Boletín del Día de las Amenazas: nuevos RCE, fa...

La Oficina Federal de Investigaciones (FBI) de los Estados Unidos se ha apoderado del tristemente célebre foro sobre ciberdelincuencia RAMP. Los visitantes del sitio Tor del foro y de su dominio clearnet, ramp4u [.] io, son recibidos ahora con una pancarta de incautación que dice: «Se han tomado medidas en coordinación con la Oficina del Fiscal Federal para el Distrito Sur de Florida y la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia». En el foro de la XSS, el actual administrador de RAMP, Stallman, confirmó la retirada, declarando , «Este evento ha destruido años de mi trabajo para crear el foro más gratuito del mundo y, aunque esperaba que este día nunca llegara, en mi corazón siempre supe que era posible». RAMP fue lanzado en julio de 2021, después de que Exploit y XSS prohibieran la promoción de operaciones de ransomware. Lo estableció un usuario llamado naranja , quien desde entonces ha sido denunciado como Mijaíl Pavlovich Matveev (también conocido como Wazawaka, m1x, Boriselcin y Uhodiransomwar). «Según se informa, grupos como Nova y DragonForce están desplazando sus actividades hacia Rehub, lo que demuestra la capacidad del movimiento clandestino para reconstituirse rápidamente en espacios alternativos», afirma Tammy Harper, investigadora sénior de inteligencia de amenazas de Flare.io. «Estas transiciones suelen ser caóticas y plantean nuevos riesgos para los actores de las amenazas: pérdida de reputación, inestabilidad de los depósitos en garantía, exposición operativa e infiltración durante la lucha por restablecer la confianza».

Una nueva demanda presentada contra Meta en los EE. UU. alega que el gigante de las redes sociales ha hecho afirmaciones falsas sobre la privacidad y la seguridad de WhatsApp. La demanda afirma que Meta y WhatsApp «almacenan, analizan y pueden acceder a prácticamente todas las comunicaciones supuestamente «privadas» de los usuarios de WhatsApp» y acusan a la empresa de defraudar a los usuarios de WhatsApp. En un comunicado compartido con Bloomberg, Meta llamada la demanda fue frívola y dijo que la empresa «aplicará sanciones contra el abogado de los demandantes». Will Cathcart, director de WhatsApp en Meta, dijo , «WhatsApp no puede leer los mensajes porque las claves de cifrado están almacenadas en tu teléfono y no tenemos acceso a ellas. Se trata de una demanda sin fundamento y que busca titulares, interpuesta por la misma empresa que defiende a NSO después de que su software espía atacara a periodistas y funcionarios gubernamentales». Los demandantes afirman que WhatsApp cuenta con un equipo interno con acceso ilimitado a las comunicaciones cifradas, que puede dar acceso a las solicitudes de datos. Estas solicitudes se envían al equipo de ingeniería de Meta, que luego permite el acceso a los mensajes de los usuarios, a menudo sin ningún tipo de control, como se establece en la demanda. Estas acusaciones van más allá de situaciones en las que se envían hasta cinco mensajes recientes a WhatsApp para que los revisen cuando un usuario denuncia a otro usuario en un chat individual o grupal. El quid del debate es si la seguridad de WhatsApp consiste en un bloqueo técnico que no se puede abrir o en un bloqueo de políticas que los empleados pueden abrir. WhatsApp tiene subrayó que los mensajes son privados y que «cualquier afirmación en contrario es falsa».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha publicado una lista inicial de categorías de productos de hardware y software que admiten o se espera que admitan los estándares de criptografía poscuántica (PQC). La guía abarca los servicios en la nube, el software web y de colaboración, la seguridad de los terminales y el hardware y el software de redes. La lista tiene como objetivo guiar a las organizaciones a la hora de configurar sus estrategias de migración de PQC y evaluar las inversiones tecnológicas futuras. «La llegada de la computación cuántica representa una amenaza real y urgente para la confidencialidad, la integridad y la accesibilidad de los datos confidenciales, especialmente los sistemas que se basan en la criptografía de clave pública» dijo Madhu Gottumukkala, director interino de la CISA. «Para anticiparse a estos riesgos emergentes, las organizaciones deben priorizar la adquisición de tecnologías compatibles con PQC. Esta lista de categorías de productos ayudará a las organizaciones a realizar esa transición crítica». Las agencias gubernamentales y las empresas del sector privado se están preparando para la amenaza que representa la llegada de un ordenador cuántico (CRQC) con relevancia criptográfica, que la comunidad de seguridad cree que será capaz de romper algunas formas de cifrado clásico. También existe la preocupación de que los actores de amenazas puedan estar recopilando datos cifrados ahora con la esperanza de acceder a ellos una vez que se desarrolle una máquina cuántica para descifrar códigos, una estrategia de vigilancia conocida como cosechar ahora y descifrar después ( MANEJAR ).

Más de 20 vulnerabilidades de seguridad (desde CVE-2025-59090 hasta CVE-2025-59109) descubiertas en los sistemas de control de acceso físico de Dormakaba podrían haber permitido a los piratas informáticos abrir puertas de forma remota en las principales organizaciones. Entre los fallos figuraban las credenciales codificadas de forma rígida y las claves de cifrado, las contraseñas poco seguras, la falta de autenticación, la generación insegura de contraseñas, la escalación de privilegios locales, la exposición de datos, el cruce de rutas y la inyección de comandos. «Estas fallas permiten a un atacante abrir puertas arbitrarias de muchas maneras, reconfigurar los controladores y periféricos conectados sin autenticación previa, y mucho más», dijo SEC Consult dijo . No hay evidencia que el vulnerabilidades eran explotado en la naturaleza.

Una nueva campaña de suplantación de identidad utiliza correos electrónicos falsos con temas de contratación que se hacen pasar por empleadores y empresas de personal conocidos, y afirman ofrecer trabajos fáciles, entrevistas rápidas y trabajo flexible. «Los mensajes aparecen en varios idiomas, incluidos inglés, español, italiano y francés, y a menudo se adaptan a la ubicación del destinatario», dijo Bitdefender dijo . «Los principales objetivos incluyen a personas de EE. UU., el Reino Unido, Francia, Italia y España». Al hacer clic en un enlace de confirmación del mensaje, los destinatarios acceden a una página falsa que recopila credenciales, datos confidenciales o redirige a contenido malintencionado.

Como parte de una campaña de suplantación de identidad que se llevó a cabo entre noviembre de 2025 y enero de 2026, una novedosa campaña ha explotado la confianza asociada a los dominios*.vercel.app para eludir los filtros de correo electrónico y engañar a los usuarios con señuelos de temática financiera, como parte de una campaña de suplantación de identidad que se llevó a cabo entre noviembre de 2025 y enero de 2026. La actividad, que también emplea un mecanismo de entrega controlado por Telegram diseñado para excluir a los investigadores de seguridad y a los entornos aislados automatizados, está diseñada para ofrecer una herramienta legítima de acceso remoto llamada GoToResolve, por Cloudflare . Los detalles de la campaña fueron primera documentación por CyberArmor en junio de 2025.

Con iOS 26.3, Apple añade una nueva configuración de «limitar la ubicación precisa» que reduce los datos de ubicación disponibles en las redes móviles para aumentar la privacidad del usuario. «La configuración de límite de ubicación precisa mejora la privacidad de la ubicación al reducir la precisión de los datos de ubicación disponibles en las redes móviles», dice Apple dijo . «Con esta configuración activada, parte de la información disponible para las redes móviles es limitada. Como resultado, es posible que solo puedan determinar una ubicación menos precisa (por ejemplo, el vecindario en el que se encuentra el dispositivo), en lugar de una ubicación más precisa (como una dirección física)». Según un nuevo documento de soporte, los modelos de iPhone de los proveedores de red compatibles ofrecerán esta función. Se espera que la función esté disponible en Alemania (Telekom), el Reino Unido (EE, BT), los EE. UU. (Boost Mobile) y Tailandia (AIS, True). También requiere el iPhone Air, el iPhone 16e o el iPad Pro (M5) Wi-Fi + Cellular.

En más noticias relacionadas con Apple, el fabricante del iPhone ha publicado actualizaciones de seguridad para iOS 12 e iOS 15 para ampliar el certificado digital requerido por funciones como iMessage, FaceTime y la activación del dispositivo para que siga funcionando después de enero de 2027. La actualización está disponible en iOS 12.5.8 y iOS 15.8.6 .

Se ha descubierto un mercado de backlinks como una forma de ayudar a los clientes a que sus páginas web maliciosas ocupen un lugar más alto en los resultados de búsqueda. El grupo se refiere a sí mismo como Haxor, una palabra del argot para los piratas informáticos, y su mercado como HxSEO o HaxorSEO. Los actores de amenazas han establecido sus operaciones y su mercado en Telegram y WhatsApp. El mercado permite a los estafadores comprar un backlink a un sitio web de su elección, desde una selección de dominios legítimos ya comprometidos por el grupo. Estos dominios comprometidos suelen tener entre 15 y 20 años de antigüedad y tienen una puntuación de «confianza» asociada a ellos, que indica la eficacia del backlink adquirido para mejorar su posicionamiento en los motores de búsqueda. Cada sitio web legítimo se ve comprometido con una consola web que permite a Haxor subir un enlace malicioso al sitio. Al comprar y luego insertar estos enlaces en sus sitios, los ciberdelincuentes pueden mejorar su posicionamiento en las búsquedas y atraer a visitantes desprevenidos a páginas de suplantación de identidad diseñadas para recopilar sus credenciales o instalar software malicioso. Los sitios de WordPress con complementos defectuosos y componentes php vulnerables son el objetivo de estos esfuerzos. La operación ofrece backlinks por solo 6 dólares por anuncio. La idea es que cuando los usuarios busquen palabras clave como «inicios de sesión financieros» para bancos específicos, la manipulación del equipo de HxSEO garantice que los sitios comprometidos aparezcan antes que las páginas legítimas en los resultados de búsqueda. «HxSEO destaca por su énfasis en técnicas poco éticas de optimización de motores de búsqueda (SEO) y vende un servicio que apoya las campañas de suplantación de identidad al mejorar la percepción de legitimidad de las páginas maliciosas», dijo Fortra dijo . HxSEO aprovecha una variedad de herramientas maliciosas junto con tácticas poco éticas de optimización de motores de búsqueda (SEO) para garantizar que los sitios maliciosos aparezcan en la parte superior de los resultados de búsqueda, lo que hace que los sitios comprometidos sean más difíciles de detectar y atraer a más víctimas potenciales. También se especializan en la venta ilícita de backlinks con fines de envenenamiento por SEO». Los actores de amenazas han estado activos desde 2020.

Las metacuentas empresariales que pertenecen a agencias de publicidad y administradores de redes sociales han sido el objetivo de una nueva campaña diseñada para tomar el control de sus cuentas para seguir realizando actividades maliciosas. El ataque de suplantación de identidad comienza con un mensaje creado para crear urgencia y preocupación, que imita la marca de Meta para advertir a los destinatarios de las infracciones de las políticas, los problemas de propiedad intelectual o las actividades inusuales, y les indica que hagan clic en un enlace falso diseñado para recopilar sus credenciales. «Una vez que una cuenta se ve comprometida, el atacante: cambia la información de facturación, añade tarjetas robadas o virtuales, lanza anuncios fraudulentos que promocionan plataformas criptográficas o de inversión falsas, [y] elimina a los administradores legítimos, tomando el control total», CyberArmor dijo .

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha adicional una falla de seguridad que afecta al kernel de Linux debido a sus vulnerabilidades conocidas explotadas ( KEV ), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen los parches antes del 16 de febrero de 2026. «El kernel de Linux contiene una vulnerabilidad de desbordamiento de enteros en la función create_elf_tables (), que podría permitir a un usuario local sin privilegios con acceso al sistema binario SUID (o con algún otro tipo de privilegio) aumentar sus privilegios en el sistema», afirma la CISA. El vulnerabilidad , rastreado tan CVE-2018-14634 , tiene una puntuación CVSS de 7,8. Actualmente no hay informes sobre la explotación silvestre de las fallas.

El gobierno francés ha anunciado planes para reemplazar las aplicaciones de videoconferencia estadounidenses, como Zoom, Microsoft Teams, Google Meet y Webex, por una alternativa local llamada Visio, como parte de los esfuerzos por mejorar la seguridad y fortalecer su resiliencia digital. David Amiel, ministro delegado para la Función Pública y la Reforma del Estado, afirmó que el país no puede correr el riesgo de que sus intercambios científicos, sus datos confidenciales y sus innovaciones estratégicas queden expuestos a actores no europeos. «Muchas agencias gubernamentales utilizan actualmente una amplia variedad de herramientas (Teams, Zoom, GoTo Meeting o Webex), una situación que compromete la seguridad de los datos, crea dependencias estratégicas de la infraestructura externa, aumenta los costos y complica la cooperación entre los ministerios», afirman desde el gobierno dijo . «La implementación gradual en los próximos meses de una solución unificada, controlada por el estado y basada en tecnologías francesas, marca un paso importante en el fortalecimiento de nuestra resiliencia digital».

Microsoft ha sido pidió dejar de usar cookies de seguimiento en Microsoft 365 Education después de que la autoridad austriaca de protección de datos (DSB) encontrado que la empresa instaló cookies de forma ilegal en los dispositivos de un menor sin su consentimiento. Estas cookies se pueden utilizar para analizar el comportamiento de los usuarios, recopilar datos del navegador y publicar anuncios segmentados. Vale la pena señalar que las autoridades alemanas de protección de datos ya han considerado que Microsoft 365 no cumple con los requisitos del RGPD, según la organización sin fines de lucro austriaca None of your business (NOYB). Microsoft tiene cuatro semanas para dejar de rastrear al demandante.

La policía húngara y rumana arrestó a cuatro jóvenes sospechosos en relación con amenazas de bomba, llamadas de emergencia falsas y uso indebido de datos personales. Entre los sospechosos figuran un ciudadano rumano de 17 años y tres húngaros de 16, 18 y 20 años. Como parte de la operación, los funcionarios confiscaron todos sus dispositivos de almacenamiento de datos, teléfonos móviles y equipos informáticos. La noticia se produce después de una investigación que se inició a mediados de julio de 2025 tras una serie de llamadas telefónicas a las fuerzas del orden. Los sospechosos contactaron a las víctimas a través de Discord, obtuvieron sus números de teléfono y detalles personales y luego usaron esa información para hacer llamadas de emergencia falsas a su nombre. «Los informes incluían amenazas de hacer estallar instituciones educativas y religiosas y edificios residenciales, matar a varias personas y atacar unidades policiales», dijeron las autoridades dijo . «Los informes requerían la intervención de una fuerza policial importante».

Según los datos de Check Point, las organizaciones experimentaron un promedio de 2.027 ciberataques por organización por semana en diciembre de 2025. «Esto representa un aumento del 1% intermensual y un aumento del 9% interanual», según la empresa dijo . «Si bien el crecimiento general se mantuvo moderado, América Latina registró el aumento regional más pronunciado, con organizaciones que sufrieron un promedio de 3.065 ataques por semana, lo que representa un aumento del 26% año tras año». Le siguió APAC, con 3.017 ataques semanales por organización (un 2% más que en comparación con el año anterior), mientras que África registró un promedio de 2.752 ataques, lo que representa una disminución del 10% respecto al mismo período del año anterior. El sector educativo siguió siendo el sector más atacado en diciembre, con un promedio de 4.349 ataques por organización y semana. Entre los otros sectores objetivo destacados figuran los gobiernos, las asociaciones, las telecomunicaciones y la energía. En América Latina, las organizaciones médicas y de salud fueron los principales objetivos.

El Departamento de Justicia de los Estados Unidos (DoJ) anunció que el ciudadano chino Jingliang Su fue sentenciado hoy a 46 meses de prisión por su participación en el lavado de más de 36,9 millones de dólares de las víctimas de una estafa de inversión en activos digitales que se llevó a cabo desde centros de estafas en Camboya. También se le ha ordenado a Su pagar 26.867.242,44 dólares en concepto de restitución. Su formaba parte de una red delictiva internacional que engañaba a víctimas estadounidenses para que transfirieran fondos a cuentas controladas por cómplices, quienes luego blanqueaban el dinero de las víctimas a través de sociedades ficticias estadounidenses, cuentas bancarias internacionales y carteras de activos digitales. Su se declaró culpable a los cargos, junto con otros cuatro, en junio de 2025. «Este acusado y sus cómplices estafaron a 174 estadounidenses para quitarles el dinero que tanto les costó ganar» dijo El fiscal general adjunto A. Tysen Duva, de la División Penal del Departamento de Justicia. «En la era digital, los delincuentes han encontrado nuevas formas de utilizar Internet como arma para cometer fraudes». En total, ocho cómplices han se declaró culpable hasta ahora, incluidos Jose Somarriba y ShengSheng He.

Raheim Hamilton (también conocido como Sídney y Sídney), de 30 años, de Suffolk (Virginia), se declaró culpable en los Estados Unidos de un cargo federal de conspiración de drogas en relación con la operación de un mercado en la dark web llamado Empire Market entre 2018 y 2020, junto a Thomas Pavey (también conocido como Dopenugget). «Durante ese tiempo, el mercado en línea facilitó más de cuatro millones de transacciones entre vendedores y compradores por un valor de más de 430 millones de dólares, lo que lo convirtió en uno de los mayores mercados de la dark web de su tipo en ese momento», dijo el DoJ dijo . «Los productos y servicios ilegales disponibles en el sitio incluían sustancias controladas, credenciales de cuentas comprometidas o robadas, información de identificación personal robada, moneda falsificada y herramientas de hackeo informático. La venta de sustancias controladas fue la actividad más frecuente, con unas ventas netas de drogas que ascendieron a casi 375 millones de dólares a lo largo de la vida útil del sitio». Hamilton accedió a confiscar ciertos ingresos obtenidos de forma ilícita, incluidos unos 1230 bitcoins y 24,4 Ether, así como tres propiedades en Virginia. Pavey, de 40 años, se declaró culpable el año pasado de un cargo federal de conspiración relacionada con el tráfico de drogas y admitió su papel en la creación y operación de Empire Market. Actualmente está a la espera de sentencia.

Alan Bill , de 33 años, de Bratislava, se declaró culpable de su participación en un mercado oscuro llamado Mercado del Reino que vendió drogas y robó información personal entre marzo de 2021 y diciembre de 2023. Bill también admitió haber recibido criptomonedas de una cartera asociada a Kingdom, además de haber ayudado a crear las páginas de los foros de Kingdom en Reddit y Dread y haber tenido acceso a los nombres de usuario de Kingdom que publicaban publicaciones en nombre de Kingdom en las cuentas de redes sociales. Como parte de su acuerdo de culpabilidad, Bill ha accedido a perder cinco tipos diferentes de monedas en una cartera de criptomonedas, así como los dominios Kingdommarket [.] live y Kingdommarket [.] so, que han sido cerrados por las autoridades. Está previsto que Bill sea sentenciado el 5 de mayo de 2026. «Bill fue arrestado el 15 de diciembre de 2023 en el aeropuerto internacional Newark Liberty después de que una inspección de aduanas descubriera dos teléfonos celulares, una computadora portátil, una memoria USB y una cartera de hardware utilizada para almacenar claves privadas de criptomonedas», dijo el Departamento de Justicia dijo . «La electrónica contenía pruebas de su relación con Kingdom».

Google tiene anunciado un conjunto ampliado de funciones de protección antirrobo de Android que se basan en las protecciones existentes, como Bloqueo por detección de robos y bloqueo de dispositivos sin conexión introducido en 2024 . Las funciones están disponibles para dispositivos Android con Android 16+. La principal de ellas son los controles granulares para habilitar o deshabilitar el bloqueo de autenticación fallido, que bloquea automáticamente la pantalla del dispositivo después de demasiados intentos fallidos de autenticación. Otras actualizaciones notables incluyen la ampliación Verificación de identidad para cubrir todas las funciones y aplicaciones que utilizan el indicador biométrico de Android, reforzar las protecciones contra los intentos de adivinar el PIN, el patrón o la contraseña aumentando el tiempo de bloqueo tras los intentos fallidos y añadiendo una pregunta de seguridad opcional para iniciar un bloqueo remoto y garantizar que lo hace el verdadero propietario del dispositivo. «Estas protecciones están diseñadas para convertir los dispositivos Android en un objetivo más difícil para los delincuentes antes, durante y después de un intento de robo», afirma Google.

UN Rata pura la campaña tiene solicitantes de empleo específicos utilizar archivos ZIP malintencionados adjuntos en correos electrónicos o compartidos como enlaces a Dropbox que, al abrirse, aprovechan la carga lateral de las DLL para lanzar un script por lotes que se encarga de ejecutar el malware. En un nuevo análisis, el equipo Symantec y Carbon Black Threat Hunter de Broadcom señaló que hay indicios de que estas herramientas, incluido el script por lotes, se han creado con inteligencia artificial (IA). «Las múltiples herramientas utilizadas por el atacante tienen el sello de haber sido desarrolladas con inteligencia artificial, como comentarios detallados y pasos numerados en los guiones e instrucciones para el atacante en los mensajes de depuración», dijo . «Prácticamente cada paso del archivo por lotes tiene un comentario detallado en vietnamita». Se sospecha que el autor de la amenaza que está detrás del actor reside en Vietnam y es probable que esté vendiendo a otros actores el acceso a organizaciones comprometidas.

El Reino Unido y China han establecido un foro llamado Ciberdiálogo para discutir los ciberataques dirigidos a los funcionarios de seguridad de los dos países para gestionar las amenazas a la seguridad nacional de cada uno. El acuerdo, según Bloomberg , es una forma de «mejorar la comunicación, permitir el debate privado sobre las medidas de disuasión y ayudar a prevenir la escalada». El Reino Unido ya denunció anteriormente a los actores de amenazas chinos por atacar su infraestructura nacional y sus sistemas gubernamentales. Tan recientemente como esta semana, The Telegraph reportó que los actores de amenazas del estado-nación chino han pirateado los teléfonos móviles de altos miembros del gobierno del Reino Unido desde 2021.

A principios de este mes, el ciudadano jordano Feras Khalil Ahmad Albashiti se declaró culpable a cargos de vender el acceso a las redes de al menos 50 empresas a través de un foro de ciberdelincuentes. Se dice que Albashiti, que también usaba los alias en línea r1z, secr1z y j0rd4n14n, publicó 1600 publicaciones en varios foros, incluidos XSS, Nulled, Altenen, RaidForums, BlackHatWorld y Exploit. En LinkedIn, Albashiti se describió a sí mismo como un arquitecto y consultor de tecnología de la información, y afirmó tener experiencia en ciberamenazas, nube, redes, web y pruebas de penetración. ¿El pateador? La URL de su perfil de LinkedIn era «linkedin [.] com/in/r1z». «El sitio web del actor, sec-r1z.com, se creó en 2009 y, basándose en la información de WHOIS, también revela datos personales de Firas, incluida la misma dirección de Gmail, junto con detalles adicionales como la dirección y el número de teléfono», dijo KELA dijo . «El caso r1z muestra cómo los agentes de acceso inicial monetizan las vulnerabilidades de los firewalls y el acceso empresarial a gran escala, mientras que los fallos de OPSEC del actor dejan huellas de atribución a largo plazo que ponen al descubierto la cadena de suministro del ransomware».

La empresa de ciberseguridad Halcyon dijo que identificó una falla crítica en el proceso de cifrado de Sicarii , una cepa de ransomware recientemente descubierta, que hace imposible la recuperación de datos incluso si la organización afectada paga un rescate. «Durante la ejecución, el malware regenera localmente un nuevo par de claves RSA, utiliza el material de claves recién generado para el cifrado y, a continuación, descarta la clave privada», explica la empresa dijo . «Esta generación de claves por ejecución significa que el cifrado no está vinculado a una clave maestra recuperable, lo que deja a las víctimas sin una ruta de descifrado viable y hace que los descifradores proporcionados por los atacantes sean ineficaces para los sistemas afectados». Se ha determinado con un grado de confianza moderado que los atacantes utilizaron herramientas asistidas por inteligencia artificial que podrían haber provocado el error de implementación.

Mandiant, propiedad de Google, dijo que es rastreo una nueva ola de ataques de suplantación de identidad por voz centrándose en las herramientas de inicio de sesión único que provocan intentos de extorsión y robo de datos. Se dice que varios actores de amenazas combinan llamadas de voz y kits de suplantación de identidad personalizados, incluido un grupo que se identifica como ShinyHunters, para obtener acceso no autorizado e inscribir los dispositivos controlados por los actores de amenazas en la autenticación multifactor (MFA) de las víctimas para lograr un acceso persistente. Al obtener acceso, se ha descubierto que los atacantes recurren a entornos SaaS para filtrar datos confidenciales. No está claro cuántas organizaciones se han visto afectadas por la campaña. En una alerta similar, Silent Push afirmó que los proveedores de SSO están siendo objeto de una campaña masiva de robo de identidad dirigida a más de 100 empresas de alto valor. Esta actividad aprovecha un nuevo panel de suplantación de identidad automática que permite a un atacante humano permanecer sentado en mitad de una sesión de inicio de sesión, interceptar las credenciales y obtener un acceso persistente. Los piratas informáticos han creado dominios falsos para atacar a estas empresas, pero no se sabe si realmente han sido atacadas o si sus intentos de acceder a los sistemas han tenido éxito. Algunas de las empresas afectadas son Crunchbase, SoundCloud y Betterment , según el cofundador y director de tecnología de Hudson Rock, Alon Gal. «No se trata de un ataque automático estándar de rociar y rezar; se trata de una operación de suplantación de identidad por voz ('vishing') de alta interacción dirigida por humanos, diseñada para eludir incluso las configuraciones más estrictas de autenticación multifactor (MFA)», apuntado .

Los actores de amenazas tienen explotado la falla de seguridad recientemente revelada en React Server Components (CVE-2025-55182, también conocido como React 2 Shell ) para infectar a las empresas rusas con criptomineros basados en XMRig, según BI.ZONE. Otras cargas útiles desplegadas como parte de los ataques incluyen redes de bots como Kaiji y Rustobot , así como el Astilla implante. Las empresas rusas de los sectores de la vivienda, las finanzas, la infraestructura urbana y los servicios municipales, la industria aeroespacial, los servicios digitales al consumidor, la industria química, la construcción y la producción también lo han hecho dirigido de un supuesto grupo de amenazas proucraniano llamado PhantomCore, que emplea la suplantación de identidad que contiene archivos adjuntos ZIP para entregar un malware de PowerShell similar a Control remoto Phantom .

La empresa de seguridad de la cadena de suministro Sonatype dijo que registró 454 600 paquetes de malware de código abierto en 2025, lo que elevó el número total de malware conocido y bloqueado a más de 1.233 millones de paquetes en npm, PyPI, Maven Central, NuGet y Hugging Face. La amenaza se ve agravada por el hecho de que los agentes de inteligencia artificial recomiendan con confianza versiones inexistentes o paquetes infectados con malware, lo que expone a los desarrolladores a nuevos riesgos, como el de quedarse sin rumbo. «La evolución del malware de código abierto se cristalizó, pasando del spam y las acrobacias a campañas sostenidas e industrializadas contra las personas y las herramientas que crean software», dijo . «La próxima frontera de los ataques a la cadena de suministro de software no se limita a los administradores de paquetes. Los centros de modelos de IA y los agentes autónomos están convergiendo con el código abierto en una cadena de suministro de software única y fluida: una red de ecosistemas interdependientes sin estándares de seguridad uniformes».

Un nuevo análisis de Emsisoft reveló que los grupos de ransomware tuvieron un año enorme en 2025, ya que se cobraron entre 8.100 y 8.800 víctimas, un aumento significativo con respecto a las 5.300 de 2023. «A medida que ha crecido el número de víctimas, también lo ha hecho el número de grupos de ransomware», dijeron desde la empresa dijo . El número de grupos activos pasó de unos 70 en 2023 a casi 140 en 2025. Qilin, Akira, Cl0p y Play se han convertido en algunos de los jugadores más activos del panorama. «Los esfuerzos para hacer cumplir la ley están dando resultado: están fragmentando a los principales grupos, obligando a cerrar sus puertas y creando inestabilidad en la cúpula. Sin embargo, esta interrupción no se ha traducido en un menor número de víctimas», dijo Emsisoft. «En cambio, el ransomware se ha vuelto más descentralizado, más competitivo y más resistente. Mientras haya más afiliados y la ingeniería social siga siendo eficaz, es probable que el número de víctimas siga aumentando».

El Departamento de Justicia ha anunciado la presentación de cargos contra otras 31 personas acusadas de participar en un plan masivo de robo de premios en cajeros automáticos que resultó en el robo de millones de dólares. Los ataques implican el uso de un malware denominado Ploutus para hackear cajeros automáticos y obligarlos a entregar dinero en efectivo. Según el DoJ, entre febrero de 2024 y diciembre de 2025, la banda robó al menos 5,4 millones de dólares de al menos 63 cajeros automáticos, la mayoría de los cuales pertenecían a cooperativas de ahorro y crédito. Muchos de los acusados en esta operación del Grupo de Trabajo de Seguridad Nacional son ciudadanos venezolanos y colombianos, incluidos miembros extranjeros ilegales del Tren de Aragua (TdA), según el DoJ, y otras 56 personas ya han sido acusadas. «Una gran red de delincuentes extranjeros presuntamente participó en una conspiración nacional para enriquecerse a sí mismos y a la organización terrorista TdA estafando a ciudadanos estadounidenses» dijo El fiscal general adjunto Todd Blanche. «La Fuerza de Tarea Conjunta Vulcan del Departamento de Justicia no se detendrá hasta que desmantele y destruya por completo a TdA y a otros terroristas extranjeros que están sembrando el caos en Estados Unidos».

Una cepa de ransomware llamada DeadLock , que se detectó por primera vez en estado salvaje en julio de 2025, se ha observado utilizando contratos inteligentes de Polygon para la rotación o distribución de direcciones de servidores proxy. Si bien el exacto vectores de acceso inicial Se desconocen los usos del ransomware, ya que deja caer un archivo HTML que actúa como contenedor para Session, una mensajería instantánea descentralizada y cifrada de extremo a extremo. El HTML se utiliza para facilitar la comunicación directa entre el operador de DeadLock y la víctima mediante el envío y la recepción de mensajes desde un servidor que actúa como middleware o proxy. «Lo más interesante de esto es cómo DeadLock recupera y administra las direcciones de los servidores», Group-IB apuntado , afirmando que «descubrió un código JS dentro del archivo HTML que interactúa con un contrato inteligente a través de la red Polygon». Esta lista contiene los puntos finales disponibles para interactuar con la red o cadena de bloques de Polygon y obtener la URL del proxy actual a través del contrato inteligente. DeadLock también se diferencia de las operaciones tradicionales de ransomware porque carece de un sitio de filtración de datos para dar a conocer los ataques. Sin embargo, utiliza AnyDesk como herramienta de gestión remota y aprovecha un cargador previamente desconocido para aprovechar la vulnerabilidad del controlador antivirus de Baidu (» BdApiUtil.sys «) (CVE-2024-51324) para lanzar un ataque con el controlador Bring Your Own Vulnerable Driver (BYOVD) y deshabilitar las soluciones de seguridad para terminales. De acuerdo con Cisco Talos , se cree que el actor de la amenaza aprovecha las cuentas válidas comprometidas para acceder a la máquina de la víctima.

En un informe publicado esta semana, Chainalysis dijo que las redes de lavado de dinero en chino (CMLN) están dominando la actividad conocida de lavado de dinero criptográfico, procesando aproximadamente el 20% de los fondos ilícitos de criptomonedas en los últimos cinco años. «Las CMLN procesaron 16.100 millones de dólares en 2025, aproximadamente 44 millones de dólares al día en más de 1.799 carteras activas», afirma la empresa de inteligencia sobre cadenas de bloques dijo . «El ecosistema de lavado de dinero ilícito en cadena ha crecido drásticamente en los últimos años, pasando de 10 000 millones de dólares en 2020 a más de 82 000 millones de dólares en 2025". Estas redes blanquean fondos mediante una variedad de mecanismos, incluidas las plataformas de juegos de azar, el movimiento de dinero y los servicios entre pares (P2P) que procesan las transferencias de fondos sin comprobar si el cliente conoce al cliente (KYC). Las CLMN también han procesado aproximadamente el 10% de los fondos robados en las estafas relacionadas con la matanza de cerdos, un aumento que coincide con la disminución del uso de bolsas centralizadas. Esto se complementa con la aparición de mercados de garantía como HuiOne y Xinbi, que funcionan principalmente como centros de comercialización e infraestructura de depósito en garantía para las CMLN. «La publicidad de la CMLN sobre estos servicios de garantía ofrece una variedad de técnicas de lavado de dinero con el objetivo principal de integrar los fondos ilícitos en el sistema financiero legítimo», dijo Chainalysis.

Los actores de amenazas se hacen pasar por servicios gubernamentales y marcas nacionales confiables en Canadá y, a menudo, utilizan señuelos relacionados con multas de tráfico, devoluciones de impuestos, reservas de aerolíneas y alertas de entrega de paquetes en mensajes SMS y anuncios maliciosos para permitir la apropiación de cuentas y el fraude financiero directo al dirigirlos a páginas de destino de suplantación de identidad. «Una parte importante de la actividad está alineada con el ecosistema de suplantación de identidad 'PayTool', un conocido marco de fraude que se especializa en infracciones de tráfico y estafas de pago de multas dirigidas a canadienses mediante ingeniería social basada en SMS», dijo CloudSEK dijo .