En las noticias de ciberseguridad de hoy…
El Reino Unido reinicia su estrategia de ciberseguridad
El gobierno británico presentó al Parlamento un nuevo Plan de Acción Cibernética Gubernamental, que marca un cambio consciente en sus esfuerzos por proteger los servicios públicos. El anuncio admite que su enfoque anterior fue defectuoso y le impidió cumplir con los compromisos de seguridad de las organizaciones gubernamentales frente a vulnerabilidades y métodos conocidos para 2030. Esto llevará al Reino Unido a pasar de proporcionar orientación no vinculante a las autoridades del sector público a establecer una nueva Unidad Cibernética Gubernamental para adoptar un enfoque centralizado y obligatorio. El plan también exige una mayor coordinación en la respuesta a incidentes y expectativas contractuales más sólidas de los proveedores estratégicos. Esto se produce antes de un plan para reiniciar su estrategia cibernética nacional, que se publicará a finales de este año.
Sin MFA, hay problemas
Un actor de amenazas conocido como Zestix o Sentap publicó datos presuntamente robados de alrededor de 50 organizaciones en foros ilícitos, incluyendo la empresa de ingeniería estadounidense Pickett and Associates, la aerolínea española Iberia y el constructor japonés Sekisui House. Investigadores de Hudson Rock descubrieron que estos datos fueron robados utilizando credenciales en la nube comprometidas, lo cual fue fácil porque ninguna de las organizaciones enumeradas había aplicado MFA para los inicios de sesión. Zestix no es nuevo en esto; ha utilizado robadores de información para sustraer contraseñas y actuar como intermediario de acceso inicial desde 2021. Otro ejemplo de actores de amenazas que no irrumpen, sino que inician sesión.
EE. UU. podría haber coordinado ciberataques con el arresto de Maduro
Tanto el presidente estadounidense Trump como el presidente del Estado Mayor Conjunto, el general Dan Caine, aludieron a un posible ciberataque estadounidense para cortar el suministro eléctrico en Caracas como parte del arresto del presidente venezolano Nicolás Maduro el 3 de enero. Caine se refirió a esto como “superponer diferentes efectos” como parte de la operación sin entrar en detalles. El grupo de seguimiento de internet NetBlocks informó de una pérdida de conectividad a internet en ese momento debido a cortes de energía, afirmando que si estuvieran vinculados a un ciberataque, “habría sido selectivo, sin afectar al espacio de red más amplio”. Si bien es ampliamente conocido que EE. UU. lleva a cabo operaciones cibernéticas sofisticadas a nivel mundial, generalmente no recibimos ningún reconocimiento de esto cerca de un evento.
(Politico)
Jaguar Land Rover ve desplomarse las ventas tras un ciberataque
El fabricante de automóviles británico sigue sintiendo el impacto de un ciberataque el año pasado, que le obligó a detener la producción durante semanas en otoño. En su último informe de resultados, Jaguar Landrover registró una caída del 25,1% en las ventas interanuales en el tercer trimestre, hasta 79.600 vehículos. Incluso esta caída dependió del stock antiguo que ya estaba en los concesionarios, ya que los envíos a los concesionarios disminuyeron un 43% interanual, hasta poco más de 59.000 vehículos. El Centro de Monitoreo Cibernético del Reino Unido ha descrito el ataque como el ciberataque más perjudicial económicamente en el Reino Unido, con un impacto financiero estimado de 1.900 millones de libras esterlinas.
Microsoft rechaza las fallas de seguridad de Copilot
El ingeniero de seguridad John Russell describió recientemente varias fallas de seguridad percibidas en Microsoft Copilot, incluyendo la inyección de prompts que filtra prompts del sistema, la ejecución de comandos dentro de entornos Linux aislados y eludir las restricciones de tipo de archivo con cadenas de texto plano codificadas en base64. Russell señaló que, si bien todos los LLM llegan a un punto en el que tienen dificultades para separar los datos de las instrucciones, otros LLM importantes como Anthropic’s Claude no tenían los mismos problemas que vio con Copilot. Al hablar con Bleeping Computer sobre estos hallazgos, un portavoz de Microsoft dijo que estos estaban fuera del alcance del servicio como una vulnerabilidad, diciendo: “Hay varias razones por las que un caso puede estar fuera del alcance, incluyendo instancias en las que no se cruza un límite de seguridad, el impacto se limita al entorno de ejecución del usuario que solicita o se proporciona otra información de bajo privilegio que no se considera una vulnerabilidad”.
N8scape supone un problema para n8n
Investigadores de Cyera revelaron una vulnerabilidad crítica de bypass de sandbox en la plataforma de automatización de código abierto n8n, que afecta a todas las versiones anteriores a la 2.0.0. Esto se debe a una falla en el mecanismo de protección en el que un usuario autenticado conserva los mismos permisos en el host subyacente, lo que le permite ejecutar comandos. Los usuarios de la versión 1.111.0 pueden habilitar un aislamiento de seguridad mejorado para solucionar el problema; con la 2.0, esto está activado por defecto.
Ledger se ve afectado por una brecha de seguridad de terceros
La empresa de seguridad blockchain Ledger dice que una brecha en su proveedor de pagos, Global-e, resultó en la filtración de información de los clientes. Esto incluyó nombres, datos de contacto, detalles del pedido y cantidades pagadas. Ledger se apresuró a señalar que nada relacionado con los datos financieros o las billeteras de criptomonedas se vio afectado. Global-e comenzó a notificar a los clientes afectados el 5 de enero, advirtiéndoles que estén atentos a los ataques de phishing dirigidos basados en esta información. Ledger advierte específicamente a los clientes sobre cualquier estafa que involucre dispositivos enviados a su dirección, buscando acceder a las billeteras de criptomonedas.
Microsoft detecta configuraciones erróneas utilizadas para suplantar dominios
En una publicación de blog, Microsoft advirtió que desde mayo de 2025, ha visto un aumento en los actores de amenazas que utilizan enrutamiento complejo y explotan las configuraciones erróneas para suplantar dominios en mensajes de phishing. La compañía se apresuró a señalar que esto no representa una vulnerabilidad en su método de flujo de correo Direct Send para Exchange. La mayoría de estos mensajes utilizaron la plataforma de phishing como servicio Tycoon2FA, utilizando señuelos como facturas comerciales a pagar o suplantando mensajes de Microsoft que piden a los usuarios que actualicen las contraseñas que están a punto de caducar para robar credenciales. Microsoft recomendó establecer políticas DMARC reject y SPF hard-fail estrictas y revisar las integraciones de conectores de terceros para evitar estos mensajes suplantados.
(Microsoft Threat Intelligence)
