16.7 C
Madrid
martes, octubre 21, 2025
spot_img
spot_img
InicioCiberseguridad
Ciberseguridad

F5 violado, rootkits de Linux, ataque Pixnapping, EtherHiding y más

Por Conectamentado
9
F5 violado, rootkits de Linux, ataque Pixnapping, EtherHiding y más

Es factible pensar que tus defensas son sólidas, hasta que te das cuenta de que los atacantes han estado internamente de ellas todo el tiempo. Los últimos incidentes muestran que las infracciones silenciosas y duraderas se están convirtiendo en la norma. La mejor defensa ahora no es solo parchear rápidamente, sino observar de modo más inteligente y mantenerse alerta en presencia de lo que no retraso.

A continuación presentamos un vistazo rápido a las principales amenazas, nuevas tácticas e historias de seguridad de esta semana que dan forma al panorama.

⚡ Amenaza de la semana

F5 expuesto a la violación del Estado-nación — F5 reveló que actores de amenazas no identificados irrumpieron en sus sistemas y robaron archivos que contenían parte del código fuente de BIG-IP e información relacionada con vulnerabilidades no reveladas en el producto. La compañía dijo que se enteró del incidente el 9 de agosto de 2025, aunque se cree que los atacantes estuvieron en su red durante al menos 12 meses. Se dice que los atacantes utilizaron una grupo de malware citación BRICKSTORM, que se atribuye a un asociación de espionaje del enlace con China denominado UNC5221. GreyNoise dijo que observó una actividad de escaneo elevada dirigida a BIG-IP en tres oleadas el 23 de septiembre, 14 de octubre y 15 de octubre de 2025, pero enfatizó que las anomalías pueden no necesariamente estar relacionadas con el hack. Censys dijo que identificó más de 680.000 balanceadores de carga y puertas de enlace de aplicaciones F5 BIG-IP visibles en la Internet pública, con la mayoría de los hosts ubicados en los EE. UU., seguidos por Alemania, Francia, Japón y China. No todos los sistemas identificados son necesariamente vulnerables, pero cada uno representa una interfaz de camino manifiesto que debe ser inventariada, restringida el camino y parcheada de modo proactiva como medida de precaución. «Los proveedores de seguridad e infraestructura de borde siguen siendo objetivos principales para los actores de amenazas a dilatado plazo, a menudo vinculados al estado», dijo John Fokker, vicepresidente de logística de inteligencia de amenazas de Trellix. «A lo dilatado de los primaveras, hemos trillado interés de los Estados-nación en explotar las vulnerabilidades en los dispositivos de punta, reconociendo su posición estratégica en las redes globales. Incidentes como estos nos recuerdan que acorazar la resiliencia colectiva requiere no sólo tecnología reforzada sino incluso colaboración abierta e intercambio de inteligencia en toda la comunidad de seguridad».

🔔 Telediario destacadas

  • Corea del Septentrión utiliza EtherHiding para ocultar malware internamente de contratos inteligentes de blockchain – Se ha observado que los actores de amenazas de Corea del Septentrión aprovechan la técnica EtherHiding para distribuir malware y permitir el robo de criptomonedas, lo que marca la primera vez que un asociación de piratería patrocinado por el estado adopta el método. La actividad se ha atribuido a un asociación rastreado como UNC5342 (incluso conocido como Famous Chollima). La ola de ataques es parte de una campaña de larga duración cuyo nombre en código es Contagious Interview, en la que los atacantes se acercan a objetivos potenciales en LinkedIn haciéndose suceder por reclutadores o gerentes de contratación, y los engañan para que ejecuten código ladino con el pretexto de una evaluación profesional posteriormente de cambiar la conversación a Telegram o Discord. En las últimas oleadas de ataques observadas desde febrero de 2025, los actores de amenazas utilizan un descargador de JavaScript que interactúa con un arreglo inteligente BSC ladino para descargar JADESNOW, que después consulta el historial de transacciones asociado con una dirección de Ethereum para recuperar la interpretación JavaScript de InvisibleFerret.
  • LinkPro Linux Rootkit detectado en la naturaleza — Una investigación sobre el compromiso de una infraestructura alojada en Amazon Web Services (AWS) condujo al descubrimiento de un nuevo rootkit GNU/Linux denominado LinkPro. La puerta trasera presenta funcionalidades que dependen de la instalación de dos módulos extendidos de Berkeley Packet Filter (eBPF) para ocultarse y activarse de forma remota al tomar un paquete mágico: un paquete TCP SYN con un tamaño de ventana específico (54321) que indica al rootkit que espere más instrucciones internamente de una ventana de una hora, lo que le permite evitar las defensas de seguridad tradicionales. Los comandos admitidos por LinkPro incluyen ejecutar /bin/bash en un pseudo-terminal, ejecutar un comando de shell, enumerar archivos y directorios, realizar operaciones con archivos, descargar archivos y configurar un túnel proxy SOCKS5. Actualmente no se sabe quién está detrás del ataque, pero se sospecha que los actores de la amenaza tienen motivaciones financieras.
  • La campaña Zero Disco se dirige a dispositivos Cisco con rootkits — Una nueva campaña ha explotado una rotura de seguridad revelada recientemente que afecta al software Cisco IOS y al software IOS XE para implementar rootkits de Linux en sistemas más antiguos y desprotegidos. La actividad, denominada Operación Cero Disco por Trend Micro, implica la utilización de CVE-2025-20352 (puntuación CVSS: 7,7), una vulnerabilidad de desbordamiento de pila en el subsistema del Protocolo simple de suministro de red (SNMP) que podría permitir que un atacante remoto autenticado ejecute código improcedente enviando paquetes SNMP diseñados a un dispositivo susceptible. La operación afectó principalmente a los dispositivos de las series Cisco 9400, 9300 y 3750G heredados, dijo Trend Micro. Las intrusiones no se han atribuido a ningún actor o asociación de amenazas conocido.
  • El ataque Pixnapping conduce al robo de datos en dispositivos Android — Se ha descubierto que los dispositivos Android de Google y Samsung son vulnerables a un ataque de canal vecino que podría explotarse para robar de forma ajuste códigos de autenticación de dos factores (2FA), líneas de tiempo de Google Maps y otros datos confidenciales sin el conocimiento de los usuarios, píxel por píxel. El ataque recibió el nombre en código Pixnapping. Google está rastreando el problema con el identificador CVE CVE-2025-48561 (puntuación CVSS: 5,5). El cíclope tecnológico publicó parches para la vulnerabilidad como parte de su Boletín de seguridad de Android de septiembre de 2025, y se publicarán correcciones adicionales en diciembre.
  • Actores de amenazas chinos explotaron ArcGIS Server como puerta trasera – A los actores de amenazas con vínculos con China se les ha atribuido una campaña novedosa que comprometió un sistema ArcGIS y lo convirtió en una puerta trasera durante más de un año. La actividad es obra de un asociación de piratería patrocinado por el estado chino llamado Flax Typhoon, al que incluso se le sigue como Ethereal Panda y RedJuliett. «El asociación modificó inteligentemente la extensión de objetos del servidor Java (SOE) de una aplicación de mapas geográficos para convertirla en un shell web eficaz», dijo ReliaQuest. «Al cortar el camino con una secreto codificada para un control exclusivo e incorporarla en las copias de seguridad del sistema, lograron una persistencia profunda y a dilatado plazo que podría sobrevivir a una recuperación completa del sistema». La cautiverio de ataque involucró a los actores de la amenaza dirigidos a un servidor ArcGIS manifiesto que estaba vinculado a un servidor ArcGIS interno privado al comprometer una cuenta de administrador del portal para implementar un SOE ladino, permitiéndoles así mezclarse con el tráfico frecuente y prolongar el camino durante períodos prolongados. Luego, los atacantes ordenaron al servidor manifiesto que creara un directorio oculto que sirviera como «espacio de trabajo privado» del asociación. Incluso bloquearon el camino a otros atacantes y administradores con una secreto codificada. Los hallazgos demuestran el modus operandi consistente de Flax Typhoon de retornar silenciosamente las propias herramientas de una ordenamiento contra sí misma en oportunidad de utilizar malware o exploits sofisticados.
LEER  Microsoft agrega protección de datos en línea al borde para que las empresas bloqueen las filtraciones de datos de Genai

‎️‍🔥 CVE de tendencia

Los piratas informáticos se mueven rápido. A menudo explotan nuevas vulnerabilidades en cuestión de horas, convirtiendo un único parche perdido en una brecha importante. Un CVE sin parches puede ser todo lo que se necesita para obtener un compromiso total. A continuación se muestran las vulnerabilidades más críticas de esta semana que están atrayendo la atención en toda la industria. Revíselos, priorice sus correcciones y falleba la brecha antaño de que los atacantes se aprovechen.

La repertorio de esta semana incluye: CVE-2025-24990, CVE-2025-59230 (Microsoft Windows), CVE-2025-47827 (IGEL OS antedicho al 11), CVE-2023-42770, CVE-2023-40151 (Red Lion Sixnet RTU), CVE-2025-2611 (ICTBroadcast), CVE-2025-55315 (Microsoft ASP.NET Core), CVE-2025-11577 (firmware Clevo UEFI), CVE-2025-37729 (Elastic Cloud Enterprise), CVE-2025-9713, CVE-2025-11622 (Ivanti Endpoint Manager), CVE-2025-48983, CVE-2025-48984 (Veeam), CVE-2025-11756 (Google Chrome), CVE-2025-49201 (Fortinet FortiPAM y FortiSwitch Manager), CVE-2025-58325 (Fortinet FortiOS CLI), CVE-2025-49553 (paquete de colaboración Adobe Connect), CVE-2025-9217 (complemento Slider Revolution), CVE-2025-10230 (Samba), CVE-2025-54539 (Apache ActiveMQ), CVE-2025-41703, CVE-2025-41704, CVE-2025-41706, CVE-2025-41707 (Phoenix Contact QUINT4) y CVE-2025-11492, CVE-2025-11493 (ConnectWise Automate).

📰 Aproximadamente del mundo cibernético

  • Microsoft presenta nuevas mejoras de seguridad – Microsoft reveló que «partes del kernel de Windows 11 se han reescrito en Rust, lo que ayuda a mitigar las vulnerabilidades de corrupción de la memoria, como los desbordamientos del búfer, y ayuda a sujetar las superficies de ataque». La compañía incluso señaló que está tomando medidas para proteger las experiencias de agente impulsadas por IA en el sistema operante asegurándose de que operen con permisos limitados y solo obtengan camino a los posibles a los que los usuarios otorgan permiso explícitamente. Encima, Microsoft dijo que los agentes que se integran con Windows deben estar firmados criptográficamente por una fuente confiable para que puedan ser revocados si se descubre que son maliciosos. Cada agente de IA incluso se ejecutará bajo su propia cuenta de agente dedicada que es distinta de la cuenta de becario en el dispositivo. «Esto facilita la aplicación de políticas específicas para agentes que pueden ser diferentes de las reglas aplicadas a otras cuentas como las de usuarios humanos», dijo.
  • La campaña de SEO utiliza instaladores falsos de Ivanti para robar credenciales — Una nueva campaña de ataque ha trabajador el envenenamiento de SEO para atraer a los usuarios a descargar una interpretación maliciosa del cliente Ivanti Pulse Secure VPN. La actividad se dirige a usuarios que buscan software legal en motores de búsqueda como Bing, redireccionándolos a sitios web similares controlados por atacantes (ivanti-pulsesecure(.)com o ivanti-secure-access(.)org). El objetivo de este ataque es robar las credenciales de VPN de la máquina de la víctima, lo que permite un anciano compromiso. «El instalador ladino, un archivo MSI firmado, contiene una DLL de robo de credenciales diseñada para determinar, analizar y filtrar detalles de la conexión VPN», dijo Zscaler. «El malware se dirige específicamente al archivo Connectionstore.dat para robar los URI guardados del servidor VPN, que combina con credenciales codificadas para la exfiltración. Los datos se envían a un servidor de comando y control (C2) alojado en la infraestructura de Microsoft Azure».
  • Los vínculos de Qilin con los proveedores de BPH al descubierto — Los investigadores de ciberseguridad de Resecurity examinaron la «estrecha afiliación» del asociación de ransomware Qilin con los operadores de alojamiento clandestino a prueba de balas (BPH), y descubrieron que el actor del crimen electrónico no solo ha confiado en Cat Technologies Co. Limited. (que, a su vez, está alojado en una dirección IP vinculada al Montón Aeza) por encajar su sitio de fuga de datos, pero incluso publicitó servicios como BEARHOST Servers (incluso conocido como Underground) en su sitio WikiLeaksV2, donde el asociación publica contenido sobre sus actividades. BEARHOST ha estado operante desde 2016 y ofrece sus servicios por entre $ 95 y $ 500. Si aceptablemente BEARHOST anunció abruptamente la interrupción de su servicio el 28 de diciembre de 2024, se evalúa que los actores de amenazas han llevado el servicio BPH al modo privado, atendiendo exclusivamente a actores clandestinos confiables y examinados. El 8 de mayo de 2025, resurgió como Voodoo Servers, solo para que los operadores cancelaran el servicio nuevamente alrededor de fin de mes, alegando razones políticas. «Los actores decidieron desaparecer mediante un escena de ‘estafa de salida’, manteniendo a la audiencia clandestina completamente despistada», dijo Resecurity. «En particular, las entidades jurídicas detrás del servicio continúan sus operaciones». En particular, Cat Technologies Co. Limited. incluso comparte enlaces a entidades oscuras como Red Bytes LLC, Hostway, Starcrecium Limited y Chang Way Technologies Co. Limited, la última de las cuales se ha asociado con una amplia actividad de malware y aloja servidores de comando y control (C2) de Amadey, StealC y Cobalt Strike utilizados por los ciberdelincuentes. Otra entidad digna de mención es Next Limited, que comparte la misma dirección de Hong Kong que Chang Way Technologies Co. Limited y se le ha atribuido actividad maliciosa en relación con Proton66.
  • Togado estadounidense prohíbe al asociación NSO atacar WhatsApp — Un sentenciador estadounidense prohibió a NSO Group atacar a los usuarios de WhatsApp y redujo el veredicto de indemnización punitiva otorgado a Meta por un miembros en mayo de 2025 a 4 millones de dólares, porque el tribunal no tenía pruebas suficientes para determinar que el comportamiento de NSO Group era «particularmente atroz». La orden contencioso permanente dictada por la jueza de distrito estadounidense Phyllis Hamilton significa que el proveedor israelí no puede utilizar WhatsApp como forma de infectar los dispositivos de sus objetivos. Como recordatorio, Meta demandó al Montón NSO en 2019 por el uso del software informador Pegasus al explotar una rotura de día cero en la aplicación de correo para espiar a 1.400 personas de 20 países, incluidos periodistas y activistas de derechos humanos. Fue multada con cerca de 168 millones de dólares a principios de mayo. La orden contencioso propuesta requiere que NSO Group elimine y destruya el código informático relacionado con las plataformas de Meta, y concluyó que la disposición es «necesaria para evitar futuras violaciones, especialmente dada la naturaleza indetectable de la tecnología de los acusados».
  • La iniciativa Privacy Sandbox de Google está oficialmente muerta – En 2019, Google lanzó una iniciativa citación Privacy Sandbox para idear alternativas que mejoren la privacidad y reemplacen las cookies de terceros en la web. Sin requisa, transmitido que la empresa abandonó sus planes de desaprobar las cookies de seguimiento de terceros, el esquema parece estar llegando a su fin. Con ese fin, el cíclope tecnológico dijo que retirará las siguientes tecnologías Privacy Sandbox citando bajos niveles de asimilación: Attribution Reporting API (Chrome y Android), protección IP, personalización en el dispositivo, agregación privada (incluido almacenamiento compartido), audiencia protegida (Chrome y Android), señales de aplicaciones protegidas, conjuntos de sitios web relacionados (incluido requestStorageAccessFor y partición de sitios web relacionados), SelectURL, tiempo de ejecución de SDK y temas (Chrome y Android). En una exposición compartida con Adweek, la compañía dijo que continuará trabajando para mejorar la privacidad en Chrome, Android y la web, pero no bajo la marca Privacy Sandbox.
  • Rusia bloquea tarjetas SIM extranjeras — Rusia dijo que está tomando medidas para cortar temporalmente Internet móvil para tarjetas SIM extranjeras, citando razones de seguridad franquista. La nueva norma impone un interrupción obligatorio de Internet móvil las 24 horas para cualquier persona que ingrese a Rusia con una plástico SIM extranjera.
  • Se revela una rotura en los encabezados CORS en los navegadores web — El Centro de Coordinación CERT (CERT/CC) reveló detalles de una vulnerabilidad en los encabezados de intercambio de posibles entre orígenes (CORS) en Chromium, Google Chrome, Microsoft Edge, Safari y Firefox que permite manipular la política CORS. Esto se puede combinar con técnicas de vinculación de DNS para emitir solicitudes arbitrarias a servicios que escuchan en puertos arbitrarios, independientemente de la política CORS implementada por el objetivo. «Un atacante puede utilizar un sitio ladino para ejecutar una carga útil de JavaScript que envía periódicamente encabezados CORS para preguntar al servidor si la solicitud de origen cruzado es segura y está permitida», explicó CERT/CC. «Lógicamente, el nombre de host controlado por el atacante responderá con encabezados CORS permisivos que eludirán la política CORS. Luego, el atacante realiza un ataque de revinculación de DNS para que al nombre de host se le asigne la dirección IP del servicio objetivo. Luego de que el DNS responda con la dirección IP modificada, el nuevo objetivo hereda la política CORS relajada, lo que permite a un atacante potencialmente exfiltrar datos del objetivo». Mozilla está rastreando la vulnerabilidad como CVE-2025-8036.
  • Las campañas de phishing utilizan el logotipo de Microsoft para estafas de soporte técnico — Los actores de amenazas están explotando el nombre y la marca de Microsoft en correos electrónicos de phishing para atraer a los usuarios a estafas fraudulentas de soporte técnico. Los mensajes contienen enlaces que, al hacer clic, llevan a las víctimas a un desafío CAPTCHA adulterado, posteriormente de lo cual son redirigidas a una página de inicio de phishing para desencadenar la próximo etapa del ataque. «Luego de suceder la demostración del captcha, la víctima de repente se sobrecarga visualmente con varias ventanas emergentes que parecen ser alertas de seguridad de Microsoft», dijo Cofense. «Su navegador es manipulado para que parezca bloqueado y pierden la capacidad de determinar o controlar su mouse, lo que aumenta la sensación de que el sistema está comprometido. Esta pérdida involuntaria de control crea una experiencia falsa de ransomware, lo que lleva al becario a creer que su computadora está bloqueada y a tomar medidas inmediatas para remediar la infección». Desde allí, se indica a los usuarios que llamen a un número para comunicarse con el soporte técnico de Windows, donde se les conecta con un técnico adulterado para sobrellevar delante el ataque. «El actor de la amenaza podría explotar aún más pidiendo al becario que proporcione credenciales de cuenta o persuadiéndolo para que instale herramientas de escritorio remoto, permitiéndole camino completo a su sistema», dijo la compañía.
  • Contribuyentes y conductores víctimas de estafas de reembolsos y de peaje de carreteras — Una campaña de smishing aprovechó al menos 850 nombres de dominio recién registrados en septiembre y principios de octubre para dirigirse a personas que viven en los EE. UU., el Reino Unido y otros lugares con enlaces de phishing que utilizan reembolsos de impuestos, peajes de carreteras o entregas fallidas de paquetes como señuelo. Los sitios web, diseñados para cargarse sólo cuando se inician desde un dispositivo móvil, afirman proporcionar información sobre el estado de su reembolso de impuestos u obtener un subsidio de hasta £300 para ayudar a compensar los costos de combustible en invierno (nota: esta es una iniciativa existente del gobierno del Reino Unido), solo para pedirles que proporcionen datos personales como nombre, domicilio, número de teléfono y dirección de correo electrónico, así como información de la plástico de cuota. Los datos ingresados ​​se filtran a los atacantes a través del protocolo WebSocket. Incluso se ha descubierto que algunos de los sitios web fraudulentos se dirigen a residentes y visitantes canadienses, alemanes y españoles, según Netcraft.
  • La nueva función de collage de Meta puede usar fotos en el carrete de la cámara del teléfono — Meta está lanzando oficialmente una nueva función de suscripción para los usuarios de Facebook en EE. UU. y Canadá para sugerir las mejores fotos y videos del carrete de la cámara de los usuarios y crear collages y ediciones. «Con su permiso y la ayuda de la IA, nuestra nueva característica permite a Facebook revelar automáticamente gemas ocultas (esos momentos memorables que se pierden entre capturas de pantalla, recibos e instantáneas aleatorias) y editarlas para guardarlas o compartirlas», dijo la compañía. La función se probó por primera vez a finales de junio de 2025. La empresa de redes sociales enfatizó que las sugerencias son privadas y que no utiliza medios obtenidos de los dispositivos de los usuarios a través del carrete de la cámara para entrenar sus modelos, a menos que los usuarios opten por editar los medios con sus herramientas de inteligencia fabricado o propagar esas sugerencias en Facebook. Los usuarios que deseen excluirse de la función pueden hacerlo navegando a Configuración y Privacidad > Configuración > Preferencias > Sugerencias para compartir carretes.
  • Los sitios falsos Homebrew, TradingView y LogMeIn sirven malware descuidero dirigido a Mac — Los actores de amenazas están empleando tácticas de ingeniería social para engañar a los usuarios para que visiten sitios web falsos que se hacen suceder por plataformas confiables como Homebrew, TradingView y LogMeIn, donde se les indica que copien y ejecuten un comando ladino en la aplicación Terminal como parte de ataques estilo ClickFix, lo que resulta en la implementación de malware descuidero como Atomic Stealer y Odyssey Stealer. «Se identificaron más de 85 dominios de phishing, conectados a través de certificados SSL compartidos, servidores de carga útil e infraestructura reutilizada», dijo Hunt.io. «Los hallazgos sugieren una campaña coordinada y continua en la que los operadores adaptan continuamente su infraestructura y tácticas para prolongar la persistencia y evitar la detección internamente del ecosistema macOS». Se sospecha que los usuarios llegan a estos sitios web a través de anuncios patrocinados en motores de búsqueda como Bing y Google.
  • El organismo holandés de control de la protección de datos multa a Experian con 3,2 millones de dólares por violaciones de la privacidad — La Autoridad Holandesa de Protección de Datos (DPA) impuso una multa de 2,7 millones de euros (3,2 millones de dólares) a Experian Holanda por compilar datos en contravención del Reglamento Universal de Protección de Datos (GDPR) de la UE. La DPA dijo que la compañía de informes crediticios del consumidor recopiló información sobre personas de fuentes públicas y privadas y no dejó claro por qué era necesaria la compilación de ciertos datos. Encima de la correctivo, se retraso que Experian elimine la colchoneta de datos de datos personales antaño de fin de año. La empresa incluso ha cesado sus operaciones en el país. «Hasta el 1 de enero de 2025, Experian proporcionaba evaluaciones crediticias sobre individuos a sus clientes», dijo la DPA. «Para ello, la empresa recopiló datos como comportamientos de cuota negativos, deudas pendientes o quiebras. La AP descubrió que Experian violó la ley al utilizar ilegalmente datos personales».
  • Los actores de amenazas envían alertas falsas de infracción del administrador de contraseñas — Los malos actores envían alertas de phishing afirmando que sus cuentas de administrador de contraseñas para 1Password y Lastpass han sido comprometidas para engañar a los usuarios para que proporcionen sus contraseñas y secuestrar sus cuentas. En respuesta al ataque, LastPass dijo que no ha sido pirateado y que es un intento por parte de los atacantes de originar una falsa sensación de aprieto. En algunos casos detectados por Bleeping Computer, incluso se descubrió que la actividad insta a los destinatarios a instalar una interpretación más segura del administrador de contraseñas, lo que resulta en la implementación de un software legal de camino remoto llamado Syncro. Desde entonces, el proveedor de software ha decidido cerrar las cuentas maliciosas para evitar futuras instalaciones.
  • SocGholish MaaS detallado — LevelBlue ha publicado un descomposición de un asociación de actividad de amenazas conocido como SocGholish (incluso conocido como FakeUpdates), que se sabe que está activo desde 2017, aprovechando mensajes falsos de puesta al día del navegador web en sitios web comprometidos como señuelo para distribuir malware. Las víctimas generalmente son enrutadas a través de sistemas de distribución de tráfico (TDS) como Keitaro y Parrot TDS para filtrar a los usuarios en función de factores específicos como geogonia, tipo de navegador o configuración del sistema, asegurando que solo los objetivos previstos estén expuestos a la carga útil. Se ofrece bajo un malware como servicio (MaaS) por un asociación de cibercrimen con motivación financiera llamado TA569. SocGholish destaca por su capacidad para convertir sitios web legítimos en plataformas de distribución de malware a gran escalera. Al desempeñarse como intermediario de camino original (IAB), sus operaciones se benefician de los compromisos posteriores de otros actores. «Una vez ejecutado, sus cargas avíos van desde cargadores y ladrones hasta ransomware, lo que permite una amplia explotación de seguimiento», dijo LevelBlue. «Esta combinación de amplio envergadura, mecanismos de entrega simples y uso flexible por parte de múltiples grupos hace de SocGholish una amenaza persistente y peligrosa en todas las industrias y regiones». Uno de sus usuarios principales es Evil Corp, y el malware incluso se utilizó para entregar RansomHub a principios de 2025.
LEER  El Grupo de Lazarus se dirige a los solicitantes de empleo con Táctica de ClickFix para implementar el malware de Golangghost

🎥 Seminarios web sobre ciberseguridad

  • El entorno práctico para manejar a los agentes de IA sin frenar la innovación → La IA está cambiando todo rápidamente, pero para la mayoría de los equipos de seguridad, todavía parece una lucha simplemente mantenerse al día. El objetivo no es frenar la innovación con más controles; es para hacer que esos controles funcionen para el negocio. Al incorporar la seguridad a la IA desde el principio, puede convertir lo que solía ser un cuello de botella en un definitivo acelerador del crecimiento y la confianza.
  • El futuro de la IA en GRC: convertir el peligro en una delantera de cumplimiento: la IA está cambiando rápidamente la forma en que las empresas gestionan el peligro y el cumplimiento. Trae grandes oportunidades pero incluso nuevos desafíos. Este seminario web le muestra cómo utilizar la IA de forma segura y eficaz en GRC, evitar errores comunes y convertir reglas complejas en una verdadera delantera empresarial.
  • Claridad del flujo de trabajo: cómo combinar la IA y el esfuerzo humano para obtener resultados reales: demasiados equipos se apresuran a «sumar IA» sin un plan y terminan con flujos de trabajo desordenados y poco confiables. Únase a nosotros para asimilar un enfoque más claro: cómo utilizar la IA de modo cuidadosa, simplificar la automatización y crear sistemas que se escalen de forma segura.

🔧 Herramientas de ciberseguridad

  • Beelzebub: convierte la implementación del honeypot en una experiencia poderosa y de bajo código. Utiliza IA para afectar sistemas reales, ayudando a los equipos de seguridad a detectar ataques, rastrear amenazas emergentes y compartir información a través de una red total de inteligencia sobre amenazas.
  • NetworkHound: asigna su red de Active Directory de adentro alrededor de fuera. Descubre cada dispositivo (unido a un dominio o TI en la sombra), valida los servicios web y SMB y crea un croquis totalmente compatible con BloodHound para que pueda ver y proteger su entorno con claridad.
LEER  Google inicia la reconstrucción de OSS para exponer el código malicioso en paquetes de código abierto ampliamente utilizados

Descargo de responsabilidad: estas herramientas son exclusivamente para uso educativo y de investigación. No se han sometido a pruebas de seguridad completas y podrían presentar riesgos si se usan incorrectamente. Revise el código antaño de probarlos, pruebe solo en entornos seguros y siga todas las reglas éticas, legales y organizativas.

🔒 Consejo de la semana

La mayoría de las infracciones de la cúmulo no son hacks: son configuraciones erróneas. He aquí cómo solucionarlos: Los depósitos de almacenamiento en la cúmulo como AWS S3, Azure Blob y Google Cloud Storage facilitan el intercambio de datos, pero una configuración incorrecta puede exponerlo todo. La mayoría de las filtraciones de datos no se deben a piratería, sino a que cierto dejó un depósito manifiesto, se saltó el oculto o utilizó un depósito de prueba que nunca se bloqueó. Las plataformas en la cúmulo le brindan flexibilidad, no seguridad garantizada, por lo que debe comprobar y controlar el camino usted mismo.

Los errores de configuración suelen ocurrir cuando los permisos son demasiado amplios, el oculto está deshabilitado o se pierde la visibilidad en varias nubes. Realizar comprobaciones manuales no escalera, especialmente si administra datos en AWS, Azure y GCP. La decisión consiste en utilizar herramientas que encuentren, informen e incluso corrijan automáticamente configuraciones inseguras antaño de que causen daños.

ScoutSuite es un sólido punto de partida para la visibilidad entre nubes. Analiza AWS, Azure y GCP en rastreo de depósitos abiertos, roles de IAM débiles y oculto faltante, y luego crea un crónica HTML factible de observar. **Prowler** profundiza en AWS y compara la configuración de S3 con los puntos de remisión de CIS y AWS para detectar ACL defectuosas o depósitos no cifrados.

Para un control continuo, Custodio de la cúmulo le permite escribir políticas simples que aplican reglas automáticamente; por ejemplo, conminar a todos los depósitos nuevos a utilizar oculto. Y Consulta en la cúmulo puede convertir su configuración de cúmulo en una colchoneta de datos con capacidad de búsqueda, para que pueda monitorear los cambios, realizar un seguimiento del cumplimiento y visualizar los riesgos en un solo oportunidad.

El mejor enfoque es combinarlos: ejecute ScoutSuite o Prowler semanalmente para encontrar problemas y deje que Cloud Custodian se encargue de las correcciones automáticas. Incluso brindar unas pocas horas a configurarlos puede detener el tipo de filtraciones de datos que aparecen en los titulares. Asuma siempre que cada depósito es manifiesto hasta que se demuestre lo contrario y asegúrelo como está.

Conclusión

La verdad es que ninguna aparejo o parche nos hará estar completamente seguros. Lo más importante es la conciencia: asimilar qué es frecuente, qué está cambiando y cómo piensan los atacantes. Cada alerta, registro o anomalía último es una pista. Sigue conectando esos puntos antaño de que cierto más lo haga.

spot_img
Artículo anterior
La colaboración como catalizador: cómo AUTOMA fomenta asociaciones entre startups y líderes de la industria
Artículo siguiente
Cómo convertir un archivo IMG a un archivo ISO en Linux
Conectamentado
Conectamentadohttps://conectamentado.com

Artículos relacionados

spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Últimos artículos

Cargar más

Bienvenido a Conectamentado, tu fuente confiable de noticias y tendencias en el mundo de la tecnología. Nos dedicamos a ofrecer información actualizada y análisis profundos sobre los avances más relevantes del sector, manteniéndote siempre al día con la evolución digital.

© 2025 Todos los derechos reservados, Protegido por Conectamentado