⚡ Resumen semanal: ataques de MongoDB, violacio...

Las noticias cibernéticas de la semana pasada en 2025 no se referían a un gran incidente. Se trataba de que muchas pequeñas grietas se abrían al mismo tiempo. Las herramientas en las que la gente confía todos los días se comportan de maneras inesperadas. Resurgieron viejos defectos. Los nuevos se usaron casi de inmediato.

Un tema común lo acompañó todo en 2025. Los atacantes actuaron más rápido que las soluciones. El acceso destinado al trabajo, a las actualizaciones o al soporte seguía siendo objeto de abusos. Además, los daños no cesaban cuando un incidente «terminaba», sino que continuaban apareciendo meses o incluso años después.

Este resumen semanal reúne esas historias en un solo lugar. Sin sobrecarga, sin ruido. Siga leyendo para ver qué dio forma al panorama de amenazas en la recta final de 2025 y qué es lo que merece su atención ahora.

⚡ Amenaza de la semana

La vulnerabilidad de MongoDB está siendo atacada — Una vulnerabilidad de seguridad recientemente revelada en MongoDB ha sido explotada activamente en estado salvaje, y se han identificado más de 87 000 instancias potencialmente vulnerables en todo el mundo. La vulnerabilidad en cuestión es la CVE-2025-14847 (puntuación CVSS: 8,7), que permite a un atacante no autenticado filtrar de forma remota datos confidenciales de la memoria del servidor MongoDB. Su nombre en código es MongoBleed. Actualmente se desconocen los detalles exactos que rodean la naturaleza de los ataques que aprovechan la falla. Se recomienda a los usuarios que actualicen a las versiones 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30 de MongoDB. Los datos de la empresa de gestión de superficies de ataque Censys muestran que hay más de 87 000 instancias potencialmente vulnerables, la mayoría de las cuales se encuentran en EE. UU., China, Alemania, India y Francia. Wiz señaló que el 42% de los entornos de nube tienen al menos una instancia de MongoDB en una versión vulnerable al CVE-2025-14847. Esto incluye tanto los recursos internos como los expuestos a Internet.

🔔 Noticias principales

• El hackeo de la extensión de Chrome de Trust Wallet provoca una pérdida de 7 millones de dólares — Trust Wallet instó a los usuarios a actualizar su extensión de Google Chrome a la última versión tras lo que describió como un «incidente de seguridad» que provocó la pérdida de aproximadamente 7 millones de dólares. Se recomienda a los usuarios que actualicen a la versión 2.69 lo antes posible. «Hemos confirmado que se han visto afectados aproximadamente 7 millones de dólares y nos aseguraremos de que se reembolse a todos los usuarios afectados», afirma Trust Wallet. La extensión de Chrome tiene alrededor de 1 millón de usuarios. Los usuarios que solo utilizan dispositivos móviles y todas las demás versiones de extensiones de navegador no se ven afectados. Por el momento no se sabe quién está detrás del ataque, pero Trust Wallet dijo que el atacante probablemente publicó una versión maliciosa (la 2.68) utilizando una clave de API de Chrome Web Store que se había filtrado. Se ha pedido a las víctimas afectadas que rellenen un formulario para procesar los reembolsos.
• Evasive Panda organiza un ataque de envenenamiento de DNS para impulsar el malware MGBot — Un grupo de amenazas persistentes avanzadas (APT) vinculado a China, conocido como Evasive Panda, fue atribuido a una campaña de ciberespionaje muy específica en la que el adversario envenenó las solicitudes del Sistema de Nombres de Dominio (DNS) para entregar su característica puerta trasera mGBot en ataques contra víctimas en Turquía, China e India. La actividad tuvo lugar entre noviembre de 2022 y noviembre de 2024. Según Kaspersky, este grupo de piratas informáticos llevó a cabo ataques tipo Adversary in the Middle (AiTM) contra víctimas específicas para ofrecer actualizaciones troyanas de herramientas populares como SoHuVa, iQIYI Video, IObit Smart Defrag y Tencent QQ, que finalmente implementaron mGbot, un implante modular con amplias capacidades de recopilación de información. Actualmente no se sabe cómo el actor de la amenaza está envenenando las respuestas del DNS. Sin embargo, se sospecha que existen dos escenarios posibles: o bien los proveedores de servicios de Internet utilizados por las víctimas fueron atacados de forma selectiva para instalar algún tipo de implante de red en los dispositivos periféricos, o bien hackearon un router o un firewall utilizado por las víctimas con este fin.
• La violación de LastPass 2022 conduce al robo de criptomonedas — Las copias de seguridad cifradas de las bóvedas robadas durante la violación de datos de LastPass en 2022 permitieron a personas malintencionadas aprovechar contraseñas maestras débiles para abrirlas y agotar los activos de criptomonedas a finales de 2025. Los nuevos hallazgos de TRM Labs muestran que, en septiembre de 2025, actores de amenazas con posibles vínculos con el ecosistema ciberdelictivo ruso se habían llevado nada menos que 35 millones de dólares. Los vínculos rusos con la criptomoneda robada se deben a dos factores principales: el uso de bolsas comúnmente asociadas al ecosistema ciberdelictivo ruso en el proceso de blanqueo de capitales y las conexiones operativas que se obtienen al interactuar entre carteras y máquinas de mezcla antes y después del proceso de mezcla y blanqueo.
• Fortinet advierte sobre la reanudación de la actividad que explota el CVE-2020-12812 — Fortinet dijo que había observado un «abuso reciente» de la CVE-2020-12812, una falla de seguridad de hace cinco años en la VPN SSL de FortiOS, en estado salvaje bajo ciertas configuraciones. La vulnerabilidad podría permitir a un usuario iniciar sesión correctamente sin que se le pidiera el segundo factor de autenticación si se cambiaba el nombre de usuario. La guía publicada recientemente no ofrece detalles sobre la naturaleza de los ataques que aprovecharon la falla, ni sobre si alguno de esos incidentes tuvo éxito. Fortinet también ha recomendado a los clientes afectados que se pongan en contacto con su equipo de soporte y restablezcan todas las credenciales si encuentran pruebas de que los usuarios de VPN o administradores se han autenticado sin la autenticación de dos factores (2FA).
• El paquete falso npm de la API de WhatsApp roba mensajes — Se descubrió que un nuevo paquete malicioso en el repositorio npm llamado lotusbail funcionaba como una API de WhatsApp completamente funcional, pero contenía la capacidad de interceptar todos los mensajes y vincular el dispositivo del atacante a la cuenta de WhatsApp de la víctima. Se ha descargado más de 56 000 veces desde que un usuario llamado «seiren_primrose» lo subió por primera vez al registro en mayo de 2025. Desde entonces, npm ha eliminado el paquete. Una vez instalado el paquete npm, el autor de la amenaza puede leer todos los mensajes de WhatsApp, enviar mensajes a otras personas, descargar archivos multimedia y acceder a las listas de contactos. «Y esta es la parte fundamental: la desinstalación del paquete npm elimina el código malicioso, pero el dispositivo del autor de la amenaza permanece vinculado a tu cuenta de WhatsApp», explica Koi. «El emparejamiento persiste en los sistemas de WhatsApp hasta que desvincules manualmente todos los dispositivos desde la configuración de WhatsApp. Incluso después de que el paquete se haya agotado, seguirán teniendo acceso».

‎️ 🔥 CVs de tendencia

Los hackers actúan rápido. Pueden detectar nuevos errores en cuestión de horas. La falta de una actualización puede provocar una violación grave. Estas son las fallas de seguridad más graves de esta semana. Revíselos, corrija primero lo que sea importante y manténgase protegido.

La lista de esta semana incluye: CVE-2025-14847 (MongoDB), CVE-2025-68664 (Núcleo LangChain), CVE-2023-52163 (Digiever DS-2105 Pro), CVE-2025-68613 (n8n), CVE-2025-13836 (http.client de Python), CVE-2025-26794 (Exim), CVE-2025-68615 (Net-SNMP), CVE-2025-44016 (TeamViewer DEX Client) y CVE-2025-13008 (Servidor M-Files).

📰 En todo el mundo cibernético

• Ex agente de servicio al cliente de Coinbase arrestado en India — El director ejecutivo de Coinbase, Brian Armstrong, dijo que un exagente de servicio al cliente de la mayor bolsa de criptomonedas de EE. UU. fue arrestado en la India, meses después piratas informáticos sobornaron a representantes de servicio al cliente para acceder a la información de los clientes. En mayo, la empresa denunció que unos piratas informáticos sobornaron a contratistas que trabajaban en la India para robar datos confidenciales de sus clientes y exigieron un rescate de 20 millones de dólares. «Tenemos tolerancia cero con el mal comportamiento y seguiremos trabajando con las fuerzas del orden para llevar ante la justicia a los malos actores», dijo Armstrong dijo . «Gracias a la policía de Hyderabad en la India, un exagente de servicio al cliente de Coinbase acaba de ser arrestado. Otro ha caído y aún hay más por venir». El incidente afectó a 69.461 personas. A Demanda colectiva de septiembre de 2025 ha revelado que Coinbase contrató a TaskUs para gestionar la atención al cliente desde la India. El documento judicial también mencionaba que Coinbase «cortó los lazos con el personal de TaskUs implicado y con otros agentes extranjeros, y reforzó los controles». Ashita Mishra, una empleada de TaskUs radicada en Indore, está acusada de «unirse a la conspiración al aceptar vender datos altamente confidenciales de los usuarios de Coinbase a esos delincuentes» ya en septiembre de 2024. Mishra fue arrestada en enero de 2025 por supuestamente vender los datos robados a piratas informáticos a un precio de 200 dólares por registro. TaskUs afirmó que «identificó a dos personas que accedieron ilegalmente a la información de uno de nuestros clientes [que] fueron reclutadas en el marco de una campaña criminal mucho más amplia y coordinada contra este cliente, que también afectó a varios otros proveedores que prestaban servicios a este cliente». También supuesto que Coinbase «tenía proveedores distintos de TaskUs y que los empleados de Coinbase estuvieron involucrados en la violación de datos». Sin embargo, la empresa no proporcionó más detalles.
• Cloud Atlas apunta a Rusia y Bielorrusia — El actor de amenazas conocido como Atlas de nubes ha apalancada La suplantación de identidad atrae con un documento adjunto malintencionado de Microsoft Word que, al abrirse, descarga una plantilla maliciosa de un servidor remoto que, a su vez, busca y ejecuta un archivo de aplicación HTML (HTA). El archivo HTA malintencionado extrae y crea varios archivos de Visual Basic Script (VBS) en el disco que forman parte del backdoor de VBShower. A continuación, VBShower descarga e instala otras puertas traseras, como PowerShower, VBCloud y CloudAtlas. VBCloud puede descargar y ejecutar scripts maliciosos adicionales, incluido un capturador de archivos para filtrar los archivos de interés. Al igual que VBCloud, PowerShower es capaz de recuperar una carga útil adicional de un servidor remoto. CloudAtlas establece la comunicación con un servidor de comando y control (C2) a través de WebDAV y obtiene complementos ejecutables en forma de DLL, lo que le permite recopilar archivos, ejecutar comandos, robar contraseñas de navegadores basados en Chromium y capturar información del sistema. Los ataques organizados por el autor de la amenaza se han dirigido principalmente contra organizaciones del sector de las telecomunicaciones, la construcción, entidades gubernamentales y plantas en Rusia y Bielorrusia.
• El cargador BlackHawk fue visto en estado salvaje — Se ha detectado un nuevo cargador de MSIL llamado BlackHawk en estado salvaje, que incorpora tres capas de ofuscación que muestran signos de haber sido generado mediante herramientas de inteligencia artificial (IA). Per ESET , incluye un script de Visual Basic y dos scripts de PowerShell, el segundo de los cuales contiene el cargador BlackHawk codificado en Base64 y la carga útil final. El cargador se utiliza activamente en campañas de distribución del agente Tesla en ataques dirigidos contra cientos de terminales de pequeñas y medianas empresas rumanas. El cargador también ha sido usado para entregar un ladrón de información conocido como Phantom.
• Aumento de los servidores Cobalt Strike — Censys ha observado un aumento repentino en los servidores Cobalt Strike alojados en línea entre principios de diciembre y el 18 de diciembre de 2025, específicamente en las redes de AS138415 (YANCY) y AS133199 (SonderCloud LTD). «Si observamos la cronología anterior, el AS138415 muestra por primera vez una actividad inicial limitada a partir del 4 de diciembre, seguida de una expansión sustancial de 119 nuevos servidores Cobalt Strike el 6 de diciembre», explica Censys dijo . «Sin embargo, en solo dos días, casi toda esta infraestructura recién agregada desaparece. El 8 de diciembre, el AS133199 experimentó un aumento y una disminución casi iguales a los de los servidores Cobalt Strike recientemente observados». Durante este período, más de 150 direcciones IP distintas asociadas al AS138415 han sido marcadas como receptoras de usuarios de Cobalt Strike. Este netblock, 23.235.160 [.] 0/19, se asignó a RedLuff, LLC en septiembre de 2025.
• Conozca a Fly, la administradora del mercado ruso — Intrinsec ha revelado que un actor de amenazas conocido como Fly es probablemente el administrador de Russian Market, un portal clandestino para vender credenciales robadas a través de ladrones de información. «Este actor de amenazas promovió el mercado en múltiples ocasiones y a lo largo de los años», dijo la empresa francesa de ciberseguridad dijo . «Su nombre de usuario recuerda al antiguo nombre del mercado, 'Flyded'. Encontramos dos direcciones de correo electrónico utilizadas para registrar los primeros dominios del mercado ruso, lo que nos permitió encontrar posibles enlaces a una cuenta de Gmail llamada «AlexaSke1», pero no pudimos encontrar más información sobre esta posible identidad».
• Nueva campaña de estafa apunta a MENA con ofertas de trabajo falsas — Una nueva campaña de estafa está dirigida a los países de Oriente Medio y el Norte de África (MENA) con empleos falsos en línea en redes sociales y plataformas de mensajería privada como Telegram y WhatsApp, que prometen un trabajo fácil y dinero rápido, pero están diseñadas para recopilar datos personales y robar dinero. Las estafas explotan la confianza en instituciones reconocidas y el bajo costo de la publicidad en las redes sociales. La segmentación es intencionadamente amplia para crear una amplia red de suplantación de identidad. «Los anuncios de empleo falsos suelen hacerse pasar por empresas, bancos y autoridades conocidas para ganarse la confianza de las víctimas», dijo Group-IB dijo . «Una vez que las víctimas interactúan, la conversación pasa a los canales de mensajería privados donde se producen el verdadero fraude financiero y el robo de datos». Los anuncios suelen redirigir a las víctimas a un grupo de WhatsApp, donde un reclutador las dirige a un sitio web fraudulento para que se registren. Una vez que la víctima ha completado el paso, es agregada a varios canales de Telegram, donde se le indica que pague una tarifa para asegurarse las tareas y ganar comisiones por ello. «De hecho, los estafadores enviarán un pequeño pago por la tarea inicial para generar confianza», afirma Group-IB. «Luego presionarán a las víctimas para que depositen cantidades mayores para asumir tareas más importantes que prometan beneficios aún mayores. Cuando las víctimas hacen un depósito grande, el pago se detiene, los canales y las cuentas desaparecen y la víctima queda bloqueada, lo que hace que la comunicación y el seguimiento sean casi imposibles». Los anuncios están dirigidos contra los países de la región MENA, como Egipto, los países miembros de los Estados del Golfo, Argelia, Túnez, Marruecos, Irak y Jordania.
• EmEditor violado para distribuir Infostealer — El programa de edición de texto EmEditor, basado en Windows, ha revelado una brecha de seguridad. Emurasoft dijo un «tercero» realizó una modificación no autorizada del enlace de descarga de su instalador de Windows para apuntar a un archivo MSI malicioso alojado en una ubicación diferente del sitio web de EmEditor entre el 19 y el 22 de diciembre de 2022. Emurasoft dijo que está investigando el incidente para determinar el alcance total del impacto. Según la firma de seguridad china QianXin, el instalador malicioso es usado para lanzar un script de PowerShell capaz de recopilar información del sistema, incluidos los metadatos del sistema, los archivos, la configuración de la VPN, las credenciales de inicio de sesión de Windows, los datos del navegador y la información asociada a aplicaciones como Zoho Mail, Evernote, Notion, Discord, Slack, Mattermost, Skype, LiveChat, Microsoft Teams, Zoom, WinSCP, PuTTY, Steam y Telegram. También instala una extensión para el navegador Edge (ID: «ngahobakhbdpmokneiohlfofdmglpakd») denominada Google Drive Caching, que puede tomar huellas dactilares de los navegadores, reemplazar las direcciones de monederos de criptomonedas del portapapeles, registrar las pulsaciones de teclas de sitios web específicos, como x [.] com, y robar detalles de cuentas de publicidad de Facebook.
• Docker Hardened Images ya está disponible de forma gratuita — Docker ha hecho Imágenes endurecidas gratis para todos los desarrolladores para reforzar la seguridad de la cadena de suministro de software. Presentados en mayo de 2025, se trata de un conjunto de imágenes seguras, mínimas y listas para la producción que administra Docker. La empresa afirma que ha incorporado más de 1000 imágenes y listas de éxitos en su catálogo. «A diferencia de otras imágenes opacas o protegidas por propietarios, DHI es compatible con Alpine y Debian, bases de código abierto conocidas y confiables que los equipos ya conocen y pueden adoptar con un mínimo de cambios», dijo Docker apuntado .
• Se revela una falla en Livewire — Han surgido detalles sobre una falla de seguridad crítica ahora corregida en Livewire ( CVE-2025-54068 , puntuación CVSS: 9,8), un marco completo para Laravel que podría permitir a los atacantes no autenticados ejecutar comandos de forma remota en escenarios específicos. El problema se abordó en Livewire versión 3.6.4 lanzado en julio de 2025. Según Synacktiv, la vulnerabilidad tiene su origen en el mecanismo de hidratación de la plataforma, que se utiliza para gestionar los estados de los componentes y garantizar que no hayan sido manipulados durante el tránsito mediante una suma de control. «Sin embargo, este mecanismo presenta una vulnerabilidad crítica: se puede aprovechar un peligroso proceso de desorganización siempre que un atacante tenga en su poder la APP_KEY de la aplicación», afirma la empresa de ciberseguridad dijo . «Al crear cargas maliciosas, los atacantes pueden manipular el proceso de hidratación de Livewire para ejecutar código arbitrario, desde simples llamadas a funciones hasta la ejecución sigilosa de comandos remotos». Para empeorar las cosas, la investigación también identificó una vulnerabilidad de ejecución remota de código previamente autenticada que se puede aprovechar incluso sin conocer la APP_KEY de la aplicación. «Los atacantes podían introducir sintetizadores malintencionados a través del campo de actualizaciones de las solicitudes de Livewire, aprovechando la flexibilidad de escritura y la gestión de matrices anidadas que hace PHP», añade Synacktiv. «Esta técnica evita la validación con sumas de comprobación, lo que permite crear instancias arbitrarias de objetos y comprometer totalmente el sistema».
• El malware ChimeraWire aumenta las clasificaciones de SERP de los sitios web — Se ha descubierto que un nuevo malware denominado ChimeraWire aumenta artificialmente la clasificación de ciertos sitios web en las páginas de resultados de los motores de búsqueda (SERP) realizando búsquedas ocultas en Internet e imitando los clics de los usuarios en los dispositivos Windows infectados. Por lo general, ChimeraWire se despliega como una carga útil de segunda fase en sistemas previamente infectados con otros descargadores de malware, señala Doctor Web. El malware está diseñado para descargar una versión para Windows del navegador Google Chrome e instalar complementos como NopeCha y Buster para resolver automáticamente los CAPTCHA. A continuación, ChimeraWire lanza el navegador en modo de depuración con una ventana oculta para realizar la actividad de clics malintencionados en función de ciertos criterios preconfigurados. «Para ello, la aplicación maliciosa busca recursos de Internet en los motores de búsqueda de Google y Bing y, a continuación, los carga», explica la empresa rusa dijo . «También imita las acciones de los usuarios al hacer clic en los enlaces de los sitios cargados. El troyano realiza todas las acciones maliciosas en el navegador web Google Chrome, que descarga desde un dominio determinado y, a continuación, lo lanza en modo de depuración mediante el protocolo WebSocket».
• Surgen más detalles sobre la campaña LANDFALL — La campaña de spyware para Android de LANDFALL fue divulgado por la Unidad 42 de Palo Alto Networks el mes pasado por haber aprovechado una falla de día cero ahora corregida en los dispositivos Android Samsung Galaxy (CVE-2025-21042) para realizar ataques selectivos en Oriente Medio. Google Project Zero afirmó haber identificado seis archivos de imágenes sospechosas que se subieron a VirusTotal entre julio de 2024 y febrero de 2025. Se sospecha que estas imágenes se recibieron a través de WhatsApp, y Google señaló que se trataba de archivos DNG dirigidos a Biblioteca del Corán , una biblioteca de análisis de imágenes específica para dispositivos Samsung. Una investigación más profunda ha determinado que las imágenes están diseñadas para activar un exploit que se ejecuta dentro del proceso com.samsung.ipservice. «El proceso com.samsung.ipservice es un servicio de sistema específico de Samsung que se encarga de proporcionar funciones 'inteligentes' o basadas en inteligencia artificial a otras aplicaciones de Samsung», explica Benoît Sevens, de Project Zero dijo . «Escaneará y analizará periódicamente imágenes y vídeos en la MediaStore de Android. Cuando WhatsApp reciba y descargue una imagen, la insertará en la MediaStore. Esto significa que las imágenes (y vídeos) descargados de WhatsApp pueden ser atacados por el analizador de imágenes desde la aplicación com.samsung.ipservice». Dado que WhatsApp no descarga automáticamente las imágenes de contactos que no son de confianza, se ha determinado que se ha utilizado un exploit con un solo clic para activar la descarga y añadirla a MediaStore. Esto, a su vez, desencadena un exploit para la falla, lo que resulta en una primitiva de escritura fuera de los límites. «Este caso ilustra cómo algunos formatos de imagen proporcionan primitivas sólidas listas para usar que permiten convertir un único error de corrupción de la memoria en elusiones de ASLR sin interacción y ejecución remota de código», señala Sevens. «Al corromper los límites del búfer de píxeles con el error, el resto del exploit podría llevarse a cabo utilizando la 'máquina extraña' que proporcionan la especificación DNG y su implementación».
• Descubren un nuevo software espía para Android en el teléfono de un periodista bielorruso — Las autoridades bielorrusas son desplegando un nuevo software espía llamado ResidentBat en los teléfonos inteligentes de los periodistas locales después de que los servicios secretos bielorrusos confiscaran sus teléfonos durante los interrogatorios policiales. El software espía puede recopilar registros de llamadas, grabar audio a través del micrófono, tomar capturas de pantalla, recopilar mensajes SMS y chats de aplicaciones de mensajería cifradas y filtrar archivos locales. También puede restablecer los valores de fábrica del dispositivo y eliminarlo automáticamente. Según un informe de RESIDENT.NGO , la infraestructura de servidores de ResidentBat está operativa desde marzo de 2021. En diciembre de 2024, se denunciaron casos similares de implantación de software espía en los teléfonos de personas mientras eran interrogadas por la policía o los servicios de seguridad Serbia y Rusia . «La infección se basó en el acceso físico al dispositivo», dijo RESIDENT.NGO. «Presumimos que los agentes de la KGB observaron la contraseña o PIN del dispositivo mientras el periodista lo escribía en su presencia durante la conversación. Una vez que los agentes obtuvieron el PIN y tuvieron el teléfono en posesión física mientras estaba guardado en el casillero, activaron el «modo desarrollador» y la «depuración USB». A continuación, el software espía se descargaba en el dispositivo, probablemente mediante comandos ADB desde un PC con Windows».
• Antiguos socorristas se declaran culpables de ataques de ransomware — Ex profesionales de ciberseguridad Ryan Clifford Goldberg y Kevin Tyler Martin se declaró culpable a participar en un serie de ataques de ransomware BlackCat entre mayo y noviembre de 2023 mientras trabajaban en empresas de ciberseguridad encargadas de ayudar a las organizaciones a defenderse de los ataques de ransomware. Goldberg y Martin fueron acusados el mes pasado. Mientras Martin trabajaba como negociador de amenazas de ransomware para DigitalMint, Goldberg era gerente de respuesta a incidentes para la empresa de ciberseguridad Sygnia. Un tercer cómplice anónimo, que también trabajaba en DigitalMint, supuestamente obtuvo una cuenta de afiliado para BlackCat, que el trío utilizó para cometer ataques de ransomware.
• Un informe del Congreso dice que China explota la investigación sobre tecnología nuclear financiada por Estados Unidos — Un nuevo informe publicado del Comité Selecto de la Cámara de Representantes sobre China y del Comité Selecto Permanente de Inteligencia (HPSCI) de la Cámara de Representantes ha revelado que China explota al Departamento de Energía (DOE) de los Estados Unidos para acceder y desviar la investigación financiada por los contribuyentes estadounidenses e impulsar su ascenso militar y tecnológico. La investigación identificó alrededor de 4.350 artículos de investigación entre junio de 2023 y junio de 2025, en los que la financiación o el apoyo a la investigación del DOE implicaban establecer relaciones de investigación con entidades chinas, lo que incluía más de 730 adjudicaciones y contratos del DOE. De estos, aproximadamente 2.200 publicaciones se realizaron en asociación con entidades de la base industrial y de investigación en materia de defensa de China. «Este estudio de caso y muchos otros similares que aparecen en el informe subrayan una realidad profundamente preocupante: científicos del gobierno de los Estados Unidos —empleados por el DOE y que trabajan en laboratorios nacionales financiados con fondos federales— son coautores de investigaciones con entidades chinas en el corazón mismo del complejo militar-industrial de la República Popular China», dijo el Comité Selecto de la Cámara de Representantes sobre el Partido Comunista Chino (PCCh). «Implican el desarrollo conjunto de tecnologías relevantes para los aviones militares de próxima generación, los sistemas de guerra electrónica, las técnicas de engaño por radar y la infraestructura energética y aeroespacial crítica, junto con entidades ya restringidas por múltiples agencias estadounidenses por representar una amenaza para la seguridad nacional». En una declaración compartida con Associated Press, la Embajada de China en Washington dijo el comité selecto «lleva mucho tiempo difamando y atacando a China con fines políticos y no tiene credibilidad alguna».
• Un tribunal de Moscú condena a un científico ruso a 21 años por traición — Un tribunal de Moscú entregado una sentencia de 21 años de prisión para Artiom Khoroshilov , de 34 años, investigador del Instituto de Física General de Moscú, acusado de traición, ataque a infraestructuras críticas y conspiración para sabotear. También se le impuso una multa de 700.000 rublos (unos 9.100 dólares). Se dice que Khoroshilov se confabuló con el ejército informático ucraniano para llevar a cabo ataques distribuidos de denegación de servicio (DDoS) contra el correo ruso en agosto de 2022. También planeaba cometer un sabotaje haciendo estallar las vías férreas utilizadas por la unidad militar del Ministerio de Defensa de la Federación de Rusia para transportar material militar. El Ejército de TI de Ucrania, un grupo hacktivista conocido por coordinar los ataques DDoS contra la infraestructura rusa, dijo no sabe si Khoroshilov formaba parte de su comunidad, pero señaló que «el enemigo persigue cualquier señal de resistencia».
• Nueva herramienta DIG AI utilizada por actores malintencionados — Resecurity dijo que ha observado un «aumento notable» en la utilización de la IA DIG por parte de actores malintencionados, la última incorporación a una larga lista de modelos lingüísticos grandes (LLM) oscuros que pueden utilizarse para actividades ilegales, poco éticas, maliciosas o dañinas, como generar correos electrónicos de suplantación de identidad o instrucciones para colocar bombas y sustancias prohibidas. Los usuarios pueden acceder a él a través del navegador Tor sin necesidad de una cuenta. Según su desarrollador, Pitch, el servicio se basa en ChatGPT Turbo de OpenAI. «DIG AI permite a los actores malintencionados aprovechar el poder de la IA para generar consejos que van desde la fabricación de dispositivos explosivos hasta la creación de contenido ilegal, incluido el CSAM», afirma la empresa dijo . «Debido a que DIG AI está alojada en la red TOR, estas herramientas no son fácilmente detectables ni accesibles para las fuerzas del orden. Crean un importante mercado clandestino, desde la piratería y los derivados hasta otras actividades ilícitas».
• China dice que Estados Unidos incautó criptomonedas de una empresa china — El gobierno chino dijo que Estados Unidos incautó indebidamente activos de criptomonedas que en realidad pertenecían a LuBian. En octubre de 2025, el Departamento de Justicia de los Estados Unidos apoderado El mes pasado, el operador de complejos fraudulentos compró Bitcoin por valor de 15 mil millones de dólares. La agencia afirmó que los fondos eran propiedad de Prince Group y de su director ejecutivo, Chen Zhi. El Centro Nacional de Respuesta a Emergencias contra Virus Informáticos (CVERC) de China alegó que los fondos podían rastrearse hasta el hackeo de LuBian, operador chino de grupos mineros de bitcoins en 2020, haciéndose eco de un informe de Elliptic. Lo que es evidente es que los activos digitales le fueron robados a Zhi antes de que acabaran en manos de los EE. UU. «Es posible que el gobierno de los Estados Unidos haya robado los 127 000 bitcoins de Chen Zhi mediante técnicas de hackeo ya en 2020, lo que lo convierte en un caso clásico de crimen «negro contra negro» orquestado por una organización de piratas informáticos patrocinada por el estado», CVERC dijo . Sin embargo, cabe señalar que el informe no menciona que los activos robados estén vinculados a campañas de estafa.

🎥 Seminarios web sobre ciberseguridad

• Cómo Zero Trust y la IA detectan los ataques sin archivos, binarios ni indicadores — Las ciberamenazas evolucionan más rápido que nunca, explotando herramientas confiables y técnicas sin archivos que evaden las defensas tradicionales. Este seminario web revela cómo la protección basada en la inteligencia artificial y la confianza cero pueden descubrir ataques invisibles, proteger los entornos de los desarrolladores y redefinir la seguridad proactiva en la nube, de modo que pueda anticiparse a los atacantes y no solo reaccionar ante ellos.
• Master Agentic AI Security: aprenda a detectar, auditar y contener servidores MCP no autorizados — Las herramientas de inteligencia artificial como Copilot y Claude Code ayudan a los desarrolladores a avanzar con rapidez, pero también pueden crear grandes riesgos de seguridad si no se gestionan con cuidado. Muchos equipos no saben qué servidores de IA (MCP) están funcionando, quién los creó ni qué acceso tienen. Algunos ya han sido hackeados, lo que ha convertido las herramientas confiables en puertas traseras. Este seminario web muestra cómo detectar los riesgos ocultos de la IA, detener los problemas clave de las API ocultas y tomar el control antes de que sus sistemas de IA generen una brecha.

🔧 Herramientas de ciberseguridad

• Hidra GPT — Es un complemento para Ghidra que añade asistencia basada en inteligencia artificial para trabajos de ingeniería inversa. Utiliza modelos de lenguaje de gran tamaño para ayudar a explicar el código descompilado, mejorar la legibilidad y resaltar posibles problemas de seguridad, lo que facilita a los analistas la comprensión y el análisis de binarios complejos.
• Camaleón — Es una herramienta honeypot de código abierto que se utiliza para monitorear los ataques, la actividad de los bots y las credenciales robadas en una amplia gama de servicios de red. Simula los puertos abiertos y vulnerables para atraer a los atacantes, registra su actividad y muestra los resultados a través de paneles sencillos, lo que ayuda a los equipos a comprender cómo se escanean y atacan sus sistemas en entornos reales.

Descargo de responsabilidad: Estas herramientas son solo para aprender e investigar. Su seguridad no se ha sometido a pruebas exhaustivas. Si se usan de manera incorrecta, pueden causar daño. Compruebe primero el código, pruébelo solo en lugares seguros y siga todas las normas y leyes.

Conclusión

Este resumen semanal reúne esas historias en un solo lugar para cerrar 2025. Elimina el ruido y se centra en lo que realmente importó en los últimos días del año. Siga leyendo para conocer los acontecimientos que dieron forma al panorama de las amenazas, los patrones que se repetían una y otra vez y los riesgos que es probable que se prolonguen hasta 2026.