SAFE. Guía para proteger tu vida digital y tu privacidad

13 jul 2026

Atacante utiliza un script de PowerShell generado por IA para mapear Active Directory

Investigadores de ciberseguridad han detectado una intrusión en la que un atacante desconocido utilizó un script de PowerShell codificado con Vibe para la enumeración de Active Directory (AD).

"El script buscó el controlador de dominio (DC) y mapeó usuarios, equipos y dominios, antes de crear un directorio y exportar varios archivos, y finalmente crear AD_Report.html para medir el éxito del intento de enumeración", explicaron los investigadores de Huntress, Jevon Ang y Dray Agha.

La cadena de ataque consistió en que el atacante estableciera acceso mediante el Protocolo de Escritorio Remoto (RDP) a un servidor Windows unido al dominio con credenciales previamente comprometidas, para luego instalar las herramientas en la carpeta "C:\ProgramData\". El incidente tuvo lugar a principios de junio de 2026.

Esto incluyó una carga útil generada por inteligencia artificial (IA) para mapear el entorno de Active Directory. La evaluación se basa en varias señales reveladoras, como el título de la iteración de la solicitud, cadenas de texto de marcador de posición, código excesivamente complejo con múltiples métodos para encontrar un controlador de dominio y una salida de consola con formato de color cian, verde, rojo y amarillo.

Huntress describió el script de PowerShell personalizado como "muy agresivo" y "ruidoso", utilizando un "mecanismo de reserva en cascada de cinco pasos" para facilitar el reconocimiento y el descubrimiento. Su título es "100% Working AD Information Gathering Script - FULLY FIXED" lo que sugiere una interacción constante con un modelo de lenguaje extenso (LLM).

Una vez localizado el controlador de dominio principal, inicia una rutina de recopilación de datos para obtener sistemáticamente usuarios, equipos, grupos, unidades organizativas (OU) y relaciones de confianza de Active Directory, y almacenar los detalles en un directorio temporal.

Aproximadamente 30 minutos después, el atacante procedió a desplegar s5cmd, una herramienta legítima para operaciones masivas de archivos, junto con SharpShares, una utilidad de enumeración de recursos compartidos de red basada en C#, para buscar repositorios de datos accesibles para los usuarios.

En la etapa final, los datos se guardan en archivos CSV, se archivan y se extraen a un servidor remoto, no sin antes crear un archivo HTML que resume el robo de datos en forma de informe de inventario de Active Directory.

Este desarrollo es una señal más de que los ciberdelincuentes están ampliando su arsenal con malware codificado mediante inteligencia artificial, generado con la ayuda de modelos de IA, aunque la tecnología no se esté utilizando de formas nunca antes vistas. Lo que sí cambia es que reduce las barreras de entrada para el cibercrimen, permitiendo que actores menos experimentados desarrollen herramientas altamente sofisticadas y evasivas con un mínimo esfuerzo.

En un informe publicado la semana pasada, Sygnia reveló que los atacantes con IA no necesariamente necesitan malware novedoso ni vulnerabilidades de día cero, sino que el verdadero cambio radica en que las intrusiones cibernéticas se pueden orquestar a una velocidad y escala mayores de las que los defensores pueden contener.

La empresa de respuesta a incidentes informó haber detectado un ataque en la nube asistido por IA que, en aproximadamente 72 horas, se propagó desde el acceso inicial hasta una vulneración generalizada de un entorno de gran tamaño basado en Amazon Web Services (AWS). Se estima que el objetivo final de la actividad fue económico, utilizando el acceso a la infraestructura en la nube de la víctima como herramienta de extorsión.

Para ejercer mayor presión sobre las víctimas, el atacante llevó a cabo una serie de acciones:

  • Denegar el acceso a los buckets de S3
  • Limitar los servicios o contenedores de ECS a una capacidad máxima de cero
  • Crear reglas ACL para bloquear el acceso a la red
  • Vaciar las colas de SQS

"La importancia no radicaba en que la IA introdujera nuevas técnicas de ataque, ya que cada acción observada se correspondía con comportamientos adversarios ya conocidos, sino en que redujo el tiempo y el esfuerzo necesarios para implementar dichas técnicas en un entorno complejo", señaló Sygnia.

Fuente: THN

Servidor expuesto de de delincuente revela puertas traseras en miles de sitios de WordPress

Un grupo de ciberdelincuentes dejó uno de sus servidores completamente expuesto en Internet durante tres semanas, revelando así el funcionamiento interno de la operación: las herramientas de hacking, los registros de actividad y listas de objetivos con más de 1,4 millones de sitios web. Un servidor WP-SHELLSTORM abierto expuso herramientas, registros y listas de objetivos que nombran 1,4 millones de sitios, y los investigadores validaron 25.195 vulneraciones.

Si bien se logró acceder a muchos menos sitios, los archivos expuestos mostraron a los investigadores cómo se lleva a cabo una operación de hackeo masivo desde dentro.

La operación, ahora conocida como WP-SHELLSTORM, es lo que SOCRadar denomina una red de acceso a webshells: un grupo que accede a sitios web a gran escala, instala una puerta trasera oculta (una "webshell") en cada uno y empaqueta ese acceso para su reventa.

La mayor actividad se centró en sitios de WordPress con plugins desactualizados. Si utilizas WordPress o Joomla, las dos vulnerabilidades más importantes se encontraban en el plugin de caché Breeze y en el editor JCE de Joomla; consulta la lista de verificación a continuación si este es tu caso.

Un servidor olvidado

Dos equipos analizaron la misma carpeta expuesta. El equipo de inteligencia de amenazas de SOCRadar lo detectó el 11 de junio de 2026 en un servidor alquilado en EE.UU. (137.175.93[.]126) sin contraseña. En su interior se encontraron aproximadamente 800 MB distribuidos en 434 archivos: webshells, scripts de explotación, resultados de escaneos, el historial de comandos del operador y la configuración de comando y control.

Ctrl-Alt-Intel también había analizado el mismo directorio, tras encontrarlo en la plataforma de directorios abiertos Hunt.io, y publicó el 22 de junio, semanas antes del informe de SOCRadar del 9 de julio. La vulnerabilidad se debió a un simple descuido: el operador inició un servidor web Python para transferir archivos y lo dejó funcionando durante 22 días.

El equipo aprovechó vulnerabilidades conocidas públicamente en plugins web, la mayoría en WordPress, y creó escáneres automatizados para lanzar esos exploits contra enormes listas de objetivos obtenidas de FOFA, un motor de búsqueda chino para sistemas conectados a Internet, similar a Shodan.

Cuando un sitio web ejecutaba una versión vulnerable, el exploit podía instalar un webshell: un pequeño script que permite al atacante ejecutar comandos en el servidor desde cualquier lugar, leer archivos, robar contraseñas y acceder a niveles más profundos de la red.

El conjunto de herramientas cubría 27 vulnerabilidades conocidas, aunque unas pocas fueron las que generaron la mayor parte del trabajo. La más importante fue una vulnerabilidad en el plugin de caché Breeze (CVE-2026-3844), que el equipo lanzó contra más de 45.000 objetivos y, según sus propios cálculos, creó puertas traseras en más de 17.000 de ellos.

Las cifras, en términos sencillos

La cifra principal requiere una aclaración. El recuento de 1,4 millones se refiere a la cantidad de dominios incluidos en las listas de objetivos, no a la cantidad de sitios comprometidos, y dichas listas abarcaban WordPress, Joomla y otras plataformas. El archivo más grande contenía una lista de 587.034 objetivos de Joomla.

La cantidad real de sitios comprometidos fue mucho menor, y los dos equipos de investigación la calcularon de forma diferente: el recuento deduplicado de Ctrl-Alt-Intel encontró 25.195 sitios con evidencia de compromiso confirmada o validada, mientras que SOCRadar, contabilizando los webshells activos, estimó la cifra real en más de 5.700.

Un fallo muestra claramente esta discrepancia: un exploit de Joomla se lanzó contra más de 560.000 objetivos, pero solo afectó a 77 de ellos.

Estar en la lista de escaneo de alguien no es lo mismo que haber sido hackeado. Tenga esto en cuenta siempre que un informe comience con una cifra alarmante de objetivos.

Las herramientas y una campaña anterior

La puerta trasera principal, un archivo llamado down.php, estaba altamente ofuscada, con cuatro capas de profundidad, y parece una variante de una webshell china de código abierto llamado BestShell. Una vez en ejecución, podía gestionar archivos, ejecutar comandos, abrir shells inversas, escanear la red y comprobar qué software de seguridad utilizaba el host.

Para su propio acceso remoto, el grupo utilizó un dropper SNOWLIGHT para instalar VShell, una puerta trasera sigilosa que disfraza su nombre de proceso como [kworker/0:2] para mimetizarse con los hilos del kernel en una lista de procesos.

Estas dos herramientas tienen un historial: en abril de 2025, Sysdig vinculó esta cadena SNOWLIGHT-VShell con el presunto grupo estatal chino UNC5174. Sin embargo, VShell es una herramienta común en los círculos criminales de habla china, por lo que su sola presencia no apunta a un actor estatal.

El servidor también contenía rastros de un ataque anterior, muy diferente. SOCRadar descubrió que, antes del sonado ataque a WordPress, el mismo grupo llevó a cabo una campaña más discreta a principios de mayo de 2026 contra sistemas Java corporativos. Extrajeron 613 archivos de configuración de 11 sistemas de nueve empresas de los sectores de tecnología financiera, comercio electrónico, logística, videojuegos y electrónica.

El botín incluía claves de acceso a la nube para AWS, Alibaba Cloud, Oracle, Tencent y DigitalOcean, contraseñas de bases de datos y claves privadas RSA de Alipay. Se aprovecharon de una vulnerabilidad antigua y conocida en Nacos, un servidor de configuración (CVE-2021-29441), que permite a un atacante eludir el inicio de sesión falsificando una sola cabecera web.

SOCRadar interpreta la secuencia temporal como una secuencia: primero, obtener credenciales corporativas de alto valor; luego, semanas después, centrarse en el ataque de puertas traseras de mayor volumen; una ronda de financiación antes de la expansión.

Técnicas de trabajo deficientes

Ambos equipos evalúan con un grado de confianza medio-alto que el operador es chino o habla chino. Señalan el dominio del chino simplificado en todo el código y el historial de comandos, la dependencia de FOFA (que, según los investigadores, requiere un número de teléfono chino para registrarse) y las herramientas Godzilla y VShell, preferidas en foros de habla china.

SOCRadar va un paso más allá, interpretando que el grupo actuaba por motivos económicos en lugar de estar dirigido por el Estado. Los nombres en los archivos (tance, chen-kk, chenyk) se consideran pistas, no pruebas concluyentes. Un cabo suelto destaca: una única dirección IP en Taiwán realizó más de 42.000 solicitudes para descargar las herramientas del propio grupo. Podría tratarse de un segundo operador, un cliente u otro investigador. Los registros no permiten esclarecerlo.

Para un grupo que utilizaba un conjunto de herramientas realmente capaz, la negligencia del grupo fue notable. Dejó el servidor abierto, un archivo de configuración de FOFA que esta organización puede rastrear a través de su canal de investigación, y un historial de comandos sin editar que lo revelaba todo. Cuando finalmente se percató de su detección, entre el 2 y el 4 de julio, eliminó varias líneas de registro. Tres semanas demasiado tarde.

Este error es recurrente. En marzo de 2026, la misma organización de investigación descubrió al grupo ruso Fancy Bear (APT28) de la misma manera: un directorio abierto que había olvidado expuso las herramientas de phishing y los registros del grupo, en una campaña que Hunt.io denominó Operación Roundish.

¿Qué hacer?

Si utiliza alguno de los programas afectados, revíselo hoy mismo. No se trata de vulnerabilidades desconocidas: dos de ellas están siendo explotadas activamente en otros lugares.

Wordfence registró decenas de miles de ataques bloqueados contra la vulnerabilidad de Everest Forms Pro (CVE-2026-3300) esta primavera, y el fallo JCE de Joomla (CVE-2026-48907) es una vulnerabilidad de máxima gravedad que CISA ha añadido a su lista de Vulnerabilidades Explotadas Conocidas.

Lo que hace que WP-SHELLSTORM merezca atención no es su sofisticación, sino su aparente normalidad. Exploits públicos, escaneo automatizado y una lista de objetivos de un millón de líneas fueron suficientes para comprometer sitios web a gran escala, sin necesidad de vulnerabilidades de día cero. Los detalles son públicos únicamente porque el grupo olvidó apagar su propio servidor.

Fuente: THN

11 jul 2026

Guía de hardening para Linux

El propósito de esta guía "How To Secure A Linux Server" es enseñarte a proteger un servidor Linux. Hay muchas cosas que puedes hacer para proteger un servidor Linux, y esta guía intentará cubrir la mayor cantidad posible.

Los playbooks de Ansible de esta guía están disponibles en "Cómo proteger un servidor Linux con Ansible" de moltenbit.

¿Por qué proteger tu servidor?

Supongo que estás usando esta guía porque, con suerte, ya entiendes por qué es importante una buena seguridad. Este es un tema complejo y su explicación detallada está fuera del alcance de esta guía. Si no sabes la respuesta a esa pregunta, te recomiendo que investigues primero.

En términos generales, en el momento en que un dispositivo, como un servidor, es de dominio público (es decir, visible para el mundo exterior), se convierte en un objetivo para los ciberdelincuentes. Un dispositivo sin seguridad es un terreno fértil para ciberdelincuentes que buscan acceder a tus datos o usar tu servidor como plataforma para ataques DDoS a gran escala.

Lo peor es que, sin una buena seguridad, es posible que nunca sepas si tu servidor ha sido comprometido. Un ciberdelincuente podría haber accedido sin autorización y copiado tus datos sin modificar nada, por lo que nunca te enterarías. O tu servidor podría haber sido víctima de un ataque DDoS, sin que lo supieras. Basta con ver muchos de los casos de filtraciones de datos a gran escala que aparecen en las noticias: las empresas a menudo no descubrieron la fuga de datos o la intrusión hasta mucho después de que los ciberdelincuentes se hubieran marchado.

Contrariamente a la creencia popular, los ciberdelincuentes no siempre buscan modificar algo o bloquear el acceso a tus datos a cambio de dinero. A veces, simplemente quieren los datos de tu servidor para sus almacenes de datos (el big data genera grandes beneficios) o para usar tu servidor de forma encubierta con fines maliciosos.

¿Por qué otra guía?

Esta guía puede parecer redundante o innecesaria, ya que existen innumerables artículos en línea sobre cómo proteger Linux, pero la información está dispersa en distintos artículos que tratan temas diferentes y de maneras diversas. ¿Quién tiene tiempo para revisar cientos de artículos?

Existen numerosas guías proporcionadas por expertos, líderes de la industria y las propias distribuciones. No es práctico, y en ocasiones infringe los derechos de autor, incluir todo el contenido de dichas guías. Recomiendo consultarlas antes de comenzar con esta guía.

El Centro para la Seguridad en Internet (CIS) proporciona estándares exhaustivos, instrucciones paso a paso y de confianza para la industria, para proteger diversas distribuciones de Linux. Consulte su página "Acerca de nosotros" para obtener más información. Recomiendo leer primero esta guía y LUEGO la guía del CIS. De esta manera, sus recomendaciones prevalecerán sobre cualquier información de esta guía.

Para obtener guías de seguridad y protección específicas para su distribución, consulte la documentación de su distribución.

Estudio de aplicaciones VPN gratuitas para Android detecta fugas de tráfico, datos sin cifrar y rastreo

Investigadores sometieron 281 de las aplicaciones VPN gratuitas más populares de Google Play Store a un nuevo sistema de pruebas y descubrieron que muchas fallan en la función básica para la que se instala una VPN: mantener el tráfico privado y seguro.

Las aplicaciones que presentaron al menos un problema se han instalado más de 2.400 millones de veces.

Los problemas son básicos, no complejos.

  • 29 aplicaciones permiten que el tráfico del usuario se filtre fuera del túnel cifrado, incluyendo las consultas DNS que revelan los sitios web visitados.
  • 61 aplicaciones envían datos en texto plano que cualquier persona que monitorice el tráfico en esa red puede leer.
  • Cinco de ellas envían el archivo de configuración de la aplicación sin cifrar, lo que permite a un atacante en la red redirigir la conexión a un servidor bajo su control.

El sistema, llamado MVPNalyzer, fue presentado en la conferencia de seguridad NDSS en febrero de 2026 por investigadores de la Universidad de Michigan, la Universidad de Nuevo México y el IIT Delhi.

Se trata de la versión móvil del estudio VPNalyzer, realizado anteriormente por el mismo laboratorio para analizar el software VPN de escritorio. Los investigadores lo describen como el primer marco de trabajo diseñado para auditar de forma sistemática y repetida las aplicaciones VPN de Android.

Una VPN encapsula tu tráfico en un túnel cifrado, impidiendo que tu proveedor de internet o un intruso en la red vean tu actividad. La contrapartida es que la aplicación VPN ahora tiene acceso a todo el tráfico. No se elimina la necesidad de confiar en alguien, sino que esa confianza se traslada del proveedor de internet al desarrollador de la aplicación.

El estudio se pregunta si estas aplicaciones se merecen esa confianza. Para muchas, la respuesta es no.

El fallo más grave: el secuestro del túnel.

El hallazgo más preocupante se refiere a las cinco aplicaciones que descargan su archivo de configuración sin cifrar. Este archivo indica a la aplicación a qué servidor conectarse. Si se transmite en texto plano, un atacante en la misma red, por ejemplo, un operador de Wi-Fi público, puede modificarlo durante la transmisión y redirigir la aplicación a un servidor bajo su control.

El usuario se conecta, ve la pantalla habitual de "conectado" y todo se redirige a través del atacante. Los investigadores crearon este ataque y confirmaron que funcionaba en teléfonos bajo su control.

Indicaron el problema como prioritario para los cinco proveedores. Dos respondieron, prometiendo trasladar el archivo a HTTPS. Uno afirmó que enviaría los archivos de configuración "de forma segura mediante HTTPS con la validación de certificado adecuada". Los otros tres no respondieron.

Filtraciones y aplicaciones que no ocultan nada

De las 29 aplicaciones, 24 filtraban tráfico DNS, exponiendo los sitios web visitados por los usuarios a la red local; solo estas aplicaciones representan aproximadamente 360 ​​millones de instalaciones. Seis filtraban todo el tráfico de navegación fuera del túnel, y cuatro ejecutaban "túneles" sin ningún tipo de cifrado, con algunas aplicaciones fallando en más de un sentido.

Por otro lado, 169 aplicaciones no intentaban disimular su tráfico como si fuera una VPN, por lo que un operador de red o un censor gubernamental puede detectarlas y bloquearlas con herramientas básicas. Casi dos tercios de estas aplicaciones anuncian que son capaces de sortear el bloqueo o el desbloqueo de contenido restringido. Hacen la promesa y no hacen nada para cumplirla.Para alguien que vive en un país donde usar una VPN ya es arriesgado, ser fácilmente identificado como usuario de VPN es justo lo contrario de lo que esperaba.

Rastreo, incluso desde aplicaciones diseñadas para evitarlo

A menudo, las personas instalan VPN para evitar ser rastreadas. Sin embargo, muchas de estas aplicaciones rastrean de todos modos. 76 enviaron el ID de publicidad del dispositivo, un código único que los anunciantes usan para seguir a una persona de una aplicación a otra.

El estudio reveló que más del 80% de las aplicaciones (246 en total) se conectaron con servidores de publicidad y rastreo conocidos. Muchas también enviaron detalles como el modelo del teléfono, la versión del sistema operativo y el tamaño de la pantalla.

Por sí solos, estos datos parecen inofensivos, pero combinados, forman una "huella digital" que puede identificar un dispositivo. Una aplicación incluso envió las coordenadas GPS exactas del teléfono.

Configuraciones débiles

Los investigadores también analizaron los archivos de configuración de OpenVPN incluidos con 108 de las aplicaciones, una verificación independiente de las pruebas de tráfico en tiempo real mencionadas anteriormente. Solo una de ellas cumplió con todas las buenas prácticas de seguridad evaluadas en el estudio.

Aproximadamente el 89% dependía de un único método de autenticación, ya fuera contraseña o certificado, en lugar de combinar ambos. Casi uno de cada cinco utilizaba cifrado débil u obsoleto, incluyendo el antiguo cifrado Blowfish y el triple DES. Algunos configuraban el cifrado de datos del túnel como "ninguno", lo que desactiva completamente el cifrado. Ambos cifrados antiguos presentan vulnerabilidades conocidas desde hace tiempo (CVE-2016-6329 y CVE-2016-2183) que permiten a un atacante recuperar datos de conexiones de larga duración.

La mayoría de estos problemas tienen la misma raíz: las aplicaciones apenas reciben mantenimiento y las comprobaciones automáticas de la Play Store las permiten. Muchas aparecen entre los primeros resultados de búsqueda, donde las etiquetas de seguridad de Google y su distintivo "Verificado" para aplicaciones VPN pretenden ser una señal de confianza. El estudio afirma que estas etiquetas funcionan más como señales de marketing que como una garantía de seguridad real.

Esto no es un caso aislado.

Otras investigaciones recientes apuntan en la misma dirección. En agosto de 2025, investigadores del Citizen Lab de la Universidad de Toronto y de la Universidad Estatal de Arizona descubrieron que varias aplicaciones VPN populares para Android, con más de 700 millones de descargas combinadas, estaban vinculadas secretamente, compartían contraseñas codificadas y recopilaban datos de ubicación de forma encubierta.

En octubre de 2025, la empresa de seguridad móvil Zimperium informó que tres de las aproximadamente 800 aplicaciones VPN gratuitas que analizó aún incluían una versión de la biblioteca OpenSSL vulnerable a Heartbleed, un fallo conocido que se corrigió en 2014. Muchas también solicitaban permisos de acceso al teléfono que iban mucho más allá de lo necesario para una VPN.

Los tres estudios coinciden: las aplicaciones VPN gratuitas siguen combinando una sólida promesa de privacidad con una ingeniería deficiente, y siguen alcanzando millones de instalaciones antes de que nadie lo detecte.

Qué pueden hacer los usuarios

Los fallos más graves, la obtención de la configuración en texto plano y la configuración débil del túnel, son invisibles para el usuario. No se pueden detectar simplemente mirando la aplicación, y ahí radica el problema. Por lo tanto, la verdadera defensa no reside en el protocolo que anuncia la aplicación, sino en quién está detrás de ella.

Se ruega a los proveedores que publiquen una auditoría de seguridad independiente reciente. Desconfíe de las aplicaciones gratuitas que le bombardean con anuncios. Considere las afirmaciones de "verificado" o "sin registros" como un punto de partida, no como una prueba.

Los investigadores enumeran todas las aplicaciones señaladas en el apéndice del artículo, para que pueda comprobar si la que tiene en su teléfono se encuentra entre ellas.

El equipo planea lanzar MVPNalyzer públicamente para que las tiendas de aplicaciones y los reguladores puedan realizar estas comprobaciones por sí mismos. Con esta evidencia, tendrán que hacerlo.

Se ha preguntado a Google si está revisando o eliminando las aplicaciones señaladas, y cuál es su respuesta a la conclusión del estudio de que las etiquetas de seguridad de Play Store y la insignia "Verificado" funcionan más como marketing que como garantías de seguridad. También hemos solicitado al equipo de investigación de MVPNalyzer que identifique las cinco aplicaciones vulnerables al secuestro de túneles y que confirme si los proveedores notificados han implementado soluciones. Esta noticia se actualizará con cualquier respuesta que recibamos.

Fuente: THN

10 jul 2026

Operación First Light expone billetera de criptomonedas de U$S 122 vinculada a lavado de estafas románticas

La Operación First Light de Interpol descubrió lavado de criptomonedas vinculado a estafas románticas y las autoridades incautaron 293 millones de dólares en activos ilícitos.

Una billetera de criptomonedas vinculada a un presunto lavador de dinero de estafas románticas procesó más de 122,5 millones de dólares en 10 meses, según Interpol, mientras las autoridades expandían una ofensiva global contra el fraude en línea.

Interpol dijo el jueves que las autoridades tailandesas arrestaron a dos sospechosos y descubrieron una red de lavado de dinero que canalizaba los ingresos de estafas románticas hacia criptomonedas, utilizando exchanges de tokens entre cadenas para obscurecer el rastro.

La investigación tailandesa fue parte de la Operación First Light 2026, una campaña coordinada por Interpol que apunta a estafas de ingeniería social y la infraestructura financiera utilizada para lavar sus ingresos. La operación involucró a autoridades en 97 países y territorios, lo que resultó en 5.811 arrestos y la incautación de 293 millones de dólares en activos ilícitos vinculados a fraude y lavado de dinero.

Durante la Operación se identificaron más de 142.000 víctimas en todo el mundo, lo que pone de manifiesto la magnitud de las estafas y el fraude mediante ingeniería social, que se han convertido en una grave amenaza transnacional que afecta a personas, empresas y gobiernos. Otros resultados significativos incluyen:

  • 152.808 casos analizados
  • 31.014 cuentas bancarias bloqueadas
  • 23.715 casos resueltos
  • 15.606 sospechosos identificados
  • 99 notificaciones y comunicados emitidos

Tomonobu Kaya, director del Centro de Delitos Financieros y Anticorrupción de Interpol, dijo que las estafas de ingeniería social "siguen planteando una amenaza significativa para nuestra sociedad", agregando que ningún país puede abordar el problema solo.

Interpol dijo que las autoridades participantes apuntaron a cuentas bancarias y billeteras de criptomonedas utilizadas para mover fondos ilícitos. La operación analizó 152.808 casos, bloqueó 31.014 cuentas bancarias, resolvió 23.715 investigaciones e identificó a 15.606 sospechosos.

Las autoridades también utilizaron el sistema de congelación de pagos de Interpol, conocido como la Intervención Rápida Global de Pagos, para ayudar a bloquear transferencias ilícitas que involucran activos virtuales y fiduciarios.

Las autoridades de Palau también deportaron a 22 personas presuntamente involucradas en dos centros de estafas basados en hoteles que utilizaban criptomonedas y sitios web de juegos de azar ilegales para apuntar a víctimas en el extranjero.

El caso sigue a la creciente preocupación por el uso de criptomonedas en estafas románticas y de inversión.

En abril, el Buró Federal de Investigación de EEUU (FBI) informó que los estadounidenses presentaron 181.565 denuncias de estafas relacionadas con criptomonedas por un total de más de 11.000 millones de dólares en pérdidas en 2025.

Las estafas románticas, también conocidas como estafas de "matar cerdos", a menudo implican que los criminales construyen confianza con las víctimas a través de las redes sociales o plataformas de citas en línea antes de dirigirlos hacia esquemas de inversión fraudulentos.

Fuente:

9 jul 2026

GhostLock: vulnerabilidad del kernel de Linux con 15 años de antigüedad con exploit activo

Investigadores de Nebula Security han revelado GhostLock (CVE-2026-43499), una vulnerabilidad del kernel de Linux con 15 años de antigüedad que permite a cualquier usuario conectado obtener el control total de una máquina sin parchear.

El código vulnerable se ha incluido por defecto en prácticamente todas las distribuciones principales desde 2011. La vulnerabilidad no requiere permisos especiales, configuraciones inusuales ni acceso a la red; basta con llamadas a subprocesos desde cualquier programa local.

Nebula la convirtió en un exploit funcional con acceso de administrador, con una fiabilidad del 97% en sus pruebas, que además escapa de los contenedores. Google les otorgó 92.337 dólares a través de su programa de recompensas por errores kernelCTF.

Aunque no se tiene constancia de que nadie la esté explotando activamente, Nebula ha publicado el código del exploit, por lo que cualquiera puede ejecutarlo. La prioridad es aplicar los parches.

Cómo funciona la vulnerabilidad

El kernel cuenta con un sistema para evitar que una tarea urgente se quede bloqueada tras una tarea trivial. Parte del proceso consiste en una limpieza que finaliza una tarea una vez que deja de esperar.

Normalmente, esto funciona correctamente. Sin embargo, en un caso excepcional, cuando una operación de bloqueo se estanca y debe revertirse, la limpieza se ejecuta en el momento equivocado y borra el registro de la tarea incorrecta.

Este error deja al kernel con una "nota" que apunta a un fragmento de memoria que ya ha descartado y reutilizado. Confiar en ese puntero obsoleto es el origen del fallo, un tipo de error conocido como uso de memoria liberada. A partir de ahí, el equipo de Nebula encadenó varios pasos ingeniosos para convertir ese pequeño error en control total, logrando finalmente engañar al kernel para que ejecutara su propio código como el usuario "root". En su máquina de prueba, esto tardó unos cinco segundos.

La vulnerabilidad ha estado presente en Linux desde 2011 y se corrigió en abril. Las distribuciones ya están implementando el parche (3bfdc63936dd). Afecta a casi todas las versiones de Linux y tiene una puntuación de 7.8 sobre 10 (alta, no crítica) porque el atacante necesita estar previamente conectado a la máquina. Nebula la descubrió con VEGA, su herramienta de búsqueda de errores basada en IA.

Qué hacer

Instala el kernel actual de tu distribución, no solo la primera versión parcheada. La corrección original introdujo un error de bloqueo independiente (CVE-2026-53166), y la solución para este error aún se estaba implementando a principios de julio, por lo que las primeras versiones podrían no incluir la versión final.

No existe una solución definitiva, ya que las operaciones que la desencadenan son rutinarias para cualquier proceso local.

La disponibilidad es irregular hasta el momento. Ubuntu, por ejemplo, había parcheado su última versión y algunos kernels en la nube, pero a principios de julio aún mostraba las versiones 24.04, 22.04 y 20.04 LTS como vulnerables o en proceso de parcheo. Consulta el aviso de tu distribución y confirma la versión del paquete corregido en lugar de asumir que hay una disponible.

Dos opciones de compilación, RANDOMIZE_KSTACK_OFFSET y STATIC_USERMODE_HELPER, dificultan este exploit, pero son medidas de mitigación, no correcciones. Aplica el parche primero a las máquinas compartidas y multiusuario, servidores en la nube, contenedores y ejecutores de CI, donde es más probable que un atacante encuentre la vulnerabilidad que necesita.

GhostLock no es el único fallo de kernel a root este año. Se suma a una serie de fallos de escalamiento de privilegios en Linux de 2026, varios de los cuales comparten un detalle: fueron detectados por una herramienta automatizada.

VEGA detectó GhostLock. Días antes, los investigadores revelaron Bad Epoll (CVE-2026-46242), una vulnerabilidad similar que también convierte a un usuario sin privilegios en root. Se demostró su funcionamiento mediante kernelCTF y, a diferencia de otros tipos de fallos, funciona en Android.

Bad Epoll se encuentra en el mismo segmento de código donde se atribuyó una vulnerabilidad similar al modelo Mythos de Anthropic. Lo que comparten es una maquinaria del kernel antigua y muy utilizada que pocos habían revisado en años, hasta que las herramientas automatizadas comenzaron a combinarla. La herencia de prioridad de Futex data de 2011. Esta clase de vulnerabilidades no es teórica: otro fallo de 2026, Copy Fail (CVE-2026-31431), ya figura en la lista de vulnerabilidades de CISA detectadas en ataques reales.

GhostLock es también la segunda parte de una cadena que Nebula denomina IonStack. La primera parte, CVE-2026-10702, es un fallo de Firefox que ejecuta código dentro del navegador y escapa de su entorno aislado. GhostLock completa el proceso hasta obtener acceso root.

Nebula ya ha demostrado la cadena completa, desde un simple clic en un enlace malicioso hasta el control total, contra Firefox en Android. Por eso, un fallo del kernel que solo afecta al entorno local sigue siendo relevante: por sí solo, necesita un punto de acceso, pero combinado con una vulnerabilidad del navegador, se convierte en una intrusión remota. Nebula anuncia que próximamente publicará un informe completo sobre la vulnerabilidad en Android.

Fuente: THN

8 jul 2026

Phishing "moderno" II: abusan del flujo de código de dispositivo de Microsoft para apuntar a cuentas M365

Se ha observado una campaña de phishing de código de dispositivo Microsoft 365 que aprovecha señuelos con temas de colaboración para tomar el control de las cuentas de las víctimas entre la última semana de junio de 2026 y principios de julio, según los hallazgos de ZeroBEC.

"La campaña no dependía de una página de contraseña falsa de Microsoft. Utilizó un señuelo malicioso de estilo colaborativo para empujar a los usuarios a la experiencia legítima de inicio de sesión del dispositivo Microsoft, mientras que un agente backend generaba y sondeaba tokens de código de dispositivo del Agente de Autenticación de Microsoft", dijo la compañía de seguridad de correo electrónico.

Se evalúa que la actividad comparte superposiciones "fuertes" con una campaña documentada por Microsoft en febrero de 2025 bajo el nombre de Storm-2372, incluido el uso de mensajes o señuelos estilo Teams para engañar a víctimas desprevenidas para que ingresen un código de dispositivo proporcionado por el atacante, junto con sus credenciales, lo que permite efectivamente al actor de amenazas recuperar el token y secuestrar su cuenta.

A pesar de estas similitudes, se evalúa que los actores de amenazas están empleando técnicas de estilo Storm-2372 a través de lo que se ha descrito como una capa de herramientas reutilizable llamada DEBULL.

El phishing de código de dispositivo se refiere a una técnica de robo de identidad en la que los atacantes explotan un mecanismo de autenticación OAuth 2.0 legítimo, específicamente el flujo de concesión de autorización de dispositivo, para evitar la autenticación multifactor (MFA) y obtener acceso persistente a la cuenta sin tener que robar las contraseñas de los usuarios.

A diferencia de los ataques de phishing tradicionales que requieren que los operadores configuren páginas de inicio de sesión falsas de adversario en el medio (AitM), el phishing de código de dispositivo se basa en manipular a un usuario para que complete un mensaje de autenticación real y confiable.

La autenticación de código de dispositivo, según Microsoft, es un flujo OAuth legítimo diseñado para dispositivos con interfaces limitadas, como televisores inteligentes o impresoras, que no pueden admitir un inicio de sesión interactivo tradicional. En este escenario, al usuario se le presenta un código corto en el dispositivo desde el que intenta iniciar sesión y se le solicita que ingrese ese código en un navegador web en un dispositivo separado para completar la autenticación.

Los actores de amenazas han abusado de esta separación para insertarse e iniciar el flujo de autenticación. Luego, comparten ese código con el objetivo a través de un señuelo de phishing. Así, cuando el usuario ingresa el código, autoriza la sesión del actor de la amenaza sin su conocimiento, otorgándole acceso a la cuenta.

"El phishing del código del dispositivo no se abre paso. Utiliza un flujo de autenticación legítimo para atravesar la puerta principal, sin necesidad de contraseña, sin pasar por MFA y con tokens de sesión entregados directamente al atacante", informa Huntress

Los ataques exitosos de phishing de código de dispositivo pueden facilitar la apropiación total de la cuenta, el robo de información valiosa, el fraude, el compromiso del correo electrónico empresarial (BEC), el movimiento lateral dentro de un entorno comprometido e incluso ataques disruptivos como el ransomware.

"En la mayoría de los ataques de phishing de código de dispositivo actuales, el código se genera dinámicamente cuando un usuario hace clic en el enlace de phishing inicial. Este cambio aparentemente pequeño permite al usuario ver el correo electrónico en cualquier momento para iniciar la cadena de ataque", dijo Proofpoint en un análisis publicado en mayo de 2026. "Estas nuevas implementaciones de las cadenas de ataque de código de dispositivo se pueden comprar a través de ofertas de phishing como servicio (PhaaS), como EvilTokens o Tycoon, o pueden ser creadas y propiedad de el actor de amenazas que dirige las campañas".

También se sabe que estas campañas aprovechan el salto de toma de control de cuenta (ATO), una técnica en la que un atacante compromete una cuenta de correo electrónico inicial y luego abusa de ella para enviar enlaces de phishing a un conjunto más amplio de contactos en forma de botón, texto con hipervínculo, incrustado en un documento o código QR. Los enlaces, cuando son visitados por el destinatario, inician una secuencia de ataque que emplea el proceso de autorización de dispositivos de Microsoft.

ZeroBEC dijo que la campaña que observó implica el uso de pretextos de pago y carpetas compartidas en correos electrónicos de phishing para engañar a las víctimas para que hagan clic en una URL que las lleva a un sitio web de alquiler croata legítimo pero comprometido, que, a su vez, actúa como un orquestador de códigos de dispositivos utilizado para iniciar la cadena de desafío de códigos de dispositivos de Microsoft.

El flujo de trabajo se caracteriza por la presencia de marcadores de desarrollador en idioma turco, aunque las pistas no son suficientes para atribuir definitivamente la procedencia de la campaña. Un análisis más detallado de la infraestructura ha revelado que DEBULL es probablemente una plataforma de phishing como servicio (PhaaS) que utiliza GraphSpy o un flujo de trabajo derivado de GraphSpy para Microsoft 365 y Entra después de la explotación.

"Los operadores pueden definir un nombre de página y un slug, editar HTML, CSS y JavaScript directamente y luego elegir cómo se publica el señuelo", dijo ZeroBEC. "Las plantillas integradas incluían una página de autenticación de código de dispositivo de Microsoft 365, una página de devolución de llamada de OAuth y una página de inicio moderna. La plantilla de Microsoft 365 es especialmente importante porque expone el bloque de construcción exacto utilizado por la campaña: una visualización del código de usuario, un comportamiento de copia de código y un vínculo para iniciar sesión en el dispositivo de Microsoft".

"La conclusión más útil es que el arte de identidad al estilo Storm-2372 ahora se está empaquetando en una infraestructura de corredor reutilizable. DEBULL proporciona la capa orientada a la campaña y al operador. GraphSpy o el código derivado de GraphSpy probablemente maneja la capa posterior a la autenticación. El señuelo se puede cambiar sin cambiar la pila de identidades del backend".

Cisco Talos también identificó un panel de operador PhaaS con todas las funciones llamado ARToken que comparte infraestructura, contratos API y patrones operativos con la plataforma de phishing de código de dispositivo EvilTokens y está disponible para los afiliados.

"El panel ARToken expone más de 80 puntos finales API para phishing de códigos de dispositivos, persistencia de tokens de actualización primaria (PRT), acceso a correo electrónico, operaciones de compromiso de correo electrónico empresarial (BEC) y exfiltración de SharePoint, todo accesible para los operadores a través de un panel basado en React", dijo Talos.

EvilTokens, como DEBULL, permiten a los atacantes utilizar tokens recolectados como armas para filtrar correos electrónicos, archivos y otros datos confidenciales de cuentas de Microsoft comprometidas, realizar reconocimientos a través de la API Microsoft Graph y establecer acceso persistente. Además, incorpora funciones impulsadas por inteligencia artificial (IA) para automatizar y escalar los flujos de trabajo de BEC, como examinar miles de correos electrónicos recopilados, identificar hilos de correo electrónico relacionados con finanzas y redactar borradores de correos electrónicos de BEC.

ARToken funciona como un conjunto de herramientas completo posterior al compromiso que permite a los operadores aprovechar el token de acceso capturado recuperado luego de una autenticación exitosa del código del dispositivo para mantener el acceso, realizar operaciones de correo electrónico, acceder a OneDrive y SharePoint, y explorar las sesiones de Microsoft 365 de las víctimas fuera del panel utilizando una herramienta dedicada conocida como ARTBrowser.

"Estas características indican que la plataforma es más madura que un simple kit de phishing de código de dispositivo: es un entorno de operaciones BEC completo", dijo el investigador de Talos, Michael Kelley.

El aumento de los ataques de phishing de códigos de dispositivos también ha llevado a otros kits PhaaS como Tycoon 2FA a adoptar la técnica para secuestrar cuentas de Microsoft 365 en su recuperación luego de una operación policial, lo que indica un cambio más amplio dentro del panorama de amenazas.

"Los operadores de Tycoon 2FA han reutilizado su kit PhaaS existente como marco de entrega para el phishing de concesión de código de dispositivo OAuth", señaló eSentire en mayo de 2026. "El ataque comienza cuando una víctima hace clic en una URL de seguimiento de clics de Trustifi en un correo electrónico atractivo y culmina cuando la víctima, sin saberlo, otorga tokens OAuth a un dispositivo controlado por un atacante a través del flujo legítimo de inicio de sesión del dispositivo de Microsoft en microsoft.com/devicelogin."

Fuente: THN

Phishing "moderno" I: EvilTokens obtiene accesos abusando de un mecanismo legítimo

Esta novedosa campaña de phishing, detectada por el equipo de Sekoia y con gran actividad en marzo de 2026, ya no se vale de un mail falso, una página clonada y del robo de credenciales.

En este esquema, es la víctima la que ingresa a un sitio real, interactúa con la infraestructura legítima de Microsoft, donde el proceso de autenticación utiliza servicios oficiales: la autenticación es válida y es la propia víctima quien autoriza el acceso. El ciberatacante no roba la contraseña para ingresar, sino que obtiene tokens de sesión legítimos emitidos por el proveedor de identidad.

De este modo, el ciberatacante obtiene una sesión legítima, autenticada correctamente, con el multifactor de autenticación (MFA) aprobado y hasta emitida por Microsoft. Y todo ello sin la necesidad de robar una contraseña o vulnerar a la plataforma, ya que es la víctima quien autoriza el acceso.

¿Qué es EvilTokens?

EvilTokens es una plataforma de Phishing as a Service que busca comprometer cuentas de Microsoft 365, incluso aquellas con multifactor de autenticación activado, abusando del flujo de código de dispositivo OAuth.

Los cibercriminales engañan a la víctima para que completen el proceso de autenticación en las páginas oficiales de inicio de sesión de Microsoft. De esta forma logran acceder a los recursos y datos sin levantar sospechas, como si se tratara de una actividad habitual de la víctima.

Esta campaña, activa desde al menos febrero de 2026, circula a través de canales de Telegram. Solo durante marzo, según publica Huntress, afectó casi 350 organizaciones, con especial foco en Estados Unidos, Canadá, Australia, Nueva Zelanda y Alemania.

Desde mediados de marzo de 2026, Microsoft observó el lanzamiento de entre 10 y 15 campañas distintas cada 24 horas.

El ataque: paso a paso

Para comprender de qué manera opera EvilTokens, detallaremos el paso a paso del ataque.

1. Validación

El ciberatacante, primero, verifica si la cuenta realmente existe. ¿Cómo? A través de una función legítima de Microsoft, que permite confirmar su existencia. Este reconocimiento previo suele hacerse varios días antes del phishing, para asegurarse de atacar únicamente cuentas válidas y aumentar las chances de éxito.

2. Inicio de autenticación

El ciberdelincuente genera un pedido de acceso legítimo, valiéndose del flujo OAuth Device Code de Microsoft. Dicho de una manera más llana, "abre" una sesión para la cual Microsoft genera un código temporal, que queda a la espera de la autorización. Esto es clave: ese código es el que queda asociado a la sesión del ciberatacante.

3. El engaño

Luego, el ciberatacante envía a la víctima un mensaje convincente a través del correo, una invitación, un supuesto documento o una alerta corporativa. Para eso utiliza frases anzuelo del tipo "Complete la validación en Microsoft", "Tienes un documento pendiente", "Firma requerida", entre otras excusas.

4. Ingreso a Microsoft

Si la víctima cae en el engaño y hace clic en el enlace, será redirigida al portal real de Microsoft, donde tanto el dominio como el flujo de autenticación son genuinos, lo que hace que el ataque resulte especialmente convincente.

5. Ingreso del código

Este paso es crítico, ya que el código NO pertenece a una acción iniciada por la víctima, sino a la sesión que inició previamente el ciberatacante. Así, y sin saberlo, la víctima está vinculando su cuenta a la sesión del actor malicioso.

6. Aprobación del acceso

Debido a la acción que se desencadena tras el ingreso del código, Microsoft interpreta que el usuario autorizó esta sesión. Por ello, emite access tokens (credenciales temporales que permiten acceder a una cuenta ya autenticada sin volver a ingresar usuario y contraseña) y refresh tokens (de mayor duración, que permiten generar nuevos access tokens de forma automática). La mala noticia es que esos tokens se entregan a la sesión que controla el ciberatacante.

La clave del ataque de EvilTokens

OAuth Device Code Flow, esa es la clave del éxito del ataque de EvilTokens. O, mejor dicho, el abuso de ese mecanismo legítimo de autenticación de Microsoft.

Diseñado para dispositivos con capacidades limitadas (léase Smart TVs, impresoras o equipos IoT), permite iniciar sesión manualmente en los casos en los que puede resultar incómodo.

¿Cómo funciona? Un dispositivo solicita el código, el usuario ingresa a la página de Microsoft e introduce el código recibido. Luego, Microsoft valida la autenticación y emite tokens de acceso para el dispositivo.

El problema aparece cuando el flujo es abusado por un ciberatacante, el cual logra generar device codes para luego distribuirlos a través de campañas de phishing.

Si la víctima no identifica que se trata de un engaño e ingresa el código en el portal legítimo, Microsoft entregará tokens válidos, pero asociados a la sesión controlada por el ciberatacante.

¿Por qué EvilTokens es tan peligroso?

EvilTokens es especialmente peligroso porque no presenta las "banderas rojas" clásicas del phishing: no utiliza dominios sospechosos ni presenta errores visuales o gramaticales. Por el contrario, todo en el flujo es técnicamente legítimo: el sitio, el MFA y el proceso de autenticación.

Dicho en otras palabras, al ocurrir dentro de la infraestructura de Microsoft, la víctima confía y no sospecha que se trata de un engaño.

Otro punto crítico sobre la peligrosidad de EvilTokens es que, cuando el ataque es efectivo, el cibercriminal obtiene acceso persistente a correos electrónicos y documentos corporativos, lo que abre la posibilidad concreta de realizar fraudes especialmente dirigidos o del tipo business email compromise (BEC).

En este contexto, no resulta casual que las áreas predilectas a las que apuntan los cibercriminales sean los departamentos de Finanzas, Recursos Humanos, Logística, así como también cargos ejecutivos.

Fuente: WeLiveSecurity

7 jul 2026

Arresto de delincuente abre discusión sobre posibilidades de rastreo de dispositivos Windows

El FBI utilizó un identificador de dispositivo de Microsoft, denominado GDID, para vincular a un adolescente con un ataque informático atribuido a Scattered Spider, lo que generó preocupación sobre la privacidad y las capacidades de vigilancia de Windows.

El grupo habría estado implicado en más de 100 intrusiones, obteniendo más de 100 millones de dólares en rescates. En el caso que se le atribuye el hacker detenido no se consiguió rescate alguno, pese a que la demanda era de 8 millones de dólares. Eso sí, se ha confirmado que la empresa de joyas de lujo sufrió al menos 2 millones de dólares en pérdidas por interrupción del negocio, investigación y mitigación.

Según una denuncia federal sustitutiva presentada en el Distrito Norte de Illinois, se utilizó un identificador persistente de dispositivo de Microsoft para desenmascarar a un presunto operador de Scattered Spider. Peter Stokes, de 19 años, con doble nacionalidad estadounidense y estonia, quien supuestamente usaba los alias "Bouquet", "Spencer" y "Jordan", fue arrestado en Finlandia el 10 de abril de 2026, cuando intentaba abordar un vuelo a Japón.

Los fiscales alegan que es miembro de Scattered Spider, también conocido como Octo Tempest, UNC3944 y 0ktapus, un grupo vinculado a más de 100 intrusiones y pagos de rescate por más de 100 millones de dólares.

La detención de un joven ha revelado que Microsoft puede rastrear un PC con Windows y su actividad en línea mediante un "Identificador Global de Dispositivo" que, al parecer, no permite desactivarlo fácilmente, lo que ha generado temores sobre una posible vigilancia.

La semana pasada, Estados Unidos anunció la extradición de Peter Stokes, de 19 años, desde Europa, por presuntamente pertenecer al conocido grupo de hackers Scattered Spider. Sin embargo, el caso destaca porque Microsoft desempeñó un papel clave al vincular a Stokes con los presuntos delitos informáticos, según una denuncia penal que se hizo pública.

Al parecer, Stokes hackeó una joyería de lujo (cuyo nombre no se ha revelado) en mayo de 2025 utilizando una VPN. Finalmente, se extrajeron datos utilizando Teleport.sh y Amazon S3, por un total de al menos 77 GB, seguido de una amenaza de despliegue de ransomware y una demanda de extorsión de 8 millones de dólares que quedó impaga.

La denuncia penal de 39 páginas revela que el FBI utilizó los registros de Microsoft para descubrir que su dirección IP estaba asociada a un identificador de dispositivo de Microsoft conocido como ID Global de Dispositivo (GDID).

"Según un representante de Microsoft, un ID Global de Dispositivo en el ecosistema de Windows es un identificador persistente a nivel de dispositivo, diseñado para identificar de forma única una instalación del sistema operativo Windows en un dispositivo, ya sea físico (por ejemplo, un teléfono móvil o un portátil) o virtual, en determinados servicios y escenarios de Microsoft", explica la denuncia.

El ID Global de Dispositivo no resulta sorprendente, dado que es práctica habitual asignar un ID único a cada cuenta o dispositivo para que un proveedor de tecnología pueda reconocerlos y distinguirlos. Sin embargo, la denuncia revela que Microsoft puede asociar el GDID con servicios de terceros y también con la hora de uso, lo que le permite, en teoría, rastrear la actividad en línea de un usuario. En otras palabras, Microsoft podría rastrear la actividad en línea de su PC con Windows sin necesidad de cookies de navegador de terceros.

Se descubrió que Stokes estaba utilizando la herramienta ngrok para eludir las defensas de la red de la joyería. La denuncia indica que Microsoft tenía registros que mostraban que el 12 de mayo de 2025, a las 19:21 UTC, el GDID asociado al ordenador de Stokes "accedió, entre otras páginas de ngrok, a https://dashboard[.]ngrok.com/signup, la página de ngrok para crear una cuenta".

El documento añade que los registros de Microsoft también mostraban que el GDID accedió a "múltiples sitios" desde servidores de Tzulo, un proveedor de alojamiento web, para facilitar el ataque.

Por lo tanto, el hecho de que los investigadores federales usaran el identificador de Microsoft para atrapar a un presunto delincuente genera preocupación por su posible uso indebido con otros fines de vigilancia.

El identificador del dispositivo se menciona brevemente en esta página de soporte, pero Microsoft no se ha pronunciado públicamente al respecto. Según la denuncia penal, un usuario de Windows puede restablecer el GDID por sí mismo, aunque no es sencillo. "Un GDID se mantiene constante tras las actualizaciones del sistema operativo Windows en un dispositivo, pero una reinstalación de Windows, ya sea en el mismo dispositivo o en otro, se vinculará a un nuevo GDID único", indica el documento judicial. En una nota a pie de página, añade: "Por lo tanto, un usuario de Microsoft podría tener varios GDID".

¿Se puede desactivar el GDID?

No hay una forma clara y oficial de desactivar el GDID de Windows desde los ajustes del sistema. De hecho, Microsoft no ofrece ningún tipo de información al respecto en sus webs oficiales de soporte. Lo que sí existen son aplicaciones de terceros que permiten reducir la telemetría, bloquear servicios de diagnóstico, desactivar identificadores publicitarios, limitar experiencias personalizadas o impedir conexiones automáticas a ciertos servidores de Microsoft.

Entre las aplicaciones más populares tenemos, WinDebloatO&O ShutUp10++, WPDPrivatezilla, DoNotSpyMajorPrivay, WinTenPrivacy, y BlackBird que se han hecho un hueco entre muchos usuarios de Windows 11. Estas permiten modificar opciones de privacidad, diagnóstico, anuncios, permisos de aplicaciones, historial de actividad o sincronización desde una misma pantalla.

Fuente: PCMag

4 jul 2026

Vulnerabilidad BlueHammer de Windows es explotada por bandas de ransomware

CISA confirmó que grupos de ransomware han comenzado a explotar una vulnerabilidad de escalamiento de privilegios de alta gravedad en Microsoft Defender, la cual ya se había utilizado en ataques de día cero.

La vulnerabilidad, denominada BlueHammer (CVE-2026-33825), fue filtrada a principios de abril por un investigador de seguridad conocido como "Nightmare Eclipse", junto con un código de prueba de concepto para su explotación, en protesta por la forma en que el Centro de Respuesta de Seguridad de Microsoft (MSRC) gestiona el proceso de divulgación.

"La insuficiente granularidad del control de acceso en Microsoft Defender permite que un atacante autorizado eleve sus privilegios localmente", explica Microsoft en un aviso de seguridad.

Will Dormann, analista principal de vulnerabilidades en Tharros, declaró que, si bien la vulnerabilidad no es fácil de explotar, permite a los atacantes locales acceder a la base de datos del Administrador de Cuentas de Seguridad (SAM), que contiene los hashes de las contraseñas de las cuentas locales.

Con este acceso, pueden escalar a privilegios de SYSTEM y potencialmente tomar el control total del sistema objetivo. "En ese momento, [los atacantes] básicamente controlan el sistema y pueden hacer cosas como generar una shell con privilegios de SYSTEM", dijo Dormann.

Microsoft corrigió la vulnerabilidad el 14 de abril como parte de la actualización de seguridad de abril de 2026. Sin embargo, días después, investigadores de seguridad de Huntress Labs revelaron que ciberdelincuentes la habían estado explotando como una vulnerabilidad de día cero en ataques que mostraban evidencia de actividad directa del atacante.

Durante los últimos meses, Nightmare Eclipse ha revelado múltiples exploits de día cero para Windows, incluyendo las vulnerabilidades BlueHammer (CVE-2026-33825), MiniPlasma, RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey, RoguePlanet (CVE-2026-50656), GreenPlasma. Algunas de estas vulnerabilidades afectan a Microsoft Defender, mientras que otras tienen como objetivo BitLocker y componentes de Windows. Todas estas vulnerabilidades ya han sido parcheadas por Microsoft.

Microsoft corrigió las vulnerabilidades de seguridad GreenPlasma, MiniPlasma y YellowKey hace tres semanas como parte de las actualizaciones de seguridad de junio de 2026.

La CISA añadió la vulnerabilidad BlueHammer a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 22 de abril, ordenando que se actualizaran los dispositivos Windows para protegerse contra los ataques en curso de la vulnerabilidad CVE-2026-33825 en un plazo de dos semanas, hasta el 7 de mayo.

Si bien Microsoft aún no ha identificado esta vulnerabilidad como explotada en ataques, la CISA también la ha señalado como explotada en campañas de ransomware en una actualización del Catálogo KEV publicada el lunes.

Fuente: BC