Tag: amenazas

Un grupo norcoreano utiliza tácticas basadas en IA para infiltrarse en empresas

Un grupo de amenazas vinculado a Corea del Norte, conocido como Jasper Sleet, está empleando tácticas sofisticadas para infiltrarse en empresas legítimas mediante la creación de identidades profesionales falsas. Este actor ha aprovechado el aumento del trabajo remoto impulsado por la pandemia de COVID-19, el cual ha transformado el panorama de contratación y acceso a recursos dentro de las organizaciones.

Aprovechándose del teletrabajo

La dependencia creciente de entornos online y herramientas de acceso remoto ha generado nuevas oportunidades para los actores maliciosos. Jasper Sleet utiliza tecnologías de inteligencia artificial para desarrollar identidades digitales personalizadas y se prepara meticulosamente para parecer un candidato auténtico, adaptando sus solicitudes conforme a los requisitos específicos de cada puesto.

De acuerdo con un análisis de Microsoft, el grupo utiliza flujos de trabajo en software de recursos humanos como Workday a través de llamadas a APIs programáticas para acceder a datos sobre ofertas de trabajo y aplicaciones activas. Esta técnica se distingue por su precisión y repetitividad, lo que indica un enfoque más calculado que el de un solicitante común.

Una vez contratado, Jasper Sleet tiene acceso a diversas herramientas colaborativas y entornos en la nube de la organización, lo que le permite mover libremente entre archivos sensibles, llevando eventualmente a la posible sustracción de datos o extorsión. Microsoft ha observado patrones de actividad sospechosos, incluidos alertas de “viajes imposibles” en los meses posteriores a la incorporación de nuevos empleados.

Para contrarrestar esta amenaza, se recomienda que los equipos de seguridad y recursos humanos colaboren estrechamente y que implementen medidas de formación sobre ingeniería social. Identificar señales de alerta en el proceso de contratación puede resultar más efectivo que intentar detectar la amenaza una vez que el actor ya tiene acceso a la información sensible.

Aumentan los ataques automatizados dirigidos a servidores PHP

Investigadores de ciberseguridad han alertado sobre un aumento significativo en los ataques automatizados dirigidos a servidores PHP, dispositivos IoT y puertas de enlace en la nube, impulsados por botnets como Mirai, Gafgyt y Mozi. Según un informe de la Unidad de Investigación de Amenazas de Qualys, estos ataques automatizados se aprovechan de vulnerabilidades conocidas y configuraciones inadecuadas en la nube, lo que permite a los atacantes tomar el control de sistemas expuestos y expandir de esta manera sus redes de botnets.

Algunas medidas sencillas para evitar los ataques

Los servidores PHP se han convertido en los principales objetivos de estas campañas debido a la popularidad de sistemas de gestión de contenido (CMS) como WordPress y Craft CMS. La exposición de estos servidores a configuraciones incorrectas y plugins desactualizados amplía su superficie de ataque. Los investigadores destacan que algunos de los métodos utilizados por los atacantes involucran la cadena de consulta ‘/?XDEBUG_SESSION_START=phpstorm’, lo que permite iniciar sesiones de depuración que, si son dejadas activas en entornos de producción, pueden facilitar la extracción de datos sensibles.

Además, se ha observado que los atacantes buscan credenciales, claves API y tokens de acceso en servidores expuestos a internet, y también aprovechan fallos de seguridad en dispositivos IoT. La actividad de escaneo suele originarse en infraestructuras de nube como AWS y Google Cloud, lo que evidencia cómo los ciberdelincuentes abusan de servicios legítimos para ocultar sus verdaderas ubicaciones.

Los expertos advierten que incluso los atacantes de bajo nivel pueden causar daños significativos gracias a las herramientas de explotación y los kits de botnets ampliamente disponibles. Para mitigar estos riesgos, se aconseja a los usuarios mantener sus sistemas actualizados, eliminar herramientas de desarrollo en entornos de producción y restringir el acceso público a su infraestructura en la nube.

Este auge en las capacidades de las botnets se ve reflejado en la reciente clasificación de NETSCOUT, que identificó al botnet AISURU como una nueva clase de malware capaz de lanzar ataques DDoS que superan los 20 terabits por segundo. AISURU combina capacidades de ataque DDoS con funciones adicionales, permitiendo actividades ilícitas como el uso de proxies residenciales para ocultar la actividad maliciosa.

Una vulnerabilidad de seguridad en Microsoft abren la puerta a amenazas provenientes de China

Una reciente investigación ha revelado que actores de amenazas con vínculos a China han aprovechado la vulnerabilidad de seguridad ToolShell (CVE-2025-53770) en Microsoft SharePoint. Este fallo, que fue divulgado y parcheado en julio de 2025, permitió infiltraciones significativas en sectores críticos, incluyendo una importante empresa de telecomunicaciones en el Medio Oriente y diversas instituciones gubernamentales en África y América del Sur.

Un problema más grave de lo que parece

Según el equipo de investigación de amenazas de Symantec de Broadcom, la CVE-2025-53770, un bypass ahora corregido de autenticación, fue explotada por varios grupos de ciberespionaje chinos, destacándose Linen Typhoon, Violet Typhoon y Storm-2603. Estos grupos han sido responsables de ataques sofisticados y diversificados, utilizando herramientas como Zingdoor, ShadowPad y KrustyLoader para llevar a cabo sus incursiones.

Los ataques no se restringieron a un único sector, ya que se reportaron incidentes en una universidad en EE. UU., además de un organismo gubernamental en un país africano y una agencia financiera en Europa. El enfoque multifacético de estas operaciones sugiere un interés estratégico por parte de los actores de amenazas en robar credenciales y establecer acceso persistente y sigiloso a las redes de sus víctimas.

Además, se ha documentado que algunos de los atacantes también utilizaron vulnerabilidades adicionales y técnicas de side-loading de DLL para entregar sus cargas maliciosas. Entre estas técnicas, se incluye la explotación de CVE-2021-36942, un exploit conocido por su capacidad de escalada de privilegios, lo que refuerza la sofisticación de su enfoque.

Los hallazgos del informe sugieren que, si bien existe una superposición en los tipos de víctimas y herramientas utilizadas, no se ha logrado atribuir estas actividades a un grupo específico con certeza. Sin embargo, todas las evidencias apuntan a que detrás de estas operaciones están actores de amenazas basados en China.

Windows 11 DESCARGAR

La importancia crucial de la seguridad de la identidad en la era de la IA

La rápida evolución de los agentes de inteligencia artificial ha transformado la seguridad empresarial, convirtiendo la gestión de identidad en un componente esencial para proteger las organizaciones de amenazas modernas. A medida que estos agentes ejecutan tareas de manera autónoma y sin supervisión, el riesgo de errores catastróficos aumenta significativamente. Un fallo en la lógica o un acceso indebido puede convertir la automatización efectiva en un desastre operativo, resaltando la vulnerabilidad que conllevan las implementaciones de IA poco reguladas.

La transformación de la seguridad empresarial

Actualmente, menos del 40% de los agentes de IA cuentan con políticas de seguridad de identidad. Esto deja a las organizaciones expuestas a una serie de ataques potenciales, ya que estos sistemas operan con privilegios de acceso a datos sensibles. De acuerdo con el informe SailPoint Horizons of Identity Security 2025-2026, la situación se ha vuelto crítica, ya que las antiguas medidas de seguridad, como los firewalls, ya no son suficientes frente a los nuevos modelos de amenazas impulsados por la identidad.

El informe destaca que el 63% de las organizaciones se encuentran en niveles tempranos de madurez en seguridad de identidad, lo que incrementa su riesgo ante ataques. Las empresas que implementan programas de seguridad de identidad maduros no solo logran un mayor retorno de inversión, sino que también se benefician de una mejor eficiencia operativa y capacidades empresariales transformadoras.

No obstante, solo el 25% de las organizaciones considera la gestión de identidad como un facilitador estratégico. Esta visión limitada impide que muchas empresas aprovechen todo el potencial transformador que la seguridad de identidad puede ofrecer. A medida que el paisaje de amenazas continúa evolucionando, es imperativo que las organizaciones evalúen su posición actual en cuanto a la seguridad de identidad y consideren seriamente su preparación para manejar el acceso de sistemas automatizados y agentes de IA.

Actualiza ahora mismo WinRAR si no quieres tener una grave amenaza de seguridad en tu ordenador

Una vulnerabilidad crítica en WinRAR, rastreada como CVE-2025-8088, permite la ejecución de código arbitrario a través de archivos RAR manipulados, afectando a todas las versiones del popular software anteriores a la 7.13. Esta falla de recorrido de rutas, descubierta en julio de 2025, permite que atacantes oculten cargas útiles maliciosas dentro de archivos aparentemente inocuos, que se despliegan silenciosamente al ser extraídos.

Un problema de seguridad muy grave

Investigaciones indican que grupos de amenazas, como RomCom y Paper Werewolf, han estado explotando esta vulnerabilidad a través de campañas de phishing que simulan comunicaciones oficiales. RomCom, alineado con Rusia, utilizó esta técnica entre el 18 y el 21 de julio de 2025, dirigiendo ataques a sectores financieros y logísticos en Europa y Canadá. En un intento de engañar a las víctimas, enviaron correos electrónicos con archivos RAR disfrazados de currículos, lo que llevó a la instalación de backdoors como SnipBot y RustyClaw.

La vulnerabilidad ha sido clasificada con un puntaje CVSS de 8.8, lo que indica su alto potencial de impacto. ESET, una empresa de ciberseguridad, fue la primera en detectar este zero-day mientras analizaba un DLL sospechoso en un archivo RAR. Tras notificar a los desarrolladores de WinRAR, se lanzó una actualización el 30 de julio de 2025, que soluciona el mecanismo de recorrido de rutas.

Se recomienda encarecidamente a los usuarios actualizar a la versión 7.13 de inmediato, ya que WinRAR no cuenta con una función de actualización automática. Las organizaciones también deben escanear sus sistemas en busca de indicadores de compromiso y mejorar el filtrado de correos que contengan archivos RAR para protegerse contra posibles ataques. La divulgación pública de esta vulnerabilidad podría inspirar campañas similares, lo que resalta la necesidad de una vigilancia constante ante amenazas en evolución.

Windows 11 DESCARGAR