⚡ Resumen semanal: malware Bootkit, ataques imp...

En un mundo en el que las amenazas son persistentes, el verdadero trabajo del CISO moderno no es solo proteger la tecnología, sino preservar la confianza institucional y garantizar la continuidad del negocio.

Esta semana, vimos un patrón claro: los adversarios se centran en las complejas relaciones que mantienen unidas a las empresas, desde las cadenas de suministro hasta las asociaciones estratégicas. Con las nuevas regulaciones y el aumento de los ataques impulsados por la inteligencia artificial, las decisiones que tome ahora determinarán la resiliencia de su organización en los próximos años.

No se trata solo de un resumen de amenazas; es el contexto estratégico que necesita para liderar de manera eficaz. Aquí tienes tu resumen semanal completo, repleto de información para mantenerte a la vanguardia.

⚡ Amenaza de la semana

El nuevo ransomware HybridPetya evita el arranque seguro de UEFI — Se ha descubierto una versión imitadora del infame malware Petya/NotPetya denominado HybridPetya. Pero no existe ninguna telemetría que sugiera que HybridPetya se haya desplegado todavía en estado salvaje. También difiere en un aspecto clave: puede comprometer la función de arranque seguro de la Interfaz de firmware extensible unificada (UEFI) al instalar una aplicación malintencionada. Los atacantes valoran los kits de arranque, ya que el malware instalado en ese nivel puede evitar que las aplicaciones antivirus lo detecten y sobrevivir a las reinstalaciones del sistema operativo. Con acceso a la UEFI, los piratas informáticos pueden desplegar sus propias cargas útiles en modo kernel. ESET dijo que encontró muestras de HybridPetya subidas a la plataforma VirusTotal de Google en febrero de 2025.

Guía de inicio: Transformar la detección y la respuesta para la era de la nube

Los ataques en la nube necesitan una respuesta nativa de la nube. La nube ofrece a los equipos una velocidad y una flexibilidad increíbles. La seguridad debe seguir ese ritmo y ayudarlo a detectar problemas y responder a ellos en tiempo real sin ralentizar la innovación. Ahí es donde entra en juego la detección y respuesta en la nube (CDR). Creado para la nube, el CDR le brinda una visibilidad completa, lo que le permite comprender las amenazas a las que se enfrenta su entorno y ofrecer mejores recomendaciones de reparación. Descubra cómo la CDR permite a los equipos de seguridad actuar de forma más rápida e inteligente y aportar claridad a SecOps

Obtenga la guía ➝

🔔 Noticias principales

• Los parches de Samsung explotan activamente una falla — Samsung ha publicado una solución para una vulnerabilidad de seguridad que, según afirma, ha sido explotada en ataques de día cero. La vulnerabilidad, CVE-2025-21043 (puntuación CVSS: 8,8), se refiere a una escritura fuera de los límites que podría provocar la ejecución arbitraria de código. Según el gigante surcoreano de la electrónica, el problema es crítico y afecta a las versiones 13, 14, 15 y 16 de Android. La vulnerabilidad se reveló de forma privada a la empresa el 13 de agosto de 2025. Samsung no compartió ningún detalle sobre cómo se aprovecha la vulnerabilidad en los ataques y quién puede estar detrás de estos esfuerzos. Sin embargo, reconoció que «existe en la naturaleza un exploit para este problema».
• Google Pixel 10 añade soporte para el estándar C2PA — Google anunció que sus nuevos teléfonos Google Pixel 10 son compatibles con el estándar Coalition for Content Provenance and Authenticity (C2PA) listo para usar para verificar el origen y el historial del contenido digital. Se ha añadido la compatibilidad con las credenciales de contenido de C2PA a las aplicaciones Pixel Camera y Google Photos para Android. La medida, según Google, está diseñada para fomentar la transparencia de los medios digitales. «Los teléfonos Pixel 10 admiten marcas de tiempo confiables en el dispositivo, lo que garantiza que las imágenes capturadas con la aplicación de cámara nativa sean confiables después de que caduque el certificado, incluso si se capturaron cuando el dispositivo estaba desconectado», explica Google dijo .
• APT china despliega el malware EggStreme en un ataque dirigido a Filipinas — Se ha utilizado un novedoso marco de malware llamado EggStreme en un ciberataque contra una empresa militar filipina atribuido a un grupo de hackers respaldado por el gobierno de China. El framework EggStreme consiste en un conjunto de componentes maliciosos estrechamente integrados que, a diferencia del malware tradicional, funciona «con un flujo claro y de varias etapas diseñado para establecer una posición sólida en los sistemas comprometidos». El backdoor ofrece una amplia gama de funciones, lo que permite a los piratas informáticos inyectar otras cargas útiles, moverse por la red de la víctima y mucho más. La actividad se observó entre el 9 de abril de 2024 y el 13 de junio de 2025, lo que indica un esfuerzo de un año. Los atacantes aprovecharon los servicios legítimos de Windows para integrarse en las operaciones normales del sistema y mantener el acceso.
• El nuevo malware Raton se dirige a Android — Un nuevo malware para Android llamado RaTon ha pasado de ser una herramienta básica capaz de realizar ataques de retransmisión de comunicación de campo cercano (NFC) a convertirse en un sofisticado troyano de acceso remoto con capacidades de sistema de transferencia automatizada (ATS) para cometer fraudes con dispositivos. El troyano fusiona técnicas de retransmisión de NFC, superposiciones de ransomware y capacidades de ATS, lo que lo convierte en una potente herramienta con un doble objetivo: iniciar transferencias de fondos no autorizadas y comprometer las cuentas de monederos de criptomonedas asociadas a MetaMask, Trust, Blockchain.com y Phantom.
• Apple estrena la aplicación de la integridad de la memoria en los iPhone Air y 17 — Apple presentó un sistema de seguridad integral llamado Memory Integrity Enforcement (MIE) que representa la culminación de un esfuerzo de ingeniería de cinco años para combatir los sofisticados ciberataques dirigidos a usuarios individuales a través de vulnerabilidades de corrupción de memoria. La tecnología está integrada en los nuevos dispositivos iPhone 17 y iPhone Air de Apple, que cuentan con los chips A19 y A19 Pro. Combina hardware diseñado a medida con cambios en el sistema operativo para ofrecer lo que Apple describe como una protección de memoria «pionera en la industria y siempre activa». MIE funciona asignando una etiqueta secreta a cada pieza de la memoria de un iPhone nuevo. Esto significa que solo las aplicaciones con esa etiqueta secreta podrán acceder a esa memoria en el futuro. Si el secreto no coincide, se activan las protecciones de seguridad para bloquear la solicitud, terminar el proceso y registrar el evento. Dado que las vulnerabilidades que dañan la memoria representan algunas de las amenazas más generalizadas para la seguridad de los sistemas operativos, la iniciativa está diseñada principalmente para defenderse de los ataques sofisticados, en particular de los denominados vendedores mercenarios de software espía, que los aprovechan para enviar software espía a los dispositivos objetivo mediante ataques sin hacer clic y sin la interacción del usuario. A diferencia de los dispositivos Google Pixel, en los que es una función opcional para los desarrolladores, MIE estará activado de forma predeterminada en todo el sistema. Sin embargo, las aplicaciones de terceros, incluidas las aplicaciones de mensajería y redes sociales, tendrán que hacerlo implementan MIE por su cuenta para mejorar la protección de sus usuarios. Si bien ninguna tecnología está a prueba de ataques informáticos, se espera que MIE eleve el coste del desarrollo de tecnologías de vigilancia, obligando a las empresas que tienen exploits que funcionan de nuevo a partir de cero, ya que dejarán de trabajar en los nuevos iPhones.
• La comunidad de código abierto se une contra el ataque a la cadena de suministro de npm — Un software ataque a la cadena de suministro que comprometía varios paquetes de npm con más de 2 mil millones de descargas semanales se mitigó rápidamente, lo que dejó a los atacantes con pocos beneficios gracias al plan de robo de criptomonedas. El incidente se produjo después de que algunos desarrolladores cayeran víctimas de un ataque de suplantación de identidad de npm para restablecer contraseñas, lo que permitió a los atacantes acceder a sus cuentas y publicar paquetes troyanos con código malicioso para robar criptomonedas redirigiendo las transacciones a carteras que estaban bajo su control. Concretamente, el malware reemplaza las direcciones de monedero legítimas por otras controladas por atacantes, y utiliza el algoritmo de distancia de Levenshtein para elegir la dirección visualmente más similar, lo que hace que el intercambio sea prácticamente indetectable a simple vista. «Los atacantes utilizaron de forma deficiente un ofuscador muy conocido, lo que permitió detectarlos inmediatamente poco después de la publicación de las versiones maliciosas», afirma JFrog. Según dato de Arkham , los atacantes lograron robar unos 1.087 dólares. Durante el período de dos horas que estuvieron disponibles para su descarga, aproximadamente el 10% de los entornos de nube retiraron los paquetes comprometidos, por cada empresa de seguridad en la nube Mago , que caracterizó el impacto de la campaña como un ataque de «denegación de servicio» contra la industria que desperdició «innumerables horas de trabajo» para garantizar la mitigación del riesgo. «En el caso de npm, creo que la gran respuesta es publicar de forma fiable, lo que incluye el uso de la certificación y la procedencia», dijo Charlie Eriksen, investigador principal de malware de Aikido Security, a The Hacker News. «En mi opinión, una vez que un paquete se vuelve lo suficientemente popular, no debería ser posible publicar nuevas versiones del mismo sin su uso. Al utilizar una publicación confiable, los mantenedores pueden configurarla para que la única fuente que pueda publicar nuevas versiones sea a través de GitHub o GitLab. Esto requiere todos los flujos de trabajo y controles normales que ofrecen los repositorios de código fuente, como pedir a varias personas que revisen un pull request antes de que pueda fusionarse en la rama principal y hacer que se publique una nueva versión».

🔥 CVEs de moda

Los hackers no esperan. Aprovechan las vulnerabilidades recién descubiertas en cuestión de horas, transformando un parche perdido o un error oculto en un punto crítico de fallo. Un CVE sin parches es todo lo que se necesita para abrir la puerta a un compromiso a gran escala. A continuación se muestran las vulnerabilidades más críticas de esta semana, que están causando sensación en todo el sector. Revise la lista, priorice la aplicación de parches y cierre la ventana de oportunidad antes de que lo hagan los atacantes.

La lista de esta semana incluye: CVE-2025-21043 (Samsung), CVE-2025-5086 (Dassault Systèmes DELMIA Apriso), CVE-2025-54236 (Adobe Commerce), CVE-2025-42944, CVE-2025-42922, CVE-2025-42958 (SAP NetWeaver), CVE-2025-9636 (pgAdmin), CVE-2025-7388 (Progress OpenEdge), CVE-2025-57783, CVE-2025-57784, CVE-2025-57785 (Hiawatha), CVE-2025-9994 (RF BT-AP 111 amplificado), CVE-2024-45325 (CLI Fortinet FortiDDoS-F), CVE-2025-9712 , CVE-2025-9872 (Ivanti Endpoint Manager), CVE-2025-10200 , CVE-2025-10201 (Google Chrome), CVE-2025-49459 (Zoom Workplace para Windows en Arm), CVE-2025-10198, CVE-2025-10199 (Sunshine para Windows), CVE-2025-4235 (Agente de credenciales de identificación de usuario de Palo Alto Networks para Windows), CVE-2025-58063 (complemento CoreDNS, etcd), CVE-2025-20340 (Cisco IOS XR), CVE-2025-9556 (Langchaingo), y CVE-2025-24293 (Ruby on Rails).

📰 En todo el mundo cibernético

• Usuarios de VS Code, Cursor y Windsurf atacados por WhiteCobra — Un actor de amenazas conocido como Cobra blanca está dirigido a los usuarios de Visual Studio Code, Cursor y Windsurf con 24 extensiones maliciosas en el mercado de Visual Studio y el registro de Open VSX. El mismo actor de amenazas es creído estar detrás de otras extensiones de VS Code que se hicieron pasar por el lenguaje de programación Solidity para lanzar malware robador, lo que llevó al robo de alrededor de 500 000 dólares en criptoactivos a un desarrollador ruso. El objetivo final de la campaña es promocionar las extensiones en plataformas de redes sociales como X, engañar a los desarrolladores para que las instalen y filtrar frases relacionadas con monederos de criptomonedas con fines lucrativos utilizando Lumma Stealer. Según un manual interno que se filtró, los ciberdelincuentes, los actores de las amenazas establecen previsiones de ingresos de entre 10 000 y 500 000 dólares, proporcionan guías de configuración de infraestructuras de mando y control (C2) y describen estrategias de ingeniería social y promoción del marketing. Esta actividad también implica la ejecución de scripts automatizados para generar 50 000 descargas falsas con fines sociales. «Al falsificar cantidades masivas de descargas, siguen engañando a los desarrolladores y, a veces, incluso a los sistemas de revisión de los mercados, haciéndoles creer que sus extensiones son seguras, populares y han sido revisadas», afirma Koi Security. «Para un observador casual, 100 000 instalaciones son señal de legitimidad. Eso es exactamente con lo que cuentan».

• El troyano bancario Mamont ocupó un lugar destacado en el segundo trimestre de 2025 — Kaspersky dijo detectó un total de 42.220 paquetes de instalación asociados a troyanos de banca móvil en el segundo trimestre de 2025, frente a los 49.273 del primer trimestre de 2025. «La mayor parte de los paquetes de instalación de troyanos para la banca móvil siguen consistiendo en varias modificaciones de Mamont, que representan el 57,7%», afirma el proveedor ruso de ciberseguridad. También predominaron Coper, dirigido a usuarios de Turquía, Rewardsteal, que operaba en la India, y Pylcasa, un nuevo tipo de cuentagotas distribuido en Brasil. «Se infiltran en Google Play haciéndose pasar por aplicaciones sencillas, como calculadoras, pero una vez lanzadas, abren una URL proporcionada por actores malintencionados, similares a los troyanos de la familia Fakemoney», añade. «Estas URL pueden llevar a sitios web de casinos ilegales o páginas de suplantación de identidad».
• El exjefe de seguridad de WhatsApp presenta una demanda — Attaullah Baig, exjefe de seguridad de WhatsApp, archivado una demanda en la que se acusa a la empresa de ignorar los problemas sistémicos de privacidad y seguridad que supuestamente pusieron en peligro la información de los usuarios, según The New York Times. La demanda de WhatsApp alega que aproximadamente 1.500 ingenieros de WhatsApp tenían acceso sin restricciones a los datos de los usuarios, incluida la información personal confidencial, y que los empleados «podían mover o robar esos datos sin ser detectados ni auditados». Al parecer, Baig también notificó a la alta dirección sobre la posibilidad de robar datos en la plataforma, que permite extraer imágenes y nombres de unos 400 millones de perfiles de usuarios, a menudo para utilizarlos en estafas de suplantación de identidad de cuentas. Meta tiene cuestionado la alegaciones , afirmando que se trata del caso de un exempleado que «hace públicas afirmaciones distorsionadas que tergiversan el arduo trabajo continuo de nuestro equipo» tras ser despedido por su bajo rendimiento.
• Hallan spyware en teléfonos de cineastas kenianos — Las autoridades kenianas han sido acusado de instalar software espía en los teléfonos de dos cineastas, Bryan Adagala y Nicholas Wambugu, quienes ayudaron a producir un documental sobre el levantamiento juvenil del país. Los cineastas fueron arrestados en mayo de 2025 y puestos en libertad un día después, pero sus teléfonos fueron confiscados y no se los devolvieron hasta el 10 de julio. Se cree que las autoridades kenianas instalaron una aplicación comercial de software espía llamada FlexiSPY, que puede grabar llamadas, rastrear ubicaciones, escuchar a través de micrófonos, descargar fotos y capturar correos electrónicos y mensajes de texto.
• Ataques DDoS masivos evitados — Un proveedor de servicios de mitigación de DDoS en Europa fue blanco de un ataque masivo de denegación de servicio distribuido que alcanzó los 1500 millones de paquetes por segundo. Según FastNetMon, el ataque se originó en miles de enrutadores IoT y MikroTik. «El ataque alcanzó los 1500 millones de paquetes por segundo (1,5 Gpps), una de las mayores inundaciones de paquetes divulgadas públicamente», afirma dijo . «El tráfico malintencionado consistía principalmente en una inundación de UDP lanzada desde equipos comprometidos en las instalaciones del cliente (CPE), incluidos dispositivos y enrutadores de IoT, en más de 11 000 redes únicas en todo el mundo». En una noticia relacionada, Qrator afirmó haber detectado y bloqueado, el 1 de septiembre de 2025, un ataque a gran escala llevado a cabo por lo que describió como la «mayor botnet L7 de DDoS observada hasta la fecha». El ataque tuvo como objetivo una entidad anónima del sector gubernamental. La botnet, que compromete 5,76 millones de direcciones IP, existe desde el 26 de marzo de 2025, cuando tenía alrededor de 1,33 millones de direcciones IP. «La mayor parte del tráfico malicioso aún procedía de Brasil (1,41 millones), Vietnam (661 000), Estados Unidos (647 000), India (408 000) y Argentina (162 000)», dijo .
• Detallado el ransomware SafePay — SafePay se ha descrito como una operación de ransomware muy discreta que no funciona como ransomware como servicio ( RaaS ) operación. «Excluyendo un sitio de filtración de datos (DLS) que nombra a las víctimas, no hay pruebas de que exista un foro o una comunidad externos que permitan al grupo ampliar sus interacciones más allá del contacto con las víctimas», dijo Bitdefender dijo . «Parece que no hay correspondencia con el público ni con otros actores de amenazas y posibles reclutas». Desde principios de año, el grupo se ha cobrado 253 víctimas, la mayoría de ellas en EE. UU., Alemania, Gran Bretaña y Canadá.
• El Departamento de Justicia acusa a Tymoshchuk por ataques de ransomware — El Departamento de Justicia de los Estados Unidos (DoJ) acusó al ciudadano ucraniano Volodymyr Viktorovich Tymoshchuk (también conocido como deadforz, Boba, msfv) y red de transporte ) por su papel como administrador del Operaciones de ransomware LockerGoga, MegaCortex y Nefilim entre diciembre de 2018 y octubre de 2021. «Volodymyr Tymoshchuk está acusado por su participación en los planes de ransomware que extorsionaron a más de 250 empresas en los Estados Unidos y a cientos más en todo el mundo», dijo el Departamento de Justicia dijo . «Tymoshchuk y los demás administradores nefilim proporcionaron a otras filiales del ransomware nefilim, incluido el coacusado Artem Stryzhak, que fue extraditado de España y se enfrenta a cargos en el Distrito Este de Nueva York, el acceso al ransomware Nefilim a cambio del 20 por ciento del producto del rescate obtenido mediante extorsiones a las víctimas nefilim». Tymoshchuk está acusado de dos cargos de conspiración para cometer fraude y actividades relacionadas con computadoras, tres cargos de daño intencional a una computadora protegida, un cargo de acceso no autorizado a una computadora protegida y un cargo de transmisión de una amenaza para divulgar información confidencial. En 2023, el Group-IB también vinculó a Tymoshchuk con las bandas de ransomware JSWORM, Karma, Nokoyawa y Nemty. Tymoshchuk, descrito como un «criminal de ransomware en serie», sigue prófugo, y el Departamento de Estado de los Estados Unidos ofrece una recompensa de 11 millones de dólares por información que conduzca a su detención o a la de otros cómplices clave. Tymoshchuk también ha sido recluido Los más buscados de Europa lista de prófugos de Francia, que alegó que las actividades de su grupo provocaron daños por valor de 18 000 millones de dólares, y lo calificó de «peligroso».
• Un ciudadano de Kosovo se declara culpable de dirigir BlackDB.cc — Liridon Masurica, ciudadano de Kosovo que fue arrestado en diciembre de 2024 y extraditadas a los Estados Unidos en mayo, se declaró culpable de dirigir BlackDB.cc, un mercado de ciberdelincuencia que ha estado activo desde 2018. «El mercado que ofrecía ilegalmente a la venta puso en peligro las credenciales de cuentas y servidores, la información de las tarjetas de crédito y otra información de identificación personal de personas que se encuentran principalmente en los Estados Unidos, incluidas las que se encuentran en el Distrito Medio de Florida», dijo el Departamento de Justicia dijo . «Una vez comprados, los ciberdelincuentes utilizaron los artículos comprados en Blackdb.cc para facilitar una amplia gama de actividades ilegales, como el fraude fiscal, el fraude con tarjetas de crédito y el robo de identidad». Se enfrenta a hasta 10 años de prisión. Aún no se ha fijado una fecha para la sentencia.
• El Departamento de Justicia busca la confiscación de 5 millones de dólares robados en estafas de intercambio de tarjetas SIM — El DoJ presentó una demanda por decomiso civil contra más de 5 millones de dólares en bitcoins (BTC), que supuestamente son ganancias ilícitas derivadas de múltiples ataques de intercambio de tarjetas SIM dirigidos a cinco víctimas en EE. UU. entre el 29 de octubre de 2022 y el 21 de marzo de 2023. «Los autores de estos robos utilizaron una técnica de intercambio de tarjetas SIM que les permitió autenticar su acceso no autorizado a las cuentas de criptomonedas de las víctimas y transferir los fondos de la víctima a cuentas controladas por los perpetradores», dijo el DoJ. apuntado . «Después de que se produjera cada uno de los cinco robos, los perpetradores movieron los fondos robados a través de varias carteras de criptomonedas y, finalmente, los consolidaron en una sola billetera que financiaba una cuenta en Stake.com, un casino en línea. Muchas de estas transacciones eran circulares, en el sentido de que acababan devolviendo los fondos a su fuente original, y eran consistentes con el blanqueo de dinero utilizado para «limpiar» el producto de actividades delictivas».
• Nueva campaña de suplantación de identidad dirigida a Google Workspace — Los investigadores tienen descubierto una nueva campaña de suplantación de identidad dirigida a las organizaciones de Google Workspace a través de correos electrónicos fraudulentos con la marca Appsheet. El ataque ilustra cómo los controles de seguridad tradicionales se vuelven inútiles cuando los atacantes abusan de una infraestructura legítima para entregar contenido malintencionado que pasa por alto todos los filtros de seguridad implementados. «El hecho de que los ataques de ingeniería social dependan de marcas conocidas o de uso habitual no es nada nuevo; sin embargo, estos ataques siguen siendo bastante eficaces», afirma Erich Kron, defensor de la concienciación en materia de seguridad de KnowBe4. «Aprovechar las marcas que las víctimas potenciales conocen es aprovechar la confianza que estas marcas se han esforzado tanto por establecer. Este tipo de ataques están diseñados para mezclarse con las actividades cotidianas normales, aumentando aún más el nivel de confianza de la posible víctima. Al utilizar una plataforma que envía desde una fuente conocida y fiable, se eluden muchos filtros y controles técnicos y se aparta una señal de alerta clave para la posible víctima».
• Detalle de la cadena de exploits SharePoint de ToolShell — Los investigadores de ciberseguridad compartieron información técnica sobre las fallas de SharePoint conocidas como ToolShell, que fueron explotadas activamente en julio de 2025. Algunos de estos ataques han llevado al despliegue de Warlock, un derivado personalizado de LockBit 3.0. El grupo hizo su debut público en el foro RAMP en ruso a principios de junio de 2025. «En poco tiempo, el actor responsable de Warlock pasó de hacer un anuncio audaz en un foro a convertirse en una amenaza de ransomware mundial en rápido crecimiento, sentando las bases para campañas aún más sofisticadas, incluidas aquellas que aprovechaban la vulnerabilidad de SharePoint ToolShell, que pondría al grupo en el centro de atención», dijo Trend Micro dijo . Las vulnerabilidades afectan a SharePoint Server 2016 y 2019 autohospedados y a Subscription Edition, lo que permite la ejecución remota de código sin autenticar y las elusiones de seguridad. «La cadena de vulnerabilidades de ToolShell representa una de las amenazas de seguridad de SharePoint más importantes observadas en los últimos años», dijo Trellix dijo . «La combinación de la ejecución remota de código sin autenticar y el robo de claves criptográficas crea la tormenta perfecta para el compromiso persistente y el movimiento lateral».
• Nuevos dominios de PoisonSeed marcados — Se han identificado nuevos dominios como enlazados a Semilla venenosa , un actor de amenazas con motivaciones financieras conocido por sus operaciones de suplantación de identidad. «Estos dominios falsifican principalmente la plataforma de correo electrónico SendGrid y es probable que intenten comprometer las credenciales empresariales de los clientes de SendGrid», dijo DomainTools dijo . «Muestran intersticiales CAPTCHA falsos de Cloudflare para dar legitimidad a los dominios maliciosos antes de redirigir a los usuarios objetivo a páginas de suplantación de identidad».
• Robador de ensaladas descubierto — Se ha detectado un nuevo ladrón de información llamado Salat Stealer (también conocido como WEB_RAT o WebRat) en estado salvaje. Escrito en Go, este ladrón lo ofrecen actores de habla rusa bajo un modelo de malware como servicio (MaaS). «El malware se filtra las credenciales del navegador, los datos de las carteras de criptomonedas y la información de las sesiones, y emplea técnicas avanzadas de evasión, como el empaquetado de UPX, el enmascaramiento de procesos, las claves de ejecución del registro y las tareas programadas», dijo CYFIRMA dijo . Se considera que el malware es obra de un actor de amenazas conocido como Equipo NYASH , que también es conocida por vender DCRat, según la empresa rusa de ciberseguridad F6.
• Plex insta a cambiar la contraseña después de una violación — Plex instó a los usuarios a cambiar su contraseña , habilite la autenticación de dos factores y cierre sesión en cualquier dispositivo conectado en el que ya haya iniciado sesión tras un incidente de seguridad en el que «un tercero no autorizado» accedió a una base de datos y expuso correos electrónicos, nombres de usuario y contraseñas cifradas para un «subconjunto limitado» de clientes. La empresa dijo que no se expuso ningún dato financiero.
• TOR Project lanza la aplicación VPN oficial para Android — Los mantenedores del Proyecto TOR tienen publicado un funcionario Aplicación VPN que permite a los usuarios de Android enrutar todo su tráfico a través de la red Tor.
• Fallos en la aplicación Viidure — Las cámaras corporales emitidas por la policía se han convertido en herramientas frecuentes para grabar los encuentros con las fuerzas del orden. Sin embargo, un estudio reciente ha descubierto opciones de diseño preocupantes en un sistema económico que comprometen tanto la privacidad como la integridad de los datos. Se descubrió que la aplicación móvil Viidure, diseñada para transferir pruebas de vídeo desde el punto de acceso Wi-Fi integrado de la cámara a los servidores en la nube, se comunicaba a través de un puerto TLS no estándar y dirigía la información confidencial a servidores en la nube con sede en China. «Esta interceptación del tráfico sería preocupante para cualquier aplicación móvil, pero es especialmente preocupante dado el carácter confidencial de los datos de vídeo que se gestionan en este caso», dijo Brown Fine Security dijo .
• Microsoft anuncia planes para eliminar gradualmente VBScript — Microsoft ha anunciado un plan de varias fases para eliminar Visual Basic Script (también conocido como VBScript) en Windows, una medida que marca un cambio significativo para los desarrolladores, especialmente para los que trabajan con Visual Basic para Aplicaciones (VBA). El cambio, detallado por primera vez en mayo de 2024, eliminará gradualmente el antiguo lenguaje de programación, lo que obligará a los desarrolladores a adaptar sus proyectos para garantizar la compatibilidad futura.
• SpamGPT se vende en foros de ciberdelincuencia — Un nuevo conjunto de herramientas de automatización de ataques de correo electrónico basado en inteligencia artificial denominado SpamGPT se anuncia en foros clandestinos como un punto de inflexión para los ciberdelincuentes. «Esta plataforma está diseñada para comprometer los servidores de correo electrónico, eludir los filtros de spam y organizar campañas masivas de suplantación de identidad con una facilidad sin precedentes», dijo Varonis dijo . «SpamGPT combina el poder de la inteligencia artificial generativa con un conjunto completo de herramientas para campañas de correo electrónico, lo que reduce la barrera para lanzar ataques de spam y suplantación de identidad a gran escala». El descubrimiento de SpamGPT es la evidencia más reciente de que los actores de amenazas están adoptando modelos lingüísticos extensos (LLM) y otras herramientas de inteligencia artificial para crear ataques más eficaces.
• Ataque de ArgoCD para exfiltrar las credenciales de Git — Una recién divulgada técnica de ataque permite a los usuarios autenticados de la popular herramienta de GitOps, Argo CD, filtrar las credenciales de Git. El método, según Future Sight, aprovecha la resolución DNS interna de Kubernetes para interceptar las credenciales en tránsito, lo que supone un riesgo importante para las organizaciones que confían en la herramienta de entrega continua. El problema se está rastreando como CVE-2025-55190. Se ha solucionado en las versiones v3.1.2, v3.0.14, v2.14.16 y v2.13.9. «Los tokens de API con permisos básicos de proyecto pueden recuperar todas las credenciales de repositorio asociadas a un proyecto a través del punto final detallado de la API del proyecto», ArgoCD dijo en un aviso.

• La NASA corta el acceso a ciudadanos chinos — La agencia espacial estadounidense NASA ha aislar a los ciudadanos chinos no puedan acceder a sus instalaciones y activos, incluidos aquellos que posean visas que les permitan residir en los EE. UU. La agencia dijo que «ha tomado medidas internas en relación con los ciudadanos chinos, incluida la restricción del acceso físico y de ciberseguridad a nuestras instalaciones, materiales y redes para garantizar la seguridad de nuestro trabajo».
• El Sr. Hamza lanza la herramienta Abyssal DDoS — El grupo hacktivista antiisraelí y propalestino conocido como Mr Hamza ha desarrollado una herramienta de ataque DDoS basada en Python llamada Abyssal DDoS. La herramienta ofrece 32 métodos de ataque dirigidos a diferentes capas de la red y del conjunto de aplicaciones, por cada Radware. «Más allá de los diversos métodos de ataque, Abyssal DDoS también incluye funciones destinadas a aumentar la eficacia y la usabilidad de la herramienta», dijo . «La herramienta genera encabezados de solicitud HTTP aleatorios, como User-Agent, Accept y Referrer, lo que añade un nivel de ofuscación y puede ayudar a evitar una clasificación simple basada en encabezados».
• Vidar Stealer se recupera — Los cazadores de amenazas han observado una nueva campaña de malware que distribuye Vidar Stealer en las últimas semanas utilizando nuevas técnicas de ofuscación. El malware adopta una estrategia múltiple que utiliza correos electrónicos de suplantación de identidad, sitios comprometidos o falsos y campañas de publicidad maliciosa, lo que le permite llegar a un público más amplio y, al mismo tiempo, eludir las defensas. Además de intentar eludir a AMSI y configurar la persistencia mediante tareas programadas, utiliza los perfiles de Telegram para recuperar los detalles de su servidor de comando y control (C2) mediante un mecanismo de resolución integrado. «El malware combina el sigilo con la persistencia, disfrazando su tráfico con el nombre de «PowerShell» para que parezca legítimo y, al mismo tiempo, utiliza un retardo exponencial con fluctuaciones para que las conexiones repetidas sean menos perceptibles», dijo Aryaka dijo . Los errores durante la comunicación se suprimen silenciosamente, lo que reduce los registros y evita que los defensores presten atención. Para garantizar la fiabilidad, reintenta descargar varias veces de forma persistente, incluso en entornos inestables. Al mismo tiempo, aleatoriza los directorios y los nombres de los archivos, lo que garantiza que cada instancia tenga un aspecto diferente y dificulta la detección basada en firmas».
• Kaspersky advierte sobre grupos de doble propósito que atacan a Rusia — Kaspersky ha advertido sobre los grupos de doble propósito en el panorama de amenazas ruso que muestran rasgos asociados con los hacktivistas y las entidades con motivaciones financieras. «Utilizan las mismas herramientas, técnicas y tácticas, e incluso comparten infraestructuras y recursos comunes», dijo Kaspersky dijo . «Dependiendo de la víctima, pueden perseguir diversos objetivos: exigir un rescate para descifrar los datos, causar daños irreparables o filtrar datos robados a los medios de comunicación. Esto sugiere que estos atacantes pertenecen a un único grupo complejo».
• Microsoft Teams obtiene soporte para las alertas de enlaces de suplantación de identidad — Microsoft Teams alertará automáticamente a los usuarios cuando envíen o reciban un mensaje privado que contenga enlaces etiquetados como maliciosos. «Teams escanea automáticamente la URL comparándola con las bases de datos de inteligencia sobre amenazas para identificar enlaces potencialmente maliciosos», explica Microsoft dijo . «Si se detecta un enlace dañino, Teams muestra advertencias claras tanto al remitente como a todos los destinatarios de la conversación».
• Microsoft corrige el error de registro de auditoría de Copilot — Microsoft corrigió una vulnerabilidad que podría haberse aprovechado para evitar que las interacciones de Copilot se registraran en los registros de auditoría. Cuando se le solicitaba a Copilot que resumiera un archivo, la acción se registraba. Pero si se le pidiera explícitamente al asistente de inteligencia artificial que no incluyera un enlace al documento ni lo incluyera como referencia, la acción no se registraría, Pistachio reportó .
• Fallos en el portal de concesionarios de automóviles — Se han producido graves vulnerabilidades descubierto en el portal de concesionarios en línea de un importante fabricante de automóviles. El investigador de seguridad Eaton Zveare dijo que los errores podrían haber permitido a los atacantes crear sus propias cuentas de administrador, filtrar la información privada y los datos de los vehículos de sus clientes e ingresar remotamente a sus vehículos. Las vulnerabilidades residían en el sistema de inicio de sesión del portal y se corrigieron en febrero. Zveare ha encontrado anteriormente fallas en Honda y Toyota sistemas .
• El abuso del software de acceso remoto es un indicador común antes del ransomware — Los abusos del software de acceso remoto (AnyDesk, Atera, Microsoft Quick Assist y Splashtop) y los servicios (RDP, PsExec y PowerShell) son los indicadores «anteriores al ransomware» más comunes, según nueva investigación de Cisco Talos.
• Hacker finlandés liberado de la cárcel — El hacker finlandés Aleksanteri Kivimäki ha sido publicado desde la cárcel tras una apelación. Kivimäki irrumpió en el centro de psicoterapia Vastaamo en 2020 y publicó archivos de pacientes altamente confidenciales. Fue detenido en 2023 y, posteriormente, condenado el año pasado a seis años de prisión. El tribunal lo puso en libertad, dado que había cometido un delito por primera vez y ya había cumplido casi la mitad de su condena.
• La falla del marco electrónico se puede utilizar para eludir las comprobaciones de integridad — Una vulnerabilidad recientemente descubierta (CVE-2025-55305) en el marco Electron podría permitir a los atacantes eludir las comprobaciones de integridad del código manipulando los archivos de instantáneas de pila de la V8, lo que habilitaría puertas traseras locales en aplicaciones como Signal, 1Password y Slack. «La mayoría de las aplicaciones de Electron dejan la comprobación de integridad desactivada de forma predeterminada, y la mayoría de las que la habilitan son vulnerables a la manipulación de instantáneas», Trail of Bits dijo . «Sin embargo, las puertas traseras basadas en instantáneas representan un riesgo no solo para el ecosistema de Electron, sino también para las aplicaciones basadas en Chromium en general».
• Los complementos anulados se dirigen a sitios de WordPress — Se está utilizando una nueva campaña Plugins de WordPress «anulados» a sitios web de puerta trasera con cuentas de administrador fraudulentas. «Esta campaña es particularmente preocupante porque no solo infecta sitios web: permite a los atacantes eludir las defensas de seguridad existentes y, al mismo tiempo, lograr un acceso persistente, lo que convierte a los desarrolladores o propietarios de sitios web en colaboradores involuntarios para debilitar las defensas de sus propios sitios», dijo Wordfence dijo .
• China estudia severas sanciones por fallos de seguridad — El gobierno chino es proponiendo un proyecto de enmienda a su ley de ciberseguridad que aumentaría las multas por violaciones de datos e introduciría requisitos de certificación para los productos tecnológicos. Operadores de infraestructuras críticas podría se enfrentan a multas de hasta 1,4 millones de dólares (10 millones de yenes). Las personas responsables de una infracción también podrían enfrentarse a multas personales de hasta 14 000 dólares (100 000 yenes). La enmienda también amenaza con imponer sanciones más severas a las empresas que almacenen datos «importantes» en el extranjero.
• El organismo de control electoral del Reino Unido dice que tardó 3 años en recuperarse de la violación de 2021 — La Comisión Electoral del Reino Unido dijo se han necesitado tres años y al menos un cuarto de millón de libras para recuperarse por completo de un Hack de agosto de 2021 en la que actores de amenazas chinos accedieron a los detalles privados de 40 millones de votantes. El ataque se atribuyó a un grupo de hackers llamado APT31. En julio pasado, la Comisión Electoral fue reprendido por parte de la Oficina del Comisionado de Información por el fallo de seguridad. «Desde el ataque, hemos realizado cambios en nuestro enfoque, sistemas y procesos para fortalecer la seguridad y la resiliencia de nuestros sistemas y seguiremos invirtiendo en esta área», dijo la comisión dijo .
• Detectada una nueva variante de TONESHELL — Una nueva versión del CONCHA TONAL Se ha observado el uso de la puerta trasera en los ciberataques dirigidos a Myanmar. Si bien esta variante no introduce ninguna característica nueva y «revolucionaria», emplea varios trucos para detener y evitar el uso de entornos aislados diseñados para perder tiempo, contaminar el flujo de control, confundir los análisis automatizados y eludir los entornos de prueba livianos. El malware ha sido utilizado históricamente por un nexo de espionaje chino conocido como Mustang Panda. «El continuo perfeccionamiento de estos métodos de evasión, junto con la importancia geopolítica de la región objetivo, refuerza la necesidad de continuar investigando y cazando amenazas para contrarrestar las operaciones cibernéticas», dijo Intezer dijo .
• Un nuevo exploit permite eludir el firewall — Se ha descubierto un nuevo exploit ideado por Ethiack para eludir los firewalls de aplicaciones web (WAF) de nueve proveedores al abusar de las técnicas de contaminación de parámetros HTTP para facilitar los ataques de inyección de JavaScript. «Dado que las tasas de éxito de elusión han aumentado del 17,6% para las cargas útiles simples al 70,6% para las cargas útiles de contaminación por parámetros complejos, los datos demuestran claramente que los WAF que se basan en la coincidencia de patrones tienen dificultades para defenderse de los ataques que explotan las diferencias fundamentales en el análisis entre los WAF y las aplicaciones web», dijo la empresa dijo .
• El Departamento del Tesoro de los Estados Unidos sanciona a 19 personas y entidades en relación con operaciones fraudulentas — El Departamento del Tesoro de los Estados Unidos el lunes sancionado varias personas y empresas asociadas con centros de estafas cibernéticas en Myanmar y Camboya. Las sanciones están dirigidas a los ciudadanos birmanos, camboyanos y chinos que dirigen entidades que controlan y apoyan centros fraudulentos que han provocado pérdidas por parte de los estadounidenses por más de 10 000 millones de dólares. Las sanciones se dirigen a nueve personas y empresas que gestionan Shwe Kokko —un centro de centros de estafa en Myanmar—, así como a cuatro personas y seis entidades por su papel en la gestión de complejos de trabajo forzoso en Camboya bajo la protección del ya sancionado Ejército Nacional Karen (KNA). Los centros de estafa del sudeste asiático son gestionado por organizaciones de ciberdelincuencia que reclutan a trabajadores con falsas pretensiones y utilizan la violencia y las amenazas de prostitución forzada para obligarlos a estafar a desconocidos en línea a través de aplicaciones de mensajería o mensajes de texto. «Estas sanciones protegen a los estadounidenses de la amenaza omnipresente de las operaciones fraudulentas en línea, al impedir que las redes delictivas perpetúen el fraude a escala industrial, el trabajo forzoso, el abuso físico y sexual y el robo de los ahorros que los estadounidenses han ganado con tanto esfuerzo», dijo el secretario de Estado de los Estados Unidos, Marco Rubio dijo . En un acontecimiento relacionado, Shengsheng He, un hombre californiano de 39 años, fue condenado a 51 meses de prisión por blanquear más de 36,9 millones de dólares en criptoactivos vinculados a complejos fraudulentos que operan en Camboya. El tribunal también le ordenó pagar 26 867.242,44 dólares en concepto de restitución a las víctimas. «El acusado formaba parte de un grupo de cómplices que se aprovechaban de los inversores estadounidenses prometiéndoles una alta rentabilidad por sus supuestas inversiones en activos digitales cuando, de hecho, robaron casi 37 millones de dólares a víctimas estadounidenses utilizando centros de estafa camboyanos», dijo el Departamento de Justicia dijo . «Lamentablemente, han proliferado los centros de estafa extranjeros que pretenden ofrecer inversiones en activos digitales». Hasta ahora, ocho cómplices se han declarado culpables, entre ellos Daren Li y Lu Zhang.

🎥 Seminarios web sobre ciberseguridad

• Detenga los puntos ciegos de AppSec: mapee todos los riesgos, desde el código hasta la nube → Únase a nuestro seminario web en directo para ver cómo la visibilidad del código a la nube cierra las brechas de seguridad ocultas antes de que los atacantes ataquen. Descubrirá cómo la conexión entre el código y los riesgos de la nube crea una visión clara para los desarrolladores, DevOps y los equipos de seguridad, de modo que puede reducir el ruido, solucionar los problemas más rápido y mantener seguras sus aplicaciones críticas.
• Pasos comprobados para crear agentes de IA con controles de seguridad sólidos → Descubra cómo proteger a sus agentes de IA y, al mismo tiempo, aprovechar todo su potencial empresarial. En este seminario web se explica qué son los agentes de IA, los nuevos riesgos cibernéticos que presentan y las medidas prácticas de seguridad que protegen sus datos y sus clientes. Obtenga estrategias simples y comprobadas de los expertos de Auth0 para crear soluciones de IA que se mantengan seguras y confiables a medida que crecen.
• ¿Quién está detrás de los agentes de inteligencia artificial en la sombra? ¡Expón las identidades antes de que ataquen → Los agentes de inteligencia artificial en la sombra se propagan rápidamente por las nubes y los flujos de trabajo, a menudo sin ser vistos. Únase a nuestro seminario web para aprender a detectar a estos agentes deshonestos, descubrir las identidades ocultas detrás de ellos y tomar medidas sencillas para mantener sus operaciones de inteligencia artificial seguras y bajo control.

🔧 Herramientas de ciberseguridad

• Fuscación de la bandeja de entrada → Es una nueva herramienta gratuita que muestra cómo los piratas informáticos pueden ocultar las reglas de correo electrónico dañinas en Microsoft Exchange. Utiliza trucos especiales de Unicode, como espacios invisibles y letras parecidas, para eludir los controles de seguridad habituales. Ayuda a los equipos de seguridad y a los administradores de correo electrónico a detectar estas reglas ocultas y a mejorar sus defensas.
• Azure AppHunter → Una herramienta gratuita de PowerShell que ayuda a detectar permisos riesgosos en Azure. Identifica a los directores de servicio o a las identidades administradas con funciones poderosas, como las de administrador global o propietario de la suscripción, que podrían permitir a los atacantes ampliar el acceso. Resulta útil que los equipos de seguridad, los miembros del equipo rojo y los defensores comprueben rápidamente las aplicaciones de Azure y restrinjan los permisos antes de que se abuse de ellas.

Descargo de responsabilidad: Las herramientas que se muestran aquí se proporcionan estrictamente con fines educativos y de investigación. No se han sometido a auditorías de seguridad completas y su comportamiento puede presentar riesgos si se utilizan de forma indebida. Antes de experimentar, revise cuidadosamente el código fuente, pruébelo solo en entornos controlados y aplique las medidas de seguridad adecuadas. Asegúrese siempre de que su uso se ajusta a las directrices éticas, los requisitos legales y las políticas de la organización.

🔒 Consejo de la semana

Cree un sistema de correo Burner verdaderamente anónimo — Los correos electrónicos tradicionales son un riesgo. La reutilización de una única bandeja de entrada para la investigación crea una huella digital, y los servicios temporales suelen filtrar tu verdadera identidad. Para lograr un verdadero anonimato, necesitas crear tu propio sistema que sea privado, imposible de rastrear y que esté totalmente bajo tu control.

A continuación, te explicamos cómo diseñarlo como un profesional:

1. Sea dueño de su infraestructura: Consigue un dominio nuevo y neutral y úsalo exclusivamente para tu correo básico. Aloja tu servidor de correo (como Postfix) en una infraestructura independiente y anónima. Usa DNSSEC para proteger tu dominio y establece políticas estrictas de SPF, DKIM y DMARC para demostrar que tus correos electrónicos son legítimos y no se pueden falsificar.
2. Automatice todo: Crea una dirección de correo electrónico única para cada sitio web o regístrate. Esto evita que los sitios se vinculen a tu actividad. Configure su sistema para crear automáticamente estas direcciones e incorpore reglas para eliminar al instante cualquier alias que comience a recibir correo no deseado.
3. Bloquee sus datos: Reenvía todo el correo a tu bandeja de entrada real mediante un cifrado de extremo a extremo (como OpenPGP). Esto garantiza que nadie pueda leer tu correo, incluso si tu servidor está comprometido. Además, configure su sistema para eliminar toda la información de identificación de los encabezados de los correos electrónicos, como su zona horaria o su cliente de correo, de modo que su rastro digital se quede sin rastro.
4. No dejes rastro: El último paso es deshacerse de los registros. Una regla clave para garantizar una buena seguridad es no recopilar datos que no necesites. Registre solo lo mínimo para la supervisión y, a continuación, purgue automáticamente todo según un cronograma regular. Esto hace que sea imposible para un atacante reconstruir tu actividad pasada.

Seguir este enfoque convierte un simple correo electrónico descartado en un servicio de identidad resistente desde el punto de vista forense, lo que le permite mantener el control y mantener sus acciones en línea verdaderamente privadas.

Conclusión

Al cerrar el libro de esta semana, ten en cuenta lo siguiente: las amenazas más peligrosas no son las que parcheas, sino las que aún no ves. Los patrones que hemos analizado —desde las vulnerabilidades de la cadena de suministro hasta la militarización de la IA— no son hechos aislados; son destellos de un futuro en el que la defensa exige algo más que soluciones técnicas. Requiere un cambio fundamental en la estrategia, centrándose en la resiliencia, la confianza y el elemento humano. El verdadero trabajo comienza ahora.