Días 0 de Cisco, recompensas por errores de IA, atracos de criptomonedas, filtraciones vinculadas al estado y 20 historias más

El gobierno del Reino Unido ha propuesto un nuevo tesina de ley de resiliencia y seguridad cibernética que tiene como objetivo vigorizar la seguridad doméstico y proteger los servicios públicos como la atención médica, los proveedores de agua potable, el transporte y la energía de los ciberdelincuentes y los actores respaldados por el estado. Según la propuesta, se regularán las empresas medianas y grandes que brindan servicios como diligencia de TI, soporte de mesa de ayuda de TI y ciberseguridad a organizaciones del sector sabido y privado como el Servicio Franquista de Vigor (NHS). Las organizaciones cubiertas por la nueva ley tendrían que reportar incidentes cibernéticos más dañinos tanto a su regulador como al Centro Franquista de Seguridad Cibernética (NCSC) en el interior de las 24 horas, seguido de un referencia completo enviado en el interior de las 72 horas. Las sanciones por infracciones graves según las nuevas normas alcanzarán multas diarias equivalentes a 100.000 libras esterlinas (131.000 dólares), o el 10% de la facturación diaria de la estructura, lo que sea anciano. “Correcto a que tienen paso confiable a todo el gobierno, infraestructura doméstico crítica y redes comerciales, necesitarán cumplir con deberes de seguridad claros”, dijo el gobierno. “Esto incluye informar con prontitud los incidentes cibernéticos significativos o potencialmente significativos al gobierno y a sus clientes, así como contar con planes sólidos para hacer frente a las consecuencias”.

Un ex empleado de Intel ha sido inculpado de descargar miles de documentos poco posteriormente de que la empresa lo despidiera en julio, muchos de ellos clasificados como “detención secreto”. El Oregonian, que informó sobre la demanda, dijo que Jinfeng Luo descargó 18.000 archivos a un dispositivo de almacenamiento. Posteriormente de no poder ponerse en contacto con Luo en su casa en Seattle y en otras dos direcciones asociadas con él, el fabricante de chips presentó una demanda solicitando al menos 250.000 dólares en daños y perjuicios.

El Open Web Application Security Project (OWASP) ha publicado una traducción revisada de su índice de los 10 principales riesgos críticos para las aplicaciones web, agregando a la índice dos nuevas categorías, que incluyen fallas en la esclavitud de suministro de software y mal manejo de condiciones excepcionales. Mientras que el primero se relaciona con compromisos que ocurren en el interior o a través de todo el ecosistema de dependencias de software, sistemas de compilación e infraestructura de distribución, el segundo se enfoca en “manejo inadecuado de errores, errores lógicos, fallas de transigencia y otros escenarios relacionados que surgen de condiciones anormales que los sistemas pueden encontrar”. El control de paso roto, la configuración incorrecta de la seguridad, las fallas criptográficas, la inyección, el diseño inseguro, las fallas de autenticación, las fallas de integridad del software y de los datos y las fallas de registro y alertas ocupan los ocho lugares restantes.

Un estudio de 50 empresas líderes en inteligencia fabricado descubrió que el 65% había filtrado secretos verificados en GitHub, incluidas claves API, tokens y credenciales confidenciales. “Algunas de estas filtraciones podrían ocurrir expuesto estructuras organizativas, datos de entrenamiento o incluso modelos privados”, dijeron los investigadores de Wiz Shay Berkovich y Rami McCarthy. “Si utiliza un sistema de control de versiones (VCS) sabido, implemente el escaneo secreto ahora. Esta es su defensa inmediata y no negociable contra una exposición tratable. Incluso las empresas con las huellas más pequeñas pueden estar expuestas a filtraciones secretas, como acabamos de demostrar”.

Una nueva campaña de phishing a gran escalera está abusando de las funciones Business Suite y facebookmail.com de Facebook para destinar notificaciones falsas convincentes (“Invitación de socio de agencia Meta” o “Se requiere comprobación de cuenta”) que parecen provenir directamente de Meta. “Este método hace que sus campañas sean extremadamente convincentes, evita muchos filtros de seguridad tradicionales y demuestra cómo los atacantes están explotando la confianza en plataformas conocidas”, afirmó Check Point. “Si proporcionadamente el prominencia de correos electrónicos puede sugerir un enfoque de rociar y rogar, la credibilidad del dominio del remitente hace que estos intentos de phishing sean mucho más peligrosos que el spam global”. Hasta la data se han registrado más de 40.000 correos electrónicos de phishing, principalmente dirigidos a entidades de EE. UU., Europa, Canadá y Australia que dependen en gran medida de Facebook para su publicidad. Para soportar a extremidad el plan, los atacantes crean páginas empresariales falsas en Facebook y utilizan la función de invitación empresarial para destinar correos electrónicos de phishing que imitan las alertas oficiales de Facebook. El hecho de que estos mensajes se envíen desde el dominio “facebookmail(.)com” significa que los filtros de seguridad del correo electrónico los perciben como confiables. En los correos electrónicos hay enlaces que, al hacer clic, dirigen a los usuarios a sitios web falsos diseñados para robar credenciales y otra información confidencial.

Mozilla ha asociado más protecciones de huellas dactilares a su navegador Firefox para evitar que los sitios web identifiquen a los usuarios sin su consentimiento, incluso cuando las cookies están bloqueadas o la navegación privada está habilitada. Las medidas de seguridad, comenzando con Firefox 145, tienen como objetivo cortar el paso a cierta información utilizada por los lectores de huellas digitales en carrera. “Esto va desde vigorizar las protecciones de fuentes hasta evitar que los sitios web conozcan los detalles de su hardware, como la cantidad de núcleos que tiene su procesador, la cantidad de dedos simultáneos que admite su pantalla táctil y las dimensiones de su almohadilla o mostrador de tareas”, dijo Mozilla. Específicamente, las nuevas protecciones incluyen introducir datos aleatorios en imágenes generadas en rudimentos de paramento, evitar que se utilicen fuentes instaladas localmente para representar texto en una página, informar la cantidad de toques simultáneos admitidos por el hardware del dispositivo como 0, 1 o 5, informar la resolución de pantalla arreglado como la cima de la pantalla menos 48 píxeles e informar la cantidad de núcleos de procesador como 4 u 8.

Los actores de amenazas utilizan un nuevo kit de phishing llamado Quantum Route Redirect para robar credenciales de Microsoft 365. “Quantum Route Redirect viene con una configuración preconfigurada y dominios de phishing que simplifican significativamente un flujo de campaña que alguna vez fue técnicamente confuso, ‘democratizando’ aún más el phishing para ciberdelincuentes menos capacitados”, dijo KnowBe4 Threat Labs. Las campañas de phishing se hacen suceder por servicios legítimos como DocuSign o se hacen suceder por notificaciones de suscripción o mensajes de voz perdidos para engañar a los usuarios para que hagan clic en URL que siguen constantemente el patrón “/((wd-)+.){2}(w){,3}/quantum.php/” y están alojadas en dominios estacionados o comprometidos. Se han detectado casi 1.000 dominios de este tipo. El kit de phishing asimismo permite la toma de huellas digitales del navegador y la detección de VPN/proxy para redirigir las herramientas de seguridad a sitios web legítimos. Las campañas que aprovechan el kit se han cobrado víctimas con éxito en 90 países, y Estados Unidos representa el 76% de los usuarios afectados.

La plataforma de codificación de IA Lovable se ha asociado con Guardio para integrar su motor de detección de Navegación Segura en los flujos de trabajo de IA generativos de la plataforma, con el objetivo de escanear cada sitio creado en la plataforma para detectar phishing, estafas, suplantación de identidad y otras formas de alcaldada. El avance se produce en el contexto de informes que encontraron que los asistentes de codificación impulsados ​​por inteligencia fabricado como Lovable son susceptibles a técnicas como VibeScamming, lo que permite a los delincuentes configurar páginas de cosecha de credenciales similares y soportar a extremidad estafas.

Microsoft ha animado oficialmente soporte nativo para administradores de claves de paso de terceros en Windows 11. La función está arreglado con la aggiornamento de seguridad de Windows de noviembre de 2025. “Esta nueva capacidad permite a los usuarios nominar su administrador de claves de paso protegido, ya sea Microsoft Password Manager o proveedores externos confiables”, dijo Microsoft. La compañía asimismo señaló que ha integrado Microsoft Password Manager de Microsoft Edge en Windows como un complemento, lo que permite usarlo en Microsoft Edge, otros navegadores o cualquier aplicación que admita claves de paso.

Los actores de amenazas, que van desde operadores de ransomware y redes cibercriminales organizadas hasta grupos APT patrocinados por el estado, se dirigen cada vez más a la industria de la construcción al explotar la creciente dependencia del sector de maquinaria pesada indefenso habilitada para IoT, sistemas de modelado de información de construcción (BIM) y plataformas de diligencia de proyectos basadas en la nubarrón. “Los ciberdelincuentes se dirigen cada vez más a las empresas de construcción para obtener paso auténtico y fugas de datos, explotando prácticas de seguridad débiles, sistemas heredados obsoletos y el uso generalizado de herramientas de diligencia de proyectos basadas en la nubarrón”, dijo Rapid7. “Los atacantes comúnmente emplean mensajes de correo electrónico de phishing, credenciales comprometidas y ataques a la esclavitud de suministro, aprovechando la capacitación insuficiente de los empleados y la laxa diligencia de riesgos de los proveedores”. Los atacantes asimismo están pasando a obtener paso auténtico a las redes de las empresas de construcción a través de foros clandestinos en zona de realizar ellos mismos operaciones de compromiso iniciales que consumen muchos capital. Estos listados facilitan el soporte de los servicios de depósito en respaldo para dedicar a los compradores garantías sobre la validez de los datos adquiridos. Una vez violados, los actores de amenazas se mueven rápidamente a través de la red para exfiltrar datos valiosos e incluso extorsionarlos mediante ransomware.

En agosto, Google anunció planes para corroborar la identidad de todos los desarrolladores que distribuyen aplicaciones en Android, incluso aquellos que distribuyen su software fuera de Play Store. La medida generó reacciones negativas, lo que generó preocupaciones de que podría ser el fin de la descarga en Android. Si proporcionadamente Google ha afirmado que la intención detrás del cambio era encarar las estafas en carrera y las campañas de malware, particularmente aquellas que ocurren cuando los usuarios descargan archivos APK distribuidos a través de mercados de terceros, F-Droid describió el entorno como embustero, cedido que ya existe Google Play Protect como mecanismo de remediación. “Cualquier aventura percibido asociado con la instalación directa de la aplicación se puede mitigar mediante la educación del afortunado, la transparencia del código descubierto y las medidas de seguridad existentes sin imponer requisitos de registro excluyentes”, dijo F-Droid. En respuesta a los comentarios de “desarrolladores y usuarios avanzados”, Google dijo que está “construyendo un nuevo flujo innovador que permite a los usuarios experimentados aceptar los riesgos de instalar software que no está verificado”. Se retraso que se compartan más detalles en los próximos meses.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una nueva alerta, afirmando que ha identificado dispositivos marcados como “parcheados” como parte de la Directiva de Emergencia 25-03, pero que fueron “actualizados a una traducción del software que aún es indefenso a la actividad de amenazas” que implica la explotación de CVE-2025-20333 y CVE-2025-20362. “CISA tiene conocimiento de múltiples organizaciones que creían que habían chapón las actualizaciones necesarias pero que en existencia no habían actualizado a la traducción mínima del software”, dijo la agencia. “CISA recomienda que todas las organizaciones verifiquen que se apliquen las actualizaciones correctas”. Ambas vulnerabilidades han sido explotadas activamente por un supuesto categoría de hackers vinculado a China conocido como UAT4356 (asimismo conocido como Storm-1849).

El Empleo de Progreso Digital de Rusia ha revelado que los operadores de telecomunicaciones del país han animado un nuevo mecanismo para combatir los drones a petición de los reguladores. “Si se introduce una polímero SIM en Rusia desde el extranjero, se debe confirmar que es utilizada por una persona y no incorporada en un dron”, dijo el servicio en una publicación en Telegram. “Hasta entonces, los servicios de Internet móvil y SMS de esta polímero SIM estarán bloqueados temporalmente”. El mecanismo se está probando a partir del 10 de noviembre de 2025. El servicio asimismo señaló que los suscriptores con tarjetas SIM rusas son elegibles para un período de consejo de 24 horas si la polímero SIM ha estado inactiva durante 72 horas o al regresar de un alucinación internacional. Los suscriptores pueden restaurar el paso resolviendo un CAPTCHA proporcionado por el cirujano o llamando a su proveedor de servicios y verificando su identidad por teléfono. La información se produce un mes posteriormente de que Moscú impusiera un asedio similar de 24 horas para las personas que ingresan a Rusia con tarjetas SIM extranjeras, citando razones similares.

La empresa de ciberseguridad watchTowr Labs ha publicado detalles sobre una rotura de secuencias de comandos entre sitios (XSS) reflejada recientemente parcheada (CVE-2025-12101, puntuación CVSS: 6.1) en NetScaler ADC y NetScaler Gateway cuando el dispositivo está configurado como una puerta de enlace (servidor supuesto VPN, proxy ICA, CVPN, proxy RDP) o servidor supuesto de autenticación, autorización y auditoría (AAA). Citrix parchó la vulnerabilidad a principios de esta semana. Sina Kheirkhah de watchTowr dijo que la vulnerabilidad surge del manejo del parámetro RelayState por parte de la aplicación, lo que permite a un atacante ejecutar una carga útil XSS arbitraria mediante una solicitud HTTPS especialmente diseñada que contiene un parámetro RelayState con un valencia codificado en Base64. “Si proporcionadamente esto puede no parecer realista como una vulnerabilidad útil (y estaríamos de acuerdo dada la fruta madura en otros lugares), en común aún se puede utilizar a través de CSRF, ya que el punto final /cgi/logout de NetScaler acepta una solicitud HTTP POST que contiene una SAMLResponse válida y un RelayState modificado”, dijo Kheirkhah.

Un nuevo referencia de Netskope ha descubierto que aproximadamente 22 de cada 10.000 usuarios del sector manufacturero encuentran contenido zorro cada mes. “Microsoft OneDrive es ahora la plataforma más comúnmente explotada, y el 18% de las organizaciones reportan descargas de malware del servicio cada mes”, dijo la compañía de ciberseguridad. GitHub quedó en segundo zona con un 14%, seguido de Google Drive (11%) y SharePoint (5,3%). Para contrarrestar el aventura, se recomienda a las organizaciones que inspeccionen todas las descargas HTTP y HTTPS, incluido todo el tráfico web y en la nubarrón, para evitar que el malware se infiltre en la red empresarial.

Se ha observado que un actor de amenazas con motivación financiera conocido como Payroll Pirates (asimismo conocido como Storm-2657) secuestra sistemas de paga, cooperativas de crédito y plataformas comerciales en todo Estados Unidos al orquestar campañas de publicidad maliciosa. La actividad maliciosa, descrita como persistente y adaptable, se remonta a mayo de 2023, cuando los actores de la amenaza crearon sitios de phishing que se hacían suceder por plataformas de paga. Estos sitios se promocionaban a través de Google Ads, engañando a los empleados para que iniciaran sesión en portales de capital humanos falsos con el objetivo de robar sus credenciales. Una vez que se capturaron los datos de inicio de sesión, los atacantes desviaron los salarios a sus propias cuentas. Las iteraciones posteriores vinieron equipadas con capacidades para evitar la autenticación de dos factores (2FA). Check Point, que ha estado rastreando un aumento flamante en estas campañas, dijo que encontró un único autómata de Telegram que se utiliza para capturar códigos 2FA en tiempo efectivo en cooperativas de crédito, nóminas, beneficios de atención médica y plataformas comerciales, lo que sugiere una “red unificada”. Si proporcionadamente se ha descubierto que un conjunto de ataques se fundamento en técnicas de encubrimiento para certificar que sólo las víctimas previstas sean redirigidas a los sitios de phishing, un segundo categoría se dirige a instituciones financieras que utilizan Microsoft Ads. “Los dominios tienen una decrepitud de meses y albergan docenas de páginas de phishing con URL aleatorias”, afirmó Check Point. “Un servicio de encubrimiento de adspect.ai determina qué página mostrar basándose en las huellas digitales del navegador. Uno y otro grupos utilizan los mismos kits de phishing. Las páginas se adaptan dinámicamente según los comentarios del cirujano, lo que facilita eludir la mayoría de los métodos de autenticación”.

El malware DanaBot ha regresado con una nueva traducción 669, casi seis meses posteriormente de que la Operación Endgame de las fuerzas del orden interrumpiera su actividad en mayo. La nueva transformación tiene una infraestructura de comando y control (C2) que comprende dominios Tor y nodos BackConnect, según Zscaler. Además utiliza cuatro direcciones de billetera diferentes para robar criptomonedas: 12eTGpL8EqYowAfw7DdqmeiZ87R922wt5L (BTC), 0xb49a8bad358c0adb639f43c035b8c06777487dd7 (ETH), LedxKBWF4MiM3x9F7zmCdaxnnu8A8SUohZ (LTC) y TY4iNhGut31cMbE3M6TU5CoCXvFJ5nP59i (TRX).

Un nuevo troyano de paso remoto (RAT) de Android llamado KomeX RAT se anuncia para la cesión en foros de ciberdelincuencia por un precio mensual de 500 dólares o 1.200 dólares por una osadía de por vida. Los compradores potenciales asimismo pueden obtener paso a todo el código almohadilla por 3.000 dólares. Según afirma el mercader, el troyano está basado en BTMOB, otra útil de control remoto de Android que surgió a principios de este año como una crecimiento de SpySolr. Otras características incluyen la capacidad de apoderarse todos los permisos necesarios, silenciar Google Play Protect, registrar pulsaciones de teclas, resumir mensajes SMS y más. El actor de amenazas asimismo afirma que RAT funciona en todo el mundo sin restricciones geográficas. Curiosamente, una página de Facebook de SpySolr afirma que el malware es desarrollado por EVLF, que fue desenmascarado en 2023 como un actor de amenazas sirio detrás de CypherRAT y CraxsRAT.

Amazon se ha convertido en la última empresa en rajar sus grandes modelos de lengua a investigadores de seguridad externos al instituir un software de recompensas por errores para identificar problemas de seguridad en NOVA, el conjunto de modelos fundamentales de IA de la empresa. “A través de este software, los investigadores probarán los modelos Nova en áreas críticas, incluidas cuestiones de ciberseguridad y detección de amenazas químicas, biológicas, radiológicas y nucleares (CBRN)”, dijo el coloso tecnológico. “Los participantes calificados pueden aventajar recompensas monetarias, que van desde $200 a $25,000”.

La estructura austriaca de privacidad sin fines de beneficio None of Your Business (noyb) ha condenado los planes filtrados de la Comisión Europea para revisar la histórica regulación de privacidad del bando, conocida como el Reglamento Genérico de Protección de Datos (GDPR), incluyendo la posibilidad de permitir que las empresas de inteligencia fabricado utilicen datos personales de los ciudadanos de la región para la capacitación de modelos. “Por otra parte, la protección distinto de datos sensibles como datos de vitalidad, opiniones políticas u orientación sexual se reduciría significativamente”, afirmó noyb. “Por otra parte, se permitiría el paso remoto a datos personales en PC o teléfonos inteligentes sin el consentimiento del afortunado”. Max Schrems, fundador de noyb, dijo que el croquis representa una degradación masiva de la privacidad del afortunado, al tiempo que beneficia principalmente a las grandes tecnologías. La Comisión tiene previsto presentar las enmiendas el 19 de noviembre.

Un tribunal del Reino Unido condenó a una mujer china de 47 primaveras, Zhimin Qian (asimismo conocida como Yadi Zhang), a 11 primaveras y 8 meses de prisión por blanquear bitcoins vinculados a un plan de inversión de 5.600 millones de dólares. Hasta su detención en abril de 2024, la acusada se encontraba prófuga desde 2017 tras soportar a extremidad una estafa a gran escalera en China entre 2014 y 2017, en la que defraudaron a más de 128.000 personas. Qian, apodada Reina Bitcoin, entró en Europa con pasaportes falsos y se estableció en Gran Bretaña con un nombre embustero: Yadi Zhang. Se declaró culpable de delitos relacionados con la adquisición y posesión de intereses delictivos (es afirmar, criptomonedas) en septiembre. La investigación asimismo condujo a la incautación de 61.000 bitcoins, ahora valorados en más de 6.000 millones de dólares, lo que la convierte en la anciano incautación de criptomonedas de la historia.

Los investigadores de ciberseguridad han descubierto dos nuevas familias de malware de segunda etapa llamadas LeakyInjector y LeakyStealer que están diseñadas para apuntar a billeteras de criptomonedas y al historial del navegador. “LeakyInjector utiliza API de bajo nivel para inyección para evitar la detección e inyecta LeakyStealer en ‘explorer.exe'”, dijo Hybrid Analysis. “El dúo realiza un gratitud en una máquina infectada y apunta a múltiples billeteras criptográficas, incluidas las extensiones del navegador correspondientes a las billeteras criptográficas. El malware asimismo búsqueda archivos del historial del navegador de Google Chrome, Microsoft Edge, Brave, Opera y Vivaldi”. LeakyStealer implementa un motor polimórfico que modifica bytes de memoria utilizando títulos codificados específicos en tiempo de ejecución. Además se conecta a un servidor foráneo a intervalos regulares para ejecutar comandos de Windows y descargar y ejecutar cargas aperos adicionales.

El mes pasado, OpenAI lanzó un conjunto de herramientas de seguridad llamado entorno de seguridad Guardrails para detectar y cortar comportamientos de modelos potencialmente dañinos, como jailbreak e inyecciones rápidas. Esto incluye detectores que se basan en modelos de lengua grandes (LLM) para determinar si una entrada o salida representa un aventura de seguridad. La empresa de seguridad de inteligencia fabricado HiddenLayer dijo que este enfoque es fundamentalmente defectuoso, ya que puede ser explotado por un atacante del entorno Guardrails. “Si el mismo tipo de maniquí utilizado para suscitar respuestas asimismo se utiliza para evaluar la seguridad, los dos pueden encontrarse comprometidos de la misma forma”, afirmó. “Este intento destaca un desafío crítico en la seguridad de la IA: la autorregulación por parte de los LLM no puede defender completamente contra la manipulación adversaria. Las salvaguardas efectivas requieren capas de nervio independientes, equipos rojos y pruebas adversarias para identificar vulnerabilidades antaño de que puedan ser explotadas”.

Una violación de datos en un proveedor de seguridad chino llamado Knownsec ha provocado la filtración de más de 12.000 documentos clasificados, según el blog de seguridad chino MXRN, “incluida información sobre armas cibernéticas de propiedad estatal china, herramientas internas y listas de objetivos globales”. Además se dice que el riquezas aparentemente incluye evidencia de RAT que pueden ingresar a dispositivos Linux, Windows, macOS, iOS y Android, así como detalles sobre los contratos de la compañía con el gobierno chino. Según se informa, el código de Android puede extraer información de aplicaciones de transporte chinas populares y de Telegram. Además estaba presente en los datos de filtración una hoja de cálculo que enumera 80 objetivos en el extranjero que Knownsec ha atacado con éxito, adicionalmente de 95 GB de datos de inmigración obtenidos de la India, 3 TB de registros de llamadas robados del cirujano de telecomunicaciones surcoreano LG U-Plus, 459 GB de datos de planificación de carreteras obtenidos de Taiwán, contraseñas para cuentas taiwanesas de Yahoo y datos de cuentas brasileñas de LinkedIn. Actualmente no se sabe quién está detrás de las filtraciones. Hay indicios de que la filtración proviene de una antigua violación de datos de Knownsec de 2023, según NetAskari.