Extensiones de fondo de pantalla para Chrome con 105.000 instalaciones vinculadas a adware y tráfico falso

Investigadores de ciberseguridad han descubierto una red de 152 extensiones de Google Chrome que funcionan como complementos de fondo de pantalla animado para nuevas pestañas, distribuyendo una familia de programas potencialmente no deseados (PUP).

El grupo abarca 38 cuentas de editores distintas en la Chrome Web Store y tres servidores backend: tabplugins[.]com, yowgames[.]com y chromewallpaper[.]com. En total, se han instalado 105.000 veces. A continuación se muestran los nombres de algunas de las extensiones.

"Cada ficha en la Chrome Web Store declara que no recopilará ni utilizará datos de usuario, mientras que la política de privacidad vinculada admite lo contrario: que las extensiones registran direcciones IP, proveedores de servicios de Internet, recuentos de clics y fuentes de referencia, y comparten esos datos con Google AdSense, DoubleClick y socios publicitarios externos", dijo Kush Pandya, investigador de seguridad de Socket.

Además, un subgrupo de las extensiones identificadas define dos URL codificadas en un archivo JavaScript ("js/bg.js") que se activan durante la instalación y desinstalación.

La URL de instalación incluye los parámetros del Módulo de Seguimiento de Urchin (UTM) "utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper", lo que hace que la extensión abra una pestaña durante la instalación como si fuera una búsqueda "orgánica".

La URL de desinstalación es una redirección a google.com/url que simula la desinstalación como una búsqueda genuina en Google.

La búsqueda orgánica en buscadores como Google se refiere a los resultados no pagados que aparecen en la página de resultados del motor de búsqueda (SERP), generados por algoritmos. Su posición se basa en parámetros como la relevancia, la autoridad y la optimización para motores de búsqueda (SEO), y es diferente de los resultados patrocinados.

Según Socket, la idea detrás de estas extensiones es crear artificialmente esa señal, lo que equivale esencialmente a fabricar el origen de su propio tráfico. "La visita no proviene de una persona que haya buscado en Google; es la extensión la que abre una pestaña automáticamente y la etiqueta como 'procedente de la búsqueda orgánica de Google'", explicó la empresa.

El ping de desinstalación va un paso más allá, envolviendo la dirección en el formato exacto google.com/url que Google utiliza para los clics en resultados de búsqueda reales, incluyendo los tokens ved y usg firmados, de modo que el clic parece el de un usuario.

Los archivos JavaScript también incluyen una capacidad latente para enumerar y eliminar todas las bases de datos IndexedDB que encuentre al iniciarse un service worker.

Se considera que la campaña es una operación de afiliados de adware comercial con fines lucrativos y fraude de atribución de tráfico, aunque se desconoce su origen exacto. Los indicios disponibles sugieren que podría haberse originado en Turquía.

Fuente: THN

Seguir leyendo...

Palo Alto advierte sobre la explotación activa de una vulnerabilidad de VPN en PAN-OS GlobalProtect

Palo Alto Networks ha revelado que ha detectado la explotación activa de una vulnerabilidad de PAN-OS recientemente divulgada por parte de un actor malicioso desconocido para obtener acceso no autorizado a los portales de GlobalProtect.

La vulnerabilidad en cuestión es CVE-2026-0257 (CVSS: 7.8), una falla de omisión de autenticación que afecta a los componentes de portal y puerta de enlace del software PAN-OS y que podría ser explotada por actores maliciosos para establecer conexiones VPN. La vulnrabilidad fue corregida en mayo.

Según la empresa de seguridad de redes, este defecto de seguridad podría ser explotado por un actor malicioso para eludir los controles de seguridad e iniciar conexiones VPN.

La vulnerabilidad ha sido explotada en ataques limitados, con actividad inicial observada el 17 de mayo de 2026. Actualmente se desconoce quién está detrás de estos esfuerzos de explotación.

"Hasta el momento, no se ha identificado ningún comportamiento posterior al acceso ni movimiento lateral", declaró Palo Alto Networks. "Solo una pequeña parte de los dispositivos analizados lograron establecer sesiones VPN, lo que generó eventos de conexión a la puerta de enlace".

Palo Alto Networks también insta a sus clientes a buscar en los registros de GlobalProtect eventos de conexión a la puerta de enlace exitosos que coincidan con los siguientes valores de configuración de cliente predefinidos de una prueba de concepto (PoC):

• endpoint_os_version: Microsoft Windows 10 Pro de 64 bits
• source_user_info.domain: vacío

La empresa también ha publicado indicadores de compromiso (IoC) asociados a la actividad.

Direcciones IP:

• 23.128.228[.]6
• 104.207.144[.]154
• 146.19.216[.]119
• 146.19.216[.]120
• 146.19.216[.]125
• 179.43.172[.]213
• 185.195.232[.]139
• 198.12.106[.]60
• 202.144.192[.]47

Nombres de host y direcciones MAC:

• aa:bb:cc:dd:ee:ff
• 00:11:22:33:44:55
• WINDOWS-LAPTOP-001
• DESKTOP-GP01
• GP-CLIENT

A finales del mes pasado, CISA añadió la vulnerabilidad CVE-2026-0257 a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV).

Fuente: THN

Seguir leyendo...

Estado de la seguridad del SDLC 2026

El riesgo de las aplicaciones modernas no se limita a vulnerabilidades individuales. El informe "State of SDLC Security 2026" de la empresa WIZ muestra cómo el riesgo se concentra y se propaga entre dependencias compartidas, entornos de desarrollador, sistemas CI/CD y flujos de trabajo impulsados por IA.

1. El riesgo se concentra donde el software se reutiliza más

En todos los ecosistemas, la adopción de la dependencia sigue una distribución de ley de potencia, donde aparece un conjunto relativamente pequeño de paquetes en una proporción desproporcionada de organizaciones. Como resultado, las debilidades en componentes ampliamente reutilizados pueden convertirse rápidamente en eventos de exposición sistémica en miles de entornos.

2. Los entornos de desarrollo concentran privilegios y confianza.

Los puntos finales de los desarrolladores se encuentran en el centro de la cadena de confianza del SDLC con acceso directo al código, las credenciales y los canales de implementación. Los entornos de desarrollo también están muy concentrados en torno a macOS, y Darwin representa aproximadamente el 86% de los sistemas de desarrollo observados. Al mismo tiempo, las extensiones y las herramientas de inteligencia artificial introducen una capa de confianza fragmentada y difícil de gobernar sobre esa base estandarizada.

3. La automatización CI/CD convierte la reutilización en un impacto inmediato

Los sistemas CI/CD combinan ejecución y automatización para crear un camino directo desde el acceso al desarrollo hasta el impacto en la producción. Un conjunto relativamente pequeño de acciones y componentes de flujo de trabajo domina estos entornos, concentrando el riesgo en los procesos más adoptados en lugar de distribuirlo uniformemente entre los sistemas de automatización.

4. La IA acelera el desarrollo y amplía los impactos en todos los entornos

El desarrollo asistido por IA es ahora común y está aumentando la velocidad y la escala de la producción de software, haciendo que los patrones inseguros sean más fáciles de generar y replicar en todos los entornos. La lógica de generación compartida y los valores predeterminados inseguros pueden crear debilidades repetibles en múltiples aplicaciones.

Conclusiones

Proteger el SDLC moderno requiere ir más allá de encontrar vulnerabilidades individuales para comprender y gobernar la confianza concentrada y las rutas de ejecución automatizadas.

Descargue el informe completo para descubrir cómo identificar y priorizar las debilidades de alto impacto en los sistemas que construyen, confían y distribuyen su software.

Fuente: Wiz

Seguir leyendo...

Más de 400 paquetes en el repositorio Arch Linux distribuyen un rootkit y un troyano

ç

Más de 400 paquetes en el Repositorio de Usuarios de Arch (AUR) distribuyen un rootkit de Linux y malware de robo de información que ataca credenciales y tokens de acceso.

Un informe de la comunidad de inteligencia de código abierto Independent Federated Intelligence Network (IFIN) señala que un nuevo mantenedor está suplantando la identidad de un editor de confianza en la plataforma AUR para distribuir paquetes infectados.

La distribución Arch Linux es popular entre usuarios avanzados y desarrolladores, quienes utilizan el catálogo AUR para obtener las últimas versiones del software instalado, los controladores y el kernel.

Importante: esto solo afecta a los paquetes del repositorio de usuarios (AUR). Los paquetes oficiales de Arch Linux no se han visto comprometidos en ningún momento.

AUR es un repositorio mantenido por la comunidad para la distribución Arch que contiene scripts de compilación de paquetes (PKGBUILD) con instrucciones para descargar, compilar e instalar software no disponible en los repositorios oficiales de Arch.

AUR se considera esencial para cualquier distribución basada en Arch porque contiene aplicaciones propietarias, versiones beta/nightly de software de código abierto, utilidades especializadas y versiones antiguas de paquetes que conservan funcionalidades que podrían haber sido eliminadas en versiones posteriores.

Sin embargo, no se trata de un espacio verificado, y los ciberdelincuentes pueden usarlo para distribuir malware a través de paquetes que cambian de propietario sin que nadie se dé cuenta.

Según Michael Taggart, miembro de IFIN, los paquetes comprometidos se modifican con scripts de preinstalación que descargan y ejecutan un paquete npm malicioso llamado atomic-lockfile.

El investigador de seguridad independiente Whanos señala que una muestra de atomic-lockfile incluía una carga útil ELF de Linux llamada deps, que era un "ladrón de credenciales con capacidades de rootkit eBPF (filtro de paquetes Berkeley extendido) opcionales solo para root. Está diseñado para estaciones de trabajo de desarrolladores y entornos de compilación. Su objetivo son los datos de navegadores y aplicaciones Electron, Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, material de VPN, historiales de shell y otros secretos locales de desarrolladores", afirma Whanos en el informe.

Gracias a la tecnología eBPF, el malware puede ejecutarse dentro del kernel con privilegios elevados y ocultar procesos locales.

La empresa de gestión de la cadena de suministro Sonatype también publicó un informe sobre una campaña dirigida al repositorio AUR y que distribuía el paquete malicioso atomic-lockfile de npm, pero utilizando un método diferente. Los investigadores de Sonatype afirman que el atacante secuestró al menos 20 paquetes huérfanos en AUR e distribuyó atomic-lockfile modificando el archivo PKGBUILD, un script de Bash con la información de compilación necesaria para los paquetes de Arch Linux.

Según el informe, el atacante añadió un script posterior a la instalación para invocar npm y descargar el paquete malicioso. "Los paquetes modificados añaden un script posterior a la instalación que invoca npm e instala atomic-lockfile durante la instalación del paquete", explica Sonatype.

Sin embargo, el análisis reveló que el paquete npm instalaba un ejecutable de Linux con referencias a un rootkit eBPF capaz de ocultar procesos, archivos e interfaces de red. Además, el binario de Linux indica que posee funcionalidad de robo de información, dirigida a los siguientes tipos de información confidencial:

• Credenciales de GitHub
• Archivos SSH
• Tokens de HashiCorp Vault
• Bases de datos de cookies del navegador
• Datos de Slack
• Datos de Discord
• Datos de Microsoft Teams
• Datos de Telegram

Sonatype determinó que el binario puede archivar datos, manejar archivos multipartes y realizar cargas HTTP, por lo que cuenta con la funcionalidad necesaria para un mecanismo típico de exfiltración de datos.

Los responsables de AUR están trabajando para identificar y eliminar todas las confirmaciones maliciosas y bloquear las cuentas que las distribuyen. En un mensaje a la comunidad, Jonathan Grotelüschen, responsable del paquete Arch Linux, instó a los usuarios a reportar cualquier paquete malicioso que encuentren.

Como regla general, se recomienda confiar únicamente en proyectos con actualizaciones frecuentes y una comunidad activa. Se aconseja a los usuarios de Arch que revisen la lista de paquetes afectados y busquen los indicadores de compromiso que se mencionan en el informe de Whanos.

Fuente: BC

Seguir leyendo...

Interpol y Europol desmantelan operaciones Sniper Dz y AudiA6

Interpol desmantela Sniper Dz

Una operación liderada por la INTERPOL el mes pasado logró desmantelar Sniper Dz, una plataforma de phishing como servicio (PhaaS) que operaba desde hacía una década, según informó Group-IB.

La operación liderada por Interpol, denominada Ramz, se llevó a cabo entre octubre de 2025 y febrero de 2026, y en ella participaron autoridades de 13 países de la región de Oriente Medio y Norte de África (MENA), quienes realizaron 201 arrestos.

Entre los detenidos se encontraba Guedz, principal desarrollador y administrador de Sniper Dz, un servicio PhaaS que, según se informa, había recopilado más de 45.000 registros de víctimas. El arresto fue realizado por la Policía Nacional de Argelia. A lo largo de los años, la plataforma cambió de nombre a Joker Dz, Storm Dz y Spam Dz.

Como parte de la Operación Ramz, se desmanteló el sitio web utilizado para ofrecer servicios PhaaS a otros ciberdelincuentes. Las autoridades también incautaron hardware que contenía software y scripts de phishing.

"Activa desde al menos 2015, Sniper Dz se ha convertido en una sofisticada plataforma criminal que ofrece kits de phishing listos para usar, infraestructura de alojamiento y soporte operativo a ciberdelincuentes", declaró la empresa de ciberseguridad con sede en Singapur.

Desde entonces, se han identificado más de 20.000 dominios únicos asociados al servicio PhaaS. El kit de herramientas se dirigió principalmente a 30 importantes organizaciones globales, como PayPal, Facebook, Instagram, Yahoo, Netflix y Steam, utilizando 80 plantillas de phishing disponibles en cinco idiomas: árabe, inglés, francés, español y hebreo.

Las campañas de phishing que utilizaban Sniper Dz se dirigían a usuarios de plataformas tecnológicas, redes sociales y streaming en diversas regiones, suplantando la identidad de marcas populares y entidades gubernamentales mediante sitios web falsos muy convincentes, con el objetivo de obtener credenciales, información personal y otros datos confidenciales.

Más allá del robo de credenciales tradicional, la plataforma también empleó técnicas de ingeniería social que explotaron la popularidad y credibilidad de figuras públicas en Oriente Medio y el Norte de África. Los ciberdelincuentes crearon cuentas falsas en redes sociales suplantando la identidad de personalidades políticas conocidas y las utilizaron para promocionar enlaces de phishing disfrazados de ofertas promocionales o acceso gratuito a internet».

Sniper Dz fue objeto de un análisis exhaustivo realizado por Palo Alto Networks Unit 42 en octubre de 2024, que detalló el uso que hacía el ciberdelincuente de un canal de Telegram con más de 7.300 suscriptores para compartir vídeos tutoriales y las opciones que ofrecía para alojar las páginas de phishing en su propia infraestructura, detrás de un servidor proxy.

Lo que diferenciaba a Sniper Dz del saturado mercado de PhaaS era que ofrecía toda su infraestructura de forma gratuita, facilitando a los aspirantes a ciberdelincuentes la realización de campañas de phishing a gran escala. Las vías de monetización, en cambio, se basaban en el robo de credenciales y el tráfico de las víctimas.

"Las credenciales robadas podrían obtenerse mediante campañas de phishing, mientras que los usuarios que no proporcionaran sus credenciales podrían ser redirigidos a fraudes de facturación de operadores, suscripciones premium de SMS, esquemas de abuso de notificaciones del navegador y otras campañas de estafa impulsadas por afiliados", dijo Group-IB.

Europol desmantela AudiA6

En un comunicado emitido el jueves, Europol afirmó que el desmantelamiento de AudiA6 interrumpió una "clave de financiación utilizada para blanquear cientos de millones de euros en ganancias ilícitas". Se estima que el servicio se utilizó para blanquear más de 336 millones de euros (unos 389 millones de dólares) desde su lanzamiento en 2021.

"La plataforma se había convertido en un centro neurálgico para los operadores de ransomware y los ciberdelincuentes que buscaban cobrar activos digitales robados ocultando el rastro del dinero a las autoridades".

Se sospecha que los operadores de AudiA6 también administraban un foro de ciberdelincuencia en la dark web conocido como Dark2Web, donde los ciberdelincuentes anunciaban servicios ilícitos y se conectaban con otros actores de amenazas en todo el mundo.

Como parte de la operación llevada a cabo el 10 de junio de 2026, se realizaron varias acciones coordinadas, entre ellas:

• La detención de dos presuntos administradores de nacionalidad ucraniana y rusa en Georgia.
• Tres registros patrimoniales.
• La eliminación de 25 dominios y la incautación de más de 30 servidores.
• La incautación de más de 80 vehículos y múltiples propiedades en Georgia.
• La congelación de criptoactivos por valor de 692.000 € (798.000 $) y la incautación de 86.000 € (99.400 $) en criptomonedas.
• El bloqueo de las cuentas de Telegram utilizadas por la red.

"De los aproximadamente 10.333 bitcoins depositados, unos 393,39 BTC (con un valor aproximado de 19.234.331 dólares en el momento de las transacciones) se recibieron directamente de mercados de la dark web conocidos, organizaciones de ransomware, servicios de ciberdelincuencia y otras fuentes ilícitas, mientras que fondos adicionales se depositaron indirectamente desde fuentes ilícitas en las carteras de AudiA6", declaró el Departamento de Justicia.

AudiA6 ha sido descrita como una operación de lavado de criptomonedas a escala industrial que se basaba en miles de cuentas de intercambio fraudulentas abiertas con identidades robadas o compradas. Este servicio criminal ha sido vinculado a más de 15 investigaciones en todo el mundo relacionadas con ataques de ransomware y robo masivo de criptomonedas.

Antes de su desarticulación, AudiA6 se promocionaba como un servicio de mezcla de criptomonedas que garantizaba anonimato y rapidez. Permitía a los clientes transferir sus ganancias ilícitas a monederos controlados por el grupo y recibir fondos "limpios" a cambio en menos de una hora mediante una compleja cadena de transacciones diseñada para ocultar el origen de los fondos.

Estas transacciones se realizaban a través de plataformas de mensajería privada, y los operadores cobraban comisiones que oscilaban entre el 3% y el 10%.

Según Europol, durante la investigación se identificaron más de 6.000 registros de verificación de identidad (KYC) vinculados a cuentas de mulas de dinero. "Muchas de estas cuentas estaban conectadas a intermediarios de habla rusa reclutados específicamente para facilitar el blanqueo de capitales a través de plataformas de intercambio de criptomonedas".

También se alega que AudiA6 utilizó proveedores de correo electrónico comerciales y direcciones de correo electrónico vinculadas a dominios bajo su control para registrar cuentas de mulas de dinero en diversas plataformas de intercambio de criptomonedas.

En un informe publicado en noviembre de 2021, Intel 471 reveló que AudiA6 requería un saldo mínimo de 27 bitcoins y cobraba una comisión fija de entre el 3% y el 5,5%. En diciembre de 2025, un análisis de TRM Labs descubrió que los fondos robados en el hackeo de LastPass de 2022 se canalizaron a través de Cryptex y AudiA6.

Fuente: THN I | THN II

Seguir leyendo...

Vulnerabilidad Zero-Day en Oracle PeopleSoft (CVE-2026-35273) siendo explotada

El grupo de extorsionadores ShinyHunters explotó una vulnerabilidad sin parchear en Oracle PeopleSoft para infiltrarse en sistemas empresariales, robar datos y exigir un pago para mantenerlos privados. La campaña afectó principalmente a las universidades.

Mandiant, de Google, atribuye la actividad al grupo UNC6240 y la fecha entre el 27 de mayo y el 9 de junio. Oracle no publicó su aviso hasta el 10 de junio, por lo que la vulnerabilidad fue de Zero-Day durante todo ese período.

La vulnerabilidad, CVE-2026-35273, es un fallo de ejecución remota de código en PeopleSoft Enterprise PeopleTools con una calificación de 9.8 sobre 10. No requiere inicio de sesión ni interacción del usuario; solo acceso a la red mediante HTTP para tomar el control del servidor. Si utiliza PeopleSoft con el Centro de administración de entornos accesible desde el exterior, está expuesto, y la medida inmediata es proteger esos puntos finales.

La vulnerabilidad reside en el componente de Administración de entornos de actualizaciones, el componente que gestiona el Centro de administración de entornos (PSEMHUB). Oracle indica que PeopleTools 8.61 y 8.62 están afectadas y que las versiones anteriores, sin soporte, probablemente también sean vulnerables. Atribuye el informe a investigadores de TrendAI Zero Day Initiative y TrendAI Research.

Charles Carmakal, CTO de Mandiant, confirmó que la vulnerabilidad está siendo explotada; Oracle no ha confirmado si ha detectado alguna explotación. Su aviso remite a un documento de disponibilidad de parches que requiere una cuenta de soporte, y no está claro si existe una solución completa disponible para todos. Por ahora, la guía se centra en la mitigación.

Los detalles operativos se hicieron públicos porque los atacantes dejaron sus propios equipos expuestos. La investigadora @nahamike01 señaló públicamente los directorios abiertos. Mandiant analizó cinco direcciones IP consecutivas que ejecutaban el servidor SimpleHTTP de Python en el puerto 8888. Estos servidores expusieron los archivos de preparación: un archivo .bash_history compartido, agentes de administración remota MeshCentral personalizados disfrazados de binarios de Microsoft Azure y un script de movimiento lateral.

Los agentes se conectaron a un servidor de comando y control en azurenetfiles.net, un dominio elegido para imitar Azure NetApp Files. El script, llamado [victim]_fanout.sh, se propaga a través de SSH enviando una lista predefinida de nombres de usuario y contraseñas a hosts internos obtenidos de /etc/hosts, y luego coloca un archivo marcador llamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT en directorios de PeopleSoft. El historial de comandos muestra los datos comprimidos con zstd y una conexión SSH saliente al servidor que aloja la copia pública del sitio de filtración ShinyHunters.

Mandiant notificó a más de 100 organizaciones cuyas direcciones IP coincidían con los puntos finales vulnerables. El 68% pertenecían al sector de la educación superior, la mayoría en Estados Unidos. Algunas bloquearon la actividad; otras fueron comprometidas y sus datos se publicaron en el sitio de filtración.

La Universidad de Nottingham es una de las primeras víctimas confirmadas. Have I Been Pwned ha contabilizado aproximadamente 455.000 direcciones de correo electrónico únicas en la filtración, que incluye a estudiantes actuales y antiguos alumnos, con nombres, direcciones, números de teléfono, números de pasaporte e información sobre etnia y discapacidades. La universidad ha confirmado la brecha de seguridad.

Oracle recomienda deshabilitar el servicio Environment Management Hub en configuraciones multiservidor o eliminar la aplicación PSEMHUB por completo en configuraciones de un solo servidor. Si no es posible realizar ninguna de estas acciones, bloquee el acceso externo a /PSEMHUB/* (especialmente /PSEMHUB/hub) y /PSIGW/HttpListeningConnector en el perímetro.

Mandiant advierte que las reglas de inspección del cuerpo del WAF por sí solas no son suficientes, ya que pueden eludirse. Restringir estos puntos finales no interrumpe las sesiones de usuario normales.

A continuación, busque indicios de una posible vulneración:

• Registros de acceso de WebLogic que muestren solicitudes POST externas a /PSEMHUB/hub o /PSIGW/HttpListeningConnector. Archivos .jsp inesperados en el directorio de la aplicación web PSEMHUB.war, o carpetas extrañas llamadas logs, persistantstorage o scratchpad en las rutas de PSEMHUB.
• Archivos .xml modificados recientemente en envmetadata/data/environment del directorio raíz del documento web, que pueden ser explotados para la persistencia de XMLDecoder que se activa en el siguiente reinicio.
• Tráfico SMB saliente en el puerto 445 desde hosts de PeopleSoft a destinos externos, que la cadena de exploits puede usar para capturar hashes NetNTLM de cuentas de máquina.
• Aplique la actualización de Oracle para su versión de PeopleTools una vez que confirme que está disponible en My Oracle Support.

ShinyHunters afirma que la búsqueda de víctimas acaba de comenzar y no ha publicado la mayoría de las organizaciones que menciona, por lo que es probable que haya más nombres.

El método es la clave. Últimamente, ShinyHunters ha recurrido al vishing, tokens robados y controles de acceso débiles para robar datos de plataformas SaaS y educativas, desde clientes de Salesforce hasta Canvas. Una vulnerabilidad de día cero en un servidor de software ERP local representa un avance significativo, dirigido a los mismos objetivos con gran cantidad de datos.

La incógnita reside en si se trató de una vulnerabilidad de día cero aislada o del inicio de la incursión de ShinyHunters en la explotación de sistemas ERP.

Fuente: THN

Seguir leyendo...

(Otra) vulnerabilidad permite eludir BitLocker de Windows (Zero-Day)

El investigador de seguridad Chaotic Eclipse (también conocido como Nightmare-Eclipse y MSNightmare) ha publicado una nueva vulnerabilidad para eludir BitLocker de Windows, denominada GreatXML, un día después de haber publicado un exploit para Microsoft Defender.

"Fue un descubrimiento accidental; me llevó cuatro horas encontrarlo", declaró el investigador en una publicación. "Si alguna vez intentaste usar el análisis sin conexión de Windows Defender, eres automáticamente vulnerable a un exploit de BitLocker. No estoy seguro de si aún se puede activar el fallo sin usar la función de análisis sin conexión, porque sin duda es posible".

El exploit funciona de la siguiente manera:

• Copie un archivo XML ("unattend.xml") y una carpeta de recuperación que contenga otro archivo XML ("Recovery/WindowsRE/ReAgent.xml") a la raíz de la partición de recuperación.
• Reinicie en el Entorno de Recuperación de Windows (WinRE) manteniendo presionada la tecla Mayús mientras hace clic en Reiniciar en el menú de inicio de Windows.

Si se siguen todos los pasos correctamente, se generará una shell con acceso ilimitado al volumen de BitLocker.

"Si nunca se inició el análisis sin conexión de Defender, deberá iniciar sesión e iniciarlo manualmente o encontrar una manera de arrancar en WinRE en estado de análisis sin conexión (creo que debería ser posible hacerlo sin iniciar sesión) y seguir los pasos anteriores", señaló Chaotic Eclipse.

El lanzamiento de GreatXML se produce poco después de RoguePlanet, una vulnerabilidad de día cero en Microsoft Defender que facilita la escalada de privilegios local (LPE) a SYSTEM, otorgando al atacante la capacidad de ejecutar código arbitrario o realizar acciones no autorizadas.

GreatXML es también el segundo exploit para eludir BitLocker publicado por Chaotic Eclipse después de YellowKey (también conocido como CVE-2026-45585), cuyos parches fueron publicados por Microsoft esta semana como parte de las actualizaciones de Patch Tuesday.

Fuente: THN

Seguir leyendo...

¿Welcome IPv8?

IPv8 es una propuesta de protocolo de red publicada como Internet-Draft en el IETF el 15 de abril de 2026 que busca reemplazar IPv4 resolviendo de raíz sus dos grandes problemas: el agotamiento de direcciones y la fragmentación de la gestión de red. Lo hace manteniendo compatibilidad total con IPv4 —sin necesidad de dual-stack ni migración forzada— y usando direcciones de 64 bits que incluyen el número de sistema autónomo (ASN) como prefijo de enrutamiento.

El borrador draft-thain-ipv8-01, ha generado bastante ruido en la comunidad de redes. Algunos lo han calificado de "hecho por la IA", otros lo han leído con más calma y ven propuestas interesantes.

El 3 de febrero de 2011 IANA entregó los últimos bloques /8 libres de IPv4. Desde entonces no ha habido más espacio central que repartir. Los cinco registros regionales agotaron sus reservas entre 2011 y 2020 uno tras otro. Hoy todas las direcciones IPv4 útiles del mundo están en manos de alguien — y la única forma de conseguir más es comprárselas a ese alguien.

¿Qué pasó cuando se acabaron las IPs? Que se inventó el CGNAT (Carrier-Grade NAT): el operador de Internet pone a todos los clientes juntos detrás de una misma IP pública. Las consecuencias son conocidas: la comunicación directa entre dispositivos se complica (adiós a muchos juegos online, torrent, VoIP directo...), los logs para hacer trazabilidad se vuelven un infierno y la latencia aumenta. No es una solución elegante, es un parche. Y además, el protocolo en sí nunca pensó mucho en la seguridad ni en la gestión centralizada: DHCP, DNS, NTP, autenticación... cada protocolo salió por su lado, en distintas décadas, sin un modelo de identidad común. El resultado es que administrar una red grande hoy es como intentar orquestar una banda donde cada músico lleva un manual diferente.

IPv6 existe desde 1998. Lleva veintiocho años escribiéndose, estandarizándose, desplegándose. Y en 2026 apenas transporta el 45,2% del tráfico mundial según las estadísticas de Google. La mitad más uno de Internet sigue siendo IPv4. El fracaso no es de ingeniería — IPv6 es un protocolo sólido — sino de incentivos.

El modelo de transición de IPv6 exige doble pila: cada dispositivo, cada aplicación, cada router tiene que hablar ambos protocolos simultáneamente durante el tiempo que dure la migración. Y ese tiempo, sin un forzante real, es indefinido. Cada operador asume el coste operativo del doble mantenimiento sin obtener un beneficio inmediato si sus pares no han migrado también. Sin externalidad forzante, el equilibrio racional es quedarse en IPv4 con CGNAT.

IPv6 rompe compatibilidad a nivel de paquete. Un router que solo entiende IPv4 no puede reenviar un paquete IPv6 — ni siquiera sabe qué longitud tiene la cabecera. Cada salto del camino debe actualizarse antes de que la ruta funcione. Eso multiplica el coste de coordinación por el número de operadores involucrados, que es un número grande.

Tras 25 años de esfuerzo de despliegue IPv6 transporta una minoría del tráfico global de internet. El coste operativo del modelo de transición doble pila, combinado con la ausencia de mejoras en la gestión, resultó comercialmente inaceptable.

IPv8 cambia la reglas del juego

La propuesta fue publicada con una serie completa de documentos para definir los protocolos necesarios para pasar a IPv8, como serían los protocolos DHCP8, WHOIS8, y el conjunto mínimo de protocolos de gestión del enrutamiento de tráfico IPv8 en las redes de Internet de hoy en día.

IPv8 es un Internet-Draft individual del IETF, no una RFC (borrador español). Para avanzar necesita revisión, implementaciones experimentales y — lo más difícil — adopción operativa.

IPv8 cambia la regla del juego: IPv4 es un subconjunto estricto de IPv8. Una dirección IPv8 es de 64 bits y se escribe r.r.r.r.n.n.n.n. El tramo n.n.n.n son los 32 bits IPv4 de siempre con idéntica semántica. El tramo r.r.r.r codifica el ASN — el número del sistema autónomo al que pertenece la IP.

Puntos clave de IPv8:

• Formato ASN:HOST: Por ejemplo, 23548:192.168.1.1.
• Retrocompatibilidad Garantizada: Considera el direccionamiento IPv4 como un subconjunto donde el ASN corresponde a 0.0.0.0 (ejemplo 0:192.168.1.1).
• Seguridad Nativa: Implementa Zero Trust validado por JWT (JSON Web Tokens).
• Servicios Integrados: Incorpora protocolos como DHCP8, DNS8 y WHOIS8 para una gestión centralizada.

Los primeros 32 bits (r.r.r.r) son un prefijo de enrutamiento basado en el número de sistema autónomo (ASN) del operador o empresa. Los otros 32 bits (n.n.n.n) son la dirección del host, con la misma semántica que una dirección IPv4 de toda la vida. El espacio total es 2^64: más de 18 trillones de direcciones, con 4.294.967.296 hosts disponibles para cada ASN registrado.

Lo más importante del diseño es la compatibilidad hacia atrás. Una dirección IPv4 se representa en IPv8 como 0.0.0.0.n.n.n.n: cuando el prefijo de enrutamiento es todo ceros, se aplican las reglas IPv4 estándar. Esto significa que IPv4 es un subconjunto propio de IPv8. Ningún dispositivo, ninguna aplicación, ninguna red necesita modificarse. Sin día D, sin migración forzada, sin dual-stack.

Cuando r.r.r.r = 0.0.0.0, la dirección IPv8 es una dirección IPv4 clásica, procesada por las reglas IPv4 de siempre. Ningún router, ningún firmware, ninguna aplicación IPv4 existente necesita modificación. No hay flag day. No hay migración forzada.Cada titular de un ASN recibe 4.294.967.296 direcciones — tantas como tiene IPv4 entero. Un ISP consumer, un hyperscaler, un laboratorio universitario: todos con espacio de sobra para décadas, sin CGNAT, sin renumeración. El espacio total pasa de 232 a 264 direcciones, es decir, ~18 trillones. El agotamiento deja de ser un problema arquitectónico.

La tabla BGP global también cambia. En IPv8 la regla es que el prefijo mínimo anunciable entre sistemas autónomos es /16. Se acabaron los /24, /22, /20 que hoy inflan la tabla BGP4 hasta los 970.000 prefijos. La tabla BGP8 queda acotada por el número de ASNs activos, no por la proliferación de prefijos. Hoy hay ~122.000 ASNs: ese es tu límite superior. Finito. Manejable.

IPv4 vs IPv6 vs IPv8 — las diferencias que importan

	IPv4	IPv6	IPv8
Bits por dirección	32	128	64
Formato	n.n.n.n	2001:db8::1	r.r.r.r.n.n.n.n
Espacio total	4.300 millones	340 sextillones	18 trillones
Compatible con IPv4	—	No (requiere doble pila)	Sí (subconjunto estricto)
Migración	—	Años, cara, incompleta	Actualización de software
Tabla BGP acotada	No	No	Sí (/16 mínimo, 1 por ASN)
Adopción global (2026)	~55%	~45%	Internet-Draft

Además de las direcciones, la propuesta incluye un ecosistema completo de protocolos: DHCP8 para entregar toda la configuración de red en una sola respuesta, DNS8 para resolución de nombres, BGP8 para enrutamiento con validación obligatoria de rutas contra un registro WHOIS8, autenticación mediante tokens OAuth2/JWT y telemetría unificada. Todo gestionado a través de un Zone Server que hace las veces de gateway, servidor DNS, NTP, gestor de autenticación y monitor de red al mismo tiempo.

¿Por qué IPv8 podría tener éxito donde IPv6 ha fallado?

Si algo ha frenado a IPv6 es el modelo de transición. IPv8 lo resuelve de una manera mucho más pragmática: en lugar de exigir dual-stack, hace que IPv4 conviva dentro del propio espacio de direcciones de IPv8. El prefijo 0.0.0.0 actúa como "modo legado" y cualquier tráfico con ese prefijo se enruta con las reglas IPv4 de siempre. No hay rotura, no hay "o lo tienes todo migrado o no funciona nada".

Fuente: IPv8

Seguir leyendo...

RoguePlanet: (otra) vulnerabilidad Zero-Day de Microsoft Defender

El investigador de seguridad anónimo conocido como Chaotic Eclipse (también conocido como Nightmare-Eclipse) ha publicado una prueba de concepto (PoC) de un exploit para otra vulnerabilidad de día cero de Microsoft Defender llamada RoguePlanet.

"El exploit es una condición de carrera, por lo que su efectividad es variable", declaró el investigador, quien publicó el exploit bajo una nueva cuenta de GitHub llamada "MSNightmare". "He logrado un 100% de éxito en algunas máquinas, mientras que en otras ha tenido dificultades para funcionar".

Si el exploit tiene éxito, se obtiene una shell con privilegios de nivel SYSTEM, lo que permite al atacante ejecutar código arbitrario o realizar acciones no autorizadas. El investigador afirmó que el exploit se ha probado en máquinas con Windows 11 y 10 con las actualizaciones de Patch Tuesday de junio de 2026 instaladas, lo que significa que funciona en las versiones más recientes del sistema operativo de escritorio.

Sin embargo, el exploit no funciona en instancias de Windows Server en su forma actual, ya que "los usuarios estándar no pueden montar una imagen ISO". Chaotic Eclipse destacó que las instalaciones de Windows Server también son vulnerables a la falla y que el exploit necesita ser rediseñado para que funcione. "Lograr que esta prueba de concepto funcionara me agotó por completo; afectó gravemente mi salud mental y física, pero a finales de mayo [sic] se desarrolló una prueba de concepto completa", dijo el investigador.

"Los esfuerzos de Microsoft para proteger a Defender de los ataques de redirección de ruta son inútiles. También tengo varias vulnerabilidades de corrupción de memoria en Defender, sin mencionar otras vulnerabilidades que tengo en varios componentes".

El investigador de seguridad Will Dormann, en una publicación compartida en Mastodon, dijo: "Según se informa, no es 100% confiable, pero me funcionó al primer intento". RoguePlanet es la última de una serie de vulnerabilidades descubiertas por Chaotic Eclipse en los últimos meses.

Estas divulgaciones descoordinadas forman parte de lo que se considera una represalia tras una supuesta falta de comunicación entre el investigador, que no se ha identificado públicamente, y Microsoft.

En publicaciones firmadas criptográficamente en su blog, Chaotic Eclipse expresó su descontento con la forma en que Microsoft gestionó el proceso de divulgación y criticó a la compañía por revocar el acceso a su cuenta del Centro de Respuesta de Seguridad de Microsoft (MSRC), donde los investigadores pueden reportar vulnerabilidades. El investigador también acusó a Microsoft de humillarlo, desestimar sus informes, no compensarlo por las vulnerabilidades identificadas y difamarlo.

A finales del mes pasado, Microsoft condenó las divulgaciones públicas de vulnerabilidades, afirmando que "nunca se justifican" y que exponen a los clientes a un "riesgo innecesario". Cabe destacar que las tres vulnerabilidades de Defender mencionadas anteriormente ya han sido explotadas.

La disputa pública también ha provocado el cierre de sus cuentas de GitHub y GitLab. "Microsoft está intentando abusar de su propiedad de GitHub para proteger únicamente sus propios productos, y de sus amplios vínculos con las fuerzas del orden, calificando la publicación de información sobre vulnerabilidades en sus propios productos como un comportamiento delictivo", declaró el investigador de seguridad Kevin Beaumont.

"Para que quede claro nuestro enfoque en materia legal, no tenemos intención de emprender acciones legales contra las personas que realizan o publican investigaciones sobre seguridad", afirmó Microsoft en una publicación de X. "Cuando una persona infringe la ley y participa en actividades maliciosas que causan un daño real a nuestros clientes, colaboraremos con las fuerzas del orden según corresponda".

Fuente: THN

Seguir leyendo...

Actualizaciones de seguridad de JUNIO para todas las empresas

En el Patch Tuesday de junio de 2026, Microsoft public'o actualizaciones de seguridad para 200 fallos y tres vulnerabilidades Zero-Days divulgadas públicamente. Este parche aborda 33 vulnerabilidades "críticas", de las cuales 28 son de ejecución remota de código, 4 de elevación de privilegios y 1 es un fallo de divulgación de información. 

A continuación se muestra el número de errores en cada categoría de vulnerabilidad:

• 65 Vulnerabilidades de elevación de privilegios
• 19 Vulnerabilidades de omisión de funciones de seguridad
• 55 Vulnerabilidades de ejecución remota de códig
• 30 vulnerabilidades de divulgación de información
• 7 vulnerabilidades de denegación de servicio
• 27 vulnerabilidades de suplantación de identidad

Estos fallos no incluye los de Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Microsoft Exchange Online y Microsoft Graph, que Microsoft corrigió a principios de este mes.

Además, Google corrigió 360 fallos de Microsoft Edge/Chromium este mes, los cuales tampoco se incluye en este resumen.

Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, consulte nuestros artículos dedicados a las Windows 11 KB5094126 & KB5093998 cumulative updates y Windows 10 KB5094127 extended security update..

Vulnerabilidades destacadas

La actualización de seguridad de este mes corrige tres vulnerabilidades de día cero que se habían hecho públicas, ninguna de las cuales se sabe que haya sido explotada en ataques.

• CVE-2026-45586 - Vulnerabilidad de elevación de privilegios en el Marco de Traducción Colaborativa de Windows (CTFMON) que otorga privilegios de SYSTEM. "La resolución incorrecta de enlaces antes del acceso a archivos (seguimiento de enlaces) en el Marco de Traducción Colaborativa de Windows permite a un atacante autorizado elevar privilegios localmente", explica Microsoft.

Microsoft atribuyó la vulnerabilidad a un investigador anónimo, pero BleepingComputer ha descubierto que se trata de una corrección para la vulnerabilidad de día cero "GreenPlasma", divulgada por el investigador de seguridad Nightmare Eclipse.GreenPlasma es una vulnerabilidad de escalamiento de privilegios que podría explotarse para obtener una shell con permisos de SYSTEM.

Por último, la actualización de junio de 2026 también corrige MiniPlasma, una vulnerabilidad independiente revelada por Chaotic Eclipse como una solución incompleta para CVE-2020-17103, que Microsoft ya había abordado en diciembre de 2020. "Para solucionar de forma integral la vulnerabilidad identificada por CVE-2020-17103 y recientemente denominada públicamente "MiniPlasma", Microsoft recomienda instalar las actualizaciones de junio de 2026 para sus sistemas operativos Windows", indicó el gigante tecnológico en una actualización de su aviso.

Nightmare Eclipse ha publicado una serie de vulnerabilidades de día cero para Windows, entre ellas BlueHammer, MiniPlasma, RedSun, UnDefend y YellowKey (también corregida hoy), en protesta por la gestión de Microsoft de sus programas de recompensas por detección de errores y divulgación de vulnerabilidades.

• CVE-2026-49160 - Vulnerabilidad de denegación de servicio en HTTP.sys, conocida como HTTP/2 Bomb, que fue revelada este mes por investigadores de la empresa de seguridad ofensiva Calif. "El consumo descontrolado de recursos en HTTP/2 permite a un atacante no autorizado denegar el servicio en una red", explica Microsoft.

El ataque HTTP/2 Bomb es una técnica de denegación de servicio que aprovecha la forma en que el protocolo HTTP/2 comprime y gestiona las cabeceras del tráfico web, permitiendo a los atacantes enviar cantidades muy pequeñas de datos que obligan a los servidores a asignar cantidades desproporcionadamente grandes de memoria.

Los investigadores descubrieron que el ataque podía aumentar drásticamente el uso de memoria en los servidores afectados. Los atacantes también pueden mantener la memoria ocupada manipulando la configuración de control de flujo, impidiendo que el servidor libere recursos y pudiendo causar problemas de rendimiento o interrupciones del servicio.

Para ayudar a mitigar este ataque, Microsoft ha introducido una nueva configuración de registro llamada "MaxHeadersCount" para limitar la cantidad de encabezados en una solicitud, junto con un boletín de soporte sobre cómo usarla.

Microsoft también introdujo una nueva configuración de registro llamada MaxHeadersCount. Esta configuración permite limitar la cantidad de encabezados incluidos en las solicitudes HTTP/2 y HTTP/3 que acepta el servidor HTTP. Para obtener más información, consulte el artículo KB5102602.

• CVE-2026-50507 - Vulnerabilidad de omisión de la función de seguridad BitLocker de Windows, previamente divulgada públicamente, que permitía a atacantes locales acceder a una unidad cifrada. "Un fallo en el mecanismo de protección de BitLocker de Windows permite a un atacante no autorizado eludir una función de seguridad mediante un ataque físico", explica Microsoft.

Si bien Microsoft atribuyó la vulnerabilidad a un investigador anónimo, BleepingComputer ha descubierto que se trata de una solución para la vulnerabilidad YellowKey, también divulgada públicamente el mes pasado por el investigador de ciberseguridad Nightmare Eclipse.

La vulnerabilidad YellowKey podía explotarse colocando archivos especialmente diseñados en una unidad USB o partición EFI e iniciando el Entorno de recuperación de Windows (WinRE). Al mantener presionada la tecla CTRL, se activaba una consola de comandos con acceso ilimitado a las unidades cifradas protegidas con BitLocker.

La vulnerabilidad afecta principalmente a los sistemas que utilizan la protección BitLocker solo con TPM en dispositivos Windows 11 y Windows Server 2022/2025. Microsoft ya había compartido soluciones temporales para este problema, como habilitar la autenticación TPM+PIN en lugar de depender únicamente de la protección TPM.

Otras vulnerabilidades importantes a destacar se enumeran a continuación:

• CVE-2026-47291 ( CVSS: 9.8): Un fallo de desbordamiento de enteros o de bucle en el archivo HTTP.sys de Windows que permite a un atacante no autorizado ejecutar código a través de la red.
• CVE-2026-44815 (CVSS: 9.8): Una vulnerabilidad de desbordamiento de búfer basado en pila en el cliente DHCP de Windows que permite a un atacante no autorizado ejecutar código a través de la red. "Este fallo no requiere credenciales ni acción del usuario y puede convertir el tráfico de red en una vulneración total del sistema", declaró Alex Vovk, director ejecutivo y cofundador de Action1, sobre CVE-2026-44815. "Un atacante podría enviar tráfico de red especialmente diseñado a un sistema configurado para servicios DHCP".

Fuente: BC

Seguir leyendo...