Tag:

Sicherheitslücken

Tecnología

Actualizaciones de Windows: Parches de seguridad y mejoras en Windows 11

by Editor de Tecnologia
written by Editor de Tecnologia

Microsoft ha implementado cambios significativos en sus sistemas operativos, destacando una actualización importante en la gestión de almacenamiento y el despliegue de parches de seguridad críticos para sus usuarios.

Adiós al límite de 32 GB en FAT32 para Windows 11

Una de las novedades más destacadas llega a través de las compilaciones de prueba para Windows Insiders, donde Windows 11 está eliminando la limitación de capacidad de 32 GB para los volúmenes FAT32. Este cambio, que llega tras décadas de vigencia, representa una modificación sustancial en la forma en que el sistema gestiona este tipo de almacenamiento.

Además de incrementar el límite de tamaño, según se detalla en techbook, esta actualización mejora el rendimiento al navegar por volúmenes de gran tamaño dentro de la aplicación de Configuración.

Actualizaciones de seguridad y Patch-Day de abril

En paralelo, se ha puesto en marcha el Patch-Day de abril para Windows 10 y 11, un despliegue de seguridad masivo diseñado para proteger la integridad de los sistemas.

Actualizaciones de seguridad y Patch-Day de abril
Windows Este Patch

Este ciclo de actualizaciones es especialmente crítico, ya que soluciona 167 vulnerabilidades de seguridad y dos amenazas de día cero (zero-day), reforzando la defensa contra posibles intrusiones.

Nuevas medidas de endurecimiento del sistema

Finalmente, se han reportado nuevas etapas de endurecimiento (hardening) para Windows, implementadas con fecha del 14 de abril de 2026, con el objetivo de elevar los estándares de seguridad y robustez del sistema operativo.

¡Windows 10 NO MUERE! Ya te puedes inscribir al programa de ACTUALIZACIONES extendidas

0 comments
0 FacebookTwitterPinterestLinkedinEmail
Tecnología

Windows 10: Urgente, parchear 6 vulnerabilidades de seguridad ya explotadas

by Editor de Tecnologia
written by Editor de Tecnologia

Alerta urgente para usuarios de Windows 10: Microsoft advierte sobre seis vulnerabilidades de seguridad ya explotadas que comprometen los mecanismos de protección esenciales del sistema operativo. La instalación de los parches de febrero es crucial.

Las advertencias de Microsoft y las agencias de ciberseguridad son contundentes. Seis vulnerabilidades de día cero, corregidas en la actualización de febrero, ya están siendo activamente explotadas por atacantes. Estas brechas permiten eludir las barreras de seguridad fundamentales de Windows y tomar el control total de los sistemas. La actualización del 10 de febrero (“Patch Tuesday”) solucionó un total de 58 vulnerabilidades, pero estas seis representan una amenaza inmediata.

Los ataques neutralizan los principales escudos de protección

Lo peligroso de estas vulnerabilidades reside en su capacidad de pasar desapercibidas. Tres de ellas (CVE-2026-21510, -21513, -21514) se dirigen directamente a funciones de seguridad como SmartScreen, que normalmente advierte a los usuarios sobre archivos sospechosos de Internet. Sin embargo, los exploits silencian estas alertas.

Un escenario de ataque es simple y engañoso: un usuario recibe un correo electrónico de phishing con un enlace o documento manipulado. Al abrirlo, la vulnerabilidad se explota y el software malicioso se ejecuta en segundo plano sin ninguna advertencia de seguridad. El usuario no se percata de nada mientras el atacante se establece en el sistema.

Otras dos vulnerabilidades explotadas (CVE-2026-21519, -21533) sirven para la elevación de privilegios. Una vez que un atacante ha obtenido acceso, puede obtener derechos de administrador o de SISTEMA. El control total del equipo es la consecuencia: robo de datos, instalación de software malicioso persistente y propagación en la red corporativa son posibles.

Llamamiento urgente: ¡Actualice ahora!

Microsoft ha proporcionado todos los parches con la actualización KB5075912. La agencia de ciberseguridad de EE. UU., CISA, ha incluido las seis vulnerabilidades en su catálogo de vulnerabilidades explotadas activamente, una clara señal de máxima urgencia.

Investigadores de seguridad de Google y Microsoft confirman que no se trata de riesgos teóricos, sino de campañas de ataque reales. Debido a que los detalles técnicos de algunas vulnerabilidades se publicaron antes del parche, la ventana de oportunidad para los atacantes es amplia. La recomendación es clara: actualice Windows Update inmediatamente e instale las actualizaciones. Las actualizaciones automáticas ofrecen la mejor protección.

Windows 10 en una encrucijada: ¿ESU o migración?

Este grave incidente de seguridad subraya los riesgos de un sistema operativo al final de su ciclo de vida. El soporte regular para Windows 10 ya ha finalizado. Las actualizaciones de seguridad solo están disponibles mediante un pago en el programa Extended Security Updates (ESU).

La situación se complica aún más por otro problema inminente: los certificados originales de Secure Boot de 2011 caducarán en junio de 2026. Esta tecnología evita que se cargue código malicioso al arrancar el PC. Los usuarios sin una suscripción a ESU no recibirán las actualizaciones necesarias y sus dispositivos caerán en un “estado de seguridad reducido”.

Microsoft enfatiza que el programa ESU es solo una solución temporal. El objetivo a largo plazo sigue siendo la migración a un sistema totalmente compatible, como Windows 11. Los ataques de día cero actuales deberían ser la última llamada de atención para todos los usuarios restantes de Windows 10 para que avancen decididamente con sus planes de migración.

Anzeige

Si desea cambiar a Windows 11 debido a la caducidad de los certificados Secure Boot o por motivos de seguridad, pero su PC se considera oficialmente “incompatible”, existe una forma legal: un informe PDF gratuito explica paso a paso cómo instalar Windows 11 a pesar del hardware oficialmente incompatible, de forma rápida, segura y sin pérdida de datos. Jetzt Gratis-PDF: Windows 11 trotz inkompatibler Hardware herunterladen


@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.

0 comments
0 FacebookTwitterPinterestLinkedinEmail
Tecnología

iOS 26.3 y macOS: Novedades y Actualizaciones de Seguridad

by Editor de Tecnologia
written by Editor de Tecnologia

Apple ha lanzado actualizaciones importantes para sus sistemas operativos, incluyendo iOS 26.3 y macOS. Estas actualizaciones se centran en mejoras de seguridad y, en el caso de iOS 26.3, también incluyen la posibilidad de transferir datos desde Android.

iOS 26.3: Seguridad y Transferencia desde Android

La versión iOS 26.3 introduce una actualización de seguridad crucial para los dispositivos Apple. Además, destaca la nueva funcionalidad que permite a los usuarios transferir información desde dispositivos Android, facilitando el cambio de plataforma. Según AD HOC NEWS, esta nueva característica busca simplificar la migración para aquellos que provienen del ecosistema Android.

Actualización Urgente para iPhone

Expertos de STERN.de recomiendan actualizar a iOS 26.3 de inmediato, enfatizando la importancia de mantener los dispositivos protegidos contra posibles vulnerabilidades.

Regulación Europea Impulsa Cambios en iOS

Una nueva regulación de la Unión Europea ha motivado a Apple a implementar cambios específicos en iOS 26.3. CHIP informa que esta regulación ha sido un factor clave en la introducción de estas modificaciones.

Actualizaciones para macOS: Sequoia y Sonoma

Los usuarios de macOS también recibirán actualizaciones. apfeltalk.de anuncia la disponibilidad de actualizaciones de seguridad para macOS Sequoia 15.7.4 y macOS Sonoma 14.8.4.

macOS Tahoe 26.3: Correcciones y Seguridad

Finalmente, macOS Tahoe 26.3 ya está disponible, incluyendo correcciones de errores y actualizaciones de seguridad. zeera wireless cuestiona si es necesario instalarla, sugiriendo que los usuarios evalúen sus necesidades específicas.

0 comments
0 FacebookTwitterPinterestLinkedinEmail
Tecnología

Coolify: 7 Vulnerabilidades Críticas Amenazan Servidores

by Editor de Tecnologia
written by Editor de Tecnologia

Los administradores de entornos de Plataforma como Servicio (PaaS) basados en Coolify deben actualizar sus instancias con urgencia. De no hacerlo, los atacantes podrían aprovecharse de siete vulnerabilidades de seguridad “críticas” con la máxima puntuación (CVSS Score 10 de 10) para comprometer completamente los servidores.

Análisis realizados por investigadores de seguridad de Censys indican que la mayoría de los sistemas vulnerables se encuentran en Alemania. A nivel mundial, se han detectado más de 52.000 instancias, con poco más de 14.800 sistemas localizados en Alemania. Aún no está claro si ya se están produciendo ataques, pero se recomienda a los administradores no demorar demasiado el proceso de aplicación de parches.

Puntos de entrada para los atacantes

Aunque en la mayoría de los casos los atacantes deben estar autenticados, la mayor parte de las vulnerabilidades se clasifican con un nivel de amenaza “crítico”. Si los atacantes explotan estas vulnerabilidades con éxito, podrían ejecutar código malicioso como usuario root y, por lo tanto, obtener el control total de los sistemas (por ejemplo, CVE-2025-64424). Además, es posible acceder a claves SSH privadas que deberían estar protegidas (CVE-2025-64420), lo que permitiría a los atacantes obtener acceso no autorizado.

Faltan parches de seguridad

En total, se conocen 16 vulnerabilidades. Sin embargo, según las entradas en GitHub (ver al final de este informe), actualmente solo hay actualizaciones de seguridad disponibles para ocho de ellas. No está claro cuándo los desarrolladores cerrarán las vulnerabilidades restantes.

Los parches disponibles actualmente son:

  • v4.0.0-beta.420.7
  • >= 4.0.0-beta.451

Los administradores pueden encontrar información adicional sobre las vulnerabilidades, las notificaciones de amenazas y las actualizaciones de seguridad en los avisos enlazados. La lista está ordenada de forma descendente según el nivel de amenaza:

(des)

0 comments
0 FacebookTwitterPinterestLinkedinEmail
Tecnología

Xplora: Fallos de seguridad en relojes infantiles permitieron acceso total

by Editor de Tecnologia
written by Editor de Tecnologia

Nils Rollshausen, de la Universidad Técnica de Darmstadt, presentó en el 39º Congreso de Comunicación Caótica (39C3) en Hamburgo graves vulnerabilidades en los relojes inteligentes para niños del fabricante noruego Xplora. La presentación, “Watch Your Kids: Inside a Children’s Smartwatch”, se basó en gran medida en el trabajo de un estudiante de máster que analizó sistemáticamente la arquitectura de seguridad. Los relojes se venden no solo en Noruega, sino en todo el mundo, con más de 1,5 millones de unidades vendidas, según sus propias cifras. En Alemania, se ofrecen, entre otros, en paquetes promocionales de Telekom.

Siga leyendo después del anuncio

“Somos una bruja come-niños”

Rollshausen eligió un marco narrativo inusual: “Para los fines de esta charla, somos una bruja come-niños que vive en el bosque”. El problema de la bruja: antes, los niños simplemente caminaban hacia la cabaña, pero hoy todos llevan rastreadores GPS y los padres pueden encontrarlos. “Si no queremos morir de hambre, supongo que tendremos que investigar un poco”.

El acceso se logró a través de documentos de aprobación de la FCC, en los que aparecían fotos de un cargador de desarrollador con cuatro pines en lugar de dos. Los investigadores construyeron un adaptador, y efectivamente, el reloj se reportó como un dispositivo USB.

Para el modo de depuración, se preguntaron: “¿Cuál es la solución más tonta posible?”. Pulsar repetidamente el número de versión, como se hace normalmente con Android. Funcionó. Luego apareció un campo PIN. Mientras Rollshausen pensaba en ataques automatizados, el estudiante de máster fue a casa y probó manualmente cada combinación de cuatro dígitos durante dos horas, encontrando la correcta.

Claves estáticas permiten acceso total

Dado que el reloj, con el acceso de depuración activado, se comportaba como un dispositivo Android normal, los investigadores pudieron extraer aplicaciones de fabricante con herramientas estándar. Allí encontraron el problema principal: la autenticación se basaba en secretos estáticos en el firmware.

En combinación con datos de acceso público, como marcas de tiempo y números de serie, los atacantes podían generar claves API válidas para cualquier reloj, y así hacer todo lo que el reloj real también puede hacer.

Siga leyendo después del anuncio

Teletransportar niños virtualmente a Pyongyang

En vivo, Rollshausen demostró las posibles consecuencias, continuando desde la perspectiva de la bruja:

  • Leer mensajes: “Muy útil para la comunicación”
  • Enviar mensajes falsos: “Para que los niños sepan dónde encontrarnos, porque están tan ocupados con sus teléfonos que ya no encuentran el bosque”
  • Manipular la ubicación: Según Rollshausen, esta manipulación requiere dos intentos. Pero luego funciona la “teletransportación”: el niño de repente se encontraba en Pyongyang, Corea del Norte, o en cualquier otro lugar elegido.
  • Restablecer los relojes de forma remota: “No se ve muy interesante en la pantalla”, admitió, antes de que el reloj en el escenario se apagase

“Esto está a un bucle for de comprometer todos los relojes con este modelo. Y hay muchos relojes”, dijo Rollshausen.

Comunicación tenaz con el fabricante

La divulgación de las vulnerabilidades fue inicialmente difícil. El programa de divulgación de vulnerabilidades en el sitio web tenía un enlace incorrecto, los correos electrónicos quedaron sin respuesta, hasta aproximadamente una semana antes del 39C3-Talk.

Una actualización de firmware en agosto generó nerviosismo en Rollshausen: ¿seguiría funcionando el acceso de depuración? Como precaución, Rollshausen instaló una aplicación propia que llamaba directamente al menú de depuración. Esta medida resultó ser sensata, ya que el PIN anterior ya no era válido. El análisis mostró que el PIN ahora constaba de seis en lugar de cuatro dígitos y que el sistema se bloqueaba después de tres intentos fallidos. Sin embargo, las vulnerabilidades reales no habían cambiado. “Ni siquiera rotaron las credenciales”, dijo Rollshausen.

La actualización de firmware de octubre también solo requirió ajustes mínimos a los exploits existentes. Solo poco antes del congreso, Xplora tomó contacto directo. En una conversación el 22 de diciembre, la empresa aseguró que corregiría las causas con una actualización en enero de 2026. Además, se revisó el programa de divulgación y el estudiante de máster involucrado recibió una remuneración por errores “considerable”.

Signal en el reloj infantil

Como solución irónica, Rollshausen mostró el mensajero Signal en un reloj Xplora: “Tuve que dividir todos los valores por diez para que cupieran en la pantalla, pero técnicamente puede ejecutar Signal en el reloj inteligente de su hijo”.

El mensaje: “Podemos trabajar con los fabricantes para que las cosas sean más seguras, pero no tenemos que hacerlo. También podemos simplemente hacer lo nuestro”.

(vza)

0 comments
0 FacebookTwitterPinterestLinkedinEmail