Boletín ThreatsDay: Scalping de bots en DDR5, seguimiento de televisores Samsung, privacidad en Reddit bien y más...

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha prevenido de una campaña de hackeo dirigida a instituciones gubernamentales ucranianas mediante correos electrónicos de suplantación de identidad que contienen un archivo ZIP (o un enlace a un sitio web vulnerable a los ataques de secuencias de comandos entre sitios) para distribuir el malware SHADOWSNIFF y SALATSTEALER que roba información y un backdoor Go llamado DEAFTICKK. La agencia atribuyó la actividad a un agente de amenazas identificado como UAC-0252. La noticia se produce cuando una supuesta campaña de espionaje rusa tiene como objetivo a Ucrania con dos cepas de malware previamente indocumentadas, BadPaw y MeowMeow , según ClearSky. Si bien es probable que la campaña sea obra de APT28, la empresa de ciberseguridad no identificó los objetivos de la campaña ni dijo si los ataques tuvieron éxito.

Un nuevo malware como servicio (MaaS) denominado TrustConnect («trustconnectsoftware [.] com») disfrazado de herramienta legítima de supervisión y administración remota (RMM) por 300 dólares al mes. Se ha determinado que el autor de la amenaza detrás de TrustConnect también era un usuario destacado de RedLine Stealer . Según una empresa de seguridad de correo electrónico Punto de prueba , se ha observado que varios actores de amenazas distribuían el malware a través de correos electrónicos de suplantación de identidad a partir del 27 de enero de 2026. Los correos electrónicos pretenden ser invitaciones a eventos o propuestas de ofertas, y engañan a los destinatarios para que hagan clic en enlaces que conducen a la descarga de archivos ejecutables falsos que instalan TrustConnect RAT. La RAT bloquea las máquinas de los usuarios y ofrece a los atacantes un control total con el ratón y el teclado, lo que les permite grabar y reproducir en streaming la pantalla de la víctima. También se ha observado que, entre el 31 de enero y el 3 de febrero de 2026, algunas campañas ofrecían software legítimo de acceso remoto, como ScreenConnect y LogMeIn Resolve, junto con TrustConnect. Los clientes que compren el kit de herramientas tienen acceso a un panel de control para controlar de forma remota los dispositivos infectados y generar instaladores de marca que contengan el malware. Después de que Proofpoint tomara medidas para interrumpir parte de la infraestructura del malware el 17 de febrero de 2026, el autor de la amenaza resurgió con una versión renombrada de la plataforma de malware llamada DocConnect. «Las interrupciones en las operaciones de MaaS, como RedLine, Lumma Stealer y Rhadamanthys, han creado nuevas oportunidades para que los creadores de malware colmen las brechas del mercado de la ciberdelincuencia», afirma Proofpoint. «Aunque TrustConnect solo se hizo pasar por un RMM legítimo, los señuelos, las cadenas de ataque y las cargas útiles de seguimiento (que incluyen los RMM) muestran superposiciones con las técnicas y los métodos de entrega que se observan con frecuencia en las campañas de RMM y que utilizan varios actores de amenazas». Esta novedad se produce en un contexto de creciente uso indebido del software RMM legítimo en los ciberataques.

Google ha anunciado que las nuevas versiones de Chrome se lanzarán cada dos semanas, alejándose del ciclo de lanzamiento actual de cuatro semanas. Desde 2021, Google ha lanzado las principales versiones de Chrome cada cuatro semanas y, desde 2023, ha estado publicando actualizaciones de seguridad cada semana para reducir el número de parches y mejorar la calidad. «La plataforma web avanza constantemente y nuestro objetivo es garantizar que los desarrolladores y los usuarios tengan acceso inmediato a las últimas mejoras de rendimiento, correcciones y nuevas capacidades», explica Google dijo . El nuevo ciclo de lanzamiento también se aplicará a las versiones beta, empezando por Chrome 153, que llegará el 8 de septiembre de 2026.

Investigadores del Instituto IMDEA Networks han descubierto que los sensores del Sistema de Monitorización de la Presión de los Neumáticos (TPMS) del interior de cada rueda de un automóvil transmiten señales inalámbricas no cifradas que contienen identificadores persistentes. Si bien la función está diseñada para garantizar la seguridad del vehículo, cada sensor transmite una identificación única que no cambia, lo que permite volver a reconocer el mismo automóvil y rastrearlo a lo largo del tiempo. Esto, a su vez, abre la puerta a una red de monitoreo de bajo costo que utiliza receptores de radio definidos por software cerca de las carreteras (a una distancia de hasta 40 metros del automóvil) y de las áreas de estacionamiento para recopilar los mensajes TPMS de miles de vehículos y crear perfiles de sus movimientos a lo largo del tiempo. «Los usuarios malintencionados podrían utilizar receptores pasivos a gran escala y rastrear a los ciudadanos sin su conocimiento. La ventaja de un sistema de este tipo, frente a los sistemas más tradicionales basados en cámaras, es que los sensores TPMS no necesitan tener una línea de visión directa, y los receptores de espectro podrían colocarse en lugares encubiertos u ocultos, lo que dificultaría que las víctimas los detectaran», afirman los investigadores prevenido . «Nuestros resultados muestran que las transmisiones TPMS se pueden utilizar para inferir sistemáticamente información potencialmente confidencial, como la presencia, el tipo, el peso o el patrón de conducción del conductor». Esta información se suma a un número cada vez mayor de investigaciones que demuestran cómo los diversos componentes instalados en los vehículos modernos pueden convertirse en conductos involuntarios de vigilancia y explotación.

Un nuevo análisis de CYFIRMA ha señalado cómo la estructura de Telegram ofrece a los actores de amenazas una forma de extender su alcance a nivel mundial sin la necesidad de herramientas especializadas, permitir la incorporación sin problemas de compradores y afiliados, respaldar las opciones de pago y facilitar el crecimiento de la audiencia. La aparición de la plataforma ha cambiado radicalmente la forma en que se coordinan, monetizan y publicitan las operaciones cibernéticas. «Para los actores con motivaciones financieras, Telegram funciona como una tienda escalable y un centro de atención al cliente», afirma la empresa dijo . «Para los hacktivistas, sirve como un amplificador de movilización y propaganda. Para las operaciones alineadas con el estado, ofrece un canal de distribución rápida de narrativas y filtraciones. En muchos casos, Telegram complementa y reemplaza cada vez más los ecosistemas tradicionales basados en Tor al eliminar las fricciones técnicas y, al mismo tiempo, mantener la flexibilidad operativa».

Un nuevo análisis de Distribuidor Aura de Intrinsec tiene descubierto 48 nombres de dominio de comando y control (C2) vinculados a las operaciones del ladrón. Se ha descubierto que el autor de la amenaza detrás del malware utiliza los dominios de primer nivel .shop y .cfd, además de dirigir todo el tráfico a través de Cloudflare en forma de proxy inverso para ocultar el servidor real. AuraStealer apareció por primera vez en foros clandestinos de hackers en julio de 2025, poco después de que el Lumma Stealer fuera desmantelado como parte de una operación policial. Lo anunció un usuario llamado AuraCorp en el foro de la XSS. Viene en dos paquetes de suscripción: 295 dólares al mes para la versión básica y 585 dólares al mes para la versión avanzada. Uno de los principales mecanismos a través de los cuales se distribuye al ladrón es Haga clic en Fijar .

Una campaña de publicidad maliciosa utiliza anuncios falsos en las páginas de resultados de la Búsqueda de Google para redirigir a los usuarios que buscan formas de liberar espacio de almacenamiento en macOS a páginas web fraudulentas alojadas en Medium, Evernote y Kimi AI para que las publiquen Haga clic en Fijar instrucciones al estilo que lanzan una nueva variante del Atomic Stealer llamada malext para robar una amplia gama de datos de sistemas macOS comprometidos. La campaña utiliza más de 50 cuentas de Google Ads comprometidas que publican «más de 485 páginas de destino malintencionadas, lo que acaba desembocando en un ataque de ClickFix que permitió lanzar una versión potencialmente nueva de AMOS Stealer en los sistemas infectados», explica Gi7w0rm, investigador de seguridad dijo .

Una operación de recopilación de datos a gran escala ha enviado más de 10 millones de solicitudes de extracción web para acceder a las páginas de productos de DRAM en sitios de comercio electrónico, en un esfuerzo por encontrar vendedores que tengan existencias de DRAM deseables. Según DataDome, se ha descubierto que los bots comprueban el stock de determinados kits de memoria RAM cada 6,5 segundos mediante una técnica denominada reducción de la memoria caché para garantizar que obtienen la información más actualizada. «Estos bots atacan agresivamente a toda la cadena de suministro, desde la memoria RAM de consumo hasta los proveedores de memoria industrial B2B y los componentes de hardware sin procesar, como los conectores DIMM», explica la empresa dijo . «Los raspadores intentan evitar la detección agregando parámetros de eliminación de caché a cada solicitud y calibrando su velocidad para mantenerse justo por debajo de los umbrales de alarma volumétrica. Al agotar rápidamente el limitado inventario de memoria DDR5 para revenderlo de forma rentable, estos bots agotan aún más la oferta de consumo, lo que excluye a los clientes legítimos y hace subir aún más los precios del mercado».

La Oficina del Comisionado de Información (ICO) del Reino Unido ha multado Reddit 14,47 millones de libras esterlinas por procesar ilegalmente la información personal de niños menores de 13 años y por no comprobar adecuadamente la edad de sus usuarios, lo que los pone en riesgo de quedar expuestos a contenido inapropiado y perjudicial en Internet. En julio de 2025, Reddit introdujo medidas de control de edad que incluyen la verificación de la edad para acceder a contenido para adultos y pedir a los usuarios que declaren su edad al abrir una cuenta. Reddit dijo apelaría la decisión, declarando que no requiere que los usuarios compartan información sobre sus identidades, independientemente de su edad, para garantizar la privacidad y seguridad en línea de los usuarios.

El fiscal general de Texas, Ken Paxton, anunció que Samsung ya no recopilará el reconocimiento automático de contenido ( COCHE ) datos sin el consentimiento expreso de los consumidores. Esta novedad se produce a raíz de una demanda interpuesta contra el gigante surcoreano de la electrónica por sus prácticas de recopilación de datos y por las acusaciones de que la información recopilada por el ACR podría utilizarse para publicar anuncios segmentados. «Además, obliga a Samsung a actualizar rápidamente sus televisores inteligentes y a implementar pantallas de divulgación y consentimiento que sean claras y visibles para garantizar que los tejanos puedan tomar una decisión informada sobre si se recopilan sus datos y cómo se utilizan», dijo la Oficina del Fiscal General dijo . Samsung ha negado que espíe a los usuarios.

Los iPhones y iPads de Apple han sido aprobado para gestionar información clasificada en las redes de la OTAN. Se trata de los primeros dispositivos destinados a los consumidores que han sido aprobados para su uso en la OTAN sin necesidad de software ni ajustes especiales adicionales. El iPhone y el iPad ya habían recibido la aprobación para gestionar datos clasificados del Gobierno alemán en dispositivos que utilizaran medidas de seguridad nativas de iOS y iPadOS, tras una evaluación de seguridad realizada por la Oficina Federal de Seguridad de la Información de Alemania.

TikTok, de ByteDance, dijo que no tiene planes de añadir el cifrado de extremo a extremo (E2EE) a los mensajes directos porque evitaría que los equipos policiales y de seguridad leyeran los mensajes si fuera necesario. En un comunicado compartido con la BBC, la empresa dijo quería proteger a los usuarios, especialmente a los jóvenes, de cualquier daño.

Una nueva campaña de suplantación de identidad que utiliza señuelos para órdenes de compra ha aprovechado una cadena de ataques de varias etapas para ofrecer Agente Tesla , lo que permite a los actores de amenazas recopilar datos confidenciales y, al mismo tiempo, tomar medidas para evitar la detección mediante técnicas como la ofuscación y la ejecución en memoria. «El agente Tesla está diseñado para permanecer invisible», explica Fortinet FortiGuard Labs dijo . «Sus exhaustivas comprobaciones antianálisis garantizan además que solo revele su verdadera naturaleza cuando está seguro de que no está siendo vigilado».

Dado que las organizaciones están tomando medidas para reforzar sus filtros tradicionales de correo electrónico y web, una nueva investigación de Infoblox ha encontrado una campaña novedosa en la que los actores abusan del dominio de primer nivel .arpa, un espacio estrictamente reservado a la infraestructura de red, para alojar contenido malicioso y eludir las listas de bloqueo estándar. La noticia demuestra que los ciberdelincuentes están encontrando escondites «imposibles» dentro de la infraestructura básica de Internet para eludir la seguridad, según la empresa de inteligencia de amenazas del DNS. En otros lugares, los actores de amenazas también están abusando de los archivos de acceso directo de LNK y WebDAV para descargar archivos maliciosos en los sistemas de los objetivos. «Dado que la posibilidad de acceder de forma remota a elementos de Internet a través del Explorador de archivos es una funcionalidad relativamente desconocida para la mayoría de las personas, WebDAV es una forma explotable de hacer que las personas descarguen archivos sin tener que descargar archivos desde un navegador web tradicional», dijo Cofense dijo .

Una nueva campaña de suplantación de identidad que comenzó el 1 de marzo de 2026 utiliza señuelos relacionados con el acceso no autorizado a las cuentas de personas para engañar a los destinatarios para que visiten páginas de inicio de sesión falsas de LastPass y así hacerse con el control de sus cuentas. El ataque aprovecha el hecho de que muchos clientes de correo electrónico, especialmente los móviles, muestran solo el nombre mostrado y ocultan la verdadera dirección del remitente, a menos que los usuarios la amplíen. «Los atacantes reenvían cadenas de correo electrónico falsas para que parezca que otra persona está intentando realizar una acción no autorizada en su cuenta de LastPass (por ejemplo, exportar el almacén, recuperar toda la cuenta, registrar un nuevo dispositivo de confianza, etc.)», LastPass dijo . «Los atacantes utilizan la suplantación de nombres para mostrar el nombre para manipular la parte del campo del remitente para hacerse pasar por LastPass, mientras que la dirección de correo electrónico real del remitente no está relacionada».

Con la aparición de herramientas como Seguridad de Claude Code , OX Security insta a los usuarios a resistirse a la tentación de subcontratar el juicio, la arquitectura y la validación a un único modelo de inteligencia artificial (IA). «La IA no inventa patrones de código fundamentalmente nuevos», dijo . «Reproduce los más comunes que ha visto antes. Esto significa que aumenta no solo la productividad, sino también las debilidades existentes en la práctica de la ingeniería de software». La empresa de ciberseguridad también advirtió de que los sistemas de inteligencia artificial pueden ser propensos a generar falsos positivos y no informar de forma fiable al usuario si un problema detectado en un único repositorio es realmente explotable en un entorno complejo y único. Agregó que una canalización que dependa del mismo sistema de inteligencia artificial tanto para escribir como para revisar el código no es lo ideal.

Un equipo de académicos de Anthropic, ETH Zurich y Investigación MATS ha desarrollado modelos lingüísticos extensos (LLM) que pueden desanonimizar a los usuarios de Internet basándose en comentarios anteriores u otras pistas digitales que dejan atrás. «Con dos bases de datos de personas seudónimas, cada una de las cuales contiene texto no estructurado escrito por o sobre esa persona, implementamos una canalización de ataques escalable que utiliza los LLM para: (1) extraer funciones relevantes para la identidad, (2) buscar candidatos que coincidan mediante incrustaciones semánticas y (3) razonar a los mejores candidatos para verificar las coincidencias y reducir los falsos positivos», dijeron los investigadores dijo . El método funciona incluso si los objetivos utilizan diferentes seudónimos en varias plataformas. Los investigadores dijeron que el uso de sus LLM supera a los métodos de investigación clásicos, en los que un operador humano examina manualmente las huellas digitales. Esto, a su vez, permite realizar ataques de desanonimización totalmente automatizados que pueden funcionar con datos no estructurados a gran escala y, al mismo tiempo, reducir el costo y el esfuerzo que implica la recopilación de información. «Nuestros resultados muestran que la oscuridad práctica que protegía a los usuarios seudónimos en Internet ya no se mantiene y que es necesario reconsiderar los modelos de amenaza para la privacidad en línea», afirman los investigadores. «El usuario medio de Internet lleva mucho tiempo utilizando un modelo de amenaza implícita en el que asumía que el seudónimo proporcionaba una protección adecuada, ya que la desanonimización selectiva requeriría un gran esfuerzo. Los LLM invalidan esta suposición».