SEC_PROTOCOL_V2
INICIANDO ESCANEO DE SISTEMA...
Hackteck Security Systems

Blog Tecnológico

Las últimas noticias de tecnología, ciberseguridad y transformación digital, curadas automáticamente para ti.

Ubisoft: filtración en R6 otorga a los jugadores miles de millones de créditos (¿hay una brecha mayor?)
Segu-Info29 dic

Ubisoft: filtración en R6 otorga a los jugadores miles de millones de créditos (¿hay una brecha mayor?)

Rainbow Six Siege (R6) de Ubisoft sufrió una brecha que permitió abusar de los sistemas internos para banear y desbanear jugadores, manipular los feeds de moderación del juego y otorgar cantidades masivas de dinero y artículos cosméticos a cuentas de todo el mundo. Según múltiples informes de jugadores y capturas de pantalla del juego compartidas en línea, los atacantes lograron: Banear y desbanear jugadores de Rainbow Six Siege Mostrar mensajes de baneo falsos en el contador de baneos Otorgar a todos los jugadores aproximadamente 2 mil millones de créditos R6 y renombre Desbloquear todos los artículos cosméticos del juego, incluyendo aspectos exclusivos para desarrolladores Los créditos R6 son una moneda premium del juego que se vende con dinero real en la tienda de Ubisoft. Según el precio de Ubisoft, 15.000 créditos R6 cuestan U$S 99,99, lo que supone que el valor de 2 mil millones de créditos asciende a aproximadamente 13,33 millones de US$ en moneda del juego distribuida gratuitamente. A las 9:10 a. m. del sábado, la cuenta oficial de Rainbow Six Siege en X confirmó el incidente, indicando que Ubisoft tenía conocimiento de un problema que afectaba al juego y que los equipos estaban trabajando para resolverlo. Poco después, Ubisoft cerró intencionalmente Rainbow Six Siege y su Marketplace, afirmando que seguían trabajando en el problema. "Siege y el Marketplace se han cerrado intencionalmente mientras el equipo se centra en resolver el problema", se lee en una publicación en X. En una actualización final, Ubisoft aclaró que los jugadores no serían sancionados por gastar los créditos otorgados, pero que revertirían todas las transacciones realizadas desde las 11:00 a.m. UTC. Ubisoft afirmó que seguía trabajando para restaurar el juego por completo, pero los servidores permanecen inactivos. Por el momento, Ubisoft no ha emitido una declaración formal sobre el incidente ni ha respondido sobre cómo se produjo la vulneración. La compañía también declaró que Ubisoft no generó los mensajes que se ven en el ticker de baneos y que este se había desactivado previamente. Rumores de una vulneración mayor Afirmaciones no verificadas indican que se produjo una vulneración mucho mayor dentro de la infraestructura de Ubisoft. Según el grupo de investigación de seguridad VX-Underground, cibercriminales afirmaron haber vulnerado los servidores de Ubisoft utilizando una vulnerabilidad de MongoDB recientemente descubierta, denominada "MongoBleed". VX-Underground informa que varios grupos de amenazas no relacionados podrían haber atacado a Ubisoft: Un grupo afirma haber explotado un servicio de Rainbow Six Siege para manipular los baneos y el inventario del juego sin acceder a los datos de los usuarios. Un segundo grupo presuntamente explotó una instancia de MongoDB utilizando MongoBleed para acceder a los repositorios Git internos de Ubisoft, alegando haber robado un gran archivo de código fuente interno desde la década de 1990 hasta la actualidad. Un tercer grupo afirma haber robado datos de usuarios de Ubisoft a través de MongoBleed y está intentando extorsionar a la compañía para que pague un rescate. Un cuarto grupo refuta algunas de estas afirmaciones, afirmando que el segundo grupo tuvo acceso al código fuente de Ubisoft durante un tiempo. Aún no se ha podido verificar de forma independiente ninguna de estas afirmaciones, ni siquiera si se vulneró MongoBleed, si se accedió al código fuente interno o si se robaron datos de clientes. Por el momento, solo sabemos que Ubisoft ha confirmado el abuso dentro del juego Rainbow Six Siege, y no hay pruebas públicas de una brecha de seguridad mayor. Fuente: BC

Leer noticia completa
Las PyMEs son el sector más atacado por los ciberdelincuentes
Segu-Info27 dic

Las PyMEs son el sector más atacado por los ciberdelincuentes

Cada año, los ciberdelincuentes encuentran nuevas formas de robar dinero y datos a las empresas. Vulnerar la red empresarial, extraer datos confidenciales y venderlos en la dark web se ha convertido en una forma segura de obtener ganancias. Antes de 2025, las grandes empresas eran objetivos populares para los ciberdelincuentes debido a sus amplios recursos. Se asumía que las empresas más pequeñas simplemente no eran tan vulnerables a los ciberataques porque atacarlas tenía menos valor. Pero una nueva investigación de seguridad del Observatorio de Filtraciones de Datos de Proton muestra que esto está cambiando: las pequeñas y medianas empresas (PyMEs) ahora tienen más probabilidades de convertirse en objetivo. Este cambio de táctica se debe a que las grandes empresas invierten en ciberseguridad y se niegan a pagar rescates. Es menos probable que los ciberdelincuentes obtengan algo de valor atacando a estas empresas, por lo que están recurriendo a atacar a empresas más pequeñas. Si bien el beneficio puede ser menor al atacar a PyMEs, al aumentar el volumen de ataques, los ciberdelincuentes pueden compensar la pérdida. Las pequeñas empresas cuentan con menos recursos para proteger sus redes y, por lo tanto, se han convertido en objetivos más fiables. Cuatro de cada cinco pequeñas empresas han sufrido una filtración de datos reciente. Al examinar algunas de estas filtraciones de datos y las empresas afectadas, surge un patrón y se pueden identificar fallos. A continuación, se presentan tres filtraciones de datos clave de pymes de 2025: Más del 60% de las filtraciones se deben al uso indebido, el robo o la compra de credenciales. Se estima que el 85% de las filtraciones de datos implican un factor humano. El phishing es la principal amenaza que provoca una filtración. El número de filtraciones que implican ransomware se ha duplicado. El 34% de las filtraciones de datos involucran a actores internos. Más del 80% de las filtraciones son descubiertas por terceros. Se estima que el 36% de las organizaciones a nivel mundial sufrieron una filtración de datos en la nube en los últimos 12 meses. El 74% de las organizaciones en Estados Unidos fueron víctimas de un ataque de phishing exitoso que resultó en una filtración de datos en los últimos 12 meses. Al observar estas filtraciones en particular y teniendo en cuenta el panorama general de las filtraciones de datos, podemos identificar las tendencias que marcaron el año 2025: Las PyMEs fueron el objetivo principal de los hackers en 2025, representando el 70,5% de las filtraciones de datos identificadas en el Observatorio. Esto significa que las empresas de entre 1 y 249 empleados fueron las más vulnerables a las filtraciones de ciberseguridad durante todo el año. Las empresas minoristas, tecnológicas y de medios de comunicación/entretenimiento fueron los objetivos más frecuentes. Las empresas más grandes (de 250 a 999 empleados) representaron el 13,5% de las filtraciones de datos, y las organizaciones empresariales de más de 1.000 empleados representaron el 15,9 % restante. Los nombres y la información de contacto son los registros que aparecen con más frecuencia en la dark web, lo que aumenta el riesgo de ataques de phishing dirigidos a los trabajadores. Los nombres y correos electrónicos aparecieron en 9 de cada 10 filtraciones de datos. Teniendo en cuenta estas tendencias, es probable que los ciberdelincuentes sigan atacando a las PyMEs este año. Si su organización se encuentra en esta categoría, el riesgo de una filtración de datos podría ser mayor. Sin embargo, no es inevitable. Al considerar los datos confidenciales de su empresa, cómo se almacenan y qué utiliza para protegerlos, puede proteger su organización. Cómo evitar filtraciones de datos en 2026 Emplee la autenticación de dos factores Control de acceso seguro a su red Almacene datos confidenciales de forma segura THN

Leer noticia completa
"Migración a la criptografía poscuántica" [Mastercard]
Segu-Info22 dic

"Migración a la criptografía poscuántica" [Mastercard]

La computación cuántica ya no es un sueño lejano: es una realidad en rápido avance que promete revolucionar industrias, incluyendo las financieras. Gobiernos y empresas privadas de todo el mundo invierten miles de millones en esta tecnología transformadora, apostando por su potencial para resolver problemas que actualmente están fuera del alcance incluso de los ordenadores clásicos más potentes. Pero esta promesa conlleva un profundo riesgo: los ordenadores cuánticos amenazan con socavar las bases criptográficas que mantienen seguros nuestros sistemas financieros. Este informe técnico "Migration to post-quantum cryptography" de Mastercard busca ofrecer una evaluación clara y basada en la evidencia del panorama de las amenazas cuánticas, con orientación práctica para las instituciones financieras sobre cómo abordar las complejidades tecnológicas, operativas y regulatorias de la migración cuántica. Al actuar ahora, las organizaciones pueden garantizar la integridad de las comunicaciones cifradas, proteger los sistemas de pago y salvaguardar los datos confidenciales de los clientes, sentando las bases para un futuro financiero seguro en un mundo cuántico. La confianza digital actual se basa en la criptografía de clave pública, con algoritmos como RSA y la criptografía de curva elíptica que constituyen la columna vertebral de las transacciones seguras y la protección de datos. Sin embargo, estos sistemas son vulnerables a la inmensa potencia computacional de las máquinas cuánticas. Una vez que los ordenadores cuánticos alcanzan cierto umbral, podrían dejar obsoletos los métodos de cifrado actuales, exponiendo a las instituciones financieras a riesgos de filtraciones de datos, pérdidas financieras y daños a la reputación. La urgencia de actuar es evidente. Un enfoque reactivo en ciberseguridad ya no es suficiente ante las amenazas cuánticas. Las organizaciones financieras deben planificar proactivamente para un futuro donde las prácticas de seguridad cuántica sean la norma. Esto implica explorar y adoptar tecnologías de seguridad cuántica, como la criptografía poscuántica y la distribución de claves cuánticas, y prepararse para la migración de los sistemas criptográficos clásicos. Quienes adopten estas tecnologías con anticipación estarán mejor posicionados para proteger sus activos y mantener la resiliencia a medida que se acerca la era cuántica.

Leer noticia completa
Extensiones de navegador maliciosas infectan millones de usuarios
Segu-Info17 dic

Extensiones de navegador maliciosas infectan millones de usuarios

Una nueva campaña llamada GhostPoster ha utilizado archivos de logotipos asociados a 17 complementos del navegador Mozilla Firefox para incrustar código JavaScript malicioso diseñado para secuestrar enlaces de afiliados, inyectar código de seguimiento y cometer fraudes de clics y publicidad. Según Koi Security, empresa que descubrió la campaña, las extensiones se han descargado más de 50.000 veces. Los complementos ya no están disponibles. Por su parte, según nuevos hallazgos de Kaspersky, más de 1,31 millones de usuarios intentaron instalar extensiones de navegador maliciosas o no deseadas al menos una vez . "De enero de 2020 a junio de 2022, más de 4,3 millones de usuarios únicos fueron atacados por adware oculto en extensiones de navegador, lo que representa aproximadamente el 70% de todos los usuarios afectados por complementos maliciosos o no deseados". Estos hallazgos llegan poco más de un mes después de que Zimperiumm revelara una familia de malware llamada ABCsoup que se hace pasar por una extensión de Google Translate como parte de una campaña de adware dirigida a los usuarios rusos de los navegadores Google Chrome, Opera y Mozilla Firefox. Estos extensiones del navegador se anunciaban como VPN, utilidades para capturas de pantalla, bloqueadores de anuncios y versiones no oficiales del Traductor de Google. El complemento más antiguo, el Modo Oscuro, se publicó el 25 de octubre de 2024 y ofrecía la posibilidad de activar un tema oscuro para todos los sitios web. La lista completa de complementos para navegadores se encuentra a continuación: VPN gratuita Captura de pantalla Tiempo (weather-best-forecast) Gesto del ratón (crxMouse) Caché: carga rápida de sitios Descargador de MP3 gratuito Traductor de Google (google-translate-right-clicks) Traductor de Google VPN global: gratis para siempre Lector oscuro: modo oscuro Traductor: Google, Bing, Baidu, DeepL Tiempo (i-like-weather) Traductor de Google (google-translate-pro-extension) 谷歌翻译 libretv-watch-free-videos Ad Stop: el mejor bloqueador de anuncios Traductor de Google (right-click-google-translate) "Lo que realmente ofrecen es una carga útil de malware de varias etapas que monitorea todo lo que navegas, elimina las protecciones de seguridad de tu navegador y abre una puerta trasera para la ejecución remota de código", afirmaron los investigadores de seguridad Lotan Sery y Noga Gouldman. La cadena de ataque comienza al obtener el archivo del logotipo al cargar una de las extensiones mencionadas. El código malicioso analiza el archivo en busca de un marcador con el signo "===" para extraer código JavaScript. Un cargador se conecta a un servidor externo ("www.liveupdt[.]com" o "www.dealctr[.]com") para recuperar la carga útil principal, con un intervalo de 48 horas entre cada intento. Para evadir aún más la detección, el cargador está configurado para recuperar la carga útil solo el 10% del tiempo. Esta aleatoriedad es una decisión deliberada que se implementa para eludir los esfuerzos de monitorización del tráfico de red. La carga útil recuperada es un completo conjunto de herramientas con codificación personalizada capaz de monetizar las actividades del navegador sin el conocimiento de las víctimas de varias maneras diferentes: Content-Security-Policy y X-Frame-Options de las respuestas HTTP, exponiendo a los usuarios a ataques de clickjacking y cross-site scripting; iframes ocultos en las páginas para cargar URL desde servidores controlados por el atacante y permitir el fraude de anuncios y clics; ¿Por qué el malware necesitaría eludir los CAPTCHA? Porque algunas de sus operaciones, como las inyecciones de iframes ocultos, activan la detección de bots, explicaron los investigadores. El malware necesita demostrar su capacidad para seguir operando. Además de las comprobaciones de probabilidad, los complementos incorporan retrasos temporales que impiden que el malware se active hasta más de seis días después de su instalación. Estas técnicas de evasión por capas dificultan la detección de lo que ocurre entre bastidores. Cabe destacar que no todas las extensiones mencionadas utilizan la misma cadena de ataque esteganográfico, pero todas muestran el mismo comportamiento y se comunican con la misma infraestructura de comando y control (C2), lo que indica que se trata del trabajo de un único actor o grupo de amenazas que ha experimentado con diferentes señuelos y métodos. Este desarrollo se produce tan solo unos días después de que una popular extensión de VPN para Google Chrome y Microsoft Edge fuera descubierta recopilando en secreto conversaciones de IA de ChatGPT, Claude y Gemini y filtrándolas a intermediarios de datos. En agosto de 2025, se observó que otra extensión de Chrome llamada FreeVPN.One recopilaba capturas de pantalla, información del sistema y la ubicación de los usuarios. "Las VPN gratuitas prometen privacidad, pero nada en la vida es gratis", afirmó Koi Security. "Una y otra vez, ofrecen vigilancia". Fuente: THN

Leer noticia completa
Filtración masiva expone 4.300 millones de registros y datos de contacto de Linkedin
Segu-Info15 dic

Filtración masiva expone 4.300 millones de registros y datos de contacto de Linkedin

Un fallo dejó expuestos 16 TB y más de 4.300 millones de registros con datos laborales y personales procedentes de perfiles derivados de LinkedIn, elevando el riesgo de ataques de phishing a gran escala. La filtración fue descubierta por investigadores de ciberseguridad de Cybernews, considerándose una de las mayores bases de datos jamás encontradas públicamente. El material expuesto procedía de perfiles detallados, en gran parte derivados de LinkedIn, e incluía datos personales y laborales especialmente sensibles. El equipo encontró una instancia de MongoDB sin protección que contenía la asombrosa cantidad de 16,14 terabytes de datos de inteligencia profesional y corporativa. En total, los investigadores descubrieron casi 4.300 millones de documentos, lo que la convierte en una de las mayores bases de datos de generación de leads jamás filtradas. Por un lado, la estructura de la base de datos indica un scraping similar al de LinkedIn, lo que a menudo significa que la mayoría de los datos, como correos electrónicos, números de teléfono, puestos de trabajo y gráficos sociales, están actualizados y son precisos. profiles, unique_profiles y people) contenían información de identificación personal (PII). Las tres colecciones, que en conjunto contenían casi 2 mil millones de registros, expusieron detalles como: nombres completos, números de teléfono, direcciones de correo electrónico, historiales profesionales, educación, certificaciones, redes sociales, habilidades, funciones laborales e incluso enlaces a fotografías. Los investigadores señalaron que esta información habría sido recopilada durante años y desde múltiples regiones antes de acabar, por error, en una base de datos sin protección. El acceso al servidor se detectó el 23 de noviembre, aunque el propietario lo aseguró dos días después; se desconoce si en ese tiempo estuvo accesible a posibles actores maliciosos. Según Cybernews, el conjunto estaba "completamente estructurado", lo que sugiere que se trataba de datos corporativos obtenidos mediante scraping automatizado. Esto genera numerosos riesgos, ya que una base tan detallada ofrece a los atacantes un punto de partida ideal para campañas de phishing masivo o ataques de ingeniería social. Además, la colección unique_profiles, que contenía más de 732 millones de registros, incluía fotografías. A su vez, la colección people contenía validación de correo electrónico, puntuaciones de enriquecimiento y cuentas en redes sociales. Resulta difícil determinar la antigüedad de los datos de LinkedIn incluidos en el conjunto de datos. Las marcas de tiempo de la base de datos indican que la información se recopiló o actualizó en 2025. Sin embargo, en 2021, cibercriminales publicaron afirmaciones alegando haber extraído cientos de millones de registros de LinkedIn. Para protegerse ante incidentes de este tipo, los especialistas recomiendan actualizar de inmediato las contraseñas de las cuentas más críticas especialmente las vinculadas a LinkedIn, y mantener una vigilancia extrema ante mensajes inesperados que pidan datos personales o incluyan enlaces o archivos sospechosos. Fuente: Cybernews

Leer noticia completa
Campaña de malware con KMSAuto modificado y con 2,8 millones de descargas
Segu-Info30 dic

Campaña de malware con KMSAuto modificado y con 2,8 millones de descargas

Un ciudadano lituano fue arrestado por su presunta participación en la infección de 2,8 millones de sistemas con malware de robo de portapapeles camuflado en la herramienta KMSAuto para la activación ilegal de Windows y Office. El hombre de 29 años fue extraditado de Georgia a Corea del Sur tras una solicitud relacionada bajo la coordinación de Interpol. Según la Agencia Nacional de Policía de Corea, el sospechoso utilizó KMSAuto para engañar a las víctimas y hacer que descargaran un ejecutable malicioso que escaneaba el portapapeles en busca de direcciones de criptomonedas y las reemplazaba por las controladas por el atacante. Este tipo de amenaza se denomina malware clipper. Según la Agencia Nacional de Policía de Corea, el sospechoso añadió malware a la herramienta KMSAuto, que verificaba el contenido del portapapeles en busca de direcciones de criptomonedas y cambiaba la dirección de destino a una controlada por el atacante.  "De abril de 2020 a enero de 2023, el delincuente distribuyó 2,8 millones de copias de malware en todo el mundo camuflado en un programa ilegal de activación de licencias de Windows (KMSAuto)", afirma la policía. "Mediante este malware, robó activos virtuales por un valor aproximado de 1.700 millones de KRW (1,2 millones de dólares) en 8.400 transacciones de usuarios de 3.100 direcciones de activos virtuales". La policía inició la investigación en agosto de 2020, tras un informe sobre cryptojacking, en el que el sistema de la víctima fue infectado por malware clipper, que intercambiaba la dirección de la billetera del destinatario para dirigir los pagos al atacante. La investigación descubrió una infección de malware a través de la mencionada herramienta KMSAuto. modificada. Tras rastrear las cantidades robadas e identificar al autor, en diciembre de 2024 se llevó a cabo un allanamiento en Lituania, donde se confiscaron 22 artículos, entre ellos ordenadores portátiles y teléfonos móviles. El análisis de los objetos incautados reveló pruebas incriminatorias, lo que finalmente condujo al arresto en abril de 2025, mientras viajaba de Lituania a Georgia. El uso de software ilegal que infringe los derechos de autor es arriesgado, ya que estas herramientas pueden introducir malware en el sistema. Este tipo de utilidad se ha utilizado con frecuencia para distribuir malware. Recientemente, ciberdelincuentes suplantaron la herramienta Microsoft Activation Scripts (MAS) para distribuir scripts de PowerShell que distribuyeron el malware Cosmali Loader. Según los informes, los atacantes habían creado un dominio similar, "get.activate[.]win", que se parece mucho al legítimo que aparece en las instrucciones oficiales de activación de MAS, get.activated.win. Se recomienda evitar el uso de activadores de productos de software no oficiales y, en general, cualquier ejecutable de Windows que no esté firmado digitalmente y cuya fuente o integridad no pueda validarse. Fuente: BC

Leer noticia completa
MongoBleed: vulnerabilidad permite filtrar datos de forma remota en MongoDB (hay exploit, PARCHEA!)
Segu-Info28 dic

MongoBleed: vulnerabilidad permite filtrar datos de forma remota en MongoDB (hay exploit, PARCHEA!)

Una vulnerabilidad importante permite a atacantes no autenticados filtrar de forma remota datos confidenciales de la memoria del servidor MongoDB. Una falla en la compresión zlib permite a los atacantes provocar una fuga de información. Al enviar paquetes de red con formato incorrecto, un atacante puede extraer fragmentos de datos privados. La vulnerabilidad, identificada CVE-2025-14847 (CVSS 8.7), afecta a todas las versiones de MongoDB desde hace aproximadamente una década (desde 3.-x a 8.x) y ya hay actualizaciones disponibles. Además, alguien de Elastic Security decidió publicar un exploit para CVE-2025–14847 el día de Navidad y la empresa OX decidió que sería una gran idea publicar detalles técnicos en Nochebuena. En este momento, solo en Argentina hay casi 200 servidores MongoDB expuestos a Internet y seguramente vulnerables. La vulnerabilidad afecta a cualquier servidor con un puerto MongoDB expuesto públicamente, y también afecta a servidores privados a los que los atacantes podrían llegar mediante movimiento lateral. Los atacantes pueden aprovechar esto para extraer información confidencial de los servidores MongoDB, incluida información de usuario, contraseñas, claves API y más. Aunque es posible que el atacante necesite enviar una gran cantidad de solicitudes para recopilar la base de datos completa, y algunos datos pueden no tener sentido, cuanto más tiempo tenga un atacante, más información podrá recopilar. La causa principal se encuentra en message_compressor_zlib.cpp, donde el código vulnerable devolvía el tamaño de búfer asignado en lugar de la longitud real de los datos descomprimidos. Esta falla, sutil pero crítica, permite que cargas útiles de tamaño insuficiente o malformadas expongan la memoria del montón adyacente que contiene información confidencial, una vulnerabilidad de desbordamiento de búfer similar a Heartbleed. Acciones recomendadas Cierre el puerto por defecto 27017 de MongoDB. deshabilite la compresión zlib en sus servidores; aunque podría afectar el rendimiento, podría ayudar a mitigar este tipo de ataques. zlib. exploit en los registros a través de productos como... Elastic. También se lanzó la herramienta MongoBleed Detector para identificar la posible explotación de CVE-2025-14847. La lógica de detección de esta herramienta se basa en la excelente investigación de Eric Capuano, quien analizó los artefactos de explotación de MongoBleed e identificó la firma de comportamiento clave: conexiones rápidas sin metadatos del cliente. DoublePulsar

Leer noticia completa
Vulneración en la extensión de Chrome de Trust Wallet causa U$S 7 millones en pérdidas
Segu-Info26 dic

Vulneración en la extensión de Chrome de Trust Wallet causa U$S 7 millones en pérdidas

Trust Wallet insta a los usuarios a actualizar su extensión de Google Chrome a la última versión tras lo que describió como un "incidente de seguridad" que provocó pérdidas de aproximadamente 7 millones de dólares. El problema, según informó el servicio de billetera de criptomonedas multicadena sin custodia, afecta a la versión 2.68. La extensión cuenta con aproximadamente un millón de usuarios, según la Chrome Web Store. Se recomienda a los usuarios actualizar a la versión 2.69 lo antes posible. "Hemos confirmado que aproximadamente 7 millones de dólares se han visto afectados y nos aseguraremos de que todos los usuarios afectados reciban el reembolso", declaró Trust Wallet en una publicación en X. "Apoyar a los usuarios afectados es nuestra principal prioridad y estamos finalizando activamente el proceso de reembolso". Trust Wallet también insta a los usuarios a abstenerse de interactuar con cualquier mensaje que no provenga de sus canales oficiales. Los usuarios de dispositivos móviles y todas las demás versiones de la extensión del navegador no se ven afectados. Según los detalles compartidos por SlowMist, la versión 2.68 introdujo un código malicioso diseñado para iterar a través de todos los monederos almacenados en la extensión y activar una solicitud de frase mnemotécnica para cada monedero. "El mnemónico cifrado se descifra utilizando la contraseña o passkeyPassword ingresada durante el desbloqueo del monedero", explicó la empresa de seguridad blockchain. "Una vez descifrada, la frase mnemotécnica se envía al servidor del atacante api.metrics-trustwallet[.]com". El dominio "metrics-trustwallet[.]com" se registró el 8 de diciembre de 2025, y la primera solicitud a "api.metrics-trustwallet[.]com" comenzó el 21 de diciembre de 2025. Análisis posteriores revelaron que el atacante utilizó una biblioteca de análisis de cadena completa de código abierto llamada posthog-js para recopilar información de los usuarios de la billetera. Los activos digitales robados hasta la fecha incluyen aproximadamente 3 millones de dólares en Bitcoin, 431 dólares en Solana y más de 3 millones de dólares en Ethereum. Los fondos robados se han transferido a través de plataformas de intercambio centralizadas y puentes entre cadenas para su lavado e intercambio. Según una actualización compartida por el investigador de blockchain ZachXBT, el incidente ha causado cientos de víctimas. Este incidente de puerta trasera se originó por una modificación maliciosa del código fuente dentro del código base de la extensión interna de Trust Wallet (lógica analítica), en lugar de la inyección de una dependencia de terceros comprometida (por ejemplo, un paquete NPM malicioso) —declaró SlowMist—. El atacante manipuló directamente el código de la aplicación y luego utilizó la biblioteca de análisis legítima PostHog como canal de exfiltración de datos, redirigiendo el tráfico analítico a un servidor controlado por el atacante. La compañía afirmó que existe la posibilidad de que se trate de un agente de un estado-nación, y añadió que los atacantes podrían haber obtenido el control de los dispositivos de los desarrolladores relacionados con Trust Wallet o permisos de implementación antes del 8 de diciembre de 2025. Changpeng Zhao, cofundador de la plataforma de intercambio de criptomonedas Binance, propietaria de la herramienta, insinuó que la vulnerabilidad fue "muy probablemente" ejecutada por alguien interno, aunque no se aportaron más pruebas que respaldaran esta teoría. ¿Qué sucedió? CryptoWhale, todo indica que no se trató de un error del usuario ni de permisos mal concedidos, sino de una brecha directa en la cadena de suministro de la extensión de Trust Wallet para Chrome. El 24/12/2025 Trust Wallet publicó la versión v2.68.0 de su extensión para Chrome. Poco tiempo después, comenzaron a aparecer reportes de usuarios que, tras importar o usar su wallet en esa versión, perdían todos sus fondos, en muchos casos en cuestión de minutos. Investigadores y analistas on-chain detectaron una carga de JavaScript maliciosa integrada en la extensión. Su función era directa: robar las frases semilla y enviarlas a servidores controlados por el atacante. Con acceso a la seed, no hacen falta aprobaciones, firmas ni engaños adicionales. El atacante simplemente restaura la wallet en otro entorno y vacía todas las redes asociadas a esa semilla. Trust Wallet sostiene que el problema afectó únicamente a la extensión v2.68, que las apps móviles no están comprometidas y que los usuarios deben desactivarla y actualizar a la v2.69. El mayor problema no es el malware, sino el proceso que permitió su publicación. Si una versión maliciosa puede llegar a la Chrome Web Store bajo una marca oficial, el fallo está en el pipeline de lanzamiento: cuenta de desarrollador, sistema de build, CI, firmas, dependencias externas o accesos internos. CZ apunta directamente a la ruta de despliegue como el gran interrogante. Fuente: THN

Leer noticia completa
Fortinet advierte sobre la explotación de una vulnerabilidad de 2020 de omisión SSL VPN 2FA
Segu-Info26 dic

Fortinet advierte sobre la explotación de una vulnerabilidad de 2020 de omisión SSL VPN 2FA

Este miercoles, Fortinet confirmó que observó "abuso reciente de una falla de seguridad de cinco años en FortiOS SSL VPN en ciertas configuraciones". La vulnerabilidad en cuestión es CVE-2020-12812 (CVSS: 5.2), una vulnerabilidad de autenticación incorrecta en SSL VPN en FortiOS que podría permitir a un usuario iniciar sesión correctamente sin que se le solicite el segundo factor de autenticación si se cambia el caso del nombre de usuario. "Esto sucede cuando la autenticación de dos factores está habilitada en la configuración 'usuario local' y ese tipo de autenticación de usuario está configurado en un método de autenticación remota (por ejemplo, LDAP)", señaló Fortinet en julio de 2020. "El problema existe debido a una coincidencia inconsistente entre mayúsculas y minúsculas entre la autenticación local y remota". Desde entonces, la vulnerabilidad ha sido objeto de explotación activa en la naturaleza por parte de múltiples actores de amenazas, y el gobierno de EE.UU. también la incluye como una de las muchas debilidades que se utilizaron como arma en ataques dirigidos a dispositivos de tipo perimetral en 2021. En un nuevo aviso emitido el 24 de diciembre de 2025, Fortinet señaló que la activación exitosa de CVE-2020-12812 requiere que esté presente la siguiente configuración: Si se cumplen estos requisitos previos, la vulnerabilidad hace que los usuarios de LDAP con 2FA configurado omitan la capa de seguridad y en su lugar se autentiquen directamente en LDAP, lo que, a su vez, es el resultado de que FortiGate trata los nombres de usuario como que distinguen entre mayúsculas y minúsculas, mientras que el directorio LDAP no. "Si el usuario inicia sesión con 'Jsmith', o 'jSmith', o 'JSmith', o 'jsmiTh' o cualquier cosa que NO coincida exactamente con 'jsmith', FortiGate no comparará el inicio de sesión con el del usuario local", explicó Fortinet. "Esta configuración hace que FortiGate considere otras opciones de autenticación. FortiGate verificará otras políticas de autenticación de firewall configuradas". Después de no poder hacer coincidir jsmith, FortiGate encuentra el grupo secundario configurado 'Auth-Group', y desde allí el servidor LDAP, y siempre que las credenciales sean correctas, la autenticación será exitosa independientemente de cualquier configuración dentro de la política de usuario local (2FA y cuentas deshabilitadas). Como resultado, la vulnerabilidad puede autenticar usuarios administradores o VPN sin 2FA. Fortinet lanzó FortiOS 6.0.10, 6.2.4 y 6.4.1 para abordar el comportamiento en julio de 2020 (FG-IR-19-283). Las organizaciones que no han implementado estas versiones pueden ejecutar el siguiente comando para todas las cuentas locales para evitar el problema de omisión de autenticación: set username-case-sensitivity disable Se recomienda a los clientes que tengan las versiones de FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 o posteriores que ejecuten el siguiente comando: set username-sensitivity disable , dijo la compañía. Como mitigación adicional, vale la pena considerar eliminar el grupo LDAP secundario si no es necesario, ya que esto elimina toda la línea de ataque ya que no será posible la autenticación a través del grupo LDAP y el usuario fallará en la autenticación si el nombre de usuario no coincide con una entrada local. Sin embargo, la guía recientemente publicada no proporciona detalles sobre la naturaleza de los ataques que explotan la falla, ni si alguno de esos incidentes tuvo éxito. Fortinet también recomendó a los clientes afectados que se comuniquen con su equipo de soporte y restablezcan todas las credenciales si encuentran evidencia de que los administradores o usuarios de VPN están autenticados sin 2FA. Fuente: THN

Leer noticia completa
Una al Día21 dic

Alerta crítica: explotación activa de vulnerabilidad RCE en firewalls WatchGuard Firebox

La compañía de seguridad WatchGuard alertó de una falla crítica en sus dispositivos Firebox, confirmando la existencia de intentos de explotación activa en entornos reales. La vulnerabilidad es de tipo Out-of-Bounds Write y afecta al servicio iked de Fireware, el sistema operativo que gestiona las conexiones VPN IKEv2 en los firewalls de la compañía, y […] La entrada Alerta crítica: explotación activa de vulnerabilidad RCE en firewalls WatchGuard Firebox se publicó primero en Una Al Día.

Leer noticia completa
Una al Día20 dic

CVE-2025-20393: explotación activa en Cisco AsyncOS permite ejecutar comandos con privilegios root

Entre el 17 y el 18 de diciembre de 2025, Cisco Talos y varios CERTs han alertado sobre una campaña de explotación activa contra appliances de Cisco Secure Email Gateway y Cisco Secure Email and Web Manager que ejecutan AsyncOS. La vulnerabilidad, CVE-2025-20393 (CVSS 10.0), permite a un atacante remoto ejecutar comandos como root en […] La entrada CVE-2025-20393: explotación activa en Cisco AsyncOS permite ejecutar comandos con privilegios root se publicó primero en Una Al Día.

Leer noticia completa
🎅Fuga masiva de datos de todos los argentinos
Segu-Info19 dic

🎅Fuga masiva de datos de todos los argentinos

Ante todo aprovecho para AGRADECER a quienes me hicieron llegar el dato hace casi 3 días. Todo lo que dije y diré sobre dicha fuga está en los twits relacionados [1][2][3] desde hace 48 horas. Con el mejor espíritu navideño, puedo confirmar que he perdido completamente la fe en que Argentina tome la ciberseguridad como un tema y Política de Estado. Las fugas, el tráfico y la venta de datos son una constante que nadie investiga, a pesar de que —en mi caso al menos— vengo denunciándolo desde hace más de 15 años. Los delincuentes nunca han tenido tantas posibilidades. El tráfico de datos, del que todos son cómplices, nunca ha sido tan prolífico. A los delincuentes de siempre, sigan así, robando datos del Estado y vendiéndolos; nadie los investiga e incluso muchos (públicos y privados) se benefician de sus actos delictivos. A los estúpidos de siempre que acusan a un gobierno, vayan a estudiar historia; el problema alcanza a todos los partidos políticos por igual. A los medios de prensa y "periodistas de IA" que desinforman, vayan a estudiar cómo escribir una nota de verdad. Escriban algo por su cuenta y sin el "bait" de siempre. A los expertos de hace dos días en Linkedin, vayan a estudiar ciberseguridad; esta no fue una fuga desde el Estado, era una organización delictiva que vendía los datos a otras empresas Y al Estado. Actualmente hay otras similares aún funcionando en Argentina. A los "conocedores de todo" que confirman (erróneamente) que es una fuga vieja, guarden silencio. A los dañinos de siempre, vayan a estudiar... punto. A los influencers de moda, búsquense una vida. A todos nosotros: pensemos y estudiemos por qué razón la seguridad y la privacidad nos importa tan poco. ¡Felices Fiestas!🎅 Cristian

Leer noticia completa
Una al Día19 dic

De usuario local a SYSTEM: la cadena de explotación que afecta a RasMan

La vulnerabilidad principal ya tiene parche de Microsoft, pero el vector que facilita el ataque quedó sin corregir en el hallazgo inicial. Un fallo de seguridad crítico relacionado con el Windows Remote Access Connection Manager (RasMan) ha puesto el foco en un escenario de escalada de privilegios local que puede terminar en ejecución de código […] La entrada De usuario local a SYSTEM: la cadena de explotación que afecta a RasMan se publicó primero en Una Al Día.

Leer noticia completa
Vulnerabilidad Zero-Day en Cisco AsyncOS permite acceso root
Segu-Info18 dic

Vulnerabilidad Zero-Day en Cisco AsyncOS permite acceso root

Cisco Talos ha confirmado que se está explotando activamente una vulnerabilidad Zero-Day (CVSS 10) sin parches en Cisco AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager. UAT-9686, en ataques dirigidos a Cisco Secure Email Gateway y Cisco Secure Email and Web Manager. El fabricante de equipos de red afirmó haber tenido conocimiento de la campaña de intrusión el 10 de diciembre de 2025 y haber identificado un "subconjunto limitado de dispositivos" con ciertos puertos abiertos a internet. Actualmente se desconoce el número de clientes afectados. "Este ataque permite a los actores de amenazas ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado", declaró Cisco en un aviso. "La investigación en curso ha revelado evidencia de un mecanismo de persistencia implantado por los actores de amenazas para mantener cierto grado de control sobre los dispositivos comprometidos". CVE-2025-20393 y tiene una puntuación CVSS de 10.0. Se trata de un caso de validación de entrada incorrecta que permite a los actores de amenazas ejecutar instrucciones maliciosas con privilegios elevados en el sistema operativo subyacente. Todas las versiones del software Cisco AsyncOS están afectadas. Sin embargo, para que la explotación se lleve a cabo con éxito, se deben cumplir las siguientes condiciones tanto para las versiones físicas como virtuales de los dispositivos Cisco Secure Email Gateway y Cisco Secure Email and Web Manager: El dispositivo está configurado con la función de Cuarentena de Spam. Cabe destacar que la función de Cuarentena de Spam no está habilitada por defecto. La actividad de explotación observada por Cisco se remonta al menos a finales de noviembre de 2025, cuando el UAT-9686 utilizó la vulnerabilidad para eliminar herramientas de tunelización como ReverseSSH (también conocido como AquaTunnel) y Chisel, así como una utilidad de limpieza de registros llamada AquaPurge. El uso de AquaTunnel se ha asociado previamente con grupos de hackers chinos como APT41 and UNC5174. También se implementó en los ataques una puerta trasera ligera de Python, denominada AquaShell, capaz de recibir comandos codificados y ejecutarlos. "Escucha pasivamente las solicitudes HTTP POST no autenticadas que contienen datos especialmente diseñados", declaró Cisco. "Si se identifica dicha solicitud, la puerta trasera intentará analizar el contenido mediante una rutina de decodificación personalizada y ejecutarlo en el shell del sistema". A falta de un parche, se recomienda a los usuarios restaurar sus dispositivos a una configuración segura, limitar el acceso desde internet, proteger los dispositivos con un firewall para permitir el tráfico únicamente desde hosts de confianza, separar las funciones de correo y administración en interfaces de red independientes, supervisar el tráfico del registro web para detectar cualquier tráfico inesperado y desactivar HTTP en el portal principal del administrador. También se recomienda desactivar cualquier servicio de red que no sea necesario, utilizar métodos robustos de autenticación de usuario final como SAML o LDAP, y cambiar la contraseña de administrador predeterminada por una variante más segura. "En caso de una vulneración confirmada, reconstruir los dispositivos es, actualmente, la única opción viable para erradicar el mecanismo de persistencia del actor de amenazas", declaró la compañía. Este desarrollo ha llevado a CISA a añadir la vulnerabilidad CVE-2025-20393 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). La divulgación se produce después de que GreyNoise anunciara haber detectado una "campaña coordinada y automatizada basada en credenciales dirigida a la infraestructura de autenticación de VPN empresarial", específicamente investigando los portales expuestos o con protección débil de Cisco SSL VPN y Palo Alto Networks GlobalProtect. Se estima que más de 10.000 IP únicas realizaron intentos de inicio de sesión automatizados en portales de GlobalProtect utilizando combinaciones comunes de nombre de usuario y contraseña el 11 de diciembre de 2025. Fuente: THN

Leer noticia completa
Una al Día17 dic

WatchGuard corrige una vulnerabilidad crítica en Fireware OS explotada activamente en ataques reales

WatchGuard Technologies ha emitido un parche de seguridad urgente para su sistema operativo Fireware OS tras confirmar la explotación activa de una vulnerabilidad crítica de ejecución remota de código, identificada como CVE-2025-14733. El fallo, con una puntuación CVSS de 9.3, afecta a dispositivos que utilizan configuraciones específicas de VPN IKEv2, y permite a atacantes no […] La entrada WatchGuard corrige una vulnerabilidad crítica en Fireware OS explotada activamente en ataques reales se publicó primero en Una Al Día.

Leer noticia completa

Fuentes: Hispasec, Segu-Info, Una al Día, SeguridadMania, Xataka, Genbeta, Séptima Página Chile, Cooperativa Chile. Noticias globales en español con prioridad a Chile. Actualizado cada hora.