F5 violado, rootkits de Linux, ataque Pixnapping, EtherHiding y más

Es claro pensar que tus defensas son sólidas, hasta que te das cuenta de que los atacantes han estado interiormente de ellas todo el tiempo. Los últimos incidentes muestran que las infracciones silenciosas y duraderas se están convirtiendo en la norma. La mejor defensa ahora no es solo parchear rápidamente, sino observar de guisa más inteligente y mantenerse alerta frente a lo que no aplazamiento.

A continuación presentamos un vistazo rápido a las principales amenazas, nuevas tácticas e historias de seguridad de esta semana que dan forma al panorama.

⚡ Amenaza de la semana

F5 expuesto a la violación del Estado-nación — F5 reveló que actores de amenazas no identificados irrumpieron en sus sistemas y robaron archivos que contenían parte del código fuente de BIG-IP e información relacionada con vulnerabilidades no reveladas en el producto. La compañía dijo que se enteró del incidente el 9 de agosto de 2025, aunque se cree que los atacantes estuvieron en su red durante al menos 12 meses. Se dice que los atacantes utilizaron una grupo de malware señal BRICKSTORM, que se atribuye a un categoría de espionaje del trabazón con China denominado UNC5221. GreyNoise dijo que observó una actividad de escaneo elevada dirigida a BIG-IP en tres oleadas el 23 de septiembre, 14 de octubre y 15 de octubre de 2025, pero enfatizó que las anomalías pueden no necesariamente estar relacionadas con el hack. Censys dijo que identificó más de 680.000 balanceadores de carga y puertas de enlace de aplicaciones F5 BIG-IP visibles en la Internet pública, con la mayoría de los hosts ubicados en los EE. UU., seguidos por Alemania, Francia, Japón y China. No todos los sistemas identificados son necesariamente vulnerables, pero cada uno representa una interfaz de paso manifiesto que debe ser inventariada, restringida el paso y parcheada de guisa proactiva como medida de precaución. “Los proveedores de seguridad e infraestructura de borde siguen siendo objetivos principales para los actores de amenazas a liberal plazo, a menudo vinculados al estado”, dijo John Fokker, vicepresidente de táctica de inteligencia de amenazas de Trellix. “A lo liberal de los abriles, hemos conocido interés de los Estados-nación en explotar las vulnerabilidades en los dispositivos de punta, reconociendo su posición estratégica en las redes globales. Incidentes como estos nos recuerdan que vigorizar la resiliencia colectiva requiere no sólo tecnología reforzada sino incluso colaboración abierta e intercambio de inteligencia en toda la comunidad de seguridad”.

🔔 Noticiario destacadas

• Corea del Boreal utiliza EtherHiding para ocultar malware interiormente de contratos inteligentes de blockchain – Se ha observado que los actores de amenazas de Corea del Boreal aprovechan la técnica EtherHiding para distribuir malware y permitir el robo de criptomonedas, lo que marca la primera vez que un categoría de piratería patrocinado por el estado adopta el método. La actividad se ha atribuido a un categoría rastreado como UNC5342 (incluso conocido como Famous Chollima). La ola de ataques es parte de una campaña de larga duración cuyo nombre en código es Contagious Interview, en la que los atacantes se acercan a objetivos potenciales en LinkedIn haciéndose acaecer por reclutadores o gerentes de contratación, y los engañan para que ejecuten código taimado con el pretexto de una evaluación sindical a posteriori de cambiar la conversación a Telegram o Discord. En las últimas oleadas de ataques observadas desde febrero de 2025, los actores de amenazas utilizan un descargador de JavaScript que interactúa con un convenio inteligente BSC taimado para descargar JADESNOW, que después consulta el historial de transacciones asociado con una dirección de Ethereum para recuperar la interpretación JavaScript de InvisibleFerret.
• LinkPro Linux Rootkit detectado en la naturaleza — Una investigación sobre el compromiso de una infraestructura alojada en Amazon Web Services (AWS) condujo al descubrimiento de un nuevo rootkit GNU/Linux denominado LinkPro. La puerta trasera presenta funcionalidades que dependen de la instalación de dos módulos extendidos de Berkeley Packet Filter (eBPF) para ocultarse y activarse de forma remota al aceptar un paquete mágico: un paquete TCP SYN con un tamaño de ventana específico (54321) que indica al rootkit que espere más instrucciones interiormente de una ventana de una hora, lo que le permite eludir las defensas de seguridad tradicionales. Los comandos admitidos por LinkPro incluyen ejecutar /bin/bash en un pseudo-terminal, ejecutar un comando de shell, enumerar archivos y directorios, realizar operaciones con archivos, descargar archivos y configurar un túnel proxy SOCKS5. Actualmente no se sabe quién está detrás del ataque, pero se sospecha que los actores de la amenaza tienen motivaciones financieras.
• La campaña Zero Disco se dirige a dispositivos Cisco con rootkits — Una nueva campaña ha explotado una equivocación de seguridad revelada recientemente que afecta al software Cisco IOS y al software IOS XE para implementar rootkits de Linux en sistemas más antiguos y desprotegidos. La actividad, denominada Operación Cero Disco por Trend Micro, implica la utilización de CVE-2025-20352 (puntuación CVSS: 7,7), una vulnerabilidad de desbordamiento de pila en el subsistema del Protocolo simple de suministro de red (SNMP) que podría permitir que un atacante remoto autenticado ejecute código subjetivo enviando paquetes SNMP diseñados a un dispositivo susceptible. La operación afectó principalmente a los dispositivos de las series Cisco 9400, 9300 y 3750G heredados, dijo Trend Micro. Las intrusiones no se han atribuido a ningún actor o categoría de amenazas conocido.
• El ataque Pixnapping conduce al robo de datos en dispositivos Android — Se ha descubierto que los dispositivos Android de Google y Samsung son vulnerables a un ataque de canal vecino que podría explotarse para robar de forma ajuste códigos de autenticación de dos factores (2FA), líneas de tiempo de Google Maps y otros datos confidenciales sin el conocimiento de los usuarios, píxel por píxel. El ataque recibió el nombre en código Pixnapping. Google está rastreando el problema con el identificador CVE CVE-2025-48561 (puntuación CVSS: 5,5). El gigantesco tecnológico publicó parches para la vulnerabilidad como parte de su Boletín de seguridad de Android de septiembre de 2025, y se publicarán correcciones adicionales en diciembre.
• Actores de amenazas chinos explotaron ArcGIS Server como puerta trasera – A los actores de amenazas con vínculos con China se les ha atribuido una campaña novedosa que comprometió un sistema ArcGIS y lo convirtió en una puerta trasera durante más de un año. La actividad es obra de un categoría de piratería patrocinado por el estado chino llamado Flax Typhoon, al que incluso se le sigue como Ethereal Panda y RedJuliett. “El categoría modificó inteligentemente la extensión de objetos del servidor Java (SOE) de una aplicación de mapas geográficos para convertirla en un shell web cómodo”, dijo ReliaQuest. “Al rodear el paso con una secreto codificada para un control exclusivo e incorporarla en las copias de seguridad del sistema, lograron una persistencia profunda y a liberal plazo que podría sobrevivir a una recuperación completa del sistema”. La sujeción de ataque involucró a los actores de la amenaza dirigidos a un servidor ArcGIS manifiesto que estaba vinculado a un servidor ArcGIS interno privado al comprometer una cuenta de administrador del portal para implementar un SOE taimado, permitiéndoles así mezclarse con el tráfico común y surtir el paso durante períodos prolongados. Luego, los atacantes ordenaron al servidor manifiesto que creara un directorio oculto que sirviera como “espacio de trabajo privado” del categoría. Asimismo bloquearon el paso a otros atacantes y administradores con una secreto codificada. Los hallazgos demuestran el modus operandi consistente de Flax Typhoon de retornar silenciosamente las propias herramientas de una ordenamiento contra sí misma en zona de utilizar malware o exploits sofisticados.

‎️‍🔥 CVE de tendencia

Los piratas informáticos se mueven rápido. A menudo explotan nuevas vulnerabilidades en cuestión de horas, convirtiendo un único parche perdido en una brecha importante. Un CVE sin parches puede ser todo lo que se necesita para alcanzar un compromiso total. A continuación se muestran las vulnerabilidades más críticas de esta semana que están atrayendo la atención en toda la industria. Revíselos, priorice sus correcciones y obstrucción la brecha antiguamente de que los atacantes se aprovechen.

La relación de esta semana incluye: CVE-2025-24990, CVE-2025-59230 (Microsoft Windows), CVE-2025-47827 (IGEL OS antedicho al 11), CVE-2023-42770, CVE-2023-40151 (Red Lion Sixnet RTU), CVE-2025-2611 (ICTBroadcast), CVE-2025-55315 (Microsoft ASP.NET Core), CVE-2025-11577 (firmware Clevo UEFI), CVE-2025-37729 (Elastic Cloud Enterprise), CVE-2025-9713, CVE-2025-11622 (Ivanti Endpoint Manager), CVE-2025-48983, CVE-2025-48984 (Veeam), CVE-2025-11756 (Google Chrome), CVE-2025-49201 (Fortinet FortiPAM y FortiSwitch Manager), CVE-2025-58325 (Fortinet FortiOS CLI), CVE-2025-49553 (paquete de colaboración Adobe Connect), CVE-2025-9217 (complemento Slider Revolution), CVE-2025-10230 (Samba), CVE-2025-54539 (Apache ActiveMQ), CVE-2025-41703, CVE-2025-41704, CVE-2025-41706, CVE-2025-41707 (Phoenix Contact QUINT4) y CVE-2025-11492, CVE-2025-11493 (ConnectWise Automate).

📰 En torno a del mundo cibernético

• Microsoft presenta nuevas mejoras de seguridad – Microsoft reveló que “partes del kernel de Windows 11 se han reescrito en Rust, lo que ayuda a mitigar las vulnerabilidades de corrupción de la memoria, como los desbordamientos del búfer, y ayuda a sujetar las superficies de ataque”. La compañía incluso señaló que está tomando medidas para proteger las experiencias de agente impulsadas por IA en el sistema activo asegurándose de que operen con permisos limitados y solo obtengan paso a los fortuna a los que los usuarios otorgan permiso explícitamente. Por otra parte, Microsoft dijo que los agentes que se integran con Windows deben estar firmados criptográficamente por una fuente confiable para que puedan ser revocados si se descubre que son maliciosos. Cada agente de IA incluso se ejecutará bajo su propia cuenta de agente dedicada que es distinta de la cuenta de afortunado en el dispositivo. “Esto facilita la aplicación de políticas específicas para agentes que pueden ser diferentes de las reglas aplicadas a otras cuentas como las de usuarios humanos”, dijo.
• La campaña de SEO utiliza instaladores falsos de Ivanti para robar credenciales — Una nueva campaña de ataque ha estudioso el envenenamiento de SEO para atraer a los usuarios a descargar una interpretación maliciosa del cliente Ivanti Pulse Secure VPN. La actividad se dirige a usuarios que buscan software probado en motores de búsqueda como Bing, redireccionándolos a sitios web similares controlados por atacantes (ivanti-pulsesecure(.)com o ivanti-secure-access(.)org). El objetivo de este ataque es robar las credenciales de VPN de la máquina de la víctima, lo que permite un longevo compromiso. “El instalador taimado, un archivo MSI firmado, contiene una DLL de robo de credenciales diseñada para circunscribir, analizar y filtrar detalles de la conexión VPN”, dijo Zscaler. “El malware se dirige específicamente al archivo Connectionstore.dat para robar los URI guardados del servidor VPN, que combina con credenciales codificadas para la exfiltración. Los datos se envían a un servidor de comando y control (C2) alojado en la infraestructura de Microsoft Azure”.
• Los vínculos de Qilin con los proveedores de BPH al descubierto — Los investigadores de ciberseguridad de Resecurity examinaron la “estrecha afiliación” del categoría de ransomware Qilin con los operadores de alojamiento clandestino a prueba de balas (BPH), y descubrieron que el actor del crimen electrónico no solo ha confiado en Cat Technologies Co. Limited. (que, a su vez, está alojado en una dirección IP vinculada al Conjunto Aeza) por meter su sitio de fuga de datos, pero incluso publicitó servicios como BEARHOST Servers (incluso conocido como Underground) en su sitio WikiLeaksV2, donde el categoría publica contenido sobre sus actividades. BEARHOST ha estado activo desde 2016 y ofrece sus servicios por entre $ 95 y $ 500. Si adecuadamente BEARHOST anunció abruptamente la interrupción de su servicio el 28 de diciembre de 2024, se evalúa que los actores de amenazas han llevado el servicio BPH al modo privado, atendiendo sólo a actores clandestinos confiables y examinados. El 8 de mayo de 2025, resurgió como Voodoo Servers, solo para que los operadores cancelaran el servicio nuevamente alrededor de fin de mes, alegando razones políticas. “Los actores decidieron desaparecer mediante un ambiente de ‘estafa de salida’, manteniendo a la audiencia clandestina completamente despistada”, dijo Resecurity. “En particular, las entidades jurídicas detrás del servicio continúan sus operaciones”. En particular, Cat Technologies Co. Limited. incluso comparte enlaces a entidades oscuras como Red Bytes LLC, Hostway, Starcrecium Limited y Chang Way Technologies Co. Limited, la última de las cuales se ha asociado con una amplia actividad de malware y aloja servidores de comando y control (C2) de Amadey, StealC y Cobalt Strike utilizados por los ciberdelincuentes. Otra entidad digna de mención es Next Limited, que comparte la misma dirección de Hong Kong que Chang Way Technologies Co. Limited y se le ha atribuido actividad maliciosa en relación con Proton66.
• Sentenciador estadounidense prohíbe al categoría NSO atacar WhatsApp — Un árbitro estadounidense prohibió a NSO Group atacar a los usuarios de WhatsApp y redujo el veredicto de indemnización punitiva otorgado a Meta por un cuerpo en mayo de 2025 a 4 millones de dólares, porque el tribunal no tenía pruebas suficientes para determinar que el comportamiento de NSO Group era “particularmente atroz”. La orden procesal permanente dictada por la jueza de distrito estadounidense Phyllis Hamilton significa que el proveedor israelí no puede utilizar WhatsApp como forma de infectar los dispositivos de sus objetivos. Como recordatorio, Meta demandó al Conjunto NSO en 2019 por el uso del software agente Pegasus al explotar una equivocación de día cero en la aplicación de transporte para espiar a 1.400 personas de 20 países, incluidos periodistas y activistas de derechos humanos. Fue multada con cerca de 168 millones de dólares a principios de mayo. La orden procesal propuesta requiere que NSO Group elimine y destruya el código informático relacionado con las plataformas de Meta, y concluyó que la disposición es “necesaria para evitar futuras violaciones, especialmente dada la naturaleza indetectable de la tecnología de los acusados”.
• La iniciativa Privacy Sandbox de Google está oficialmente muerta – En 2019, Google lanzó una iniciativa señal Privacy Sandbox para idear alternativas que mejoren la privacidad y reemplacen las cookies de terceros en la web. Sin requisa, poliedro que la empresa abandonó sus planes de desaprobar las cookies de seguimiento de terceros, el plan parece estar llegando a su fin. Con ese fin, el gigantesco tecnológico dijo que retirará las siguientes tecnologías Privacy Sandbox citando bajos niveles de apadrinamiento: Attribution Reporting API (Chrome y Android), protección IP, personalización en el dispositivo, agregación privada (incluido almacenamiento compartido), audiencia protegida (Chrome y Android), señales de aplicaciones protegidas, conjuntos de sitios web relacionados (incluido requestStorageAccessFor y partición de sitios web relacionados), SelectURL, tiempo de ejecución de SDK y temas (Chrome y Android). En una explicación compartida con Adweek, la compañía dijo que continuará trabajando para mejorar la privacidad en Chrome, Android y la web, pero no bajo la marca Privacy Sandbox.
• Rusia bloquea tarjetas SIM extranjeras — Rusia dijo que está tomando medidas para rodear temporalmente Internet móvil para tarjetas SIM extranjeras, citando razones de seguridad doméstico. La nueva norma impone un separación obligatorio de Internet móvil las 24 horas para cualquier persona que ingrese a Rusia con una polímero SIM extranjera.
• Se revela una equivocación en los encabezados CORS en los navegadores web — El Centro de Coordinación CERT (CERT/CC) reveló detalles de una vulnerabilidad en los encabezados de intercambio de fortuna entre orígenes (CORS) en Chromium, Google Chrome, Microsoft Edge, Safari y Firefox que permite manipular la política CORS. Esto se puede combinar con técnicas de vinculación de DNS para emitir solicitudes arbitrarias a servicios que escuchan en puertos arbitrarios, independientemente de la política CORS implementada por el objetivo. “Un atacante puede utilizar un sitio taimado para ejecutar una carga útil de JavaScript que envía periódicamente encabezados CORS para preguntar al servidor si la solicitud de origen cruzado es segura y está permitida”, explicó CERT/CC. “Lógicamente, el nombre de host controlado por el atacante responderá con encabezados CORS permisivos que eludirán la política CORS. Luego, el atacante realiza un ataque de revinculación de DNS para que al nombre de host se le asigne la dirección IP del servicio objetivo. A posteriori de que el DNS responda con la dirección IP modificada, el nuevo objetivo hereda la política CORS relajada, lo que permite a un atacante potencialmente exfiltrar datos del objetivo”. Mozilla está rastreando la vulnerabilidad como CVE-2025-8036.
• Las campañas de phishing utilizan el logotipo de Microsoft para estafas de soporte técnico — Los actores de amenazas están explotando el nombre y la marca de Microsoft en correos electrónicos de phishing para atraer a los usuarios a estafas fraudulentas de soporte técnico. Los mensajes contienen enlaces que, al hacer clic, llevan a las víctimas a un desafío CAPTCHA espurio, a posteriori de lo cual son redirigidas a una página de inicio de phishing para desencadenar la próximo etapa del ataque. “A posteriori de acaecer la comprobación del captcha, la víctima de repente se sobrecarga visualmente con varias ventanas emergentes que parecen ser alertas de seguridad de Microsoft”, dijo Cofense. “Su navegador es manipulado para que parezca bloqueado y pierden la capacidad de circunscribir o controlar su mouse, lo que aumenta la sensación de que el sistema está comprometido. Esta pérdida involuntaria de control crea una experiencia falsa de ransomware, lo que lleva al afortunado a creer que su computadora está bloqueada y a tomar medidas inmediatas para remediar la infección”. Desde allí, se indica a los usuarios que llamen a un número para comunicarse con el soporte técnico de Windows, donde se les conecta con un técnico espurio para sobrellevar delante el ataque. “El actor de la amenaza podría explotar aún más pidiendo al afortunado que proporcione credenciales de cuenta o persuadiéndolo para que instale herramientas de escritorio remoto, permitiéndole paso completo a su sistema”, dijo la compañía.
• Contribuyentes y conductores víctimas de estafas de reembolsos y de peaje de carreteras — Una campaña de smishing aprovechó al menos 850 nombres de dominio recién registrados en septiembre y principios de octubre para dirigirse a personas que viven en los EE. UU., el Reino Unido y otros lugares con enlaces de phishing que utilizan reembolsos de impuestos, peajes de carreteras o entregas fallidas de paquetes como señuelo. Los sitios web, diseñados para cargarse sólo cuando se inician desde un dispositivo móvil, afirman proporcionar información sobre el estado de su reembolso de impuestos u obtener un subsidio de hasta £300 para ayudar a compensar los costos de combustible en invierno (nota: esta es una iniciativa auténtico del gobierno del Reino Unido), solo para pedirles que proporcionen datos personales como nombre, domicilio, número de teléfono y dirección de correo electrónico, así como información de la polímero de suscripción. Los datos ingresados ​​se filtran a los atacantes a través del protocolo WebSocket. Asimismo se ha descubierto que algunos de los sitios web fraudulentos se dirigen a residentes y visitantes canadienses, alemanes y españoles, según Netcraft.
• La nueva función de collage de Meta puede usar fotos en el carrete de la cámara del teléfono — Meta está lanzando oficialmente una nueva función de suscripción para los usuarios de Facebook en EE. UU. y Canadá para sugerir las mejores fotos y videos del carrete de la cámara de los usuarios y crear collages y ediciones. “Con su permiso y la ayuda de la IA, nuestra nueva característica permite a Facebook revelar automáticamente gemas ocultas (esos momentos memorables que se pierden entre capturas de pantalla, recibos e instantáneas aleatorias) y editarlas para guardarlas o compartirlas”, dijo la compañía. La función se probó por primera vez a finales de junio de 2025. La empresa de redes sociales enfatizó que las sugerencias son privadas y que no utiliza medios obtenidos de los dispositivos de los usuarios a través del carrete de la cámara para entrenar sus modelos, a menos que los usuarios opten por editar los medios con sus herramientas de inteligencia fabricado o transmitir esas sugerencias en Facebook. Los usuarios que deseen excluirse de la función pueden hacerlo navegando a Configuración y Privacidad > Configuración > Preferencias > Sugerencias para compartir carretes.
• Los sitios falsos Homebrew, TradingView y LogMeIn sirven malware usurero dirigido a Mac — Los actores de amenazas están empleando tácticas de ingeniería social para engañar a los usuarios para que visiten sitios web falsos que se hacen acaecer por plataformas confiables como Homebrew, TradingView y LogMeIn, donde se les indica que copien y ejecuten un comando taimado en la aplicación Terminal como parte de ataques estilo ClickFix, lo que resulta en la implementación de malware usurero como Atomic Stealer y Odyssey Stealer. “Se identificaron más de 85 dominios de phishing, conectados a través de certificados SSL compartidos, servidores de carga útil e infraestructura reutilizada”, dijo Hunt.io. “Los hallazgos sugieren una campaña coordinada y continua en la que los operadores adaptan continuamente su infraestructura y tácticas para surtir la persistencia y eludir la detección interiormente del ecosistema macOS”. Se sospecha que los usuarios llegan a estos sitios web a través de anuncios patrocinados en motores de búsqueda como Bing y Google.
• El organismo holandés de control de la protección de datos multa a Experian con 3,2 millones de dólares por violaciones de la privacidad — La Autoridad Holandesa de Protección de Datos (DPA) impuso una multa de 2,7 millones de euros (3,2 millones de dólares) a Experian Holanda por compendiar datos en contravención del Reglamento Caudillo de Protección de Datos (GDPR) de la UE. La DPA dijo que la compañía de informes crediticios del consumidor recopiló información sobre personas de fuentes públicas y privadas y no dejó claro por qué era necesaria la compilación de ciertos datos. Por otra parte de la puro, se aplazamiento que Experian elimine la colchoneta de datos de datos personales antiguamente de fin de año. La empresa incluso ha cesado sus operaciones en el país. “Hasta el 1 de enero de 2025, Experian proporcionaba evaluaciones crediticias sobre individuos a sus clientes”, dijo la DPA. “Para ello, la empresa recopiló datos como comportamientos de suscripción negativos, deudas pendientes o quiebras. La AP descubrió que Experian violó la ley al utilizar ilegalmente datos personales”.
• Los actores de amenazas envían alertas falsas de infracción del administrador de contraseñas — Los malos actores envían alertas de phishing afirmando que sus cuentas de administrador de contraseñas para 1Password y Lastpass han sido comprometidas para engañar a los usuarios para que proporcionen sus contraseñas y secuestrar sus cuentas. En respuesta al ataque, LastPass dijo que no ha sido pirateado y que es un intento por parte de los atacantes de crear una falsa sensación de aprieto. En algunos casos detectados por Bleeping Computer, incluso se descubrió que la actividad insta a los destinatarios a instalar una interpretación más segura del administrador de contraseñas, lo que resulta en la implementación de un software probado de paso remoto llamado Syncro. Desde entonces, el proveedor de software ha decidido cerrar las cuentas maliciosas para evitar futuras instalaciones.
• SocGholish MaaS detallado — LevelBlue ha publicado un investigación de un categoría de actividad de amenazas conocido como SocGholish (incluso conocido como FakeUpdates), que se sabe que está activo desde 2017, aprovechando mensajes falsos de modernización del navegador web en sitios web comprometidos como señuelo para distribuir malware. Las víctimas generalmente son enrutadas a través de sistemas de distribución de tráfico (TDS) como Keitaro y Parrot TDS para filtrar a los usuarios en función de factores específicos como cosmografía, tipo de navegador o configuración del sistema, asegurando que solo los objetivos previstos estén expuestos a la carga útil. Se ofrece bajo un malware como servicio (MaaS) por un categoría de cibercrimen con motivación financiera llamado TA569. SocGholish destaca por su capacidad para convertir sitios web legítimos en plataformas de distribución de malware a gran escalera. Al comportarse como intermediario de paso original (IAB), sus operaciones se benefician de los compromisos posteriores de otros actores. “Una vez ejecutado, sus cargas aperos van desde cargadores y ladrones hasta ransomware, lo que permite una amplia explotación de seguimiento”, dijo LevelBlue. “Esta combinación de amplio difusión, mecanismos de entrega simples y uso flexible por parte de múltiples grupos hace de SocGholish una amenaza persistente y peligrosa en todas las industrias y regiones”. Uno de sus usuarios principales es Evil Corp, y el malware incluso se utilizó para entregar RansomHub a principios de 2025.

🎥 Seminarios web sobre ciberseguridad

• El entorno práctico para administrar a los agentes de IA sin frenar la innovación → La IA está cambiando todo rápidamente, pero para la mayoría de los equipos de seguridad, todavía parece una lucha simplemente mantenerse al día. El objetivo no es frenar la innovación con más controles; es para hacer que esos controles funcionen para el negocio. Al incorporar la seguridad a la IA desde el principio, puede convertir lo que solía ser un cuello de botella en un cierto acelerador del crecimiento y la confianza.
• El futuro de la IA en GRC: convertir el peligro en una preeminencia de cumplimiento: la IA está cambiando rápidamente la forma en que las empresas gestionan el peligro y el cumplimiento. Trae grandes oportunidades pero incluso nuevos desafíos. Este seminario web le muestra cómo utilizar la IA de forma segura y eficaz en GRC, evitar errores comunes y convertir reglas complejas en una verdadera preeminencia empresarial.
• Claridad del flujo de trabajo: cómo combinar la IA y el esfuerzo humano para obtener resultados reales: demasiados equipos se apresuran a “sumar IA” sin un plan y terminan con flujos de trabajo desordenados y poco confiables. Únase a nosotros para estudiar un enfoque más claro: cómo utilizar la IA de guisa cuidadosa, simplificar la automatización y crear sistemas que se escalen de forma segura.

🔧 Herramientas de ciberseguridad

• Beelzebub: convierte la implementación del honeypot en una experiencia poderosa y de bajo código. Utiliza IA para afectar sistemas reales, ayudando a los equipos de seguridad a detectar ataques, rastrear amenazas emergentes y compartir información a través de una red completo de inteligencia sobre amenazas.
• NetworkHound: asigna su red de Active Directory de adentro alrededor de fuera. Descubre cada dispositivo (unido a un dominio o TI en la sombra), valida los servicios web y SMB y crea un boceto totalmente compatible con BloodHound para que pueda ver y proteger su entorno con claridad.

Descargo de responsabilidad: estas herramientas son sólo para uso educativo y de investigación. No se han sometido a pruebas de seguridad completas y podrían presentar riesgos si se usan incorrectamente. Revise el código antiguamente de probarlos, pruebe solo en entornos seguros y siga todas las reglas éticas, legales y organizativas.

🔒 Consejo de la semana

La mayoría de las infracciones de la cúmulo no son hacks: son configuraciones erróneas. He aquí cómo solucionarlos: Los depósitos de almacenamiento en la cúmulo como AWS S3, Azure Blob y Google Cloud Storage facilitan el intercambio de datos, pero una configuración incorrecta puede exponerlo todo. La mayoría de las filtraciones de datos no se deben a piratería, sino a que algún dejó un depósito manifiesto, se saltó el criptográfico o utilizó un depósito de prueba que nunca se bloqueó. Las plataformas en la cúmulo le brindan flexibilidad, no seguridad garantizada, por lo que debe efectuar y controlar el paso usted mismo.

Los errores de configuración suelen ocurrir cuando los permisos son demasiado amplios, el criptográfico está deshabilitado o se pierde la visibilidad en varias nubes. Realizar comprobaciones manuales no escalera, especialmente si administra datos en AWS, Azure y GCP. La posibilidad consiste en utilizar herramientas que encuentren, informen e incluso corrijan automáticamente configuraciones inseguras antiguamente de que causen daños.

ScoutSuite es un sólido punto de partida para la visibilidad entre nubes. Analiza AWS, Azure y GCP en averiguación de depósitos abiertos, roles de IAM débiles y criptográfico faltante, y luego crea un referencia HTML claro de observar. **Prowler** profundiza en AWS y compara la configuración de S3 con los puntos de remisión de CIS y AWS para detectar ACL defectuosas o depósitos no cifrados.

Para un control continuo, Custodio de la cúmulo le permite escribir políticas simples que aplican reglas automáticamente; por ejemplo, exigir a todos los depósitos nuevos a utilizar criptográfico. Y Consulta en la cúmulo puede convertir su configuración de cúmulo en una colchoneta de datos con capacidad de búsqueda, para que pueda monitorear los cambios, realizar un seguimiento del cumplimiento y visualizar los riesgos en un solo zona.

El mejor enfoque es combinarlos: ejecute ScoutSuite o Prowler semanalmente para encontrar problemas y deje que Cloud Custodian se encargue de las correcciones automáticas. Incluso aplicar unas pocas horas a configurarlos puede detener el tipo de filtraciones de datos que aparecen en los titulares. Asuma siempre que cada depósito es manifiesto hasta que se demuestre lo contrario y asegúrelo como está.

Conclusión

La verdad es que ninguna útil o parche nos hará estar completamente seguros. Lo más importante es la conciencia: retener qué es común, qué está cambiando y cómo piensan los atacantes. Cada alerta, registro o anomalía beocio es una pista. Sigue conectando esos puntos antiguamente de que algún más lo haga.