⚡ Resumen semanal: fallas en el firewall, malwa...

Los fallos de seguridad rara vez llegan en voz alta. Se introducen a través de herramientas confiables, problemas a medias y hábitos que la gente deja de cuestionar. El resumen de esta semana muestra claramente ese patrón.

Los atacantes se mueven más rápido que las defensas, mezclando viejos trucos con nuevos caminos. «Parcheado» ya no significa seguro y, cada día, el software se convierte en el punto de entrada.

Lo que sigue es un conjunto de señales pequeñas pero reveladoras. Actualizaciones breves que, en conjunto, muestran la rapidez con la que cambia el riesgo y por qué no se pueden ignorar los detalles.

⚡ Amenaza de la semana

Se vuelve a explotar una falla mal parcheada en los firewalls de Fortinet — Fortinet confirmó que está trabajando para eliminar por completo una vulnerabilidad de elusión de autenticación SSO de FortiCloud tras recibir informes de nuevas actividades de explotación en firewalls completamente parcheados. «Hemos identificado varios casos en los que el ataque se produjo en un dispositivo que estaba completamente actualizado a la última versión en el momento del ataque, lo que sugería una nueva vía de ataque», afirma la empresa. Se ha descubierto que la actividad aprovecha un parche incompleto para el CVE-2025-59718 y el CVE-2025-59719, que podría permitir la omisión no autenticada de la autenticación de inicio de sesión único mediante mensajes SAML diseñados si la función SSO de FortiCloud está habilitada en los dispositivos afectados. En ausencia de una solución, se recomienda a los usuarios restringir el acceso administrativo de los dispositivos de red perimetral y desactivar los inicios de sesión de SSO de FortiCloud deshabilitando la configuración «admin-forticloud-sso-login».

Cuando su director ejecutivo llame, ¿sabrá que es real?

Keeper Security cuenta oficialmente con la máxima autorización de FedRAMP y cumple con los más altos estándares de ciberseguridad federal. Impulsado por una arquitectura de confianza cero y un cifrado sin conocimiento, KeeperPAM está diseñado para proteger los datos y la infraestructura de misión crítica. Reserva una demostración para ver KeeperPam en acción.

Más información ➝

🔔 Noticias principales

• TikTok forma una nueva entidad estadounidense para evitar la prohibición federal — TikTok anunció oficialmente la formación de una empresa conjunta que permitirá que la popular aplicación para compartir vídeos siga funcionando en los EE. UU. La nueva empresa, llamada TikTok USDS Joint Venture LLC, se estableció de conformidad con la orden ejecutiva firmada por el presidente de los Estados Unidos, Donald Trump, en septiembre de 2025, según la plataforma. El nuevo acuerdo hará que la empresa matriz china de TikTok, ByteDance, venda la mayor parte de su participación a un grupo de inversores mayoritariamente estadounidenses, mientras que conservará una participación del 19,9% en el negocio. El gobierno chino no se ha pronunciado públicamente sobre el acuerdo. El acuerdo pone fin a años de incertidumbre regulatoria que comenzaron en agosto de 2020, cuando el presidente Trump anunció planes para prohibir la aplicación por motivos de seguridad nacional.
• VoidLink generado casi en su totalidad con IA — VoidLink, el malware para Linux recientemente descubierto que tiene como objetivo servidores en la nube basados en Linux, probablemente haya sido generado casi en su totalidad por inteligencia artificial (IA), lo que indica una evolución significativa en el uso de la tecnología para desarrollar malware avanzado. Lo importante para alertar a los investigadores sobre la participación de la IA en la creación de VoidLink fue un plan de desarrollo que acompañaba al proyecto y que, accidentalmente, su autor lo dejó al descubierto. El desarrollador también utilizó controles periódicos para asegurarse de que el modelo se desarrollaba según las instrucciones y de que el código funcionaba. El resultado fue un malware que los investigadores que diseñaron VoidLink por primera vez describieron como «sofisticado, moderno y con muchas funciones». El descubrimiento marca un punto de inflexión para el desarrollo del malware y pone de relieve un cambio en la forma en que la IA puede utilizarse para diseñar programas maliciosos avanzados. «La comunidad de seguridad ha anticipado desde hace tiempo que la IA sería un multiplicador de fuerzas para los actores malintencionados. Sin embargo, hasta ahora, las pruebas más claras de la actividad impulsada por la IA han surgido principalmente en operaciones menos sofisticadas, a menudo vinculadas a actores de amenazas con menos experiencia, y no han aumentado el riesgo de forma significativa más allá de los ataques habituales», afirma Check Point. «VoidLink cambia esa línea de base: su nivel de sofisticación demuestra que cuando la IA está en manos de desarrolladores capaces, puede amplificar considerablemente tanto la velocidad como la escala a la que se puede producir una capacidad ofensiva seria». Desde un punto de vista defensivo, el uso de la IA también complica la atribución, ya que el código generado elimina muchas de las pistas habituales y dificulta determinar quién está realmente detrás de un ataque.
• Detallada una falla crítica de telnetd de GNU InetUtils — Se ha descubierto un fallo de seguridad crítico en el demonio telnet GNU INetUtils (telnetd) que pasó desapercibido durante casi 11 años. La vulnerabilidad, registrada como CVE-2026-24061 (puntuación CVSS: 9.8), afecta a todas las versiones de GNU Inetutils, desde la 1.9.3 hasta la 2.7, inclusive. La vulnerabilidad se introdujo como parte de un cambio de código en marzo de 2015. La falla permite a un atacante establecer una sesión de Telnet sin proporcionar credenciales válidas, lo que permite el acceso no autorizado al sistema objetivo. SafeBreach Labs, en un análisis de causa raíz del CVE-2026-24061, describió que era fácil de explotar y que un atacante podía poner un indicador «-f» para el ejecutable «/usr/bin/login», saltándose así la autenticación interactiva y dándoles un shell raíz. También tiene publicado un exploit público de prueba de concepto (PoC) para la falla.
• Los ataques de Vishing tienen como objetivo a los proveedores de identidad — Los actores de amenazas que se especializan en la suplantación de identidad por voz (también conocida como vishing) han empezado a utilizar kits de suplantación de identidad personalizados que pueden interceptar las credenciales de inicio de sesión de los objetivos y, al mismo tiempo, permitir a los atacantes controlar el flujo de autenticación en el navegador del usuario objetivo en tiempo real. «Mientras que los actores de amenazas podían pagar por el acceso a un kit con funciones básicas dirigido a todos los proveedores de identidad populares (Google, Microsoft Entra, Okta, etc.) y plataformas de criptomonedas, una nueva generación de estafadores está intentando vender el acceso a paneles personalizados para cada servicio objetivo», afirma Okta. El Cazadores brillantes una banda de extorsión se ha atribuido la responsabilidad de algunos de los ataques, Bleeping Computer reportó .
• CrashFix bloquea los navegadores para entregar malware — Una campaña de publicidad maliciosa utiliza una extensión falsa de bloqueo de anuncios para Chrome y Edge llamada NexShield que bloquea intencionalmente el navegador como precursor de los ataques de ClickFix. A diferencia de los esquemas típicos de ClickFix, que utilizan alertas de seguridad o CAPTCHA inexistentes para inducir a los usuarios a ejecutar comandos malintencionados, la nueva variante de CrashFix aprovecha una extensión maliciosa que primero bloquea intencionadamente el navegador de la víctima y, después, ofrece una solución fraudulenta. Cuando se reinicia el navegador, la extensión muestra una ventana emergente engañosa que muestra una falsa advertencia y sugiere escanear el sistema para identificar el problema. Al hacerlo, se abre una ventana nueva con una falsa advertencia sobre los problemas de seguridad detectados, junto con instrucciones sobre cómo solucionar el problema, lo que implica ejecutar comandos malintencionados en el indicador de ejecución de Windows, al estilo típico de ClickFix. Si bien la extensión se ha eliminado desde entonces, los ataques están diseñados para ofrecer una nueva herramienta de acceso remoto basada en Python llamada ModelOrat. Los hallazgos muestran que las extensiones de navegador son un vector de ataque de alto riesgo para las empresas, ya que permiten a los actores de amenazas eludir los controles de seguridad tradicionales y hacerse un hueco en los terminales corporativos.
• Contagious Interview evoluciona para ofrecer Backdoor a través de VS Code — Los actores de amenazas norcoreanos detrás del Entrevista contagiosa La campaña emplea un nuevo mecanismo que utiliza Microsoft Visual Studio Code (VS Code) para ofrecer una puerta trasera nunca antes vista que permite la ejecución remota de código en los sistemas de los desarrolladores. La cadena de ataque comienza cuando se pide a los objetivos que clonen y abran repositorios maliciosos alojados en GitHub, GitLab o Bitbucket, normalmente como parte de una tarea técnica o un ejercicio de revisión de código relacionado con el proceso de contratación. «El factor más importante para este vector de ataque es la propiedad runOptions de la configuración, que admite el valor runOn de folderOpen, lo que hace que la tarea definida se ejecute automáticamente cuando se abre un espacio de trabajo», Abstract Security dijo . «Los actores de Contagious Interview explotan esto al incluir comandos de shell maliciosos en los archivos tasks.json. Cuando una víctima clona un repositorio en su máquina local y lo abre en VS Code, la tarea maliciosa se ejecuta y desencadena la cadena de infección que lleva a la instalación del malware». Las cargas maliciosas se alojan principalmente en dominios de Vercel, pero también se han identificado otros dominios como vscodeconfig [.] com y vscode-load.onrender [.] com. En al menos un caso, el archivo «tasks.json» se usa para instalar un paquete npm malicioso denominado» json webauth ». Contagious Interview ha estado activa desde 2022 y se dirige principalmente a desarrolladores de software y profesionales de TI, especialmente en los sectores de la cadena de bloques y las criptomonedas. Entre agosto de 2024 y septiembre de 2025 se identificaron hasta 3.136 direcciones IP individuales vinculadas a posibles objetivos de la actividad de Contagious Interview, la mayoría de las cuales se concentraron en el sur de Asia y Norteamérica.

‎️ 🔥 CVs de tendencia

Los hackers actúan rápido. Pueden detectar nuevos errores en cuestión de horas. La falta de una actualización puede provocar una violación grave. Estas son las fallas de seguridad más graves de esta semana. Revíselos, corrija primero lo que sea importante y manténgase protegido.

La lista de esta semana incluye: CVE-2026-24061 (GNU iNetUtils telnetd), CVE-2026-23760 (Correo inteligente), CVE-2026-20045 (Instancia dedicada de Cisco Unified Communications y Webex Calling), CVE-2026-22218, CVE-2026-22219 (Chainlit), CVE-2026-1245 (analizador binario), CVE-2025-68143, CVE-2025-68144, CVE-2025-68145 (mcp-server-git antrópico), CVE-2026-22844 (Zoom), CVE-2025-13927, CVE-2025-13928, CVE-2026-0723 (GitLab CE/EE), CVE-2026-0629 (TP-Link), CVE-2025-49758 (Microsoft SQL Server), CVE-2025-47179 (Administrador de configuración de Microsoft), CVE-2025-60021 (Apache BrPC), CVE-2025-61937, CVE-2025-64691, CVE-2025-61943, CVE-2025-65118 (Optimización de procesos AVEVA), CVE-2025-14369 (dr_flac), CVE-2026-0828 (Safetica ProcessMonitorDriver.sys), CVE-2026-0685 (motor de plantillas Genshi), CVE-2025-68675 (Apache Airflow), CVE-2025-14533 (Campos personalizados avanzados: complemento extendido), CVE-2025-13151 (GNU libtasn1), CVE-2026-0622 (componente Open5GS WebUI), CVE-2025-65586 (libheif), CVE-2025-33206 (Gráficos NVIDIA NSIGHT para Linux), CVE-2026-1220 (Google Chrome), CVE-2025-66516, CVE-2026-21962, CVE-2025-66516, CVE-2025-54988, CVE-2025-4949, CVE-2025-54874, CVE-2025-49796, CVE-2025-23048 (Oráculo), CVE-2026-23744 (@mcpjam /inspector), CVE-2025-13878 (ENLACE DE DISCO 9), CVE-2025-12383 (Centro de datos y servidor Atlassian Bamboo), CVE-2025-66516 (Centro de datos y servidor de Atlassian Confluence), CVE-2026-22755 (modelos de cámaras antiguas de Vivotek), CVE-2026-22794 (App Smith), CVE-2025-67968 (complemento RealHomes CRM), CVE-2026-23594 (HPE Alletra 6000, Alletra 5000 y Nimble Storage), CVE-2026-0920 (Kit de elementos de LA-Studio para el complemento Elementor) y CVE-2026-22200 (Boleto SO).

📰 En todo el mundo cibernético

• 1Password agrega advertencias para sitios de suplantación de identidad — El administrador de contraseñas 1Password ha añadido una nueva función de seguridad que avisa a los usuarios cuando se encuentran en un sitio fraudulento o fraudulento, y se les pide que introduzcan sus credenciales. «Cuando un usuario de 1Password hace clic en un enlace cuya URL no coincide con el inicio de sesión que guardó, 1Password no rellenará automáticamente sus credenciales» dijo . «Cuando un usuario intenta pegar sus credenciales, la extensión de navegador de 1Password muestra una advertencia emergente que le pide que haga una pausa y tenga cuidado antes de continuar».
• Las extensiones maliciosas de Chrome roban las claves de la API de OpenAI y las indicaciones de usuario — Se ha descubierto que una extensión maliciosa de Google Chrome llamada H-Chat Assistant (ID: dcbcnpnaccfjoikaofjgcipcfbmfkpmj) con más de 10 000 usuarios roba las claves de la API OpenAI de los usuarios a gran escala. Se estima que ha filtrado al menos 459 claves de API únicas de un canal de Telegram controlado por un atacante. «Una vez instalada la extensión, se pide a los usuarios que añadan una clave API de OpenAI para interactuar con el chatbot», Obsidian Security dijo . «La exfiltración de claves de API se produce cuando un usuario elimina un chat o decide cerrar sesión en la aplicación». Si bien la extensión funciona según lo anunciado, las claves comprometidas podrían permitir el acceso no autorizado a las instancias de OpenAI de los usuarios afectados. La extensión aún está disponible para su descarga en el momento de escribir este artículo. Obsidian Security dijo que desde entonces ha descubierto docenas de extensiones de Chrome que envían instrucciones de usuario y otros datos a servidores externos o de terceros. «Varias de las extensiones se hacen pasar por ChatGPT, lo que crea una falsa sensación de confianza en el sentido de que las conversaciones y los datos solo se transmiten a OpenAI», añade.
• La extensión PasterReady impulsa el malware después de la compra — En más noticias relacionadas con las extensiones, la extensión del navegador PasterReady se ha utilizado para enviar malware después de su puesta a la venta. John Tuckner, de Secure Annex, dijo que PasterReady se puso a la venta en extensionhub [.] io el 7 de mayo de 2025 y que la transferencia de propiedad se produjo el 27 de diciembre de 2025. «La versión 3.4 con malware se retrasó el 30 de diciembre de 2025", dijo Tuckner dijo en una publicación en X. «Se retiró de la Chrome Web Store por malware el 14 de enero de 2026».
• Microsoft cumple con la orden judicial de entregar una clave de cifrado de BitLocker en un caso de fraude — Microsoft entregó a la Oficina Federal de Investigaciones (FBI) de los Estados Unidos las claves BitLocker para desbloquear los datos cifrados almacenados en tres ordenadores portátiles de usuarios de Windows acusados en un acusación de fraude , Forbes reportó . El desarrollo marca la primera instancia conocida públicamente en la que Microsoft proporciona claves de BitLocker. Microsoft hace copias de seguridad de las claves de BitLocker en sus servidores cuando el servicio se configura desde una cuenta Microsoft activa. Si bien Microsoft ofrece la posibilidad de guardar las claves en otro lugar, como en un archivo o en una unidad flash USB, se recomienda a los clientes que las almacenen en su nube para facilitar la recuperación de las claves. Desde entonces, la empresa ha confirmado que proporciona las claves de recuperación de BitLocker para los datos cifrados si recibe una orden legal válida y el usuario ha guardado las claves en sus servidores, y si tiene la obligación legal de producir las claves almacenadas en sus servidores. Apple también ofrece un servicio similar, pero con dos niveles: protección de datos estándar y protección de datos avanzada para iCloud. Según el informe de solicitudes gubernamentales de datos de clientes más reciente de Microsoft, que abarca desde julio de 2024 hasta diciembre de 2024, la empresa recibió un total de 128 solicitudes de organizaciones encargadas de hacer cumplir la ley de todo el mundo. De estas, solo cuatro de ellas, tres en Brasil y una en Canadá, dieron lugar a la divulgación de contenido.
• Ilya Lichtenstein quiere un trabajo en ciberseguridad — Ilya Lichtenstein, quien fue detrás el hackeo masivo de la bolsa de criptomonedas Bitfinex en 2016, dijo que había cambiado su forma de actuar. «Hace diez años, decidí hackear la mayor bolsa de criptomonedas del mundo», dijo Lichtenstein escribió en LinkedIn. «Fue una idea terrible. Era lo peor que había hecho en mi vida», añadió. «Cambió mi vida y la de las personas cercanas a mí y afectó a miles de usuarios del intercambio. Sé que decepcioné a mucha gente que creyó en mí y abusó gravemente de mis talentos». Lichtenstein fue arrestado en 2022 por el hackeo, y fue puesto en libertad en régimen de confinamiento domiciliario a principios de este mes tras cumplir casi cuatro años de prisión. En el post, Lichtenstein decía que «siempre lo motivaron los desafíos técnicos más que la riqueza material» y que las matemáticas se convirtieron en su «escape de la dura realidad del mundo carcelario». Lichtenstein concluyó diciendo que quiere trabajar en el campo de la ciberseguridad. «Pienso como un adversario», dijo. «He sido un adversario. Ahora puedo usar esas mismas habilidades para detener el próximo hackeo multimillonario».
• Eje auxiliar de detalles antrópicos — La empresa de inteligencia artificial Anthropic ha detallado lo que describe como el «eje asistente», un patrón de actividad neuronal en grandes modelos lingüísticos que rige su identidad predeterminada y su comportamiento útil. Se cree que este eje se crea durante el período posterior a la formación, cuando se enseña a los modelos a desempeñar el papel de «ayudantes», o bien es probable que ya exista en modelos previamente entrenados. «Al monitorear la actividad de las modelos a lo largo de este eje, podemos detectar cuándo comienzan a alejarse del Asistente y se acercan a otro personaje», Anthropic dijo . «Y al restringir su actividad neuronal ('límite de activación') para evitar esta deriva, podemos estabilizar el comportamiento de los modelos en situaciones que, de otro modo, generarían resultados dañinos».
• China culpa a Taiwán por miles de ciberataques — El gobierno chino dijo investigó casi 4.000 ciberataques en 2025 que se originaron en Taiwán. La cifra representa un aumento del 25% año tras año. Los ataques buscaban robar información clasificada de sectores críticos del continente, como el transporte, las finanzas, la ciencia y la tecnología y la energía. Al parecer, algunas de las operaciones fueron llevadas a cabo por el ejército taiwanés.
• Rumania desmantela una operación de asesinato a sueldo — Autoridades rumanas desmantelado un grupo delictivo organizado que operaba una operación de asesinato a sueldo. El grupo administraba un sitio web que permitía a usuarios anónimos pagar asesinatos utilizando criptomonedas a través de un sistema de depósito en garantía. Las autoridades ejecutaron tres órdenes de registro en los municipios de Bucarest y Râmnicu Vâlcea e interrogaron a dos personas responsables del plan. También se incautaron de sus hogares más de 750.000 dólares en activos digitales y dinero en efectivo por valor de 292.890 lei, 650.000 dólares y 48.600 euros.
• Irlanda propone una nueva ley que permita a la policía usar spyware — El gobierno irlandés planea redactar una ley que legalice el uso de software espía por parte de las fuerzas del orden. El ministro de Justicia, Asuntos Internos y Migración, Jim O'Callaghan, dijo el gobierno ha aprobado propuestas para un «marco legal actualizado y completo para la interceptación legal» que también «incluirá salvaguardias legales sólidas para garantizar continuamente que el uso de dichos poderes es necesario y proporcionado». El ministerio también señaló que existe una necesidad urgente de un nuevo marco legal para la interceptación legal a fin de contrarrestar los delitos graves y las amenazas a la seguridad.
• Microsoft se convierte en la marca más suplantada en el cuarto trimestre de 2025 — Microsoft se ha convertido en la marca más utilizada en los ataques de suplantación de identidad durante el cuarto trimestre de 2025. A Microsoft le siguieron Facebook, Roblox, McAfee, Steam, AT&T, Amazon, Google, Yahoo y Coinbase. «Los estafadores intensificaron sus ataques de suplantación de identidad de marca a lo largo del cuarto trimestre de 2025, y programaron sus campañas en función de las horas en las que la gente estaba más ocupada en Internet, compraba ofertas, renovaba suscripciones o buscaba trabajo», dijo Guardio dijo . «Los atacantes utilizan el reconocimiento de la marca como arma, apostando a que una alerta de facturación de Microsoft o una notificación de seguridad de Facebook evitará el escepticismo cuando llegue durante las revisiones de cuentas de fin de año, el caos de la coordinación durante las fiestas o las prisas de compra de tarjetas de regalo».
• Alemania expulsa a diplomático ruso acusado de espionaje — Alemania expulsó a un diplomático ruso acusado de espionaje, lo que aumentó aún más las tensiones geopolíticas entre Berlín y Moscú por la actividad de inteligencia vinculada a la guerra en Ucrania. «No aceptamos el espionaje en Alemania y, en particular, no con el pretexto del estatus diplomático. Hoy hemos convocado al embajador ruso ante el Ministerio Federal de Asuntos Exteriores y le hemos informado de que la persona que espió en nombre de Rusia va a ser expulsada», dijeron desde el Ministerio de Asuntos Exteriores alemán dijo . El medio alemán Der Spiegel y la organización de medios independientes rusa The Insider identificados el diplomático expulsado era Andrei Mayorov, agregado militar adjunto de Rusia en Alemania. Según se informa, Mayorov tiene el rango de coronel en la agencia de inteligencia militar rusa, el GRU. Se afirma que actuó como supervisor de Ilona Kopylova, una mujer con doble ciudadanía ucraniano-alemana que fue detenida en Berlín bajo sospecha de espiar para Rusia.
• Malos actores secuestran los dominios de los editores de Snap para entregar malware — Los estafadores son secuestro canónico legítimo Tienda Snap cuentas de editor mediante el registro de dominios caducados asociados a esas cuentas para restablecer las contraseñas. Una vez que tienen el control, estos atacantes envían actualizaciones malintencionadas a aplicaciones establecidas y confiables para desplegar malware que agota las carteras de criptomonedas. El ataque de resurrección de dominios ha secuestrado cuentas asociadas a dos paquetes de Linux: storewise.tech y vagueentertainment.com. Se cree que los actores de la amenaza detrás de esta campaña se encuentran en Croacia.
• El grupo Handala usa Starlink para atacar — El grupo hacktivista iraní conocido como Handala se ha observado la realización de ataques a través de conexiones Starlink. Según Check Point, la actividad del grupo cesó cuando el régimen iraní cortó Internet en todo el país, pero desde que se reanudó a partir del 17 de enero de 2026, desde los rangos IP de Starlink y alcanzando objetivos en todo el Medio Oriente.

• La falla 884 explotada por primera vez en 2025 — Tantos como 884 vulnerabilidades se explotaron por primera vez en 2025, en comparación con 768 CVEs en 2024 . Según la empresa de gestión de vulnerabilidades VulnCheck, el 28,96% de las vulnerabilidades conocidas explotadas (KEV) se convirtieron en armas el día en que se publicó su CVE o antes, lo que representa un aumento con respecto al 23,6% observado en 2024. Los dispositivos periféricos de la red, incluidos los firewalls, las VPN y los proxies, fueron las tecnologías atacadas con más frecuencia, seguidas de los sistemas de gestión de contenido y el software de código abierto. «Esto refuerza la urgencia de que las organizaciones actúen con rapidez ante las vulnerabilidades descubiertas recientemente y, al mismo tiempo, sigan reduciendo la acumulación de vulnerabilidades acumuladas desde hace mucho tiempo», afirma VulnCheck.
• Dos venezolanos condenados en EE. UU. por usar malware para hackear cajeros automáticos — Dos ciudadanos venezolanos, Luz Granados, de 34 años, y Johan González-Jiménez, de 40, van a ser deportados tras ser declarados culpables de conspiración y delitos informáticos en un Esquema de jackpots en cajeros automáticos . «Jiménez y Granados se centraron en los cajeros automáticos (ATM) de modelos más antiguos en todo el sureste de los Estados Unidos para robar dinero fuera del horario laboral», dijo el Departamento de Justicia de los Estados Unidos dijo . «Los demandados se acercaban a un cajero automático por la noche y quitaban la carcasa exterior de la máquina y, a continuación, conectaban una computadora portátil para instalar un malware que superaba los protocolos de seguridad del cajero automático. Una vez instalados, los cajeros automáticos distribuyeron dinero en efectivo entre los agresores hasta que se agotaron los fondos del cajero automático». Granados ha sido sentenciado a tiempo cumplido y se le ha ordenado pagar 126.340 dólares en concepto de restitución. González-Jiménez fue sentenciado a 18 meses en una prisión federal y se le ordenó pagar 285.100 dólares en concepto de restitución.
• Un ciudadano ruso se declara culpable de una ola de ransomware — Un ciudadano ruso se declaró culpable de liderar el grupo de ransomware Zeppelin, que atacó al menos a 50 víctimas durante un período de cuatro años que finalizó entre mayo de 2018 y agosto de 2022. Ianis Aleksandrovich Antropenko se enfrenta a 25 años de cárcel y a multas de hasta 750.000 dólares, según CyberScoop reportó . También se le ha ordenado pagar una indemnización a sus víctimas y perder sus bienes, informó CyberScoop. En agosto de 2025, el Departamento de Justicia de los Estados Unidos Sin sellar seis órdenes que autorizan la incautación de más de 2,8 millones de dólares en criptomonedas, 70.000 dólares en efectivo y un vehículo de lujo. La criptomoneda fue incautada de una cartera controlada por Antropenko.
• Fallos críticos de seguridad en OpenKM — Se han revelado múltiples vulnerabilidades de día cero en OpenKM que podrían provocar la ejecución remota de código, la ejecución de SQL sin restricciones y la divulgación de archivos. Las fallas permanecen sin corregir, según Terra System Labs. «Los problemas descubiertos permiten a un solo administrador autenticado comprometer por completo el servidor OpenKM, la base de datos de fondo y los documentos confidenciales almacenados», afirma la empresa india de ciberseguridad dijo . «Los hallazgos destacan las debilidades del diseño de seguridad sistémica en las interfaces administrativas confiables y demuestran cómo estas fallas pueden encadenarse para lograr la absorción total del sistema».
• Fallo de inyección de comandos en el firmware heredado de Vivotek — Akamai ha revelado los detalles de una nueva vulnerabilidad en el firmware heredado de Vivotek que permite a los usuarios remotos insertar código arbitrario en el nombre de archivo suministrado a upload_map.cgi. Al problema de seguridad se le ha asignado el identificador CVE CVE-2026-22755 (puntuación CVSS: 9,3). «Esta vulnerabilidad afecta a una amplia gama de modelos de cámara antiguos y antiguos, lo que permite a los atacantes ejecutar comandos maliciosos como usuario root sin necesidad de autenticación», explica Larry Cashdollar, investigador de seguridad dijo . «Permite a los atacantes subir archivos con nombres de archivo que, una vez procesados por el servidor, ejecutan comandos del sistema y dan como resultado un acceso root».
• Detallado el kit Mamba PhaaS — Los investigadores de ciberseguridad han arrojado luz sobre un kit de suplantación de identidad como servicio (PhaaS) llamado Mamba que surgió por primera vez en 2023, coincidiendo con la emergencia del phishing con adversarios en el medio (AiTM). «Las campañas asociadas a las operaciones de suplantación de identidad de Mamba suelen realizarse mediante señuelos por correo electrónico diseñados para llevar a la víctima directamente a la URL de suplantación de identidad», dijo CYFIRMA dijo . «Estos señuelos suelen hacerse pasar por comunicaciones rutinarias relacionadas con los negocios o la seguridad para crear urgencia y legitimidad. El diseño de Mamba refleja la creciente dependencia de las herramientas de suplantación de identidad basadas en servicios, en las que la eficiencia operativa y la repetibilidad se priorizan sobre el desarrollo de ataques a medida».
• El nuevo kit Stanley garantiza la aprobación de Chrome Web Store — Un agente de amenazas vende el acceso a un conjunto de herramientas denominado Stanley que puede crear extensiones maliciosas de Chrome que superan el proceso de verificación de la tienda web. «Por entre 2.000 y 6.000 dólares, Stanley ofrece una operación llave en mano para falsificar sitios web disfrazada de extensión de Chrome, y su versión premium promete publicar en la Chrome Web Store con garantía de publicación en la Chrome Web Store», afirma Daniel Kelley, investigador de Varonis dijo . El kit de herramientas se vende en un foro de hackeo de habla rusa a precios que oscilan entre 2.000 y 6.000 dólares. Viene con un panel C2 que permite a los clientes detectar infecciones individuales para tomar medidas específicas. «Una vez que se selecciona un objetivo, los atacantes configuran reglas de secuestro de URL específicas para ese usuario», explica Varonis. «Más allá del secuestro pasivo, los operadores pueden atraer activamente a los usuarios a páginas específicas mediante la entrega de notificaciones en tiempo real. Las notificaciones provienen del propio Chrome, no de un sitio web, por lo que generan más confianza implícita».
• Análisis del compromiso de la cadena de suministro de EmEditor — El Ataque a la cadena de suministro de diciembre de 2025 atacar EmEditor permitió a actores de amenazas desconocidos distribuir un malware en varias etapas capaz de robar credenciales, exfiltrar datos e intrusiones de seguimiento mediante movimientos laterales, al tiempo que tomaba medidas para evitar la detección al deshabilitar el rastreo de eventos para Windows. «EmEditor cuenta desde hace mucho tiempo con el reconocimiento de las comunidades de desarrolladores japonesas como editor recomendado para Windows», dijo Trend Micro dijo . «Esto sugiere que los atacantes están atacando a esta base de usuarios específica, o que tienen un objetivo particular entre los usuarios de EmEditor y utilizaron la página de descargas comprometida como mecanismo de entrega». Se ha descubierto que el malware excluye sistemas ubicados en Armenia, Bielorrusia, Georgia, Kazajstán y Kirguistán, lo que sugiere que podrían ser de origen ruso o de la Comunidad de Estados Independientes (CEI).
• Uso indebido de Azure Private Link para acceder a los recursos de Azure — Una nueva investigación ha descubierto que ciertas configuraciones de Microsoft Azure Arquitectura de punto final privado podría aprovecharse para organizar ataques de denegación de servicio (DoS) contra los recursos de Azure. La unidad 42 de Palo Alto Networks dijo que más del 5% de las cuentas de almacenamiento de Azure funcionan actualmente con configuraciones que están sujetas a este problema de DoS. «Por ejemplo, denegar el servicio a las cuentas de almacenamiento podría provocar que Azure Functions dentro de FunctionApps y las actualizaciones posteriores de estas aplicaciones fallaran», afirma la empresa de ciberseguridad dijo . «En otro escenario, el riesgo podría provocar ataques DoS en las bóvedas de claves, lo que tendría un efecto dominó en los procesos que dependen de los secretos contenidos en la bóveda». Para contrarrestar los ataques, se recomienda utilizar como alternativa la resolución DNS pública y añadir manualmente los registros DNS de los recursos afectados.

🎥 Seminarios web sobre ciberseguridad

• Cloud Forensics no funciona. Esto es lo que funciona ahora → Los ataques a la nube se mueven con rapidez y, a menudo, dejan pocas pruebas. Este seminario web explica cómo el análisis forense de la nube moderno utiliza la inteligencia artificial y los datos a nivel de host para ayudar a los equipos de seguridad a comprender qué ocurrió y cómo ocurrió y a responder más rápido en los entornos de nube actuales.
• Cómo crear un SOC más inteligente sin añadir más herramientas → Los equipos de seguridad están agotados, con demasiadas herramientas y muy poca claridad. Este seminario web explica cómo funcionan realmente los SoC modernos y se centra en las opciones prácticas sobre qué crear, comprar y automatizar, sin exageraciones. Está dirigido a equipos que buscan tomar decisiones más inteligentes con las herramientas y los recursos de los que ya disponen.
• Cuando el cifrado de hoy no será suficiente mañana → La computación cuántica está pasando de la teoría a la realidad y cambiará el funcionamiento de la seguridad de los datos. La información que está cifrada hoy puede descifrarse en el futuro utilizando sistemas más potentes. Este seminario web ayuda a los líderes de seguridad a comprender qué significa ese riesgo en términos prácticos y cómo empezar a prepararse ahora, utilizando enfoques claros y reales que protegen los datos sin interrumpir los sistemas existentes.

🔧 Herramientas de ciberseguridad

• NetAlert X - Es una herramienta sencilla que le ayuda a ver qué dispositivos están conectados a su red. Mantiene una lista actualizada de ordenadores, teléfonos, servidores y otro hardware, y muestra cuándo aparece o cambia algo nuevo. Esto lo hace útil para detectar dispositivos desconocidos, rastrear activos y estar al tanto de lo que sucede en la red sin utilizar herramientas de seguridad pesadas o complejas.
• RZ Web - Es una forma sencilla de buscar dentro de los archivos de software sin instalar ninguna herramienta. Se ejecuta completamente en su navegador web, por lo que puede abrir un archivo y empezar a examinar su funcionamiento de inmediato. Todo ocurre en su propia máquina, lo que la hace útil para realizar comprobaciones rápidas, aprender o analizar cuando no desea configurar un entorno completo de ingeniería inversa.

Descargo de responsabilidad: Estas herramientas son únicamente para el aprendizaje y la investigación y no se han sometido a pruebas de seguridad completas. Revisa el código detenidamente, úsalo solo en entornos seguros y sigue todas las normas y leyes aplicables.

Conclusión

Esta edición deja una cosa clara: el riesgo ahora está en las herramientas cotidianas y en las elecciones normales. Bastan pequeñas brechas.

Ninguna de estas historias es independiente. Apuntan a un patrón más amplio en el que la velocidad importa y los retrasos causan daños reales. Trate esta lista como una instantánea. Los detalles cambiarán. La presión no lo hará.