⚡ Resumen semanal: Qualcomm 0-Day, iOS Exploit Chains, AirSnitch Attack y malware codificado por Vibe...

Otra semana en ciberseguridad. Otra semana de «tienes que estar bromeando».

Los atacantes estaban ocupados. Los defensores estaban ocupados. Y en algún punto intermedio, mucha gente tuvo una muy mala mañana de lunes. Así es como funcionan las cosas ahora.

¿La buena noticia? Esta semana hubo algunas victorias reales. De verdad. Del tipo en el que los buenos aparecían, hacían el trabajo e hacían mella. No siempre sucede, así que cuando sucede, vale la pena señalarlo.

¿La mala noticia? Detrás de cada victoria hay un nuevo dolor de cabeza. Trucos nuevos, viejos trucos disfrazados con ropa nueva y algunas cosas que harán que quieras ir a la hierba y no volver a iniciar sesión nunca más. Pero lo harás. Todos lo hacemos. Así que esto es todo lo que importó esta semana: las victorias, las advertencias y las cosas que realmente no debes ignorar.

⚡ Amenaza de la semana

Se desmantelan las operaciones de Tycoon 2FA y LeakBase — La infraestructura que aloja el servicio Tycoon2FA, que según Europol fue una de las mayores operaciones de suplantación de identidad (AiTM) del mundo, ha sido desmantelada por una coalición de empresas de seguridad y organismos encargados de hacer cumplir la ley. «Eliminar la infraestructura asociada a Tycoon 2FA e identificar a la persona presuntamente responsable de crear esta prolífica herramienta de hackeo tendrá un impacto significativo en la suplantación general de credenciales de MFA y, con suerte, asestará un duro golpe al suplantación de identidad como servicio de AiTM más prolífico del mundo», afirma Proofpoint en un comunicado compartido con The Hacker News. Los kits de suplantación de identidad y las plataformas PhaaS se han convertido en un talón de Aquiles en los últimos años, ya que simplifican y democratizan los ataques de suplantación de identidad para los piratas informáticos con menos conocimientos técnicos al proporcionarles un conjunto de herramientas para crear correos electrónicos y páginas de suplantación de identidad convincentes con las que puedan interactuar las víctimas desprevenidas. Por un precio relativamente modesto, los aspirantes a ciberdelincuentes pueden suscribirse a estos servicios y llevar a cabo ataques de suplantación de identidad a gran escala. En un desarrollo similar, las autoridades también eliminaron Base de fugas , uno de los foros en línea más grandes del mundo para que los ciberdelincuentes compren y vendan datos robados y herramientas de ciberdelincuencia. Si bien la disrupción es un avance positivo, se sabe que estas eliminaciones solo suelen generar interrupciones a corto plazo, ya que el ecosistema se adapta migrando a otros foros o canales de distribución más resilientes, como Telegram.

La IA en las sombras está en TODAS PARTES. Así es como puede encontrarla y protegerla

Shadow AI accede silenciosamente a datos confidenciales en todo su entorno de SaaS. Descubra cómo cerrar los puntos ciegos de la IA y anticiparse a los riesgos de exposición de datos con esta nueva guía.

Obtenga respuestas ahora ➝

🔔 Noticias principales

• Anthropic encuentra 22 vulnerabilidades de Firefox en Firefox — Anthropic dijo que descubrió 22 nuevas vulnerabilidades de seguridad en el navegador web Firefox utilizando su modelo de lenguaje grande (LLM) Claude Opus 4.6 como parte de una asociación de seguridad con Mozilla. De estas, 14 se han clasificado como graves, siete se han clasificado como moderadas y una se ha clasificado como de gravedad baja. Los problemas se solucionaron en Firefox 148, lanzado a finales del mes pasado. Las vulnerabilidades se identificaron durante un período de dos semanas en enero de 2026. La empresa señaló que identificar las vulnerabilidades es más económico que crear un exploit para ellas, y que el modelo es mejor para detectar problemas que para explotarlos.
• La falla de Qualcomm explotada en la naturaleza — Una falla de seguridad de alta gravedad que afecta a los chips de Qualcomm utilizados en los dispositivos Android ha sido explotada en la naturaleza. La vulnerabilidad en cuestión es la CVE-2026-21385 (puntuación CVSS: 7,8), una lectura excesiva del búfer del componente gráfico que podría provocar daños en la memoria y la ejecución de código arbitrario. Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en estado salvaje. Sin embargo, Google reconoció en su boletín mensual de seguridad para Android que «hay indicios de que el CVE-2026-21385 podría estar siendo objeto de una explotación limitada y dirigida».
• El kit de exploits iOS de Coruna utiliza 23 vulnerabilidades contra dispositivos iOS más antiguos — Google reveló detalles de un nuevo y poderoso kit de exploits denominado Coruna (también conocido como CryptoWaters) dirigido a los modelos de iPhone de Apple que ejecutan versiones de iOS entre la 13.0 y la 17.2.1. El kit de exploits incluía cinco cadenas completas de exploits para iOS y un total de 23 exploits, según la compañía. Lo que lo diferencia es que comenzó con un proveedor de vigilancia comercial en febrero de 2025, fue capturado por lo que parece ser un grupo de espionaje ruso que tenía como objetivo a ucranianos en julio de 2025 y terminó en manos de atacantes chinos con motivaciones financieras que perseguían carteras criptográficas a finales de año. Coruña comenzó su andadura como un paquete de exploits de vigilancia, pero cuando llegó a manos de la banda de ciberdelincuentes chinos, ya estaba centrado principalmente en el robo financiero. No se sabe cómo se transmitió el kit de exploits entre múltiples actores de amenazas de distintas motivaciones. Esto ha planteado la posibilidad de que se convierta en un mercado de segunda mano en el que se revenda a otros actores de amenazas, quienes acaban reutilizándolo para sus propios objetivos.
• Transparent Tribe desata el Vibeware contra las entidades indias — En una nueva campaña de ataque detectada por Bitdefender, el actor de amenazas alineado con Pakistán conocido como Transparent Tribe ha aprovechado las herramientas de codificación impulsadas por la inteligencia artificial (IA) para codificar el malware y utilizarlo para atacar al gobierno indio y sus embajadas en varios países extranjeros. Estas herramientas están escritas en lenguajes de programación especializados como Nim, Zig y Crystal para evitar ser detectadas. «En lugar de un gran avance en la sofisticación técnica, estamos asistiendo a una transición hacia la industrialización del malware asistida por inteligencia artificial, que permite al actor inundar los entornos objetivo con archivos binarios políglotas y desechables», afirma la empresa.
• Hackers iraníes atacan a entidades estadounidenses en medio del conflicto — El grupo de hackers iraní rastreado como MuddyWater (también conocido como Seedworm) atacó a varias empresas estadounidenses, incluidos bancos, aeropuertos, organizaciones sin fines de lucro y la rama israelí de una empresa de software, como parte de una campaña que comenzó a principios de febrero de 2026 y continuó tras los ataques militares conjuntos de Estados Unidos e Israel contra Irán a finales de mes. El desarrollo se produce en un contexto de ciberataques impulsados por los hacktivistas, con campañas de limpieza dirigidas a los sectores energético, financiero, gubernamental y de servicios públicos de Israel. «La trayectoria es clara: lo que comenzó a nivel de estado-nación Capacidad ICS en 2012 [con Shamoon Wiper] se ha convertido, en 2026, en algo que cualquier actor motivado puede intentar con herramientas gratuitas y una conexión a Internet», CloudSEK dijo en un informe de la semana pasada. «La barrera técnica se ha derrumbado. La reserva de amenazas se ha ampliado. Y la superficie de ataque de los Estados Unidos nunca ha sido tan grande». Otra campaña dirigida ha repartido una versión troyanizada del Alerta roja aplicación Android de alerta de cohetes a usuarios israelíes mediante mensajes SMS que se hacen pasar por las comunicaciones oficiales del Comando del Frente Nacional. Una vez instalado, el malware monitorea y abusa de los permisos concedidos para recopilar datos confidenciales, incluidos los mensajes SMS, los contactos, los datos de ubicación, las cuentas de los dispositivos y las aplicaciones instaladas. Se cree que la campaña es obra de un actor afiliado a Hamás conocido como Víbora árida . Actualmente no hay detalles disponibles sobre el alcance de la campaña ni sobre si alguna de las infecciones tuvo éxito. Acronis dijo destaca cómo los servicios de emergencia confiables pueden convertirse en armas durante los períodos de tensión geopolítica mediante la ingeniería social.

‎️ 🔥 CVs de tendencia

Cada semana aparecen nuevas vulnerabilidades y la ventana entre la divulgación y la explotación es cada vez más corta. Las siguientes fallas son las más críticas de esta semana: software de alta gravedad, ampliamente utilizado o que ya están llamando la atención de la comunidad de seguridad.

Compruébelos primero, parchee lo que corresponda y no espere a que aparezcan los marcados como urgentes: CVE-2026-2796 (Mozilla Firefox), CVE-2026-21385 (Qualcomm), CVE-2026-2256 ( MS-Agent ), CVE-2026-26198 (Ormar), CVE-2026-27966 (flujo continuo), CVE-2025—64712 (Unstructured.io), CVE-2026-24009 (Docling), CVE-2026-23600 (Servidor de licencias HPE AutoPass), CVE-2026-27636 , CVE-2026-28289 (también conocido como Mail2Shell) (FreeScout), CVE-2025-67736 ( PBX gratis ), CVE-2025-34288 (Nagios XI), CVE-2025-14500 ( IceWarp ), CVE-2026-20079 (Centro de administración de Cisco Secure Firewall), CVE-2025-13476 (Aplicación Viber para Android), CVE-2026-3336, CVE-2026-3337, CVE-2026-3338 (Amazon AWS-LC), CVE-2026-25611 (MongoDB), CVE-2026-3536, CVE-2026-3537, CVE-2026-3538 (Google Chrome), CVE-2026-27970 (Angular), CVE-2026-29058 (Vídeo) defecto de escalamiento de privilegios en IPVanish VPN para macOS (sin CVE), y un vulnerabilidad de ejecución remota de código en Ghost CMS (sin CVE).

🎥 Seminarios web sobre ciberseguridad

• Automatizar las pruebas de seguridad en el mundo real para demostrar lo que realmente funciona → ¿Realizar una prueba de seguridad una vez al año y esperar lo mejor? Esa ya no es una estrategia. Este seminario web le muestra cómo poner a prueba sus defensas de forma continua utilizando técnicas de ataque reales, para que sepa qué resiste y qué se rompe silenciosamente cuando nadie está mirando.
• Cuando los agentes de IA se convierten en tu nueva superficie de ataque → Las herramientas de IA ya no solo responden a las preguntas, sino que navegan por la web, acceden a las API y tocan sus sistemas internos. Eso cambia todo lo que piensas sobre el riesgo. En este seminario web se explica lo que esto significa para la seguridad y lo que realmente hay que hacer antes de que algo vaya mal.

📰 En todo el mundo cibernético

• El nuevo ataque de AirSnitch muestra que el aislamiento de los clientes de Wi-Fi puede no ser suficiente — Un grupo de académicos ha desarrollado un nuevo ataque llamado Air Snitch que rompe el cifrado que separa a los clientes Wi-Fi. Xin'an Zhou, el autor principal del artículo de investigación, dijo Ars Technica afirma que AirSnitch evita el cifrado de Wi-Fi mundial y que «podría tener el potencial de permitir ciberataques avanzados». El ataque , en esencia, aprovecha tres puntos débiles en las implementaciones de aislamiento de clientes: (1) abusa de las claves de grupo que se comparten entre todos los clientes de la misma red Wi-Fi, (2) evita el aislamiento del cliente al engañar a la puerta de enlace para que reenvíe paquetes a la víctima en la capa IP, aprovechando el hecho de que muchas redes solo imponen el aislamiento de los clientes en la capa MAC/Ethernet, y (3) permite que un adversario manipule los conmutadores internos y puentes para reenviar el tráfico de enlace ascendente y descendente de la víctima al adversario. Como resultado, permiten al atacante restaurar las capacidades de AiTM incluso si existen protecciones de aislamiento de clientes. «Descubrimos que el aislamiento de los clientes de Wi-Fi a menudo se puede evitar», afirma Mathy Vanhoef. «Esto permite a un atacante que puede conectarse a una red, ya sea con información privilegiada malintencionada o conectándose a una red abierta ubicada en el mismo lugar, atacar a otros».
• Google rastreó 90 casos de explotación de 0 días en 2025 — Google dijo que rastreó 90 vulnerabilidades de día cero explotadas en estado salvaje en 2025, frente a las 78 de 2024 y las 100 de 2023. «Tanto el número bruto (43) como la proporción (48%) de las vulnerabilidades que afectan a las tecnologías empresariales alcanzaron máximos históricos y representaron casi el 50% del total de vulnerabilidades de día cero explotadas en 2025», afirma la empresa dijo . De estas, las vulnerabilidades en los dispositivos de seguridad y redes representaron aproximadamente la mitad (21) de los días cero relacionados con las empresas en 2025. La tecnología móvil de día cero pasó de nueve en 2024 a 15 en 2025, y los proveedores comerciales de vigilancia (15, y probablemente otros tres) fueron los primeros en aprovechar las vulnerabilidades de día cero que los grupos de ciberespionaje patrocinados por el Estado (12) por primera vez. No se dieron a conocer los nombres de las empresas comerciales de software espía. Microsoft tuvo el mayor número de fallos explotados activamente, con 25, seguida de Google (11), Apple (8), Cisco (4), Fortinet (4), Ivanti (3) y Broadcom VMware (3). Los problemas de seguridad de la memoria representaron el 35% de todas las vulnerabilidades de día cero explotadas el año pasado. Los grupos de amenazas con motivaciones financieras, incluidas las bandas de ransomware, también atacaron las tecnologías empresariales y representaron nueve días cero en 2025, el doble de los cinco que se les atribuyeron en 2024.
• Velvet Tempest implementa el ataque ClickFix — Tempestad de terciopelo Se ha observado que (también conocido como DEV-0504) utilizaba un señuelo ClickFix, seguido de una actividad práctica con el teclado, coherente con el arte del ransomware Termite. Según un informe de Deception.Pro, el ataque utilizó una técnica de ingeniería social para lanzar cargas útiles como DonutLoader y CastlerAT. «Las actividades posteriores incluyeron el reconocimiento de Active Directory (confianzas de dominio, descubrimiento de servidores, listas de usuarios) y un intento de recopilación de credenciales del navegador mediante un script de PowerShell descargado desde 143.198.160 [.] 37», dijo . «La telemetría y la infraestructura de esta cadena se alinean con las pautas modernas de acceso inicial: puesta en escena rápida, uso intensivo de archivos binarios tradicionales (LOLBins) y tráfico de comando y control (C2) de larga duración que se mezcla con el ruido normal de los navegadores». No se utilizó ningún ransomware en el ataque que tuvo lugar entre el 3 y el 16 de febrero de 2026.
• Un ciudadano ghanés se declara culpable de participar en una estafa romántica de 100 millones de dólares — Un ciudadano ghanés se declaró culpable de su participación en una red de fraude masiva que robó más de 100 millones de dólares a víctimas de todo Estados Unidos mediante ataques de compromiso por correo electrónico empresarial y estafas románticas. Derrick Van Yeboah, de 40 años, se declaró culpable de conspiración para cometer fraude electrónico y accedió a pagar más de 10 millones de dólares en concepto de indemnización. «Van Yeboah perpetró personalmente muchas de las estafas románticas al hacerse pasar por parejas románticas falsas en las comunicaciones con las víctimas», dijo el Departamento de Justicia de EE. UU. dijo . «Muchas de las víctimas de la conspiración eran hombres y mujeres mayores vulnerables que fueron engañados haciéndoles creer que mantenían relaciones románticas en línea con personas que, de hecho, eran identidades falsas asumidas por los miembros de la conspiración». Los conspiradores, que formaban parte de una organización delictiva con sede principalmente en Ghana, también recurrían al correo electrónico empresarial con el fin de engañar a las empresas para que transfirieran fondos a la empresa. En total, el plan robó y blanqueó más de 100 millones de dólares a decenas de víctimas. Tras robar el dinero, las ganancias del fraude se blanquearon en África occidental. Está previsto que el acusado sea sentenciado en junio de 2026.
• Taiwán acusa a 62 personas por estafas cibernéticas — Fiscales en Taipéi acusado 62 personas y 13 empresas por su participación en operaciones de ciberestafa organizadas en toda Asia por la Grupo Prince . Chen Zhi, el fundador del Grupo Prince, fue acusado por fiscales estadounidenses el año pasado por cargos de lavado de dinero. Los fiscales de Taipéi dijeron que las personas relacionadas con Prince Group blanquearon al menos 339 millones de dólares en Taiwán y utilizaron los fondos robados para comprar 24 propiedades, 35 vehículos y otros activos por un valor aproximado de 1,7 millones de dólares. En total, las autoridades decomisaron cerca de 174 millones de dólares en efectivo y activos. Prince Group «controlaba de manera efectiva 250 sociedades offshore en 18 países, con 453 cuentas financieras nacionales e internacionales. Al crear contratos de transacciones ficticios entre estas sociedades offshore, el grupo blanqueó dinero a través de canales de cambio de divisas», agregaron.
• Los actores del ransomware utilizan AzCopy — Los operadores de ransomware están abandonando las herramientas habituales, como Rclone, por las propias de Microsoft Z Copy , convirtiendo una utilidad confiable de Azure en un mecanismo sigiloso de filtración de datos que se integra en la actividad normal. «La adopción de AzCopy y otras herramientas conocidas por parte de los atacantes representa una lógica similar a la de vivir del campo en la fase final y más crítica de una operación: extraer los datos de una organización», dijo Varonis dijo . «Abrir una cuenta de almacenamiento de Azure lleva unos minutos y solo requiere una tarjeta de crédito o credenciales comprometidas. El atacante aprovecha las ventajas de la infraestructura global de Microsoft mientras los equipos de seguridad se esfuerzan por distinguir entre las cargas maliciosas y el tráfico legítimo».
• Los actores de amenazas explotan una falla crítica en el complemento WPEverest — Los actores de amenazas están explotando una falla de seguridad crítica en el complemento de registro y membresía de usuarios de WPEverest (CVE-2026-1492, puntuación CVSS: 9,8) para crear cuentas de administrador fraudulentas. La vulnerabilidad afecta a todas las versiones de registro y membresía de usuarios hasta la 5.1.2. El problema se solucionó en la versión 5.1.3. Wordfence dijo que el complemento es susceptible de una administración de privilegios inadecuada, lo que permite la creación de cuentas de administrador falsas. «Esto se debe a que el plugin acepta un rol proporcionado por el usuario al registrarse como miembro sin aplicar adecuadamente una lista de permitidos del lado del servidor», dijo . «Esto permite a los atacantes no autenticados crear cuentas de administrador proporcionando un valor de rol durante el registro de miembros».
• MuddyWater evoluciona sus tácticas — El grupo de hackers iraní conocido como Agua fangosa ha sido observado apalancamiento Shodan y Nuclei para identificar posibles objetivos vulnerables, además de utilizar subfinder y ffuf para realizar la enumeración de las aplicaciones web de destino. Los hallazgos provienen de un análisis de actor de amenazas del servidor VPS alojado en los Países Bajos. También se dice que MuddyWater está intentando escanear y/o explotar las CVE recientemente reveladas relacionadas con BeyondTrust (CVE-2026-1731), Ivanti (CVE-2026-1281), n8n (CVE-2025-68613), React (CVE-2025-55182), SmarterMail (CVE-2025-52691), Laravel Livewire (CVE-2025-54068), N-Central (CVE-2025-9316), Citrix NetScaler (CVE-2025-5777), Langflow (CVE-2025-34291) y Fortinet (CVE-2024-55591, CVE-2024-23113, CVE-2022-42475), junto con vulnerabilidades de inyección de SQL en BasAlam y una plataforma de desarrollo de Postgres no especificada para el acceso inicial. Una de las herramientas personalizadas identificadas en el servidor es KeyC2, un marco de comando y control (C2) que permite a los operadores controlar de forma remota las máquinas Windows comprometidas mediante un protocolo binario personalizado en el puerto 1269 desde un script de Python. Dos herramientas C2 utilizadas por el adversario son PersianC2, que se basa en el sondeo HTTP estándar para recibir comandos y archivos a través de los puntos finales de la API JSON, y ArenaC2, un programa basado en Python que funciona con solicitudes HTTP POST. También se ha detectado un cargador de PowerShell que lleva a la ejecución de cargas de Node.js ofuscadas que tienen un aspecto similar a Tsundere Red de bots. Se ha determinado que la infraestructura se utilizó para atacar entidades de Israel, Egipto, Jordania, los Emiratos Árabes Unidos y los EE. UU. Algunos aspectos de la actividad coinciden con Operación Olalampo .
• Se exponen 2.622 certificados válidos — Un nuevo estudio realizado por Google y GitGuardian descubrió que se filtraron más de un millón de claves privadas únicas en GitHub y Docker Hub, de las cuales 40 000 se asignaron a 140 000 certificados TLS reales. «En septiembre de 2025, 2600 de estos certificados eran válidos, y más de 900 protegían activamente a empresas, proveedores de servicios de salud y agencias gubernamentales incluidas en la lista Fortune 500», dijo GitGuardian dijo . «Nuestra campaña de divulgación de información logró corregir el 97% de los errores, pero con el coste de enviar 4.300 correos electrónicos, contactar a 1.706 entidades, enviar 9 recompensas por errores, innumerables seguimientos y días de meticuloso trabajo de atribución empleando múltiples técnicas de OSINT. La alta tasa de éxito oculta el esfuerzo extraordinario que se requiere para proteger a las organizaciones que no se protegen a sí mismas».
• El servidor MCP de Context7 sufre de ContextCrush — Se ha descubierto una falla de seguridad crítica en el servidor MCP Context7 de Upstash, una herramienta ampliamente utilizada para entregar documentación a los asistentes de codificación de IA. Esta vulnerabilidad, denominada ContextCrush, podría permitir a los atacantes inyectar instrucciones malintencionadas en las herramientas de desarrollo de la IA a través de un canal de documentación fiable. Noma Security, que dio a conocer los detalles de la falla, afirmó que se basa en la función de «reglas personalizadas» de la plataforma, que permite a los responsables del mantenimiento de las bibliotecas proporcionar instrucciones específicas para la IA para ayudar a los asistentes a interpretar mejor la documentación. «Context7 funciona tanto como el registro, en el que cualquiera puede publicar y gestionar la documentación de la biblioteca, como el mecanismo fiable de entrega que introduce el contenido directamente en el contexto del agente de inteligencia artificial», explica el investigador de seguridad Eli Ainhorn dijo . «El atacante nunca necesita llegar a la máquina de la víctima. En su lugar, el atacante puede introducir reglas personalizadas malintencionadas en el registro de Context7 y la infraestructura de Context7 las envía a través del servidor MCP al agente de IA que se ejecuta en el IDE del desarrollador. Como los agentes son máquinas de ejecución y ejecutan todo lo que se carga en su contexto, lo único que hace el agente de la víctima es ejecutar las instrucciones del atacante en la máquina de la víctima, utilizando sus propias herramientas de acceso (Bash, lectura/escritura de archivos, red). En este escenario, el agente no tiene forma de distinguir entre la documentación legítima y el contenido controlado por el atacante porque llegan a través del mismo canal de confianza y de la misma fuente confiable».
• Un tribunal alemán condena a una persona clave detrás de una estafa en un centro de llamadas — Un tribunal alemán ha sentenciado una presunta figura central de la llamada red de fraude de centros de llamadas del Grupo Milton, a siete años y medio de prisión. Si bien el tribunal no nombró públicamente al acusado, los registros judiciales fueron revisados por el Proyecto de Denuncias sobre la Delincuencia Organizada y la Corrupción (OCCRP) indicar el condenado era Mikheil Biniashvili, ciudadano de Georgia e Israel. Además de la pena de prisión, el tribunal ordenó la confiscación de 2,4 millones de euros (2,8 millones de dólares) relacionados con la operación. Entre 2017 y 2019, el acusado dirigió un centro de llamadas en Albania que utilizó agentes capacitados para persuadir a las víctimas de que invirtieran en esquemas fraudulentos de comercio en línea. El plan causó pérdidas de unos 8 millones de euros (9,4 millones de dólares) a las víctimas, principalmente en países de habla alemana. La operación empleó hasta 600 personas en su momento álgido. Al parecer, los agentes de los centros de llamadas se hicieron pasar por asesores de inversiones para generar confianza en los objetivos antes de convencerlos de que depositaran fondos en plataformas de negociación falsas controladas por la red prometiéndoles grandes beneficios de inversión. Biniashvili fue arrestado en Armenia en 2023 y extraditado a Alemania en 2024.
• Múltiples fallos en Avira Internet Security — Se han descubierto tres vulnerabilidades en Avira Internet Security que podrían permitir la eliminación arbitraria de archivos (CVE-2026-27748) en el componente Software Updater, una deserialización insegura (CVE-2026-27749) en System Speedup y una eliminación arbitraria de carpetas a través de TOCTOU (CVE-2026-27748) en el Optimizer. «La primitiva de eliminación de archivos es útil por sí sola», Quarkslab dijo . «Los otros dos dan como resultado la escalación de privilegios locales a SYSTEM».
• Operador ruso de ransomware se declara culpable en EE. UU. — Evgenii Ptitsyn, ciudadano ruso de 43 años, ha se declaró culpable en un tribunal estadounidense por dirigir la empresa de ransomware Phobos, que atacó a más de 1000 víctimas en todo el mundo y extorsionó el pago de un rescate por valor de más de 39 millones de dólares. Ptitsyn fue extraditadas de Corea del Sur en noviembre de 2024. «Al menos a partir de noviembre de 2020, Ptitsyn y otros conspiraron para participar en un plan internacional de hackeo informático y extorsión que victimizó a entidades públicas y privadas mediante el despliegue del ransomware Phobos», dijo el Departamento de Justicia. «Como parte del plan, Ptitsyn y sus cómplices desarrollaron el ransomware Phobos y ofrecieron acceso al ransomware Phobos a otros delincuentes o «afiliados» para cifrar los datos de las víctimas y extorsionarlas para que pagaran un rescate. Los administradores gestionaban un sitio web oscuro para coordinar la venta y distribución del ransomware Phobos entre los cómplices de la conspiración y utilizaban apodos en Internet para anunciar sus servicios en foros delictivos y plataformas de mensajería». Ptitsyn se enfrenta a una pena máxima de 20 años de prisión por cargos de fraude electrónico.
• Un falso control de seguridad de Google conduce a RAT — Se está utilizando un sitio web falso parecido a la página de seguridad de la cuenta de Google para ofrecer una aplicación web progresiva (PWA) capaz de recopilar códigos de acceso únicos y direcciones de monederos de criptomonedas, y de transmitir el tráfico de los atacantes a través de los navegadores de las víctimas. «Disfrazado como un control de seguridad rutinario, guía a las víctimas a través de un proceso de cuatro pasos que permite al atacante acceder a las notificaciones automáticas, a la lista de contactos del dispositivo, a la ubicación GPS en tiempo real y al contenido del portapapeles, todo ello sin necesidad de instalar una aplicación tradicional», dijo Malwarebytes dijo . «Para las víctimas que siguen todas las instrucciones, el sitio también ofrece un paquete complementario para Android que incluye un implante nativo que incluye un teclado personalizado (que permite capturar las pulsaciones de las teclas), funciones de lectura de pantalla basadas en la accesibilidad y permisos compatibles con el acceso al registro de llamadas y la grabación del micrófono».
• La campaña de phishing abusa de la infraestructura de Google — Una nueva campaña de suplantación de identidad por correo electrónico aprovecha la infraestructura legítima de Google para eludir los filtros de seguridad estándar. La actividad utiliza Google Cloud Storage (GCS) para alojar las URL iniciales de suplantación de identidad que, al hacer clic en ellas, redirigen a los usuarios desprevenidos a un sitio malintencionado diseñado para capturar su información financiera o implementar malware. «Al alojar el enlace inicial en los servidores de Google, los atacantes se aseguran de que el correo electrónico pase los controles de autenticación, como el SPF y el DKIM», explica el investigador de seguridad Anurag Gawande dijo .
• La inyección del lado del cliente conduce al fraude publicitario — Se ha descubierto una nueva inyección maliciosa en el lado del cliente que proviene de una extensión de navegador maliciosa que se hace pasar por Microsoft Clarity y sobrescribe los tokens de referencia para redirigir los ingresos de los afiliados a actores de amenazas desconocidos. «Una extensión de navegador está inyectando código JavaScript ofuscado desde msclairty [.] com, un dominio con errores tipográficos que se hace pasar por Microsoft Clarity», explica Simon Wijckmans, de c/side dijo . «El dominio no sirve para análisis. Ofrece una carga de JavaScript confusa que rellena las cookies de los afiliados, rastrea la eliminación de las cookies y secuestra la API de Fetch desde el navegador del visitante. Esto evita que un servicio de seguimiento de la competencia registre la verdadera fuente de tráfico. El atacante no solo quiere que se le dé crédito por la visita. Impiden activamente que otros rastreadores capturen cualquier dato de atribución que pueda entrar en conflicto con su cookie fraudulenta». El script ha afectado a sitios de múltiples sectores no relacionados, como el transporte, las plataformas SaaS, la gestión deportiva y los portales de pagos gubernamentales. Los visitantes afectados utilizan principalmente las versiones 132, 138 y 145 de Chrome y provienen de direcciones IP ubicadas en EE. UU. ubicadas en las costas este y oeste.
• Hombre de Illinois acusado de hackear cuentas de Snapchat para robar desnudos — Los fiscales estadounidenses han acusado a Kyle Svara, un hombre de 26 años de Illinois, de llevar a cabo una operación de suplantación de identidad que permitió entrar en las cuentas de Snapchat de aproximadamente 570 mujeres para robar fotos privadas y venderlas en Internet. «Al menos desde mayo de 2020 hasta febrero de 2021, Svara utilizó ingeniería social y otros recursos para recopilar los correos electrónicos, números de teléfono y/o nombres de usuario de Snapchat de sus objetivos», señala el Departamento de Justicia dijo . «Luego usó esos medios de identificación para acceder a las cuentas de Snapchat de sus objetivos, lo que llevó a Snap Inc. a enviar los códigos de seguridad de las cuentas a esas mujeres. Utilizando números de teléfono anónimos, Svara se hizo pasar por representante de Snap Inc. y envió más de 4.500 mensajes de texto a cientos de mujeres solicitándoles esos códigos de acceso a Snapchat». Se afirma que Svara accedió sin permiso a las cuentas de Snapchat de al menos 59 mujeres para descargar sus imágenes de desnudas o semidesnudas y venderlas en foros de Internet.
• Meta demandada por las preocupaciones de privacidad de AI Smart Glass — Meta es frente a una nueva demanda colectiva por sus gafas Ray-Ban Meta con tecnología de inteligencia artificial, tras un informe de los periódicos suecos Svenska Dagbladet y Goteborgs-Posten, según los cuales los empleados de una subcontratista con sede en Kenia están revisando imágenes íntimas y personales filmadas con las gafas de los clientes. Según Meta, los trabajadores subcontratados a veces revisan el contenido capturado por sus gafas inteligentes de inteligencia artificial con el fin de mejorar la «experiencia», tal y como se indica en su política de privacidad. También afirmó que los datos se filtran para proteger la privacidad de las personas. Sin embargo, la investigación descubrió que este paso no siempre funcionó de manera consistente. «A menos que los usuarios decidan compartir el contenido multimedia que han capturado con Meta u otras personas, ese contenido multimedia permanece en el dispositivo del usuario», Meta dijo Noticias de la BBC. «Cuando las personas comparten contenido con Meta AI, a veces utilizamos contratistas para revisar estos datos con el fin de mejorar la experiencia de las personas, como hacen muchas otras empresas».
• Los pagos totales por ransomware se estancaron en 2025 — Los pagos totales por ransomware en 2025 se estancaron, incluso si el número de ataques aumentó. Según la empresa de análisis de cadenas de bloques Chainalysis, el total de pagos por ransomware en cadena se redujo aproximadamente un 8% hasta alcanzar los 820 millones de dólares en 2025, a pesar de que los ataques denunciados aumentaron un 50%. «Si bien los ingresos agregados se estancaron, el pago medio de los rescates aumentó un 368% interanual hasta casi 60 000 dólares», afirma la empresa dijo . «Es probable que el total de 2025 se acerque o supere los 900 millones de dólares a medida que atribuyamos más eventos y pagos, del mismo modo que nuestro total de 2024 creció con respecto a nuestra estimación inicial de 813 millones de dólares para esta época del año pasado». El descenso de las tasas de pago, del 63% en 2024 a solo el 29% el año pasado, indica que cada vez son menos las víctimas que están cediendo a las demandas de rescate de los atacantes, añade. Esta evolución se produce en un contexto de creciente fragmentación del ecosistema del ransomware y de que los actores de amenazas están optando por métodos más sigilosos, como las técnicas de evasión y persistencia en el ámbito de la defensa, para dar prioridad al robo de datos y a un acceso prolongado y silencioso.
• La billetera blockchain móvil es vulnerable a fallas graves — Se ha creado una aplicación de billetera blockchain móvil anónima para Android encontrado susceptible a dos vulnerabilidades graves independientes, que permiten que los enlaces profundos que no son de confianza activen flujos delicados de monedero y engañen a los usuarios para que aprueben las transacciones impulsadas por la suplantación de identidad, además de retener las claves privadas criptográficas del dispositivo a pesar de eliminar una cuenta. Esto significaba que un atacante que pudiera acceder más tarde al dispositivo podía volver a importar la cuenta utilizando su dirección pública y recuperar toda la autoridad para firmar sin tener que volver a introducir las claves. Según LucidBit Labs, el desarrollador ha corregido las vulnerabilidades. «La principal fortaleza de las carteras criptográficas radica en sus bases criptográficas», dijo el investigador de seguridad Assaf Morag. «Sin embargo, cuando estas carteras se implementan como aplicaciones orientadas al usuario, la organización general del sistema se vuelve tan crítica como la criptografía en sí misma. Como dice el refrán, la postura de seguridad de un sistema se define por su eslabón más débil. En este caso, las dos vulnerabilidades demuestran cómo las fallas en la capa de aplicación pueden socavar todo el modelo de seguridad, a pesar de la solidez de la criptografía subyacente».
• Permiso GET de Kubernetes RCE a través de nodes/proxy — Una nueva investigación ha identificado una omisión de autorización en el control de acceso basado en roles (RBAC) de Kubernetes que permite a una cuenta de servicio con permisos GET de nodos o proxy ejecutar comandos en cualquier pod del clúster. Este problema se debe a un error relacionado con la forma en que los servidores API de Kubernetes gestionan las conexiones de WebSocket. «Nodes/proxy GET permite la ejecución de comandos cuando se utiliza un protocolo de conexión como WebSockets», explica Graham Helton, investigador de seguridad dijo . «Esto se debe a que Kubelet toma decisiones de autorización basándose en la solicitud inicial del protocolo de enlace de WebSocket sin comprobar que los permisos CREATE estén presentes en el punto final /exec de Kubelet, por lo que se requieren diferentes permisos según el protocolo de conexión. El resultado es que cualquier persona que tenga acceso a una cuenta de servicio asignada a los nodos o proxy GET y que pueda acceder al Kubelet de un nodo en el puerto 10250 puede enviar información al punto final /exec y ejecutar comandos en cualquier pod, incluidos los pods del sistema con privilegios, lo que puede provocar un compromiso total del clúster». El proyecto Kubernetes se ha negado a abordar el problema, indicando su comportamiento previsto. Sin embargo, se espera que publique la autorización detallada de la API de Kubelet (KEP-2862) el mes que viene para hacer frente al ataque. «Un parche específico requeriría cambios coordinados en varios componentes con una lógica basada en casos especiales», explica Edera dijo . «Este es el tipo de complejidad que podría provocar vulnerabilidades en el futuro. Una vez que el KEP-2862 llegue a la versión general y se adopte, los nodos y los proxies pueden quedar obsoletos para supervisar los casos de uso».
• Otras historias clave en el radar — El gobierno israelí es trabajando sobre la primera ley de ciberseguridad del país, la Agencia de Seguridad Nacional (NSA) de EE. UU. publicado Google Project Zero descubrió que las directrices de implementación de Zero Trust (ZIG) ayudan a las organizaciones a proteger los datos, los sistemas y los servicios confidenciales contra las ciberamenazas sofisticadas múltiples vulnerabilidades que podría usarse para eludir una nueva función de Windows 11 llamada Protección del administrador y obtener privilegios de administrador, los actores de amenazas siguen abusar de la funcionalidad de Microsoft Teams aprovechando las invitaciones de los invitados y los nombres de los equipos con temática de suplantación de identidad para hacerse pasar por notificaciones de facturación y suscripción, y un cargador llamado Phantom Vai ha sido usado en estado salvaje durante el año pasado para implementar otras cargas útiles, como Remcos RAT, xWorm, AsyncrAT, DarkCloud y SmokeLoader.

🔧 Herramientas de ciberseguridad

• Detectar flujo → Es un canal de detección de código abierto de SOC Prime que compara los eventos de registro de streaming con las reglas de Sigma en tiempo real, antes de que lleguen a su SIEM. En lugar de confiar en tu SIEM para que haga el trabajo pesado, etiqueta y enriquece los eventos en curso con Apache Kafka y Flink, y luego transfiere los resultados a donde los necesites. Basado en 11 años de inteligencia de detección, está diseñado para los equipos que desean una detección más rápida, una mayor cobertura de las reglas y menos dependencia de los límites impuestos por el SIEM.
• AdTrapper → Es una plataforma de código abierto que analiza los registros de autenticación de Windows Active Directory y marca las amenazas mediante más de 54 reglas de detección integradas, que abarcan desde la fuerza bruta hasta los ataques de AD CS. Se ejecuta en Docker, se implementa con un solo comando y es compatible con los datos de SharpHound para un análisis de AD más profundo.

Descargo de responsabilidad: solo para investigación y uso educativo. No ha sido auditado por motivos de seguridad. Revise todo el código antes de usarlo, pruébelo en entornos aislados y asegúrese de que cumple con las leyes aplicables.

Conclusión

Esa es tu semana. Pasaron muchas cosas. Algo fue malo, algo fue peor, y un poco fue realmente bueno. El marcador es desordenado, como siempre.

La semana que viene a la misma hora, y si la historia sirve de guía, tendremos mucho más de qué hablar. Manténgase actualizado, manténgase escéptico y tal vez no haga clic en ese enlace.