Tag:

network security

Análisis de Microsoft sobre seguridad de correo ICES

by Editor de Tecnologia abril 13, 2026

written by Editor de Tecnologia

El equipo de seguridad de Microsoft llevó a cabo una evaluación sobre el benchmarking de la seguridad de correo electrónico en capas, detallada en una publicación de blog de diciembre de 2025. El análisis se centró específicamente en el funcionamiento del Integrated Cloud Email Security (ICES).

El ecosistema ICES permite que Microsoft Defender for Office 365 se integre con proveedores de seguridad de correo electrónico externos y confiables, impulsando una estrategia de defensa multicapa. Esta integración permite a los usuarios aprovechar capacidades especializadas de socios externos mientras mantienen una experiencia unificada dentro del portal de Microsoft Defender.

Beneficios del ecosistema ICES

La implementación de este sistema ofrece diversas ventajas operativas y de seguridad:

Cuarentena unificada: Permite visualizar y gestionar los correos electrónicos en cuarentena, tanto los de Defender for Office 365 como los de proveedores no pertenecientes a Microsoft, desde una única interfaz.
Tableros consolidados: Proporciona acceso a métricas de efectividad transversales a todas las soluciones integradas para comprender mejor los resultados y la cobertura de detección.
Defensa en profundidad: Refuerza la protección al combinar capacidades de terceros con las defensas nativas de Defender for Office 365.
Operaciones optimizadas: Facilita una integración fluida con proveedores de seguridad de correo electrónico habilitados para API y nativos de la nube, consolidando los flujos de trabajo y la obtención de información dentro del portal de Defender.

Esta funcionalidad está disponible para los usuarios de Microsoft Defender for Office 365 Plan 2 y Microsoft Defender XDR.

abril 13, 2026 0 comments

Tecnología

F1 y Ciberseguridad: Resiliencia y Ventaja Competitiva

by Editor de Tecnologia marzo 16, 2026

written by Editor de Tecnologia

La Fórmula 1 es reconocida mundialmente por su precisión en la ingeniería y por las carreras que se ganan o se pierden por milésimas de segundo. Si bien siempre ha sido una disciplina impulsada por los datos, la atención a la seguridad y la resiliencia se está profundizando. Para profundizar en estos temas, tuve el placer de unirme a colegas de la industria y al equipo Atlassian Williams F1 en una visita ‘entre bastidores’ a la carrera inaugural de la temporada en Albert Park, Melbourne.

El riesgo de terceros determina la resiliencia en el día de la carrera

El automovilismo depende de una combinación diversificada de socios proveedores para ofrecer un alto rendimiento. Piense en los dispositivos, los clústeres y el software involucrados antes de la carrera y en la pista. Esa red conlleva riesgos de terceros. Sin embargo, no todas las conexiones son iguales: una conexión WiFi de invitados segregada de la pista tiene menos riesgo que los sistemas que capturan y procesan la telemetría durante la carrera. Gestionar el riesgo de terceros en el garaje es similar a gestionarlo en una empresa compleja: el riesgo de su proveedor es su riesgo. James Kent, director de tecnología del equipo en la pista, dijo: «Nos asociamos con proveedores que se alinean con nuestra propia estrategia». Al seleccionar socios proveedores que consideran la seguridad como un imperativo empresarial, el equipo está obteniendo resiliencia, no solo suministros. También está adoptando un enfoque de seguridad por capas, basado en la sensibilidad de los datos. «Tenemos múltiples enlaces de datos», dijo Kent. «Estos se agregan o bloquean según los requisitos de latencia y seguridad».

Los nuevos tipos de identidades también plantean nuevos riesgos de terceros. Las organizaciones ahora gestionan muchas identidades de máquina no humanas de sus proveedores. Atrás quedaron los días en que las organizaciones podían rotar al personal temporal utilizando un inicio de sesión genérico de un proyecto a otro. Se requieren identidades específicas del rol con autenticación con conocimiento de la ubicación y enfoques de confianza cero para mantener la organización segura. Esto es particularmente cierto a medida que el software aplica cada vez más políticas, detecta conexiones riesgosas, rota credenciales y protege entornos multi-nube.

Equilibrar la sensibilidad de los datos y el riesgo para generar una ventaja competitiva

La Fórmula 1 vive y respira datos. Estos datos abarcan toda la telemetría habitual: desde los datos de aceleración y frenado, hasta la velocidad en las curvas, el cambio de marchas, las condiciones de la pista y mucho más. Pero es la forma en que se combinan esos datos lo que marca la diferencia. «Cuando regreso al garaje, mi compañero de equipo y yo constantemente nos superamos gracias al análisis de datos», dijo Carlos Sainz Jr. «Pero hay un punto óptimo. Eres más lento si no utilizas los datos correctamente, pero puede quitarte demasiada concentración si te apoyas demasiado en ellos».

Encontrar el equilibrio adecuado no se trata solo de construir esa resiliencia personal. También se trata de correlacionar las perspectivas correctas. La primera es la experiencia en la pista del piloto, basada en su historial de carreras anterior. La segunda proviene de simulaciones en la pista que combinan datos actuales e históricos de carreras de clústeres en la pista y la nube, respectivamente. Y la tercera es un modelo óptimo que predice la mejor ruta sin considerar las entradas humanas. Al combinar estas 3 perspectivas, con el nivel de fidelidad y el período de tiempo adecuados, el equipo puede descubrir una comprensión más profunda de las tendencias de la carrera para generar una ventaja competitiva.

Ese equilibrio también implica recopilar y proteger los datos correctos. Debido a que los datos tienen una gravedad, en la infraestructura de soporte, la arquitectura de datos y la seguridad, recopilar los datos incorrectos plantea riesgos cibernéticos, de privacidad y de latencia. «Presto mucha atención a qué datos estamos moviendo, cómo los estamos moviendo y a dónde los estamos moviendo», dijo Kent. «Nos asociamos con organizaciones para que nos protejan porque la amenaza cibernética es constante». Escatimar en las protecciones y recopilar los datos incorrectos simplemente no vale la pena.

Asegurar un alto rendimiento con los fundamentos y las palancas correctas

Las continuas incertidumbres geopolíticas dificultan que las empresas construyan y mantengan el valor empresarial, especialmente para un deporte global como la F1. Centrarse en los fundamentos organizacionales es crucial al decidir qué palancas de cambio accionar. En términos de construir resiliencia cibernética, Darren Guccione, director ejecutivo y cofundador de Keeper Security, va más allá de la tecnología para centrarse en el fundamento humano. «El modelo de ciberseguridad es simple, pero la ejecución es compleja», dijo. «A menudo existe una relación inversa entre la ciberseguridad y la facilidad de uso. Intentamos unificar la seguridad y facilitarla porque si es compleja, los empleados encontrarán formas de evitarla. Eso pone en riesgo a la empresa».

La simplificación de la cadena de herramientas con un enfoque de plataforma es solo el comienzo. El cambio cultural también debe acelerarse. Elevar la cultura de seguridad a nivel de liderazgo y fuerza laboral puede garantizar la resiliencia contra nuevos ataques que las herramientas pueden pasar por alto. La creatividad y el ingenio son las claves para desbloquear mayores defensas.

Además de los fundamentos tecnológicos y humanos, también es importante unificar los procesos de gestión de riesgos. Piense en todo el esfuerzo que se dedica a auditar e informar sobre los requisitos reglamentarios, como la Gestión del Riesgo Operacional (CPS 230). Bajo esa regulación, los jefes de departamento son propietarios y deben comprender los riesgos inherentes a los activos tecnológicos bajo su responsabilidad. Pero cuando se trata de auditar y evaluar esos riesgos, los procesos desconectados y las soluciones puntuales aisladas dificultan la elaboración de informes. En opinión de Guccione, «Una organización podría tener 25 productos de seguridad diferentes, pero no están conectados. Esto conduce a brechas operativas y de seguridad, lo que hace imposible generar un informe de cumplimiento. Por lo tanto, hemos integrado todas esas aplicaciones de seguridad básicas en una plataforma unificada. Ese es el futuro».

Datos, seguridad y resiliencia para impulsar un alto rendimiento. Al seleccionar los socios adecuados, recopilar solo los datos esenciales y basarse en los fundamentos correctos, las organizaciones pueden crear una resiliencia personal, cibernética y operativa más profunda. Los líderes tecnológicos adoptan estos enfoques de forma proactiva para construir y mantener la resiliencia en un entorno cada vez más incierto.

marzo 16, 2026 0 comments

Negocio

Orange y Cisco: Redes Seguras Post-Cuánticas para Empresas

by Editora de Negocio febrero 10, 2026

written by Editora de Negocio

Resumen para el lector

Orange Business y Cisco han lanzado servicios de red protegidos con criptografía post-cuántica (CPQ) en la infraestructura global de Orange para proteger los datos de empresas y del sector público frente a futuras amenazas cuánticas.
Orange Business es el primer proveedor de servicios europeo en ofrecer servicios globales de WAN protegidos con CPQ utilizando los routers seguros de la serie Cisco 8000, con la disponibilidad comercial de los servicios Cisco SD-WAN gestionados con CPQ prevista para el tercer trimestre de 2026.
La colaboración se centra en arquitecturas SD-WAN gestionadas de forma centralizada y con capacidad de adaptación criptográfica, diseñadas para mitigar los riesgos de “recopilar ahora, descifrar más tarde” a medida que avanza la computación cuántica.

COMUNICADO DE PRENSA — Orange Business y Cisco han anunciado hoy su colaboración en soluciones de Criptografía Post-Cuántica (CPQ) seguras sobre la infraestructura de red global de Orange Business. Esto proporciona a los clientes, desde empresas hasta el sector público, una protección a largo plazo contra futuros ataques cuánticos a su tráfico de red.

Orange Business es el primer proveedor de servicios europeo en anunciar servicios de red global protegidos con CPQ basados en Cisco 8000 Series Secure Routers. Estos routers están diseñados específicamente para la era cuántica, proporcionando una conectividad de red robusta y segura contra la computación cuántica.

A partir de hoy, los servicios WAN protegidos con CPQ ya están disponibles. Los servicios Orange Business gestionados con Cisco SD-WAN y protegidos con CPQ tienen como objetivo estar disponibles comercialmente en el tercer trimestre del año fiscal 2026. Los clientes pueden confiar en que los datos confidenciales que se mueven a través de las organizaciones, la nube y los centros de datos permanecen seguros, incluso ante la amenaza de la computación cuántica.

A medida que avanza la computación cuántica, muchos algoritmos criptográficos clásicos de uso común se volverán cada vez más vulnerables. Esto crea el riesgo de que los datos interceptados hoy puedan ser descifrados en el futuro, una amenaza conocida como “recopilar ahora, descifrar más tarde”. Los clientes deben actuar ahora para evitar esta exposición. La CPQ integrada en las infraestructuras Cisco SD-WAN es fácil de implementar para los clientes como una función de software, especialmente como un servicio gestionado. Ayudará a los clientes a proteger sus datos y operaciones contra las amenazas actuales y futuras.

La integración de la CPQ en SD-WAN hace que la infraestructura SD-WAN y sus planos de control y datos sean seguros para la computación cuántica, garantizando que la forma en que los sitios se conectan, se autentican y intercambian claves permanezca segura. La ventaja de integrar la CPQ en SD-WAN es que protege toda la WAN, no solo los túneles individuales. Esto proporciona a los clientes una WAN única, gestionada de forma centralizada y resistente a la computación cuántica, que puede evolucionar a medida que cambian los estándares.

El último componente del portafolio Orange Quantum Defender

La CPQ sobre Cisco SD-WAN es la última incorporación a la gama de soluciones Orange Quantum Defender, reforzando el liderazgo de Orange en redes seguras para la computación cuántica. Orange se centra en preparar a las empresas y a los clientes de infraestructuras críticas para el futuro impacto de la computación cuántica mediante la incorporación de la seguridad post-cuántica en la seguridad de la red desde el principio, en lugar de considerarla una actualización posterior.

La estrategia de redes seguras para la computación cuántica de Orange enfatiza la agilidad criptográfica, asegurando que las redes estén diseñadas para permitir la rápida alteración o actualización de algoritmos y protocolos criptográficos, minimizando así las interrupciones y manteniendo la confidencialidad a lo largo de ciclos de vida de datos prolongados.

Un enfoque paso a paso

Al adoptar un enfoque alineado con los estándares para las redes seguras para la computación cuántica con CPQ sobre SD-WAN, Orange y Cisco están ayudando a los clientes a proteger sus operaciones y a mantener la confianza de los clientes en el futuro. El objetivo es garantizar que las comunicaciones de datos y los servicios digitales sigan siendo seguros, incluso a medida que evolucionan las amenazas de seguridad cuántica, sin obligar a los clientes a realizar cambios repentinos e disruptivos.

Jean-Noël Michel Vice President, Communication Services Business Line at Orange Business

Jean-Noël es responsable de la cartera de productos y la ingeniería de conectividad, comunicación, colaboración, centros de contacto y servicios profesionales. Cuenta con más de 25 años de experiencia en la industria de las telecomunicaciones. Antes de unirse a Orange Business, fue responsable de la innovación de productos para los mercados B2B en todo el Grupo Orange y ha liderado roles de liderazgo en Orange en plataformas de servicios, TI, B2B, marketing y desarrollo empresarial.

Vikas Butaney SVP and General Manager, Secure Routing and Industrial IoT at Cisco

Vikas lidera la estrategia de productos, la hoja de ruta y el desarrollo de Cisco Routing y SD-WAN, Industrial Networking, Industrial Cyber Security y Multicloud Networking. A medida que la red y la seguridad se integran cada vez más, Vikas ha liderado la implementación de una oferta SD-WAN con seguridad integral incorporada. Al unir todas estas tecnologías con la visión de Cisco Networking Cloud, Vikas está ayudando a los clientes a simplificar, asegurar y escalar sus negocios.

febrero 10, 2026 0 comments

Tecnología

Fortinet FortiGate: Ataque por cambios de configuración vía SSO

by Editor de Tecnologia enero 22, 2026

written by Editor de Tecnologia

La empresa de ciberseguridad Arctic Wolf ha advertido sobre un «nuevo grupo de actividad maliciosa automatizada» que implica cambios de configuración no autorizados en los dispositivos Fortinet FortiGate.

La actividad, según la compañía, comenzó el 15 de enero de 2026, y añade que presenta similitudes con una campaña de diciembre de 2025 en la que se registraron inicios de sesión SSO maliciosos en los dispositivos FortiGate contra la cuenta de administrador desde diferentes proveedores de alojamiento, explotando las vulnerabilidades CVE-2025-59718 y CVE-2025-59719.

Ambas vulnerabilidades permiten eludir la autenticación de inicio de sesión SSO sin autenticación a través de mensajes SAML creados, cuando la función de inicio de sesión único (SSO) de FortiCloud está habilitada en los dispositivos afectados. Estas deficiencias impactan a FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.

«Esta actividad involucró la creación de cuentas genéricas destinadas a la persistencia, cambios de configuración que otorgan acceso VPN a esas cuentas, así como la exfiltración de configuraciones de firewall», declaró Arctic Wolf sobre el creciente grupo de amenazas.

Específicamente, esto implica la realización de inicios de sesión SSO maliciosos contra una cuenta maliciosa «cloud-init@mail.io» desde cuatro direcciones IP diferentes, tras lo cual los archivos de configuración del firewall se exportan a las mismas direcciones IP a través de la interfaz gráfica de usuario. La lista de direcciones IP de origen es la siguiente:

104.28.244[.]115
104.28.212[.]114
217.119.139[.]50
37.1.209[.]19

Además, se ha observado que los actores de amenazas crean cuentas secundarias, como «secadmin», «itadmin», «support», «backup», «remoteadmin» y «audit», para la persistencia.

«Todos los eventos anteriores tuvieron lugar en cuestión de segundos, lo que indica la posibilidad de actividad automatizada», añadió Arctic Wolf.

La divulgación coincide con una publicación en Reddit en la que varios usuarios informaron haber visto inicios de sesión SSO maliciosos en dispositivos FortiOS completamente parcheados, con un usuario afirmando que «el equipo de desarrollo de Fortinet ha confirmado que la vulnerabilidad persiste o no está solucionada en la versión 7.4.10».

The Hacker News se ha puesto en contacto con Fortinet para solicitar comentarios y actualizaremos la noticia si recibimos respuesta. Mientras tanto, se recomienda deshabilitar la configuración «admin-forticloud-sso-login».

enero 22, 2026 0 comments

Tecnología

WhatsApp: Nueva campaña Boto Cor-de-Rosa distribuye troyano bancario Astaroth en Brasil

by Editor de Tecnologia enero 9, 2026

written by Editor de Tecnologia

Investigadores de ciberseguridad han revelado detalles de una nueva campaña que utiliza WhatsApp como vector de distribución para un troyano bancario de Windows llamado Astaroth, en ataques dirigidos a Brasil.

La campaña ha sido denominada Boto Cor-de-Rosa por la Unidad de Investigación de Amenazas de Acronis.

«El malware recupera la lista de contactos de WhatsApp de la víctima y envía automáticamente mensajes maliciosos a cada contacto para propagar aún más la infección», señaló la compañía de ciberseguridad en un informe compartido con The Hacker News.

«Si bien el núcleo del payload de Astaroth permanece escrito en Delphi y su instalador depende de un script de Visual Basic, el nuevo módulo de gusano basado en WhatsApp se implementa completamente en Python, lo que destaca el creciente uso de componentes modulares multilingües por parte de los actores de la amenaza.»

Astaroth, también conocido como Guildma, es un malware bancario que ha sido detectado en la naturaleza desde 2015, dirigido principalmente a usuarios en América Latina, particularmente en Brasil, para facilitar el robo de datos. En 2024, múltiples grupos de amenazas rastreados como PINEAPPLE y Water Makara fueron observados utilizando correos electrónicos de phishing para propagar el malware.

El uso de WhatsApp como vehículo de entrega para troyanos bancarios es una nueva táctica que ha ganado tracción entre los actores de amenazas que se dirigen a los usuarios brasileños, un movimiento impulsado por el uso generalizado de la plataforma de mensajería en el país. El mes pasado, Trend Micro detalló la dependencia de Water Saci en WhatsApp para propagar Maverick y una variante de Casbaneiro.

Sophos, en un informe publicado en noviembre de 2025, dijo que está rastreando una campaña de distribución de malware por etapas codificada como STAC3150 que se dirige a los usuarios de WhatsApp en Brasil con Astaroth. Más del 95% de los dispositivos afectados se encontraban en Brasil, y, en menor medida, en los Estados Unidos y Austria.

La actividad, activa desde al menos el 24 de septiembre de 2025, entrega archivos ZIP que contienen un script de descarga que recupera un script de PowerShell o Python para recopilar los datos de los usuarios de WhatsApp para una mayor propagación, junto con un instalador MSI que implementa el troyano. Los últimos hallazgos de Acronis son una continuación de esta tendencia, donde los archivos ZIP distribuidos a través de mensajes de WhatsApp actúan como un punto de partida para la infección por malware.

«Cuando la víctima extrae y abre el archivo, se encuentra con un script de Visual Basic disfrazado de archivo benigno», dijo la compañía de ciberseguridad. «La ejecución de este script desencadena la descarga de los componentes de la siguiente etapa y marca el comienzo del compromiso.»

Esto incluye dos módulos:

Un módulo de propagación basado en Python que recopila los contactos de WhatsApp de la víctima y reenvía automáticamente un archivo ZIP malicioso a cada uno de ellos, lo que conduce eficazmente a la propagación del malware de forma similar a un gusano.
Un módulo bancario que opera en segundo plano y monitorea continuamente la actividad de navegación web de la víctima, y se activa cuando se visitan URL relacionadas con la banca para obtener credenciales y permitir ganancias financieras.

«El autor del malware también implementó un mecanismo integrado para rastrear e informar las métricas de propagación en tiempo real», dijo Acronis. «El código registra periódicamente estadísticas como el número de mensajes entregados con éxito, el número de intentos fallidos y la velocidad de envío medida en mensajes por minuto.»

enero 9, 2026 0 comments

Tecnología

PHALT#BLYX: Nueva campaña con DCRat ataca al sector hotelero europeo

by Editor de Tecnologia enero 7, 2026

written by Editor de Tecnologia

Investigadores de ciberseguridad han revelado detalles de una nueva campaña, denominada PHALT#BLYX, que ha utilizado señuelos de tipo ClickFix para mostrar soluciones falsas para errores de pantalla azul de la muerte (BSoD) en ataques dirigidos al sector de la hostelería europeo.

El objetivo final de esta campaña, que se desarrolla en varias etapas, es entregar un troyano de acceso remoto conocido como DCRat, según la empresa de ciberseguridad Securonix. La actividad fue detectada a finales de diciembre de 2025.

«Para el acceso inicial, los actores de amenazas utilizan un señuelo de cancelación de reserva falsa de Booking.com para engañar a las víctimas y que ejecuten comandos maliciosos de PowerShell, que descargan y ejecutan código remoto silenciosamente», afirmaron los investigadores Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee.

El punto de partida de la cadena de ataque es un correo electrónico de phishing que suplanta a Booking.com y contiene un enlace a un sitio web falso (por ejemplo, «low-house[.]com»). Los mensajes advierten a los destinatarios sobre cancelaciones inesperadas de reservas, instándoles a hacer clic en el enlace para confirmar la cancelación.

El sitio web al que se redirige a la víctima se hace pasar por Booking.com y muestra una página de CAPTCHA falsa que los lleva a una página de BSoD falsa con «instrucciones de recuperación» para abrir el cuadro de diálogo Ejecutar de Windows, pegar un comando y presionar la tecla Enter. En realidad, esto resulta en la ejecución de un comando de PowerShell que finalmente implementa DCRat.

Específicamente, esto implica un proceso de varios pasos que comienza con el dropper de PowerShell descargando un archivo de proyecto MSBuild («v.proj») de «2fa-bns[.]com», que luego se ejecuta utilizando «MSBuild.exe» para ejecutar una carga útil integrada responsable de configurar exclusiones de Microsoft Defender Antivirus para evadir la detección, establecer la persistencia en el host en la carpeta de inicio y lanzar el malware RAT después de descargarlo desde la misma ubicación que el proyecto MSBuild.

También es capaz de desactivar el programa de seguridad por completo si se encuentra ejecutándose con privilegios de administrador. Si no tiene derechos elevados, el malware entra en un bucle que activa una solicitud de Control de cuentas de usuario de Windows (UAC) cada dos segundos durante tres veces con la esperanza de que la víctima le conceda los permisos necesarios por pura frustración.

Paralelamente, el código de PowerShell toma medidas para abrir la página de administración legítima de Booking.com en el navegador predeterminado como un mecanismo de distracción y para dar la impresión a la víctima de que la acción era legítima.

DCRat, también llamado Dark Crystal RAT, es un troyano .NET listo para usar que puede recopilar información confidencial y ampliar su funcionalidad mediante una arquitectura basada en plugins. Está equipado para conectarse a un servidor externo, perfilar el sistema infectado y esperar comandos entrantes del servidor, lo que permite a los atacantes registrar pulsaciones de teclas, ejecutar comandos arbitrarios y entregar cargas útiles adicionales, como un minero de criptomonedas.

La campaña es un ejemplo de cómo los actores de amenazas están aprovechando las técnicas de vivir de la tierra (LotL), como el abuso de binarios de sistema confiables como «MSBuild.exe», para avanzar la ataque, establecer un punto de apoyo más profundo y mantener la persistencia dentro de los hosts comprometidos.

«Los correos electrónicos de phishing destacan por incluir detalles de cargos de habitación en euros, lo que sugiere que la campaña se dirige activamente a organizaciones europeas», dijo Securonix. «El uso del idioma ruso dentro del archivo MSBuild ‘v.proj’ vincula esta actividad a actores de amenazas rusos que utilizan DCRat.»

«El uso de un archivo de proyecto MSBuild personalizado para la ejecución por proxy, junto con la manipulación agresiva de las exclusiones de Microsoft Defender, demuestra una profunda comprensión de los mecanismos modernos de protección de puntos finales.»

enero 7, 2026 0 comments

Tecnología

Vulnerabilidad Crítica en MongoDB: Lectura de Memoria No Inicializada

by Editor de Tecnologia diciembre 27, 2025

written by Editor de Tecnologia

Se ha revelado una vulnerabilidad de seguridad de alta gravedad en MongoDB que podría permitir a usuarios no autenticados leer memoria heap no inicializada.

La vulnerabilidad, rastreada como CVE-2025-14847 (puntuación CVSS: 8.7), se ha descrito como un caso de manejo inadecuado de la inconsistencia del parámetro de longitud, que surge cuando un programa no aborda adecuadamente los escenarios en los que un campo de longitud es inconsistente con la longitud real de los datos asociados.

«Los campos de longitud no coincidentes en las cabeceras del protocolo comprimido Zlib pueden permitir la lectura de memoria heap no inicializada por un cliente no autenticado», según una descripción de la vulnerabilidad en CVE.org.

La vulnerabilidad afecta a las siguientes versiones de la base de datos:

MongoDB 8.2.0 hasta 8.2.3
MongoDB 8.0.0 hasta 8.0.16
MongoDB 7.0.0 hasta 7.0.26
MongoDB 6.0.0 hasta 6.0.26
MongoDB 5.0.0 hasta 5.0.31
MongoDB 4.4.0 hasta 4.4.29
Todas las versiones de MongoDB Server v4.2
Todas las versiones de MongoDB Server v4.0
Todas las versiones de MongoDB Server v3.6

El problema se ha solucionado en las versiones de MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30.

«Una explotación del lado del cliente de la implementación zlib del servidor puede devolver memoria heap no inicializada sin autenticarse en el servidor», indicó MongoDB. «Recomendamos encarecidamente actualizar a una versión corregida lo antes posible.»

Si la actualización inmediata no es una opción, se recomienda deshabilitar la compresión zlib en el servidor MongoDB iniciando mongod o mongos con una opción networkMessageCompressors o una opción net.compression.compressors que omita explícitamente zlib. Las otras opciones de compresión admitidas por MongoDB son snappy y zstd.

«CVE-2025-14847 permite a un atacante remoto no autenticado activar una condición en la que el servidor MongoDB puede devolver memoria no inicializada de su heap», señaló OP Innovate. «Esto podría resultar en la divulgación de datos confidenciales en memoria, incluida la información de estado interno, los punteros u otros datos que puedan ayudar a un atacante en una explotación adicional.»

diciembre 27, 2025 0 comments

Tecnología

Seguridad Gadgets Conectados: Protege tu Privacidad

by Editor de Tecnologia diciembre 19, 2025

written by Editor de Tecnologia

Especialistas en seguridad advierten que la oleada de nuevos dispositivos conectados recibidos durante las fiestas navideñas podría ampliar la superficie de ataque para los ciberdelincuentes si los consumidores dejan la configuración predeterminada sin modificar e ignoran las prácticas básicas de higiene digital.

Desde relojes inteligentes y rastreadores de actividad física hasta altavoces inteligentes y dispositivos domésticos conectados a Internet, muchos productos ahora recopilan información detallada sobre los movimientos, hábitos y hogares de los usuarios. Los expertos en seguridad afirman que el volumen de datos personales los convierte en objetivos atractivos para los atacantes y en una posible fuente de exposición involuntaria de datos.

Chris Harris, Director Técnico de EMEA en Thales, señaló que los consumidores a menudo subestiman la sensibilidad de la información generada por los dispositivos cotidianos.

«Ya sea que hayas desempaquetado un nuevo reloj inteligente en Navidad o te hayas regalado la última tecnología para el sueño o el fitness durante las rebajas, es fácil olvidar que estos dispositivos hacen mucho más que contar pasos. Cada notificación, lectura de sensor y señal de ubicación alimenta tu rastro de datos diario, que puede revelar mucho más sobre ti de lo que imaginas, desde tus rutinas y movimientos hasta información sobre tu salud y hábitos.

Gran parte de esta recopilación de datos ocurre silenciosamente en segundo plano, y si bien las marcas premium a menudo incorporan protecciones sólidas, no todos los dispositivos del mercado se toman la seguridad en serio. Por eso es tan importante tomar algunas medidas sencillas para proteger tu nueva tecnología. Con las precauciones adecuadas, puedes disfrutar de la comodidad de los dispositivos inteligentes sin revelar información personal innecesaria, comenzando el año con un mayor control de tu identidad digital.»

Esta recomendación se produce en un momento en que los analistas pronostican un crecimiento continuo en el mercado de dispositivos portátiles y para el hogar inteligente. La base instalada de dispositivos de consumo conectados se ha expandido en los últimos años, lo que ha aumentado la cantidad de datos personales y de comportamiento almacenados en servicios en la nube y ecosistemas de dispositivos.

Los profesionales de la seguridad indican que los riesgos van desde el robo de cuentas y la suplantación de identidad hasta la elaboración de perfiles detallados de las rutinas domésticas. Señalan altos niveles de reutilización de contraseñas débiles, una conciencia limitada de la configuración de privacidad predeterminada y una adopción irregular de las actualizaciones de software.

Elección de dispositivos

Harris aconsejó a los consumidores que evalúen los productos en función de la seguridad antes de comprarlos. Destacó la forma en que los fabricantes describen su enfoque de la protección de datos.

Las recomendaciones indican que los compradores deben buscar marcas que expliquen claramente sus características de seguridad y cifrado. También deben buscar información sobre actualizaciones de software periódicas y procesos de incorporación seguros durante la configuración. La falta de cualquier referencia a la seguridad se describe como una señal de advertencia.

Los especialistas en seguridad han destacado la creciente presión regulatoria sobre los fabricantes en regiones como el Reino Unido y la Unión Europea. Las nuevas normas buscan una divulgación más clara de los períodos de soporte de software y un uso más coherente de la configuración predeterminada segura en los dispositivos de consumo.

Exposición de datos

El consejo también se centra en limitar la recopilación innecesaria de datos. Muchos dispositivos solicitan el seguimiento continuo de la ubicación, la sincronización en segundo plano o métricas de salud detalladas como estándar.

Harris sugiere que los usuarios desactiven las funciones de recopilación de datos que no necesitan en el uso diario. La guía señala que cuanto menos datos se recopilen, menos datos pueden exponerse en caso de una violación o pérdida del dispositivo.

La configuración de la red es otro punto clave. Se anima a los usuarios con enrutadores compatibles a configurar una red de invitados o de Internet de las Cosas separada para dispositivos portátiles y para el hogar inteligente. Los expertos en seguridad afirman que esto puede reducir el riesgo de que un dispositivo comprometido proporcione a los atacantes una vía de acceso a portátiles o sistemas de trabajo en la red doméstica principal.

Permisos de aplicaciones

Una recomendación clave es que los usuarios revisen los permisos de las aplicaciones tan pronto como instalen el software complementario en sus teléfonos inteligentes. Muchas aplicaciones solicitan acceso a micrófonos, contactos o cámaras como parte de la configuración predeterminada.

La guía recomienda reducir estos permisos a lo esencial. También insta a los usuarios a borrar los datos personales de cualquier dispositivo antiguo que planeen vender o entregar, para evitar que los restos de datos se recuperen posteriormente.

Harris advierte contra la aprobación de solicitudes de acceso sin escrutinio. «NO toques ‘Permitir’ en cada ventana emergente sin pensar: las aplicaciones a menudo solicitan más acceso del que realmente necesitan, lo que aumenta tu riesgo si alguna vez son vulneradas», dijo Harris.

Actualizaciones y contraseñas

Los investigadores de seguridad han destacado repetidamente la lenta adopción de actualizaciones de software y firmware como un problema importante en la tecnología de consumo. A veces, los nuevos dispositivos se envían con firmware que es anterior a los últimos parches.

La guía insta a los usuarios a instalar las actualizaciones tan pronto como desempaqueten los dispositivos. Señala que la actualización inmediata puede cerrar vulnerabilidades de seguridad recientemente descubiertas.

El consejo también advierte contra el retraso de los parches. Afirma que los atacantes suelen atacar vulnerabilidades conocidas que los fabricantes ya han corregido, pero que siguen siendo explotables si los usuarios no instalan la actualización.

La seguridad de la cuenta es otra parte de las recomendaciones. Se anima a los usuarios a utilizar contraseñas seguras y únicas para los servicios en la nube que almacenan datos de dispositivos portátiles. También se les aconseja que habiliten la autenticación multifactor en las cuentas pertinentes, ya que estos repositorios de información de fitness y ubicación se consideran atractivos para los delincuentes.

Compartir en redes sociales

Además de la configuración técnica, Harris destaca el riesgo de compartir en exceso a través de publicaciones en redes sociales. Las capturas de pantalla de aplicaciones de fitness o paneles de control del hogar pueden revelar rutinas regulares, ubicaciones y patrones de viaje.

La guía aconseja no publicar imágenes que muestren rutas diarias detalladas o que identifiquen las direcciones de casa y del trabajo. Señala que algunas aplicaciones ofrecen zonas de privacidad que ocultan los puntos de inicio y finalización de las actividades, pero también afirma que los usuarios deben evitar publicar si aún no están seguros.

Con la entrada de más productos conectados en los hogares, los expertos en seguridad esperan un escrutinio continuo de cómo se recopilan, almacenan y comparten los datos de los consumidores. Harris dijo que las precauciones básicas por parte de los usuarios finales pueden reducir la exposición mientras los fabricantes se adaptan a una regulación más estricta y a las crecientes expectativas de los clientes en materia de privacidad.

diciembre 19, 2025 0 comments

Tecnología

NANOREMOTE: Nuevo Backdoor de Windows Usa Google Drive para C2

by Editor de Tecnologia diciembre 12, 2025

written by Editor de Tecnologia

Investigadores de ciberseguridad han revelado detalles de un nuevo y completo backdoor para Windows, denominado NANOREMOTE, que utiliza la API de Google Drive con fines de comando y control (C2).

Según un informe de Elastic Security Labs, el malware comparte similitudes de código con otro implante codenombrado FINALDRAFT (también conocido como Squidoor), que emplea la API de Microsoft Graph para C2. FINALDRAFT se atribuye a un clúster de amenazas conocido como REF7707 (también conocido como CL-STA-0049, Earth Alux y Jewelbug).

«Una de las características principales del malware se centra en el envío de datos de ida y vuelta desde el punto final víctima utilizando la API de Google Drive», afirmó Daniel Stepanic, investigador principal de seguridad en Elastic Security Labs.

«Esta característica proporciona un canal para el robo de datos y la preparación de cargas útiles que es difícil de detectar. El malware incluye un sistema de gestión de tareas utilizado para capacidades de transferencia de archivos que incluyen la puesta en cola de tareas de descarga/carga, la pausa/reanudación de transferencias de archivos, la cancelación de transferencias de archivos y la generación de tokens de actualización.»

Se cree que REF7707 es un clúster de actividad china sospechosa que ha atacado a gobiernos, defensa, telecomunicaciones, educación y sectores de aviación en el sudeste asiático y América del Sur desde marzo de 2023, según Palo Alto Networks Unit 42. En octubre de 2025, Symantec, propiedad de Broadcom, atribuyó al grupo de hackers una intrusión de cinco meses de duración dirigida a un proveedor de servicios de TI ruso.

El vector de acceso inicial exacto utilizado para entregar NANOREMOTE actualmente se desconoce. Sin embargo, la cadena de ataque observada incluye un cargador llamado WMLOADER que imita un componente de manejo de fallos de Bitdefender («BDReinit.exe») y descifra el shellcode responsable de lanzar el backdoor.

Escrito en C++, NANOREMOTE está equipado para realizar reconocimiento, ejecutar archivos y comandos, y transferir archivos hacia y desde entornos de víctimas utilizando la API de Google Drive. También está preconfigurado para comunicarse con una dirección IP no enrutable codificada en el programa a través de HTTP para procesar las solicitudes enviadas por el operador y enviar la respuesta.

«Estas solicitudes se producen a través de HTTP donde los datos JSON se envían a través de solicitudes POST que están comprimidas con Zlib y cifradas con AES-CBC utilizando una clave de 16 bytes (558bec83ec40535657833d7440001c00)», dijo Elastic. «La URI para todas las solicitudes utiliza /api/client con User-Agent (NanoRemote/1.0).»

Su funcionalidad principal se realiza a través de un conjunto de 22 controladores de comandos que le permiten recopilar información del host, llevar a cabo operaciones de archivos y directorios, ejecutar archivos ejecutables portátiles (PE) ya presentes en el disco, borrar la caché, descargar/cargar archivos a Google Drive, pausar/reanudar/cancelar transferencias de datos y terminar su ejecución.

Elastic dijo que identificó un artefacto («wmsetup.log«) subido a VirusTotal desde Filipinas el 3 de octubre de 2025, que es capaz de ser descifrado por WMLOADER con la misma clave de 16 bytes para revelar un implante FINALDRAFT, lo que indica que las dos familias de malware probablemente son obra del mismo actor de amenazas. No está claro por qué se está utilizando la misma clave codificada en ambos.

«Nuestra hipótesis es que WMLOADER utiliza la misma clave codificada debido a que forma parte del mismo proceso de construcción/desarrollo que le permite funcionar con varios payloads», dijo Stepanic. «Esto parece ser otra señal fuerte que sugiere una base de código compartida y un entorno de desarrollo entre FINALDRAFT y NANOREMOTE.»

diciembre 12, 2025 0 comments

Tecnología

Silver Fox: Campaña de SEO Poisoning con ValleyRAT vía Microsoft Teams

by Editor de Tecnologia diciembre 4, 2025

written by Editor de Tecnologia

El actor de amenazas conocido como Silver Fox ha sido detectado orquestando una operación de falsa bandera para imitar a un grupo de amenazas ruso en ataques dirigidos a organizaciones en China.

La campaña de envenenamiento de optimización para motores de búsqueda (SEO) utiliza señuelos de Microsoft Teams para engañar a usuarios desprevenidos y que descarguen un archivo de configuración malicioso que conduce al despliegue de ValleyRAT (Winos 4.0), un malware conocido asociado con el grupo de cibercrimen chino. Esta actividad se ha estado llevando a cabo desde noviembre de 2025.

«Esta campaña se dirige a usuarios de habla china, incluidos aquellos dentro de organizaciones occidentales que operan en China, utilizando un cargador ‘ValleyRAT’ modificado que contiene elementos cirílicos, probablemente un movimiento intencional para confundir la atribución», afirmó Hayden Evans, investigador de ReliaQuest, en un informe compartido con The Hacker News.

ValleyRAT, una variante de Gh0st RAT, permite a los actores de amenazas controlar remotamente los sistemas infectados, exfiltrar datos confidenciales, ejecutar comandos arbitrarios y mantener una persistencia a largo plazo dentro de las redes objetivo. Cabe destacar que el uso de Gh0st RAT se atribuye principalmente a grupos de hackers chinos.

El uso de Teams en la campaña de envenenamiento de SEO marca un cambio con respecto a los esfuerzos anteriores que han aprovechado otros programas populares como Google Chrome, Telegram, WPS Office y DeepSeek para activar la cadena de infección.

La campaña de SEO tiene como objetivo redirigir a los usuarios a un sitio web falso que presenta una opción para descargar el supuesto software de Teams. En realidad, se recupera un archivo ZIP llamado «MSTчamsSetup.zip» de una URL de Alibaba Cloud. El archivo utiliza elementos lingüísticos rusos para confundir los esfuerzos de atribución.

Dentro del archivo se encuentra «Setup.exe», una versión troyanizada de Teams que está diseñada para escanear los procesos en ejecución en busca de binarios relacionados con 360 Total Security («360tray.exe»), configurar exclusiones de Microsoft Defender Antivirus y escribir la versión troyanizada del instalador de Microsoft («Verifier.exe») en la ruta «AppDataLocal» y ejecutarlo.

El malware procede a escribir archivos adicionales, incluyendo «AppDataLocalProfiler.json», «AppDataRoamingEmbarcaderoGPUCache2.xml», «AppDataRoamingEmbarcaderoGPUCache.xml» y «AppDataRoamingEmbarcaderoAutoRecoverDat.dll».

En el siguiente paso, carga datos de «Profiler.json» y «GPUcache.xml» y lanza el DLL malicioso en la memoria de «rundll32.exe», un proceso legítimo de Windows, para pasar desapercibido. El ataque avanza a la etapa final con el malware estableciendo una conexión a un servidor externo para obtener la carga útil final y facilitar el control remoto.

«Los objetivos de Silver Fox incluyen la ganancia financiera a través del robo, las estafas y el fraude, junto con la recopilación de inteligencia sensible para obtener ventajas geopolíticas», afirmó ReliaQuest. «Los objetivos se enfrentan a riesgos inmediatos como violaciones de datos, pérdidas financieras y sistemas comprometidos, mientras que Silver Fox mantiene una negación plausible, lo que le permite operar discretamente sin financiación directa del gobierno».

La revelación se produce cuando Nextron Systems destacó otra cadena de ataque de ValleyRAT que utiliza un instalador de Telegram troyanizado como punto de partida para iniciar un proceso de varias etapas que finalmente entrega el troyano. Este ataque también es notable por aprovechar la técnica Bring Your Own Vulnerable Driver (BYOVD) para cargar «NSecKrnl64.sys» y terminar los procesos de solución de seguridad.

«Este instalador establece una peligrosa exclusión de Microsoft Defender, prepara un archivo protegido con contraseña junto con un binario 7-Zip renombrado y luego extrae un ejecutable de segunda etapa», dijo el investigador de seguridad Maurice Fielenbach en una declaración.

«Ese orquestador de segunda etapa, men.exe, despliega componentes adicionales en una carpeta dentro del perfil de usuario público, manipula los permisos de archivo para resistir la limpieza y configura una tarea programada que ejecuta un script VBE codificado. Este script, a su vez, lanza un cargador de controladores vulnerables y un binario firmado que carga lateralmente el DLL de ValleyRAT».

Men.exe también es responsable de enumerar los procesos en ejecución para identificar los procesos relacionados con la seguridad del punto final, así como de cargar el controlador vulnerable «NSecKrnl64.sys» utilizando «NVIDIA.exe» y ejecutar ValleyRAT. Además, uno de los componentes clave dejados caer por el binario orquestador es «bypass.exe», que permite la elevación de privilegios mediante un bypass del Control de cuentas de usuario (UAC).

«En la superficie, las víctimas ven un instalador normal», dijo Fielenbach. «En segundo plano, el malware prepara archivos, despliega controladores, manipula las defensas y finalmente lanza un beacon de ValleyRat que mantiene el acceso a largo plazo al sistema».

diciembre 4, 2025 0 comments