Microsoft extiende el soporte gratuito de ESU para Windows 10 hasta octubre de 2027

El 14 de octubre de 2025, Windows 10 llegó al final del soporte y Microsoft ya no brinda soporte técnico, actualizaciones de funciones o actualizaciones de seguridad para el sistema operativo a menos que esté ejecutando una versión LTSC de Windows.

Para aquellos que no pueden actualizar a Windows 11, Microsoft originalmente ofreció a los consumidores un año adicional de actualizaciones de seguridad si se inscribían en un programa gratuito de actualizaciones de seguridad extendidas (ESU) que expiraría el 12 de octubre de 2026.

Ahora, Microsoft ha extendido silenciosamente su programa gratuito de Actualizaciones de seguridad extendidas (ESU) de Windows 10 para consumidores por un año adicional, lo que permite que los dispositivos inscritos continúen recibiendo actualizaciones de seguridad hasta el 12 de octubre de 2027.

El cambio se realizó sin un anuncio formal y, en cambio, apareció en actualizaciones de la documentación ESU de Windows 10 de Microsoft y como una "nota del editor" de una publicación del blog Windows Experience publicada ayer.

"Nota del editor – 25 de junio de 2026 – Esta publicación se actualizó para reflejar que el programa de Actualizaciones de seguridad extendidas (ESU) de Windows 10 para dispositivos de uso personal se proporciona por un año adicional, con cobertura ahora disponible hasta el 12 de octubre de 2027", se lee en la publicación de blog actualizada.

Esta extensión brinda a los clientes más tiempo para realizar la transición a una nueva PC con Windows 11 mientras continúan recibiendo actualizaciones de seguridad críticas.

Los clientes empresariales también podrían inscribirse en el programa ESU por hasta tres años, lo que eleva el costo total por dispositivo a $427 durante ese período.

Cuando se le preguntó por qué se amplió el programa ESU gratuito, Microsoft compartió la siguiente declaración con BleepingComputer: "Entendemos que pasar a una nueva PC puede llevar tiempo. Como parte de nuestro compromiso continuo de ayudar a los clientes a mantenerse seguros durante la transición, el programa de actualizaciones de seguridad extendidas (ESU) de Windows 10 para dispositivos personales se ofrece por un año adicional", explicó Microsoft.

Los consumidores pueden seguir recibiendo seguridad ampliada de forma gratuita utilizando uno de estos métodos:

• Pagando $30.
• Hacer una copia de seguridad de su configuración de Windows en su cuenta de Microsoft.
• Canjear 1000 puntos de recompensa de Microsoft.
• Los usuarios del Espacio Económico Europeo pueden recibir ESU de forma gratuita iniciando sesión en Windows 10 con una cuenta de Microsoft.

Microsoft dice que una licencia ESU se puede usar en hasta 10 dispositivos asociados con la misma cuenta de Microsoft, y los usuarios ya inscritos permanecerán cubiertos automáticamente hasta la nueva fecha final de octubre de 2027.

La compañía señala que el programa ESU para consumidores es solo para dispositivos personales y no está disponible para sistemas unidos a dominios de Active Directory, Microsoft Entra o administrados a través de Mobile Device Management (MDM). Sin embargo, los dispositivos registrados en Microsoft Entra son elegibles.

Fuente: BC

Seguir leyendo...

Pedit COW: nueva vulnerabilidad en Linux permite a los usuarios obtener root

Una nueva vulnerabilidad de Linux permite el acceso de administrador mediante la manipulación de binarios en caché. La vulnerabilidad en el subsistema de control de tráfico del kernel de Linux permite que un usuario local sin privilegios obtenga acceso de root en los sistemas afectados.

La vulnerabilidad CVE-2026-46331, apodado "pedit COW", permite a los usuarios locales obtener acceso de administrador en sistemas Linux afectados corrompiendo la memoria caché de páginas a través de act_pedit.

Esta vulnerabilidad es una escritura fuera de límites en la acción de edición de paquetes (act_pedit) que corrompe la memoria caché de páginas compartida. Un exploit público y funcional apareció apenas un día después de la asignación de la CVE, el 16 de junio. Red Hat considera esta vulnerabilidad importante.

El exploit nunca accede al archivo en disco. Envenena la copia en caché de un binario de root setuid (/bin/su) en memoria, inyecta una pequeña carga útil y ejecuta esa imagen modificada como root. Las comprobaciones de integridad de archivos no generan ningún problema mientras ya hay una shell de root abierta.

El exploit requiere dos condiciones: que act_pedit sea cargable y que los espacios de nombres de usuario sin privilegios estén abiertos, lo que otorga al atacante la capacidad de red local del espacio de nombres (CAP_NET_ADMIN) necesaria para activar el fallo.

En los sistemas RHEL y Debian probados, ambas condiciones estaban presentes.

Cómo funciona el error

La herramienta de control de tráfico tc de Linux puede reescribir las cabeceras de los paquetes en tránsito mediante una acción llamada pedit. La función del kernel que realiza esta acción, tcf_pedit_act(), debería crear una copia privada de los datos antes de editarlos, siguiendo el patrón estándar de copia en escritura.

Se verifica el rango de escritura una sola vez, antes de conocerse los desplazamientos finales. Algunas claves de edición solo resuelven su desplazamiento en tiempo de ejecución. Cuando esto sucede, la escritura se produce fuera de la región copiada privadamente, por lo que el kernel modifica una página de la caché de páginas compartida en lugar de una copia privada. Si esa página pertenece a un archivo en caché, la imagen en memoria del archivo se corrompe.

El patrón es conocido. Dirty Pipe, Copy Fail, Dirty Clone y Dirty Frag comparten la misma estructura: una ruta rápida del kernel escribe en una página que no le pertenece exclusivamente, y la caché de páginas sufre la penalización.

La novedad reside en el punto de entrada. Un usuario sin privilegios puede configurar las acciones de tc desde dentro de un espacio de nombres de usuario, lo que le otorga el CAP_NET_ADMIN que necesita el exploit.

Sistemas afectados

El autor de la prueba de concepto informó de una explotación de usuario sin privilegios a root en RHEL 10 y Debian 13 (trixie), donde los espacios de nombres de usuario sin privilegios están abiertos por defecto. Ubuntu 24.04 requería enrutar la ejecución a través de perfiles de AppArmor que aún permitían espacios de nombres de usuario. Ubuntu 26.04 bloquea esta ruta por defecto, ya que sus perfiles de AppArmor restringen los espacios de nombres de usuario sin privilegios, aunque el kernel subyacente sigue siendo vulnerable.

Las correcciones varían según el proveedor.

• Debian ha corregido trixie a través de su canal de seguridad. Debian 11 y 12 siguen figurando como vulnerables.
• Ubuntu enumera las versiones compatibles desde la 18.04 hasta la 26.04 como vulnerables a fecha de 25 de junio.
• Red Hat enumera RHEL 8, 9 y 10 como afectadas; RHEL 7 no aparece en el boletín.

Qué hacer

Instalar el kernel parcheado y reiniciar. Priorizar los sistemas donde "usuario local" no significa usuario de confianza: hosts multiusuario, ejecutores de CI/CD, nodos de Kubernetes, trabajadores de compilación y máquinas compartidas de investigación o laboratorio.

Si aún no puedes aplicar el parche, existen dos medidas para interrumpir la cadena de explotación. En sistemas que no requieren reglas de `tc pedit`, verifica si el módulo está en uso:

lsmod | grep act_pedit
echo 'install act_pedit /bin/true' | sudo tee /etc/modprobe.d/disable-act_pedit.conf`

Como alternativa, desactivar los espacios de nombres de usuario sin privilegios (user.max_user_namespaces=0 en RHEL, kernel.unprivileged_userns_clone=0 en Debian/Ubuntu). Esto elimina la capacidad de acceso local al espacio de nombres que necesita la explotación, pero afecta a los contenedores sin privilegios de root, a algunos entornos aislados de CI y a los navegadores aislados. Realiza pruebas antes de comenzar.

Dado que la sobrescritura se realiza en la memoria caché, es posible que las comprobaciones de integridad de archivos no la detecten. Se puede vaciar la caché de páginas:

echo 3 > /proc/sys/vm/drop_caches

Con esto se borra la copia en memoria infectada, pero no se soluciona el problema de la shell de root que el atacante ya había abierto. Se debe considerar el host como comprometido.

La solución se publicó en la lista de correo de netdev a finales de mayo, presentada como un parche rutinario para la corrupción de datos. El detalle explotable permaneció en una lista de correo pública durante semanas. Se incluyó en la advertencia de seguridad CVE. La CVE se asignó cuando se integró la solución el 16 de junio. La prueba de concepto con potencial de explotación se publicó al día siguiente. Para los errores de corrupción de la caché de páginas del kernel, esperar a que se complete una regla de escaneo es demasiado lento.

Fuente: THN

Seguir leyendo...

Vulnerabilidades explotadas: ya no puedes salir de esto con parches

Durante treinta años, la gestión de vulnerabilidades se ha basado en lo que ahora parece un lujo imposible: un margen de meses entre el momento en que se encontró una vulnerabilidad y el momento en que alguien pudo descubrir cómo convertirla en un arma. Clasificar por gravedad, programar la solución, validar y seguir adelante.

Ese generoso amortiguador es lo que hizo que todo el sistema funcionara.

La IA ha eliminado el arrastre manual que hacía que la creación y utilización de "armas" fuera lenta. Leer el aviso, encontrar el camino, dar forma a la cadena, probar qué funciona: nada de eso puede darse el lujo de moverse a la velocidad humana. Hoy en día, los plazos desde la divulgación hasta la explotación son de horas, no de meses.

El Zero Day Clock, que rastrea esto en tiempo real, actualmente tiene un promedio de alrededor de 8 horas para 2026, frente a aproximadamente 53 días hace apenas dos años. La cifra cambia a medida que llegan nuevos datos, pero en este punto se sitúa firmemente por debajo de las 24 horas.

No puedes salir de esto con parches

El reflejo suele ser simplemente parchear más rápido. Pero la remediación no es simplemente un interruptor que se activa. Los parches esperan una serie de contingencias: pruebas de regresión, ventanas de cambio y compromisos de tiempo de actividad. Y hoy, lamentablemente, todos los números que importan van en la dirección equivocada.

El Informe de investigaciones de vulneración de datos de 2026 de Verizon, elaborado en más de 13.000 organizaciones, encontró que:

• El tiempo medio de reparación de vulnerabilidades conocidas y explotadas es ahora de 43 días, frente a los 32 del año pasado.
• La proporción de organizaciones que los parchean completamente se redujo del 38% al 26%.
• Incluso los que tienen mejor desempeño cierran sólo entre el 30 y el 40% de estas vulnerabilidades en la primera semana, una tasa que apenas ha variado en años.

Cuando la infracción se desarrolla en horas y la reparación en semanas, la infracción se produce en el medio. Y la pista cada vez es más larga.

El volumen lo garantiza: 48.185 CVE en 2025, menos del 0,6% jamás parcheados. "Parchear para salir" ha dejado de ser una matemática viable.

Mythos es el umbral en el que los modelos de IA fueron capaces de encontrar y convertir en armas vulnerabilidades por sí solos, y no es teórico: el modelo de clase Mythos de Anthropic encontró una falla que había estado oculta en OpenBSD, ampliamente considerado como uno de los sistemas operativos más seguros del mundo, durante 27 años.

La línea de base para 2025 se ha convertido en el piso, no en el techo.

La pregunta ya no es "¿qué es vulnerable?" porque en una lista donde todo tiene una puntuación de 9 o 10, esto efectivamente no prioriza nada. La verdadera pregunta es: "¿Qué es realmente explotable contra nosotros en este momento, con los controles que ya estamos aplicando?". Encontrar la exposición nunca fue la parte difícil. Demostrar la decisión correcta (parchear, mitigar, monitorear o aceptar) es la brecha crítica.

Las herramientas de pentesting automatizados toman la prueba de penetración manual que solía realizarse una vez por trimestre y la ejecutan continuamente, a escala, activando cadenas de exploits reales contra activos reales. Donde se puede ejecutar eso, es la prueba más fuerte que existe: ves cómo el exploit tiene éxito. Pero, aunque automatizar el lanzamiento te hace más rápido; no cambia lo que puede alcanzar la explotación.

La explotación en vivo solo funciona cuando es seguro activar un exploit y cuando existe un exploit funcional. Eso deja tres espacios en la herramienta pentest que se pueden cerrar, y apilarlos juntos tampoco ayuda. ¿Por qué?

• Sin exploit, nada que ejecutar. Una gran parte de los CVE divulgados nunca obtienen un exploit público o seguro. Sin nada que iniciar, la ejecución no puede indicarle si son explotables en su entorno.
• Activos que no puedes arriesgar. Los sistemas críticos para el negocio, regulados y aislados son exactamente aquellos contra los que no se puede detonar un exploit de forma segura y, por lo general, son los que más importan.
• La ventana del primer día. Armar un nuevo exploit y conectarlo a sus herramientas lleva tiempo. Los atacantes ya se están moviendo mientras tu lanzamiento todavía está en el banco.

En una empresa típica, la porción que puede explotar de forma segura en vivo suele ser sólo del 10 al 15% de su imagen de exposición total. Para el 85% o 90% restante, la ejecución no tiene respuesta que dar.

Probar en tierra un cohete que no se puede lanzar

La forma más segura de demostrar que un cohete volará es lanzarlo. Pero ningún programa espacial demuestra que su flota sea así.

Algunos existen sólo como un diseño en papel, otros cuentan con tripulación y son demasiado valiosos para arriesgarlos, y otros todavía están en la línea de ensamblaje. Así que los ingenieros los prueban en tierra: el motor empuja en una posición estática, prueba el sistema de combustible bajo presión total y el escudo térmico contra su carga térmica máxima. Si algún componente requerido falla, el cohete no puede volar y ellos lo saben sin abandonar la plataforma.

Ésa es la misma brecha de tres partes que enfrentan los equipos de seguridad.

• El CVE sin exploits es el cohete que sólo existe en el papel.
• El activo prohibido es el cohete tripulado que no arriesgarás.
• El CVE del primer día es el fuselaje parcialmente construido mientras se agota la ventana de lanzamiento.
• El lanzamiento es la prueba a la que llegas cuando puedes; la prueba sobre el terreno es la prueba en la que confías cuando no puedes.

Romper la cadena, rompe el exploit

Un exploit no es mágico. Es una cadena de técnicas específicas, los TTP que un atacante tiene que ejecutar en secuencia: obtener ejecución, eludir una protección, escalar privilegios, deshacerse de credenciales, avanzar hacia el objetivo.

Cada enlace depende de las condiciones de su entorno, y cada uno puede probarse por sí solo con los controles implementados reales, de la misma manera que un ingeniero prueba un motor en un soporte estático sin tener que arrancar todo el vehículo.

Esa es la validación de la cadena TTP. Usted asigna un CVE a la cadena de técnicas que requiere su explotación y luego valida cada técnica con sus controles existentes. Si su entorno rompe algún vínculo requerido, el exploit no podrá tener éxito allí y usted lo sabrá sin tener que activar un exploit activo. Si todos los vínculos se mantuvieran, la exposición sería genuinamente explotable, con evidencia.

Cuatro cosas distintas que veredicto de una etiqueta CVSS o EPSS estática:

• Valida por inferencia, no por detonación. Por lo tanto, funciona donde la explotación en vivo sería insegura o imposible.
• Es consciente del control. El veredicto refleja su EDR, GPO, protección LSASS, lista de permitidos y firewall reales, no solo un número en una hoja de datos.
• Pesa la accesibilidad. Las exposiciones contenidas no se contabilizan en exceso.
• Envía pruebas. La cadena, los controles probados y el resultado: una pista de auditoría que llega hasta la junta directiva.

Cómo se ve en un CVE real

Tomemos como ejemplo CVE-2025-29824, un uso después de la liberación de CLFS de Windows que escala a SYSTEM (visto en estado salvaje en la actividad Storm-2460 o RansomEXX).

En lugar de activar un exploit, lo descompones en la cadena que un atacante debe ejecutar y prueba cada paso con tu pila:

• Ejecución de certutil y MSBuild – T1105 / T1127
• Bypass KASLR / SysInfo – T1082
• Explotación CLFS UAF → ejecución del kernel – T1068
• modificación de token e inyección de dllhost – T1134 / T1055
• Volcado de LSASS a través de dllhost enmascarado – T1003

Cada técnica se prueba con respecto a la política de EDR, GPO/refuerzo, protección LSASS, lista de aplicaciones permitidas y NGFW.

Si su lista de permitidos detiene el ejecutivo de MSBuild, o su protección LSASS bloquea el volcado de credenciales, la cadena se rompe, el CVE no es explotable en ese activo y puede mostrar exactamente por qué. No se necesita un exploit certificado y funciona en la caja aislada a la que nunca apuntarías un exploit en vivo. Y al hacerlo, ha pasado de una nueva identificación CVE a una decisión defendible en horas, el día de la divulgación, en lugar de semanas después.

Pruébelo en todas partes, no sólo donde pueda lanzarlo

El lanzamiento y la prueba en tierra no son rivales, son simbióticos. Los programas más potentes ejecutan ambos y siguen probando a medida que el entorno avanza a través del tiempo y las configuraciones.

Se pueden ejecutar cadenas de exploits en vivo donde el disparo es seguro, encadenamiento TTP para los activos fuera de los límites y CVE del primer día que un lanzamiento no puede alcanzar, y validación de control continuo para que la "aceptación" del último trimestre se vuelva a probar, no se asuma.

Esto da una respuesta a la única pregunta que importa: "¿Qué es realmente explotable aquí y ahora?"

Fuente: BC

Seguir leyendo...

LastPass confirma (de nuevo) brecha que filtró nombres, teléfonos y direcciones de correo de sus usuarios

LastPass ha tenido un historial complicado en materia de seguridad durante los últimos años. De acuerdo con TechCrunch, la brecha no ocurrió directamente en LastPass, sino en Klue, una plataforma que la empresa utiliza en sus operaciones comerciales. Según el reporte, los atacantes aprovecharon el acceso a Klue para obtener tokens OAuth que la plataforma almacenaba en nombre de sus clientes, incluido LastPass.

LastPass se suma a una creciente lista de empresas de ciberseguridad que han reportado robos de datos como consecuencia de la brecha de seguridad en Klue, que la compañía reveló la semana pasada. Otras empresas afectadas incluyen Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social, and Tanium.

Con esas credenciales, los atacantes lograron entrar en el entorno de Salesforce de LastPass y extraer datos de sus usuarios. La información comprometida incluye nombres, números de teléfono, direcciones de correo electrónico y direcciones físicas, junto con datos de casos de soporte al cliente y registros relacionados con ventas. Tras detectar la presencia de atacantes en su sistema, Klue notificó a LastPass sobre el incidente.

Lo que todavía no está claro es el contenido exacto de los tickets de soporte al cliente. Ese tipo de registros suele contener fragmentos de información sensible, ya que los usuarios generalmente contactan con soporte cuando tienen problemas de facturación o necesitan recuperar el acceso a sus cuentas. Incidentes anteriores con datos de tickets de soporte han llegado a exponer credenciales y documentos de identidad oficiales.

LastPass ha declarado que la brecha de Klue no afectó a sus sistemas en ningún momento. Las contraseñas almacenadas en las bóvedas de los usuarios permanecen seguras, y no hay evidencia de que los atacantes accedieran a datos relacionados con la plataforma Gong, otra herramienta integrada con Klue.

La reputación de LastPass lleva tiempo acumulando golpes. En 2022, la compañía sufrió una brecha mucho más grave en la que los atacantes se hicieron con todas las bóvedas cifradas de contraseñas de sus clientes. Aunque esos archivos estaban protegidos con las contraseñas maestras de cada usuario, los hackers consiguieron descifrar algunas de ellas que usaban claves débiles y las aprovecharon para acceder a billeteras de criptomonedas.

Este nuevo incidente es menos catastrófico en comparación, pero tiene sus propias implicaciones. Tener tu nombre, teléfono y dirección en manos de atacantes es suficiente para convertirte en objetivo de phishing o ingeniería social. LastPass lo reconoce en su comunicado oficial y recomienda a sus usuarios estar alerta ante cualquier contacto no solicitado, ya sea por email, teléfono u otros canales.

Otro detalle que vale la pena recordar es que nadie de LastPass te pedirá jamás tu contraseña maestra. Si recibes un mensaje solicitándola, independientemente de cómo esté redactado, es una señal de alarma.

Según el reporte, el responsable del ataque es un grupo de extorsión llamado Icarus, que también ha atacado a otras compañías a través de la brecha en Klue. El grupo ya amenazó con publicar los datos robados si no recibe un pago por rescate. Klue, por su parte, aún no ha confirmado cuántos clientes se han visto afectados ni si ha habido contacto con los atacantes.

LastPass confirmó que han remediado el problema y los tokens OAuth expuestos han sido rotados desde entonces. "Los productos, servicios e infraestructuras de LastPass no se vieron afectados de ninguna manera y las bóvedas de clientes siguen siendo seguros", mencionó.

Fuente: TechCrunch

Seguir leyendo...

FortiBleed: detalles de la operación de robo de 110 millones de credenciales (y contando)

Se cree que un intermediario de acceso inicial (IAB) de habla rusa, motivado por el lucro, está detrás de una operación de robo de credenciales a gran escala conocida como FortiBleed, que ha afectado a más de 430.000 firewalls FortiGate en todo el mundo.

La campaña, activa desde febrero de 2026, consiste en recopilar listas de credenciales, buscar servicios expuestos, realizar ataques de fuerza bruta contra sistemas accesibles e implementar analizadores de red personalizados en los firewalls comprometidos.

"Una vez implementados, estos analizadores capturan credenciales en texto plano y cifradas del tráfico que pasa por los dispositivos comprometidos", afirma SOCRadar en un informe reciente. "Los atacantes luego descifran, validan y reutilizan las credenciales contra dominios de Active Directory y otros servicios expuestos".

La clave de la operación es una herramienta basada en Go llamada FortigateSniffer, que aprovecha el comando de diagnóstico integrado de FortiOS, `-diagnose sniffer packet`, para capturar pasivamente el tráfico de autenticación de los dispositivos infectados. La herramienta está diseñada para monitorizar el tráfico a través de 24 protocolos, analizar los datos de autenticación y extraer las credenciales.

Se sospecha que los ciberdelincuentes podrían haber recurrido a una plataforma de seguridad ofensiva de código abierto basada en IA, denominada CyberStrike, para optimizar algunas partes del proceso. Curiosamente, otro marco de código abierto, CyberStrikeAI, se utilizó en relación con otra campaña de escaneo masivo automatizado dirigida a dispositivos FortiGate, que Amazon Threat Intelligence reveló a principios de este año.

La campaña muestra un fuerte enfoque en las pequeñas y medianas empresas (pymes) con menos de 200 empleados. El atacante se dirige a múltiples sectores y regiones, con especial énfasis en Estados Unidos e India. El sector de servicios de TI parece ser un objetivo clave. Esta elección de objetivos probablemente ayuda al atacante a maximizar el acceso posterior, ya que los proveedores de servicios comprometidos pueden crear vías de acceso a los entornos de los clientes.

Quizás el hallazgo más interesante sea que FortiBleed parece formar parte de una operación de acceso inicial más amplia y multivendedor, orquestada no solo para atacar dispositivos Fortinet, sino también para vulnerar NAS de Synology, firewalls de Sophos, portales RDWeb, VPN SSL de Citrix y servidores MS-SQL mediante ataques de fuerza bruta automatizados desde el 28 de febrero de 2026.

En total, se estima que los atacantes lanzaron al menos 659 campañas de robo de credenciales entre el 31 de mayo y el 15 de junio de 2026, lo que resultó en la identificación de más de 110 millones de credenciales. Esto incluyó:

• 14,8 millones de credenciales RADIUS (Servicio de Autenticación Remota de Usuarios por Marcación)
• 924.000 hashes NTLM
• 130.000 hashes Kerberos
• 89 millones de tokens de autenticación MySQL

La campaña FortiBleed se desarrolla en cinco etapas:

1. Primero, se realiza un reconocimiento exhaustivo utilizando herramientas como Masscan y Shodan para identificar firewalls FortiGate vulnerables con acceso a internet. Posteriormente, se utilizan una utilidad personalizada llamada FortiProbe-fast y GeoSplit para filtrar los sistemas FortiGate y agruparlos por país, respectivamente.
2. Comprometer los dispositivos con un verificador de credenciales llamado "forticheck" que ataca específicamente el panel administrativo y el portal SSL-VPN de FortiGate, además de utilizar herramientas para obtener acceso administrativo SSH mediante ataques de relleno de credenciales y de diccionario.
3. Tras establecer el acceso por SSH, FortigateSniffer se implementa para interceptar pasivamente el tráfico de autenticación en 24 protocolos (p. ej., TACACS+, Kerberos, RPC, SMB, LDAP, SMTP, FTP, Telnet, RDP, WinRM, MS-SQL, MySQL, PostgreSQL y RADIUS) mediante comandos de diagnóstico nativos de FortiOS, lo que permite obtener credenciales en texto plano y hashes de contraseñas.
4. Los hashes de contraseñas se descifran con Hashmat y Hashtopolis, y se procesan mediante un bot de Telegram llamado HASHBOT. Posteriormente, se utilizan para el movimiento lateral y la enumeración de Active Directory.
5. Se extraen datos confidenciales de los recursos compartidos de red, mientras que las cookies de sesión robadas se utilizan para mantener un acceso persistente y autenticado.

"El grupo no trata a todos los objetivos por igual", dijo SOCRadar. "En cambio, los objetivos se clasifican según su valor económico antes de asignar los recursos para su explotación".

Además, el mecanismo de rastreo incluye un filtro de geolocalización que restringe las operaciones a rangos de IP específicos, limitando la actividad al horario comprendido entre las 7:00 y las 18:00, hora de Moscú. Según datos capturados por SpyCloud, el ciclo de captura relacionado con FortiGate habría comenzado el 19 de mayo de 2026, y la infraestructura de descifrado de hashes se instaló a finales de mes.

"La operación se ejecuta en ciclos de 300 minutos (cinco horas), con actualizaciones de estado cada minuto", declaró Zenox. "En cada ciclo, carga una lista de objetivos regionales [...] y realiza la validación con 1.000 hilos simultáneos, mostrando contadores de éxito, fallo, tiempo de espera agotado y advertencia. En los primeros ciclos, la tasa de validación exitosa rondaba el 90%".

La empresa brasileña de ciberseguridad también informó haber encontrado ciertas combinaciones de nombre de usuario y contraseña repetidas en miles de direcciones IP distintas, lo que plantea la posibilidad de que el atacante haya creado estas cuentas como puerta trasera clandestina.

Este hecho se produce después de que una cuenta en ruso llamada "SantaAd" anunciara el acceso a miles de dispositivos Fortinet por un precio inicial de 30.000 dólares, que horas después aumentó a 60.000 dólares. Sin embargo, no está claro si esto tiene alguna relación con la filtración de FortiBleed.

"El grupo de ciberdelincuentes responsable de 'FortiBleed' no solo atacaba las VPN de FortiGate", declaró SpyCloud. "En realidad, atacaban una variedad de dispositivos conectados a internet con una cadena de ataques estándar de tipo 'bombardeo masivo' que se basa principalmente en escaneos masivos y ataques de fuerza bruta para obtener accesos".

Fuente: THN 

Seguir leyendo...

(Supuestamente) el modelo de IA Mythos violó los sistemas clasificados de la NSA en cuestión de horas

Según informes, el modelo de IA Mythos, el producto estrella de Anthropic, se infiltró en casi todos los sistemas clasificados de la Agencia de Seguridad Nacional (NSA) en cuestión de horas durante una evaluación de seguridad autorizada realizada el 11 de junio. Este incidente parece ser la principal razón de la directiva del gobierno estadounidense sobre controles de exportación emitida al día siguiente.

El senador Mark Warner, vicepresidente del Comité de Inteligencia del Senado, reveló que el general Joshua Rudd, quien dirige simultáneamente la NSA y el Comando Cibernético de EE.UU., le comunicó directamente que el modelo Mythos de Anthropic "irrumpió en casi todos nuestros sistemas clasificados, no en semanas, sino en horas".

Esta declaración, publicada inicialmente por The Economist, no ha sido confirmada formalmente por ninguna agencia gubernamental, pero ha modificado rápidamente el discurso en torno a la decisión de Washington de retirar del acceso público los dos modelos más avanzados de Anthropic.

La revelación recontextualiza la directiva del Departamento de Comercio del 12 de junio, que prohibía a todos los ciudadanos extranjeros, incluidos los empleados no ciudadanos de Anthropic, el acceso a Fable 5 y Mythos 5.

Posteriormente, Anthropic suspendió ambos modelos para todos sus clientes. Es crucial destacar que esta es la primera vez que Estados Unidos aplica controles de exportación directamente a un modelo de IA en lugar de al hardware o los chips que lo impulsan, un precedente regulatorio histórico en la gobernanza de la seguridad nacional de la IA.

Según se informa, los gobiernos aliados de la alianza de inteligencia Five Eyes, incluidos Australia, Gran Bretaña, Canadá y Nueva Zelanda, fueron tomados por sorpresa, ya que se revocaron los permisos de agencias gubernamentales, bancos y grandes empresas sin previo aviso.

Anthropic refuta la justificación del gobierno. La compañía sostiene que el detonante citado fue una vulnerabilidad específica que otros modelos líderes, como GPT-5.5, también presentan, y califica la retirada masiva como una reacción desproporcionada.

Según Anthropic, la conducta detectada consistió en solicitar al modelo que analizara el código fuente y corrigiera los problemas identificados, y no en una intrusión ofensiva autónoma real. La empresa está trabajando activamente para restablecer el acceso y está preparando un marco de gestión de riesgos en colaboración con la Casa Blanca.

Fuente: CyberSecurityNews

Seguir leyendo...

Matriz de referencia normativa BCRA sobre ciberseguridad, fraude, PSP y servicios financieros digitales

ℹ️ QUÉ ES ESTA MATRIZ

En los últimos años, el Banco Central de la República Argentina ha ido incorporando y actualizando distintas normas vinculadas a la gestión de riesgos tecnológicos, la seguridad de la información, los servicios financieros digitales, los proveedores de servicios de pago, las billeteras digitales, la prevención y gestión del fraude en pagos y transferencias, la continuidad operativa, la gestión de terceros y la respuesta ante ciberincidentes.

El resultado es un marco regulatorio cada vez más amplio, compuesto por Comunicaciones "A", Textos Ordenados y disposiciones complementarias que no siempre son fáciles de seguir de manera integrada.

Por eso, elaboramos de forma gratuita y abierta esta (super) Matriz de Referencia normativa BCRA, con el objetivo de ordenar las principales normas aplicables y facilitar una primera lectura.

ℹ️ METODOLOGÍA

La matriz fue elaborada a partir de Textos Ordenados (TO) del BCRA, Comunicaciones oficiales y el Boletín Oficial y permite identificar qué norma emitió o modificó una obligación, los sujetos alcanzados, cuáles son los objetivos y alcances de cada comunicación y la relación con la Ciberseguridad o la Prevención de Fraude con la interpretación técnica editorial sobre el impacto práctico en organizaciones como bancos, PSP, PSAV, servicios financieros y Fintech en general.

📑 Índice

1. Riesgos de tecnología y seguridad de la información (TI/SI)
2. Servicios financieros digitales (SFD)
3. PSP, billeteras digitales, pagos y fraude
4. Ciberincidentes y RRCI
5. Continuidad, resiliencia operacional y terceros
6. Textos Ordenados — referencia directa
7. Análisis: troncales, aplicabilidad y prioridad

Fuentes: La matriz fue elaborada a partir de Textos Ordenados del BCRA, Comunicaciones oficiales, Boletín Oficial e Infoleg. Las referencias marcadas como pendientes deben verificarse directamente en el buscador oficial del BCRA antes de su uso formal.
Criterio de inclusión: Incluye normas y Textos Ordenados vigentes o con efectos vigentes al momento de la revisión (22/06/2026). La vigencia debe verificarse al momento de uso. Las normas derogadas (A 4609, A 6354, A 6375, A 7370, A 7825, entre otras) fueron excluidas.
Sobre la interpretación: La columna "Relación con ciberseguridad / fraude" y las etiquetas de relevancia ("Troncal", "Relevante", "Complementaria", "Operativa") son clasificación e interpretación editorial, no denominaciones oficiales del BCRA.

⚠️ Aviso: Esta matriz tiene fines informativos y de orientación profesional. No constituye asesoramiento legal, regulatorio ni una opinión formal de cumplimiento. La normativa del BCRA puede modificarse, complementarse o ser reemplazada con frecuencia; por lo tanto, antes de utilizar esta información en auditorías, informes regulatorios, procesos de cumplimiento o decisiones legales, se recomienda verificar cada Comunicación y Texto Ordenado directamente en el sitio oficial del BCRA y/o con asesoramiento especializado.

Acceder a la Matriz

Por Lic. Bernardita Götte

Compliance Consultant en Segu-Info

Seguir leyendo...

Squidbleed (CVE-2026-47729): expone credenciales HTTP en texto plano de usuarios

Una sobrelectura de la pila en el proxy web Squid puede filtrar la solicitud HTTP en texto plano de otro usuario, incluyendo cualquier credencial o token de sesión que contenga, a cualquier persona que ya tenga permiso para enviar tráfico a través del mismo proxy.

El fallo se remonta a un cambio en el análisis FTP de 1997 y aún persiste en la configuración predeterminada de Squid. Investigadores de Calif.io lo revelaron en junio y lo denominaron Squidbleed (CVE-2026-47729), en referencia a Heartbleed, que filtraba memoria de la misma manera.

Squid describe esto como un ataque por parte de un cliente de confianza: alguien que ya tiene permiso para usar el proxy, no cualquier host aleatorio en internet. Esto coincide con el entorno habitual de Squid: redes compartidas como escuelas, oficinas y redes Wi-Fi públicas. En estos entornos, el atacante es simplemente otro usuario del mismo proxy.

Además, la filtración solo afecta al tráfico que Squid puede leer. El HTTPS normal utiliza un túnel CONNECT opaco, por lo que Squid nunca ve su contenido. El tráfico expuesto es HTTP en texto plano, además de configuraciones con terminación TLS donde Squid descifra e inspecciona.

El atacante también necesita el proxy para acceder a un servidor FTP que controla en el puerto 21. Tanto FTP como ese puerto están activados por defecto.

El fallo reside en el analizador de listados de directorios FTP de Squid. La demostración de Calif extrae una cabecera de autorización de una víctima que comparte el mismo proxy, suficiente para actuar como ese usuario. El código de prueba de concepto es público y, hasta la fecha, no se ha informado de ninguna explotación en la práctica.

Qué hacer

Si aplicas un parche, verifica la corrección, no solo la versión. Confirma que la protección se encuentra en FtpGateway.cc o consulta la versión anterior de tu distribución, ya que las distribuciones incluyen sus propias compilaciones (Debian incluye Squid 5.7).

El hilo público sigue siendo inconsistente: el mantenedor Amos Jeffries primero dijo que Squid 7.6 incluía la corrección, luego lo corrigió a 7.7, y el 22 de junio Salvatore Bonaccorso de Debian señaló que la confirmación a la que se hace referencia parece estar ya en 7.6.

La solución es sencilla: una comprobación del terminador nulo antes de las llamadas vulnerables a `strchr`, integrada en la rama de desarrollo en abril y en la versión 7 en mayo. Squid 7.6 corrige por separado la vulnerabilidad CVE-2026-50012, un desbordamiento de búfer en el montón de `cache_digest` sin relación con esta.

La solución más eficaz es la que recomiendan los investigadores: desactivar FTP. Chromium dejó de usar FTP hace años, y la mayoría de las redes apenas lo utilizan, por lo que deshabilitarlo elimina esta vulnerabilidad automáticamente, independientemente de la compilación que se utilice.

Fuente: THN

Seguir leyendo...

Ransomware Gentlemen: EDR killer capaz de eliminar más de 400 procesos de seguridad

La operación de ransomware como servicio (RaaS) Gentlemen desarrolla y mantiene activamente un conjunto de herramientas para eliminar la detección y respuesta de endpoints (EDR) que distribuye a sus afiliados para debilitar las defensas de los sistemas antes de implementar el cifrador.

Este conjunto de herramientas para eliminar EDR se basa en un marco conocido como GentleKiller. "También incorporan herramientas de terceros o filtradas, como HexKiller, ThrottleBlood y HavocKiller", afirmó Jakub Souček, investigador de seguridad de ESET, en su informe. "Estas herramientas están estandarizadas mediante una capa compartida de evasión de defensas, suplantando principalmente a proveedores de seguridad mediante información de versión falsa y certificados e iconos legítimos copiados".

La empresa eslovaca de ciberseguridad también destaca al grupo de ransomware por su capacidad para "poner en funcionamiento con una rapidez inusual" las pruebas de concepto (PoC) recién descubiertas, relacionadas con una técnica de ataque denominada "BYOVD" (Bring Your Own Vulnerable Driver), en muchos casos a los pocos días de su publicación.

Desde su aparición en marzo de 2025, The Gentlemen ha escalado rápidamente posiciones y se ha consolidado como uno de los grupos de ransomware más activos. Según datos de Ransomware.live, el grupo ha cobrado 504 víctimas hasta la fecha, la mayoría ubicadas en el sudeste asiático, Sudamérica y Europa occidental.

Informes recientes del periodista especializado en ciberseguridad Brian Krebs y PRODAFT han revelado que un ciudadano ruso de 36 años llamado Alexander Andreevich Yapaev (alias Hastalamuerte) ha estado liderando la operación, tras haber colaborado con otros esquemas de ransomware, incluido Qilin.

La empresa de ciberinteligencia Intel 471 revela que el usuario Hastalamuerte es una persona bilingüe (ruso e inglés) que se registró en casi una docena de foros de ciberdelincuencia entre 2019 y la actualidad, entre ellos Exploit, Breachforums, Ramp_V2, BHF, Raidforums y Nulled.

ESET ha descrito a The Gentlemen como uno de los grupos de RaaS (Ransomware as a Service) más ágiles técnicamente, que utiliza diversas técnicas para garantizar que las muestras compiladas de EDR killer (Early Recorder Killer) eviten la detección. Esto incluye protección binaria mediante Enigma o Themida y el uso de nombres de archivo que se asemejan a los de proveedores de ciberseguridad conocidos, incluyendo información de versión, firmas digitales e iconos.

La variante más común es GentleKiller, que se presenta en ocho variantes diferentes, cada una imitando un producto legítimo distinto y explotando un controlador vulnerable o malicioso diferente como parte del ataque BYOVD. GentleKiller busca específicamente 400 procesos asociados con 48 programas de seguridad distintos de varios proveedores.

La lista de controladores explotados por cada variante es la siguiente:

• Kaspersky ("eb.sys")
• FACEIT Anti-Cheat ("nseckrnl.sys")
• Valorant ("GameDriverX64.sys")
• Javelin ("stpm_old.sys" or "stpm_new.sys")
• WatchDog ("dmx.sys")
• Network Blocker ("360netmon_wfp.sys")
• Cleaner ("IMFForceDelete.sys")
• G11 ("PoisonX.sys")

Cabe destacar que el uso indebido de "PoisonX.sys" se ha registrado en los últimos meses en relación con diversos ataques BYOD, uno de los cuales se utilizó para inutilizar CrowdStrike Falcon EDR. Una segunda campaña, detallada por Huntress, implicó una intrusión en la que actores maliciosos desconocidos aprovecharon BeyondTrust Remote Support para desplegar con éxito ransomware en la red, no sin antes inutilizar las herramientas de seguridad mediante "PoisonX.sys" y "hrwfpdrv.sys".

"Al abstraer la capa de suplantación de identidad y los controladores específicos utilizados, el código subyacente revela numerosas similitudes estructurales y de comportamiento que sugieren fuertemente el uso de una plantilla de desarrollo compartida", afirmó Souček. "Este diseño prioriza la facilidad de implementación y la flexibilidad operativa para los afiliados, al tiempo que minimiza el esfuerzo de desarrollo para los operadores. Permite a los operadores de The Gentlemen integrar los controladores comprometidos en su conjunto de herramientas muy poco después de que se divulgue una prueba de concepto para inutilizar EDR".

A continuación se detallan las herramientas de eliminación de EDR de terceros basadas en BYOVD empleadas por el grupo:

• HexKiller ("googleApiUtil64.sys"), una herramienta que anteriormente se creía exclusiva del grupo de ransomware Warlock.
• ThrottleBlood ("ThrottleBlood.sys"), una herramienta detectada en ataques perpetrados por afiliados de MedusaLocker y DragonForce.
• HavocKiller o HwAudKiller ("havoc.sys").

ESET también informó haber detectado un programa de robo de credenciales basado en Rust, con nombre en clave OxideHarvest (también conocido como buildx641), capaz de extraer datos de navegadores web populares como Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk e IceCat.

"Si bien la mayoría de las bandas de ransomware siguen delegando la eliminación de EDR a sus afiliados, Gentlemen ha optado por centralizar esta función ofreciéndoles un conjunto de herramientas estandarizadas y listas para usar para eliminar EDR.Esta decisión convierte a Gentlemen en un operador atractivo para los afiliados, ya que reduce significativamente la barrera de entrada y, por consiguiente, facilita su trabajo".

Fuente: THN

Seguir leyendo...

F5 corrige vulnerabilidades críticas y de alta gravedad en NGINX

El miércoles, F5 publicó actualizaciones de seguridad extraordinarias para solucionar múltiples vulnerabilidades de NGINX, incluyendo fallos críticos que podrían permitir la ejecución de código.

Este problema afecta tanto a las implementaciones de NGINX Open Source como a las de NGINX Plus. Los investigadores de seguridad advierten que los atacantes podrían explotar esta vulnerabilidad para provocar ataques de denegación de servicio (DoS) o ejecutar código malicioso bajo configuraciones específicas.

Las más graves son CVE-2026-42530 y CVE-2026-42055 (CVSS de 9.2), dos errores que afectan a los módulos HTTP y que podrían explotarse sin autenticación para provocar, respectivamente, un desbordamiento de búfer basado en el montón o un error de uso de memoria liberada (use-after-free).

La explotación exitosa de estas vulnerabilidades provocaría el reinicio del proceso de trabajo de NGINX, causando una denegación de servicio (DoS). Si la aleatorización del espacio de direcciones (ASLR) está deshabilitada o se puede eludir, el atacante podría ejecutar código arbitrario. La CVE-2026-42530, afecta al módulo ngx_http_v3_module de NGINX.

Otra vulnerabilidad de alto riesgo, CVE-2026-42055, afecta a los módulos ngx_http_proxy_v2_module y ngx_http_grpc_module.

Estas vulnerabilidades afectan a las versiones 1.31.0 y 1.31.1 de NGINX Open Source. F5 ha publicado versiones actualizadas de NGINX Plus, NGINX Open Source y NGINX Gateway Fabric que solucionan estos defectos de seguridad.

La vulnerabilidad se ha resuelto en las versiones 1.30.3 y 1.31.2 de NGINX Open Source, así como en NGINX Plus versión 37.0.2.1 y R36 P6.

La compañía también lanzó correcciones para CVE-2026-11311 y CVE-2026-50107, dos vulnerabilidades de alta gravedad en NGINX Gateway Fabric que podrían permitir a atacantes autenticados inyectar directivas de configuración arbitrarias de NGINX. Estos fallos afectan a las versiones 2.3.0 a 2.6.3 y se han corregido en la versión 2.6.4.

"Una explotación exitosa podría permitir al atacante exponer datos confidenciales del sistema de archivos del pod de NGINX, redirigir el tráfico a puntos finales controlados por el atacante o provocar una denegación de servicio (DoS) mediante la inyección de una configuración que impide que NGINX se recargue", explica F5.

Además, la compañía de ciberseguridad anunció parches para dos fallos de gravedad media en NGINX que permiten a atacantes remotos revelar el contenido de la memoria, reiniciar el proceso de trabajo de NGINX o provocar una denegación de servicio.

F5 no menciona que ninguna de estas vulnerabilidades esté siendo explotada en la práctica, pero es importante que los usuarios instalen los parches, ya que NGINX ha sido objetivo de ataques recientemente.

Fuente: Nginx

Seguir leyendo...