malware - Softonic Spain

Los ciberdelincuentes cambian de táctica: Exfiltración y extorsión de datos en aumento

En un reciente informe de Arctic Wolf se destaca un cambio significativo en las tácticas de los atacantes cibernéticos, quienes han comenzado a abandonar la encriptación en favor de la exfiltración y extorsión de datos. Este giro se ha presentado como una respuesta a la búsqueda de mejores retornos económicos, contribuyendo a una nueva ola de ataques donde el ransomware ya no es el único enfoque. De hecho, el ransomware ha representado el 44% de los incidentes de respuesta durante el periodo analizado.

Nuevas estrategias de los delincuentes

El sector manufacturero se ha convertido en el más afectado, seguido de bufetes de abogados, escuelas, instituciones financieras y organizaciones de salud. Estos sectores concentran la mayor parte de los ataques, lo que refleja el impacto creciente de las ciberamenazas en las industrias clave de la economía. Además, las bandas de ransomware han adoptado modelos de afiliación, permitiendo una mayor interconexión entre diferentes grupos, lo que las hace más competitivas y difícil de detener.

El informe señala que las interacciones policiales han debilitado a grupos como LockBit, ALPHV/BlackCat y BlackSuit, sugiriendo que los esfuerzos de las fuerzas del orden han tenido cierto efecto en su operatividad. Sin embargo, otros tipos de ataques, como los de compromiso de correo electrónico empresarial, han proliferado, representando el 26% de los casos investigados por Arctic Wolf. La mayoría de estos ataques se han dirigido a organizaciones financieras y legales, con un uso notable del phishing por correo electrónico como método de acceso inicial en el 85% de los casos comparados.

Además, los atacantes han mostrado una especial preferencia por comprometer herramientas de acceso remoto, como el Protocolo de Escritorio Remoto y software de gestión remota, lo que representa dos tercios de los casos no relacionados con BEC, un aumento significativo respecto a años anteriores. Este cambio en las tácticas subraya la adaptabilidad y madurez operativa de los cibercriminales en un paisaje tecnológico en constante evolución.

Bumble y Match son víctimas de un ciberataque que revela datos internos

Las aplicaciones de citas Bumble y Match han sido atacadas por el grupo de ciberdelincuentes conocido como ShinyHunters, responsables de comprometer datos internos de múltiples grandes empresas. Según se informa, el grupo ha añadido ambas compañías a su sitio de filtraciones de datos, reclamando el robo de miles de documentos clasificados como restringidos y confidenciales, provenientes principalmente de Google Drive y Slack.

Las citas a veces no salen bien

Bloomberg señala que Bumble, que también opera Badoo y BFF, contactó a las autoridades después de que una de las cuentas de sus contratistas fuera comprometida en un incidente de phishing. Un portavoz de Bumble afirmó que los atacantes lograron acceder de manera no autorizada a una pequeña porción de su red, pero no creen que los datos de los miembros, incluidas cuentas, mensajes directos o perfiles, hayan sido afectados.

Por su parte, Match confirmó que sufrió un incidente cibernético el pasado 28 de enero, que impactó a una cantidad limitada de datos de usuarios. La empresa está notificando a los individuos afectados y aseguró que no hay evidencia de que se hayan comprometido las credenciales de acceso, la información financiera o las comunicaciones privadas.

ShinyHunters ha estado en el centro de atención reciente por sus ataques exitosos a varias grandes empresas y por su enfoque en la exfiltración de datos, tras abandonar la práctica del ransomware. Este grupo ha estado apuntando a plataformas de inicio de sesión único como Okta y Microsoft, y hay advertencias para organizaciones, especialmente en Estados Unidos, sobre intentos de phishing por personas que se hacen pasar por personal de soporte técnico.

Estas nuevas tácticas de phishing que se aprovechan de la confianza entre los altos ejecutivos

Recientemente, un sofisticado ataque de phishing ha puesto en alerta a las empresas, especialmente a las que operan en Oriente Medio. Los actores maliciosos lograron suplantar un hilo de correo electrónico en curso entre ejecutivos de alto nivel, utilizando un enlace de phishing que imitaba un formulario de autenticación de Microsoft, lo que demuestra una ejecución ingeniosa de la ingeniería social.

La ingeniosa técnica de suplantación de identidad

El ataque comenzó con una cuenta de gerente de ventas comprometida en una empresa contratista, permitiendo la inserción de un mensaje malicioso en una conversación legítima. Esta táctica, que explota la confianza y la comunicación dentro de las organizaciones, ha resultado ser especialmente eficaz, ya que los atacantes se aprovecharon de auténticos correos entre empleados para crear una apariencia de normalidad en sus correos de phishing.

Los investigadores han vinculado la incursión a una campaña activa desde diciembre de 2025, la cual se ha dirigido principalmente a empresas del sector financiero y de energía en la región. La investigación reveló el uso de EvilProxy, una herramienta de phishing que evade las detecciones tradicionales, al introducir un sistema de proxy que permite a los atacantes operar sin ser detectados.

Este tipo de ataque no sólo se beneficia de vulnerabilidades técnicas, sino que también arma flujos de trabajo humanos, haciendo que los correos aparezcan perfectos, lo que dificulta su detección por sistemas de filtrado como DMARC. A medida que el trabajo remoto se normaliza y los procesos de aprobación asíncronos se vuelven comunes, las empresas enfrentan un riesgo incrementado de compromisos.

La importancia de contar con medidas de defensa adecuadas ha crecido de manera significativa. Herramientas como ANY.RUN ofrecen la capacidad de detectar comportamientos de phishing en tiempo real, acortando los tiempos de respuesta ante incidentes y reforzando la ciberseguridad empresarial.

El auge del malware generado por IA plantea nuevas amenazas para la ciberseguridad

Investigadores de seguridad han alertado sobre un alarmante aumento en el desarrollo de malware utilizando herramientas de inteligencia artificial, marcando una transición significativa del ámbito teórico al práctico en el cibercrimen. Este fenómeno ha sido documentado por la firma de ciberseguridad Check Point Research, que ha analizado las actividades de un conocido actor de amenazas respaldado por el estado norcoreano, conocido como KONNI, que ha estado activo durante más de una década.

La evolución de las ciberamenazas

Inicialmente, el enfoque de KONNI se centraba en políticos, diplomáticos y académicos, principalmente en Corea del Sur. Sin embargo, en su última campaña, el grupo ha cambiado su estrategia, dirigiéndose a desarrolladores de software, especialmente aquellos relacionados con blockchain y criptomonedas. Los atacantes han estado utilizando técnicas de phishing altamente convincentes para acceder a infraestructuras en la nube, repositorios de código fuente y credenciales de blockchain.

Los investigadores de CPR explican que aquellos que han caído en la trampa han permitido la instalación de un backdoor generado por IA en PowerShell, lo que ha proporcionado a los atacantes acceso completo a los ordenadores de las víctimas y a los secretos almacenados en ellas. Este uso de malware generado por IA no sólo acelera el desarrollo de nuevos ataques, sino que también permite una personalización más rápida y flexible de las amenazas, evadiendo así los métodos de detección tradicionales basados en firmas.

Frente a esta nueva realidad, los profesionales de ciberseguridad deberán adaptar sus enfoques. Se enfatiza la necesidad de considerar los entornos de desarrollo como objetivos de alto valor y de fortalecer la prevención contra el phishing dentro de los flujos de trabajo de colaboraciones y desarrollo. Asimismo, se recomienda proteger las infraestructuras de desarrollo y la nube con controles de acceso robustos y utilizar técnicas de prevención de amenazas impulsadas por IA para detectar malware no visible en las primeras etapas de un ataque.

TamperedChef acusado de crear herramientas para acceso no autorizado

En un importante desarrollo en el campo de la seguridad cibernética, la firma TamperedChef ha sido acusada de crear herramientas que permiten el acceso no autorizado a sistemas y redes. Estas herramientas incluyen puertas traseras diseñadas específicamente para el robo de credenciales de usuarios, lo que pone en riesgo la seguridad de diversas organizaciones, especialmente aquellas que dependen de equipos técnicos en sus operaciones diarias.

Posibles brechas de seguridad

El modus operandi de TamperedChef se basa en la explotación de vulnerabilidades en infraestructuras tecnológicas. Las organizaciones que utilizan sistemas técnicos complejos se enfrentan a un riesgo elevado, ya que estas puertas traseras están diseñadas para infiltrarse en sus redes sin ser detectadas. Esta situación es alarmante y subraya la necesidad de una mayor vigilancia y medidas de seguridad robustas para proteger información sensible.

Los expertos en seguridad cibernética advierten que los ataques perpetrados por TamperedChef podrían tener consecuencias devastadoras. La exposición de credenciales puede llevar no solo al robo de datos, sino también a daños financieros significativos y a la pérdida de confianza por parte de clientes y socios comerciales. La rapidez con la que las organizaciones detectan y responden a estas amenazas es crucial para mitigar riesgos y salvaguardar sus activos.

Además, con el creciente uso de tecnologías interconectadas y la digitalización de numerosos procesos, es vital que las organizaciones implementen protocolos de seguridad más estrictos y actualizaciones de software regulares. Aunque no hay confirmación definitiva sobre la magnitud de las brechas de seguridad causadas por TamperedChef, las organizaciones deben ser proactivas en la detección y respuesta a estas amenazas emergentes.

En este contexto, se hace evidente que la comprensión de las herramientas utilizadas por actores maliciosos es fundamental para fortalecer las defensas cibernéticas y proteger la integridad de los sistemas. La preocupación por el aumento de ataques similares resalta la urgencia de una colaboración más estrecha entre empresas tecnológicas y organismos de seguridad.

Los dispositivos FortiGate sin parchear siguen siendo vulnerables a hackers

Los cibercriminales están aprovechando una vulnerabilidad en los dispositivos Fortinet FortiGate que fue parcheada hace más de tres años, específicamente en julio de 2020. Este fallo, identificado como CVE-2020-12812, permite a los atacantes eludir la autenticación en dos pasos (2FA) en los firewalls, facilitando el acceso no autorizado a redes VPN y consolas de administración.

Auditar las configuraciones

El ataque se basa en un desacuerdo en la forma en que los dispositivos FortiGate manejan los nombres de usuario en comparación con los directorios LDAP, como Active Directory. Mientras que FortiGate considera los nombres de usuario sensibles a mayúsculas, la mayoría de los servidores LDAP los tratan sin distinción de caso. Esto significa que un usuario local con 2FA habilitado puede ser engañado si un atacante introduce variaciones en mayúsculas de su nombre de usuario, logrando así evitar el 2FA y acceder mediante credenciales LDAP válidas.

Fortinet, a través de su equipo de respuesta ante incidentes , ha alertado sobre estos ataques en su blog, instando a los administradores a auditar sus configuraciones inmediatamente. Se destaca la importancia de eliminar grupos LDAP para mitigar riesgos y de resetear todas las credenciales relacionadas. La compañía advierte que cualquier validación de LDAP exitosa después de fallos en las coincidencias locales es una señal de compromiso que puede conllevar un incremento en las amenazas de ransomware y movimientos laterales en la red.

A pesar de que se han implementado parches en las versiones de FortiOS 6.0.10, 6.2.4 y 6.4.1, existen dispositivos mal configurados o no actualizados aún en uso, lo que atrae a hackers oportunistas. Fortinet hace un llamado a las empresas para que refuercen sus políticas de privilegio mínimo y realicen auditorías regulares, ya que retardarse puede permitir que los atacantes exploten estas vulnerabilidades para comprometer sus sistemas.

Extensiones maliciosas de Chrome que roban credenciales de usuario

Investigadores en ciberseguridad han descubierto dos extensiones maliciosas para Google Chrome, publicadas por el mismo desarrollador, que están diseñadas para interceptar el tráfico de red y robar credenciales de usuario. Presentadas como un plugin de prueba de velocidad de red, estas extensiones han engañado a los usuarios, quienes creen que están pagando por un servicio VPN legítimo.

Proxys intermediarios

Ambas extensiones operan como proxies de hombre en el medio, realizando inyecciones de credenciales en solicitudes de autenticación HTTP y exfiltrando datos a un servidor de comando y control. A pesar de su fachada de servicio funcional, las extensiones configuran el navegador para redirigir el tráfico web a través de la infraestructura controlada por los atacantes, lo que permite un robo de datos extenso y efectivo.

Cada vez que un sitio web requiere autenticación, las extensiones responden automáticamente con credenciales de proxy predefinidas, sin requerir ninguna interacción del usuario. Esto garantiza que el tráfico de los usuarios pase por servidores maliciosos, permitiendo a los atacantes capturar datos sensibles como contraseñas y números de tarjetas de crédito. Además, la inclusión de dominios que abarcan desde plataformas de desarrollo hasta redes sociales indica un objetivo amplio y potencialmente devastador.

Los expertos advierten que las extensiones de navegador representan una capa de riesgo no gestionada que las empresas deben vigilar de cerca. Se aconseja a los usuarios eliminar sin demora estas extensiones y a los equipos de seguridad implementar listas de permitidos, así como monitorear intentos de autenticación sospechosos. El uso del idioma chino en las descripciones de las extensiones, así como la integración de sistemas de pago como Alipay y WeChat, sugieren que la operación podría estar basada en China.

El nuevo malware CastleLoader utiliza Python como sistema de distribución

Recientemente, se ha detectado una nueva campaña maliciosa destinada a propagar software dañino, que utiliza un sistema de entrega basado en Python. Esta técnica innovadora ha llamado la atención de expertos en ciberseguridad, quienes advierten sobre la creciente sofisticación de los métodos empleados por los atacantes. El malware en cuestión se conoce como CastleLoader, y su distribución a través de este sistema presenta riesgos significativos para los usuarios y organizaciones.

Sofisticadas técnicas

El malware CastleLoader se caracteriza por su capacidad para infiltrarse en los sistemas de las víctimas sin ser detectado, lo que lo convierte en una herramienta peligrosa en manos de ciberdelincuentes. La elección de Python como base para el sistema de entrega no es casual; este lenguaje de programación es ampliamente utilizado y conocido por su facilidad de uso, lo que permite a los atacantes adaptarse rápidamente y lanzar sus campañas de forma más eficiente.

Hasta el momento, los investigadores han identificado varios métodos de distribución, incluyendo correos electrónicos fraudulentos y sitios web comprometidos. Los usuarios deben mantenerse alerta y tomar precauciones adicionales al descargar software de fuentes no verificadas. La implementación de soluciones de seguridad, como antivirus actualizados y firewalls, es crucial para protegerse contra estas amenazas emergentes.

Además, se especula que esta campaña podría estar relacionada con un aumento más amplio en actividades de ciberdelincuencia, lo que sugiere que los atacantes están innovando constantemente en sus estrategias. El panorama de la ciberseguridad sigue evolucionando, lo que plantea desafíos significativos tanto para individuos como para empresas. La colaboración y el intercambio de información entre los actores del sector son vitales para mitigar este tipo de amenazas.

Las suscripciones a calendarios son utilizadas para ataques de phishing

BitSight ha publicado un estudio que destaca una preocupante tendencia en el uso malicioso de las suscripciones a calendarios. Según la investigación, los actores de amenazas están utilizando estas funcionalidades para difundir enlaces de phishing, malware y llevar a cabo ataques de ingeniería social. Este nuevo vector de ataque aprovecha la creciente popularidad de aplicaciones de calendario y su integración en herramientas de trabajo colaborativo.

Señala esta fecha en el calendario

Los atacantes han descubierto que al enviar invitaciones a eventos o suscripciones a calendarios, pueden conseguir que sus mensajes sean más difíciles de detectar para los usuarios. Las suscripciones fraudulentas aparecen en las agendas digitales de las víctimas, lo que aumenta la probabilidad de que sean abiertos y, por ende, se acceda a enlaces maliciosos que llevan a sitios web de phishing o que descargan malware en los dispositivos. Esto representa un desafío significativo para la seguridad cibernética, ya que muchas víctimas pueden no cuestionar la legitimidad de una notificación que proviene de su calendario, pudiendo dar lugar a un acceso no autorizado a información sensible.

Una de las tácticas más comunes utilizadas por estos atacantes es el secuestro de dominios. Este proceso implica que los actores maliciosos toman el control de dominios legítimos que luego utilizan para enmascarar sus actividades delictivas. Una vez que hayan obtenido acceso a estos dominios, pueden crear suscripciones de calendario que vinculan a los usuarios a páginas maliciosas. De acuerdo con BitSight, esta técnica es especialmente eficaz porque combina la manipulación social con un método de entrega que tiene una presentación legítima.

Ante estas nuevas amenazas, es crucial que las organizaciones y los individuos adopten medidas preventivas. Esto incluye educar a los empleados sobre la identificación de inquietantes suscripciones a calendarios, así como implementar soluciones de seguridad más robustas para monitorear y bloquear posibles ataques. La vigilancia constante y la prevención son esenciales para mitigar los riesgos asociados con esta creciente técnica de ciberataque.

Una extensión maliciosa de Chrome redirige las plataformas de intercambio de criptomonedas

Un nuevo hallazgo en el ámbito de la ciberseguridad ha revelado la existencia de una extensión maliciosa en Chrome Web Store, denominada Crypto Copilot. Esta herramienta permite inyectar una transferencia oculta de Solana en las transacciones de intercambio, redirigiendo fondos hacia una billetera controlada por los atacantes, lo que plantea preocupaciones serias sobre la seguridad de los usuarios en el ecosistema de criptomonedas.

Cuidado si usas criptomonedas

La extensión, publicada por un usuario bajo el seudónimo ‘sjclark76’, ha conseguido 12 instalaciones y permanece disponible para su descarga. Según los investigadores de seguridad, Crypto Copilot presenta una fachada legítima al ofrecer a los usuarios la posibilidad de intercambiar cripto directamente en X con información en tiempo real y una ejecución sin problemas. Sin embargo, detrás de esta interface, se oculta un comportamiento malicioso que se activa al realizar intercambios en Raydium, un intercambio descentralizado basado en la blockchain de Solana.

El código de la extensión está ofuscado para evitar su detección y manipula el proceso al añadir una transferencia adicional de SOL cada vez que un usuario firma una transacción. Esta transferencia adicional cobra un mínimo de 0.0013 SOL o un 0.05% del monto intercambiado, siendo el dinero desviado a una billetera hardcodeada en el código de la extensión. Los usuarios pueden no darse cuenta de esta transferencia oculta a menos que revisen cada instrucción antes de firmar.

A pesar de que Crypto Copilot se presenta como una herramienta útil que hace uso de servicios legítimos como DexScreener y Helius RPC, su objetivo parece ser únicamente perpetuar fraudes a costa de incautos usuarios. Este tipo de ataques pone de manifiesto la necesidad de una vigilancia constante en el uso de herramientas digitales en el espacio de las criptomonedas.