⚡ Resumen semanal: exploits de automatización d...

Esta semana dejó una cosa en claro: los pequeños descuidos pueden crecer rápidamente. Las herramientas diseñadas para ahorrar tiempo y reducir la fricción se convirtieron en puntos de acceso fáciles una vez que se ignoraron las medidas de seguridad básicas. Los atacantes no necesitaban trucos novedosos. Usaron lo que ya estaba expuesto y entraron sin resistencia.

La escala amplificó el daño. Una sola configuración débil se propagó a millones de personas. Una falla repetible funcionó una y otra vez. La suplantación de identidad se infiltró en las aplicaciones en las que la gente confía a diario, mientras que el malware se mezcló con el comportamiento rutinario del sistema. Distintas víctimas, la misma estrategia: aparentar normalidad, actuar con rapidez, propagarse antes de que suene la alarma.

Para los defensores, la presión sigue aumentando. Las vulnerabilidades se explotan casi tan pronto como salen a la luz. Las demandas y contrademandas aparecen antes de que se resuelvan los hechos. Los grupos delictivos se adaptan más rápido en cada ciclo. Las historias que siguen muestran dónde fallaron las cosas y por qué esos fracasos son importantes en el futuro.

⚡ Amenaza de la semana

Fallo de seguridad de máxima gravedad revelado en n8n — Una vulnerabilidad de máxima gravedad en la plataforma de automatización del flujo de trabajo n8n permite la ejecución remota de código sin autenticar y puede comprometer todo el sistema. La falla, denominada Ni8mare y rastreada como CVE‑2026‑21858, afecta a las instancias implementadas localmente que ejecutan versiones anteriores a la 1.121.0. El problema se debe a la forma en que n8n gestiona los datos entrantes, ya que ofrece una ruta directa desde una solicitud externa no autenticada, lo que pone en peligro el entorno de automatización. La divulgación del CVE‑2026‑21858 se debe a otras vulnerabilidades de alto impacto publicadas en las últimas dos semanas, como la CVE‑2026‑21877, la CVE‑2025‑68613 y la CVE‑2025‑68668. El problema aparece en Flujos de trabajo basados en formularios donde las funciones de manejo de archivos se ejecutan sin validar primero que la solicitud se procesó realmente como «datos multipartes/de formulario». Este vacío legal permite a un atacante enviar una solicitud especialmente diseñada utilizando un tipo de contenido que no sea un archivo mientras crea el cuerpo de la solicitud para imitar la estructura interna esperada para los archivos cargados. Como la lógica de análisis no verifica el formato de los datos entrantes, permite a un atacante acceder a rutas arbitrarias de archivos en el host n8n e incluso escalarlas para ejecutar código. «El impacto se extiende a cualquier organización que utilice n8n para automatizar los flujos de trabajo que interactúan con sistemas sensibles», dijo Field Effect dijo . «En el peor de los casos, el sistema se ve comprometido por completo y el acceso no autorizado a los servicios conectados». Sin embargo, Horizon3.ai apuntado esa explotación exitosa requiere una combinación de requisitos previos que es poco probable que se encuentren en la mayoría de las implementaciones del mundo real: un flujo de trabajo de componentes de formulario n8n al que se pueda acceder públicamente sin autenticación y un mecanismo para recuperar los archivos locales del servidor n8n.

Proteja los datos críticos en los flujos de trabajo de IA

Detenga las filtraciones de datos antes de que ocurran. Airia ofrece soluciones avanzadas para garantizar que sus modelos de IA permanezcan seguros, confiables y conformes con las normas en el panorama actual, en rápida evolución.

Descubra más ➝

🔔 Noticias principales

• La botnet Kimwolf infecta 2 millones de dispositivos Android — La botnet Kimwolf, una variante Android del malware Aisuru, ha crecido hasta superar los dos millones de servidores, la mayoría de ellos infectados al explotar las vulnerabilidades de las redes proxy residenciales para atacar dispositivos de redes internas. El rápido crecimiento de Kimwolf se debe en gran medida al abuso que hace de las redes proxy residenciales para llegar a dispositivos Android vulnerables. En concreto, el malware aprovecha los proveedores de proxy que permiten el acceso a las direcciones y los puertos de las redes locales, lo que permite la interacción directa con los dispositivos que se ejecutan en la misma red interna que el cliente proxy. A partir del 12 de noviembre de 2025, Synthient detectó un elevado nivel de actividad en los puertos 5555, 5858, 12108 y 3222 en busca de servicios de ADB no autenticados expuestos a través de terminales proxy. El Android Debug Bridge (ADB) es una interfaz de desarrollo y depuración que permite instalar y eliminar aplicaciones, ejecutar comandos de shell, transferir archivos y depurar dispositivos Android. Cuando se expone a través de una red, ADB puede permitir que conexiones remotas no autorizadas modifiquen o tomen el control de los dispositivos Android. Cuando se podía acceder a ellas, las cargas útiles de las botnets se enviaban a través de netcat o telnet, y enviaban los scripts de shell directamente al dispositivo expuesto para su ejecución local.
• Los piratas informáticos vinculados a China probablemente desarrollaron un exploit para tres fallas de VMware en 2024 — Se sospecha que los actores de amenazas de habla china utilizaron un dispositivo VPN SonicWall comprometido como vector de acceso inicial para implementar un exploit de VMware ESXi que podría haberse desarrollado más de un año antes de que se hicieran públicos un conjunto de tres defectos en los que se basaba. Se cree que el ataque explotó tres vulnerabilidades de VMware que Broadcom reveló como de día cero en marzo de 2025: CVE-2025-22224 (puntuación CVSS: 9,3), CVE-2025-22225 (puntuación CVSS: 8,2) y CVE-2025-22226 (puntuación CVSS: 7,1). La explotación satisfactoria del problema podría permitir a un actor malintencionado con privilegios de administrador perder memoria del proceso ejecutable de máquinas virtuales (VMX) o ejecutar código como el proceso VMX. Los atacantes inhabilitaron los propios controladores de VMware, cargaron módulos del núcleo sin firmar y llamaron a sus casas de maneras diseñadas para pasar desapercibidos. El conjunto de herramientas era compatible con una amplia gama de versiones de ESXi, que abarcaban más de 150 compilaciones, lo que habría permitido a los atacantes atacar una amplia gama de entornos. Huntress, que observó la actividad en diciembre de 2025, afirmó que no hay pruebas que sugieran que el conjunto de herramientas se promocionara o se vendiera en foros de la dark web, y añadió que se implementó de forma específica.
• El UAT-7290, vinculado a China, apunta a las telecomunicaciones con malware para Linux — Una campaña de ciberespionaje de larga duración dirigida a infraestructuras de telecomunicaciones de alto valor en el sur de Asia se ha atribuido a un sofisticado actor de amenazas rastreado como UAT-7290. El grupo de actividades, que lleva activo al menos desde 2022, se centra principalmente en el reconocimiento técnico exhaustivo de las organizaciones objetivo antes de iniciar los ataques, lo que, en última instancia, lleva al despliegue de familias de malware como RushDrop, DriveSwitch y SilentRaid. La campaña pone de relieve el enfoque sostenido que se presta a las redes de telecomunicaciones en el sur de Asia y subraya el valor estratégico de estos entornos para los actores de amenazas avanzadas.
• Dos extensiones maliciosas de Chrome detectaron la caza furtiva inmediata — Se descubrió que dos nuevas extensiones maliciosas de la Chrome Web Store, Chat GPT para Chrome con GPT-5, Claude Sonnet y DeepSeek AI, y AI Sidebar con DeepSeek, ChatGPT, Claude y más, filtraban las conversaciones de OpenAI ChatGPT y DeepSeek, además de navegar por los datos a servidores controlados por los atacantes. La técnica que utilizan las extensiones de navegador para capturar sigilosamente las conversaciones de la IA recibe el nombre en código Prompt Poaching. Desde entonces, Google ha eliminado las extensiones, que en conjunto se instalaron 900 000 veces.
• PHALT #BLYX apunta al sector hotelero en Europa — Una nueva campaña de malware en varias etapas dirigida a organizaciones hoteleras de Europa que utiliza técnicas de ingeniería social, como mensajes CAPTCHA falsos y errores simulados de pantalla azul de la muerte (BSoD) para engañar a los usuarios para que ejecuten manualmente código malicioso con el pretexto de hacer señuelos para cancelar reservas. La campaña, denominada PHALT #BLYX, representa una evolución con respecto a las técnicas anteriores, menos evasivas. Las versiones anteriores se basaban en los archivos de aplicación HTML y en mshta.exe. En cambio, la última versión, detectada a finales de diciembre de 2025, abusa de MSBuild.exe, una utilidad confiable de Microsoft, para compilar y ejecutar un archivo de proyecto malintencionado. Este enfoque basado en vivir de la tierra (LotL) permite al malware eludir muchos controles de seguridad de terminales y ofrecer una variante muy confusa de DCRat. Se considera que la actividad es obra de actores de amenazas de habla rusa. Los ataques aprovechan una táctica de ingeniería social denominada ClickFix, en la que se engaña a los usuarios para que ejecuten manualmente comandos aparentemente inofensivos que, de hecho, instalan malware. Su funcionamiento consiste en engañar a los usuarios para que tomen medidas para «solucionar» un problema inexistente, copiando y pegando de forma automática o manual un comando malintencionado en su terminal o cuadro de diálogo de ejecución.

‎️ 🔥 CVs de tendencia

Los hackers actúan rápido. Pueden detectar nuevos errores en cuestión de horas. La falta de una actualización puede provocar una violación grave. Estas son las fallas de seguridad más graves de esta semana. Revíselos, corrija primero lo que sea importante y manténgase protegido.

La lista de esta semana incluye: CVE-2026-21858 , CVE-2026-21877 , CVE-2025-68668 (n8n), CVE-2025-69258, CVE-2025-69259, CVE-2025-69260 (Trend Micro Apex Central), CVE-2026-20029 (Motor de servicios de identidad de Cisco), CVE-2025-66209, CVE-2025-66210, CVE-2025-66211, CVE-2025-66212, CVE-2025-66213, CVE-2025-64419, CVE-2025-64420, CVE-2025-64424, CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 (Coolificar), CVE-2025-59470 (Veeam Backup & Replication), CVE-2026-0625 (enrutadores de puerta de enlace DSL D-Link), CVE-2025-65606 (PARA VINCULAR EX200), CVE-2026-21440 (@adonisjs /bodyparser), CVE-2025-68428 (JS PDF), CVE-2025-69194 (GNU Wget2), CVE-2025-43530 (Apple macOS Tahoe), CVE-2025-54957 (Google Android), CVE-2025-14026 (Cliente DLP de Forcepoint One), CVE-2025-66398 (Servidor Signal K), CVE-2026-21483 (monje de la lista), CVE-2025-34468 (libcoap), CVE-2026-0628 (Google Chrome), CVE-2025-67859 (TLP de Linux), CVE-2025-9222, CVE-2025-13761, CVE-2025-13772 (GitLab CE/EE), CVE-2025-12543 (Undertow HTTP server core), CVE-2025-14598 (Herramienta de examen BEEs), CVE-2026-21876 (Conjunto de reglas básicas de OWASP), CVE-2026-22688 (Tencent Eknora), CVE-2025-61686 (@react -router/node, @remix -run/node y @remix -run/deno) y CVE-2025-54322 (Xspeeder SZOS).

📰 En todo el mundo cibernético

• India niega sus planes de exigir el código fuente de los teléfonos inteligentes — La Oficina de Información de Prensa (PIB) de la India ha refutado una informe de Reuters, que decía que el gobierno indio ha propuesto normas que exigen a los fabricantes de teléfonos inteligentes compartir el código fuente con el gobierno y realizar varios cambios en el software como parte de una serie de medidas de seguridad para combatir el fraude en línea y las violaciones de datos. Algunos de los requisitos clave mencionados en el informe incluido impedir que las aplicaciones accedan a cámaras, micrófonos o servicios de ubicación en segundo plano cuando los teléfonos están inactivos, mostrar periódicamente advertencias que instan a los usuarios a revisar todos los permisos de las aplicaciones, almacenar registros de auditoría de seguridad, incluidas las instalaciones de aplicaciones e intentos de inicio de sesión, durante 12 meses, analizar periódicamente en busca de malware e identificar aplicaciones potencialmente dañinas, hacer que todas las aplicaciones preinstaladas incluidas en el sistema operativo del teléfono, excepto las esenciales para las funciones básicas del teléfono, se puedan eliminar, notificar a una organización gubernamental antes de lanzar cualquier aplicación importante actualizaciones o parches de seguridad, que detectan si un dispositivo ha sido rooteado o con jailbreak y bloquean la instalación de versiones de software anteriores. El PIB dijo , «El Gobierno de la India NO ha propuesto ninguna medida para obligar a los fabricantes de teléfonos inteligentes a compartir su código fuente», y agregó: «El Ministerio de Electrónica y Tecnología de la Información ha iniciado el proceso de consultas con las partes interesadas para diseñar el marco regulatorio más apropiado para la seguridad móvil. Esto forma parte de las consultas periódicas y rutinarias con la industria sobre cualquier norma de seguridad y protección. Una vez que se lleva a cabo una consulta con las partes interesadas, se discuten con la industria varios aspectos de las normas de seguridad». También dijo no se ha elaborado ningún reglamento final, añadiendo que el gobierno ha estado colaborando con la industria para comprender mejor la carga técnica y de cumplimiento y las mejores prácticas internacionales, que adoptan los fabricantes de teléfonos inteligentes.
• Meta dice que no hubo ninguna violación de Instagram — Metafina dijo solucionó un problema que «permitía a una persona externa solicitar correos electrónicos de restablecimiento de contraseña para algunas personas». Dijo que no hay ninguna violación de su sistema y que las cuentas de los usuarios son seguras. El desarrollo se produce después del proveedor de software de seguridad Malwarebytes reclamado , «Los ciberdelincuentes robaron la información confidencial de 17,5 millones de cuentas de Instagram, incluidos nombres de usuario, direcciones físicas, números de teléfono, direcciones de correo electrónico y más». Estos datos están disponibles de forma gratuita en numerosos foros de hackers, y el póster afirma que se recopilaron a través de una filtración no confirmada de la API de Instagram en 2024. Sin embargo, la comunidad de ciberseguridad ha compartido pruebas que sugieren que los datos extraídos podrían haberse recopilado en 2022.
• 8,1 millones de sesiones de ataque relacionadas con React2Shell — La empresa de inteligencia de amenazas GreyNoise dijo registró más de 8,1 millones de sesiones de ataque desde la publicación inicial de React2Shell el mes pasado, y «los volúmenes diarios se estabilizaron en el rango de 300 000 a 400 000 tras alcanzar un máximo de más de 430 000 a finales de diciembre». En estos esfuerzos han participado hasta 8.163 direcciones IP de origen únicas distribuidas en 1071 ASN de 101 países. «La distribución geográfica y de red confirma la amplia adopción de este exploit en diversos ecosistemas de actores amenazadores», afirma. «La campaña ha generado más de 70 000 cargas útiles únicas, lo que indica que los atacantes siguen experimentando e iterando».
• El tifón de la sal está vinculado a nuevos hackeos en EE. UU. — Grupo de hackers chino Tifón salino presuntamente pirateó los sistemas de correo electrónico utilizados por el personal del Congreso en varios comités de la Cámara de Representantes de los Estados Unidos, según un informe de Financial Times. «La inteligencia china accedió a los sistemas de correo electrónico utilizados por algunos miembros del comité de la Cámara de Representantes sobre China, además de por ayudantes de la comisión de asuntos exteriores, la comisión de inteligencia y la comisión de las fuerzas armadas, según personas familiarizadas con el ataque», afirma. «Las intrusiones se detectaron en diciembre».
• Liberan a jugador de baloncesto ruso acusado de vínculos con ransomware en canje de prisioneros — Un jugador de baloncesto ruso acusado de estar involucrado en una banda de ransomware fue liberada en un intercambio de prisioneros entre Rusia y Francia. Daniil Kasatkin, de 26 años, tenía arrestado en julio de 2025, poco después de llegar a Francia con su novia. Se afirma que estuvo involucrado en un grupo de ransomware que supuestamente atacó a casi 900 entidades entre 2020 y 2022. Si bien no se reveló el nombre de la banda de ransomware, se cree que es el ya desaparecido grupo Conti. El abogado de Kasatkin dijo que no estaba involucrado en ataques de ransomware y afirmó que las acusaciones estaban relacionadas con una computadora de segunda mano que compró.
• La criptoactividad ilícita alcanza un récord de 158 mil millones de dólares en 2025 — La actividad ilícita de criptomonedas alcanzó un máximo histórico de 158 000 millones de dólares en 2025, casi un 145% más que en 2024, según TRM Labs. A pesar de este aumento, la actividad ha seguido disminuyendo como porcentaje de la actividad global de las criptomonedas, pasando del 1,3% en 2024 al 1,2% en 2025. «Las entradas a las entidades y jurisdicciones sancionadas aumentaron considerablemente en 2025, lideradas por los 72 000 millones de dólares recibidos por Símbolo A757 , seguidos de 39 000 millones de dólares adicionales enviados al «clúster de carteras A7», la empresa de inteligencia sobre cadenas de bloques dijo . «Este crecimiento estuvo muy concentrado: más del 80% del volumen vinculado a las sanciones estaba relacionado con entidades vinculadas a Rusia, incluidas Garantex, Grinex y A7». Se considera que la A7 funciona como un centro que conecta a actores vinculados a Rusia con contrapartes de redes vinculadas a China, el sudeste asiático e Irán. «El aumento del volumen ilícito no refleja una falta de cumplimiento de la ley, sino que refleja un ecosistema que está madurando y una mejor visibilidad», dijo Ari Redbord, director global de políticas de TRM Labs. «Las criptomonedas han pasado de ser una infraestructura financiera novedosa a una infraestructura financiera duradera, y los actores ilícitos —incluidos los actores geopolíticos— operan dentro de ellas de la misma manera que lo hacen con las finanzas tradicionales: de manera persistente, a gran escala y cada vez más expuestas». En un informe relacionado, Chainalysis dijo las direcciones de criptomonedas ilícitas recibieron al menos 154 000 millones de dólares en 2025, lo que representa un aumento del 162% interanual, y las redes chinas de lavado de dinero operadas por sindicatos delictivos detrás de las operaciones fraudulentas se han convertido en un actor destacado en el ecosistema ilícito en cadena.

• China refuerza la supervisión de la recopilación de datos personales en Internet — China ha emitido un proyecto de reglamento para la gobernanza de la recopilación de información personal de Internet y su uso, como parte de sus esfuerzos por salvaguardar los derechos de los usuarios y promover la transparencia. «La recopilación y el uso de información personal deberán seguir los principios de legalidad, legitimidad, necesidad e integridad, y no recopilarán ni utilizarán información personal mediante métodos engañosos, fraudulentos, coercitivos y de otro tipo», establece el proyecto publicado por la Administración del Ciberespacio de China (CAC) el 10 de enero de 2026, estado. «La recopilación y el uso de información personal deberán informar plenamente al sujeto sobre la recopilación y el uso de la información personal y obtener el consentimiento del sujeto de la información personal; la recopilación y el uso de información personal confidencial deberán obtener el consentimiento por separado del sujeto de la información personal». Además, los desarrolladores de aplicaciones son responsables de mantener la seguridad y el cumplimiento, y de garantizar que solo se acceda a los permisos de cámara y micrófono al tomar fotos o grabar vídeo o audio.
• Fallo de seguridad en Kiro GitLab Merge Request Helper — Se ha descubierto una vulnerabilidad de alta gravedad en el GitLab Merge Request Helper de Kiro (CVE-2026-0830, puntuación CVSS: 8,4) que podría provocar la inyección de comandos arbitrarios al abrir un espacio de trabajo creado con fines malintencionados en el IDE de la agencia. «Esto puede ocurrir si el espacio de trabajo tiene nombres de carpetas especialmente diseñados dentro del espacio de trabajo que contienen comandos inyectados», dijo Amazon dijo . El problema se solucionó en la versión 0.6.18. El investigador de seguridad Dhiraj Mishra, que denunció la falla en octubre de 2025, dijo Se puede abusar de la ejecución de comandos arbitrarios en la máquina del desarrollador aprovechando el hecho de que GitLab Merge Request Helper pasa las rutas del repositorio a un subproceso sin ponerlas entre comillas, lo que permite al atacante incorporar metacaracteres del shell y ejecutar comandos.
• Los ataques de suplantación de identidad aprovechan WeChat en las operaciones de fraude vinculadas a China — KnowBe4 afirma haber observado un aumento en el número de correos electrónicos de suplantación de identidad dirigidos a EE. UU. y EMEA que utilizan códigos QR para «añadir contactos» de WeChat, pasando de solo el 0,04% en 2024 al 5,1% en noviembre de 2025. «Si bien el volumen total sigue siendo relativamente bajo, esto representa un aumento del 3,475% en estas regiones», afirma dijo . «Además, el 61,7% de estos correos electrónicos de suplantación de identidad estaban escritos en inglés y otro 6,5% en idiomas distintos del chino o el inglés, lo que indica una diversificación creciente y específica». En estos esquemas de suplantación de identidad de gran volumen, los correos electrónicos centrados en temas relacionados con las oportunidades laborales instan a los destinatarios a escanear un código QR incorporado para añadir un representante de recursos humanos a WeChat. Los correos electrónicos se envían mediante un conjunto de herramientas de correo masivo que utiliza dominios falsificados y codificación Base64 para evadir los filtros de spam. Si una víctima cae en la trampa y la añade a WeChat, los actores de la amenaza establecen una buena relación con ella antes de llevar a cabo estafas por motivos económicos. «Estas transferencias de dinero se realizan a través de WeChat Pay, que ofrece un servicio de pago rápido que es difícil de rastrear y revertir», afirma KnowBe4. «La plataforma también proporciona un ecosistema en gran medida cerrado. Los detalles de identidad y los historiales de conversaciones existen en el entorno de Tencent, lo que puede ralentizar la investigación y la recuperación transfronterizas».
• La campaña de suplantación de identidad ofrece GuLoader — Una nueva campaña de suplantación de identidad disfrazada de informe sobre el desempeño de los empleados es en uso para entregar un cargador de malware llamado Cargador de GU , que luego implementa un troyano de acceso remoto conocido como Remcos ART . «Permite a los actores de amenazas realizar acciones maliciosas de control remoto, como registrar el teclado, capturar capturas de pantalla, controlar cámaras web y micrófonos, así como extraer el historial de navegación y las contraseñas del sistema instalado», afirma AhnLab. El desarrollo se produce como WebHard hacerse pasar por videojuegos para adultos ha sido empleado propagar Quasar RAT (también conocido como xRat) en ataques contra Corea del Sur.
• Vulnerabilidad crítica en zlib — Un fallo de seguridad crítico en la utilidad untgz de zlib ( CVE-2026-22184 , puntuación CVSS: 9.3) podría aprovecharse para lograr un desbordamiento del búfer, lo que provocaría una escritura fuera de los límites que podría provocar daños en la memoria, denegación de servicio y, potencialmente, la ejecución de código, según el compilador, la arquitectura, los indicadores de compilación y el diseño de la memoria. El problema afecta a las versiones de zlib hasta la 1.3.1.2, inclusive. «La función tgzfName () de la utilidad zlib untgz presenta una vulnerabilidad de desbordamiento de búfer global debido al uso de una llamada strcpy () ilimitada a partir de datos controlados por un atacante», explica el investigador Ronald Edgerson dijo . «La utilidad copia un nombre de archivo proporcionado por el usuario (argv [arg]) en un búfer global estático de tamaño fijo de 1024 bytes sin realizar ninguna validación de longitud. Si se proporciona un nombre de archivo de más de 1024 bytes, se produce una escritura fuera de los límites al final del búfer global, lo que provoca daños en la memoria».
• Se filtró la base de datos BreachForums — El sitio web «shinyhunte [.] rs», que lleva el nombre de la banda de extorsión ShinyHunters, se ha actualizado para filtrar una base de datos que contiene todos los registros de usuarios asociados con Foros de incumplimientos , que surgió en 2022 como sustituto de RaidForums, y desde entonces ha pasado por diferentes iteraciones. En abril de 2025, ShinyHunters cerró BreachForums, citando un supuesto vulnerabilidad de día cero en MyBB . Posteriormente, el actor de la amenaza también reclamado el sitio se había convertido en un pozo de miel. La base de datos incluye metadatos de 323.986 usuarios. «La base de datos podría adquirirse como resultado de una vulnerabilidad de una aplicación web en un CMS o por un posible error de configuración», dijo Resecurity dijo . «Este incidente demostró que las violaciones de datos son posibles no solo en las empresas legítimas, sino también en los recursos de los ciberdelincuentes que generan daños y operan en la web oscura, lo que puede tener un impacto positivo mucho mayor». Acompaña a la base de datos un extenso manifiesto escrito por «James», que nombra a varias personas y sus alias: Dorian Dalí (Kams), Ojeda Nahyl (N/A, Indra), Ali Aboussi, Rémy Benhacer, Nassim Benhaddou, Gabriel Bildstein y MANA (Mustapha Usman). Un análisis de los datos ha revelado que la mayoría de los actores fueron identificados como originarios de EE. UU., Alemania, los Países Bajos, Francia, Turquía y el Reino Unido, así como de Oriente Medio y el Norte de África, incluidos Marruecos, Jordania y Egipto. En una declaración publicada en el sitio web BreachForums («breachforums [.] bf»), su administrador actual, N/A, describió a James como un antiguo miembro de ShinyHunters que ha publicado una base de datos antigua. En otro mensaje compartido en «shinyhunte [.] rs» en diciembre de 2025, James fue descubierto como «francés» y «antiguo asociado que operaba en la sombra para organizar ataques de ransomware, en particular el que tenía como objetivo Salesforce sin la aprobación de los demás miembros».

🎥 Seminarios web sobre ciberseguridad

• Deje de adivinar su estrategia de SOC: aprenda qué crear, comprar o automatizar — Los equipos de SOC modernos están sobrecargados de herramientas, ruido y promesas que no se traducen en resultados, lo que dificulta saber qué crear, comprar o automatizar. En esta sesión, el director ejecutivo de AirMDR, Kumar Saurabh, y el director ejecutivo de SACR, Francis Odum, superaron el desorden con una visión práctica y neutral con respecto a los proveedores de los modelos operativos, la madurez y los marcos de decisión del mundo real de los SOC, lo que dejó a los equipos un camino claro y práctico para simplificar su oferta y hacer que su SOC funcione de manera más eficaz.
• Cómo los principales MSSP utilizan la IA para crecer en 2026: conozca su fórmula — Para 2026, los MSSP se sentirán presionados para hacer más con menos, y la IA se está convirtiendo en la ventaja que separa a quienes escalan de quienes se estancan. En esta sesión se explora cómo la automatización reduce el trabajo manual, mejora los márgenes y permite el crecimiento sin aumentar la plantilla. En esta sesión se analizan datos reales del fundador de Cynomi, David Primor, y del director de TI de Secure Cyber Defense, Chad Robinson, sobre cómo convertir la experiencia en servicios repetibles y de gran valor.

🔧 Herramientas de ciberseguridad

• Pro Kzee — Es una herramienta de escritorio multiplataforma para capturar, inspeccionar y modificar el tráfico HTTP/HTTPS. Creado con Go y React, es rápido, limpio y funciona en Windows, macOS y Linux. Incluye un fuzzer integrado, reproducción de solicitudes, compatibilidad con Interactsh para realizar pruebas fuera de banda y análisis asistidos por IA a través de ChatGPT. La compatibilidad total con Docker facilita la configuración y el desarrollo para los investigadores y desarrolladores de seguridad.
• Capitán de puerto — Es una herramienta de privacidad y firewall gratuita y de código abierto para Windows y Linux que muestra y controla todas las conexiones de red del sistema. Creada por Safing en Austria, bloquea los rastreadores, el malware y el tráfico no deseado a nivel de paquetes, enruta el DNS de forma segura a través de DOH/DOT y ofrece reglas por aplicación, filtros de privacidad y una red de privacidad Safing opcional con varios saltos, sin depender de nubes de terceros.
• STRIDE GPT — Es un marco de modelado de amenazas de código abierto basado en inteligencia artificial que automatiza el método STRIDE para identificar los riesgos y las rutas de ataque en los sistemas modernos. Es compatible con aplicaciones basadas en agentes y GenAI, se alinea con las 10 mejores marcas de LLM y Agentic de OWASP, detecta arquitecturas RAG y multiagente y produce árboles de ataque claros con directrices de mitigación, lo que conecta el modelado de amenazas tradicional con los riesgos de seguridad de la era de la IA.

Descargo de responsabilidad: Estas herramientas son solo para aprender e investigar. Su seguridad no se ha sometido a pruebas exhaustivas. Si se usan de manera incorrecta, pueden causar daño. Compruebe primero el código, pruébelo solo en lugares seguros y siga todas las normas y leyes.

Conclusión

En conjunto, estas actualizaciones muestran la rapidez con la que los sistemas conocidos se vuelven riesgosos cuando no se cuestiona la confianza. La mayor parte del daño no comenzó con ingeniosas hazañas. Comenzó con herramientas comunes que hacían silenciosamente más de lo que nadie esperaba.

Rara vez se necesita un fracaso dramático. Un parche perdido. Un servicio expuesto. Un clic rutinario que se escapa. Multiplique esos pequeños errores y el impacto se extenderá más rápido de lo que los equipos pueden contenerlo.

La lección es sencilla. Las amenazas actuales surgen de las operaciones normales y avanzan a gran velocidad y escala. La ventaja proviene de detectar dónde se acumula esa tensión antes de que se rompa.