestos depósitos realizados por estafadores en las cuentas de las víctimas cuando los estafadores las engañaban a través de supuestas operaciones». Paralelamente, Meta retiró aproximadamente 2000 cuentas relacionadas con el complejo de Tai Chang. También se dice que el dominio redirigió a los visitantes a aplicaciones fraudulentas alojadas en Google Play Store y Apple App Store. Desde entonces, varias de estas aplicaciones han sido eliminadas. En una medida relacionada, funcionarios camboyanos allanado un complejo de ciberestafas en la capital del país, Phnom Penh, y arrestó a 28 sospechosos. De las 28 personas detenidas, 27 son ciudadanos vietnamitas y una es camboyana. Los complejos de ciberestafas en Camboya se están desplazando desde la frontera occidental del país con Tailandia, hacia el este, a lugares cercanos a la frontera con Vietnam, según Monitor de estafas cibernéticas .
• Portugal modifica la ley de ciberdelincuencia para eximir a los investigadores — Portugal tiene modificado su ley de ciberdelincuencia para establecer un puerto seguro legal para la investigación de seguridad de sombrero blanco y hacer que la piratería informática no sea punible en condiciones estrictas, incluida la identificación de las vulnerabilidades destinadas a mejorar la ciberseguridad mediante la divulgación, sin buscar ningún beneficio económico, denunciar inmediatamente la vulnerabilidad al propietario del sistema, eliminar cualquier dato obtenido durante el período de investigación dentro de los 10 años posteriores a la corrección de la vulnerabilidad y no infringir las normas de privacidad de datos como el GDPR. En noviembre pasado, Alemania presentó un proyecto de ley que proporcionaba protecciones similares a la comunidad investigadora a la hora de descubrir y denunciar de manera responsable las fallas de seguridad a los proveedores.
• Detallado el malware CastleRat — Se ha detectado un troyano de acceso remoto llamado CastleRat en estado salvaje con dos versiones principales: una versión de Python y una versión compilada en C. Si bien ambas versiones ofrecen capacidades similares, Splunk afirma que la versión C es más potente y puede incluir funciones adicionales. «El malware recopila información básica del sistema, como el nombre de la computadora, el nombre de usuario, el GUID de la máquina, la dirección IP pública y los detalles del producto o la versión, que luego transmite al servidor C2», dice la empresa propiedad de Cisco dijo . «Además, puede descargar y ejecutar más archivos del servidor y proporciona un shell remoto que permite a un atacante ejecutar comandos en la máquina comprometida». CastlerAT se atribuye a un actor de amenazas conocido como ETIQUETA-150 .
• El Departamento de Justicia acusa a los hermanos por borrar 96 bases de datos gubernamentales — El Departamento de Justicia acusó a dos hermanos de Virginia por presuntamente conspirar para robar información confidencial y borrar 96 bases de datos gubernamentales. Muneeb y Sohaib Akhter, ambos de 34 años, robaron datos y borraron bases de datos minutos después de que los despidieran de sus funciones de contratistas. El incidente afectó a varias agencias gubernamentales, incluidos el IRS y el DHS. Bloomberg reportó en mayo, que el contratista es una empresa de software llamada Opexus. «Muchas de estas bases de datos contenían registros y documentos relacionados con asuntos relacionados con la Ley de Libertad de Información administrados por departamentos y agencias del gobierno federal, así como archivos de investigación confidenciales de los componentes del gobierno federal», dijo el DoJ dijo . Al parecer, los hermanos preguntaron a una herramienta de inteligencia artificial cómo borrar los registros del sistema de sus acciones. En junio de 2015, los hermanos gemelos fueron sentenciado a varios años de prisión por conspiración para cometer fraude electrónico, conspiración para acceder a una computadora protegida sin autorización y conspiración para acceder a una computadora gubernamental sin autorización. Tras cumplir sus condenas, volvieron a ser contratados como contratistas del gobierno. Muneeb Akhter se enfrenta a una pena máxima de hasta 45 años de prisión, mientras que Sohaib Akhter podría recibir hasta seis años.
• El NCSC del Reino Unido presenta notificaciones proactivas — El Reino Unido» El Centro Nacional de Ciberseguridad (NCSC) anunció la fase de prueba de un nuevo servicio llamado Notificaciones proactivas, diseñado para informar a las organizaciones del país sobre las vulnerabilidades presentes en su entorno. El servicio se presta a través de la empresa de ciberseguridad Netcraft y se basa en la información disponible públicamente y en el análisis de Internet. «Esta notificación se basa en el escaneo de información de código abierto, como las versiones de software disponibles públicamente», dijo NCSC dijo . «El servicio se lanzó para informar de manera responsable sobre las vulnerabilidades a los propietarios de los sistemas y ayudarlos a proteger sus servicios».
• El análisis de tendencias del ransomware FinCEN revela una caída en los pagos — Según un nuevo análisis publicado por la Red de Control de Delitos Financieros (FinCEN) del Departamento del Tesoro de los Estados Unidos, los incidentes de ransomware denunciados a la autoridad disminuyeron en 2024, con 1476 incidentes tras la interrupción por parte de las fuerzas del orden de dos grupos de ransomware de alto perfil, BlackCat y LockBit. Las instituciones financieras pagaron 734 millones de dólares a bandas dedicadas al ransomware, frente a los 1.100 millones de dólares de 2023. «El importe medio de una sola transacción de ransomware fue de 124 097 dólares en 2022, 175 000 dólares en 2023 y 155 257 dólares en 2024», afirma FinCEN dijo . «Entre 2022 y 2024, el rango de montos de pago más común estuvo por debajo de los 250 000 dólares». Entre 2022 y 2024 se pagaron más de 2.100 millones de dólares a grupos de ransomware, y solo en 2023 se pagaron alrededor de 1.100 millones de dólares. Akira fue la empresa con el mayor número de incidentes denunciados, 376, pero BlackCat recibió la mayor cantidad en pagos, con aproximadamente 395,3 millones de dólares.
• Estudiante bangladesí detrás de una nueva botnet — Se estima que un estudiante hacker de Bangladesh está detrás de una nueva red de bots dirigida a los servidores de WordPress y cPanel. «El autor está utilizando un panel de redes de bots para distribuir sitios web recientemente comprometidos a compradores, principalmente a actores de amenazas chinos», dijo Cyderes dijo . «Los sitios se vieron comprometidos principalmente por instancias de WordPress y cPanel mal configuradas». A algunos de los sitios web comprometidos se les inyecta una consola web basada en PHP conocida como Beima PHP y se alquilan a otros actores de amenazas por entre 3 y 200 dólares. El script de puerta trasera de PHP está diseñado para proporcionar control remoto sobre un servidor web comprometido, lo que permite a un atacante manipular archivos, inyectar contenido arbitrario y cambiar el nombre de los archivos. Los sectores gubernamental y educativo son los principales objetivos de esta campaña, ya que representan el 76% de los sitios web comprometidos a la venta. El estudiante universitario afirmó que está vendiendo el acceso a más de 5.200 sitios web comprometidos a través de Telegram para pagar su educación. La mayoría de los clientes de la operación son actores de amenazas chinos.
• El Departamento de Estado de los Estados Unidos ofrece una recompensa de 10 millones de dólares al dúo de hackers iraníes — El Departamento de Estado de los Estados Unidos anunció una recompensa de 10 millones de dólares para dos ciudadanos iraníes vinculados a las operaciones cibernéticas de Irán. Fatemeh Sedighian Kashi y Mohammad Bagher Shirinkar supuestamente trabajan para una empresa llamada Shahid Shushtari que opera con el Comando Ciberelectrónico del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC-CEC). «Los miembros de Shahid Shushtari han causado importantes daños financieros y trastornos a las empresas y agencias gubernamentales estadounidenses mediante operaciones coordinadas de información cibernética y cibernética», señala el Departamento de Estado dijo . «Estas campañas se han dirigido a múltiples sectores de infraestructuras críticas, como las noticias, el transporte marítimo, los viajes, la energía, las finanzas y las telecomunicaciones en los Estados Unidos, Europa y Oriente Medio». La empresa ficticia también ha estado vinculada a una campaña multifacética dirigida a las elecciones presidenciales estadounidenses de agosto de 2020.
• Detectan nuevos ladrones de Arkanix y Sryxen — Dos nuevos ladrones de información, Arkanix y Sryxen , se comercializan como una forma de robar datos confidenciales y obtener ganancias financieras rápidas y a corto plazo. «Escrito en C++, [Sryxen] combina el descifrado DPAPI para las credenciales de los navegadores tradicionales con la función Chrome 127+, que elude el nuevo cifrado vinculado a aplicaciones de Google, simplemente iniciando Chrome sin pensarlo y pidiéndole que descifre sus propias cookies mediante el protocolo DevTools», afirma DeceptiQ. «El antianálisis es 'más sofisticado' que el de la mayoría de los ladrones de productos básicos: el cifrado de código basado en VEH significa que la carga útil principal es basura en reposo y solo se descifra durante la ejecución mediante el manejo de excepciones». Las revelaciones coinciden con una campaña con el nombre en código AiredScam, que utiliza herramientas de inteligencia artificial con trampas explosivas que se comparten en GitHub para ofrecer Cargador inteligente y otros ladrones de información. «Lo que diferencia a AiredScam es su elección para dirigirse a los profesionales de ciberseguridad ofensiva que buscan herramientas que puedan automatizar su enumeración y reconocimiento», dijo UltraViolet Cyber dijo .
• El FBI advierte sobre estafas virtuales de secuestro y rescate — La Oficina Federal de Investigaciones (FBI) de los Estados Unidos advirtió que los estafadores exigen rescates en planes de secuestro falsos que alteran las fotos que se encuentran en las redes sociales u otros sitios disponibles al público para usarlas como fotos falsas de prueba de vida. «Por lo general, los delincuentes contactan con sus víctimas a través de mensajes de texto, afirmando que han secuestrado a sus seres queridos y exigen que se les pague un rescate por su liberación», señala el FBI dijo . «Los actores criminales se hacen pasar por secuestradores y proporcionan fotos o vídeos aparentemente reales de las víctimas, además de exigir el pago de un rescate. A veces, los delincuentes envían estas fotos a propósito utilizando funciones de mensajes cronometrados para limitar el tiempo de que disponen las víctimas para analizar las imágenes».
• Hackers rusos falsifican los eventos de seguridad europeos en una ola de suplantación de identidad — Los actores de amenazas de Rusia han seguido atacando fuertemente los entornos de Microsoft y Google mediante el abuso OAuth y Flujos de trabajo de autenticación de códigos de para robar las credenciales de los usuarios finales. «Estos ataques implicaron la creación de sitios web falsos que se hacían pasar por eventos legítimos de seguridad internacional que tenían lugar en Europa, con el objetivo de engañar a los usuarios que se registraban para participar en estos eventos para que permitieran acceder sin autorización a sus cuentas», dijo Volexity dijo . Lo más destacable de la nueva ola es que los atacantes ofrecen «soporte en vivo» a los usuarios objetivo a través de aplicaciones de mensajería como Signal y WhatsApp para asegurarse de que devuelven correctamente la URL, en el caso de los flujos de trabajo de suplantación de identidad de OAuth. Las campañas, una continuación de las anteriores detectadas a principios de este año, se han atribuido a un grupo de ciberespionaje conocido como UTA0355.
• Shanya PaaS impulsa nuevos ataques — Una oferta de empaquetado como servicio (PaaS) conocida como Shanya ha asumido el papel que anteriormente desempeñaba Cripta del corazón para descifrar y cargar un programa malintencionado capaz de acabar con las soluciones de seguridad de terminales. El ataque aprovecha un controlador legítimo y vulnerable (» ThrottleStop.sys «) y un controlador de núcleo malicioso sin firmar (» hlpdrv.sys «) para lograr sus objetivos. «El eliminador de modos de usuario busca en los procesos en ejecución y los servicios instalados», afirman Gabor Szappanos y Steeve Gaudreault, investigadores de Sophos dijo . «Si encuentra una coincidencia, envía un comando de eliminación al controlador malicioso del kernel. El controlador del núcleo malintencionado abusa del vulnerable controlador limpio y obtiene un acceso de escritura que permite terminar y eliminar los procesos y servicios de los productos de protección». Se dice que el primer ataque del asesino EDR se produjo a finales de abril de 2025, durante un ataque de ransomware de Medusa. Desde entonces, se ha utilizado en múltiples operaciones de ransomware, incluidas Akira, Qilin y Crytox. La empacadora también ha sido contratada para distribuir CastleRat como parte de una campaña de ClickFix con el tema de Booking.com.

🎥 Seminarios web sobre ciberseguridad

• Cómo detectar los riesgos ocultos en AWS, IA y Kubernetes antes de que lo hagan los atacantes : Las amenazas en la nube son cada vez más inteligentes y más difíciles de detectar. Únase a nuestros expertos para descubrir cómo la detección del código a la nube revela los riesgos ocultos en las identidades, la IA y Kubernetes, lo que le ayuda a detener los ataques antes de que lleguen a la fase de producción.
• Descubra cómo los mejores equipos protegen la infraestructura en la nube sin dejar de cumplir con todas las normas : Proteger las cargas de trabajo en la nube no es solo una defensa, sino que se trata de permitir la innovación de forma segura. Descubra formas prácticas y comprobadas de reforzar el control de acceso, mantener el cumplimiento y proteger la infraestructura sin reducir la agilidad.

🔧 Herramientas de ciberseguridad

• RAPTOR — Es una herramienta de seguridad de código abierto impulsada por IA que automatiza el escaneo de código, la detección de errores, el análisis de vulnerabilidades, la generación de exploits y el análisis forense de OSS. Resulta útil cuando necesitas probar rápidamente el software en busca de errores, saber si una vulnerabilidad es real o recopilar pruebas en un repositorio público de GitHub. En lugar de ejecutar muchas herramientas independientes, RAPTOR las encadena y utiliza un agente de inteligencia artificial para guiar el proceso.
• Extensión de navegador Google Threat Intelligence — Para analistas de seguridad e investigadores de amenazas: resalta direcciones IP, URL, dominios y hashes de archivos sospechosos directamente en su navegador. Obtenga un contexto instantáneo, investigue sin cambiar de pestaña, realice un seguimiento de las amenazas y colabore, todo ello sin perder la protección. Disponible para Chrome, Edge y Firefox.

Descargo de responsabilidad: Estas herramientas son solo para aprender e investigar. Su seguridad no se ha sometido a pruebas exhaustivas. Si se usan de manera incorrecta, pueden causar daño. Compruebe primero el código, pruébelo solo en lugares seguros y siga todas las normas y leyes.

Conclusión

Todas las historias de esta semana apuntan a la misma verdad: la línea entre la innovación y la explotación es cada vez más delgada. Cada nueva herramienta conlleva nuevos riesgos y cada solución abre la puerta al siguiente descubrimiento. El ciclo no se está ralentizando, pero la conciencia, la velocidad y el conocimiento compartido siguen marcando la mayor diferencia.

Manténgase alerta, mantenga sus sistemas parcheados y no desatienda las advertencias silenciosas. La próxima brecha siempre empieza con algo pequeño.