Boletín del Día de las Amenazas: secuestros de ...

Las autoridades de la República Checa, Letonia, Lituania y Ucrania, junto con Eurojust, tomó medidas contra una red delictiva que operaba centros de llamadas en Dnipro, Ivano-Frankivsk y Kiev y que estafó a más de 400 víctimas en toda Europa con más de 10 millones de euros (11,7 millones de dólares). «El grupo delictivo creó una organización profesional con empleados que recibían un porcentaje de las ganancias por cada estafa cometida», dijo Eurojust dijo . «Los estafadores utilizaron varias estafas, como hacerse pasar por agentes de policía para retirar dinero utilizando las tarjetas y los datos de sus víctimas, o fingir que las cuentas bancarias de sus víctimas habían sido pirateadas. Convencieron a sus víctimas de que transfirieran grandes sumas de dinero de sus cuentas bancarias «comprometidas» a cuentas bancarias «seguras» controladas por la red. También incitaron a las víctimas a descargar software de acceso remoto e introducir sus datos bancarios, lo que permitió al grupo delictivo acceder a las cuentas bancarias de las víctimas y controlarlas». Los centros de llamadas empleaban a aproximadamente 100 personas y fueron reclutados en la República Checa, Letonia, Lituania y otros países. Desempeñaron diferentes funciones, desde hacer llamadas y falsificar certificados oficiales de la policía y los bancos hasta recaudar dinero de sus víctimas. Los empleados que consiguieran obtener dinero de sus víctimas recibían hasta un 7% de las ganancias para alentarlos a continuar con la estafa. La empresa delictiva también prometió bonificaciones en efectivo, coches o apartamentos en Kiev a los empleados que obtuvieran más de 100 000 euros. La operación llevó a la detención de 12 sospechosos el 9 de diciembre de 2025. Las autoridades también incautaron dinero en efectivo, 21 vehículos y varias armas y municiones.

Según se informa, el gobierno del Reino Unido «alentará» a Apple y Google a impedir que los teléfonos muestren imágenes de desnudos, excepto cuando los usuarios comprueben que son adultos. Según un nuevo informe de The Financial Times, impulsar la detección de desnudos no será un requisito legal «por ahora», pero se dice que forma parte de la estrategia del gobierno para combatir la violencia contra las mujeres y las niñas. «El gobierno del Reino Unido quiere que las empresas de tecnología bloqueen por defecto las imágenes explícitas en teléfonos y ordenadores para proteger a los niños, y que los adultos tengan que verificar su edad para crear ese contenido y acceder a él», señala el informe dijo . «Los ministros quieren que empresas como Apple y Google incorporen algoritmos de detección de desnudos en los sistemas operativos de sus dispositivos para evitar que los usuarios tomen fotos o compartan imágenes de sus genitales a menos que se verifique que son adultos».

Los operadores de habla rusa anuncian un nuevo ladrón de información modular llamado SantaStealer en Telegram y en foros clandestinos como Lolz. «El malware recopila y filtra documentos, credenciales, carteras y datos confidenciales de una amplia gama de aplicaciones, y su objetivo es funcionar completamente en memoria para evitar la detección basada en archivos», Rapid7 dijo . «A continuación, los datos robados se comprimen, se dividen en fragmentos de 10 MB y se envían a un servidor C2 a través de HTTP sin cifrar». SantaStealer utiliza 14 módulos distintos de recopilación de datos, cada uno de los cuales se ejecuta en su propio subproceso y filtra la información robada. También utiliza una DLL integrada para eludir las protecciones de cifrado de Chrome vinculadas a las aplicaciones y recopilar las credenciales del navegador web, incluidas las contraseñas, las cookies y las tarjetas de crédito guardadas. Considerado como un cambio de nombre de BlueLineStealer, el malware está disponible por 175 dólares al mes para un plan básico y 300 dólares al mes para un plan premium, que permite a los clientes editar los retrasos de ejecución y habilitar la función Clipper para sustituir las direcciones de monedero copiadas en el portapapeles por otras controladas por un atacante para redirigir las transacciones. El actor de amenazas ha estado activo en Telegram al menos desde julio de 2025.

Los actores de amenazas que utilizan los proveedores de alojamiento a prueba de balas (BPH) actúan más rápido de lo que los defensores pueden responder y, a menudo, migran sus operaciones, vuelven a registrar dominios y restablecen los servicios pocas horas después de su eliminación, afirma Silent Push en un nuevo análisis exhaustivo de los servicios de BPH. «Si no se sabe hacia dónde se desplaza esta infraestructura, las eliminaciones carecen de la permanencia que necesitan», dijo Silent Push dijo . «Y sin un cambio coordinado tanto en la presión regulatoria como en la acción policial dirigida a estos proveedores, [...] El alojamiento a prueba de balas como servicio seguirá prosperando, al igual que las operaciones maliciosas que se desarrollen sobre él».

Un análisis de De Dosia La infraestructura de comando y control (C2) de varios niveles ha revelado un promedio de 6 servidores de control activos en un momento dado. «Sin embargo, los servidores suelen tener una vida útil relativamente corta, con un promedio de 2,53 días», según Censys dijo . «Algunos servidores que hemos observado están activos durante más de una semana, pero la mayoría de los casos solo los vemos durante menos de unas horas». DDoSiA es una capacidad participativa de denegación de servicio distribuida (DDoS) creada por hacktivistas rusos en 2022, coincidiendo con los primeros días de la guerra ruso-ucraniana. Lo gestiona el grupo hacktivista prorruso NoName057 (16), que fue desmantelado a principios de julio. Desde entonces, ha regresado. Los ataques de DDoSia se centran principalmente en Ucrania, los aliados europeos y los estados de la OTAN en los sectores gubernamental, militar, de transporte, de servicios públicos, financiero y turístico.

Los actores de amenazas están utilizando una nueva técnica de ingeniería social para secuestrar cuentas de WhatsApp. El nuevo ataque GhostPairing atrae a las víctimas enviándoles mensajes desde cuentas comprometidas que contienen un enlace a una vista previa al estilo de Facebook. Al hacer clic en el enlace, la víctima accede a una página que imita a un usuario de Facebook y le pide que verifique antes de poder publicar el contenido. Como parte de este paso, se les pide que escaneen un código QR que vinculará el navegador del atacante con la cuenta de WhatsApp de la víctima, lo que les permitirá acceder sin autorización a la cuenta de la víctima. «Para abusar de este flujo, un atacante abriría WhatsApp Web en su propio navegador, capturaría el código QR que aparece allí e incrustaría en la página falsa del usuario de Facebook. A continuación, se le decía a la víctima que abriera WhatsApp, que fuera a los dispositivos enlazados y que escaneara ese código QR para 'ver la foto'», explica Gen Digital dijo . Alternativamente, se les indica que ingresen su número de teléfono en la página falsa, que luego reenvía ese número a la función legítima de WhatsApp de «vincular el dispositivo a través del número de teléfono». Una vez que WhatsApp genera un código numérico de emparejamiento, lo reenvía a la página falsa, junto con instrucciones para introducir el código en WhatsApp y confirmar el inicio de sesión. El ataque, que abusa de la función legítima de vinculación de dispositivos de la plataforma, es una variación de una técnica que usado de actores patrocinados por el estado ruso para interceptar los mensajes de Signal a principios de este año. Para comprobar si hay alguna señal de peligro, los usuarios pueden ir a Configuración -> Dispositivos enlazados.

Los malos actores han sido observado publicar vídeos en la plataforma rusa para compartir vídeos RuTube que anuncian trucos para Roblox, engañando a los usuarios para que hagan clic en enlaces que conducen a malware troyano y robador como Salat Stealer. Vale la pena señalar que tácticas similares se han generalizado en YouTube.

Microsoft tiene anunciado que está desaprobando el cifrado RC4 (Rivest Cipher 4) en Kerberos para reforzar la autenticación de Windows. A mediados de 2026, se actualizarán los valores predeterminados de los controladores de dominio del centro de distribución de claves (KDC) de Kerberos en Windows Server 2008 y versiones posteriores para permitir únicamente el cifrado AES-SHA1. El RC4 se deshabilitará de forma predeterminada y solo se usará en situaciones en las que un administrador de dominio configure explícitamente una cuenta o el KDC para que lo use. «El RC4, que alguna vez fue un elemento básico para la compatibilidad, es susceptible a ataques como el Kerberoasting, que pueden usarse para robar credenciales y comprometer las redes», afirma la empresa. «Es crucial dejar de usar RC4». La decisión también se toma después del senador estadounidense Ron Wyden convocado la Comisión Federal de Comercio (FTC) de los Estados Unidos investigará a la empresa por el uso del cifrado obsoleto.

La policía serbia tiene detenido dos ciudadanos chinos por conducir por ahí con un receptor IMSI improvisado en su automóvil que funcionaba como una estación base móvil falsa. Se afirma que ambos enviaron mensajes de suplantación de identidad por SMS con los que engañaban a las personas para que visitaran sitios de suplantación de identidad que se hacían pasar por operadores de telefonía móvil, portales gubernamentales y grandes empresas para recopilar los datos de las tarjetas de pago. Posteriormente, los datos de las tarjetas capturados fueron objeto de abuso en el extranjero para pagar bienes y servicios. No se revelaron los nombres de las personas arrestadas. Sin embargo, se sospecha que forman parte de un grupo delictivo organizado.

Una nueva investigación de Bitsight ha descubierto que aproximadamente 1000 servidores del Model Context Protocol (MCP) están expuestos en Internet sin autorización y filtran datos confidenciales. Algunos de ellos podrían permitir la administración de un clúster de Kubernetes y sus módulos, acceder a una herramienta de gestión de las relaciones con los clientes (CRM), enviar mensajes de WhatsApp e incluso ejecutar código de forma remota. «Si bien Anthropic creó la especificación MCP, no es su trabajo hacer cumplir la forma en que todos los servidores gestionan las autorizaciones», dijo Bitsight dijo . «Como la autorización es opcional, es fácil omitirla al pasar de una demostración a una implementación real, lo que podría exponer herramientas o datos confidenciales. Muchos servidores MCP están diseñados para uso local, pero una vez que uno queda expuesto a través de HTTP, la superficie de ataque se expande considerablemente». Para contrarrestar el riesgo, es esencial que los usuarios no expongan los servidores MCP a menos que sea absolutamente necesario y implementar protecciones de OAuth para autorización. El desarrollo se produce como empresa de gestión de exposiciones Intruder revelada que un escaneo de aproximadamente 5 millones de aplicaciones de una sola página encontró más de 42 000 fichas expuestas en su código. Los tokens abarcan 334 tipos de secretos.

Se ha descubierto que una campaña de suplantación de identidad en la que se hace pasar por el Departamento de Impuestos sobre la Renta de la India utiliza temas relacionados con supuestas irregularidades fiscales para crear una falsa sensación de urgencia y engañar a los usuarios para que hagan clic en enlaces maliciosos que utilizan herramientas legítimas de acceso remoto, como LogMeIn Resolve (anteriormente GoTo Resolve), que permiten a los atacantes controlar sin autorización los sistemas comprometidos. «La campaña creó una cadena de malware en dos etapas que consistía en un cargador de RAT basado en un código shell empaquetado en un archivo ZIP y un ejecutable de administración remota fraudulento disfrazado de actualizador de GoTo Resolve», dijo Raven AI dijo . «Las defensas tradicionales de Secure Email Gateway no detectaban estos mensajes porque el remitente se autenticaba correctamente, los archivos adjuntos estaban protegidos con contraseña y el contenido imitaba la comunicación real del gobierno».

La Oficina Central de Investigaciones (CBI) de la India dijo que había interrumpido una gran red de ciberfraude que se utilizaba para enviar mensajes de suplantación de identidad en todo el país con el objetivo de engañar a las personas para que utilizaran planes falsos, como arrestos digitales falsos, estafas crediticias y fraudes de inversiones. Tres personas han sido arrestadas en relación con el caso que se examina Operación Chakra V . La investigación identificó a una banda cibernética organizada que operaba desde la Región de la Capital Nacional (NCR) y la zona de Chandigarh y que logró obtener alrededor de 21 000 tarjetas SIM en violación de las normas del Departamento de Telecomunicaciones (DoT). «Esta banda proporcionaba servicios masivos de SMS a ciberdelincuentes», dijo el CBI dijo . «Se descubrió que incluso los ciberdelincuentes extranjeros utilizaban este servicio para engañar a los ciudadanos indios. Estas tarjetas SIM se controlaban a través de una plataforma en línea para enviar mensajes masivos. Los mensajes ofrecían préstamos falsos, oportunidades de inversión y otros beneficios financieros, con el objetivo de robar datos personales y bancarios de personas inocentes». Por otra parte, la agencia también presentó cargos contra 17 personas, entre ellas cuatro ciudadanos extranjeros y 58 empresas, en relación con una red transnacional organizada de fraude cibernético que opera en varios estados de la India. «Los ciberdelincuentes adoptaron un modus operandi muy complejo e impulsado por la tecnología, que implicaba el uso de anuncios de Google, campañas masivas de SMS, sistemas de mensajería basados en cajas SIM, infraestructura en la nube, plataformas de tecnología financiera y múltiples cuentas bancarias», dijo el CBI dijo . «Cada etapa de la operación, desde la captación de las víctimas hasta la recaudación y el movimiento de fondos, se estructuró deliberadamente para ocultar la identidad de los verdaderos controladores y evitar que los organismos encargados de hacer cumplir la ley los detectaran».

StrikeReady Labs tiene divulgado detalles de una campaña de suplantación de identidad dirigida al órgano de gobierno de Transnistria con un adjunto de correo electrónico de suplantación de identidad con credenciales mediante la suplantación de identidad de la República Moldava de Pridnestrovia. El archivo HTML adjunto muestra un documento engañoso borroso y una ventana emergente en la que se pide a las víctimas que introduzcan sus credenciales. La información introducida se transmite a un servidor controlado por un atacante. Se cree que la campaña está activa al menos desde 2023. Es probable que otros objetivos incluyan entidades de Ucrania, Bosnia y Herzegovina, Macedonia, Montenegro, España, Lituania, Bulgaria y Moldavia.

Una nueva ola de ataques de ClickFix ha apalancada comprobaciones CAPTCHA falsas que engañan a los usuarios para que peguen en el cuadro de diálogo Ejecutar de Windows, que ejecuta la herramienta finger.exe para recuperar código malicioso de PowerShell. Los ataques se han atribuido a clústeres rastreados como KongTuke y SmartApesG. Los de hace décadas comando con el dedo se usa para buscar información sobre usuarios locales y remotos en sistemas Unix y Linux mediante el protocolo Finger. Fue más tarde adicional a los sistemas Windows. En otro ataque de ClickFix detectado de Point Wild, las notificaciones falsas del navegador instan a los usuarios a hacer clic en «Cómo solucionar» o copiar y pegar un comando de PowerShell que lleva al despliegue del malware DarkGate a través de un archivo HTA malicioso.

Los actores de amenazas abusan del servicio de integración de aplicaciones de Google para enviar correos electrónicos de suplantación de identidad desde direcciones auténticas de @google .com y eludir las comprobaciones de SPF, DKIM y DMARC. Esta técnica, según xorlab, se está utilizando con frecuencia para atacar a las organizaciones con mensajes muy convincentes que imitan las nuevas alertas de inicio de sesión en las cuentas de Google, engañándolas de forma efectiva para que hagan clic en enlaces sospechosos. «Para evitar ser detectados, los atacantes utilizan cadenas de redireccionamiento de varios saltos que recorren múltiples servicios legítimos», explica la empresa dijo . «Cada salto utiliza una infraestructura confiable (Google, Microsoft, AWS), lo que dificulta la detección o el bloqueo del ataque en un solo punto. Independientemente del punto de entrada, las víctimas acaban accediendo a la página de inicio de sesión de Microsoft 365 y descubriendo el objetivo principal de los atacantes: las credenciales de M365».

Cato Networks dijo que observó intentos de reconocimiento y explotación a gran escala dirigidos a dispositivos Modbus, incluidas cajas de monitoreo en cadena que controlan directamente la salida de los paneles solares. «En esos casos, un agente de amenazas que no tuviera más que una conexión a Internet y una herramienta gratuita podría emitir una simple orden: «APAGAR», y cortar la energía en un día despejado y despejado», explican desde la empresa dijo . «Lo que antes requería tiempo, paciencia y habilidad manual ahora se puede escalar y acelerar mediante la automatización. Con el auge de las herramientas de inteligencia artificial basadas en agencias, los atacantes ahora pueden automatizar el reconocimiento y la explotación, lo que reduce el tiempo necesario para ejecutar dichos ataques de días a solo unos minutos».

Las consecuencias de React 2 Shell (CVE-2025-55182) ha seguido extendiéndose a medida que múltiples actores de amenazas se han subido al tren de la explotación para distribuir un amplia gama de malware . La proliferación de exploits públicos y puertas traseras sigilosas se ha complementado con ataques de diversos orígenes y motivaciones, y la empresa de ciberseguridad S-RM ha revelado que la vulnerabilidad se utilizó como vector de acceso inicial en un ataque de ransomware de Weaxor el 5 de diciembre de 2025. «Esto marca un cambio con respecto a la explotación denunciada anteriormente», dijo S-RM dijo . «Esto indica que los actores de amenazas cuyo modus operandi implica la extorsión cibernética también están explotando con éxito esta vulnerabilidad, aunque a una escala mucho menor y probablemente de forma automatizada». Se considera que Weaxor es un cambio de marca del ransomware Mallox. El binario del ransomware se descartó y se ejecutó en el sistema en menos de un minuto desde el acceso inicial, lo que indica que probablemente formaba parte de una campaña automatizada. Según la unidad 42 de Palo Alto Networks, más de 60 organizaciones se han visto afectadas por incidentes que aprovechan la vulnerabilidad. Microsoft dijo que encontró «varios cientos de máquinas en un conjunto diverso de organizaciones» que se vieron comprometidas a través de React2Shell.