⚡ Resumen semanal: Fortinet Exploits, RedLine C...

En ciberseguridad, la línea entre una actualización normal y un incidente grave es cada vez más delgada. Los sistemas que antes se sentían confiables ahora están bajo la presión de los cambios constantes. Las nuevas herramientas de inteligencia artificial, los dispositivos conectados y los sistemas automatizados crean silenciosamente más formas de entrar, a menudo más rápido de lo que pueden reaccionar los equipos de seguridad. Las historias de esta semana muestran con qué facilidad un pequeño error o un servicio oculto puede convertirse en un verdadero robo.

Detrás de los titulares, el patrón es claro. La automatización se está utilizando contra las personas que la construyeron. Los atacantes reutilizan los sistemas existentes en lugar de construir otros nuevos. Se mueven más rápido de lo que la mayoría de las organizaciones pueden corregir o responder. Los ataques se centran menos en la velocidad y más en mantenerse ocultos y bajo control, y van desde los fallos de código silenciosos hasta el malware que cambia mientras se ejecuta.

Si está protegiendo cualquier elemento conectado (herramientas para desarrolladores, sistemas en la nube o redes internas), esta edición muestra hacia dónde van los ataques a continuación, no hacia dónde solían estar.

⚡ Amenaza de la semana

La falla crítica de Fortinet es atacada — Una falla de seguridad crítica en Fortinet FortiSiem ha sido explotada activamente en estado salvaje. La vulnerabilidad, catalogada como CVE-2025-64155 (puntuación CVSS: 9,4), permite a un atacante no autenticado ejecutar códigos o comandos no autorizados a través de solicitudes TCP elaboradas. En un análisis técnico, Horizon3.ai describió el problema diciendo que constaba de dos problemas: una vulnerabilidad de inyección de argumentos no autenticados que permitía la escritura arbitraria de archivos, lo que permitía la ejecución remota de código como usuario administrador, y una vulnerabilidad de escalamiento de privilegios de sobrescritura de archivos que provocaba el acceso como root y el dispositivo se comprometía por completo. La vulnerabilidad afecta al servicio phMonitor, un componente interno de FortiSIEM que se ejecuta con privilegios elevados y desempeña un papel fundamental en el estado y la supervisión del sistema. Como el servicio está profundamente integrado en el flujo de trabajo operativo de FortiSIEM, una explotación exitosa otorga a los atacantes el control total del dispositivo.

Cuando su director ejecutivo llame, ¿sabrá que es real?

Los ataques de suplantación de identidad actuales incluyen voces de IA, vídeos y deepfakes de ejecutivos. Adaptive Security es la primera plataforma de concienciación sobre seguridad creada para detener la ingeniería social impulsada por la IA. Adaptive protege a tu equipo con capacitaciones personalizadas y simulaciones falsas en las que participan tus propios ejecutivos.

• Obtenga una demostración y charle con un deepfake interactivo de su CEO
• Recorre la plataforma

Reserve una demostración ➝

🔔 Noticias principales

• El malware VoidLink Linux permite el acceso a largo plazo — Un nuevo marco de malware Linux nativo de la nube llamado VoidLink se centra en los entornos de nube y proporciona a los atacantes una amplia variedad de cargadores, implantes, rootkits y complementos personalizados que están diseñados para aumentar el sigilo y el reconocimiento, la escalada de privilegios y el movimiento lateral dentro de una red comprometida. El marco rico en funciones está diseñado para el acceso, la vigilancia y la recopilación de datos a largo plazo, en lugar de interrupciones a corto plazo, lo que permite al operador controlar los agentes, los implantes y los complementos a través de un panel de control basado en la web y localizado para usuarios chinos. La clave de la arquitectura del malware es «automatizar la evasión en la medida de lo posible» mediante la creación de perfiles de un entorno Linux y la elección inteligente de la mejor estrategia para operar sin ser detectado. De hecho, cuando se detectan señales de manipulación o se analizan los programas maliciosos en una máquina infectada, esta puede borrarse automáticamente e invocar módulos antiforenses diseñados para eliminar cualquier rastro de su actividad. Está equipado con un conjunto de funciones «inusualmente amplio», que incluye funciones similares a las de los rootkits, un sistema de complementos en memoria para ampliar la funcionalidad y la posibilidad de ajustar la evasión en tiempo de ejecución en función de los productos de seguridad que detecte. VoidLink se inspira en Cobalt Strike, un marco de simulación de adversarios que los atacantes han adoptado y utilizado ampliamente a lo largo de los años. Se cree que es obra de desarrolladores chinos. «En conjunto, estos complementos se suman a una implementación básica ya sofisticada, lo que enriquece las capacidades de VoidLink, que van más allá de los entornos de nube y pasan a ser estaciones de trabajo para desarrolladores y administradores que interactúan directamente con esos entornos de nube, convirtiendo cualquier máquina comprometida en una plataforma de lanzamiento flexible para un acceso más profundo o comprometer la cadena de suministro», afirma Check Point. «Su diseño refleja un nivel de planificación e inversión que normalmente se asocia a los actores de amenazas profesionales, más que a los atacantes oportunistas». Sin embargo, su uso previsto sigue sin estar claro y no se ha observado ninguna evidencia de infecciones reales, lo que respalda la suposición de que el malware modular se creó «como una oferta de productos o como un marco desarrollado para un cliente».
• Microsoft interrumpe el servicio criminal de RedVDS — Un servicio de suscripción para ciberdelincuentes responsable de campañas de fraude que causan pérdidas millonarias ha sido interrumpido en una acción coordinada de Microsoft con socios legales en EE. UU. y, por primera vez, en el Reino Unido. Los fabricantes de Windows dijeron que se habían apoderado del sitio web y la infraestructura de ReDVDS, una plataforma que alojaba herramientas de ciberdelincuencia como servicio para campañas de suplantación de identidad y fraude, que costaban a los usuarios tan solo 24 dólares al mes. Se sabe que el servicio de suscripción ha costado a las víctimas solo en EE. UU. más de 40 millones de dólares desde marzo de 2025. En total, Microsoft ha identificado a casi 190 000 organizaciones de todo el mundo que fueron víctimas de las campañas respaldadas por ReDVDS. En un mes, la empresa observó que aproximadamente 2600 máquinas virtuales de RedVDS enviaban diariamente una media de 1 millón de mensajes de suplantación de identidad a clientes de Microsoft. RedVDS proporcionó a los ciberdelincuentes acceso a ordenadores virtuales baratos, eficaces y desechables que ejecutaban software sin licencia, incluido Windows, lo que les permitía llevar a cabo ataques de suplantación de identidad y estrategias para comprometer el correo electrónico empresarial (BEC). También se dice que el servicio contribuyó a la propagación de las estafas de desvío de pagos inmobiliarios, que afectaron a más de 9000 clientes, principalmente en Canadá y Australia. RedVDS no poseía centros de datos físicos, sino que alquilaba servidores a proveedores de alojamiento externos en EE. UU., Canadá, el Reino Unido, Francia y los Países Bajos. «Una vez aprovisionados, estos servidores de Windows clonados proporcionaron a los actores una plataforma lista para investigar los objetivos, montar una infraestructura de suplantación de identidad, robar credenciales, secuestrar buzones de correo y ejecutar fraudes financieros basados en la suplantación de identidad con la mínima fricción», afirma Microsoft. «Los responsables de las amenazas se beneficiaron del acceso administrativo sin restricciones de RedVDS y de su escaso registro, lo que les permitió operar sin una supervisión significativa. La naturaleza uniforme y desechable de los servidores de ReDVDS permitió a los ciberdelincuentes repetir rápidamente sus campañas, automatizar la entrega a gran escala y pasar rápidamente del ataque inicial al robo financiero».
• Más de 550 nodos Kimwolf Botnet C2 con enrutamiento nulo — Black Lotus Labs de Lumen Technologies ha bloqueado más de 550 nodos de comando y control (C2) vinculados a los servidores de Aisuru y Kimwolf desde octubre de 2025, a medida que las botnets llamaban la atención por su papel en la organización de ataques hipervolumétricos de denegación de servicio distribuido (DDoS). Kimwolf, que se dice que se dirige principalmente a televisores Android no autorizados, se ha popularizado como la pólvora y ha agrupado más de 2 millones de dispositivos en su red de bots. El desmantelamiento de RapperBot y la detención de su presunto líder en agosto de 2025 fueron un factor clave en el ascenso de Aisuru y Kimwolf. Una investigación reciente de QianXin xLab y Synthient reveló cómo los operadores de la botnet han aprovechado los servicios de proxy para ampliar su alcance. En otro informe, Infoblox afirma que casi el 25% de sus clientes de la nube han realizado consultas a un dominio de Kimwolf desde el 1 de octubre de 2025. «La conclusión principal es que estos proxies residenciales están literalmente en todas partes», dijo Chris Formosa, ingeniero jefe sénior de seguridad de la información de Black Lotus Labs de Lumen Technologies, a The Hacker News. «Como en todas partes y en la mayoría de las organizaciones que se pueda imaginar. Dado que sabemos que los actores se aprovechaban de ello, la historia es sobre todo la historia de muchas redes que uno podría pensar que son seguras, pero que tienen dispositivos que utilizan proxies residenciales, lo que puede ofrecer a los atacantes la oportunidad de hacerse un hueco inicial, evitando la gran mayoría de los dispositivos que probablemente tenga instalados».
• El ataque Reprompt apunta a Microsoft Copilot — Los investigadores de seguridad descubrieron un nuevo ataque llamado Reprompt que les permitía filtrar los datos de los usuarios de Microsoft Copilot una vez que la víctima hacía clic en un enlace diseñado específicamente que apuntaba al chatbot de inteligencia artificial (IA). El ataque elude las protecciones contra la filtración de datos y permite la infiltración persistente de la sesión incluso después de cerrar la sesión de Copilot. El ataque aprovecha una combinación de la inyección de mensajes con parámetros 2 (P2P) (es decir, el aprovechamiento del parámetro «q»), una técnica de doble solicitud y una técnica de solicitud en cadena para obtener una primitiva de exfiltración de datos. «Las herramientas de monitoreo del lado del cliente no detectan estas solicitudes maliciosas, ya que las verdaderas filtraciones de datos se producen de forma dinámica durante la comunicación recíproca, y no a partir de algo evidente en la solicitud que envía el usuario», afirma Varonis. El ataque no afecta a los clientes empresariales que utilizan Microsoft 365 Copilot. Desde entonces, Microsoft ha abordado el problema.
• La mala configuración de AWS CodeBuild crea riesgos en la cadena de suministro — Una mala configuración crítica en CodeBuild de Amazon Web Services (AWS) podría haber permitido la adquisición total de los repositorios de GitHub del proveedor de servicios en la nube, incluido su SDK de JavaScript de AWS, poniendo en riesgo todos los entornos de AWS. AWS corrigió la vulnerabilidad, cuyo nombre en código es CodeBreach, en septiembre de 2025. «Al aprovechar CodeBreach, los atacantes podrían haber inyectado código malintencionado para poner en peligro toda la plataforma, lo que podría afectar no solo a las innumerables aplicaciones que dependen del SDK, sino también a la propia consola, lo que pondría en peligro todas las cuentas de AWS», afirma Wiz.

‎️ 🔥 CVs de tendencia

Los hackers actúan rápido. Pueden detectar nuevos errores en cuestión de horas. La falta de una actualización puede provocar una violación grave. Estas son las fallas de seguridad más graves de esta semana. Revíselos, corrija primero lo que sea importante y manténgase protegido.

La lista de esta semana incluye: CVE-2025-20393 (Software Cisco AsyncOS), CVE-2026-23550 (complemento DS modular), CVE-2026-0227 (PALO ALTO NETWORKS PAN-OS), CVE-2025-64155 (Fortinet FortiSiem), CVE-2026-20805 (Administrador de ventanas de escritorio de Microsoft Windows), CVE-2025-12420 (ServiceNow), CVE-2025-55131, CVE-2025-55131, CVE-2025-59466, CVE-2025-59465 (Node.js), CVE-2025-68493 (Apache Struts 2), CVE-2026-22610 (Compilador de plantillas angulares), CVE-2025-66176, CVE-2025-66177 (Hikvision), CVE-2026-0501, CVE-2026-0500, CVE-2026-0498, CVE-2026-0491 (SAVIA), CVE-2026-21859, CVE-2026-22689 (Mailpit), CVE-2026-22601, CVE-2026-22602, CVE-2026-22603, CVE-2026-22604 (Proyecto abierto), CVE-2026-23478 (Cal.com), CVE-2025-14364 (complemento Demo Importer Plus), CVE-2025-14502 (Paquete de diseño de noticias y blogs), CVE-2025-14301 (Integración de Opvius AI para el complemento WooCommerce), CVE-2025-52493 (PagerDuty Runbook), CVE-2025-55315 (servidor ASP.NET Core Kestrel), CVE-2026-20965 (Centro de administración de Microsoft Windows) y CVE-2025-14894 (Gestor de archivos Livewire).

📰 En todo el mundo cibernético

• Fallo sin corregir en Livewire Filemanager — Se descubrió una falla de seguridad sin corregir en Livewire Filemanager, un componente de administración de archivos para sitios web basados en Laravel que permite cargar archivos. La vulnerabilidad (CVE-2025-14894, puntuación CVSS: 7,5) puede permitir a los atacantes subir archivos PHP malintencionados a un servidor remoto y provocar su ejecución. «Cuando un usuario sube un archivo PHP a la aplicación, puede acceder a él y ejecutarlo visitando el directorio de alojamiento de archivos accesible desde la web», el Centro de Coordinación del CERT (CERT/CC) dijo . «Esto permite a un atacante crear un archivo PHP malintencionado, subirlo a la aplicación y, a continuación, forzar a la aplicación a ejecutarlo, lo que permite la ejecución de código arbitrario no autenticado en el dispositivo host».
• Se han descubierto más extensiones de GhostPoster — Capa X dijo encontró un nuevo grupo de 17 extensiones relacionadas con Póster Ghost afectando a Google Chrome y Microsoft Edge. Las nuevas extensiones, que están diseñadas para secuestrar enlaces de afiliados, inyectar código de seguimiento y cometer fraudes publicitarios y de clics, tienen una base de instalación colectiva de más de 840 000 usuarios, y algunas de ellas se remontan a 2020. GhostPoster, publicado por primera vez el mes pasado, forma parte de una campaña más amplia emprendida por un actor de amenazas chino denominado Espectro oscuro . Los nuevos hallazgos muestran que GhostPoster se originó por primera vez en Microsoft Edge en febrero de 2020 y luego se expandió a Firefox y Chrome.

• RedlineCyber distribuye malware para secuestrar portapapeles — Se ha observado que un actor de amenazas llamado RedLineCyber aprovecha la notoriedad del conocido ladrón de información RedLine para distribuir un ejecutable llamado "Pro.exe" (o "peeek.exe «). Se trata de un troyano de secuestro de portapapeles basado en Python que está diseñado para robar criptomonedas, ya que monitoriza continuamente el portapapeles de Windows en busca de direcciones de monederos de criptomonedas y las sustituye por una dirección de monedero bajo su control para facilitar el robo de criptomonedas. «El actor de amenazas explota las relaciones de confianza dentro de las comunidades de Discord centradas en los juegos, los juegos de azar y el streaming de criptomonedas», dijo CloudSEK dijo . «La distribución se produce mediante ingeniería social directa, en la que el actor cultiva relaciones con las posibles víctimas, en particular con personas influyentes y streamers de criptomonedas, durante períodos prolongados antes de introducir la carga maliciosa como una 'herramienta de seguridad' o una 'utilidad de transmisión'».
• Los documentos de envío falsos entregan Remcos RAT — Una nueva campaña de suplantación de identidad utiliza señuelos con temática de envíos para engañar a los destinatarios para que abran un documento malintencionado de Microsoft Word que, a su vez, desencadena una vulnerabilidad relacionada con un fallo de seguridad de hace años en Microsoft Office ( CVE-2017-11882 ) para distribuir una nueva variante de Remcos ART que se ejecuta directamente en la memoria, Fortinet dijo . La explotación satisfactoria de la vulnerabilidad desencadena la descarga de un script de Visual Basic, que ejecuta código PowerShell en código Base64 para descargar e iniciar un módulo de carga de DLL de.NET responsable de iniciar la RAT, además de configurar la persistencia mediante tareas programadas. Remcos RAT (versión 7.0.4 Pro), un malware listo para usar, ofrece capacidades integrales de recopilación de datos, que incluyen la administración del sistema, la vigilancia, las redes, la comunicación y el control de agentes.
• Google lanza Rainbow Tables para acelerar la desaparición de NET-NTLMv1 — La división de inteligencia de amenazas Mandiant de Google publicó un conjunto de datos completo de NET-NTLMv1 mesas arcoíris para hacer hincapié en la necesidad de abandonar urgentemente el anticuado protocolo. Si bien Microsoft anunció previamente sus planes de desaprobar NTLM A favor de Kerberos, Google dijo que continúa identificando el uso de NET-NTLMv1 en entornos activos, lo que deja a las organizaciones vulnerables al robo trivial de credenciales. «Si bien las herramientas para aprovechar este protocolo existen desde hace años, a menudo requerían subir datos confidenciales a servicios de terceros o hardware caro para utilizar claves de fuerza bruta», explica Google dijo . «La publicación de este conjunto de datos permite a los defensores e investigadores recuperar las claves en menos de 12 horas utilizando hardware de consumo que cuesta menos de 600 dólares».
• Ex marinero de la Marina de los Estados Unidos sentenciado a 200 meses por espiar para China — Jinchao Wei (también conocido como Patrick Wei), de 25 años, exmarinero de la Marina de los Estados Unidos, fue sentenciado en los Estados Unidos a 200 meses de prisión por vender secretos a China al abusar de su autorización de seguridad y acceso a información confidencial de defensa nacional sobre el buque de asalto anfibio USS Essex. Wei fue declarado culpable de espionaje en agosto de 2025 tras su detención en agosto de 2023. «Al compartir con un oficial de inteligencia chino miles de documentos, manuales de operaciones e información confidencial y controlada por las exportaciones, el suboficial Wei traicionó a sabiendas a sus compañeros de servicio y al pueblo estadounidense», dijo Omar López, director del NCIS. Wei fue reclutado por un oficial de inteligencia chino en febrero de 2022 y envió fotografías y vídeos del Essex a través de una aplicación de mensajería cifrada, e informó al oficial sobre la ubicación de varios barcos de la Armada. También describió las armas defensivas del Essex, envió miles de páginas de información técnica y operativa sobre los buques de la Armada de los Estados Unidos para la guerra de superficie y vendió aproximadamente 60 manuales técnicos y operativos sobre los buques de la Armada de los Estados Unidos. A cambio, Wei recibió más de 12 000 dólares en 18 meses. Tras su arresto, Wei admitió ante el Buró Federal de Investigaciones (FBI) que lo que había hecho constituía espionaje y que «estoy arruinado».
• Australia advierte a las empresas nacionales sobre los riesgos de seguridad de la IA — La Dirección de Señales de Australia (ASD) ha advertido a las empresas locales que no suban los datos y archivos de los clientes a los chatbots de IA o a las plataformas GenAI sin la adecuada anonimización. «Algunos proveedores de inteligencia artificial pueden usar los datos enviados por los clientes para entrenar o perfeccionar sus modelos. Esto puede depender de los ajustes de configuración o del tipo de suscripción», ASD dijo . «Como resultado, la información ingresada en estas plataformas podría reutilizarse o divulgarse en contextos inesperados más adelante». También advirtió de que los sistemas de inteligencia artificial son susceptibles a sufrir alucinaciones y pueden ser engañados por ciberactores malintencionados mediante inyecciones rápidas, es decir, entradas maliciosas disfrazadas de solicitudes legítimas diseñadas para confundir o engañar a la IA para que dé respuestas delicadas, incorrectas o inseguras. Además, ASD advirtió sobre los posibles riesgos para la cadena de suministro derivados de la integración de la IA, e hizo hincapié en la necesidad de un despliegue seguro de los chatbots basados en la IA.
• Un ciudadano jordano se declara culpable de vender Access — Un ciudadano jordano se declaró culpable en EE. UU. acusado de vender el acceso a las redes de al menos 50 empresas a través de un foro sobre ciberdelincuentes. Feras Khalil Ahmad Albashiti (también conocido como r1z, Feras Bashiti y Firas Bashiti), de 40 años, se enfrenta a una pena máxima de 10 años de prisión tras ser acusado de fraude y actividades relacionadas con las credenciales de acceso. Albashiti fue arrestado en julio de 2024. Su sentencia se dictará en mayo de 2026. El FBI, que se puso en contacto con el acusado en septiembre de 2026 de manera encubierta, afirmó que había podido rastrear la cuenta «r1z» del foro sobre ciberdelincuencia hasta Albashiti porque estaba registrada en 2018 con la misma dirección de Gmail que se utilizó para solicitar un visado estadounidense en octubre de 2016. Según un informe de SentinelOne, la cuenta «r1z» comercializado un servicio de detección y elusión de malware llamado EDR Killer en foros clandestinos. La cuenta era previamente identificado como acceso publicitario a 50 servidores vulnerables de Confluence adquiridos al explotar la vulnerabilidad crítica de RCE no autenticada de Confluence, rastreada como CVE-26134 y que afirmaban estar en posesión de una lista de más de 10 000 servidores de Confluence vulnerables. Se incluyeron otras herramientas versiones ilícitas de Cobalt Strike , hazañas privadas para vulnerabilidades de escalamiento de privilegios locales (LPE) en diferentes servicios, acceso a 30 servidores VPN de SonicWall y 50 servidores Microsoft Exchange con un exploit en funcionamiento, así como a un servicio que compra credenciales de inicio de sesión de VPN y RDP comprometidas a otros delincuentes en el foro de XSS. Se dice que R1z ha estado activo en XSS desde 2019.
• Google acuerda pagar 8,25 millones de dólares para resolver las violaciones de la privacidad de los niños — Google acordó pagar 8,25 millones de dólares para resolver una demanda colectiva que alegaba que la empresa recopiló ilegalmente datos de dispositivos pertenecientes a niños menores de 13 años, The Record reportó . El caso fue presentado hace más de dos años por los padres de seis menores que supuestamente descargaron aplicaciones y juegos de la Play Store dirigidos a niños, como Fun Kid Racing, GummyBear y Friends Speed Racing. Según la demanda, las aplicaciones venían acompañadas del kit de desarrollo de software AdMob de Google, que recopilaba datos de niños a gran escala, infringiendo la Ley de Protección de la Privacidad Infantil en Internet (COPPA).
• Keylogger ataca a un banco estadounidense — Sansec identificados un registrador de teclas en la tienda de productos para empleados de un importante banco estadounidense. Los 200 000 empleados del banco utilizan la tienda para pedir artículos de la marca de la empresa. «El malware intercepta todo lo que se escribe en los formularios del sitio: credenciales de inicio de sesión, números de tarjetas de pago e información personal», afirma la empresa holandesa. «Los datos robados se filtran mediante balizas con imágenes, una técnica habitual que elude muchos controles de seguridad». Desde entonces, el malware se ha eliminado del sitio. La actividad se evalúa como compartir superposiciones con una violación en octubre de 2024 de la Pro Shop de los Green Bay Packers, alegando similitudes en los patrones de infraestructura.
• Los piratas de nómina redirigen los cheques de pago a las cuentas bajo su control — En un nuevo ataque de ingeniería social dirigido a una organización anónima, los actores de la amenaza detrás Piratas de nómina contactaron a través de una llamada telefónica, haciéndose pasar por empleados para manipular varios servicios de asistencia y restablecer correctamente las contraseñas y volver a inscribir dispositivos de autenticación multifactor (MFA). También se ha observado que el autor de la amenaza intentaba establecer la persistencia registrando una dirección de correo electrónico externa como método de autenticación para una cuenta de servicio en el entorno Azure AD del cliente. «Una vez autenticado en el sistema de nóminas, el atacante actuó rápidamente», dijo la unidad 42 de Palo Alto Networks dijo . «En total, comprometieron varias cuentas de empleados, y cada una de ellas permitía el acceso a información confidencial sobre la nómina. A continuación, el atacante procedió a modificar los detalles de depósito directo de varias personas, redirigiendo sus cheques de pago a cuentas bancarias que estaban bajo el control del atacante. Como las credenciales eran válidas y la MFA parecía legítima, la actividad se mezcló con las operaciones normales. El incidente se descubrió solo cuando los empleados denunciaron la falta de sus cheques de pago».
• Un nuevo ataque utiliza la carga lateral de DLL para distribuir el malware PDFSIDER — Un actor de amenazas desconocido está aprovechando Carga lateral de DLL para implementar PDFSIDER, una puerta trasera con capacidades de cifrado C2, mediante un ejecutable legítimo asociado a PDF24 Creator (» pdf24.exe «). El malware funciona principalmente en la memoria, lo que minimiza los artefactos del disco. «PDFSIDER combina los comportamientos tradicionales de ciberespionaje con las modernas funciones de comando remoto, lo que permite a los operadores recopilar información del sistema y ejecutar comandos de shell de forma remota y encubierta», Resecurity dijo . «El malware utiliza un cryptbase.dll falso para eludir los mecanismos de detección de terminales. Una vez cargado, el malware proporciona a los atacantes una consola de comandos oculta e interactiva y puede filtrar los resultados de los comandos a través de su canal cifrado». El malware se envía a través de correos electrónicos de suplantación de identidad automática que guían a las víctimas hasta un archivo ZIP adjunto al mensaje.

🎥 Seminarios web sobre ciberseguridad

• Cómo los principales MSSP utilizan la IA para crecer en 2026: conozca su fórmula — Para 2026, los MSSP se sentirán presionados para hacer más con menos, y la IA se está convirtiendo en la ventaja que separa a quienes escalan de quienes se estancan. En esta sesión se explora cómo la automatización reduce el trabajo manual, mejora los márgenes y permite el crecimiento sin aumentar la plantilla. En esta sesión se analizan datos reales del fundador de Cynomi, David Primor, y del director de TI de Secure Cyber Defense, Chad Robinson, sobre cómo convertir la experiencia en servicios repetibles y de gran valor.
• Deje de adivinar su estrategia de SOC: aprenda qué crear, comprar o automatizar — Los equipos de SOC modernos están sobrecargados de herramientas, ruido y promesas que no se traducen en resultados, lo que dificulta saber qué crear, comprar o automatizar. En esta sesión, el director ejecutivo de AirMDR, Kumar Saurabh, y el director ejecutivo de SACR, Francis Odum, superaron el desorden con una visión práctica y neutral con respecto a los proveedores de los modelos operativos, la madurez y los marcos de decisión del mundo real de los SOC, lo que dejó a los equipos un camino claro y práctico para simplificar su oferta y hacer que su SOC funcione de manera más eficaz.

🔧 Herramientas de ciberseguridad

• Inspector de aura — Es una herramienta de código abierto para auditar la seguridad de Salesforce Experience Cloud. Ayuda a detectar errores de configuración que podrían exponer los datos o las funciones administrativas al comprobar los registros accesibles, las opciones de registro automático y las «URL principales» ocultas. La herramienta automatiza gran parte de las pruebas, incluida la detección de objetos mediante los métodos de GraphQL, y funciona tanto en contextos autenticados como invitados. Se trata de una utilidad de investigación, no de un producto oficial de Google, diseñada para que las pruebas de seguridad de Salesforce Aura sean más rápidas y fiables.
• Maltrail — Es una herramienta de código abierto para detectar tráfico de red malintencionado. Compara la actividad de la red con las listas negras conocidas de dominios, IP, URL y agentes de usuario sospechosos vinculados al malware o a los ataques, y también puede detectar nuevas amenazas mediante la heurística. El sistema utiliza sensores para supervisar el tráfico y un servidor central para registrar y mostrar los eventos a través de una interfaz web, lo que ayuda a identificar los anfitriones infectados o la actividad anormal en tiempo real.

Descargo de responsabilidad: Estas herramientas son solo para aprender e investigar. Su seguridad no se ha sometido a pruebas exhaustivas. Si se usan de manera incorrecta, pueden causar daño. Compruebe primero el código, pruébelo solo en lugares seguros y siga todas las normas y leyes.

Conclusión

El mensaje es claro. Las amenazas actuales no son solo robos aislados. Provienen de puntos débiles conectados, donde un servicio expuesto o una herramienta mal utilizada pueden afectar a todo el sistema. Los atacantes no consideran que las plataformas en la nube, las herramientas de inteligencia artificial y el software empresarial sean independientes. Ven un espacio compartido. Los defensores deben pensar de la misma manera: tratar cada parte de su entorno como algo conectado y digno de ser vigilado todo el tiempo, no solo después de que algo vaya mal.

Lo que pasó esta semana no es inusual. Es una advertencia. Todas las actualizaciones, ajustes y reglas de acceso son importantes, porque es probable que el próximo ataque comience desde algo que ya está dentro. Este resumen muestra cómo las brechas pequeñas se convirtieron en grandes oportunidades y qué se está haciendo para cerrarlas antes de que comience la siguiente ronda.