⚡ Resumen semanal: puerta trasera de CI/CD, el FBI compra datos de ubicación, WhatsApp abandona los números y más...

Otra semana, otro recordatorio de que Internet sigue siendo un desastre. Los sistemas que la gente creía seguros se están rompiendo de manera sencilla, lo que demuestra que muchos siguen ignorando las advertencias básicas.

Esta edición aborda una combinación de temas: los ataques a la cadena de suministro que afectan a las configuraciones de CI/CD, el cierre de los dispositivos de IoT de los que se ha abusado durante mucho tiempo y las vulnerabilidades pasan rápidamente de la divulgación a los ataques reales. También hay nuevos trucos relacionados con el malware que muestran que los atacantes son cada vez más pacientes y creativos.

Es una combinación de problemas antiguos que nunca desaparecen y métodos nuevos que son más difíciles de detectar. Hay actividades silenciosas respaldadas por el estado, datos expuestos de directorios abiertos, crecientes amenazas móviles y un flujo constante de parches rápidos y de día cero.

Tómate un café y, al menos, hojea la lista de CVE. Algunas de estas son de las que no querrás descubrir después de que el daño esté hecho.

⚡ Amenaza de la semana

El escáner de vulnerabilidades de Trivy fue atacado por un ataque a la cadena de suministro — Los atacantes tienen con puerta trasera el escáner de vulnerabilidades Trivy de código abierto ampliamente utilizado, que inyecta malware para robar credenciales en las versiones oficiales y en las GitHub Actions que utilizan miles de flujos de trabajo de CI/CD. La brecha ha provocado una serie de nuevos problemas en la cadena de suministro, debido a que los proyectos y las organizaciones afectados no divulgan sus secretos, lo que ha provocado la distribución de un gusano que se autopropaga, denominado CanisterWorm. Trivy, desarrollado por Aqua Security, es uno de los escáneres de vulnerabilidades de código abierto más utilizados, con más de 32 000 estrellas de GitHub y más de 100 millones de descargas en Docker Hub. El compromiso de Trivy es el último de un patrón creciente de ataques dirigidos a GitHub Actions y a los desarrolladores en general. GitHub cambiada el comportamiento predeterminado de los flujos de trabajo de pull_request_target en diciembre de 2025 para reducir el riesgo de explotación.

BAS versus Pentesting automatizado: lo que cada uno realmente cubre (y lo que no cubre)

La mayoría de los equipos eligen uno sin saber lo que el otro pierde. En esta guía se desglosan los casos de uso de los equipos azules, rojos y morados para que puedas ver dónde encaja cada uno y dónde están las brechas.

Descargar ahora ➝

🔔 Noticias principales

• El DoJ elimina las botnets DDoS — Un grupo de botnets de IoT detrás de algunos de los mayores ataques DDoS jamás registrados -- AISURU , Kim Wolf , JackSkid y el Mossad -- fueron borrados como parte de una amplia operación policial. Las botnets se propagan en gran medida a través de enrutadores, cámaras IP y grabadoras de vídeo digital, que a menudo vienen con credenciales poco fiables y rara vez se les aplican parches. Las autoridades eliminaron los servidores de comando y control utilizados para controlar los nodos infectados. En conjunto, los operadores de las cuatro redes de bots habían acumulado más de 3 millones de dispositivos, a los que luego vendían el acceso a otros piratas informáticos criminales, quienes luego los utilizaban para atacar a las víctimas con ataques DDoS para desconectar sitios web y servicios de Internet o enmascarar otras actividades ilícitas. Algunos de estos ataques DDoS tenían como objetivo los sistemas del Departamento de Defensa de los Estados Unidos y otros objetivos de gran valor. No se anunció ningún arresto, pero se dice que dos sospechosos relacionados con Aisuru/Kimwolf residen en Canadá y Alemania. Las cuatro redes de bots interrumpidas por la operación son variantes de Mirai, cuyo código fuente se filtró en 2016 y ha servido de punto de partida para otras redes de bots. Según el Departamento de Justicia de los Estados Unidos, algunas víctimas de los ataques DDoS perdieron cientos de miles de dólares debido a los gastos de reparación o a las demandas de rescate de los piratas informáticos, que solo podían dejar de sobrecargar los sitios web por un precio.
• Google presenta un nuevo flujo avanzado para la descarga lateral en Android — El flujo avanzado de Google para Android cambia la forma en que se instalan las aplicaciones de desarrolladores no verificados, lo que añade fricción a la hora de combatir las estafas y el malware. La función está dirigida a usuarios experimentados y permite la descarga lateral mediante una configuración única. El flujo avanzado añade un retraso de 24 horas y pasos de verificación con el objetivo de interrumpir la presión coercitiva y dar a los usuarios tiempo para tomar decisiones. Está diseñado para hacer frente a situaciones en las que los atacantes presionan a las personas para que instalen software no seguro y aprovechan la urgencia de la operación para obligarlas a eludir las advertencias de seguridad y desactivar las protecciones antes de que puedan hacer una pausa o buscar ayuda.
• La falla crítica de Langflow está siendo atacada — Una falla de seguridad crítica que afecta a Langflow ha sido explotada activamente a las 20 horas de su divulgación pública, lo que pone de relieve la velocidad con la que los actores de amenazas utilizan como armas las vulnerabilidades recientemente publicadas. El defecto de seguridad, registrado como CVE-2026-33017 (puntuación CVSS: 9,3), se debe a la falta de autenticación combinada con la inyección de código, lo que podría provocar la ejecución remota de código. La empresa de seguridad en la nube Sysdig afirmó que los ataques utilizan como arma la vulnerabilidad para robar datos confidenciales de los sistemas comprometidos. «Las pruebas reales son definitivas: los atacantes la explotaron de forma espontánea a las 20 horas de haberse hecho pública la advertencia, sin que hubiera ningún código PoC público disponible», dijo Aviral Srivastava, quien descubrió la vulnerabilidad, a The Hacker News. «Crearon exploits que funcionaban con solo leer la descripción del aviso. Esa es la característica distintiva de una explotación trivial, cuando varios atacantes independientes pueden convertir una vulnerabilidad en un arma basándose tan solo en una descripción y en cuestión de horas».
• Interlock Ransomware explotó la falla de Cisco FMC cuando tenía 0 días — Una campaña de ransomware de Interlock aprovechó una falla de seguridad crítica en el software Cisco Secure Firewall Management Center (FMC) como un día cero más de un mes antes de que se divulgara públicamente. La vulnerabilidad en cuestión es la CVE-2026-20131 (puntuación CVSS: 10,0), un caso de deserialización insegura del flujo de bytes de Java suministrado por el usuario, que podría permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como usuario root en un dispositivo afectado. «No se trataba solo de otro ataque de vulnerabilidad; Interlock tenía en sus manos un día cero, lo que les daba una semana de ventaja para comprometer a las organizaciones antes de que los defensores se dieran cuenta», afirma Amazon, que descubrió la actividad.
• Sale a la luz otro kit de exploits de iOS — Se ha descubierto un nuevo ataque en forma de pozo de agua contra usuarios de iPhone que generaba un kit de explotación de iOS previamente indocumentado con el nombre en código DarkSword. Si bien algunos de los ataques estaban dirigidos contra usuarios de Ucrania, el kit también ha sido utilizado por otros dos grupos que, en noviembre de 2025, se centraron en usuarios de Arabia Saudí, así como en usuarios de Turquía y Malasia. Vale la pena señalar que estas vulnerabilidades no serían eficaces en dispositivos con el modo de bloqueo activo ni en el iPhone 17 con el control de la integridad de la memoria (MIE) activado. El kit utilizó un total de seis vulnerabilidades en iOS para ofrecer varias familias de malware diseñadas para la vigilancia y la recopilación de información. Desde entonces, Apple ha abordado todos ellos. «Escrito completamente en JavaScript, DarkSword contiene seis vulnerabilidades distribuidas en dos cadenas de exploits, que fueron parcheadas por etapas hasta la versión 26.3 de iOS», explica iVerify. «Empezando con WebKit y pasando al núcleo, consigue el máximo rendimiento para el iPhone con técnicas elegantes que nunca antes se habían visto públicamente». El descubrimiento de DarkSword lo convierte en segundo ataque masivo dirigido a dispositivos iOS. Además, el actor de amenazas ruso que desplegó DarkSword demostró una seguridad operativa deficiente. Dejaron el código JavaScript completo sin ofuscar, sin protección y de fácil acceso. Los hallazgos también apuntan a la existencia de un mercado secundario en el que actores de amenazas con diversas motivaciones adquieren este tipo de vulnerabilidades para infectar activamente y a gran escala a usuarios de iOS que no tienen parches.
• El malware bancario Perseus apunta a Android — Los investigadores han descubierto que un malware para Android recientemente descubierto se está ocultando en las aplicaciones de streaming de televisión para robar las contraseñas y los datos bancarios de los usuarios y espiar sus notas personales. El malware, denominado Perseus por los investigadores de ThreatFabric, se distribuye de forma activa en estado salvaje y se dirige principalmente a usuarios de Turquía e Italia. Para infectar los dispositivos, los atacantes ocultan el malware en aplicaciones que parecen ofrecer servicios de IPTV, plataformas que transmiten contenido televisivo a través de Internet. Estas aplicaciones también se utilizan ampliamente para transmitir contenido pirateado y, con frecuencia, se descargan fuera de los mercados oficiales, como Google Play, lo que hace que los usuarios se acostumbren más a instalarlas manualmente y tengan menos probabilidades de ver el proceso como sospechoso. Una vez instalado, Perseus puede monitorear casi todo lo que hace un usuario en tiempo real. Utiliza ataques superpuestos (colocar pantallas de inicio de sesión falsas sobre aplicaciones legítimas) y funciones de registro de teclas para capturar las credenciales a medida que se introducen. La característica más inusual del malware es que se centra en las aplicaciones de toma de notas personales. «Las notas suelen contener información confidencial, como contraseñas, frases de recuperación, detalles financieros o ideas privadas, lo que las convierte en un objetivo valioso para los atacantes», afirma ThreatFabric.

‎️ 🔥 CVs de tendencia

Cada semana aparecen nuevas vulnerabilidades y la ventana entre la divulgación y la explotación es cada vez más corta. Las siguientes fallas son las más críticas de esta semana: software de alta gravedad, ampliamente utilizado o que ya están llamando la atención de la comunidad de seguridad.

Compruébelos primero, parchee lo que corresponda y no espere a que aparezcan los marcados como urgentes: CVE-2026-21992 (Oráculo), CVE-2026-33017 (Langflow), CVE-2026-32746 (GNU iNetUtils telnetd), CVE-2026-32297, CVE-2026-32298 (KVM Angeet ES3), CVE-2026-3888 (Ubuntu), CVE-2026-20643 (WebKit de Apple), CVE-2026-4276 (API RAG de LibreChat), CVE-2026-24291 también conocido como RegPwn (Microsoft Windows), CVE-2026-21643 (Fortinet FortiClient), CVE-2026-3864 (Kubernetes), CVE-2026-32635 (Angular), CVE-2026-25769 ( Wazuh ), CVE-2026-3564 (ConnectWise ScreenConnect), CVE-2026-22557, CVE-2026-22558 (Ubiquiti), CVE-2025-14986 (Temporal), CVE-2026-31381, CVE-2026-31382 (Gainsight Assist), CVE-2026-26189 (Curiosidades), CVE-2026-4439, CVE-2026-4440, CVE-2026-4441 (Google Chrome), CVE-2026-33001, CVE-2026-33002 (Jenkins), CVE-2026-21570 (Atlassian Bamboo Center) y CVE-2026-21884 (Centro de datos multitudinario de Atlassian).

🎥 Seminarios web sobre ciberseguridad

• Aprenda a automatizar la gestión de la exposición con OpenCTI y OpenAEV → Descubra cómo automatizar las pruebas continuas y basadas en amenazas mediante herramientas de código abierto como OpenCTI y OpenAEV para validar sus controles de seguridad contra el comportamiento real de los atacantes sin aumentar su presupuesto. Vea una demostración en directo sobre cómo verificar el funcionamiento de su seguridad, identificar las brechas reales e integrarla en su flujo de trabajo del SOC sin coste adicional.
• La madurez de la identidad se está agotando en 2026: consulte los nuevos datos y cómo ponerse al día rápidamente → Los programas de identidad están sometidos a una enorme presión en 2026: las aplicaciones desconectadas, los agentes de IA y la expansión de las credenciales están creando riesgos reales y desafíos de auditoría. Participe en este seminario web para conocer un nuevo estudio realizado por más de 600 líderes del Ponemon Institute en 2026, en el que se muestran la magnitud del problema y las medidas prácticas para cerrar las brechas, reducir la fricción y ponerse al día rápidamente.

📰 En todo el mundo cibernético

• WhatsApp prueba nombres de usuario en lugar de números de teléfono — WhatsApp planea introducir nombres de usuario e identificaciones únicas en lugar de números de teléfono, lo que permitirá a los usuarios enviar mensajes y realizar llamadas de voz o videollamadas sin compartir números. Se espera que la función de privacidad opcional esté disponible en todo el mundo en junio de 2026, y que los usuarios y las empresas puedan reservar nombres de usuario únicos. «Estamos muy contentos de poder incorporar nombres de usuario a WhatsApp en el futuro para ayudar a las personas a conectarse con nuevos amigos, grupos y empresas sin tener que compartir sus números de teléfono», afirman desde la empresa dijo en una declaración compartida con The Economic Times. La función ha estado en prueba desde principios de enero de 2026. Señal introducido una característica similar a principios de 2024.
• El FBI detalla los centros de estafa del sudeste asiático — La Oficina Federal de Investigaciones (FBI) de los Estados Unidos detalló su trabajo con las autoridades tailandesas para cerrar centros de estafas proliferando en el sudeste asiático. Los esquemas, que se dirigen principalmente a jubilados, propietarios de pequeñas empresas y personas que buscan compañía, se han descrito como una combinación de fraude cibernético, lavado de dinero y trata de personas, que causan pérdidas anuales de miles de millones de dólares. Estos centros fraudulentos funcionan de manera similar a como lo hacen las empresas legítimas. «Los reclutadores anuncian trabajos bien remunerados en el extranjero. Los trabajadores son trasladados en avión a países extranjeros solo para descubrir que los puestos no existen», dice el FBI dijo . «Se confiscan los pasaportes. Guardias armados patrullan los terrenos. Bajo la amenaza de violencia, los trabajadores se ven obligados a hacerse pasar por posibles parejas sentimentales o asesores de inversiones inteligentes, lo que fomenta la confianza de las víctimas durante semanas o meses». Las recientes medidas represivas en países como Camboya han liberado a miles de trabajadores de las instalaciones fraudulentas, pero el FBI advirtió que estos avances pueden ser temporales, ya que las redes delictivas siempre tienden a cambiar de ubicación, de marca o de táctica en respuesta a las medidas adoptadas por las fuerzas del orden.
• El servidor expuesto APT28 filtra la carga útil de SquirrelMail XSS — Se descubrió un segundo directorio abierto expuesto en un servidor (» 203.161,50 [.] 145 «), asociada a APT28 (también conocida como Fancy Bear), ha ofrecido información sobre las campañas de espionaje de los actores de amenazas contra organizaciones gubernamentales y militares en Ucrania, Rumania, Bulgaria, Grecia, Serbia y Macedonia del Norte. Según Ctrl-Alt-Intel , el directorio contenía código fuente de comando y control (C2), scripts para robar correos electrónicos, credenciales, libretas de direcciones y tokens de 2FA de los buzones de Roundcube, registros de telemetría y datos filtrados. Los datos robados consisten en 2.870 correos electrónicos de buzones gubernamentales y militares, 244 conjuntos de credenciales robadas, 143 reglas de reenvío de Sieve (para reenviar silenciosamente todos los correos electrónicos entrantes a un buzón controlado por un atacante) y 11.527 direcciones de correo electrónico de contacto. Una de las herramientas recientemente identificadas es una carga útil de XSS dirigida al software de correo web SquirrelMail, lo que pone de manifiesto que los atacantes siguen centrándose en aprovechar las fallas del XSS para robar datos de las bandejas de entrada de correo electrónico. Vale la pena señalar que el servidor era atribuido al APT28 por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ya en septiembre de 2024. «Fancy Bear desarrolló un conjunto de herramientas de explotación modular y multiplataforma en el que la víctima podía simplemente abrir un correo electrónico malintencionado (sin hacer más clics) y provocar el robo de sus credenciales, la elusión de la autenticación de dos factores, la filtración de los correos electrónicos de su buzón de correo y el establecimiento de una regla de reenvío silencioso que se mantiene indefinidamente», afirma Ctrl-Alt-Intel.
• Análisis de un servidor Beast Ransomware — Un análisis de un directorio abierto en un servidor («5.78.84 [.] 144") asociado a Beast, un ransomware como servicio (RaaS) que se sospecha que es el sucesor del ransomware Monster, ha descubierto las diversas herramientas utilizadas por los actores de amenazas y las diferentes etapas del ciclo de vida de sus ataques. Estos incluyen Advanced IP Scanner y Advanced Port Scanner para mapear redes internas y encontrar puertos abiertos de protocolo de escritorio remoto (RDP) o bloque de mensajes de servidor (SMB). También se identificaron programas para localizar archivos confidenciales para su exfiltración y marcar qué servidores contienen la mayor cantidad de datos, así como Mimikatz, LaZagne y Automim (para la recolección de credenciales), AnyDesk (para la persistencia), PsExec (para el movimiento lateral) y MEGAsync (para la exfiltración de datos). Las operaciones del ransomware Beast se detuvieron en noviembre de 2025 y se reanudaron en enero de 2026.
• GrapheneOS se opone a la iniciativa de certificación unificada — GrapheneOS se ha pronunciado con firmeza en contra Atestación unificada , afirmando que «no tiene ningún propósito verdaderamente útil más allá de darse una ventaja injusta y pretender que tiene algo que ver con la seguridad». La iniciativa de certificación unificada es una alternativa descentralizada y de código abierto a la API de integridad de Google Play que permite comprobar la integridad de las ROM personalizadas de los dispositivos y las aplicaciones sin necesidad de utilizar los servicios de Google Play. «Nos oponemos firmemente a la iniciativa de certificación unificada y pedimos a los desarrolladores de aplicaciones que defienden la privacidad, la seguridad y la libertad en los dispositivos móviles que la eviten», afirma GraphenseOS. «Las empresas que venden teléfonos no deberían decidir qué sistemas operativos pueden usar las personas para las aplicaciones».
• VoidStealer usa el depurador de Chrome para robar secretos — Un ladrón de información conocido como VoidStealer ha observado el uso de un novedoso cifrado vinculado a aplicaciones basado en un depurador ( ABÉ ) técnica de omisión que aprovecha los puntos de interrupción del hardware para extraer la «v20_master_key» directamente de la memoria del navegador y utilizarla para descifrar los datos confidenciales almacenados en el navegador. VoidStealer es un programa de robo de información basado en malware como servicio (MaaS) que comenzó a comercializarse en varios foros de la dark web a mediados de diciembre de 2025. La técnica de derivación ABE se introdujo en la versión 2.0 del ladrón anunciado el 13 de marzo de 2026. «La elusión no requiere escalamiento de privilegios ni inyección de código, por lo que es un enfoque más sigiloso en comparación con los métodos alternativos de elusión de ABE», Gen Digital dijo . Se evalúa que VoidStealer adoptó la técnica del código abierto Altitud Katz proyecto.
• El FBI dice que está comprando los datos de ubicación de los estadounidenses — El director del FBI, Kash Patel, admitió que la agencia está comprando datos de ubicación que pueden usarse para rastrear los movimientos de las personas sin una orden judicial. «Compramos información disponible en el mercado que es compatible con la Constitución y las leyes de la Ley de Privacidad de las Comunicaciones Electrónicas, y eso nos ha permitido obtener información valiosa», afirma Patel dijo en una audiencia ante el Comité de Inteligencia del Senado.
• Red de bots iraní expuesta a través de Open Directory — Se ha descubierto que un directorio abierto en «185.221.239 [.] 162:8080» contiene varias cargas útiles, como un script de botnet basado en Python, un binario DDoS compilado, varios archivos de denegación de servicio en lenguaje C y direcciones IP asociadas a las credenciales SSH. «Un script de Python llamado ohhhh.py lee las credenciales en formato host:port|username|password y abre 500 sesiones SSH simultáneas, compilando y lanzando el cliente bot en cada host automáticamente», Hunt.io dijo . «El archivo .bash_history publicado incluyó tres fases de trabajo distintas: la creación de la red de túneles, la creación y prueba de herramientas de DDoS contra objetivos reales y el desarrollo iterativo de redes de bots en varias versiones de scripts». La actividad no se ha vinculado a ninguna campaña dirigida por el estado.
• Desarrolladores de OpenClaw en un ataque de suplantación de identidad — La combinación de flexibilidad, control local y un ecosistema de rápido crecimiento de OpenClaw lo ha hecho popular entre los desarrolladores en muy poco tiempo. Si bien esa velocidad de adopción sin precedentes ha expuesto a las organizaciones a nuevos riesgos de seguridad propios (es decir, vulnerabilidades y la presencia de habilidades maliciosas en ClawHub y SkillSMP), los actores de amenazas también están capitalizando la marca y la reputación para crear cuentas falsas de GitHub para una campaña de suplantación de identidad que atrae a los desarrolladores desprevenidos con la promesa de obtener tokens $CLAW gratuitos y los engaña para que conecten su billetera de criptomonedas. «El actor de amenazas crea cuentas falsas de GitHub, abre hilos de discusión en repositorios controlados por atacantes y etiqueta a docenas de desarrolladores de GitHub», dicen los investigadores de OX Security Moshe Siman Tov Bustan y Nir Zadok dijo . «Las publicaciones afirman que los destinatarios han ganado fichas CLAW por valor de 5000 dólares y pueden conseguirlas visitando un sitio vinculado y conectando su billetera criptográfica». El sitio enlazado («token-claw [.] xyz») es un clon casi idéntico de openclaw.ai equipado con el botón «Conecta tu billetera» que consume mucho dinero y que está diseñado para robar criptomonedas.
• Nueva campaña dirigida al personal de operaciones de energía en Pakistán — Una campaña dirigida contra el personal de operaciones de empresas de energía vinculadas a proyectos en Pakistán ha aprovechado los correos electrónicos de suplantación de identidad que imitan las invitaciones a la próxima Exposición y Conferencia sobre Energía de Pakistán (PEEC). Los mensajes, enviados desde cuentas comprometidas de una universidad paquistaní y una organización gubernamental, tienen por objeto engañar a las víctimas para que abran archivos adjuntos en formato PDF con un aviso falso de actualización del Adobe Acrobat Reader. Al hacer clic en la actualización, se descarga un recurso de la aplicación ClickOnce que elimina el framework Havoc Demon C2. «La cadena de redireccionamiento también incluía el geofencing y la toma de huellas dactilares del navegador, lo que limitaba el acceso a los objetivos previstos», explica Proofpoint dijo . «Es probable que eso redujera la exposición a los análisis automatizados y, al mismo tiempo, mantuviera la ruta de entrega muy limitada». La actividad tiene el nombre en código UNK_VaporVibes. Se evalúa si comparte superposiciones con actividades asociadas públicamente a Lemming descuidado .
• Más de 373 mil sitios web oscuros caídos — Organismos internacionales encargados de hacer cumplir la ley anunciado la eliminación de una de las mayores redes conocidas de plataformas fraudulentas en la web oscura, que descubrió cientos de miles de sitios web falsos utilizados para estafar a los usuarios que buscan contenido sobre abuso sexual infantil. Una operación internacional de 10 días dirigida por las autoridades alemanas y apoyada por Europol cerró más de 373 000 dominios de la web oscura gestionados por un hombre de 35 años afincado en China, que había estado gestionando una extensa red de plataformas fraudulentas al menos desde 2021. Si bien los sitios anunciaban material sobre abuso infantil y ofertas de ciberdelincuencia como servicio, en realidad no se ofrecía nada después de que las víctimas realizaran un pago en Bitcoin. El plan fraudulento le permitió al operador obtener aproximadamente 345 000 euros, de entre unas 10 000 personas. Las autoridades de 23 países participaron en la operación y, desde entonces, han identificado a 440 clientes cuyas compras están siendo investigadas activamente.
• Los paquetes npm maliciosos roban secretos — Se ha descubierto que dos paquetes npm maliciosos, sbx-mask y touch-adv, roban secretos de las computadoras de las víctimas. Mientras que uno invoca el código malicioso mediante el script posterior a la instalación, el otro lo ejecuta cuando el desarrollador invoca el código de la aplicación tras importarlo. «La evidencia sugiere claramente que un editor legítimo se ha apoderado de la cuenta de un editor legítimo y no de una actividad malintencionada», dijo Sonatype dijo . «El secuestro de cuentas de editor es particularmente preocupante, ya que, con el tiempo, los mantenedores generan confianza en los usuarios de sus componentes. Los atacantes pretenden aprovechar esa confianza para robar información valiosa o rentable».
• China tendrá su propia criptografía poscuántica en 3 años — Según se informa, China planea desarrollar sus propios estándares nacionales de criptografía poscuántica en los próximos tres años, según un informe de Reuters. Estados Unidos finalizó su primer conjunto de estándares de criptografía poscuántica en 2024 y su objetivo es lograr la migración total de la industria para 2035.
• ¿Qué sigue para Tycoon2FA? — Una operación policial reciente desmanteló la infraestructura asociada a la Tycoon 2 FA plataforma de suplantación de identidad como servicio (PhaaS). Sin embargo, un nuevo análisis de Bridewell ha revelado que algunas de las páginas CAPTCHA de suplantación de identidad basadas en la autenticación de dos factores siguen activas. La empresa de ciberseguridad señaló que la actividad persistente se debe al hecho de que estas páginas funcionan en una red masiva de sitios de terceros comprometidos, plataformas SaaS legítimas y miles de dominios desechables. «Los operadores y las filiales son muy ágiles e intentarán reconstruir, migrar a una nueva infraestructura o pasar a plataformas PaaS de la competencia», afirma adicional . «Es posible que las páginas de CAPTCHA en vivo que estamos viendo pertenezcan a afiliados delictivos supervivientes que intentan mantener sus campañas individuales en funcionamiento en redes de representación secundarias».

🔧 Herramientas de ciberseguridad

• MALLA → Es una herramienta de código abierto de BARGHEST que permite el análisis forense móvil remoto y el monitoreo de redes a través de una red en malla cifrada de igual a igual resistente a la censura. Conecta dispositivos Android/iOS detrás de firewalls o CGNAT mediante un protocolo modificado similar al de Tailscale (no se necesitan servidores centrales), admite la depuración inalámbrica ADB, libimobiledevice, PCAP capture y Suricata IDS, lo que permite un acceso seguro y directo a las adquisiciones lógicas en vivo en entornos restringidos u hostiles.
• expulsar → Es una herramienta ligera de Rust que protege los secretos.env de los asistentes de IA como Copilot o Claude. Sustituye los valores reales de tu archivo.env por marcadores de posición (por ejemplo, en: //api_key). Los secretos permanecen cifrados en un almacén por proyecto (AES-256-GCM, protegido con contraseña maestra). Cuando ejecutas enject run --<command>, solo los descifra de la memoria durante el tiempo de ejecución y, a continuación, los borra sin dejar texto sin formato en el disco. Código abierto, macOS/Linux, perfecto para un desarrollo local seguro.

Descargo de responsabilidad: solo para investigación y uso educativo. No ha sido auditado por motivos de seguridad. Revise todo el código antes de usarlo, pruébelo en entornos aislados y asegúrese de que cumple con las leyes aplicables.

Conclusión

Y esa es la semana. El verdadero patrón no es una historia única; es la brecha. La brecha entre un defecto y la detección. Entre un parche y una implementación. Entre saber y hacer. La mayor parte del daño de esta semana ocurrió en esa brecha, y no es nuevo.

Antes de continuar: actualiza tus dispositivos móviles, revisa todo lo que afecte a tu proceso de CI/CD y no guardes frases de recuperación de monederos criptográficos en aplicaciones de notas.