Information security

El equipo de seguridad de Microsoft llevó a cabo una evaluación sobre el benchmarking de la seguridad de correo electrónico en capas, detallada en una publicación de blog de diciembre de 2025. El análisis se centró específicamente en el funcionamiento del Integrated Cloud Email Security (ICES).

El ecosistema ICES permite que Microsoft Defender for Office 365 se integre con proveedores de seguridad de correo electrónico externos y confiables, impulsando una estrategia de defensa multicapa. Esta integración permite a los usuarios aprovechar capacidades especializadas de socios externos mientras mantienen una experiencia unificada dentro del portal de Microsoft Defender.

Beneficios del ecosistema ICES

La implementación de este sistema ofrece diversas ventajas operativas y de seguridad:

• Cuarentena unificada: Permite visualizar y gestionar los correos electrónicos en cuarentena, tanto los de Defender for Office 365 como los de proveedores no pertenecientes a Microsoft, desde una única interfaz.
• Tableros consolidados: Proporciona acceso a métricas de efectividad transversales a todas las soluciones integradas para comprender mejor los resultados y la cobertura de detección.
• Defensa en profundidad: Refuerza la protección al combinar capacidades de terceros con las defensas nativas de Defender for Office 365.
• Operaciones optimizadas: Facilita una integración fluida con proveedores de seguridad de correo electrónico habilitados para API y nativos de la nube, consolidando los flujos de trabajo y la obtención de información dentro del portal de Defender.

Esta funcionalidad está disponible para los usuarios de Microsoft Defender for Office 365 Plan 2 y Microsoft Defender XDR.

La empresa de ciberseguridad Arctic Wolf ha advertido sobre un «nuevo grupo de actividad maliciosa automatizada» que implica cambios de configuración no autorizados en los dispositivos Fortinet FortiGate.

La actividad, según la compañía, comenzó el 15 de enero de 2026, y añade que presenta similitudes con una campaña de diciembre de 2025 en la que se registraron inicios de sesión SSO maliciosos en los dispositivos FortiGate contra la cuenta de administrador desde diferentes proveedores de alojamiento, explotando las vulnerabilidades CVE-2025-59718 y CVE-2025-59719.

Ambas vulnerabilidades permiten eludir la autenticación de inicio de sesión SSO sin autenticación a través de mensajes SAML creados, cuando la función de inicio de sesión único (SSO) de FortiCloud está habilitada en los dispositivos afectados. Estas deficiencias impactan a FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.

«Esta actividad involucró la creación de cuentas genéricas destinadas a la persistencia, cambios de configuración que otorgan acceso VPN a esas cuentas, así como la exfiltración de configuraciones de firewall», declaró Arctic Wolf sobre el creciente grupo de amenazas.

Específicamente, esto implica la realización de inicios de sesión SSO maliciosos contra una cuenta maliciosa «cloud-init@mail.io» desde cuatro direcciones IP diferentes, tras lo cual los archivos de configuración del firewall se exportan a las mismas direcciones IP a través de la interfaz gráfica de usuario. La lista de direcciones IP de origen es la siguiente:

• 104.28.244[.]115
• 104.28.212[.]114
• 217.119.139[.]50
• 37.1.209[.]19

Además, se ha observado que los actores de amenazas crean cuentas secundarias, como «secadmin», «itadmin», «support», «backup», «remoteadmin» y «audit», para la persistencia.

«Todos los eventos anteriores tuvieron lugar en cuestión de segundos, lo que indica la posibilidad de actividad automatizada», añadió Arctic Wolf.

La divulgación coincide con una publicación en Reddit en la que varios usuarios informaron haber visto inicios de sesión SSO maliciosos en dispositivos FortiOS completamente parcheados, con un usuario afirmando que «el equipo de desarrollo de Fortinet ha confirmado que la vulnerabilidad persiste o no está solucionada en la versión 7.4.10».

The Hacker News se ha puesto en contacto con Fortinet para solicitar comentarios y actualizaremos la noticia si recibimos respuesta. Mientras tanto, se recomienda deshabilitar la configuración «admin-forticloud-sso-login».

Investigadores de ciberseguridad han revelado detalles de una nueva campaña que utiliza WhatsApp como vector de distribución para un troyano bancario de Windows llamado Astaroth, en ataques dirigidos a Brasil.

La campaña ha sido denominada Boto Cor-de-Rosa por la Unidad de Investigación de Amenazas de Acronis.

«El malware recupera la lista de contactos de WhatsApp de la víctima y envía automáticamente mensajes maliciosos a cada contacto para propagar aún más la infección», señaló la compañía de ciberseguridad en un informe compartido con The Hacker News.

«Si bien el núcleo del payload de Astaroth permanece escrito en Delphi y su instalador depende de un script de Visual Basic, el nuevo módulo de gusano basado en WhatsApp se implementa completamente en Python, lo que destaca el creciente uso de componentes modulares multilingües por parte de los actores de la amenaza.»

Astaroth, también conocido como Guildma, es un malware bancario que ha sido detectado en la naturaleza desde 2015, dirigido principalmente a usuarios en América Latina, particularmente en Brasil, para facilitar el robo de datos. En 2024, múltiples grupos de amenazas rastreados como PINEAPPLE y Water Makara fueron observados utilizando correos electrónicos de phishing para propagar el malware.

El uso de WhatsApp como vehículo de entrega para troyanos bancarios es una nueva táctica que ha ganado tracción entre los actores de amenazas que se dirigen a los usuarios brasileños, un movimiento impulsado por el uso generalizado de la plataforma de mensajería en el país. El mes pasado, Trend Micro detalló la dependencia de Water Saci en WhatsApp para propagar Maverick y una variante de Casbaneiro.

Sophos, en un informe publicado en noviembre de 2025, dijo que está rastreando una campaña de distribución de malware por etapas codificada como STAC3150 que se dirige a los usuarios de WhatsApp en Brasil con Astaroth. Más del 95% de los dispositivos afectados se encontraban en Brasil, y, en menor medida, en los Estados Unidos y Austria.

La actividad, activa desde al menos el 24 de septiembre de 2025, entrega archivos ZIP que contienen un script de descarga que recupera un script de PowerShell o Python para recopilar los datos de los usuarios de WhatsApp para una mayor propagación, junto con un instalador MSI que implementa el troyano. Los últimos hallazgos de Acronis son una continuación de esta tendencia, donde los archivos ZIP distribuidos a través de mensajes de WhatsApp actúan como un punto de partida para la infección por malware.

«Cuando la víctima extrae y abre el archivo, se encuentra con un script de Visual Basic disfrazado de archivo benigno», dijo la compañía de ciberseguridad. «La ejecución de este script desencadena la descarga de los componentes de la siguiente etapa y marca el comienzo del compromiso.»

Esto incluye dos módulos:

• Un módulo de propagación basado en Python que recopila los contactos de WhatsApp de la víctima y reenvía automáticamente un archivo ZIP malicioso a cada uno de ellos, lo que conduce eficazmente a la propagación del malware de forma similar a un gusano.
• Un módulo bancario que opera en segundo plano y monitorea continuamente la actividad de navegación web de la víctima, y se activa cuando se visitan URL relacionadas con la banca para obtener credenciales y permitir ganancias financieras.

«El autor del malware también implementó un mecanismo integrado para rastrear e informar las métricas de propagación en tiempo real», dijo Acronis. «El código registra periódicamente estadísticas como el número de mensajes entregados con éxito, el número de intentos fallidos y la velocidad de envío medida en mensajes por minuto.»

Investigadores de ciberseguridad han revelado detalles de una nueva campaña, denominada PHALT#BLYX, que ha utilizado señuelos de tipo ClickFix para mostrar soluciones falsas para errores de pantalla azul de la muerte (BSoD) en ataques dirigidos al sector de la hostelería europeo.

El objetivo final de esta campaña, que se desarrolla en varias etapas, es entregar un troyano de acceso remoto conocido como DCRat, según la empresa de ciberseguridad Securonix. La actividad fue detectada a finales de diciembre de 2025.

«Para el acceso inicial, los actores de amenazas utilizan un señuelo de cancelación de reserva falsa de Booking.com para engañar a las víctimas y que ejecuten comandos maliciosos de PowerShell, que descargan y ejecutan código remoto silenciosamente», afirmaron los investigadores Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee.

El punto de partida de la cadena de ataque es un correo electrónico de phishing que suplanta a Booking.com y contiene un enlace a un sitio web falso (por ejemplo, «low-house[.]com»). Los mensajes advierten a los destinatarios sobre cancelaciones inesperadas de reservas, instándoles a hacer clic en el enlace para confirmar la cancelación.

El sitio web al que se redirige a la víctima se hace pasar por Booking.com y muestra una página de CAPTCHA falsa que los lleva a una página de BSoD falsa con «instrucciones de recuperación» para abrir el cuadro de diálogo Ejecutar de Windows, pegar un comando y presionar la tecla Enter. En realidad, esto resulta en la ejecución de un comando de PowerShell que finalmente implementa DCRat.

Específicamente, esto implica un proceso de varios pasos que comienza con el dropper de PowerShell descargando un archivo de proyecto MSBuild («v.proj») de «2fa-bns[.]com», que luego se ejecuta utilizando «MSBuild.exe» para ejecutar una carga útil integrada responsable de configurar exclusiones de Microsoft Defender Antivirus para evadir la detección, establecer la persistencia en el host en la carpeta de inicio y lanzar el malware RAT después de descargarlo desde la misma ubicación que el proyecto MSBuild.

También es capaz de desactivar el programa de seguridad por completo si se encuentra ejecutándose con privilegios de administrador. Si no tiene derechos elevados, el malware entra en un bucle que activa una solicitud de Control de cuentas de usuario de Windows (UAC) cada dos segundos durante tres veces con la esperanza de que la víctima le conceda los permisos necesarios por pura frustración.

Paralelamente, el código de PowerShell toma medidas para abrir la página de administración legítima de Booking.com en el navegador predeterminado como un mecanismo de distracción y para dar la impresión a la víctima de que la acción era legítima.

DCRat, también llamado Dark Crystal RAT, es un troyano .NET listo para usar que puede recopilar información confidencial y ampliar su funcionalidad mediante una arquitectura basada en plugins. Está equipado para conectarse a un servidor externo, perfilar el sistema infectado y esperar comandos entrantes del servidor, lo que permite a los atacantes registrar pulsaciones de teclas, ejecutar comandos arbitrarios y entregar cargas útiles adicionales, como un minero de criptomonedas.

La campaña es un ejemplo de cómo los actores de amenazas están aprovechando las técnicas de vivir de la tierra (LotL), como el abuso de binarios de sistema confiables como «MSBuild.exe», para avanzar la ataque, establecer un punto de apoyo más profundo y mantener la persistencia dentro de los hosts comprometidos.

«Los correos electrónicos de phishing destacan por incluir detalles de cargos de habitación en euros, lo que sugiere que la campaña se dirige activamente a organizaciones europeas», dijo Securonix. «El uso del idioma ruso dentro del archivo MSBuild ‘v.proj’ vincula esta actividad a actores de amenazas rusos que utilizan DCRat.»

«El uso de un archivo de proyecto MSBuild personalizado para la ejecución por proxy, junto con la manipulación agresiva de las exclusiones de Microsoft Defender, demuestra una profunda comprensión de los mecanismos modernos de protección de puntos finales.»

Se ha revelado una vulnerabilidad de seguridad de alta gravedad en MongoDB que podría permitir a usuarios no autenticados leer memoria heap no inicializada.

La vulnerabilidad, rastreada como CVE-2025-14847 (puntuación CVSS: 8.7), se ha descrito como un caso de manejo inadecuado de la inconsistencia del parámetro de longitud, que surge cuando un programa no aborda adecuadamente los escenarios en los que un campo de longitud es inconsistente con la longitud real de los datos asociados.

«Los campos de longitud no coincidentes en las cabeceras del protocolo comprimido Zlib pueden permitir la lectura de memoria heap no inicializada por un cliente no autenticado», según una descripción de la vulnerabilidad en CVE.org.

La vulnerabilidad afecta a las siguientes versiones de la base de datos:

• MongoDB 8.2.0 hasta 8.2.3
• MongoDB 8.0.0 hasta 8.0.16
• MongoDB 7.0.0 hasta 7.0.26
• MongoDB 6.0.0 hasta 6.0.26
• MongoDB 5.0.0 hasta 5.0.31
• MongoDB 4.4.0 hasta 4.4.29
• Todas las versiones de MongoDB Server v4.2
• Todas las versiones de MongoDB Server v4.0
• Todas las versiones de MongoDB Server v3.6

El problema se ha solucionado en las versiones de MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30.

«Una explotación del lado del cliente de la implementación zlib del servidor puede devolver memoria heap no inicializada sin autenticarse en el servidor», indicó MongoDB. «Recomendamos encarecidamente actualizar a una versión corregida lo antes posible.»

Si la actualización inmediata no es una opción, se recomienda deshabilitar la compresión zlib en el servidor MongoDB iniciando mongod o mongos con una opción networkMessageCompressors o una opción net.compression.compressors que omita explícitamente zlib. Las otras opciones de compresión admitidas por MongoDB son snappy y zstd.

«CVE-2025-14847 permite a un atacante remoto no autenticado activar una condición en la que el servidor MongoDB puede devolver memoria no inicializada de su heap», señaló OP Innovate. «Esto podría resultar en la divulgación de datos confidenciales en memoria, incluida la información de estado interno, los punteros u otros datos que puedan ayudar a un atacante en una explotación adicional.»