Tag: exploit

Una vulnerabilidad de seguridad en Microsoft abren la puerta a amenazas provenientes de China

Una reciente investigación ha revelado que actores de amenazas con vínculos a China han aprovechado la vulnerabilidad de seguridad ToolShell (CVE-2025-53770) en Microsoft SharePoint. Este fallo, que fue divulgado y parcheado en julio de 2025, permitió infiltraciones significativas en sectores críticos, incluyendo una importante empresa de telecomunicaciones en el Medio Oriente y diversas instituciones gubernamentales en África y América del Sur.

Un problema más grave de lo que parece

Según el equipo de investigación de amenazas de Symantec de Broadcom, la CVE-2025-53770, un bypass ahora corregido de autenticación, fue explotada por varios grupos de ciberespionaje chinos, destacándose Linen Typhoon, Violet Typhoon y Storm-2603. Estos grupos han sido responsables de ataques sofisticados y diversificados, utilizando herramientas como Zingdoor, ShadowPad y KrustyLoader para llevar a cabo sus incursiones.

Los ataques no se restringieron a un único sector, ya que se reportaron incidentes en una universidad en EE. UU., además de un organismo gubernamental en un país africano y una agencia financiera en Europa. El enfoque multifacético de estas operaciones sugiere un interés estratégico por parte de los actores de amenazas en robar credenciales y establecer acceso persistente y sigiloso a las redes de sus víctimas.

Además, se ha documentado que algunos de los atacantes también utilizaron vulnerabilidades adicionales y técnicas de side-loading de DLL para entregar sus cargas maliciosas. Entre estas técnicas, se incluye la explotación de CVE-2021-36942, un exploit conocido por su capacidad de escalada de privilegios, lo que refuerza la sofisticación de su enfoque.

Los hallazgos del informe sugieren que, si bien existe una superposición en los tipos de víctimas y herramientas utilizadas, no se ha logrado atribuir estas actividades a un grupo específico con certeza. Sin embargo, todas las evidencias apuntan a que detrás de estas operaciones están actores de amenazas basados en China.

Windows 11 DESCARGAR

Battlefield 6 tiene un glitch que permite volar a sus jugadores, pero a EA no le hace ninguna gracia

Un nuevo glitch en Battlefield 6 ha generado revuelo entre los jugadores, permitiendo a los usuarios elevarse a gran altura al subirse a un dron de reconocimiento y golpearlo con un martillo. Este exploit, que ha sido exhibido en videos virales, no solo resulta en una apariencia humorística, sino que ofrece a los jugadores una evidente ventaja estratégica. Desde una elevada posición, los jugadores pueden observar el caos de la batalla a sus pies mientras disparan con rifles de francotirador, lo que añade un nivel de frustración para aquellos que se encuentran abajo.

Tampoco le hace mucha gracia a algunos jugadores

El funcionamiento del glitch es sorprendentemente sencillo: los jugadores solo necesitan subirse a un dron de un compañero y golpearlo repetidamente, lo que les permite ascender hasta alcanzar los límites del mapa. Esta mecánica ha suscitado preocupaciones entre la comunidad, ya que la posibilidad de disparar desde el cielo puede desestabilizar el equilibrio del juego. Muchos jugadores consideran que este tipo de exploit debe ser abordado de inmediato para mantener una experiencia justa y competitiva.

Se anticipa que Electronic Arts (EA) actuará rápidamente para corregir este bug, lo que podría limitar su uso entre los jugadores. De hecho, la compañía ya ha tomado medidas drásticas en el pasado, incluyendo un baneo masivo de tramposos en respuesta a otros exploit, como el glitch de la escalera, que permitía saltos excesivos. La reacción de los fans ha sido clara: exigen un entorno de juego limpio y han mostrado su desapego hacia los que utilizan estos métodos no éticos.

Con la comunidad de Battlefield 6 alzando la voz, el futuro de este glitch, al igual que otros similares, está en la cuerda floja, y muchos esperan que EA actúe antes de que el desbalance se arraigue más en el juego.

Steam DESCARGAR

Descubre una vulnerabilidad en la arquitectura de Chrome y Google le recompensa con 250.000 dólares

Google ha concedido una recompensa histórica de $250,000 al investigador de seguridad conocido como Micky por descubrir una vulnerabilidad crítica en la arquitectura del navegador Chrome. Esta vulnerabilidad facilitaba que sitios web maliciosos escaparan de la protección del sandbox de Chrome, permitiendo la ejecución de código arbitrario en los sistemas de las víctimas.

Una recompensa histórica

El fallo se debió a un error en el sistema de Comunicación Inter-Procesos de Chrome, particularmente dentro del mecanismo de transporte IPCZ. Según los detalles proporcionados, el error se encontraba en la función Transport::Deserialize, donde el sistema no validaba adecuadamente los parámetros header.destination_type antes de crear objetos de transporte. Esto permitía que un proceso de renderizado malicioso manipulase este parámetro para hacerse pasar por un proceso de broker privilegiado.

El vector de ataque requerido un proceso multi-paso en el que un renderizador comprometido enviaba mensajes manipulativos para tomar control de los recursos del proceso del navegador. La prueba de concepto del exploit demostró la capacidad de eludir el sandbox duplicando handles de procesos de navegador privilegiados, lo que incluía permisos completos para ejecutar comandos del sistema.

La decisión de otorgar una recompensa tan elevada refleja no solo la sofisticación del exploit, sino también el compromiso de Google en incentivar la investigación en seguridad, especialmente en áreas críticas de su navegador. La vulnerabilidad fue divulgada responsablemente el 22 de abril de 2025, y el equipo de seguridad de Google, liderado por Alex Gough, implementó correcciones en mayo de 2025. Estas incluían la eliminación de la confianza transitiva de los transportes y la implementación de una validación más estricta de la confiabilidad de los puntos finales dentro del sistema IPCZ.

Este acontecimiento subraya la importancia de la colaboración entre investigadores de seguridad y empresas tecnológicas para mantener la integridad y seguridad de las plataformas digitales.

Google DESCARGAR

Google lanza una actualización para Chrome que necesitas ya mismo para proteger tu ordenador

Google ha lanzado recientemente actualizaciones para abordar seis problemas de seguridad en su navegador Chrome, destacando una vulnerabilidad crítica catalogada como CVE-2025-6558, que ya ha sido explotada en el mundo real. Este fallo de alta severidad cuenta con una puntuación CVSS de 8.8 y se relaciona con la validación incorrecta de entradas no confiables en los componentes ANGLE y GPU de Chrome.

Una vulnerabilidad crítica del navegador

La vulnerabilidad permite que un atacante remoto evada las restricciones de seguridad del navegador mediante una página HTML maliciosa. Esto podría comprometer sistemas sin la necesidad de que los usuarios realicen descargas o interacciones adicionales. La vulnerabilidad fue descubierta por Clément Lecigne y Vlad Stolyarov del Grupo de Análisis de Amenazas de Google el 23 de junio de 2025 y se considera un riesgo particular, dado que puede resultar en un escape de sandbox, lo que otorgaría acceso a operaciones de bajo nivel y potencialmente a los sistemas del usuario.

Aunque Google no ha revelado la naturaleza exacta de los ataques que explotan esta falla, se reconoce que un “exploit para CVE-2025-6558 existe en la naturaleza”, lo que sugiere la posibilidad de una implicación de actores estatales. Este anuncio se da poco después de que Google abordara otra vulnerabilidad de Chrome (CVE-2025-6554) que también tenía un alto potencial de explotación.

Desde el comienzo del año, Google ha solucionado cinco vulnerabilidades críticas en Chrome que han sido activamente explotadas o que han sido demostradas como pruebas de concepto. Para protegerse contra posibles amenazas, se recomienda a los usuarios que actualicen su navegador Chrome a las versiones 138.0.7204.157 y 138.0.7204.158 para Windows y macOS, y 138.0.7204.157 para Linux. Los usuarios de otros navegadores basados en Chromium, como Microsoft Edge y Brave, también deben aplicar las correcciones disponibles.

Google Chrome DESCARGAR

Este YouTuber se pasa Baldur’s Gate 3 con un personaje sin raza ni clase

El popular juego Baldur’s Gate 3 ha dado pie a una nueva fase de desafíos absurdos, y el YouTuber Bouch se ha adentrado profundamente en este fenómeno al intentar completar el juego sin seleccionar una raza o clase. Armado únicamente con su vasto conocimiento sobre la trama y mundo del juego, Bouch decidió afrontar este reto usando un mod que le permitió crear una raza y una clase que no ofrecían bonificaciones ni habilidades. Así, se encontró con herramientas mínimas para avanzar en la historia, lo que suponía un desafío considerable.

Creatividad por encima de todo para pasarse el juego

La estrategia de Bouch, conocida por su enfoque poco convencional hacia los videojuegos, se centró en el uso de objetos mágicos encontrados en su viaje y habilidades innatas. La creatividad del creador de contenido se manifestó en tácticas ingeniosas, como empujar NPCs de los acantilados y aprovechar varios exploits del juego. Estos métodos, combinados con un poco de suerte en las invocaciones de hechizos de los NPC, le permitieron sortear enemigos y avanzar hacia la victoria.

Contrario a las expectativas, Bouch declaró que esta experiencia fue “más fácil de lo que esperaba”, especialmente en comparación con su anterior desafío, donde reemplazó a todos los enemigos del juego con un complicado jefe: la imagen del dios de la muerte, Myrkul. Este contraste en la dificultad subraya la singularidad de Bouch como creador, quién continúa explorando y empujando los límites de Baldur’s Gate 3 a través de enfoques innovadores y a menudo absurdos.

Con esta hazaña, Bouch reafirma su lema de que juega “de maneras tontas”, estimulando así a su audiencia y a la comunidad de jugadores a experimentar el juego de formas inesperadas. A medida que Baldur’s Gate 3 sigue ganando popularidad, es probable que surjan más desafíos que empujen los límites de la jugabilidad y la creatividad en este universo de rol.

Baldur's Gate 3 DESCARGAR

Un exploit de Diablo 4 trae la brujería al juego, pero no del modo que querían sus desarrolladores

La reciente temporada 7 de Diablo 4 ha introducido nuevos poderes de brujería, destacando el Decay Augmentation, una mecánica que, lejos de ser solo un añadido, se ha convertido en el epicentro de un polémico exploit entre los jugadores. Desde su lanzamiento hace poco más de una semana, este bug ha permitido a algunos jugadores infligir daños masivos, alcanzando cifras que superan los trillones. Usando este poder, los jugadores han logrado superar el contenido más difícil del juego en tiempos récord.

Un exploit que hace imposible superar a los líderes de las tablas en las pruebas

Jugadores destacados como KerkyBoi y Mekuna han registrado actuaciones impresionantes en las tablas de líderes, con KerkyBoi logrando un tiempo de 2:48 minutos en el desafío más complicado. Por su parte, Mekuna se ubicó en un cercano segundo lugar con 6:27 minutos. “Es como magia, todo explota”, comenta Mekuna, mientras demuestra la habilidad para aprovechar el bug de manera casi despreocupada. Aunque la mecánica técnica es confusa, queda claro que el poder está funcionando de una forma no tradicional, generando preocupación entre la comunidad de desarrolladores y jugadores.

Un portavoz de Blizzard ha declarado que el equipo de desarrollo está al tanto del exploit y lo considera una prioridad alta para ser solucionado. Aunque la compañía ha tenido un enfoque variable en la resolución de bugs y exploits en el pasado, a veces corrigiéndolos rápidamente y otras veces esperando hasta una temporada completa, el hecho es que esta situación ha levantado inquietudes sobre el equilibrio del juego.

La temporada 7 no solo trae nuevos desafíos, sino que también incorpora elementos que muchos fans habían esperado desde el lanzamiento de Diablo 3. Sin embargo, la controversia en torno a este exploit genera un debate sobre cómo Blizzard abordará este tipo de problemas en el futuro. Mientras tanto, la comunidad continúa explorando estos nuevos poderes, esperando que la solución llegue pronto.

Xbox Game Pass DESCARGAR