⚡ Resumen semanal: Proxy Botnet, Office Zero-Da...

Cada semana trae nuevos descubrimientos, ataques y defensas que dan forma al estado de la ciberseguridad. Algunas amenazas se detienen rápidamente, mientras que otras pasan desapercibidas hasta que causan un daño real.

A veces, una sola actualización, vulnerabilidad o error cambia nuestra forma de pensar sobre el riesgo y la protección. Cada incidente muestra cómo se adaptan los defensores y la rapidez con la que los atacantes intentan mantenerse a la vanguardia.

El resumen de esta semana reúne los momentos clave que más importan, en un solo lugar, para que puedas mantenerte informado y preparado para lo que viene.

⚡ Amenaza de la semana

Google interrumpe la red de proxy residencial IPIDEA — Google ha paralizado IPIDEA, una enorme red de proxies residenciales formada por dispositivos de usuario que se utilizan como eslabón de última milla en las cadenas de ciberataques. Según el gigante tecnológico, estas redes no solo permiten a los delincuentes ocultar su tráfico malintencionado, sino que también exponen a los usuarios que inscriben sus dispositivos a nuevos ataques. Las direcciones IP residenciales de EE. UU., Canadá y Europa se consideraron las más deseables. Google tomó medidas legales para confiscar o hundir los dominios utilizados como comando y control (C2) en los dispositivos inscritos en la red proxy IPIDEA, lo que impidió a los operadores dirigir el tráfico a través de los sistemas comprometidos. Se considera que la interrupción ha reducido en millones el número de dispositivos disponibles de IPIDEA. El software proxy viene preinstalado en los dispositivos o los usuarios pueden instalarlo voluntariamente, atraídos por la promesa de rentabilizar el ancho de banda de Internet disponible. Una vez que los dispositivos se registran en la red de proxy residencial, los operadores venden el acceso a ella a sus clientes. Numerosas marcas de proxy y VPN, comercializadas como empresas independientes, estaban controladas por los mismos actores detrás de IPIDEA. La red proxy también promovió varios SDK como herramientas de monetización de aplicaciones, convirtiendo discretamente los dispositivos de los usuarios en nodos de salida de proxy sin su conocimiento o consentimiento una vez integrados. IPIDEA también se ha vinculado a ataques de fuerza bruta a gran escala apuntando a los servicios de VPN y SSH desde principios de 2024. Desde entonces, el equipo de Device and Browser Info ha publicado una lista de todas las IP de salida de proxy vinculadas a IPIDEA.

Nuevas perspectivas de más de 1800 líderes y profesionales de la seguridad

El 99% de los SoC ya utilizan IA, pero el 81% afirma que las cargas de trabajo aumentaron el año pasado. Los equipos aún tienen que aprovechar todo el impacto de la IA. Para averiguar por qué, Tines encuestó a más de 1800 líderes y profesionales de seguridad de todo el mundo para elaborar su mayor informe sobre la voz de la seguridad hasta la fecha.

Obtenga el informe ➝

🔔 Noticias principales

• Microsoft corrige una falla explotada de Office — Microsoft publicó parches de seguridad fuera de banda para una vulnerabilidad de día cero de Microsoft Office de alta gravedad explotada en los ataques. La vulnerabilidad, registrada como CVE-2026-21509, tiene una puntuación CVSS de 7,8 sobre 10,0. Se ha descrito como una omisión de una función de seguridad en Microsoft Office. «La decisión de seguridad de Microsoft Office basada en datos que no son de confianza permite a un atacante no autorizado eludir una función de seguridad a nivel local», afirma el gigante tecnológico en un aviso. «Esta actualización corrige una vulnerabilidad que evita las mitigaciones de OLE en Microsoft 365 y Microsoft Office, que protegen a los usuarios de los controles COM/OLE vulnerables». Microsoft no ha compartido ningún detalle sobre la naturaleza y el alcance de los ataques que explotan el CVE-2026-21509.
• Los parches de Ivanti explotaron las fallas de EPMM — Ivanti implementó actualizaciones de seguridad para corregir dos fallas de seguridad que afectaban a Ivanti Endpoint Manager Mobile (EPMM) y que habían sido explotadas en ataques de día cero. Las vulnerabilidades, registradas como CVE-2026-1281 y CVE-2026-1340, están relacionadas con la inyección de código, lo que permite a los atacantes ejecutar código de forma remota sin autenticar. «En el momento en que se dio a conocer la existencia de un número muy limitado de clientes cuya solución había sido explotada», afirmó Ivanti en un aviso, añadiendo que no dispone de suficiente información sobre las tácticas de los actores de amenazas para ofrecer «indicadores atómicos fiables». A partir del 30 de enero de 2026, estará disponible un exploit de prueba de concepto que funciona al público. «Como EPMM es una solución de gestión de terminales para dispositivos móviles, el impacto de un atacante que ponga en peligro el servidor de EPMM es significativo», dijo Rapid7 dijo . «Un atacante puede acceder a la información de identificación personal (PII) relacionada con los usuarios de dispositivos móviles, como sus nombres y direcciones de correo electrónico, pero también a la información de su dispositivo móvil, como sus números de teléfono, información de GPS y otra información de identificación única y confidencial».
• Polonia vincula el ciberataque al sistema eléctrico con la tundra estática — El equipo polaco de respuesta a emergencias informáticas reveló que los ciberataques coordinados se dirigieron a más de 30 parques eólicos y fotovoltaicos, a una empresa privada del sector manufacturero y a una gran planta combinada de calor y energía (CHP) que suministra calor a casi medio millón de clientes en el país. CERT Polska dijo que el incidente tuvo lugar el 29 de diciembre de 2025 y describió los ataques como destructivos. La agencia atribuyó los ataques a un grupo de amenazas denominado Static Tundra, que también es rastreado como Berserk Bear, Blue Kraken, Crouching Yeti, Dragonfly, Energetic Bear, Ghost Blizzard (antes Bromine) y Havex. Se estima que Static Tundra está vinculada a la unidad central 16 del Servicio Federal de Seguridad (FSB) de Rusia. Según informes anteriores de ESET y Dragos, el ataque se relacionaba con un nivel moderado de confianza con un grupo que compartía coincidencias tácticas con un grupo denominado Sandworm. El grupo demuestra un profundo conocimiento de los equipos y las operaciones de la red eléctrica, un gran dominio de los protocolos industriales utilizados en los sistemas de energía y la capacidad de desarrollar software malicioso personalizado y herramientas de limpieza en entornos de TI y TO. La actividad también refleja la comprensión del adversario sobre las operaciones de las subestaciones y las dependencias operativas dentro de los sistemas eléctricos. «La adquisición de estos dispositivos requiere capacidades que van más allá de la simple comprensión de sus defectos técnicos», dijo Dragos. «Requiere conocimiento de su implementación específica. Los adversarios lo demostraron al comprometer con éxito las RTU en aproximadamente 30 sitios, lo que sugiere que habían mapeado configuraciones y patrones operativos comunes para explotarlos de manera sistemática».
• La campaña de LLMhackeo apunta a los puntos finales de IA expuestos — Los ciberdelincuentes buscan, secuestran y monetizan a gran escala los puntos finales de LLM y MCP expuestos. La campaña, denominada Operation Bizarre Bazaar, se dirige a los terminales de IA expuestos o desprotegidos para secuestrar los recursos del sistema, revender el acceso a las API, filtrar datos y trasladarlos lateralmente a los sistemas internos. «La amenaza difiere del abuso tradicional de las API porque los terminales de LLM comprometidos pueden generar costos significativos (la inferencia es costosa), exponer datos confidenciales de la organización y brindar oportunidades de movimiento lateral», afirma Pillar Security. Las organizaciones que utilizan una infraestructura de LLM autohospedada (Ollama, vLLM, implementaciones de IA locales) o que despliegan servidores MCP para integraciones de IA se enfrentan a ataques activos. Entre los errores de configuración más comunes que se aprovechan de forma activa se encuentran Ollama, que se ejecuta en el puerto 11434 sin autenticación, las API compatibles con OpenAI en el puerto 8000, los servidores MCP accesibles sin controles de acceso, el desarrollo y puesta en escena de infraestructuras de IA con IP públicas y los terminales de chatbots de producción que carecen de autenticación o límites de velocidad. El acceso a la infraestructura se anuncia en un mercado que ofrece acceso a más de 30 LLM. Denominado silver [.] inc, está alojado en una infraestructura a prueba de balas en los Países Bajos y se comercializa en Discord y Telegram, con pagos realizados a través de criptomonedas o PayPal.
• Los actores de amenazas chinos utilizan el marco PeckBirdy — Los actores de amenazas alineados con China han estado utilizando un marco JScript multiplataforma y multifunción llamado PeckBirdy para llevar a cabo ataques de ciberespionaje desde 2023, aumentando sus actividades con puertas traseras modulares en dos campañas distintas dirigidas a sitios de juegos de azar y entidades gubernamentales. El marco de comando y control (C2), escrito en el lenguaje heredado JScript de Microsoft, tiene como objetivo una implementación flexible al permitir la ejecución en varios entornos, incluidos navegadores web, MSHTA, WScript, Classic ASP, Node JS y.NET (ScriptControl).

‎️ 🔥 CVs de tendencia

Cada día aparecen nuevas vulnerabilidades y los atacantes actúan con rapidez. La revisión y la aplicación temprana de parches mantienen la resiliencia de sus sistemas.

Estas son las fallas más importantes de esta semana para verificar primero: CVE-2026-24423 (SmarterTools SmarterMail), CVE-2026-1281, CVE-2026-1340 (Ivanti Endpoint Manager Mobile), CVE-2025-40536, CVE-2025-40537, CVE-2025-40551, CVE-2025-40552, CVE-2025-40553 (Servicio de asistencia web de SolarWinds), CVE-2026-22709 (vm2), CVE-2026-1470, CVE-2026-0863 (n8n), CVE-2026-24858 (Fortinet para TiOS, FortiManager, FortiAnalyzer, FortiProxy y FortiWeb), CVE-2026-21509 (Microsoft Office), CVE-2025-30248 , CVE-2025-26465 (Western Digital), CVE-2025-56005 (CAPA), CVE-2026-23864 (Componentes del servidor React), CVE-2025-14756 (TP-Link), CVE‑2026-0755 (herramienta gemini-mcp de Google), CVE-2025-9142 (Check Point Harmony SASE), CVE-2026-1504 (Google Chrome), CVE-2025-12556 (cámaras IP IDIS), CVE-2026-0818 (Mozilla Thunderbird), CCVE-2025-52598, CVE-2025-52599, CVE-2025-52600, CVE-2025-52601, CVE-2025-8075 (cámaras Hanwha Wisenet), CVE-2025-33217, CVE-2025-33218, CVE-2025-33219, CVE-2025-33220 (Controladores de pantalla GPU NVIDIA), CVE-2025-0921 (Suite Iconics), CVE-2025-26385 (Johnson Controls) y SRC-2025-0001, SRC-2025-0002 , SRC-2025-0003, SRC-2025-0004 (Servidor Samsung MagicInfo 9).

📰 En todo el mundo cibernético

• El servidor C2 expuesto revela la infraestructura BYOB — Los investigadores de ciberseguridad han descubierto un directorio abierto en un servidor de comando y control (C2) en la dirección IP 38.255.43 [.] 60 del puerto 8081, que se ha descubierto que sirve cargas maliciosas asociadas a la botnet Build Your Own ( BYOB ) marco. «El directorio abierto contenía una implementación completa del marco BYOB posterior a la explotación, que incluía cuentagotas, etapas, cargas útiles y varios módulos posteriores a la explotación», dijo Hunt.io dijo . «El análisis de las muestras capturadas revela una cadena de infección modular de varias etapas diseñada para establecer un acceso remoto persistente en las plataformas Windows, Linux y macOS». La primera fase consiste en un dropper que implementa varios niveles de ofuscación para evitar la detección basada en firmas y, al mismo tiempo, recupera y ejecuta un cargador intermedio, que realiza una serie de comprobaciones de seguridad antes de desplegar la carga útil principal del troyano de acceso remoto (RAT) con fines de reconocimiento y persistencia. También incluye funciones para aumentar los privilegios, registrar las pulsaciones del teclado, finalizar procesos, recopilar correos electrónicos e inspeccionar el tráfico de la red. Se ha descubierto que una infraestructura adicional vinculada al actor de la amenaza aloja las cargas útiles de la minería de criptomonedas, lo que indica un enfoque doble para comprometer los puntos finales con cargas útiles diferentes.
• Phantom Enigma resurge con nuevas tácticas — Los actores de amenazas detrás del Operación Phantom Enigma campaña, dirigida a usuarios brasileños para robar cuentas bancarias a principios de 2025, resurgió con ataques similares en otoño de 2025. Los ataques, según Positive Technologies, consisten en enviar correos electrónicos de suplantación de identidad con temas relacionados con la facturación para engañar a los usuarios comunes y hacer clic en enlaces maliciosos para descargar un instalador MSI malintencionado que instala una extensión maliciosa de Google Chrome denominada EnigmaBanker en el navegador de la víctima para recopilar las credenciales y transmitirlas al servidor del atacante. El malware está diseñado para ejecutar código JavaScript que importa una extensión malintencionada a través del protocolo DevTools de Chrome ( CDP ) después de iniciar el navegador en modo de depuración. Por otro lado, los ataques dirigidos a las empresas descartan un instalador de software legítimo de acceso remoto como PDQ Connect, MeshaGent, ScreenConnect o Syncro RMM. Se sospecha que los actores de la amenaza que están detrás de la campaña operan fuera de América Latina.
• Los atacantes explotan las credenciales robadas de AWS para atacar AWS WorkMail — Los actores de amenazas están aprovechando las credenciales comprometidas de Amazon Web Services (AWS) para implementar una infraestructura de suplantación de identidad y spam con AWS WorkMail, eludiendo los controles antiabuso que normalmente aplica AWS Simple Email Service (SES). «Esto permite al autor de la amenaza aprovechar la reputación de Amazon como remitente para hacerse pasar por una entidad empresarial válida, con la posibilidad de enviar correos electrónicos directamente desde la infraestructura de AWS propiedad de la víctima», Rapid7 dijo . «La generación de una telemetría mínima atribuida al servicio también hace que la actividad de los actores de amenazas sea difícil de distinguir de la actividad rutinaria. Cualquier organización con credenciales de AWS descubiertas y políticas permisivas de administración de identidades y accesos (IAM) corre el riesgo potencial, especialmente aquellas que no cuentan con barreras ni supervisión en torno a la configuración de WorkMail y SES».
• La extensión maliciosa de VS Code ofrece malware robador — Se ha identificado una extensión maliciosa de Visual Studio Code (VS Code) en Open VSX («Angular-Studio.ng-angular-extension») que se hace pasar por una herramienta para el marco de desarrollo web de Angular, pero contiene una funcionalidad que se activa cuando se abre cualquier archivo HTML o TypeScript. Está diseñado para ejecutar JavaScript cifrado, responsable de obtener la carga útil de la siguiente etapa a partir de una URL incrustada en el campo de notas de un Cartera Solana mediante una técnica llamada Ocultación de éter mediante la creación de una solicitud de RPC para la red principal de Solana. La cadena de infección también está diseñada de tal manera que se omite la ejecución en los sistemas que cumplen con los indicadores de configuración regional rusos. «Este patrón se observa con frecuencia en el malware que proviene de actores de amenazas de habla rusa o está vinculado a ellos, y se implementa para evitar ser procesado a nivel nacional», explica Secure Annex dijo . Esta arquitectura ofrece varias ventajas: la inmutabilidad de la cadena de bloques garantiza que los datos de configuración persistan indefinidamente y los atacantes pueden actualizar las URL de carga útil sin modificar la extensión publicada. La última carga útil que se despliega como parte del ataque es un malware robador que puede robar credenciales de las máquinas de los desarrolladores, robar criptomonedas, establecer la persistencia y filtrar los datos a un servidor recuperados de un evento de Google Calendar.
• Los actores de amenazas explotan una falla crítica de Adobe Commerce — Los actores de amenazas siguen explotando una falla crítica en las plataformas de código abierto Adobe Commerce y Magento ( CVE-2025-54236 , puntuación CVSS: 9.1) para comprometer 216 sitios web de todo el mundo en una campaña e implementar web shells en sitios de Magento en Canadá y Japón para permitir el acceso persistente en otra. «Si bien no se evalúa que los casos formen parte de una sola campaña coordinada, todos los incidentes demuestran que se está abusando activamente de la vulnerabilidad para eludir la autenticación, comprometer todo el sistema y, en algunos casos, implementar servidores web y acceder de forma persistente», dijo Oasis Security dijo .
• Los anuncios maliciosos de Google conducen al malware ladrón — Los anuncios patrocinados en Google cuando se busca «limpiador de Mac» o «borrar caché macOS» se utilizan para redirigir desprevenir a los usuarios a sitios incompletos alojados en Google Docs y Medium para engañarlos y hacerles seguir Instrucciones al estilo ClickFix para entregar malware robador. En un desarrollo relacionado, los correos electrónicos de suplantación de identidad con temática de DHL que contienen archivos ZIP son en uso lanzar XLoader mediante la carga lateral de DLL, que luego utiliza técnicas de vaciado de procesos para cargar Phantom Stealer.
• Las autoridades estadounidenses investigaron las afirmaciones de Meta Contractors de que los chats de WhatsApp no son privados — Las fuerzas del orden estadounidenses han estado investigando las denuncias de antiguos contratistas de Meta de que los empleados de la empresa pueden acceder a los mensajes de WhatsApp, a pesar de las declaraciones de la empresa de que el servicio de chat es privado y está encriptado. Los contratistas afirmaron que parte del personal de Meta tenía acceso «sin restricciones» a los mensajes de WhatsApp, contenido que debería estar prohibido, según Bloomberg reportó . El informe contrasta marcadamente con las bases de cifrado de WhatsApp, que impiden que terceros, incluida la empresa, accedan al contenido del chat. «Lo que afirman estas personas no es posible porque WhatsApp, sus empleados y sus contratistas no pueden acceder a las comunicaciones cifradas de las personas», dijo Meta a Bloomberg. Vale la pena señalar que cuando un el usuario informa sobre un usuario o grupo , WhatsApp recibe hasta cinco de los últimos mensajes que se le han enviado, junto con sus metadatos. Esto equivale a hacer una captura de pantalla de los últimos mensajes, ya que ya están en el dispositivo y están descifrados porque el dispositivo tiene la «clave» para leerlos. Sin embargo, estas acusaciones sugieren un acceso mucho más amplio a la plataforma.
• Detectado un nuevo malware PyRAT — Se ha descubierto que un nuevo troyano de acceso remoto (RAT) basado en Python llamado PyRAT demuestra capacidades multiplataforma, métodos de infección persistente y amplias funciones de acceso remoto. Admite funciones como la ejecución de comandos del sistema, las operaciones del sistema de archivos, la enumeración de archivos, la carga/descarga de archivos y la creación de archivos para facilitar la filtración masiva de datos robados. El malware también viene equipado con funciones de autolimpieza para desinstalarse automáticamente de la máquina víctima y borrar todos los componentes de persistencia. «Este RAT basado en Python representa un riesgo notable para las organizaciones debido a su capacidad multiplataforma, su amplia funcionalidad y su facilidad de implementación», dijo K7 Security Labs dijo . «Aunque no está asociado a actores de amenazas altamente sofisticados, su eficacia en los ataques del mundo real y las tasas de detección observadas indican que los ciberdelincuentes lo utilizan activamente y merece atención». En la actualidad, no se sabe cómo se distribuye.
• Se detalla la nueva técnica de ataque Exfil Out&Look — Los investigadores de ciberseguridad han descubierto una nueva técnica llamada Exfil Out&Look que abusa de los complementos de Outlook para robar datos de las organizaciones. «Un complemento instalado mediante OWA [Outlook Web Access] puede utilizarse indebidamente para extraer datos de correo electrónico de forma silenciosa sin generar registros de auditoría ni dejar ninguna huella forense, lo que contrasta marcadamente con el comportamiento observado en Outlook Desktop», dijo Varonis dijo . «En las organizaciones que dependen en gran medida de los registros de auditoría unificados para la detección e investigación, este punto ciego puede permitir que los complementos malintencionados o demasiado permisivos funcionen sin ser detectados durante períodos prolongados». Un atacante podría aprovechar este comportamiento para activar la funcionalidad principal de un complemento cuando la víctima envía un correo electrónico, lo que le permitiría interceptar los mensajes salientes y enviar los datos a un servidor de terceros. Tras la divulgación responsable a Microsoft el 30 de septiembre de 2025, la empresa clasificó el problema como de baja gravedad y no lo solucionó de inmediato.
• Servidores MongoDB expuestos explotados para ataques de extorsión — Casi la mitad de todos los servidores MongoDB expuestos a Internet se han visto comprometidos y están siendo retenidos para pedir un rescate. Un agente de amenazas no identificado se ha centrado en instancias mal configuradas para enviar notas de rescate a más de 1.400 bases de datos exigiendo el pago de bitcoins para restaurar los datos. El análisis de Flare descubrió que había más de 208.500 servidores MongoDB expuestos públicamente, de los cuales 100 000 contenían información operativa, y se podía acceder a 3 100 sin necesidad de autenticación. Además, casi la mitad (95 000) de todos los servidores MongoDB expuestos a Internet utilizan versiones anteriores que son vulnerables a las fallas de un día para otro. «Los actores de amenazas exigen el pago en bitcoins (a menudo en torno a los 0,005 BTC, lo que hoy equivale a entre 500 y 600 dólares) a una dirección de monedero específica, con la promesa de restaurar los datos», afirma la empresa de ciberseguridad dijo . «Sin embargo, no hay garantía de que los atacantes tengan los datos o que proporcionen una clave de descifrado que funcione si pagan».
• Sumérjase en los foros de la Dark Web — Positive Technologies ha analizado en profundidad los foros modernos de la dark web y ha observado que se encuentran en un estado de cambio constante debido al aumento de las operaciones policiales, aun cuando adoptan tecnologías de protección y anonimato como Tor e I2P, junto con barreras antibots, mecanismos antiscraping, moderación cerrada y un estricto sistema de confianza para escapar del escrutinio y bloquear las actividades sospechosas. «Sin embargo, los resultados de estas intervenciones rara vez son definitivos: la eliminación de un foro generalmente se convierte en el punto de partida para el surgimiento de uno nuevo, más sostenible y seguro», dijo dijo . «Y una característica importante de estos foros es el alto nivel de desarrollo de los medios técnicos de protección. Si las primeras generaciones de foros de la web oscura eran plataformas web primitivas que solían existir en la parte pública de Internet, los foros modernos son sistemas distribuidos complejos con una infraestructura de varios niveles, API, bots de moderación, herramientas de verificación integradas y un sistema de acceso en varias etapas».
• La campaña TA584 lanza XWorm y Tsundere Bot — Un prolífico agente de acceso inicial conocido como TA584 (también conocido como Tormenta-0900 ) se ha observado utilizando el Bot Tsundere junto a Gusano X troyano de acceso remoto para obtener acceso a la red en caso de posibles ataques de ransomware posteriores. El malware XWorm utiliza una configuración denominada «P0WER» para permitir su ejecución. «En la segunda mitad de 2025, el TA584 demostró múltiples cambios en la cadena de ataque, incluida la adopción Haga clic en Fijar la ingeniería social, la ampliación de la segmentación para centrarse de forma más coherente en zonas geográficas e idiomas específicos y, recientemente, la publicación de un nuevo malware llamado «Tsundere Bot», Proofpoint dijo . Se estima que el actor de amenazas está activo al menos desde 2020, pero ha mostrado un ritmo operativo acelerado desde marzo de 2025. Las organizaciones de Norteamérica, el Reino Unido, Irlanda y Alemania son los principales objetivos. Los correos electrónicos enviados por el TA584 se hacen pasar por varias organizaciones relacionadas con entidades sanitarias y gubernamentales, además de utilizar señuelos creíbles y bien diseñados para hacer que las personas interactúen con contenido malintencionado. Estos mensajes se envían a través de cuentas comprometidas o de servicios de terceros, como SendGrid y Amazon Simple Email Service (SES). «Los correos electrónicos suelen contener enlaces únicos para cada objetivo que realizan el geofencing y el filtrado de IP», afirma Proofpoint. «Si se aprueban estas comprobaciones, se redirige al destinatario a una página de destino que se corresponde con el atractivo del correo electrónico». En las primeras versiones de la campaña se distribuyeron documentos de Excel habilitados para macros, denominados EtterSilent, para facilitar la instalación del malware. El objetivo final del ataque es iniciar una cadena de redireccionamiento que incluya sistemas de direccionamiento del tráfico (TDS) de terceros, como Keitaro, a una página de CAPTCHA, seguida de una página de ClickFix en la que se indique a la víctima que ejecute un comando de PowerShell en su sistema. Algunas de las otras cargas útiles distribuidas por TA584 en el pasado incluyen Ursine, TA584, WARMCOOKIE, Xeno RAT, Cobalt Strike y DCRat.
• Corea del Sur notificará a los ciudadanos sobre las filtraciones de datos — El gobierno surcoreano notificará ciudadanos cuando sus datos quedaron expuestos en una brecha de seguridad. El nuevo sistema de notificación cubrirá las infracciones confirmadas, pero también alertará a las personas que puedan estar implicadas en una violación de datos, incluso si el caso no se ha confirmado. Estas alertas también incluirán información sobre cómo solicitar una indemnización por los daños y perjuicios.
• Detalles sobre la falla crítica de Apache bRPC — CyberArk ha publicado detalles sobre una vulnerabilidad crítica recientemente corregida en Apache bRPC (CVE-2025-60021, puntuación CVSS: 9,8) que podría permitir a un atacante inyectar comandos remotos. El problema reside en el punto final del generador de perfiles «/pprof/heap». «El servicio de creación de perfiles de pilas /pprof/heap no validó el parámetro extra_options proporcionado por el usuario antes de incorporarlo a la línea de comandos de jeprof», CyberArk dijo . <user_input>«Antes de la corrección, extra_options se añadía directamente a la cadena de comando como —. Como este comando se ejecuta posteriormente para generar la salida de la generación de perfiles, los caracteres especiales del shell en la entrada controlada por el atacante podían alterar el comando ejecutado y provocar la inyección de comandos». En consecuencia, un atacante podría aprovechar un punto final accesible denominado «/pprof/heap» para ejecutar comandos arbitrarios con los privilegios del proceso Apache bRPC, lo que daría lugar a la ejecución remota del código. Hay alrededor de 181 terminales /pprof/heap de acceso público y 790 terminales /pprof/ * a los que se puede acceder públicamente, aunque no se sabe cuántos de ellos son susceptibles a este error.
• Los actores de amenazas utilizan un nuevo truco de Unicode para evadir la detección — Los actores de amenazas utilizan el carácter Unicode para la división matemática () en lugar de una barra diagonal estándar (/) en los enlaces maliciosos para evitar ser detectados. «La diferencia apenas perceptible entre las barras diagonales y las barras diagonales hace que los filtros y sistemas de seguridad automatizados tradicionales fallen, lo que permite que los enlaces eviten ser detectados», afirma Barracuda, empresa de seguridad de correo electrónico dijo . «Como resultado, las víctimas son redirigidas a páginas predeterminadas o aleatorias».
• China ejecuta a 11 miembros de la mafia estafadora de Myanmar — El gobierno chino ha ejecutado 11 miembros de la familia Ming que dirigían complejos de ciberestafas en Myanmar. Los sospechosos fueron sentenciados en septiembre de 2025 tras su detención en 2023. En noviembre de 2025, cinco miembros de un sindicato delictivo de Myanmar eran sentenciado a muerte por su papel en la administración de complejos de estafas a escala industrial cerca de la frontera con China. Las estafas y las casas de juego de la mafia Ming recaudaron más de 1.400 millones de dólares entre 2015 y 2023, según BBC News reportó , citando al máximo tribunal de China.
• El FBI insta a las organizaciones a mejorar la ciberseguridad — La Oficina Federal de Investigaciones (FBI) de los Estados Unidos lanzó la Operación Winter SHIELD (abreviatura de «Asegurar la infraestructura nacional mediante la mejora de la defensa en capas»), en la que se describen diez acciones que las organizaciones deben implementar para mejorar la ciberresiliencia. Esto incluye la adopción de una autenticación resistente a la suplantación de identidad, la implementación de un programa de gestión de vulnerabilidades basado en el riesgo, la retirada de la tecnología al final de su vida útil, la gestión del riesgo de terceros, la conservación de los registros de seguridad, el mantenimiento de las copias de seguridad fuera de línea, el inventario de los sistemas y servicios conectados a Internet, el fortalecimiento de la autenticación del correo electrónico, la reducción de los privilegios de administrador y la ejecución de planes de respuesta ante incidentes con todas las partes interesadas. «Winter SHIELD proporciona a la industria una hoja de ruta práctica para proteger mejor los entornos de tecnología de la información (TI) y tecnología operativa (OT), reforzando la infraestructura digital del país y reduciendo la superficie de ataque», dijo el FBI dijo . «Nuestro objetivo es simple: impulsar la resiliencia en todos los sectores ayudando a las organizaciones a entender dónde se centran los adversarios y qué medidas concretas pueden tomar ahora (y avanzar en el futuro) para dificultar la explotación».
• Los anfitriones solo bloquean el 26% de los ataques de vulnerabilidad — Un nuevo estudio realizado por la empresa de seguridad de sitios web PatchStack ha revelado que los proveedores de servicios de alojamiento no mitigan la mayoría de las vulnerabilidades comunes específicas de WordPress. En una prueba en la que se utilizaron 30 vulnerabilidades de las que se sabía que se aprovechaban en ataques reales, la empresa descubrió que el 74% de todos los ataques tenían como resultado una apropiación exitosa del sitio. «De las vulnerabilidades de mayor impacto, los ataques de Privilege Escalation solo se bloquearon el 12% de las veces», dijo Patchstack dijo . «El mayor problema no es que los anfitriones no se preocupen por los ataques de vulnerabilidad, sino que piensan que sus soluciones actuales son suficientes».
• Los ciberataques se distribuyeron más en 2025 — El informe Threat Roundup de Forescout para 2025 reveló que los ciberataques se distribuyeron más globalmente y se habilitaron en la nube. «En 2025, los 10 principales países representaron el 61% del tráfico malicioso, lo que representa una disminución del 22% en comparación con 2024, lo que supone una inversión de la tendencia observada desde 2022, cuando esa cifra era del 73%», señala Forescout dijo . «En otras palabras, los ataques están más distribuidos y los atacantes utilizan con mayor frecuencia direcciones IP de países menos comunes». Estados Unidos, India y Alemania fueron los países más atacados: el 59% de los ataques procedían de direcciones IP gestionadas por un ISP, el 17% de redes empresariales y gubernamentales y el 24% de proveedores de alojamiento o de nube. La gran mayoría de los ataques procedían de China, Rusia e Irán. Los ataques con protocolos OT aumentaron un 84%, liderados por Modbus. El desarrollo se produce como Cisco Talos revelada que los actores de amenazas explotan cada vez más las aplicaciones públicas, superando al phishing en el último trimestre de 2025.
• Google acuerda resolver una demanda de privacidad por 68 millones de dólares — Google tiene convenido pagar 68 millones de dólares para resolver una demanda colectiva en la que se alega que su asistente activado por voz grabó y compartió ilegalmente las conversaciones privadas con terceros sin su consentimiento. El caso giraba en torno a las «falsas aceptaciones», en las que se decía que el Asistente de Google activaba y grababa las comunicaciones del usuario incluso en situaciones en las que no se utilizaba la palabra clave propiamente dicha: «Ok Google». Google ha negado haber actuado mal. Apple alcanzó un acuerdo similar de 95 millones de dólares en diciembre de 2024 por las grabaciones de Siri. Por otra parte, Google ha accedido a pagar 135 millones de dólares para resolver una demanda colectiva propuesta en la que se acusaba a la empresa de utilizar ilegalmente los datos móviles de los usuarios para transmitir la información del sistema a sus servidores sin el conocimiento o consentimiento del usuario desde el 12 de noviembre de 2017. Como parte del acuerdo, Google no transferirá datos sin obtener el consentimiento de los usuarios de Android cuando configuren sus teléfonos. También facilitará a los usuarios detener las transferencias y las divulgará en sus condiciones de servicio de Google Play. El desarrollo sigue a una Corte Suprema de los Estados Unidos decisión para conocer un caso derivado del uso de un píxel de seguimiento de Facebook para supervisar los hábitos de streaming de los usuarios de un sitio web deportivo.
• Fallos de seguridad en el protocolo Fast Pair de Google — Se ha descubierto que más de una docena de modelos de auriculares y altavoces son vulnerables a una nueva vulnerabilidad (CVE-2025-36911, puntuación CVSS: 7.1) en el protocolo Google Fast Pair. Llamado Pareja Whisper , el ataque permite a los actores de amenazas secuestrar los accesorios de un usuario sin la interacción del usuario. En algunos casos, los atacantes también pueden registrarse como propietarios de esos accesorios y rastrear los movimientos de los verdaderos propietarios a través del Google Find Hub. Google otorgó a los investigadores 15 000 dólares tras la divulgación responsable de la información en agosto de 2025. «WhisperPair permite a los atacantes vincular por la fuerza un accesorio vulnerable de Fast Pair (por ejemplo, auriculares o auriculares inalámbricos) con un dispositivo controlado por un atacante (por ejemplo, un ordenador portátil) sin el consentimiento del usuario», afirman investigadores del grupo COSIC de la Universidad Católica de Lovaina. «De este modo, el atacante tiene un control total sobre el accesorio, lo que le permite reproducir audio a un volumen elevado o grabar conversaciones con el micrófono. Este ataque tiene éxito en cuestión de segundos (una mediana de 10 segundos) a distancias realistas (probadas hasta 14 metros) y no requiere acceso físico al dispositivo vulnerable». En noticias relacionadas, se descubrió una vulnerabilidad de filtración de información (CVE-2025-13834) y una vulnerabilidad de denegación de servicio (DoS) (CVE-2025-13328) en las versiones 3 Pro a 6 Pro de los Xiaomi Redmi Buds. «Un atacante que se encuentre dentro del alcance de la radio Bluetooth puede enviar interacciones del protocolo RFCOMM especialmente diseñadas a los canales internos del dispositivo sin necesidad de emparejamiento o autenticación previos, lo que permite exponer datos confidenciales relacionados con las llamadas o provocar fallos de firmware repetibles», dijo el Centro de Coordinación del CERT (CERT/CC) dijo .

🎥 Seminarios web sobre ciberseguridad

• Su pila de SOC está rota: aquí le mostramos cómo solucionarlo rápidamente : Los equipos de SOC modernos se están ahogando en herramientas, alertas y complejidad. Esta sesión en vivo con el director ejecutivo de AirMDR, Kumar Saurabh, y el director ejecutivo de SACR, Francis Odum, elimina el ruido y muestra qué crear, qué comprar y qué automatizar para obtener resultados reales. Descubra cómo los mejores equipos diseñan SoC eficientes y rentables que realmente funcionan. Únase ahora para tomar decisiones de seguridad más inteligentes.
• La IA está reescribiendo la ciencia forense en la nube: aprenda a investigar más rápido : Las investigaciones en la nube son cada vez más difíciles a medida que las pruebas desaparecen rápidamente y los sistemas cambian minuto a minuto. Los análisis forenses tradicionales no pueden seguir el ritmo. Únete a los expertos de Wiz para ver cómo la inteligencia artificial y el análisis forense sensible al contexto están transformando la respuesta a los incidentes en la nube, ayudando a los equipos a capturar los datos correctos automáticamente, conectar los puntos más rápido y descubrir lo que realmente ocurrió en cuestión de minutos en lugar de días.
• Desarrolle su defensa segura desde el punto de vista cuántico: obtenga orientación para los líderes de TI : Las computadoras cuánticas pronto podrían romper el cifrado que protege los datos actuales. Los piratas informáticos ya están robando información cifrada ahora para descifrarla más adelante. Únase a este seminario web de Zscaler para aprender cómo la criptografía poscuántica protege su empresa, utilizando herramientas de seguridad preparadas para el futuro, basadas en el cifrado híbrido, la confianza cero y preparadas para la tecnología cuántica.

🔧 Herramientas de ciberseguridad

• Vulnhala : CyberArk ofrece una nueva herramienta que automatiza la clasificación de vulnerabilidades al combinar el análisis de CodeQL con modelos de IA como GPT-4 o Gemini. Analiza los repositorios de código públicos, ejecuta consultas en CodeQL para detectar posibles problemas y, a continuación, utiliza la IA para decidir cuáles son fallos de seguridad reales y cuáles son falsos positivos. Esto ayuda a los desarrolladores y a los equipos de seguridad a centrarse rápidamente en los riesgos reales, en lugar de perder tiempo buscando entre los ruidosos resultados de los escaneos.
• Ley abierta : Un asistente personal de IA que se ejecuta en Cloudflare Workers y se conecta a Telegram, Discord y Slack con un emparejamiento seguro de dispositivos. Utiliza Claude a través de la API antrópica y el almacenamiento R2 opcional para mantener la persistencia, lo que demuestra cómo los agentes de IA pueden funcionar de forma segura en una configuración de Cloudflare en un entorno aislado y sin servidor.

Descargo de responsabilidad: Estas herramientas se proporcionan únicamente para fines educativos y de investigación. No se someten a auditorías de seguridad y pueden causar daños si se utilizan de forma indebida. Revise el código, pruébelo en entornos controlados y cumpla con todas las leyes y políticas aplicables.

Conclusión

La ciberseguridad avanza con rapidez. Los artículos de esta semana muestran cómo los ataques, las defensas y los descubrimientos siguen cambiando el equilibrio. Mantenerse seguro ahora significa mantenerse alerta, reaccionar con rapidez y saber lo que cambia a su alrededor.

Los últimos días han demostrado que nadie es demasiado pequeño para ser un objetivo y que ningún sistema es totalmente seguro. Cada parche, cada actualización y cada corrección cuentan, porque las amenazas no esperan.

Siga aprendiendo, sea cauteloso y mantenga la guardia alta. La próxima ola de ataques ya se está formando.