Tag: ciberataque

Robert De Niro tiene una miniserie que ha arrasado en Netflix con más de 70 millones de visualizaciones

La miniserie Día cero, protagonizada por el icónico Robert De Niro, ha capturado la atención del público y se ha convertido en uno de los contenidos más exitosos de Netflix desde su estreno. Creada por un talentoso equipo compuesto por Eric Newman, Noah Oppenheim y Michael Schmidt, la serie cuenta la historia de George Mullen, un expresidente de Estados Unidos que se ve obligado a investigar un devastador ciberataque que ha dejado miles de muertos.

Un expresidente con recursos

Con un total de seis episodios, cuya duración oscila entre 43 y 58 minutos, Día cero ha acumulado 70,6 millones de visualizaciones, lo que se traduce en aproximadamente 363,6 millones de horas vistas. Esta impresionante cifra resalta la relevancia del thriller en un panorama donde las miniseries se perfilan como una opción ideal para aquellos que buscan disfrutar de una narrativa intensa sin el compromiso de largas temporadas.

La trama se centra en la inquietante posibilidad de que un ciberataque pueda paralizar Estados Unidos en apenas 60 segundos, causando un caos inmediato y tragedias inminentes. A medida que los sistemas energéticos, informáticos y de comunicación quedan inoperativos, el impacto de este ataque ficticio se convierte en un reflejo escalofriante de las vulnerabilidades actuales en nuestro mundo digital.

Robert De Niro, quien se involucra profundamente en su papel, compartió que filmar Día cero fue un desafío monumental, comparándolo con nadar a través del Canal de la Mancha. Estaba en casi todas las escenas y tenía que estar muy atento a todos los detalles, admitió. Esta dedicación refleja no solo su compromiso con el proyecto, sino también la creciente importancia de explorar temas como la ciberseguridad en la ficción contemporánea.

Netflix DESCARGAR

Nuevo ciberataque revela vulnerabilidad en el análisis de seguridad de la IA

Un ataque informático reciente ha puesto de manifiesto una desconexión estructural entre el texto HTML y lo que los usuarios realmente ven en sus navegadores, lo que permite a los atacantes enviar instrucciones maliciosas que pasan desapercibidas para los asistentes de inteligencia artificial. Este hallazgo fue presentado por LayerX, una empresa de ciberseguridad, que demostró su técnica mediante un sitio falso de fanfiction de Bioshock. Utilizando una fuente personalizada, los atacantes pudieron ocultar un mensaje malicioso en un contenido aparentemente inofensivo.

Amenazas ocultas en HTML

El ataque reveló que, aunque los asistentes de IA como ChatGPT y Claude examinaban el HTML subyacente en busca de amenazas, carecían de la capacidad para identificar el contenido oculto que, a simple vista, parecía seguro. En este caso, el texto malicioso instaba a los usuarios a ejecutar un shell inverso en sus máquinas, mientras que el texto visible era un conjunto de caracteres ilegibles.

LayerX ha señalado que esta vulnerabilidad no requiere el uso de JavaScript ni de kits de explotación, revelando un fallo en cómo las herramientas de IA analizan la seguridad de las páginas web. Mientras los navegadores presentan la información de manera diseñada, las IAs tratan el texto del DOM como la representación completa de lo que se muestra al usuario, lo que deja un espacio que los atacantes pueden explotar.

Como respuesta a esta amenaza, LayerX recomienda que los proveedores de IA implementen análisis de renderizado dual y que traten las fuentes personalizadas como superficies de posible amenaza. Además, es vital que estas herramientas eviten emitir juicios de seguridad sin haber verificado el contexto completo de la página. Hasta ahora, Microsoft se destacó como el único proveedor que abordó plenamente el problema tras la divulgación responsable de LayerX en diciembre de 2025.

El FBI confirma un incidente de ciberseguridad que afecta a sus redes

El FBI ha confirmado que sus redes fueron objeto de un incidente de ciberseguridad, aunque no ha proporcionado detalles adicionales sobre la naturaleza exacta del ataque. Según un comunicado de la agencia, se identificaron y abordaron actividades sospechosas en sus sistemas, específicamente en un sistema digital utilizado para gestionar la vigilancia y los trámites relacionados con órdenes de vigilancia extranjera.

Respuestas claras

En 2024, se reveló que el grupo de hackers chino conocido como ‘Salt Typhoon’ había explotado el sistema de escuchas telefónicas de Estados Unidos, amparado bajo la Ley de Asistencia de Comunicaciones para la Aplicación de la Ley. Sin embargo, no está claro si existe alguna conexión entre los recientes incidentes de ciberseguridad y las actividades de este grupo. La falta de claridad sobre el momento exacto del ataque, así como la identidad de los responsables, ha suscitado preocupación tanto dentro como fuera de la organización.

El FBI, que ha sido blanco de ciberataques en múltiples ocasiones, reportó en 2023 una incursión en su oficina de Nueva York, además de un incidente en 2021 donde hackers aprovecharon un servidor mal configurado para enviar correos electrónicos de suplantación. Estas situaciones han llevado a un creciente escepticismo sobre la capacidad del FBI para responder a ciberamenazas, especialmente en el contexto de recortes presupuestarios y la reducción de personal durante la administración de Trump.

Exagentes y miembros del Congreso han expresado sus inquietudes acerca de la preparación cibernética del FBI. A pesar de estas preocupaciones, Brett Leatherman, director de la división cibernética del FBI, aseguró en recientes declaraciones a CyberScoop que la agencia no ha diminuido su capacidad para responder a amenazas e incidentes. Sin embargo, el propio FBI sigue luchando contra las repercusiones de sus recientes desafíos cibernéticos.

Un kit de explotación vinculado a una filtración del Gobierno de EE. UU. provoca el primer gran ataque a iOS

Recientes investigaciones han revelado que un kit de exploits que podría haberse originado de un marco filtrado del gobierno de EE. UU. está detrás del primer ataque masivo a iOS, afectando al menos a 42,000 dispositivos. Esta situación ha suscitado alarmas en la comunidad de ciberseguridad y ha puesto en evidencia un mercado activo para los exploits de día cero, que son vulnerabilidades no divulgadas y no parcheadas. Los estudios realizados por el Grupo de Inteligencia de Amenazas de Google y la empresa iVerify sugieren que estos exploits pueden ser reutilizados y modificados por actores maliciosos.

Un grupo de espionaje ruso detrás del ciberataque

El kit de exploits, denominado Coruna, está vinculado a la Operación Triangulación, que ha sido atribuida a un grupo de espionaje ruso involucrado en ataques contra Ucrania. Ambas firmas aseguraron que este kit representa un potencial momento EternalBlue, en referencia al famoso exploit que provocó los ataques de ransomware WannaCry y NotPetya en 2017. Rocky Cole, cofundador de iVerify, indicó que el volumen de dispositivos afectados es significativo para la base de usuarios de iOS, a pesar de que pueda parecer una cifra baja en comparación con otras plataformas.

Investigaciones previas han identificado el uso de exploits por parte de grupos cibercriminales, lo que pone de manifiesto el potencial de un negocio clandestino en torno a estas herramientas. Recientemente, un exejecutivo de L3 Harris fue condenado por vender exploits de día cero a un intermediario ruso, lo que destaca las implicaciones éticas y legales en el uso de estas tecnologías.

Apple, en respuesta a la amenaza, ha colaborado con Google para investigar el ataque y ha emitido múltiples parches para proteger a los usuarios. Sin embargo, las preocupaciones persisten sobre el posible uso indebido de estas herramientas de ciberseguridad y su desarrollo en el ámbito gubernamental, lo que podría afectar a un número creciente de dispositivos en el futuro.

Bumble y Match son víctimas de un ciberataque que revela datos internos

Las aplicaciones de citas Bumble y Match han sido atacadas por el grupo de ciberdelincuentes conocido como ShinyHunters, responsables de comprometer datos internos de múltiples grandes empresas. Según se informa, el grupo ha añadido ambas compañías a su sitio de filtraciones de datos, reclamando el robo de miles de documentos clasificados como restringidos y confidenciales, provenientes principalmente de Google Drive y Slack.

Las citas a veces no salen bien

Bloomberg señala que Bumble, que también opera Badoo y BFF, contactó a las autoridades después de que una de las cuentas de sus contratistas fuera comprometida en un incidente de phishing. Un portavoz de Bumble afirmó que los atacantes lograron acceder de manera no autorizada a una pequeña porción de su red, pero no creen que los datos de los miembros, incluidas cuentas, mensajes directos o perfiles, hayan sido afectados.

Por su parte, Match confirmó que sufrió un incidente cibernético el pasado 28 de enero, que impactó a una cantidad limitada de datos de usuarios. La empresa está notificando a los individuos afectados y aseguró que no hay evidencia de que se hayan comprometido las credenciales de acceso, la información financiera o las comunicaciones privadas.

ShinyHunters ha estado en el centro de atención reciente por sus ataques exitosos a varias grandes empresas y por su enfoque en la exfiltración de datos, tras abandonar la práctica del ransomware. Este grupo ha estado apuntando a plataformas de inicio de sesión único como Okta y Microsoft, y hay advertencias para organizaciones, especialmente en Estados Unidos, sobre intentos de phishing por personas que se hacen pasar por personal de soporte técnico.

Los dispositivos FortiGate sin parchear siguen siendo vulnerables a hackers

Los cibercriminales están aprovechando una vulnerabilidad en los dispositivos Fortinet FortiGate que fue parcheada hace más de tres años, específicamente en julio de 2020. Este fallo, identificado como CVE-2020-12812, permite a los atacantes eludir la autenticación en dos pasos (2FA) en los firewalls, facilitando el acceso no autorizado a redes VPN y consolas de administración.

Auditar las configuraciones

El ataque se basa en un desacuerdo en la forma en que los dispositivos FortiGate manejan los nombres de usuario en comparación con los directorios LDAP, como Active Directory. Mientras que FortiGate considera los nombres de usuario sensibles a mayúsculas, la mayoría de los servidores LDAP los tratan sin distinción de caso. Esto significa que un usuario local con 2FA habilitado puede ser engañado si un atacante introduce variaciones en mayúsculas de su nombre de usuario, logrando así evitar el 2FA y acceder mediante credenciales LDAP válidas.

Fortinet, a través de su equipo de respuesta ante incidentes , ha alertado sobre estos ataques en su blog, instando a los administradores a auditar sus configuraciones inmediatamente. Se destaca la importancia de eliminar grupos LDAP para mitigar riesgos y de resetear todas las credenciales relacionadas. La compañía advierte que cualquier validación de LDAP exitosa después de fallos en las coincidencias locales es una señal de compromiso que puede conllevar un incremento en las amenazas de ransomware y movimientos laterales en la red.

A pesar de que se han implementado parches en las versiones de FortiOS 6.0.10, 6.2.4 y 6.4.1, existen dispositivos mal configurados o no actualizados aún en uso, lo que atrae a hackers oportunistas. Fortinet hace un llamado a las empresas para que refuercen sus políticas de privilegio mínimo y realicen auditorías regulares, ya que retardarse puede permitir que los atacantes exploten estas vulnerabilidades para comprometer sus sistemas.

La campaña EvilAI aprovecha aplicaciones de confianza para propagar software malicioso

Actores de amenazas han comenzado a usar herramientas de inteligencia artificial aparentemente legítimas para distribuir malware, afectando a diversas industrias como manufactura, gobierno y salud en países como EE. UU., India, y varios europeos. Esta campaña, conocida como EvilAI, es un esfuerzo activo y evolutivo en el que los atacantes disfrazan el software malicioso como herramientas de productividad o aplicaciones mejoradas por IA.

El gran peligro para todo tipo de organizaciones

Los cibercriminales utilizan interfaces profesionales y firmas digitales válidas para hacer que estas aplicaciones parezcan legítimas, dificultando su detección por parte de usuarios y herramientas de seguridad. Entre los programas distribuidos se encuentran AppSuite, Epi Browser y PDF Editor, los cuales actúan como vehículos para realizar reconocimiento extenso y exfiltrar datos sensibles desde los navegadores de las víctimas.

Las técnicas de propagación son diversas e incluyen el uso de sitios web recién registrados que imitan portales de proveedores, publicidad maliciosa, y la manipulación de SEO para promover enlaces de descarga en foros y redes sociales. Algunos ataques se han facilitado con certificados de compañías de Panamá y Malasia, y se ha documentado que los desarrolladores del malware han utilizado múltiples certificados para hacer que su software parezca legítimo a lo largo de los años.

Investigaciones recientes han revelado que los actores detrás de aplicaciones como OneStart y ManualFinder comparten la misma infraestructura de servidor, lo que sugiere un modelo de malware como servicio. Además, técnicas avanzadas como la codificación Unicode y el uso del marco de trabajo NeutralinoJS están siendo empleadas para ocultar actividades maliciosas y evadir detecciones.

Este notable enfoque de camuflaje y las capacidades de evasión han permitido a los atacantes obtener acceso a los sistemas, alimentando alarmas sobre la creciente sofisticación de las amenazas digitales y el aprovechamiento de la confianza del usuario.

El ataque al registro Npm expone credenciales confidenciales de desarrolladores

Un ataque dirigido al registro npm ha suscitado preocupaciones significativas en la comunidad de desarrollo de software, afectando a más de 40 paquetes y permitiendo la inyección de scripts maliciosos. Según los investigadores en ciberseguridad, el ataque se centra en versiones comprometidas que contienen una función que descarga y modifica paquetes, luego inyecta un script local denominado ‘bundle.js’. Este script está diseñado para descargar y ejecutar TruffleHog, una herramienta legítima de escaneo de secretos, con el objetivo de buscar tokens y credenciales en máquinas de desarrolladores.

Auditar los entornos

El ataque es capaz de ejecutarse en sistemas tanto Windows como Linux, lo que aumenta la gravedad de la situación. Entre los elementos que busca TruffleHog se encuentran credenciales sensibles como GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY. De acuerdo con la firma de seguridad Socket, el script también valida tokens de npm y puede interactuar con las API de GitHub, facilitando la exfiltración de datos a un servidor externo controlado por los atacantes.

La comunidad de desarrolladores ha sido instada a auditar sus entornos y rotar tokens de npm, así como otros secretos expuestos, si se encuentran los paquetes afectados. Además, se han reportado correos electrónicos maliciosos provenientes de un dominio falso que intentan robar credenciales de GitHub. Estos mensajes advierten sobre una supuesta violación de la infraestructura de crates.io y sugieren a los usuarios que hagan clic en enlaces para rotar su información de inicio de sesión.

El equipo de la Rust Security Response Working Group ha confirmado que estos correos son fraudulentos y provienen de un dominio no controlado por la Fundación Rust. Se están tomando medidas para monitorear la actividad sospechosa en crates.io y se trabaja para eliminar el dominio de phishing.

La mejora de las prácticas de ciberseguridad reduce los costes de las filtrraciones de datos

Según un informe reciente de IBM, el coste promedio global de una filtración de datos ha disminuido en un 9% en comparación con el año 2024. Este descenso marca un cambio significativo en la tendencia de costos asociados a las brechas de seguridad, lo que podría ser indicativo de avances importantes en la gestión y protección de datos a nivel global.

Más informados y formados

Este informe destaca que las mejoras en las capacidades de detección y contención han sido factores clave en la reducción de costes. Las empresas están invirtiendo en tecnologías más efectivas y en la formación de su personal, lo que les permite identificar y responder a las amenazas de manera más ágil. La implementación de opciones como la inteligencia artificial y el análisis de datos ha permitido a las organizaciones enfrentarse a las violaciones de seguridad de forma más estratégica.

La reducción del coste asociado a las violaciones de datos también refleja un avance en las prácticas de seguridad cibernética. Con la creciente proliferación de información online, la necesidad de proteger los datos se ha convertido en una prioridad esencial para las empresas de todos los sectores. Esto ha llevado a una mayor concienciación sobre las amenazas a la seguridad y a un compromiso más sólido con la implementación de medidas de protección.

A pesar de estos avances, los expertos advierten que la seguridad cibernética sigue siendo un campo en constante evolución, lleno de nuevos retos. La disminución del coste no significa que las amenazas hayan desaparecido; más bien, simboliza que las organizaciones están mejor equipadas para lidiar con las filtraciones cuando ocurren. La inversión continua en tecnologías de seguridad es crucial para mantener esta tendencia a la baja en el coste de las brechas de datos en el futuro.

Un nuevo malware amenaza la seguridad de WordPress

Investigadores en ciberseguridad han revelado una grave vulnerabilidad en los sitios de WordPress, relacionada con una puerta trasera oculta en el directorio ‘mu-plugins’. Este tipo de plugins, denominados must-use, se activan automáticamente en todas las instalaciones de WordPress y no aparecen en la lista habitual de plugins, lo que los convierte en un objetivo atractivo para los atacantes.

Qué hacer para evitarlo

El script PHP malicioso, descubierto por la empresa de seguridad web Sucuri, actúa como un cargador que obtiene un payload remoto y lo almacena en la base de datos de WordPress. Este payload permite la ejecución de código PHP a distancia, facilitando un acceso persistente para los atacantes, quienes pueden gestionar archivos y reinstalar la infección si es eliminada.

El malware inyecta un usuario administrador oculto llamado ‘officialwp’, permitiendo a los atacantes controlar el sitio y realizar acciones maliciosas sin que otros administradores tengan conocimiento. Además, el código malicioso tiene la capacidad de cambiar las contraseñas de las cuentas administrativas a un valor predeterminado, bloqueando el acceso a otros administradores y garantizando un control total del sitio.

La amenaza se ve amplificada por la capacidad del malware de robar datos y redirigir a los visitantes a sitios fraudulentos, lo que repercute de manera significativa en la seguridad de la web. Según los expertos, esta puerta trasera permite a los atacantes realizar una variedad de acciones, desde la instalación de más malware hasta la desfiguración del sitio.

Para mitigar estos riesgos, los propietarios de sitios deben actualizar periódicamente WordPress, temas y plugins, utilizar la autenticación de dos factores y auditar regularmente todas las secciones del sitio, incluidos los archivos de temas y plugins. Mantener la seguridad es crucial para prevenir ataques que podrían comprometer la integridad y la confianza del sitio web.