Fallos del firewall, malware creado por IA, trampas del navegador, CVE críticos y más

Los fallos de seguridad rara vez llegan de forma ruidosa. Se cuelan a través de herramientas confiables, problemas a medio solucionar y hábitos que la familia deja de cuestionar. El breviario de esta semana muestra ese patrón claramente.

Los atacantes se mueven más rápido que las defensas, mezclando viejos trucos con nuevos caminos. “Parcheado” ya no significa seguro y, cada día, el software sigue convirtiéndose en el punto de entrada.

Lo que sigue es un conjunto de señales pequeñas pero reveladoras. Actualizaciones breves que, en conjunto, muestran cuán rápido está cambiando el aventura y por qué no se pueden ignorar los detalles.

⚡ Amenaza de la semana

Descompostura mal parcheada explotada nuevamente en los firewalls de Fortinet — Fortinet confirmó que está trabajando para tapar completamente una vulnerabilidad de omisión de autenticación SSO de FortiCloud luego de informes de nueva actividad de explotación en firewalls completamente parcheados. “Hemos identificado una serie de casos en los que el exploit se produjo en un dispositivo que había sido completamente actualizado a la última interpretación en el momento del ataque, lo que sugirió una nueva ruta de ataque”, dijo la compañía. Se ha descubierto que la actividad explota un parche incompleto para CVE-2025-59718 y CVE-2025-59719, que podría permitir la omisión no autenticada de la autenticación de inicio de sesión SSO a través de mensajes SAML manipulados si la función FortiCloud SSO está habilitada en los dispositivos afectados. En marcha de una decisión, se recomienda a los usuarios restringir el entrada chupatintas a los dispositivos de red perimetrales y desactivar los inicios de sesión SSO de FortiCloud deshabilitando la configuración “admin-forticloud-sso-login”.

🔔 Noticiero destacadas

• TikTok forma una nueva entidad estadounidense para evitar la prohibición federal – TikTok anunció oficialmente que formó una empresa conjunta que permitirá que la popular aplicación para compartir videos continúe operando en los EE. UU. La nueva empresa, denominada TikTok USDS Joint Venture LLC, se estableció en cumplimiento de la Orden Ejecutiva firmada por el presidente de los EE. UU., Donald Trump, en septiembre de 2025, dijo la plataforma. El nuevo acuerdo permitirá a la empresa matriz china de TikTok, ByteDance, traicionar la maduro parte de su billete a un colección de inversores mayoritariamente estadounidenses, mientras que conservará una billete del 19,9% en el negocio. El gobierno chino no ha comentado públicamente sobre el acuerdo. El acuerdo pone fin a abriles de incertidumbre regulatoria que comenzaron en agosto de 2020, cuando el presidente Trump anunció planes para prohibir la aplicación, citando preocupaciones de seguridad doméstico.
• VoidLink generado casi en su totalidad utilizando IA — VoidLink, el malware de Linux descubierto recientemente y dirigido a servidores en la cúmulo basados ​​en Linux, probablemente fue generado casi en su totalidad por inteligencia químico (IA), lo que indica una progreso significativa en el uso de la tecnología para desarrollar malware progresista. Lo significativo para alertar a los investigadores sobre la billete de la IA en la construcción de VoidLink fue un plan de ampliación que acompañaba al plan y que su autor accidentalmente dejó expuesto. El desarrollador igualmente utilizó puntos de control regulares para respaldar que el maniquí se desarrollara según las instrucciones y que el código funcionara. El resultado fue un malware que los investigadores que detallaron por primera vez VoidLink describieron como “sofisticado, actual y rico en funciones”. El descubrimiento es un momento fundamental para el ampliación de malware, lo que subraya un cambio en la forma en que se puede utilizar la IA para diseñar programas maliciosos avanzados. “La comunidad de seguridad ha anticipado durante mucho tiempo que la IA sería un multiplicador de fuerza para los actores maliciosos. Sin incautación, hasta ahora, la evidencia más clara de la actividad impulsada por la IA ha surgido en gran medida en operaciones menos sofisticadas, a menudo vinculadas a actores de amenazas menos experimentados, y no ha aumentado significativamente el aventura más allá de los ataques regulares”, dijo Check Point. “VoidLink cambia esa ringlera de colchoneta: su nivel de sofisticación muestra que cuando la IA está en manos de desarrolladores capaces, puede amplificar materialmente tanto la velocidad como la escalera a la que se puede producir una capacidad ataque seria”. Desde un punto de perspectiva defensivo, el uso de la IA igualmente complica la atribución, ya que el código generado elimina muchas pistas habituales y dificulta determinar quién está positivamente detrás de un ataque.
• Detallada defecto crítica de GNU InetUtils telnetd — Se ha revelado una defecto de seguridad crítica en el demonio telnet de GNU InetUtils (telnetd) que pasó desapercibida durante casi 11 abriles. La vulnerabilidad, rastreada como CVE-2026-24061 (puntuación CVSS: 9,8), afecta a todas las versiones de GNU InetUtils desde la interpretación 1.9.3 hasta la interpretación 2.7 inclusive. La vulnerabilidad se introdujo como parte de un cambio de código en marzo de 2015. La defecto permite a un atacante establecer una sesión Telnet sin proporcionar credenciales válidas, otorgando entrada no acreditado al sistema de destino. SafeBreach Labs, en un disección de la causa raíz de CVE-2026-24061, lo describió como obediente de explotar y que un atacante puede proporcionar un indicador “-f” para el ejecutable “/usr/bin/login”, omitiendo efectivamente la autenticación interactiva y dándoles un shell raíz. Además lanzó un exploit notorio de prueba de concepto (PoC) para la defecto.
• Los ataques de Vishing se dirigen a los proveedores de identidad — Los actores de amenazas que se especializan en phishing de voz (igualmente conocido como vishing) han comenzado a usar kits de phishing personalizados que pueden interceptar las credenciales de inicio de sesión de los objetivos y al mismo tiempo permiten a los atacantes controlar el flujo de autenticación en el navegador de un heredero objetivo en tiempo verdadero. “Donde ayer los actores de amenazas podían avalar por el entrada a un kit con funciones básicas dirigido a todos los proveedores de identidad populares (Google, Microsoft Entra, Okta, etc.) y plataformas de criptomonedas, una nueva gestación de estafadores está intentando traicionar entrada a paneles personalizados para cada servicio objetivo”, dijo Okta. La lado de perturbación ShinyHunters se ha atribuido la responsabilidad de algunos de los ataques, informó Bleeping Computer.
• CrashFix bloquea los navegadores para gestar malware — Una campaña de publicidad maliciosa utiliza una extensión falsa de soledad de anuncios de Chrome y Edge citación NexShield que bloquea intencionalmente el navegador como precursor de los ataques ClickFix. A diferencia de los esquemas típicos de ClickFix que utilizan alertas de seguridad o CAPTCHA inexistentes para atraer a los usuarios a ejecutar comandos maliciosos, la nueva reforma CrashFix aprovecha una extensión maliciosa que primero bloquea intencionalmente el navegador de la víctima y luego ofrece una decisión fraudulenta. Cuando se reinicia el navegador, la extensión muestra una ventana emergente engañosa que muestra una advertencia falsa y sugiere escanear el sistema para identificar el problema. Al hacerlo, se abre una nueva ventana con una advertencia falsa sobre problemas de seguridad detectados, cercano con instrucciones sobre cómo solucionar el problema, que implican la ejecución de comandos maliciosos en el indicador Ejecutar de Windows, al estilo peculiar de ClickFix. Si adecuadamente la extensión ya se eliminó, los ataques están diseñados para ofrecer una nueva utensilio de entrada remoto basada en Python citación ModeloRAT. Los hallazgos muestran que las extensiones de navegador son un vector de ataque de stop aventura para las empresas, lo que permite a los actores de amenazas eludir los controles de seguridad tradicionales y afianzarse en los puntos finales corporativos.
• La entrevista contagiosa evoluciona para ofrecer una puerta trasera a través del código VS — Los actores de amenazas norcoreanos detrás de la campaña Contagious Interview están empleando un nuevo mecanismo que utiliza Microsoft Visual Studio Code (VS Code) para ofrecer una puerta trasera nunca ayer perspectiva que permite la ejecución remota de código en sistemas de desarrolladores. La esclavitud de ataque comienza cuando se pide a los objetivos que clonen y abran repositorios maliciosos alojados en GitHub, GitLab o Bitbucket, generalmente como parte de una tarea técnica o un control de revisión de código relacionado con el proceso de contratación. “El facilitador más importante para este vector de ataque es la propiedad runOptions de la configuración, que admite un valencia runOn de carpetaOpen, lo que hace que la tarea definida se ejecute automáticamente cuando se abre un espacio de trabajo”, dijo Abstract Security. “Los actores de Contagious Interview aprovechan esto al incluir comandos de shell maliciosos en archivos task.json. Cuando una víctima clona un repositorio en su máquina específico y lo abre en VS Code, la tarea maliciosa se ejecuta e inicia la esclavitud de infección que conduce a la instalación de malware”. Las cargas aperos maliciosas están alojadas principalmente en dominios de Vercel, pero igualmente se han identificado otros dominios como vscodeconfig(.)com y vscode-load.onrender(.)com. En al menos un caso, el archivo “tasks.json” se utiliza para instalar un paquete npm ladino llamado “jsonwebauth”. Contagious Interview ha estado activo desde 2022, dirigido principalmente a desarrolladores de software y profesionales de TI, especialmente en los sectores de blockchain y criptomonedas. Entre agosto de 2024 y septiembre de 2025 se identificaron hasta 3136 direcciones IP individuales vinculadas a posibles objetivos de la actividad de Entrevista Contagiosa, la mayoría de las cuales se concentran en el sur de Asia y América del Septentrión.

‎️‍🔥 CVE de tendencia

Los piratas informáticos actúan rápido. Pueden utilizar nuevos errores en cuestión de horas. Una aggiornamento perdida puede provocar una gran infracción. Aquí están las fallas de seguridad más graves de esta semana. Revísalos, soluciona lo que importa primero y mantente protegido.

La letanía de esta semana incluye: CVE-2026-24061 (GNU InetUtils telnetd), CVE-2026-23760 (SmarterMail), CVE-2026-20045 (Cisco Unified Communications y Webex Calling Dedicated Instance), CVE-2026-22218, CVE-2026-22219 (Chainlit), CVE-2026-1245 (analizador binario), CVE-2025-68143, CVE-2025-68144, CVE-2025-68145 (mcp-server-git antrópico), CVE-2026-22844 (Teleobjetivo), CVE-2025-13927, CVE-2025-13928, CVE-2026-0723 (GitLab CE/EE), CVE-2026-0629 (TP-Link), CVE-2025-49758 (Microsoft SQL Server), CVE-2025-47179 (Microsoft Configuration Manager), CVE-2025-60021 (Apache bRPC), CVE-2025-61937, CVE-2025-64691, CVE-2025-61943, CVE-2025-65118 (optimización de procesos AVEVA), CVE-2025-14369 (dr_flac), CVE-2026-0828 (Safetica ProcessMonitorDriver.sys), CVE-2026-0685 (motor de plantilla Genshi), CVE-2025-68675 (Apache Airflow), CVE-2025-14533 (Campos personalizados avanzados: complemento extendido), CVE-2025-13151 (GNU libtasn1), CVE-2026-0622 (componente Open5GS WebUI), CVE-2025-65586 (libheif), CVE-2025-33206 (Gráficos NVIDIA NSIGHT para Linux), CVE-2026-1220 (Google Chrome), CVE-2025-66516, CVE-2026-21962, CVE-2025-66516, CVE-2025-54988, CVE-2025-4949, CVE-2025-54874, CVE-2025-49796, CVE-2025-23048 (Oracle), CVE-2026-23744 (@mcpjam/inspector), CVE-2025-13878 (ISC BIND 9), CVE-2025-12383 (Centro de datos y servidor Atlassian Bamboo), CVE-2025-66516 (Centro de datos y servidor Atlassian Confluence), CVE-2026-22755 (modelos de cámara heredados de Vivotek), CVE-2026-22794 (AppSmith), CVE-2025-67968 (complemento RealHomes CRM), CVE-2026-23594 (HPE Alletra 6000, Alletra 5000 y Nimble Storage), CVE-2026-0920 (LA-Studio Element Kit para el complemento Elementor) y CVE-2026-22200 (osTicket).

📰 Más o menos del mundo cibernético

• 1Password agrega advertencias para sitios de phishing — El administrador de contraseñas 1Password ha apéndice una nueva característica de seguridad que advierte a los usuarios cuando se encuentran en un sitio de phishing o suplantación de identidad y se les solicita que ingresen sus credenciales. “Cuando un heredero de 1Password hace clic en un enlace cuya URL no coincide con su inicio de sesión guardado, 1Password no completará automáticamente sus credenciales”, decía. “Cuando un heredero intenta pegar sus credenciales, la extensión del navegador 1Password muestra una advertencia emergente, solicitándole que haga una pausa y tenga cuidado ayer de continuar”.
• Extensiones maliciosas de Chrome roban claves API de OpenAI y mensajes de heredero — Se descubrió que una extensión maliciosa de Google Chrome citación H-Chat Assistant (ID: dcbcnpnaccfjoikaofjgcipcfbmfkpmj) con más de 10,000 usuarios roba las claves API OpenAI de los usuarios a escalera. Se estima que ha filtrado al menos 459 claves API únicas a un canal de Telegram controlado por un atacante. “Una vez instalada la extensión, se solicita a los usuarios que agreguen una esencia API de OpenAI para interactuar con el chatbot”, dijo Obsidian Security. “La exfiltración de la esencia API ocurre una vez que un heredero elimina un chat o elige cerrar sesión en la aplicación”. Si adecuadamente la extensión funciona como se anuncia, las claves comprometidas podrían permitir el entrada no acreditado a las instancias de OpenAI de los usuarios afectados. La extensión todavía está apto para descargar al momento de escribir este artículo. Obsidian Security dijo que desde entonces ha descubierto docenas de extensiones de Chrome que envían mensajes de heredero y otros datos a servidores externos/de terceros. “Varias de las extensiones se hacen suceder por ChatGPT, creando una falsa sensación de confianza de que las conversaciones y los datos sólo se transmiten a OpenAI”, añadió.
• La extensión PasteReady impulsa el malware posteriormente de la adquisición — En más parte relacionadas con extensiones, la extensión del navegador PasteReady se ha utilizado para dirigir malware posteriormente de su puesta a la saldo. John Tuckner de Secure Anexo dijo que PasteReady estuvo apto para la saldo en extensionhub(.)io el 7 de mayo de 2025, y la transferencia de propiedad ocurrió el 27 de diciembre de 2025. “La interpretación 3.4 con malware se lanzó el 30 de diciembre de 2025”, dijo Tuckner en una publicación en X. “Se eliminó de Chrome Web Store para malware el 14 de enero de 2026”.
• Microsoft cumple con la orden contencioso de entregar una esencia de enigmático BitLocker en un caso de fraude — Microsoft entregó a la Oficina Federal de Investigaciones (FBI) de EE. UU. claves BitLocker para desbloquear datos cifrados almacenados en tres computadoras portátiles de usuarios de Windows acusados ​​en una denuncia de fraude, informó Forbes. El ampliación marca el primer caso conocido públicamente en el que Microsoft proporciona claves BitLocker. Microsoft realiza una copia de seguridad de las claves de BitLocker en sus servidores cuando el servicio se configura desde una cuenta activa de Microsoft. Si adecuadamente Microsoft ofrece la posibilidad de atesorar las claves en otro lado, como un archivo o una mecanismo flash USB, se recomienda a los clientes que las almacenen en su cúmulo para recuperarlas fácilmente. Desde entonces, la compañía ha confirmado que proporciona claves de recuperación de BitLocker para datos cifrados si recibe una orden judicial válida y el heredero ha almacenado las claves en sus servidores, y que está legalmente obligado a producir las claves almacenadas en sus servidores. Apple igualmente ofrece un servicio similar, pero con dos niveles: protección de datos tipificado y protección de datos destacamento para iCloud. Según el Referencia de solicitudes gubernamentales de datos de clientes más fresco de Microsoft, que albarca desde julio de 2024 hasta diciembre de 2024, la empresa recibió un total de 128 solicitudes de organizaciones encargadas de hacer cumplir la ley de todo el mundo. De ellos, sólo cuatro de ellos, tres en Brasil y uno en Canadá, dieron lado a la divulgación de contenidos.
• Ilya Lichtenstein quiere un trabajo en ciberseguridad — Ilya Lichtenstein, quien estuvo detrás del ataque masivo al intercambio de criptomonedas Bitfinex en 2016, dijo que ha cambiado su forma de ejecutar. “Hace diez abriles, decidí piratear el maduro intercambio de criptomonedas del mundo”, escribió Lichtenstein en LinkedIn. “Fue una idea terrible. Fue lo peor que he hecho en mi vida”, añadió. “Esto trastocó mi vida, la de personas cercanas a mí, y afectó a miles de usuarios del intercambio. Sé que decepcioné a mucha familia que creyó en mí y abusó gravemente de mis talentos”. Lichtenstein fue arrestado en 2022 por el hackeo y fue puesto en emancipación domiciliaria a principios de este mes posteriormente de cumplir casi cuatro abriles de prisión. En la publicación, Lichtenstein dijo que “siempre ha estado motivado por los desafíos técnicos más que por la riqueza material” y que las matemáticas se convirtieron en su “escape de las duras realidades del mundo carcelario”. Lichtenstein concluyó diciendo que quiere trabajar en ciberseguridad. “Pienso como un adversario”, dijo. “He sido un adversario. Ahora puedo usar esas mismas habilidades para detener el próximo ataque de mil millones de dólares”.
• Eje Asistente de Detalles Antrópicos — La empresa de inteligencia químico Anthropic ha detallado lo que describe como el “Eje Asistente”, un patrón de actividad neuronal en grandes modelos de verbo que gobierna su identidad predeterminada y su comportamiento útil. Se cree que el eje se crea durante el post-entrenamiento, cuando a los modelos se les enseña a desempeñar el papel de “Asistente”, o es probable que ya exista en modelos previamente entrenados. “Al monitorear la actividad de los modelos a lo abundante de este eje, podemos detectar cuándo comienzan a alejarse del Asistente y acercarse a otro personaje”, dijo Anthropic. “Y al restringir su actividad neuronal (“obstáculo de activación”) para evitar esta deriva, podemos estabilizar el comportamiento del maniquí en situaciones que de otro modo conducirían a resultados dañinos”.
• China incumplimiento a Taiwán por miles de ciberataques – El gobierno chino dijo que investigó casi 4.000 ataques cibernéticos en 2025 que se originaron en Taiwán. La signo representa un aumento del 25% año tras año. Los ataques buscaban robar información clasificada de sectores críticos del continente, incluidos el transporte, las finanzas, la ciencia y la tecnología y la energía. Algunas de las operaciones supuestamente fueron llevadas a límite por el ejército taiwanés.
• Rumania desmantela operación de homicidio a sueldo — Las autoridades rumanas desmantelaron un colección criminal organizado que realizaba una operación de homicidio a sueldo. El colección tenía un sitio web que permitía a usuarios anónimos avalar por asesinatos utilizando criptomonedas a través de un sistema de depósito en señal. Las autoridades ejecutaron tres órdenes de registro en los municipios de Bucarest y Râmnicu Vâlcea e interrogaron a dos personas detrás del plan. Además confiscaron más de 750.000 dólares en activos digitales y efectivo por valencia de 292.890 lei, 650.000 dólares y 48.600 euros de sus hogares.
• Irlanda propone nueva ley que permitirá a la policía utilizar software infiltrado — El gobierno irlandés planea redactar una carta que legalizaría el uso de software infiltrado por parte de las fuerzas del orden. El Ministro de Equidad, Asuntos Internos y Migración, Jim O’Callaghan, dijo que el gobierno ha aceptado propuestas para un “entorno judicial actualizado y completo para la interceptación judicial” que igualmente “incluirá salvaguardias legales sólidas para proporcionar garantías continuas de que el uso de tales poderes es necesario y proporcionado”. El profesión igualmente señaló que existe una exigencia urgente de un nuevo entorno judicial para la interceptación judicial para contrarrestar los delitos graves y las amenazas a la seguridad.
• Microsoft emerge como la marca más suplantada en el cuarto trimestre de 2025 – Microsoft se ha convertido en la marca más comúnmente suplantada en ataques de phishing durante el cuarto trimestre de 2025. A Microsoft le siguieron Facebook, Roblox, McAfee, Steam, AT&T, Amazon, Google, Yahoo y Coinbase. “Los estafadores intensificaron los ataques de suplantación de marca a lo abundante del cuarto trimestre de 2025, programando sus campañas en torno al momento en que las personas están más ocupadas en ringlera, buscando ofertas, renovando suscripciones o buscando trabajo”, dijo Guardio. “Los atacantes utilizan el gratitud de marca como arsenal, apostando a que una alerta de facturación de Microsoft o una notificación de seguridad de Facebook superarán el incredulidad cuando llegue durante las revisiones de cuentas de fin de año, el caos de coordinación de ocio o las prisas por comprar tarjetas de regalo”.
• Alemania expulsa a un diplomático ruso procesado de espionaje — Alemania expulsó a un diplomático ruso procesado de espionaje, lo que intensificó aún más las tensiones geopolíticas entre Berlín y Moscú por la actividad de inteligencia vinculada a la conflagración en Ucrania. “No aceptamos el espionaje en Alemania, y menos aún bajo el pretexto de un status diplomático. Hoy hemos convocado al embajador ruso en el Tarea Federal de Asuntos Exteriores y le hemos informado que el individuo que espió en nombre de Rusia será expulsado”, dijo el Tarea de Asuntos Exteriores tudesco. El medio tudesco Der Spiegel y el medio de comunicación independiente ruso The Insider identificaron al diplomático expulsado como Andrei Mayorov, apéndice marcial adjunto de Rusia en Alemania. Según se informa, Mayorov tiene el rango de coronel en la agencia de inteligencia marcial de Rusia, el GRU. Se alega que actuó como interlocutor de Ilona Kopylova, una ciudadana con doble ciudadanía ucraniana y alemana que fue arrestada en Berlín bajo sospecha de espiar para Rusia.
• Los malos actores secuestran los dominios de Snap Publisher para la entrega de malware — Los estafadores están secuestrando cuentas legítimas de editores de Canonical Snap Store al registrar dominios caducados asociados con esas cuentas para activar el restablecimiento de contraseñas. Una vez que tienen el control, estos atacantes envían actualizaciones maliciosas a aplicaciones establecidas y confiables para implementar malware que agota las billeteras de criptomonedas. El ataque de resurrección de dominio ha secuestrado cuentas asociadas con dos paquetes de Linux, storewise.tech y vagueentertainment.com. Se cree que los actores amenazadores detrás de esta campaña se encuentran en Croacia.
• Handala Group utiliza Starlink para ataques – Se ha observado que el colección hacktivista iraní conocido como Handala lleva a límite ataques a través de conexiones Starlink. Según Check Point, la actividad del colección cesó cuando el régimen iraní cortó Internet en todo el país, pero ha desde que se reanudó a partir del 17 de enero de 2026, desde rangos de IP de Starlink y alcanzando objetivos en todo el Medio Oriente.

• 884 Defecto explotado por primera vez en 2025 — Se explotaron hasta 884 vulnerabilidades por primera vez en 2025, frente a 768 CVE en 2024. Según la empresa de papeleo de vulnerabilidades VulnCheck, el 28,96 % de las vulnerabilidades explotadas conocidas (KEV) se utilizaron como armas el día en que se publicó su CVE o ayer, un aumento con respecto al 23,6 % observado en 2024. Los dispositivos de borde de red, incluidos los firewalls, Las VPN y los servidores proxy fueron las tecnologías más atacadas, seguidas por los sistemas de papeleo de contenidos y el software de código hendido. “Esto refuerza la aprieto de que las organizaciones actúen rápidamente sobre las vulnerabilidades recientemente reveladas y al mismo tiempo sigan reduciendo los retrasos en las vulnerabilidades de larga data”, dijo VulnCheck.
• Dos venezolanos condenados en EE.UU. por utilizar malware para piratear cajeros automáticos — Dos ciudadanos venezolanos, Luz Granados, de 34 abriles, y Johan González-Jiménez, de 40, serán deportados posteriormente de acaecer sido declarados culpables de conspiración y delitos informáticos en un plan de fraude en cajeros automáticos. “Jiménez y Granados atacaron cajeros automáticos (ATM) de modelos antiguos en todo el sureste de Estados Unidos para robar plata fuera del horario comercial”, dijo el Área de Equidad de Estados Unidos. “Los acusados ​​se acercaban a un cajero automotriz por la sombra y quitaban la carcasa extranjero de la máquina y luego conectaban una computadora portátil para instalar malware que superaba los protocolos de seguridad del cajero automotriz. Una vez instalados, los cajeros automáticos dispersaban plata en efectivo a los perpetradores hasta que se agotaban los fondos del cajero automotriz”. Granados ha sido sentenciado a tiempo cumplido y se le ha regular avalar $126,340 en restitución. González-Jiménez fue sentenciado a 18 meses en una prisión federal y se le ordenó avalar $285,100 en restitución.
• Un ciudadano ruso se declara culpable de una ola de ransomware — Un ciudadano ruso se declaró culpable de liderar el colección de ransomware Zeppelin que atacó al menos a 50 víctimas durante un período de cuatro abriles que finalizó entre mayo de 2018 y agosto de 2022. Ianis Aleksandrovich Antropenko enfrenta hasta 25 abriles de calabozo y multas de hasta 750.000 dólares, informó CyberScoop. Además se le ordenó avalar restitución a sus víctimas y confiscar propiedades, informó CyberScoop. En agosto de 2025, el Área de Equidad de EE. UU. abrió seis órdenes de arresto que autorizaban la incautación de más de 2,8 millones de dólares en criptomonedas, 70.000 dólares en efectivo y un transporte de boato. La criptomoneda fue incautada de una billetera controlada por Antropenko.
• Fallos de seguridad críticos en OpenKM — Se han revelado múltiples vulnerabilidades de día cero en OpenKM que podrían resultar en la ejecución remota de código, ejecución de SQL sin restricciones y divulgación de archivos. Los fallos siguen sin parchearse, según Terra System Labs. “Los problemas descubiertos permiten que un único administrador autenticado comprometa completamente el servidor OpenKM, la colchoneta de datos backend y los documentos confidenciales almacenados”, dijo la compañía india de ciberseguridad. “Los hallazgos resaltan las debilidades del diseño de seguridad sistémica en interfaces administrativas confiables y demuestran cómo estas fallas pueden encadenarse para conquistar una toma completa del sistema”.
• Resolución de inyección de comando en el firmware heredado de Vivotek — Akamai ha revelado detalles de una nueva vulnerabilidad en el interior del firmware heredado de Vivotek que permite a usuarios remotos inyectar código abusivo en el nombre de archivo proporcionado a upload_map.cgi. Al problema de seguridad se le ha asignado el identificador CVE CVE-2026-22755 (puntuación CVSS: 9,3). “Este exploit afecta a una amplia matiz de modelos de cámaras antiguos, permitiendo a los atacantes ejecutar comandos maliciosos como heredero root sin exigencia de autenticación”, dijo el investigador de seguridad Larry Cashdollar. “Permite a los atacantes cargar archivos con nombres que, cuando son procesados ​​por el servidor, ejecutan comandos del sistema y dan como resultado entrada raíz”.
• Kit Mamba PhaaS detallado – Los investigadores de ciberseguridad han arrojado luz sobre un kit de phishing como servicio (PhaaS) llamado Mamba que surgió por primera vez en 2023 coincidiendo con la emergencia del phishing del adversario en el medio (AiTM). “Las campañas asociadas con las operaciones de phishing de Mamba se entregan más comúnmente a través de señuelos basados ​​en correo electrónico diseñados para arrostrar a la víctima directamente a la URL de phishing”, dijo CYFIRMA. “Estos señuelos normalmente se hacen suceder por comunicaciones comerciales rutinarias o relacionadas con la seguridad para crear aprieto y licitud. El diseño de Mamba refleja una creciente dependencia de herramientas de phishing basadas en servicios, donde la eficiencia operativa y la repetibilidad se priorizan sobre el ampliación de ataques personalizados”.
• El nuevo kit Stanley garantiza la aprobación de Chrome Web Store — Un actor de amenazas está vendiendo entrada a un conjunto de herramientas denominado Stanley que puede crear extensiones maliciosas de Chrome que pasan el proceso de demostración de la Tienda Web. “Por entre 2.000 y 6.000 dólares, Stanley ofrece una operación zancadilla en mano de suplantación de sitios web disfrazada de extensión de Chrome, con su nivel premium que promete publicación garantizada en Chrome Web Store”, dijo el investigador de Varonis, Daniel Kelley. El conjunto de herramientas se vende en un foro de piratería de deje rusa a precios que oscilan entre 2.000 y 6.000 dólares. Viene con un panel C2 que permite a los clientes identificar infecciones individuales para acciones específicas. “Una vez que se selecciona un objetivo, los atacantes configuran reglas de secuestro de URL específicas para ese heredero”, dijo Varonis. “Más allá del secuestro pasivo, los operadores pueden atraer activamente a los usuarios a páginas específicas mediante la entrega de notificaciones en tiempo verdadero. Las notificaciones provienen del propio Chrome, no de un sitio web, por lo que conllevan una confianza más implícita”.
• Estudio del compromiso de la esclavitud de suministro de EmEditor — El ataque a la esclavitud de suministro de diciembre de 2025 dirigido a EmEditor permitió a actores de amenazas desconocidos distribuir un malware de varias etapas capaz de robar credenciales, exfiltración de datos e intrusión posterior mediante movimiento anexo, al mismo tiempo que tomaban medidas para eludir la detección al deshabilitar el seguimiento de eventos para Windows. “EmEditor goza de un gratitud duradero en el interior de las comunidades de desarrolladores japonesas como un editor recomendado basado en Windows”, afirmó Trend Micro. “Esto sugiere que los atacantes están apuntando a esta colchoneta de usuarios específica, o que tienen un objetivo particular entre los usuarios de EmEditor y utilizaron la página de descarga comprometida como mecanismo de entrega”. Se ha descubierto que el malware excluye sistemas ubicados en Armenia, Bielorrusia, Georgia, Kazajstán y Kirguistán, lo que sugiere que podrían ser de origen ruso o de la Comunidad de Estados Independientes (CEI).
• Forzar de Azure Private Link para ceder a fortuna de Azure — Una nueva investigación ha descubierto que ciertas configuraciones de la cimentación de punto final privado de Microsoft Azure podrían explotarse para realizar ataques de denegación de servicio (DoS) contra fortuna de Azure. La Dispositivo 42 de Palo Suspensión Networks dijo que más del 5% de las cuentas de almacenamiento de Azure operan actualmente con configuraciones que están sujetas a este problema de DoS. “Por ejemplo, desmentir el servicio a las cuentas de almacenamiento podría provocar que fallaran las funciones de Azure en el interior de FunctionApps y las actualizaciones posteriores de estas aplicaciones”, dijo la compañía de ciberseguridad. “En otro decorado, el aventura podría provocar una DoS en Key Vaults, lo que tendría un meta dominó en los procesos que dependen de secretos en el interior de la cúpula”. Para contrarrestar los ataques, se recomienda habilitar el respaldo a la resolución DNS pública y ampliar manualmente registros DNS para los fortuna afectados.

🎥 Seminarios web sobre ciberseguridad

• La ciencia forense de la cúmulo no funciona. Esto es lo que funciona ahora → Los ataques a la cúmulo se mueven rápidamente y a menudo dejan poca evidencia. Este seminario web explica cómo la ciencia forense de la cúmulo moderna utiliza datos a nivel de host e inteligencia químico para ayudar a los equipos de seguridad a comprender qué sucedió, cómo sucedió y contestar más rápido en los entornos de cúmulo actuales.
• Cómo construir un SOC más inteligente sin ampliar más herramientas → Los equipos de seguridad están al linde, con demasiadas herramientas y muy poca claridad. Este seminario web analiza cómo funcionan positivamente los SOC modernos y se centra en opciones prácticas sobre qué construir, comprar y automatizar, sin exageraciones. Es para equipos que buscan tomar decisiones más inteligentes con las herramientas y fortuna que ya tienen.
• Cuando el enigmático de hoy no será suficiente mañana → La computación cuántica está pasando de la teoría a la verdad y cambiará el funcionamiento de la seguridad de los datos. La información que hoy está cifrada puede romperse en el futuro utilizando sistemas más potentes. Este seminario web ayuda a los líderes de seguridad a comprender lo que significa ese aventura en términos prácticos y cómo comenzar a prepararse ahora, utilizando enfoques claros y reales que protejan los datos sin interrumpir los sistemas existentes.

🔧 Herramientas de ciberseguridad

• NetAlertX: es una utensilio sencilla que le ayuda a ver qué dispositivos están conectados a su red. Mantiene una letanía activa de computadoras, teléfonos, servidores y otro hardware, y muestra cuando aparece o cambia poco nuevo. Esto lo hace útil para detectar dispositivos desconocidos, rastrear activos y estar al tanto de lo que sucede en su red sin utilizar herramientas de seguridad pesadas o complejas.
• RzWeb: es una forma sencilla de agenciárselas en el interior de archivos de software sin instalar ninguna utensilio. Se ejecuta completamente en su navegador web, por lo que puede rasgar un archivo y comenzar a examinar cómo funciona de inmediato. Todo sucede en su propia máquina, lo que lo hace útil para verificaciones, formación o disección rápidos cuando no desea configurar un entorno completo de ingeniería inversa.

Descargo de responsabilidad: estas herramientas son solamente para formación e investigación y no han sido sometidas a pruebas de seguridad completas. Revise el código detenidamente, utilícelo solamente en entornos seguros y siga todas las normas y leyes aplicables.

Conclusión

Esta estampación deja una cosa clara: el aventura ahora reside en las herramientas cotidianas y en las elecciones normales. Pespunte con pequeños huecos.

Ninguna de estas historias está sola. Señalan un patrón más amplio en el que la velocidad importa y los retrasos cuestan daños reales. Trate esta letanía como una instantánea. Los detalles cambiarán. La presión no lo hará.