⚡ Resumen semanal: Skimmers con doble toque, Pr...

Las noticias de seguridad rara vez se mueven en línea recta. Esta semana, parece más bien una serie de giros bruscos, algunos de los cuales ocurren silenciosamente en segundo plano y otros se muestran a la vista del público. Los detalles son diferentes, pero los puntos de presión son conocidos.

En todos los dispositivos, los servicios en la nube, los laboratorios de investigación e incluso las aplicaciones de uso diario, la línea entre el comportamiento normal y el riesgo oculto es cada vez más delgada. Las herramientas destinadas a proteger, actualizar o mejorar los sistemas también se están convirtiendo en vías de comunicación cuando algo sale mal.

Este resumen reúne las señales en un solo lugar. Lecturas rápidas, impacto real y avances que merecen un análisis más detallado antes de que se conviertan en el mayor problema de la próxima semana.

⚡ Amenaza de la semana

Explotación desde cero de Dell RecoverPoint para máquinas virtuales — Desde mediados de 2024, un supuesto clúster de amenazas del Nexo entre China y denominado UNC6201 ha aprovechado una vulnerabilidad de seguridad de máxima gravedad en Dell RecoverPoint para máquinas virtuales como un día cero. La actividad implica la explotación del CVE-2026-22769 (puntuación CVSS: 10,0), un caso de credenciales codificadas de forma rígida que afecta a versiones anteriores a la 6.0.3.1 HF1. Según Google, la credencial codificada se refiere a un usuario «administrador» de la instancia de Apache Tomcat Manager que podría usarse para autenticarse en el Dell RecoverPoint Tomcat Manager, cargar un shell web llamado SLAYSTYLE a través del punto final «/manager/text/deploy» y ejecutar comandos como root en el dispositivo para eliminar la puerta trasera de BRICKSTORM y su versión más reciente, denominada GRIMBOLT.

Informe rojo 2026: análisis de 1,1 millones de archivos maliciosos y 15,5 millones de acciones

Una nueva investigación muestra que el 80% de las principales técnicas de ATT&CK ahora tienen como objetivo la evasión para que no se detecten. Consigue tu copia ahora.

Descargar el informe ➝

🔔 Noticias principales

• Ex ingenieros de Google acusados por presunto robo de secretos comerciales — Dos ex ingenieros de Google y uno de sus maridos han sido acusados en los Estados Unidos por presuntamente haber robado secretos comerciales del gigante de las búsquedas y otras empresas de tecnología y de transferir la información a lugares no autorizados, incluido Irán. Samaneh Ghandali, de 41 años, y su esposo Mohammadjavad Khosravi (también conocido como Mohammad Khosravi), de 40, junto con su hermana Soroor Ghandali, de 32, fueron acusados de conspirar para cometer el robo de secretos comerciales de Google y otras importantes empresas de tecnología, robo e intento de robo de secretos comerciales y obstrucción de la justicia. Se dice que los acusados transfirieron cientos de archivos confidenciales a una plataforma de comunicación de terceros y luego accedieron a ellos desde Irán después de que Samaneh Ghandali y Khosravi viajaran a Irán en diciembre de 2023.
• El malware PromptSpy para Android abusa de Gemini por su persistencia — Los investigadores de ESET analizaron lo que describieron como el primer malware para Android que aprovechó la inteligencia artificial generativa (IA) durante su ejecución para configurar la persistencia. El malware, denominado PromptSpy, utiliza Google Gemini para analizar la pantalla actual y proporcionar instrucciones paso a paso sobre cómo garantizar que la aplicación malintencionada permanezca en la lista de aplicaciones recientes, aprovechando los servicios de accesibilidad del sistema operativo. Hay indicios de que es probable que la campaña esté dirigida a usuarios de Argentina. Google dijo a The Hacker News que no encontró ninguna aplicación que contuviera el malware que se distribuyera a través de Google Play.
• El teléfono de un disidente keniano se descifró con la herramienta de Cellebrite — Han surgido pruebas de que las autoridades kenianas utilizaron una herramienta comercial de extracción forense fabricada por la empresa israelí Cellebrite para entrar en el teléfono de un destacado disidente. El Citizen Lab afirmó haber encontrado los indicadores en un teléfono personal de Boniface Mwangi, un activista keniano a favor de la democracia que ha anunciado su intención de postularse a la presidencia en 2027. En una noticia relacionada, Amnistía Internacional descubrió que el iPhone de Teixeira Cândido, periodista angoleño y defensor de la libertad de prensa, fue atacado con éxito por el software espía Predator de Intellexa en mayo de 2024, tras abrir un enlace infectado recibido a través de WhatsApp.
• Keenadu, un nuevo malware Android preinstalado, detectado en estado salvaje — Una nueva puerta trasera de Android que está integrada profundamente en el firmware del dispositivo puede recopilar datos de forma silenciosa y controlar su comportamiento de forma remota, afirma Kaspersky. Se dice que el malware, cuyo nombre en código es Keenadu, se distribuyó mediante una actualización inalámbrica (OTA) de un firmware comprometido. Este método permite que funcione con altos privilegios desde el momento en que se activa el dispositivo, lo que proporciona a los atacantes un amplio control sobre el dispositivo. También puede infectar otras aplicaciones instaladas, implementar software adicional a partir de archivos APK y conceder a esas aplicaciones cualquier permiso disponible en el sistema. Una vez activo, Keenadu hereda los permisos elevados y funciona con una visibilidad mínima. El malware solo se activa en condiciones específicas y permanece inactivo en los dispositivos configurados en idiomas o zonas horarias chinas y en aquellos que carecen de Google Play Store y Google Play Services. Sin embargo, la distribución de Keenadu no se limita a los componentes del sistema preinstalados. En algunos casos, también se ha observado que el malware está incrustado en aplicaciones distribuidas a través de las tiendas de aplicaciones de Android. Dicho esto, es muy poco lo que un usuario puede hacer cuando un malware viene preinstalado en su nueva tableta Android. Como los componentes maliciosos están presentes en el firmware y no se instalan posteriormente como aplicaciones, es posible que los usuarios afectados tengan una capacidad limitada para detectarlos o eliminarlos mediante métodos convencionales. La actividad no se ha atribuido a ningún actor de amenazas específico, pero Kaspersky afirma que los desarrolladores han demostrado «un profundo conocimiento de la arquitectura de Android, el proceso de inicio de las aplicaciones y los principios básicos de seguridad del sistema operativo».
• Las afirmaciones de cero conocimiento de los administradores de contraseñas puestas a prueba — Un nuevo estudio realizado por investigadores de la ETH de Zúrich y la Università della Svizzera italiana ha desmentido las afirmaciones de Bitwarden, Dashlane y LastPass de que los gestores de contraseñas garantizan un «conocimiento cero», una garantía que afirma que no hay forma de que un intruso malintencionado o un actor de amenazas que haya comprometido la infraestructura de la nube acceda a los datos del almacén. En concreto, descubrió que estas afirmaciones no son ciertas en todas las circunstancias, especialmente cuando se está recuperando la cuenta o cuando los administradores de contraseñas están configurados para compartir bóvedas u organizar a los usuarios en grupos. El ataque más grave, dirigido contra Bitwarden y LastPass, podría permitir que una persona con información privilegiada o un atacante leyera o escribiera el contenido de bóvedas enteras. Otros ataques permiten leer y modificar las bóvedas compartidas. «Los ataques a la infraestructura de los servidores de los proveedores se pueden prevenir con medidas de seguridad operativa cuidadosamente diseñadas, pero no cabe duda de que estos servicios son el objetivo de adversarios sofisticados a nivel de los estados nacionales, por ejemplo, mediante ataques a la cadena de suministro de software o el spear-phising», afirman los investigadores.

‎️ 🔥 CVs de tendencia

Cada día aparecen nuevas vulnerabilidades y los atacantes actúan con rapidez. La revisión y la aplicación temprana de parches mantienen la resiliencia de sus sistemas.

Estas son las fallas más importantes de esta semana para verificar primero: CVE-2026-22769 (Dell RecoverPoint para máquinas virtuales), CVE-2026-25926 (Bloc de notas ++), CVE-2026-26119 (Centro de administración de Microsoft Windows), CVE-2026-2329 (Serie Grandstream GXP1600), CVE-2025-65717 (Servidor en vivo), CVE-2026-1358 (Airleader Master), CVE-2026-25108 (Archivo Zen), CVE-2026-25084, CVE-2026-24789 (CLAN), CVE-2026-2577 (Nanobot), CVE-2026-25903 (Apache NiFi), CVE-2026-26019 (@langchain /community), CVE-2026-1670 (Circuito cerrado de televisión de Honeywell), CVE-2025-7740 (Hitachi Energy SuPRos), CVE-2025-61928 (mejor autenticación), CVE-2026-20140 (Splunk Enterprise para Windows), CVE-2026-27118 ( @sveltejs /adaptador-vercel ), CVE-2026-27099, CVE-2026-27100 (Jenkins), CVE-2026-24733 (Apache Tomcat), CVE-2026-2648, CVE-2026-2649, CVE-2026-2650 (Google Chrome), CVE-2025-29969 (Fundamentos de Windows), CVE-2025-64127, CVE-2025-64128, CVE-2025-64129, CVE-2025-64130 (Zenitel), CVE-2025-32355, CVE-2025-59793 (TruFusion Enterprise), CVE-2026-1357 (complemento de copia de seguridad de WPVivid), CVE-2025-9501 (complemento W3 Total Cache), CVE-2025-13818 (ESET Management Agent para Windows), CVE-2025-11730 (Serie ZYXEL ATP/USG), CVE-2025-67303 (ComfyUI) y Joomla! Vulnerabilidades de lectura, eliminación de archivos no autenticados e inyección de SQL en Novarain/Tassos Framework (sin CVEs).

🎥 Seminarios web sobre ciberseguridad

• Aprenda a proteger su cifrado para el futuro antes de que Quantum lo rompa → La computación cuántica se está acelerando y los atacantes están recolectando datos cifrados para descifrarlos en el futuro. Este seminario web trata sobre la criptografía poscuántica práctica, el cifrado híbrido y las estrategias de confianza cero para proteger los datos confidenciales antes de que las amenazas cuánticas se hagan realidad.
• Más allá del modelo: proteger a los agentes de IA en sistemas del mundo real → A medida que las organizaciones despliegan agentes de IA autónomos con acceso a las herramientas y permisos del sistema, la superficie de ataque se desplaza más allá del modelo en sí. En esta sesión se analizan la inyección rápida e indirecta, la escalada de privilegios, el riesgo con múltiples agentes y las estrategias prácticas para proteger los sistemas de IA del mundo real sin interrumpir los flujos de trabajo.
• Pruebe a presión sus controles con una validación continua impulsada por CTI → Los presupuestos de seguridad están aumentando, pero las brechas continúan. En esta sesión se muestra cómo pasar de las pruebas basadas en suposiciones a la validación continua de la exposición basada en la ICT: poner a prueba los controles para detectar el comportamiento real de los atacantes, automatizar las comprobaciones de seguridad y desarrollar una resiliencia mensurable sin gastar de más.

📰 En todo el mundo cibernético

• Tienda online infectada con Skimmer — La tienda online de una de las 10 principales cadenas de supermercados del mundo ha sido infectada con un software malicioso que busca usuarios administradores en WordPress, Magento, PrestaShop y OpenCart para evitar ser detectados. «El ataque combina dos componentes: un sistema de creación de software de creación de imágenes aparentemente estándar con integraciones para cuatro plataformas de comercio electrónico populares, y un formulario de pago falso cuidadosamente localizado», Sansec dijo . «Este fraude se denomina «robo con doble toque»: los clientes introducen primero los datos de su tarjeta en el formulario falso y, a continuación, ven el formulario de pago real, donde tienen que volver a introducir sus datos. La mayoría de las personas simplemente lo aceptan y completan el pedido sin saber que les acaban de robar sus datos». La violación coincide con una ola más amplia de ataques dirigidos a las tiendas PrestaShop. En enero de 2026, PrestaShop instó los comerciantes deben revisar sus tiendas en busca de skimmers inyectados en los archivos de plantillas de temas.
• Nigeria arresta a 7 personas por dirigir un centro de estafas — Las autoridades nigerianas arrestaron a siete sospechosos que dirigían un centro de ciberestafas en la ciudad de Agbor. El grupo utilizó anuncios en las redes sociales para atraer a las víctimas del Reino Unido a portales falsos de criptoinversión. Se podían utilizar cientos de cuentas falsas de Facebook para atacar a las víctimas. «Al utilizar estas cuentas falsas de redes sociales para hacerse pasar por comerciantes de criptomonedas, atacaron a personas que utilizaban plataformas de inversión legítimas y compartían críticas falsas positivas para incitar a la gente a enviar dinero a los estafadores», dijo la Agencia Nacional contra el Crimen (NCA) del Reino Unido dijo . Meta dijo que está trabajando con las fuerzas del orden para identificar y eliminar todas las cuentas utilizadas en estas operaciones. «El grupo utilizó cuentas de redes sociales falsas que se hacían pasar por comerciantes de criptomonedas, junto con grupos fraudulentos de Facebook con testimonios inventados, para atacar a personas que utilizaban plataformas de inversión legítimas», adicional . En la primera mitad de 2025, la empresa señaló que había eliminado 12 millones de cuentas en Facebook, Instagram y WhatsApp asociadas a centros de estafas delictivas.
• Protocolo LonTalk analizado — Claroty ha llamado la atención sobre los riesgos de seguridad que plantea el protocolo patentado de LonTalk que se utiliza para la comunicación de dispositivo a dispositivo en los sistemas de administración y automatización de edificios (BMS y BAS). «No hay que subestimar a LonTalk como vector de ataque para los hacktivistas y las entidades delictivas, especialmente porque el BMS se habilita a través de redes IP», afirman dijo . «No cabe duda de que LonTalk sigue siendo relevante en los debates sobre ciberseguridad del BMS, especialmente porque el BMS se abre paso en Internet por una serie de razones estratégicas y fundamentales. Los sectores inmobiliario comercial, minorista, hotelero y de centros de datos confían en los sistemas BMS, como el HVAC (calefacción, ventilación y aire acondicionado), la iluminación, la gestión de la energía y la seguridad. Anteriormente, la administración de las instalaciones administraba estos sistemas de forma independiente, pero ahora están cada vez más conectados e integrados a través de capacidades avanzadas de BMS y BAS».
• GrayCharlie usa sitios de WordPress comprometidos para ofrecer RAT — Un actor de amenazas conocido como Grey Charlie Se ha observado que (también conocidos como HANEYMANEY, SmartApesG y ZPHP) comprometen los sitios de WordPress y los inyectan con enlaces a JavaScript alojado externamente que redirigen a los visitantes a cargas útiles de NetSupport RAT distribuidas a través de páginas de actualización de navegadores falsas o mecanismos ClickFix. La amenaza surgió por primera vez a mediados de 2023. «Estas infecciones suelen desembocar en el despliegue de StealC y SectopRAT», según Recorded Future dijo . Si bien la mayoría de los sitios web comprometidos parecen oportunistas y abarcan numerosos sectores, la empresa de ciberseguridad afirmó haber identificado un grupo de sitios web de bufetes de abogados estadounidenses que probablemente se vieron comprometidos alrededor de noviembre de 2025, probablemente debido a un ataque a la cadena de suministro en el que participó un proveedor de TI compartido.
• Por qué parchar todo es una receta para el agotamiento — El informe sobre el panorama de las ciberamenazas de 2026 de Dataminr ha revelado que «la rutina de los parches no funciona», debido a la confianza en las puntuaciones del CVSS y al aumento de las elusiones de parches, en las que los proveedores no abordan las causas fundamentales de los problemas, lo que abre la puerta a la reexplotación por parte de los actores de amenazas días o semanas después del lanzamiento del parche inicial. «Con la publicación de miles de CVEs cada año, los equipos de seguridad no pueden confiar únicamente en la puntuación común de gravedad de las vulnerabilidades (CVSS) para decidir qué parches aplicar», dijo Dataminr dijo . «Estas puntuaciones se centran en los impactos técnicos de una vulnerabilidad, pero dicen muy poco sobre el riesgo real para su organización. Debe haber un equilibrio entre el CVSS, el posible impacto económico, la exposición y la probabilidad de convertirse en un objetivo. Hay que dejar de centrarse en la pregunta «¿se trata de una CVE crítica?» a «¿este defecto específico está siendo el objetivo de mi sector? ¿Podrá el atacante alcanzar mis joyas de la corona a través de él?»
• Las campañas de suplantación de identidad en Taiwán ofrecen WinOS 4.0 — Las campañas de suplantación de identidad se han dirigido a Taiwán con temas diseñados para aprovechar los procesos empresariales locales y, en última instancia, ofrecer un conocido troyano de acceso remoto llamado Windows 4.0 (también conocido como ValleyRat) y complementos maliciosos a través de archivos adjuntos armados o enlaces incrustados. «Los señuelos imitan las comunicaciones oficiales, como las notificaciones de auditoría fiscal, los instaladores de software de declaración de impuestos y las descargas de facturas electrónicas basadas en la nube», Fortinet FortiGuard Labs dijo . «Durante los últimos dos meses, hemos identificado varias técnicas de entrega, como el uso de archivos LNK malintencionados para descargarlos, la carga lateral de archivos DLL mediante ejecutables legítimos para cargar código de shell y los ataques BYOVD (Bring Your Own Vulnerable Driver) que utilizan 'wsftprm.sys'». El controlador se usa para terminar los procesos asociados a una lista codificada de productos de seguridad. El uso de Winos 4.0 es exclusivo de un grupo de ciberdelincuencia chino conocido como Zorro plateado .
• Teams obtiene protección contra la suplantación de identidad de marca — Microsoft anunció que comenzará a implementar la protección contra la suplantación de marca para Teams Calling a partir de mediados de marzo de 2026 para detectar y advertir a los usuarios de llamadas externas sospechosas y reducir los riesgos de fraude. «Estará habilitada de forma predeterminada, no requiere ninguna acción administrativa y su objetivo es mejorar la seguridad sin cambiar las políticas existentes», explica Microsoft dijo . El gigante tecnológico también planea presentar una función de «Denunciar una llamada» antes de mediados de marzo de 2026 para que los usuarios puedan marcar las llamadas individuales sospechosas.
• 2025 registra 508 avisos de ICS de CISA — Entre marzo de 2010 y el 31 de enero de 2026, CISA/ICS-CERT publicó 3.637 avisos de ICS sobre 12.174 vulnerabilidades que afectaban a 2.783 productos de 689 proveedores, Forescout dijo . En 2025 se registró un máximo de 508 avisos de ICS, que cubrieron 2.155 vulnerabilidades en varios productos y proveedores. Este desarrollo marca el primer año en el que se superan las 500 notificaciones. La gravedad media se elevó a una puntuación del CVSS de 8,07 y el 82% de las recomendaciones se clasificaron como altas o críticas. Por el contrario, en 2010, el promedio era de 6,44 y se clasificó como de gravedad media.
• Microsoft presenta LiteBox — Microsoft ha lanzado LiteBox , un proyecto basado en Rust descrito como un «sistema operativo de biblioteca de espacio aislado que reduce drásticamente la interfaz con el host y, por lo tanto, reduce la superficie de ataque». Desarrollado en colaboración con Linux Virtualization Based Security ( LIBRAS ), el objetivo es hacer un espacio aislado de las aplicaciones minimizando las interacciones del sistema host y admitiendo varios casos de uso, como la ejecución de programas de Linux en Windows o el aislamiento de aplicaciones de Linux.
• ChainedShark apunta al sector de investigación chino — Un nuevo grupo de APT con el nombre en código ChainedShark tiene como objetivo el sector de investigación académica y científica de China. Activo desde mayo de 2024, el objetivo principal del grupo ha sido la recopilación de información sobre la diplomacia y la tecnología marina chinas. Entre las víctimas del pasado se encuentran universidades e instituciones de investigación especializadas en relaciones internacionales. Su arsenal integra vulnerabilidades de última generación y troyanos personalizados de gran complejidad, como LinkedShell. «ChainedShark tiene claras motivaciones geopolíticas y centra sus ataques en los expertos y estudiosos de las relaciones internacionales y las ciencias del mar de las instituciones académicas y de investigación chinas», dijo NSFOCUS dijo . «El grupo demuestra sólidas capacidades de ingeniería social, creando señuelos en chino fluidos, naturales y de alta calidad. Aprovecha hábilmente los escenarios profesionales (como las invitaciones a conferencias y las convocatorias de trabajos académicos) para crear vectores de ataque engañosos que reduzcan la guardia de los objetivos de manera efectiva».
• La aplicación meteorológica de Samsung como una forma de tomar las huellas dactilares de los usuarios — Una nueva investigación ha descubierto que la aplicación meteorológica preinstalada de Samsung toma las huellas dactilares de sus usuarios mediante un parámetro «placeid» que el proveedor de la API meteorológica puede observar de forma trivial. Una prueba realizada en 42 dispositivos Samsung descubrió que las huellas dactilares eran únicas para cada dispositivo y que resistían los cambios de IP entre los distintos proveedores y el uso de VPN. «Un análisis de 9.211 solicitudes de API meteorológicas de 42 propietarios de dispositivos Samsung durante cinco días demuestra que las combinaciones de placeid producen identificadores de usuario únicos en el 96,4% de los casos», explica Threat Intel, de Buchodi dijo . «Todos los usuarios con dos o más ubicaciones guardadas tenían una huella digital que nadie más compartía en el conjunto de datos». Esto, a su vez, convierte las ubicaciones guardadas en un identificador de seguimiento persistente entre sesiones, ya que cada placeid identifica una ubicación única. La huella digital representa un conjunto de todos los valores de placeid asociados a las ubicaciones guardadas de un dispositivo. En otras palabras, un usuario que rastrea una combinación de más de dos o tres ubicaciones puede identificarse de forma única.
• Los ataques DDoS aumentan un 168% en 2025 — UN nuevo análisis publicado por Radware, ha revelado que el número de ataques DDoS web aumentó un 101,4% en 2025 en comparación con 2024, y la actividad de los bots maliciosos aumentó un 91,8%, impulsada por las herramientas de inteligencia artificial generativa. Las transacciones maliciosas de aplicaciones web y API aumentaron un 128% con respecto al año anterior. Los ataques DDoS a nivel de red aumentaron un 168,2% con respecto al año anterior, y los volúmenes máximos de ataque alcanzaron casi los 30 terabits por segundo (Tbps). «La tecnología, las telecomunicaciones y los servicios financieros fueron los sectores más atacados y, en conjunto, representaron la mayoría de las campañas de DDoS en redes a gran escala», afirma Radware. «El sector tecnológico por sí solo representó el 45% de todos los ataques DDoS a nivel de red, lo que representa un fuerte aumento con respecto al 8,77% registrado en 2024». El hacktivismo, alimentado por los conflictos geopolíticos e ideológicos, siguió siendo el principal impulsor de las actividades de DDoS.
• Más de 2.500 imágenes maliciosas marcadas en Docker Hub — Qualys dijo que descubrió más de 2.500 imágenes maliciosas alojadas en Docker Hub. De estas, alrededor del 70% contenían un criptominero oculto. Otras incluían las puertas traseras, los exploits, el ransomware, los registradores de pulsaciones de teclas y la infraestructura de proxy. «Sacar imágenes de contenedores de los registros públicos ya no es una medida neutral desde el punto de vista operativo», afirma la empresa dijo . «Es una decisión de confianza que afecta directamente a la estabilidad de la infraestructura, los costos de la nube y el riesgo de seguridad».
• Casi 1 billón de anuncios fraudulentos se publicaron en las redes sociales en 2025 — Según nuevos hallazgos de Juniper Research, las plataformas tecnológicas en línea obtuvieron 3.800 millones de libras esterlinas (5.200 millones de dólares) en ingresos por anuncios maliciosos o fraudulentos solo en Europa. En 2025, se distribuyeron casi 1 billón de anuncios fraudulentos a los usuarios de las redes sociales. La firma de analistas también revelada a principios de este mes, el fraude en el comercio electrónico pasará de 56 000 millones de dólares en 2025 a 131 000 millones de dólares en 2030, lo que representa un aumento del 133% durante ese período.
• Los paquetes npm maliciosos secuestran los resultados del juego — Los investigadores han descubierto paquetes npm maliciosos, json-bigint-extend, jsonfx y jsonfb, que imitan la biblioteca json-bigint legítima, pero contienen la funcionalidad de instalar dos puertas traseras para ejecutar código adicional obtenido de un punto final, ejecutar comandos SQL arbitrarios, descargar el contenido de los archivos y enumerar los archivos y directorios del lado del servidor. «Tras una inspección más profunda del código obtenido, parece ser un complejo sistema de reescritura del flujo de caja que se utiliza para manipular un juego de apuestas», Aikido dijo . «El componente más sofisticado de este backdoor es la función FixFlow, un motor de manipulación del equilibrio que reescribe retroactivamente el historial de juego del usuario para lograr el cambio de equilibrio deseado y, al mismo tiempo, mantener la apariencia de una jugabilidad legítima». Se sospecha que el malware está diseñado para atacar una aplicación de juegos de azar llamada Bappa Rummy. Ya no aparece en la tienda oficial de Google Play.
• Telegram impugna las afirmaciones sobre el cifrado — El jefe del servicio de seguridad FSB de Rusia acusado Telegrama en el que se afirma que se ocultan actividades delictivas y no se actúa en respuesta a los informes de las autoridades rusas. Bortnikov afirmó que Telegram ignoró más de 150 000 solicitudes de expulsión de las autoridades rusas. Las autoridades rusas también afirmaron que los servicios de inteligencia extranjeros podían leer los mensajes enviados por los soldados rusos a través de la aplicación. La plataforma de mensajería dijo que «nunca se ha encontrado ninguna violación del cifrado de Telegram». La noticia se produce cuando Rusia comenzó a bloquear y limitar el tráfico de Telegram la semana pasada.
• Hombre nigeriano sentenciado a ocho años de prisión por un plan falso de devolución de impuestos — Un nigeriano de 37 años llamado Matthew A. Akande , que vivía en México, fue sentenciado a ocho años de prisión en los Estados Unidos por su participación en una operación delictiva que implicó el acceso no autorizado a las redes informáticas de firmas de preparación de impuestos en Massachusetts. Según el Departamento de Justicia, entre junio de 2016 y junio de 2021 o alrededor de esa fecha, Akande conspiró para utilizar información robada de los contribuyentes para presentar más de 1000 declaraciones de impuestos fraudulentas a fin de solicitar la devolución de millones de dólares. También se ordenó al acusado que pagara 1.393.230 dólares en concepto de restitución. Fue arrestado en octubre de 2024 en el Reino Unido y extraditado a los Estados Unidos en marzo de 2025. «Para llevar a cabo el plan, Akande hizo que se enviaran correos electrónicos fraudulentos de suplantación de identidad a cinco empresas de preparación de impuestos de Massachusetts», dijeron desde el departamento dijo . Los correos electrónicos pretendían provenir de un posible cliente que buscaba los servicios de las empresas de preparación de impuestos, pero en realidad se utilizaban para engañar a las empresas para que descargaran un troyano malintencionado de acceso remoto (malware RAT), incluido el malware conocido como Warzone RAT . Akande utilizó el malware RAT para obtener la PII y la información fiscal del año anterior de los clientes de las empresas de preparación de impuestos, que luego Akande utilizó para presentar declaraciones de impuestos fraudulentas en busca de reembolsos». La infraestructura de Warzone RAT fue incautada por la Oficina Federal de Investigaciones de los Estados Unidos en febrero de 2024.
• Nuevas campañas distribuyen JRat, Pulsar RAT, xWorm y Prometei — En una nueva campaña, los actores de amenazas son apalancamiento la NJRAT troyano de acceso remoto para entregar el Registrador masivo ladrón de información. Otra campaña ha sido encontrado usar un cargador de donuts para distribuir PULSAR RAT como parte de un sofisticado ataque de malware de varias etapas. Lo más destacable de esta actividad es que Pulsar RAT se utiliza para controlar activamente a un servidor comprometido, lo que permite a un atacante iniciar una sesión de chat en tiempo real con la víctima para interactuar y probar el uso del sistema. También se han descubierto dos campañas que utilizan correos electrónicos de suplantación de identidad para distribuirlos Gusano X : Se usa un El cuentagotas de JavaScript se dirigirá a los usuarios brasileños , y otro comienza con correos electrónicos de suplantación de identidad que envían un adjunto malicioso de Excel a los usuarios objetivo. El archivo Excel explota CVE-2018-0802 , una falla de corrupción de memoria en Office corregida en 2018, para descargar y ejecutar un archivo HTA en el dispositivo de la víctima, lo que, a su vez, hace que PowerShell descargue y ejecute un módulo .NET sin archivos directamente en la memoria. A continuación, el módulo utiliza el proceso de vaciado para inyectar y ejecutar la carga útil de XWorm en un proceso MSBuild.exe recién creado. Por último, aunque no por ello menos importante, los servidores Windows están siendo atacados por actores de amenazas para infectarlos con una botnet conocida como Prometei . «Cuenta con amplias capacidades, que incluyen funciones de control remoto, recolección de credenciales, criptominería (Monero), movimiento lateral, mando y control (C2) tanto en la red clearweb como en la red TOR, y medidas de autoconservación que protegen los sistemas comprometidos frente a otros actores de amenazas, a fin de mantener el acceso exclusivo», dijo eSentire dijo .

🔧 Herramientas de ciberseguridad

• Gixy Siguiente → Es una herramienta de análisis de seguridad de código abierto diseñada para auditar las configuraciones de NGINX en busca de errores de configuración y vulnerabilidades comunes. Analiza los archivos de configuración para detectar problemas como directivas inseguras, controles de acceso incorrectos y configuraciones de proxy inseguras que podrían exponer las aplicaciones a ataques. Creado como sucesor del proyecto Gixy original, su objetivo es proporcionar comprobaciones actualizadas y una mejor cobertura de reglas para las implementaciones modernas de NGINX.
• El único WSL-BOF → Es un archivo de objetos Cobalt Strike Beacon de código abierto que permite a los operadores interactuar con el subsistema de Windows para Linux (WSL) directamente desde una sesión de Beacon. Puede enumerar las distribuciones de WSL y ejecutar comandos dentro de ellas sin ejecutar wsl.exe, lo que reduce la actividad visible del proceso y algunos artefactos de registro.

Descargo de responsabilidad: Estas herramientas se proporcionan únicamente para fines educativos y de investigación. No se someten a auditorías de seguridad y pueden causar daños si se utilizan de forma indebida. Revise el código, pruébelo en entornos controlados y cumpla con todas las leyes y políticas aplicables.

Conclusión

Si hay un tema que se repite esta semana, es la exposición silenciosa. El riesgo se refleja en las actualizaciones rutinarias, las herramientas confiables y las funciones que la mayoría de los equipos rara vez cuestionan hasta que algo falla.

El verdadero problema no es un solo defecto, sino el patrón subyacente. Las pequeñas debilidades se encadenan y se escalan con la automatización más rápido de lo que los defensores pueden adaptarse.

Escanea la lista completa con cuidado. Es probable que una de estas breves actualizaciones se asemeje más a tu entorno de lo que parece a primera vista.