Escuchamos términos como “ataques patrocinados por el Estado” y “vulnerabilidades críticas” todo el tiempo, pero ¿qué hay realmente detrás de esas palabras? Las noticias sobre ciberseguridad de esta semana no se tratan solo de piratas informáticos y titulares: se trata de cómo los riesgos digitales dan forma a nuestras vidas de maneras que quizás ni siquiera nos demos cuenta.
Por ejemplo, la vulneración de redes de telecomunicaciones no se trata sólo de datos robados, sino también de energía. Los piratas informáticos se están posicionando para controlar las redes de las que dependemos para todo, desde hacer llamadas hasta administrar negocios. ¿Y esos CVE que suenan técnicos? No son sólo números aleatorios; son como bombas de tiempo en el software que utiliza todos los días, desde su teléfono hasta sus herramientas de trabajo.
Estas historias no son sólo para los expertos: son para todos nosotros. Muestran con qué facilidad el mundo digital en el que confiamos puede volverse en nuestra contra. Pero también nos muestran el poder de mantenernos informados y preparados. Sumérjase en el resumen de esta semana y descubramos los riesgos, las soluciones y los pequeños pasos que todos podemos dar para mantenernos a la vanguardia en un mundo que avanza más rápido que nunca. No es necesario ser un profesional de la ciberseguridad para que le importe, solo alguien que quiera comprender el panorama más amplio. ¡Explorémoslo juntos!
⚡ Amenaza de la semana
El nuevo grupo Liminal Panda va tras el sector de las telecomunicaciones: Liminal Panda, un grupo de ciberespionaje previamente indocumentado del nexo con China, ha orquestado una serie de ciberataques dirigidos a entidades de telecomunicaciones en el sur de Asia y África desde 2020. Utilizando herramientas sofisticadas como SIGTRANslator y CordScan, el grupo explota contraseñas y protocolos de telecomunicaciones débiles para recolectar datos de suscriptores móviles, metadatos de llamadas y mensajes SMS. Este desarrollo coincide con proveedores de telecomunicaciones estadounidenses, incluidos AT&T, Verizon, T-Mobile y Lumen Technologies, que se convierten en objetivos de otro grupo de piratería vinculado a China, Salt Typhoon. El Comando Cibernético de EE. UU. ha declarado que estos esfuerzos tienen como objetivo establecer puntos de apoyo en las redes de TI de infraestructura crítica de EE. UU., preparándose potencialmente para un choque importante con EE. UU.
🔔 Noticias destacadas
- Defectos de Palo Alto Networks explotados para comprometer alrededor de 2000 dispositivos: Las fallas de seguridad recientemente reveladas que afectan los firewalls de Palo Alto Networks – CVE-2024-0012 (puntuación CVSS: 9,3) y CVE-2024-9474 (puntuación CVSS: 6,9) – han sido explotadas para violar aproximadamente 2000 dispositivos en todo el mundo. Estas vulnerabilidades podrían permitir a un atacante eludir la autenticación y aumentar sus privilegios para realizar diversas acciones maliciosas, incluida la ejecución de código arbitrario. El proveedor de seguridad de red dijo a The Hacker News que el número “representa menos de la mitad del uno por ciento de todos los firewalls de Palo Alto Networks desplegados globalmente que permanecen potencialmente sin parches”. La compañía también dijo que había estado compartiendo información de manera proactiva desde el 8 de noviembre de 2024, instando a los clientes a proteger las interfaces de administración de sus dispositivos y mitigar posibles amenazas. La orientación, añadió, ha sido eficaz para mitigar la actividad de amenazas en gran medida.
- Cinco presuntos miembros de Scattered Spider acusados: Estados Unidos reveló cargos contra cinco miembros del infame equipo de cibercrimen Scattered Spider, incluido un ciudadano del Reino Unido, por su papel en la orquestación de ataques de ingeniería social entre septiembre de 2021 y abril de 2023 para robar credenciales y desviar fondos de billeteras de criptomonedas. Si son declarados culpables, cada uno de los acusados radicados en Estados Unidos enfrenta hasta 27 años de prisión por todos los cargos.
- El malware Ngioweb Botnet impulsa el servicio proxy NSOCKS: El malware conocido como Ngioweb se ha utilizado para impulsar un famoso servicio de proxy residencial llamado NSOCKS, así como otros servicios como VN5Socks y Shopsocks5. Los ataques se dirigen principalmente a dispositivos IoT vulnerables de varios proveedores como NETGEAR, Uniview, Reolink, Zyxel, Comtrend, SmartRG, Linear Emerge, Hikvision y NUUO, utilizando scripts automatizados para implementar el malware Ngioweb.
- Actores rusos que amenazan desatan ataques contra Asia Central: Un grupo de actividades de amenazas ruso denominado TAG-110 se ha dirigido principalmente a entidades de Asia Central y, en menor medida, de Asia Oriental y Europa, como parte de una amplia campaña que implementa malware conocido como HATVIBE y CHERRYSPY con fines de recopilación de información y exfiltración. Se considera que TAG-110 está afiliado a un grupo de piratería patrocinado por el estado ruso llamado APT28.
- Se descubren vínculos con China del plan de trabajadores de TI de Corea del Norte: Un nuevo análisis ha revelado que las falsas empresas de consultoría de TI que crearon actores de amenazas norcoreanos para asegurar puestos de trabajo en empresas de Estados Unidos y el extranjero son parte de una red más amplia y activa de empresas fachada originarias de China. En estos esquemas, se ha observado que los trabajadores de TI que consiguen empleo con identidades falsificadas canalizan sus ingresos de regreso a Corea del Norte mediante el uso de servicios de pago en línea y cuentas bancarias chinas.
- Los ciberdelincuentes utilizan el método Ghost Tap para retirar dinero: Los ciberdelincuentes están abusando de una herramienta legítima de investigación de comunicación de campo cercano (NFC) llamada NFCGate para retirar fondos de las cuentas bancarias de las víctimas a través de terminales de punto de venta (PoS). Una advertencia crucial aquí es que el ataque depende de que los actores de la amenaza comprometan previamente un dispositivo e instalen algún tipo de malware bancario que pueda capturar credenciales y códigos de autenticación de dos factores (2FA).
️🔥 CVE de tendencia
Los recientes desarrollos en materia de ciberseguridad han puesto de relieve varias vulnerabilidades críticas, entre ellas: CVE-2024-44308, CVE-2024-44309 (Apple), CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-11003, CVE-2024-10224 (necesita reiniciar), CVE-2024-51092 (LibreNMS), CVE-2024-10217, CVE-2024-10218 (TIBCO), CVE-2024-50306 (Apache Traffic Server), CVE-2024-10524 (wget), CVE- 2024-34719 (Android), CVE-2024-9942 (WPGYM), CVE-2024-52034 (mySCADA myPRO) y CVE-2024-0138 (NVIDIA). Estos fallos de seguridad son graves y podrían poner en riesgo tanto a las empresas como a la gente común y corriente.
📰 Alrededor del mundo cibernético
- Una nueva forma de burlar el mecanismo de registro de Fortinet: Gracias a una peculiaridad en el mecanismo de registro del servidor VPN de Fortinet, que solo captura eventos de inicio de sesión fallidos durante los intentos de autenticación contra el servidor, un atacante malicioso podría ocultar la verificación exitosa de las credenciales durante un ataque de fuerza bruta sin avisar a los equipos de respuesta a incidentes (IR) de inicios de sesión comprometidos. Si bien se crea una entrada de registro para el inicio de sesión exitoso durante la fase de autorización, el atacante podría idear un método que se detenga en el paso de autenticación y confirme si las credenciales son legítimas. “Este descubrimiento fue sorprendente, ya que indicó que los equipos de IR que monitorean el uso de VPN de Fortinet no pueden diferenciar entre un intento de fuerza bruta fallido y exitoso”, dijo Pentera. “Esto significa que si un atacante utilizara la técnica que descubrimos, el inicio de sesión exitoso podría pasar desapercibido, lo que podría dejar su red comprometida”.
- Fallo de secuencias de comandos entre sitios (XSS) descubierto en Bing: Se podría haber abusado de una falla XSS recientemente revelada en Microsoft Bing para ejecutar código arbitrario en el contexto del sitio web aprovechando un punto final API en el portal del Centro de desarrollo de Bing Maps. Esto podría permitir a un atacante representar un mapa especialmente diseñado dentro del contexto www.bing(.)com y activar la ejecución de código omitiendo una lista de bloqueo HTML/XSS del lenguaje de marcado Keyhole (KML). Tras la divulgación responsable el 26 de agosto de 2024, Microsoft solucionó el problema el 30 de septiembre.
- Publicadas las 25 debilidades de software más peligrosas de CWE para 2024: Hablando de fallas XSS, la clase de vulnerabilidad encabezó la lista de las 25 principales debilidades peligrosas del software compilada por MITRE según un análisis de 31,770 registros de vulnerabilidades y exposiciones comunes (CVE) del conjunto de datos de 2024. Escrituras fuera de límites, inyecciones de SQL, fallas de falsificación de solicitudes entre sitios (CSRF) y errores de recorrido de ruta completan los cuatro puntos restantes. “Descubrir las causas fundamentales de estas vulnerabilidades sirve como una poderosa guía para inversiones, políticas y prácticas destinadas a evitar que estas vulnerabilidades ocurran en primer lugar, beneficiando tanto a la industria como a las partes interesadas del gobierno”, dijo MITRE.
- Millones de registros de datos expuestos debido a configuraciones erróneas de Power Pages: Los controles de acceso faltantes o mal configurados en sitios web creados con Microsoft Power Pages están exponiendo datos confidenciales de organizaciones privadas y entidades gubernamentales a terceros, incluidos nombres completos, direcciones de correo electrónico, números de teléfono y direcciones particulares, lo que genera posibles infracciones. “Estas exposiciones de datos se producen debido a una mala comprensión de los controles de acceso dentro de Power Pages y a implementaciones de código personalizado inseguras”, dijo AppOmni. “Al otorgar permisos excesivos a usuarios no autenticados, cualquiera puede tener la capacidad de extraer registros de la base de datos utilizando las API de Power Page disponibles”. Es más, se ha descubierto que algunos sitios otorgan incluso a usuarios anónimos “acceso global” para leer datos de tablas de bases de datos y no implementan el enmascaramiento de datos confidenciales.
- Meta multada con 25,4 millones de dólares en India durante 2021 Política de privacidad de WhatsApp: El organismo de control de la competencia de la India, la Comisión de Competencia de la India (CCI), impuso a Meta una prohibición de cinco años de compartir información recopilada de WhatsApp con las plataformas hermanas Facebook e Instagram con fines publicitarios. También impuso una multa de 213,14 millones de rupias (alrededor de 25,3 millones de dólares) por violaciones antimonopolio derivadas de la controvertida actualización de la política de privacidad de 2021, afirmando que la política de privacidad actualizada es un abuso de posición dominante por parte del gigante de las redes sociales. La actualización de la política, como reveló The Hacker News a principios de enero de 2021, buscaba el acuerdo de los usuarios para una recopilación e intercambio de datos más amplios sin opción a rechazar los cambios. “La actualización de la política, que obligó a los usuarios a aceptar la recopilación y el intercambio de datos ampliados dentro del grupo Meta sobre la base de ‘tómalo o déjalo’, violó la autonomía del usuario al no ofrecer ninguna opción de exclusión voluntaria”, informó la Internet Freedom Foundation. (FIB) dijo. “El fallo refuerza la necesidad de una mayor rendición de cuentas por parte de los gigantes tecnológicos, garantizando que los derechos de los usuarios estén protegidos y que se respeten los principios de competencia leal en los mercados digitales”. Meta dijo que no está de acuerdo con el fallo y que pretende impugnar la decisión de CCI.
- Presunto administrador ruso del ransomware Phobos extraditado a EE. UU.: Un ciudadano ruso de 42 años, Evgenii Ptitsyn (también conocido como derxan y zimmermanx), ha sido extraditado de Corea del Sur a EE. UU. para enfrentar cargos relacionados con la venta, distribución y operación del ransomware Phobos desde al menos noviembre de 2020. Ptitsyn, quien supuestamente es un administrador, ha sido acusado de 13 cargos de conspiración para fraude electrónico, fraude electrónico, conspiración para cometer fraude informático y abuso, cuatro cargos de causar daños intencionales a ordenadores protegidos, y cuatro cargos de extorsión en relación con la piratería informática. Se estima que más de 1.000 entidades públicas y privadas en los EE. UU. y en todo el mundo han sido víctimas del grupo de ransomware, lo que les ha valido más de 16 millones de dólares en pagos de rescate extorsionados. Ptitsyn y sus cómplices han sido acusados de publicitar el ransomware Phobos de forma gratuita a través de publicaciones en foros de ciberdelincuencia y de cobrar a sus afiliados alrededor de 300 dólares por recibir la clave de descifrado para acceder a los datos. Al describirlo como una “amenaza de bajo perfil pero de gran impacto”, dijo Trellix, “el enfoque de Phobos se centró en el volumen en lugar de objetivos de alto perfil, lo que le permitió mantener un flujo constante de víctimas mientras permanecía relativamente fuera del radar”. También ayudó que la operación de ransomware careciera de un sitio dedicado a la fuga de datos, lo que le permitió evitar llamar la atención de las autoridades y los investigadores de ciberseguridad.
- Liberación de robots controlados por LLM: Una nueva investigación de un grupo de académicos de la Universidad de Pensilvania ha descubierto que es posible hacer jailbreak a grandes modelos de lenguaje (LLM) utilizados en robótica, haciendo que ignoren sus salvaguardas y provoquen daños físicos dañinos en el mundo real. Los ataques, denominados RoboPAIR, se han demostrado con éxito contra “un LLM autónomo, un robot académico con ruedas y, lo más preocupante, el perro robot Unitree Go2, que se despliega activamente en zonas de guerra y por parte de las fuerzas del orden”, dijo el investigador de seguridad Alex. Dijo Robey. “Aunque las defensas se han mostrado prometedoras contra los ataques a los chatbots, es posible que estos algoritmos no se generalicen a entornos robóticos, en los que las tareas dependen del contexto y el fallo constituye un daño físico”.
🎥 Seminario web para expertos
- 🤖 Creación de aplicaciones de IA seguras: no más conjeturas — La IA está arrasando en el mundo, pero ¿están sus aplicaciones preparadas para los riesgos? Ya sea para protegerse contra fugas de datos o prevenir un costoso caos operativo, lo tenemos cubierto. En este seminario web, le mostraremos cómo integrar la seguridad directamente en sus aplicaciones de IA, proteger sus datos y evitar errores comunes. Obtendrá consejos y herramientas prácticos para mantener sus proyectos de IA sanos y salvos. ¿Listo para preparar tu juego de desarrollo para el futuro? ¡Guarda tu lugar hoy!
- 🔑 Proteja lo más importante: domine la seguridad de acceso privilegiado — Las cuentas privilegiadas son objetivos principales de los ciberataques y las soluciones PAM tradicionales suelen dejar lagunas críticas. Únase a nuestro seminario web para descubrir puntos ciegos, obtener visibilidad total, aplicar políticas de privilegios mínimos y justo a tiempo y proteger su organización contra amenazas en evolución. Fortalece tus defensas: ¡regístrate ahora!
- 🚀 Reemplazo del certificado maestro sin dolor de cabeza — ¿Reemplazar los certificados revocados es una pesadilla total para su equipo? ¡No tiene por qué serlo! Únase a nuestro seminario web gratuito y aprenda cómo intercambiar certificados como un profesional: rápido, eficiente y sin estrés. Le revelaremos cómo reducir el tiempo de inactividad a casi cero, automatizar todo el proceso, mantenerse a la vanguardia con agilidad criptográfica y fijar las mejores prácticas que mantendrán sus sistemas sólidos. No deje que los certificados lo detengan: ¡obtenga el conocimiento para acelerar las cosas!
🔧 Herramientas de ciberseguridad
- Halberd: herramienta de prueba de seguridad multinube — Halberd es una herramienta de código abierto para realizar pruebas de seguridad en la nube proactivas y sencillas en Entra ID, M365, Azure y AWS. Con una elegante interfaz web, le permite simular ataques del mundo real, validar defensas y generar información procesable, todo a la velocidad del rayo. Desde guías de ataque hasta informes detallados y paneles de control inteligentes, Halberd hace que abordar las configuraciones erróneas de la nube sea muy sencillo.
- Bruto ciego: Su herramienta de referencia para la inyección SQL ciega — BlindBrute es una herramienta Python potente y flexible diseñada para simplificar los ataques de inyección SQL ciegos. Detecta vulnerabilidades utilizando códigos de estado, longitud del contenido, palabras clave o métodos basados en el tiempo y se adapta a varios escenarios con cargas útiles personalizables. Con funciones como detección de columnas y bases de datos, descubrimiento de longitud de datos y múltiples métodos de extracción (carácter por carácter, búsqueda binaria o ataque de diccionario), BlindBrute garantiza una recuperación de datos eficiente. Además, admite solicitudes HTTP personalizables y de subprocesos múltiples y todos los métodos HTTP principales, lo que la convierte en una solución versátil para abordar tareas complejas de inyección de SQL con facilidad.
🔒 Consejo de la semana
Neutralice las amenazas con DNS Sinkholing — ¿Alguna vez has deseado poder detener los ataques de malware y phishing incluso antes de que lleguen a tus sistemas? Eso es exactamente lo que hace el sumidero de DNS y es más sencillo de lo que cree. Al redirigir el tráfico dirigido a dominios maliciosos conocidos (utilizados por botnets, phishing o malware) a una IP “sumidero”, esta técnica bloquea las amenazas directamente en el origen. Todo lo que necesita es un servidor DNS, una fuente de datos de amenazas en tiempo real de fuentes como Spamhaus u OpenPhish, y un servidor sumidero controlado para detener a los malos actores en seco.
Pero aquí está el truco: el hundimiento de DNS no solo bloquea las amenazas, sino que también es un detective. Cuando los dispositivos infectados intentan llegar a dominios afectados, su actividad se registra, lo que le brinda una visión clara de qué puntos finales están comprometidos. Esto significa que puede identificar el problema, aislar los dispositivos infectados y solucionar el problema antes de que se salga de control. ¿Quieres dar un paso más? Incluso puede configurarlo para alertar a los usuarios cuando se bloqueen amenazas, generando conciencia y frenando comportamientos riesgosos.
¿La mejor parte? Combine el hundimiento de DNS con herramientas automatizadas como sistemas SIEM y obtendrá alertas instantáneas, informes detallados de amenazas y una visión en tiempo real de la seguridad de su red. Es económico, de alto impacto e increíblemente efectivo: una forma moderna y proactiva de convertir su DNS en su primera línea de defensa. ¿Listo para mejorar tu juego de gestión de amenazas? El hundimiento de DNS es la herramienta que no sabía que necesitaba.
Conclusión
Las noticias de esta semana nos muestran una cosa fuerte y clara: el mundo digital es un campo de batalla, y todo lo que usamos (nuestros teléfonos, aplicaciones y redes) está en el fuego cruzado. Pero no te preocupes, no necesitas ser un experto en ciberseguridad para marcar la diferencia.
Mantenerse alerta sobre las amenazas, cuestionar qué tan seguras son realmente sus herramientas y hacer cosas simples como mantener el software actualizado y usar contraseñas seguras puede ser de gran ayuda.