malware - Softonic Spain

El ataque GlassWorm se intensifica con el hallazgo de 73 nuevas extensiones

El ataque a la cadena de suministro conocido como GlassWorm ha escalado recientemente con la identificación de 73 nuevas extensiones durmientes en el mercado Open VSX.

Este desarrollo, que se produjo en abril de 2026, representa una evolución peligrosa en la manera en que los actores de amenazas distribuyen malware a los desarrolladores de software. Este grupo de extensiones sigue a una ola anterior detectada en marzo de 2026, que ya había documentado 72 extensiones maliciosas asociadas con la misma operación.

La evolución de las extensiones maliciosas

Las nuevas tácticas empleadas por los atacantes buscan evadir los escaneos de seguridad. Anteriormente, las variantes de este ataque abusaban de características de dependencias de extensiones para instalar programas maliciosos de manera silenciosa. En contraste, las extensiones durmientes son paquetes falsos publicados antes de ser activados, que inicialmente parecen inofensivos para generar confianza y acumular descargas.

Para llevar a cabo sus operaciones, los atacantes crean cuentas fraudulentas en GitHub para publicar versiones clonadas de herramientas populares. Un claro ejemplo es una extensión falsa del Paquete de Idioma Turco para Visual Studio Code, que emula de cerca la versión legítima, incluso al copiar su ícono y descripción, solo cambiando el nombre del editor.

Una vez que los desarrolladores instalan estas herramientas clonadas, los atacantes esperan para lanzar una actualización de software que entrega el malware. Al menos seis de las 73 nuevas extensiones ya han sido activadas, sirviendo como cargadores para obtener cargas externas de malware.

El código malicioso ya no es visible en el código fuente de la extensión, lo que incrementa las oportunidades de evadir la detección. Los equipos de seguridad deben estar atentos a ciertos indicadores de compromiso, y es crucial que los desarrolladores verifiquen los espacios de nombres de los editores y revisen cuidadosamente las cuentas de descarga antes de instalar cualquier extensión del mercado Open VSX.

¡Cuidado! La aplicación HandyPay captura la información de tu tarjeta sin permiso

Se ha detectado una nueva y más peligrosa versión del malware NGate oculta en una aplicación de pago NFC, conocida como HandyPay. Este software malicioso ha estado activo desde noviembre de 2025 y utiliza inteligencia artificial para escribir su código, marcando un cambio significativo en las técnicas empleadas por los ciberdelincuentes para desarrollar herramientas de ataque.

No introduzcas el PIN de tu tarjeta en aplicaciones desconocidas

La aplicación HandyPay, que originalmente es legítima y disponible en Google Play desde 2021, ha sido trojanizada. Los atacantes han distribuido esta versión maliciosa fuera de la tienda oficial, utilizando dos canales distintos. El primero involucra un sitio web de lotería falso que simula ser la organización lotérica brasileña Rio de Premios, donde los usuarios son atraídos con un juego de raspadito fraudulento. El segundo canal implica una página de Google Play falsa cuyo objetivo es engañar a los usuarios para que descarguen el malware bajo el nombre de Protección de Tarjeta.

Una vez instalada la aplicación, HandyPay solicita al usuario que la configure como la aplicación predeterminada de pago NFC. Esto parece inofensivo ya que es parte de la funcionalidad original de la aplicación. Sin embargo, cuando el usuario introduce su PIN de tarjeta y acerca su tarjeta al teléfono, el malware captura la información de la tarjeta y la envía al dispositivo controlado por el atacante sin requerir permisos especiales, lo que dificulta su detección.

Los investigadores de WeLiveSecurity han identificado que el código malicioso contiene indicios de generación por inteligencia artificia. Se aconseja a los usuarios que descarguen aplicaciones de pago únicamente desde fuentes oficiales y que activen Google Play Protect para una mayor seguridad. Asimismo, es crucial no ingresar el PIN de tarjeta en aplicaciones desconocidas, especialmente aquellas que parecen ofrecer premios o protección de tarjetas.

Los ciberdelincuentes cambian de táctica: Exfiltración y extorsión de datos en aumento

En un reciente informe de Arctic Wolf se destaca un cambio significativo en las tácticas de los atacantes cibernéticos, quienes han comenzado a abandonar la encriptación en favor de la exfiltración y extorsión de datos. Este giro se ha presentado como una respuesta a la búsqueda de mejores retornos económicos, contribuyendo a una nueva ola de ataques donde el ransomware ya no es el único enfoque. De hecho, el ransomware ha representado el 44% de los incidentes de respuesta durante el periodo analizado.

Nuevas estrategias de los delincuentes

El sector manufacturero se ha convertido en el más afectado, seguido de bufetes de abogados, escuelas, instituciones financieras y organizaciones de salud. Estos sectores concentran la mayor parte de los ataques, lo que refleja el impacto creciente de las ciberamenazas en las industrias clave de la economía. Además, las bandas de ransomware han adoptado modelos de afiliación, permitiendo una mayor interconexión entre diferentes grupos, lo que las hace más competitivas y difícil de detener.

El informe señala que las interacciones policiales han debilitado a grupos como LockBit, ALPHV/BlackCat y BlackSuit, sugiriendo que los esfuerzos de las fuerzas del orden han tenido cierto efecto en su operatividad. Sin embargo, otros tipos de ataques, como los de compromiso de correo electrónico empresarial, han proliferado, representando el 26% de los casos investigados por Arctic Wolf. La mayoría de estos ataques se han dirigido a organizaciones financieras y legales, con un uso notable del phishing por correo electrónico como método de acceso inicial en el 85% de los casos comparados.

Además, los atacantes han mostrado una especial preferencia por comprometer herramientas de acceso remoto, como el Protocolo de Escritorio Remoto y software de gestión remota, lo que representa dos tercios de los casos no relacionados con BEC, un aumento significativo respecto a años anteriores. Este cambio en las tácticas subraya la adaptabilidad y madurez operativa de los cibercriminales en un paisaje tecnológico en constante evolución.

Bumble y Match son víctimas de un ciberataque que revela datos internos

Las aplicaciones de citas Bumble y Match han sido atacadas por el grupo de ciberdelincuentes conocido como ShinyHunters, responsables de comprometer datos internos de múltiples grandes empresas. Según se informa, el grupo ha añadido ambas compañías a su sitio de filtraciones de datos, reclamando el robo de miles de documentos clasificados como restringidos y confidenciales, provenientes principalmente de Google Drive y Slack.

Las citas a veces no salen bien

Bloomberg señala que Bumble, que también opera Badoo y BFF, contactó a las autoridades después de que una de las cuentas de sus contratistas fuera comprometida en un incidente de phishing. Un portavoz de Bumble afirmó que los atacantes lograron acceder de manera no autorizada a una pequeña porción de su red, pero no creen que los datos de los miembros, incluidas cuentas, mensajes directos o perfiles, hayan sido afectados.

Por su parte, Match confirmó que sufrió un incidente cibernético el pasado 28 de enero, que impactó a una cantidad limitada de datos de usuarios. La empresa está notificando a los individuos afectados y aseguró que no hay evidencia de que se hayan comprometido las credenciales de acceso, la información financiera o las comunicaciones privadas.

ShinyHunters ha estado en el centro de atención reciente por sus ataques exitosos a varias grandes empresas y por su enfoque en la exfiltración de datos, tras abandonar la práctica del ransomware. Este grupo ha estado apuntando a plataformas de inicio de sesión único como Okta y Microsoft, y hay advertencias para organizaciones, especialmente en Estados Unidos, sobre intentos de phishing por personas que se hacen pasar por personal de soporte técnico.

Estas nuevas tácticas de phishing que se aprovechan de la confianza entre los altos ejecutivos

Recientemente, un sofisticado ataque de phishing ha puesto en alerta a las empresas, especialmente a las que operan en Oriente Medio. Los actores maliciosos lograron suplantar un hilo de correo electrónico en curso entre ejecutivos de alto nivel, utilizando un enlace de phishing que imitaba un formulario de autenticación de Microsoft, lo que demuestra una ejecución ingeniosa de la ingeniería social.

La ingeniosa técnica de suplantación de identidad

El ataque comenzó con una cuenta de gerente de ventas comprometida en una empresa contratista, permitiendo la inserción de un mensaje malicioso en una conversación legítima. Esta táctica, que explota la confianza y la comunicación dentro de las organizaciones, ha resultado ser especialmente eficaz, ya que los atacantes se aprovecharon de auténticos correos entre empleados para crear una apariencia de normalidad en sus correos de phishing.

Los investigadores han vinculado la incursión a una campaña activa desde diciembre de 2025, la cual se ha dirigido principalmente a empresas del sector financiero y de energía en la región. La investigación reveló el uso de EvilProxy, una herramienta de phishing que evade las detecciones tradicionales, al introducir un sistema de proxy que permite a los atacantes operar sin ser detectados.

Este tipo de ataque no sólo se beneficia de vulnerabilidades técnicas, sino que también arma flujos de trabajo humanos, haciendo que los correos aparezcan perfectos, lo que dificulta su detección por sistemas de filtrado como DMARC. A medida que el trabajo remoto se normaliza y los procesos de aprobación asíncronos se vuelven comunes, las empresas enfrentan un riesgo incrementado de compromisos.

La importancia de contar con medidas de defensa adecuadas ha crecido de manera significativa. Herramientas como ANY.RUN ofrecen la capacidad de detectar comportamientos de phishing en tiempo real, acortando los tiempos de respuesta ante incidentes y reforzando la ciberseguridad empresarial.

El auge del malware generado por IA plantea nuevas amenazas para la ciberseguridad

Investigadores de seguridad han alertado sobre un alarmante aumento en el desarrollo de malware utilizando herramientas de inteligencia artificial, marcando una transición significativa del ámbito teórico al práctico en el cibercrimen. Este fenómeno ha sido documentado por la firma de ciberseguridad Check Point Research, que ha analizado las actividades de un conocido actor de amenazas respaldado por el estado norcoreano, conocido como KONNI, que ha estado activo durante más de una década.

La evolución de las ciberamenazas

Inicialmente, el enfoque de KONNI se centraba en políticos, diplomáticos y académicos, principalmente en Corea del Sur. Sin embargo, en su última campaña, el grupo ha cambiado su estrategia, dirigiéndose a desarrolladores de software, especialmente aquellos relacionados con blockchain y criptomonedas. Los atacantes han estado utilizando técnicas de phishing altamente convincentes para acceder a infraestructuras en la nube, repositorios de código fuente y credenciales de blockchain.

Los investigadores de CPR explican que aquellos que han caído en la trampa han permitido la instalación de un backdoor generado por IA en PowerShell, lo que ha proporcionado a los atacantes acceso completo a los ordenadores de las víctimas y a los secretos almacenados en ellas. Este uso de malware generado por IA no sólo acelera el desarrollo de nuevos ataques, sino que también permite una personalización más rápida y flexible de las amenazas, evadiendo así los métodos de detección tradicionales basados en firmas.

Frente a esta nueva realidad, los profesionales de ciberseguridad deberán adaptar sus enfoques. Se enfatiza la necesidad de considerar los entornos de desarrollo como objetivos de alto valor y de fortalecer la prevención contra el phishing dentro de los flujos de trabajo de colaboraciones y desarrollo. Asimismo, se recomienda proteger las infraestructuras de desarrollo y la nube con controles de acceso robustos y utilizar técnicas de prevención de amenazas impulsadas por IA para detectar malware no visible en las primeras etapas de un ataque.

TamperedChef acusado de crear herramientas para acceso no autorizado

En un importante desarrollo en el campo de la seguridad cibernética, la firma TamperedChef ha sido acusada de crear herramientas que permiten el acceso no autorizado a sistemas y redes. Estas herramientas incluyen puertas traseras diseñadas específicamente para el robo de credenciales de usuarios, lo que pone en riesgo la seguridad de diversas organizaciones, especialmente aquellas que dependen de equipos técnicos en sus operaciones diarias.

Posibles brechas de seguridad

El modus operandi de TamperedChef se basa en la explotación de vulnerabilidades en infraestructuras tecnológicas. Las organizaciones que utilizan sistemas técnicos complejos se enfrentan a un riesgo elevado, ya que estas puertas traseras están diseñadas para infiltrarse en sus redes sin ser detectadas. Esta situación es alarmante y subraya la necesidad de una mayor vigilancia y medidas de seguridad robustas para proteger información sensible.

Los expertos en seguridad cibernética advierten que los ataques perpetrados por TamperedChef podrían tener consecuencias devastadoras. La exposición de credenciales puede llevar no solo al robo de datos, sino también a daños financieros significativos y a la pérdida de confianza por parte de clientes y socios comerciales. La rapidez con la que las organizaciones detectan y responden a estas amenazas es crucial para mitigar riesgos y salvaguardar sus activos.

Además, con el creciente uso de tecnologías interconectadas y la digitalización de numerosos procesos, es vital que las organizaciones implementen protocolos de seguridad más estrictos y actualizaciones de software regulares. Aunque no hay confirmación definitiva sobre la magnitud de las brechas de seguridad causadas por TamperedChef, las organizaciones deben ser proactivas en la detección y respuesta a estas amenazas emergentes.

En este contexto, se hace evidente que la comprensión de las herramientas utilizadas por actores maliciosos es fundamental para fortalecer las defensas cibernéticas y proteger la integridad de los sistemas. La preocupación por el aumento de ataques similares resalta la urgencia de una colaboración más estrecha entre empresas tecnológicas y organismos de seguridad.

Los dispositivos FortiGate sin parchear siguen siendo vulnerables a hackers

Los cibercriminales están aprovechando una vulnerabilidad en los dispositivos Fortinet FortiGate que fue parcheada hace más de tres años, específicamente en julio de 2020. Este fallo, identificado como CVE-2020-12812, permite a los atacantes eludir la autenticación en dos pasos (2FA) en los firewalls, facilitando el acceso no autorizado a redes VPN y consolas de administración.

Auditar las configuraciones

El ataque se basa en un desacuerdo en la forma en que los dispositivos FortiGate manejan los nombres de usuario en comparación con los directorios LDAP, como Active Directory. Mientras que FortiGate considera los nombres de usuario sensibles a mayúsculas, la mayoría de los servidores LDAP los tratan sin distinción de caso. Esto significa que un usuario local con 2FA habilitado puede ser engañado si un atacante introduce variaciones en mayúsculas de su nombre de usuario, logrando así evitar el 2FA y acceder mediante credenciales LDAP válidas.

Fortinet, a través de su equipo de respuesta ante incidentes , ha alertado sobre estos ataques en su blog, instando a los administradores a auditar sus configuraciones inmediatamente. Se destaca la importancia de eliminar grupos LDAP para mitigar riesgos y de resetear todas las credenciales relacionadas. La compañía advierte que cualquier validación de LDAP exitosa después de fallos en las coincidencias locales es una señal de compromiso que puede conllevar un incremento en las amenazas de ransomware y movimientos laterales en la red.

A pesar de que se han implementado parches en las versiones de FortiOS 6.0.10, 6.2.4 y 6.4.1, existen dispositivos mal configurados o no actualizados aún en uso, lo que atrae a hackers oportunistas. Fortinet hace un llamado a las empresas para que refuercen sus políticas de privilegio mínimo y realicen auditorías regulares, ya que retardarse puede permitir que los atacantes exploten estas vulnerabilidades para comprometer sus sistemas.

Extensiones maliciosas de Chrome que roban credenciales de usuario

Investigadores en ciberseguridad han descubierto dos extensiones maliciosas para Google Chrome, publicadas por el mismo desarrollador, que están diseñadas para interceptar el tráfico de red y robar credenciales de usuario. Presentadas como un plugin de prueba de velocidad de red, estas extensiones han engañado a los usuarios, quienes creen que están pagando por un servicio VPN legítimo.

Proxys intermediarios

Ambas extensiones operan como proxies de hombre en el medio, realizando inyecciones de credenciales en solicitudes de autenticación HTTP y exfiltrando datos a un servidor de comando y control. A pesar de su fachada de servicio funcional, las extensiones configuran el navegador para redirigir el tráfico web a través de la infraestructura controlada por los atacantes, lo que permite un robo de datos extenso y efectivo.

Cada vez que un sitio web requiere autenticación, las extensiones responden automáticamente con credenciales de proxy predefinidas, sin requerir ninguna interacción del usuario. Esto garantiza que el tráfico de los usuarios pase por servidores maliciosos, permitiendo a los atacantes capturar datos sensibles como contraseñas y números de tarjetas de crédito. Además, la inclusión de dominios que abarcan desde plataformas de desarrollo hasta redes sociales indica un objetivo amplio y potencialmente devastador.

Los expertos advierten que las extensiones de navegador representan una capa de riesgo no gestionada que las empresas deben vigilar de cerca. Se aconseja a los usuarios eliminar sin demora estas extensiones y a los equipos de seguridad implementar listas de permitidos, así como monitorear intentos de autenticación sospechosos. El uso del idioma chino en las descripciones de las extensiones, así como la integración de sistemas de pago como Alipay y WeChat, sugieren que la operación podría estar basada en China.

El nuevo malware CastleLoader utiliza Python como sistema de distribución

Recientemente, se ha detectado una nueva campaña maliciosa destinada a propagar software dañino, que utiliza un sistema de entrega basado en Python. Esta técnica innovadora ha llamado la atención de expertos en ciberseguridad, quienes advierten sobre la creciente sofisticación de los métodos empleados por los atacantes. El malware en cuestión se conoce como CastleLoader, y su distribución a través de este sistema presenta riesgos significativos para los usuarios y organizaciones.

Sofisticadas técnicas

El malware CastleLoader se caracteriza por su capacidad para infiltrarse en los sistemas de las víctimas sin ser detectado, lo que lo convierte en una herramienta peligrosa en manos de ciberdelincuentes. La elección de Python como base para el sistema de entrega no es casual; este lenguaje de programación es ampliamente utilizado y conocido por su facilidad de uso, lo que permite a los atacantes adaptarse rápidamente y lanzar sus campañas de forma más eficiente.

Hasta el momento, los investigadores han identificado varios métodos de distribución, incluyendo correos electrónicos fraudulentos y sitios web comprometidos. Los usuarios deben mantenerse alerta y tomar precauciones adicionales al descargar software de fuentes no verificadas. La implementación de soluciones de seguridad, como antivirus actualizados y firewalls, es crucial para protegerse contra estas amenazas emergentes.

Además, se especula que esta campaña podría estar relacionada con un aumento más amplio en actividades de ciberdelincuencia, lo que sugiere que los atacantes están innovando constantemente en sus estrategias. El panorama de la ciberseguridad sigue evolucionando, lo que plantea desafíos significativos tanto para individuos como para empresas. La colaboración y el intercambio de información entre los actores del sector son vitales para mitigar este tipo de amenazas.