⚡ Resumen semanal: exploits de firewall, robo d...

Las ciberamenazas de la semana pasada mostraron que los atacantes ya no necesitan grandes hackeos para causar grandes daños. Están atacando las herramientas cotidianas en las que más confiamos (firewalls, complementos de navegador e incluso televisores inteligentes) y convierten las pequeñas brechas en infracciones graves.

El verdadero peligro ahora no es solo un ataque importante, sino cientos de ataques silenciosos que utilizan el software y los dispositivos que ya están dentro de nuestras redes. Cada sistema confiable puede convertirse en un punto de entrada si no se corrige o se pasa por alto.

He aquí un análisis claro de los principales riesgos de la semana, desde las vulnerabilidades de red explotadas hasta las nuevas campañas globales y las vulnerabilidades que cambian rápidamente.

⚡ Amenaza de la semana

Se atacan las fallas en varios productos de seguridad de red — Durante la semana pasada, Fortinet , SonicWall , Cisco , y WatchGuard dijeron que las vulnerabilidades de sus productos han sido explotadas por actores de amenazas en ataques en el mundo real. Cisco afirma que un agente de amenazas persistentes avanzadas (APT) del Nexo de China con el nombre en código UAT-9686 ha abusado de los ataques que utilizan el CVE-2025-20393, una falla crítica de AsyncOS, para lanzar malware como ReversessH (también conocido como AquaTunnel), Chisel, AquaPurge y AquaShell. La falla permanece sin corregir. SonicWall señala que se han detectado ataques relacionados con el CVE-2025-40602 (una falla de escalamiento de privilegios local que afecta a los dispositivos Secure Mobile Access (SMA) de la serie 100, en relación con el CVE-2025-23006 (puntuación CVSS de 9,8) para ejecutar código remoto sin autenticar con privilegios de usuario root. El desarrollo se produce cuando los firewalls y los dispositivos periféricos se han convertido en el objetivo favorito de los atacantes, ya que les brindan una visibilidad más profunda del tráfico, las conexiones VPN y los sistemas descendentes.

Cyber Forum 2026: tendencias adversas, innovación en inteligencia artificial y el futuro de las operaciones de seguridad

Un foro virtual de ciberseguridad para los líderes de seguridad actuales. Descubra cómo la inteligencia artificial y la automatización refuerzan las defensas, optimizan las operaciones y generan un impacto empresarial mensurable. Escuche a los líderes de seguridad y a los expertos en investigación y descubra estrategias y tendencias prácticas. Regístrese hoy mismo de forma gratuita.

Asegure su asiento ➝

🔔 Noticias principales

• La extensión destacada de Chrome fue capturada recolectando chats de IA — Se observó que Urban VPN Proxy, una extensión de Google Chrome y Microsoft Edge, con más de 7.3 instalaciones, recopilaba sigilosamente cada mensaje introducido por los usuarios en chatbots impulsados por inteligencia artificial (IA) como OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, xAi Grok, Meta AI y Perplexity. Otras tres extensiones del mismo desarrollador, 1ClickVPN Proxy, Urban Browser Guard y Urban Ad Blocker, también se actualizaron con una funcionalidad similar. En conjunto, estos complementos se instalaron más de ocho millones de veces. Las extensiones ya no están disponibles para su descarga en la Chrome Web Store.
• Ink Dragon apunta a los gobiernos con ShadowPad y FINALDRAFT — El actor de amenazas conocido como Jewelbug (CL-STA-0049, Earth Alux, Ink Dragon y REF7707) se ha centrado cada vez más en los objetivos gubernamentales de Europa desde julio de 2025, a pesar de que sigue atacando a entidades ubicadas en el sudeste asiático y Sudamérica. La campaña «ha afectado a varias docenas de víctimas, incluidas entidades gubernamentales y organizaciones de telecomunicaciones, de toda Europa, Asia y África». Ink Dragon no se limita a utilizar a las víctimas para robar datos, sino que las reutiliza activamente para apoyar las operaciones en curso contra otros objetivos de interés. Esto crea una infraestructura autosuficiente que oculta el verdadero origen de los ataques y, al mismo tiempo, maximiza la utilidad de cada activo comprometido.
• La botnet Kimwolf secuestra 1,8 millones de televisores Android — Una nueva red de bots llamada Kimwolf funciona con no menos de 1,8 millones de televisores Android. Las infecciones están dispersas por todo el mundo, y Brasil, India, EE. UU., Argentina, Sudáfrica y Filipinas registran concentraciones más altas. Se cree que Kimwolf comparte sus orígenes con AISURU, que ha estado detrás de algunos de los ataques DDoS que batieron récords durante el último año. Se sospecha que los atacantes reutilizaron el código de AISURU en las primeras etapas, antes de optar por desarrollar la red de bots Kimwolf para evitar ser detectados. QianXin XLab señaló que es posible que algunos de estos ataques no procedan únicamente de AISURU, y que Kimwolf podría estar participando o incluso liderando los esfuerzos.
• LongNosedGoblin usa la política de grupo para la implementación de malware — Un grupo de amenazas alineado con China, previamente indocumentado, denominado LongnosedGoblin ha sido atribuido a una serie de ciberataques dirigidos a entidades gubernamentales en el sudeste asiático y Japón. Un aspecto fundamental del negocio del grupo es el abuso de la política de grupo para distribuir malware en la red comprometida y los servicios en la nube para comunicarse con los terminales infectados mediante una puerta trasera denominada NosyDoor. Se cree que el actor de la amenaza está activo al menos desde septiembre de 2023. Actualmente se desconocen los métodos exactos de acceso inicial utilizados en los ataques.
• Kimsuky usa el malware DocSwap para Android — El actor de amenazas norcoreano conocido como Kimsuky ha sido vinculado a una nueva campaña que distribuye una nueva variante del malware de recopilación de datos para Android llamado DocSwap mediante códigos QR alojados en sitios de suplantación de identidad que imitan a la empresa de logística CJ Logistics (antes CJ Korea Express), con sede en Seúl. Las aplicaciones se hacen pasar por aplicaciones de servicio de entrega de paquetes. Se cree que los autores de las amenazas utilizan mensajes de texto fraudulentos o correos electrónicos de suplantación de identidad haciéndose pasar por empresas de mensajería para engañar a los destinatarios para que hagan clic en las URL que contienen trampas explosivas en las que se alojan las aplicaciones. Un aspecto destacable del ataque es su redireccionamiento móvil basado en códigos QR, que hace que los usuarios que visiten las URL desde un ordenador de sobremesa escaneen el código QR que aparece en la página de su dispositivo Android para instalar la supuesta aplicación de seguimiento de envíos y comprobar el estado.

‎️ 🔥 CVs de tendencia

Los hackers actúan rápido. Pueden detectar nuevos errores en cuestión de horas. La falta de una actualización puede provocar una violación grave. Estas son las fallas de seguridad más graves de esta semana. Revíselos, corrija primero lo que sea importante y manténgase protegido.

La lista de esta semana incluye: CVE-2025-14733 (WatchGuard), CVE-2025-11901, CVE-2025-14302, CVE-2025-14303, CVE-2025-14304 (Bypass de protección DMA previo al arranque), CVE-2025-37164 (Software HPE OneView), CVE-2025-59374 (Actualización en vivo de ASUS), CVE-2025-20393 (Cisco AsyncOS), CVE-2025-40602 (Serie SonicWall SMA 100), CVE-2025-66430 (Plesk), CVE-2025-33213 (NVIDIA Merlin Transformers4Rec para Linux), CVE-2025-33214 (NVIDIA NVTabular para Linux), CVE-2025-54947 (Parque Apache Stream), CVE-2025-13780 (pgAdmin), CVE-2025-34352 (Agente de JumpCloud), CVE-2025-14265 (ConnectWise ScreenConnect), CVE-2025-40806, CVE-2025-40807 (Prepago Siemens Gridscale X), CVE-2025-32210 (Laboratorio Isaac de NVIDIA), CVE-2025-64374 (tema de WordPress de Motors), CVE-2025-64669 (Centro de administración de Microsoft Windows), CVE-2025-46295 (Texto de Apache Commons), CVE-2025-68154 (información del sistema), CVE-2025-14558 (FreeBSD) y fallas en la escritura entre sitios y la divulgación de información en Roundcube Webmail (sin CVEs).

📰 En todo el mundo cibernético

• El FBI advierte sobre campañas que se hacen pasar por funcionarios del gobierno — La Oficina Federal de Investigaciones (FBI) de los Estados Unidos ha advertido que actores malintencionados se han hecho pasar por altos funcionarios del gobierno estatal, la Casa Blanca y el Gabinete de los Estados Unidos, así como por miembros del Congreso, para atacar a personas, incluidos familiares y conocidos personales de los funcionarios, al menos desde 2023. «Los actores malintencionados han enviado mensajes de texto y mensajes de voz generados por la IA —técnicas conocidas como smishing y vishing, respectivamente— que afirman provenir de un alto funcionario estadounidense para establecer una relación con las personas objetivo», según el FBI dijo . «En el plan, los actores se ponen en contacto con una persona y abordan brevemente un tema que la víctima conoce, con la solicitud de trasladar la comunicación a una aplicación secundaria de mensajería móvil cifrada, lo que ocurre casi de inmediato». Una vez que la conversación pasa a Signal o WhatsApp, los actores de la amenaza instan a las víctimas a proporcionar un código de autenticación que les permita sincronizar su dispositivo con la lista de contactos de la víctima, compartir información de identificación personal (PII) y copias de documentos personales confidenciales, transferir fondos a una institución financiera extranjera con falsas pretensiones y pedirles que presenten al actor a un asociado conocido.
• Noyb presenta una queja contra TikTok, AppsFlyer y Grindr — La organización austriaca de privacidad sin fines de lucro noyb tiene archivado quejas contra TikTok, AppsFlyer y Grindr, acusando a la popular plataforma para compartir videos de rastrear ilegalmente a los usuarios a través de aplicaciones, en violación de las leyes de GDPR en la región. «Un usuario se enteró de esta práctica ilegal de rastreo a través de una solicitud de acceso, que mostró que, por ejemplo, su uso de Grindr había sido enviado a TikTok, probablemente a través de la empresa de rastreo israelí AppsFlyer, lo que permite a TikTok sacar conclusiones sobre su orientación sexual y su vida sexual», dijo noyb. «En un principio, TikTok incluso ocultó esta información al usuario, lo que infringe el artículo 15 del RGPD. Solo después de varias consultas, TikTok reveló que sabía qué aplicaciones utilizaba y qué hacía con ellas (por ejemplo, añadir un producto al carrito de la compra), y que estos datos también incluían información sobre su uso de la aplicación de citas gay Grindr».
• AuraStealer visto en estado salvaje — Un nuevo ladrón de información de malware como servicio (MaaS) llamado AuraStealer se ha distribuido a través de campañas de estafa, en las que las víctimas son atraídas por vídeos de TikTok disfrazados de guías de activación de productos. «Se les indica a los espectadores que vuelvan a escribir y ejecutar manualmente el comando que se muestra en un PowerShell administrativo, el cual, sin embargo, en lugar de activar el software, descarga y ejecuta silenciosamente la carga maliciosa», Gen Digital dijo . «Además de las campañas de estafa en TikTok, AuraStealer también se distribuye a través de juegos o software supuestamente descifrados, con cadenas de entrega de diversa complejidad». AuraStealer utiliza una larga lista de técnicas antianálisis y de ofuscación, como la ofuscación del flujo mediante el control indirecto, el cifrado de cadenas y el hash de API basado en excepciones, para evitar los intentos de aplicar ingeniería inversa al malware. Es capaz de recopilar datos de navegadores basados en Chromium y Gecko, carteras de criptomonedas de aplicaciones de escritorio y extensiones de navegador, contenido del portapapeles, tokens de sesión, credenciales, VPN, administradores de contraseñas, capturas de pantalla y metadatos detallados del sistema. También se han detectado en estado salvaje otros dos ladrones de información llamados Stealka y Fantasma , distribuyéndose este último mediante instaladores falsos de Adobe.
• Blind Eagle continúa atacando a Colombia — Las instituciones colombianas han seguido siendo objeto de ataques por parte de un actor de amenazas conocido como Águila ciega . Los ataques de suplantación de identidad más recientes, dirigidos a agencias dependientes del Ministerio de Comercio, Industria y Turismo (MCIT), han pasado a ser un flujo multicapa más sofisticado que utiliza un cargador estándar llamado Caminho para entregar DCrat. Los mensajes se envían desde cuentas de correo electrónico comprometidas dentro de la misma organización para eludir los controles de seguridad. «El correo electrónico de suplantación de identidad utilizó un diseño de temática legal para atraer al destinatario», dijo Zscaler dijo . «El correo electrónico se creó para que apareciera como un mensaje oficial del sistema judicial colombiano, haciendo referencia a una demanda laboral con un número de caso y una fecha que suenan auténticos. El correo electrónico presiona al destinatario para que confirme la recepción de inmediato, lo que aprovecha la autoridad, el miedo a las consecuencias legales y las advertencias de confidencialidad para engañar al destinatario para que tome una medida, como abrir el archivo adjunto».

• Sparrow con guion vinculado a ataques BEC a gran escala — Se ha observado que un colectivo en expansión de Business Email Compromise (BEC) conocido como Scripted Sparrow distribuye más de tres millones de mensajes de correo electrónico cada mes y perfecciona su manual de ingeniería social. «La magnitud de las operaciones del grupo sugiere claramente el uso de la automatización para generar y enviar sus mensajes de ataque», dijo Fortra dijo . «El grupo utiliza una combinación de direcciones de correo web gratuitas y direcciones de dominios que han registrado específicamente para sus operaciones. El grupo opera haciéndose pasar por varias consultoras de coaching ejecutivo y formación de líderes». Se estima que el grupo registró 119 dominios y usó 245 direcciones de correo web. También ha utilizado 256 cuentas bancarias para sacar dinero de las cuentas bancarias de las víctimas.
• Los dispositivos inteligentes ejecutan versiones de navegador desactualizadas — Un estudio académico realizado por un equipo de investigadores belgas descubrió que la mayoría de los dispositivos inteligentes, como televisores inteligentes, lectores electrónicos y consolas de juegos, vienen con un navegador web integrado que ejecuta versiones extremadamente anticuadas, a veces hasta tres años. Los cinco lectores electrónicos que se probaron y 24 de los 35 modelos de televisores inteligentes utilizaban navegadores integrados que tenían un retraso de al menos tres años con respecto a las versiones actuales disponibles para los usuarios de ordenadores de sobremesa. Estos navegadores integrados y anticuados pueden dejar a los usuarios expuestos a la suplantación de identidad y a otras vulnerabilidades de seguridad. Los autores dijeron que algunos de los problemas radican en la forma en que los marcos de desarrollo como Electron combinan los navegadores con otros componentes. «Sospechamos que, en el caso de algunos productos, este problema se debe a que el navegador integrado orientado al usuario está integrado con otros componentes de la interfaz de usuario, lo que dificulta las actualizaciones, especialmente cuando se incluyen en marcos como Electron, donde la actualización del navegador requiere actualizar todo el marco», afirman en el documento. «Esto puede romper las dependencias y aumentar los costos de desarrollo».
• Dinamarca culpa a Rusia por el ataque a la empresa de agua — El Servicio de Inteligencia de Defensa de Dinamarca (DDIS) ha culpado Rusia por los recientes ciberataques destructivos y disruptivos contra el país, incluida una empresa de agua en 2024, así como por los ataques distribuidos de denegación de servicio (DDoS) contra sitios web daneses en el período previo a las elecciones municipales y regionales de 2025. Los ataques se han atribuido a los grupos hacktivistas prorrusos Z-Pentest y NoName057 (16), respectivamente. «El estado ruso utiliza a ambos grupos como instrumentos de su guerra híbrida contra Occidente. El objetivo es crear inseguridad en los países atacados y castigar a quienes apoyan a Ucrania», afirmó el DDIS. «Las operaciones cibernéticas de Rusia forman parte de una campaña de influencia más amplia destinada a socavar el apoyo occidental a Ucrania». La declaración se produce pocos días después de que un aviso mundial sobre ciberseguridad advirtiera que los grupos hacktivistas prorrusos llevan a cabo ataques oportunistas contra la infraestructura crítica estadounidense y mundial.
• Rusia en el punto de mira de un hombre lobo arcano — Las empresas manufactureras rusas se han convertido en el objetivo de un actor de amenazas conocido como Hombre lobo arcano (también conocido como Mythic Likho). Es probable que las campañas emprendidas por el grupo de hackers en octubre y noviembre de 2025 utilizaran los correos electrónicos de suplantación de identidad como vector de acceso inicial, que presumiblemente contenían enlaces a un archivo malicioso alojado en el servidor de los atacantes. Los enlaces dirigían a las víctimas a un sitio web falsificado que imitaba a una empresa manufacturera rusa. El objetivo final de los ataques es instalar un implante personalizado denominado Loki 2.1 mediante un cargador que se entrega con un cuentagotas basado en Go que se descarga de un servidor externo mediante código PowerShell integrado en un acceso directo de Windows (LNK) contenido en el archivo ZIP. En una cadena de ataques detectada en noviembre de 2025, se utilizó un nuevo cuentagotas de C++ para propagar el malware. Loki 2.1 está equipado para cargar y descargar archivos, inyectar código en un proceso objetivo, terminar procesos arbitrarios, recuperar variables de entorno y detener su propia ejecución.
• RansomHouse se actualiza a un cifrado complejo — El Ransomhouse El grupo de ransomware (también conocido como Jolly Scorpius) ha mejorado su proceso de cifrado de archivos para utilizar dos claves de cifrado diferentes para cifrar los archivos como parte de sus ataques, lo que se ha descrito como una escalada significativa y una «trayectoria preocupante» en el desarrollo del ransomware. «El código de la versión actualizada revela un esquema de cifrado de dos factores en el que el archivo se cifra con una clave principal y una clave secundaria. El cifrado de datos se procesa por separado para cada clave», dijo la unidad 42 de Palo Alto Networks dijo . «Esto aumenta significativamente la dificultad de descifrar los datos sin ambas claves». El grupo de delincuencia electrónica ha estado activo desde diciembre de 2021 y ha incluido 123 víctimas en su sitio de filtración de datos. Una herramienta denominada MrAgent es fundamental para las operaciones de los atacantes, que proporciona a los atacantes un acceso permanente al entorno de la víctima y simplifica la gestión a gran escala de los servidores comprometidos. También es responsable de implementar Mario para cifrar los archivos de máquina virtual críticos en el hipervisor ESXi.
• Ciclo de vida de las LLM y el ransomware — La aparición de grandes modelos lingüísticos (LLM) probablemente acelere el ciclo de vida del ransomware, según los nuevos hallazgos de SentinelOne. «Observamos avances cuantificables en velocidad, volumen y alcance multilingüe gracias al reconocimiento, la suplantación de identidad, la ayuda con herramientas, la clasificación de datos y la negociación, pero no hemos registrado ningún cambio radical en las tácticas o técnicas novedosas impulsadas exclusivamente por la IA a gran escala», afirma la empresa. Los LLM, incluidos los que se implementan localmente, pueden utilizarse para reemplazar el esfuerzo manual que supone redactar correos electrónicos de suplantación de identidad y contenido localizado, buscar datos confidenciales y desarrollar código malintencionado. Los continuos avistamientos de varios LLM oscuros muestran que los delincuentes prefieren utilizar modelos no censurados que les permitan evadir las barreras de seguridad. «Los actores ya fragmentan el código malicioso en forma de mensajes benignos en varios modelos o sesiones, y luego lo ensamblan sin conexión para eludir las barreras», dijo SentinelOne dijo . «Este flujo de trabajo se convertirá en mercancía a medida que proliferen los tutoriales y las herramientas y, en última instancia, se convertirá en un «contrabando rápido como servicio». Los hallazgos indican que la barrera para entrar en la ciberdelincuencia sigue cayendo, a pesar de que el ecosistema del ransomware se está dividiendo y la línea entre la actividad de los estados nacionales y la actividad relacionada con el crimen se está difuminando cada vez más. También es probable que el uso de la tecnología difuminar las líneas de evaluación existentes en torno al oficio y la atribución, debido al hecho de que las capacidades incluso permiten a los grupos más pequeños adquirir capacidades que antes estaban limitadas a los actores avanzados respaldados por el estado.
• TikTok firma un acuerdo para crear una nueva empresa conjunta en EE. UU. — Casi un año después de las operaciones de TikTok prohibido brevemente en EE. UU. por motivos de seguridad nacional, la popular plataforma para compartir vídeos dijo que había cerrado un acuerdo para transferir una parte sustancial de sus negocios estadounidenses a una nueva empresa conjunta llamada TikTok USDS Joint Venture LLC. Según informes de Axios , Bloomberg , CNBC , y El reportero de Hollywood , la empresa ha firmado acuerdos con los tres inversores gestores: Oracle, Silver Lake y MGX, con sede en Abu Dabi. En conjunto, esas empresas poseerán el 45% de las operaciones en EE. UU., mientras que ByteDance conservará casi el 20% de las acciones. Se dice que la nueva entidad es responsable de proteger los datos estadounidenses, garantizar la seguridad de su preciado algoritmo, moderar el contenido y «garantizar la seguridad del software». Oracle será el socio de seguridad de confianza a cargo de auditar y validar el cumplimiento. El acuerdo entrará en vigor el 22 de enero de 2026. Según una ley de seguridad nacional, ByteDance, con sede en China, debía vender las operaciones de TikTok en EE. UU. o enfrentarse a una prohibición efectiva en el país. Desde entonces, el gobierno de los Estados Unidos ha prorrogado la prohibición cuatro veces mientras se tramaba un acuerdo entre bastidores. En virtud de la orden ejecutiva del presidente Donald Trump de septiembre, el fiscal general fue bloqueado de hacer cumplir la ley de seguridad nacional durante un período de 120 días para «permitir que se complete la desinversión contemplada», lo que permitirá que la operación finalice antes del 23 de enero de 2026.
• La campaña de adware para Android se dirige al este y sudeste de Asia — Los usuarios de Android de Filipinas, Pakistán y Malasia han sido blanco de una campaña de adware Android a gran escala denominada GhostAd, que consume recursos de forma silenciosa e interrumpe el uso normal del teléfono debido a una actividad persistente en segundo plano. El conjunto de 15 aplicaciones, distribuidas a través de Google Play, se hacía pasar por inofensivas utilidades y herramientas de edición de emojis, como Vivid Clean y GenMoji Studio. «Tras sus alegres iconos, estas aplicaciones crearon un motor de publicidad persistente en segundo plano, que seguía funcionando incluso después de que los usuarios cerraran o reiniciaran sus dispositivos, consumiendo batería y datos móviles sin hacer ruido», dijo Check Point dijo . «GhostAd integra varios kits de desarrollo de software (SDK) de publicidad legítimos, incluidos Pangle, Vungle, mBridge, AppLovin y BIGO, pero los usa de una manera que infringe las políticas de uso justo. En lugar de esperar a que el usuario interactúe, las aplicaciones cargan, ponen en cola y actualizan continuamente los anuncios en segundo plano, y utilizan las corrutinas de Kotlin para mantener el ciclo». Desde entonces, Google ha eliminado las aplicaciones, pero no antes de acumular millones de descargas.
• Texas demanda a fabricantes de televisores por espiar a sus propietarios — El fiscal general de Texas, Ken Paxton, acusó a Sony, Samsung, LG, Hisense y TCL de espiar a sus clientes y recopilar ilegalmente sus datos mediante el reconocimiento automático de contenido ( COCHE ), según una nueva demanda. «ACR, en sus términos más simples, es un invasor digital invisible y no invitado», dijo Paxton dijo . «Este software puede capturar capturas de pantalla de la pantalla del televisor de un usuario cada 500 milisegundos, monitorear la actividad de visualización en tiempo real y transmitir esa información a la empresa sin el conocimiento o el consentimiento del usuario. Esta conducta es invasiva, engañosa e ilegal».
• Los ciberdelincuentes atraen a personas con información privilegiada con altos pagos — Check Point ha llamado la atención sobre las publicaciones en la dark web que tienen como objetivo reclutar personas con información privilegiada dentro de las organizaciones para acceder a las redes corporativas, los dispositivos de usuario y los entornos de nube. La actividad está dirigida al sector financiero y a las empresas de criptomonedas, así como a empresas como Accenture, Genpact, Netflix y Spotify. Los anuncios ofrecen pagos de entre 3000 y 15 000 dólares por acceso o datos. «En los foros de la darknet, se contacta con los empleados, o incluso se ofrecen como voluntarios, para venderles información confidencial o acceso a información confidencial a cambio de lucrativos premios», afirman desde la empresa dijo . Cuando el personal interno desactiva las defensas, filtra credenciales o proporciona información privilegiada, prevenir un ataque se vuelve exponencialmente más difícil. Monitorear la Deep Web y la Darknet en busca de menciones organizacionales o datos robados es ahora tan importante como implementar tecnologías avanzadas de ciberprevención».
• Fallos en el juego Anno 1404 — Los investigadores de Synacktiv han divulgado múltiples vulnerabilidades en un juego de estrategia llamado Anno 1404 que, si se encadenan, permiten la ejecución de código arbitrario desde el modo multijugador.
• La campaña JSCEAL sufre un cambio — Una campaña de anuncios en Facebook que se utiliza para distribuir un malware compilado de JavaScript V8 (JSC) llamado ISCAL ha evolucionado hasta adoptar una forma más sofisticada, ya que los atacantes han adoptado una infraestructura de mando y control (C2) renovada, medidas de protección antianálisis mejoradas y un motor de scripts actualizado diseñado para aumentar el sigilo. «A diferencia de la campaña del primer semestre de 2025, que se basó principalmente en los dominios.com, la campaña de agosto de 2025 incluye una variedad más amplia de dominios de primer nivel, como .org, .link, .net y otros», dijo Cato Networks dijo . «Estos dominios se registran de forma masiva a intervalos regulares, lo que sugiere un flujo de trabajo de aprovisionamiento escalable y automatizado». Además, la infraestructura actualizada impone controles de filtrado y antianálisis más estrictos, lo que bloquea cualquier solicitud HTTP que no presente un agente de usuario de PowerShell. Si una solicitud incluye el agente de usuario de PowerShell correcto, el servidor responde con un error de PDF falso en lugar de entregar la carga útil real. Solo después de que se haya devuelto el PDF, el servidor C2 pasa a la siguiente fase, que incluye una versión modificada del archivo ZIP que contiene el malware robador.
• El tercer acusado se declara culpable de hackear un sitio web de apuestas y deportes de fantasía — Nathan Austad, de 21 años, de Farmington, Minnesota, tiene se declaró culpable en relación con un plan para hackear miles de cuentas de usuario en un sitio web anónimo de apuestas y deportes fantásticos y vender el acceso a esas cuentas con el objetivo de robar cientos de miles de dólares a los usuarios. Austad y otros lanzaron un ataque para robar credenciales en el sitio web en noviembre de 2022 y comprometieron por completo aproximadamente 60 000 cuentas de usuario. «En algunos casos, Austad y sus cómplices pudieron agregar un nuevo método de pago propio a la cuenta (es decir, a una cuenta financiera recién agregada que pertenecía al hacker) y luego usarlo para retirar todos los fondos existentes en la cuenta de la víctima para sí mismos, robándose así los fondos de cada cuenta de la víctima afectada», dijo el Departamento de Justicia de los Estados Unidos. «Con este método, Austad y otros robaron aproximadamente 600 000 dólares de aproximadamente 1600 cuentas de víctimas en el sitio web de apuestas». Posteriormente, el acceso a las cuentas de las víctimas se vendió en varios sitios web que traficaban con cuentas robadas.
• Disminución de las CVE críticas en 2025 — El número de vulnerabilidades críticas señaladas en 2025 es de 3.753, frente a las 4.629 de 2023 y las 4.283 de 2024, a pesar de que el número total de CVE ha aumentado a más de 40 000. Según VulnCheck, alrededor del 25,9% de las 43 002 CVEs publicadas en 2025 se han enriquecido con una puntuación CVSS v4. «En última instancia, lo que esto sugiere es que la adopción del CVSS v4 se ve limitada no por la falta de disponibilidad, sino por la limitada participación de algunos de los editores y editores de CVE más importantes e influyentes», afirma dijo . «Entre los motivos que se citan con más frecuencia figuran las limitaciones de recursos, los cambios necesarios en las herramientas y la percepción de que el CVSS v4 proporciona un valor adicional limitado, al tiempo que aumenta la complejidad de la puntuación y los gastos operativos».

• Amadey usa una instancia de GitLab autohospedada para distribuir StealC — Un nuevo Amadey La campaña de carga de malware ha aprovechado una instancia de GitLab autohospedada explotada («gitlab.bzctoons [.] net») para ofrecer el robo de información StealC. «Este análisis revela cómo los atacantes secuestran servidores de GitLab abandonados y autohospedados para crear una infraestructura de distribución de carga útil que parezca legítima», dijo Trellix dijo . «El uso de un dominio de larga data con certificados TLS válidos proporciona una técnica de evasión eficaz frente a los controles de seguridad tradicionales». Si bien el dominio parece pertenecer a una organización de pequeña escala que aloja GitLab con varios usuarios, las pruebas sugieren que la cuenta de usuario o toda la infraestructura se han visto comprometidas.
• Estados Unidos desmantela la bolsa de criptomonedas E-Note — Las autoridades estadounidenses incautaron los servidores y la infraestructura de la bolsa de criptomonedas E-Note («e-note.com», «e-note.ws» y «jabb.mn») para presunto blanqueo más de 70 millones de dólares en ataques de ransomware y ataques de apropiación de cuentas desde 2017. No se ha anunciado ningún arresto. Paralelamente, las autoridades también han acusado al operador del sitio, un ciudadano ruso de 39 años llamado Mykhalio Petrovich Chudnovets, quien, según se informa, comenzó a ofrecer servicios de lavado de dinero a los ciberdelincuentes en 2010. Chudnovets ha sido acusado de un cargo de conspiración para blanquear instrumentos monetarios, que conlleva una pena máxima de 20 años de prisión. La retirada se inscribe en un esfuerzo más amplio de aplicación de la ley destinado a eliminar los servicios que permiten a los malos actores abusar del sistema financiero y sacar provecho de las ganancias obtenidas de forma ilícita.

🎥 Seminarios web sobre ciberseguridad

• Cómo Zero Trust y la IA detectan los ataques sin archivos, binarios ni indicadores — Las ciberamenazas evolucionan más rápido que nunca, explotando herramientas confiables y técnicas sin archivos que evaden las defensas tradicionales. Este seminario web revela cómo la protección basada en la inteligencia artificial y la confianza cero pueden descubrir ataques invisibles, proteger los entornos de los desarrolladores y redefinir la seguridad proactiva en la nube, de modo que pueda anticiparse a los atacantes y no solo reaccionar ante ellos.
• Master Agentic AI Security: aprenda a detectar, auditar y contener servidores MCP no autorizados — Las herramientas de inteligencia artificial como Copilot y Claude Code ayudan a los desarrolladores a avanzar con rapidez, pero también pueden crear grandes riesgos de seguridad si no se gestionan con cuidado. Muchos equipos no saben qué servidores de IA (MCP) están funcionando, quién los creó ni qué acceso tienen. Algunos ya han sido hackeados, lo que ha convertido las herramientas confiables en puertas traseras. Este seminario web muestra cómo detectar los riesgos ocultos de la IA, detener los problemas clave de las API ocultas y tomar el control antes de que sus sistemas de IA generen una brecha.

🔧 Herramientas de ciberseguridad

• Tracecat — Es una plataforma de automatización de código abierto diseñada para los equipos de seguridad y TI que necesitan una orquestación del flujo de trabajo flexible y escalable. Combina plantillas de integración sencillas basadas en YAML con una interfaz sin código para crear flujos de trabajo, junto con tablas de búsqueda y gestión de casos integradas. Básicamente, los flujos de trabajo se organizan mediante Temporal para garantizar la fiabilidad y la escalabilidad, lo que hace que Tracecat sea adecuado tanto para entornos de producción como de experimentación locales.
• Metis — Es una herramienta de revisión de códigos de seguridad de código abierto basada en inteligencia artificial creada por el equipo de seguridad de productos de Arm. Utiliza grandes modelos de lenguaje para entender el contexto y la lógica del código, lo que ayuda a los ingenieros a encontrar problemas de seguridad sutiles que las herramientas tradicionales suelen pasar desapercibidos. Metis admite varios idiomas a través de complementos, funciona con diferentes proveedores de LLM y está diseñado para reducir la fatiga de revisión en bases de código grandes o complejas, al tiempo que mejora las prácticas de codificación seguras.

Descargo de responsabilidad: Estas herramientas son solo para aprender e investigar. Su seguridad no se ha sometido a pruebas exhaustivas. Si se usan de manera incorrecta, pueden causar daño. Compruebe primero el código, pruébelo solo en lugares seguros y siga todas las normas y leyes.

Conclusión

La semana pasada dejó un punto claro: el perímetro ha desaparecido, pero la rendición de cuentas no. Todos los dispositivos, aplicaciones y servicios en la nube ahora desempeñan un papel en la defensa. Aplicar parches rápidamente, verificar lo que se está ejecutando y cuestionar los valores predeterminados ya no son tareas de mantenimiento, sino habilidades de supervivencia.

A medida que las amenazas se vuelven más adaptables, la resiliencia proviene de la conciencia y la velocidad, no del miedo. Mantenga una alta visibilidad, trate cada actualización como una reducción del riesgo y recuerde que la mayoría de las infracciones comienzan con algo normal que no se controla.