Matriz de referencia normativa BCRA sobre ciberseguridad, fraude, PSP y servicios financieros digitales

ℹ️ QUÉ ES ESTA MATRIZ

En los últimos años, el Banco Central de la República Argentina ha ido incorporando y actualizando distintas normas vinculadas a la gestión de riesgos tecnológicos, la seguridad de la información, los servicios financieros digitales, los proveedores de servicios de pago, las billeteras digitales, la prevención y gestión del fraude en pagos y transferencias, la continuidad operativa, la gestión de terceros y la respuesta ante ciberincidentes.

El resultado es un marco regulatorio cada vez más amplio, compuesto por Comunicaciones "A", Textos Ordenados y disposiciones complementarias que no siempre son fáciles de seguir de manera integrada.

Por eso, elaboramos de forma gratuita y abierta esta (super) Matriz de Referencia normativa BCRA, con el objetivo de ordenar las principales normas aplicables y facilitar una primera lectura.

ℹ️ METODOLOGÍA

La matriz fue elaborada a partir de Textos Ordenados (TO) del BCRA, Comunicaciones oficiales y el Boletín Oficial y permite identificar qué norma emitió o modificó una obligación, los sujetos alcanzados, cuáles son los objetivos y alcances de cada comunicación y la relación con la Ciberseguridad o la Prevención de Fraude con la interpretación técnica editorial sobre el impacto práctico en organizaciones como bancos, PSP, PSAV, servicios financieros y Fintech en general.

📑 Índice

1. Riesgos de tecnología y seguridad de la información (TI/SI)
2. Servicios financieros digitales (SFD)
3. PSP, billeteras digitales, pagos y fraude
4. Ciberincidentes y RRCI
5. Continuidad, resiliencia operacional y terceros
6. Textos Ordenados — referencia directa
7. Análisis: troncales, aplicabilidad y prioridad

Fuentes: La matriz fue elaborada a partir de Textos Ordenados del BCRA, Comunicaciones oficiales, Boletín Oficial e Infoleg. Las referencias marcadas como pendientes deben verificarse directamente en el buscador oficial del BCRA antes de su uso formal.
Criterio de inclusión: Incluye normas y Textos Ordenados vigentes o con efectos vigentes al momento de la revisión (22/06/2026). La vigencia debe verificarse al momento de uso. Las normas derogadas (A 4609, A 6354, A 6375, A 7370, A 7825, entre otras) fueron excluidas.
Sobre la interpretación: La columna "Relación con ciberseguridad / fraude" y las etiquetas de relevancia ("Troncal", "Relevante", "Complementaria", "Operativa") son clasificación e interpretación editorial, no denominaciones oficiales del BCRA.

⚠️ Aviso: Esta matriz tiene fines informativos y de orientación profesional. No constituye asesoramiento legal, regulatorio ni una opinión formal de cumplimiento. La normativa del BCRA puede modificarse, complementarse o ser reemplazada con frecuencia; por lo tanto, antes de utilizar esta información en auditorías, informes regulatorios, procesos de cumplimiento o decisiones legales, se recomienda verificar cada Comunicación y Texto Ordenado directamente en el sitio oficial del BCRA y/o con asesoramiento especializado.

Acceder a la Matriz

Por Lic. Bernardita Götte

Compliance Consultant en Segu-Info

Seguir leyendo...

Squidbleed (CVE-2026-47729): expone credenciales HTTP en texto plano de usuarios

Una sobrelectura de la pila en el proxy web Squid puede filtrar la solicitud HTTP en texto plano de otro usuario, incluyendo cualquier credencial o token de sesión que contenga, a cualquier persona que ya tenga permiso para enviar tráfico a través del mismo proxy.

El fallo se remonta a un cambio en el análisis FTP de 1997 y aún persiste en la configuración predeterminada de Squid. Investigadores de Calif.io lo revelaron en junio y lo denominaron Squidbleed (CVE-2026-47729), en referencia a Heartbleed, que filtraba memoria de la misma manera.

Squid describe esto como un ataque por parte de un cliente de confianza: alguien que ya tiene permiso para usar el proxy, no cualquier host aleatorio en internet. Esto coincide con el entorno habitual de Squid: redes compartidas como escuelas, oficinas y redes Wi-Fi públicas. En estos entornos, el atacante es simplemente otro usuario del mismo proxy.

Además, la filtración solo afecta al tráfico que Squid puede leer. El HTTPS normal utiliza un túnel CONNECT opaco, por lo que Squid nunca ve su contenido. El tráfico expuesto es HTTP en texto plano, además de configuraciones con terminación TLS donde Squid descifra e inspecciona.

El atacante también necesita el proxy para acceder a un servidor FTP que controla en el puerto 21. Tanto FTP como ese puerto están activados por defecto.

El fallo reside en el analizador de listados de directorios FTP de Squid. La demostración de Calif extrae una cabecera de autorización de una víctima que comparte el mismo proxy, suficiente para actuar como ese usuario. El código de prueba de concepto es público y, hasta la fecha, no se ha informado de ninguna explotación en la práctica.

Qué hacer

Si aplicas un parche, verifica la corrección, no solo la versión. Confirma que la protección se encuentra en FtpGateway.cc o consulta la versión anterior de tu distribución, ya que las distribuciones incluyen sus propias compilaciones (Debian incluye Squid 5.7).

El hilo público sigue siendo inconsistente: el mantenedor Amos Jeffries primero dijo que Squid 7.6 incluía la corrección, luego lo corrigió a 7.7, y el 22 de junio Salvatore Bonaccorso de Debian señaló que la confirmación a la que se hace referencia parece estar ya en 7.6.

La solución es sencilla: una comprobación del terminador nulo antes de las llamadas vulnerables a `strchr`, integrada en la rama de desarrollo en abril y en la versión 7 en mayo. Squid 7.6 corrige por separado la vulnerabilidad CVE-2026-50012, un desbordamiento de búfer en el montón de `cache_digest` sin relación con esta.

La solución más eficaz es la que recomiendan los investigadores: desactivar FTP. Chromium dejó de usar FTP hace años, y la mayoría de las redes apenas lo utilizan, por lo que deshabilitarlo elimina esta vulnerabilidad automáticamente, independientemente de la compilación que se utilice.

Fuente: THN

Seguir leyendo...

Ransomware Gentlemen: EDR killer capaz de eliminar más de 400 procesos de seguridad

La operación de ransomware como servicio (RaaS) Gentlemen desarrolla y mantiene activamente un conjunto de herramientas para eliminar la detección y respuesta de endpoints (EDR) que distribuye a sus afiliados para debilitar las defensas de los sistemas antes de implementar el cifrador.

Este conjunto de herramientas para eliminar EDR se basa en un marco conocido como GentleKiller. "También incorporan herramientas de terceros o filtradas, como HexKiller, ThrottleBlood y HavocKiller", afirmó Jakub Souček, investigador de seguridad de ESET, en su informe. "Estas herramientas están estandarizadas mediante una capa compartida de evasión de defensas, suplantando principalmente a proveedores de seguridad mediante información de versión falsa y certificados e iconos legítimos copiados".

La empresa eslovaca de ciberseguridad también destaca al grupo de ransomware por su capacidad para "poner en funcionamiento con una rapidez inusual" las pruebas de concepto (PoC) recién descubiertas, relacionadas con una técnica de ataque denominada "BYOVD" (Bring Your Own Vulnerable Driver), en muchos casos a los pocos días de su publicación.

Desde su aparición en marzo de 2025, The Gentlemen ha escalado rápidamente posiciones y se ha consolidado como uno de los grupos de ransomware más activos. Según datos de Ransomware.live, el grupo ha cobrado 504 víctimas hasta la fecha, la mayoría ubicadas en el sudeste asiático, Sudamérica y Europa occidental.

Informes recientes del periodista especializado en ciberseguridad Brian Krebs y PRODAFT han revelado que un ciudadano ruso de 36 años llamado Alexander Andreevich Yapaev (alias Hastalamuerte) ha estado liderando la operación, tras haber colaborado con otros esquemas de ransomware, incluido Qilin.

La empresa de ciberinteligencia Intel 471 revela que el usuario Hastalamuerte es una persona bilingüe (ruso e inglés) que se registró en casi una docena de foros de ciberdelincuencia entre 2019 y la actualidad, entre ellos Exploit, Breachforums, Ramp_V2, BHF, Raidforums y Nulled.

ESET ha descrito a The Gentlemen como uno de los grupos de RaaS (Ransomware as a Service) más ágiles técnicamente, que utiliza diversas técnicas para garantizar que las muestras compiladas de EDR killer (Early Recorder Killer) eviten la detección. Esto incluye protección binaria mediante Enigma o Themida y el uso de nombres de archivo que se asemejan a los de proveedores de ciberseguridad conocidos, incluyendo información de versión, firmas digitales e iconos.

La variante más común es GentleKiller, que se presenta en ocho variantes diferentes, cada una imitando un producto legítimo distinto y explotando un controlador vulnerable o malicioso diferente como parte del ataque BYOVD. GentleKiller busca específicamente 400 procesos asociados con 48 programas de seguridad distintos de varios proveedores.

La lista de controladores explotados por cada variante es la siguiente:

• Kaspersky ("eb.sys")
• FACEIT Anti-Cheat ("nseckrnl.sys")
• Valorant ("GameDriverX64.sys")
• Javelin ("stpm_old.sys" or "stpm_new.sys")
• WatchDog ("dmx.sys")
• Network Blocker ("360netmon_wfp.sys")
• Cleaner ("IMFForceDelete.sys")
• G11 ("PoisonX.sys")

Cabe destacar que el uso indebido de "PoisonX.sys" se ha registrado en los últimos meses en relación con diversos ataques BYOD, uno de los cuales se utilizó para inutilizar CrowdStrike Falcon EDR. Una segunda campaña, detallada por Huntress, implicó una intrusión en la que actores maliciosos desconocidos aprovecharon BeyondTrust Remote Support para desplegar con éxito ransomware en la red, no sin antes inutilizar las herramientas de seguridad mediante "PoisonX.sys" y "hrwfpdrv.sys".

"Al abstraer la capa de suplantación de identidad y los controladores específicos utilizados, el código subyacente revela numerosas similitudes estructurales y de comportamiento que sugieren fuertemente el uso de una plantilla de desarrollo compartida", afirmó Souček. "Este diseño prioriza la facilidad de implementación y la flexibilidad operativa para los afiliados, al tiempo que minimiza el esfuerzo de desarrollo para los operadores. Permite a los operadores de The Gentlemen integrar los controladores comprometidos en su conjunto de herramientas muy poco después de que se divulgue una prueba de concepto para inutilizar EDR".

A continuación se detallan las herramientas de eliminación de EDR de terceros basadas en BYOVD empleadas por el grupo:

• HexKiller ("googleApiUtil64.sys"), una herramienta que anteriormente se creía exclusiva del grupo de ransomware Warlock.
• ThrottleBlood ("ThrottleBlood.sys"), una herramienta detectada en ataques perpetrados por afiliados de MedusaLocker y DragonForce.
• HavocKiller o HwAudKiller ("havoc.sys").

ESET también informó haber detectado un programa de robo de credenciales basado en Rust, con nombre en clave OxideHarvest (también conocido como buildx641), capaz de extraer datos de navegadores web populares como Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk e IceCat.

"Si bien la mayoría de las bandas de ransomware siguen delegando la eliminación de EDR a sus afiliados, Gentlemen ha optado por centralizar esta función ofreciéndoles un conjunto de herramientas estandarizadas y listas para usar para eliminar EDR.Esta decisión convierte a Gentlemen en un operador atractivo para los afiliados, ya que reduce significativamente la barrera de entrada y, por consiguiente, facilita su trabajo".

Fuente: THN

Seguir leyendo...

F5 corrige vulnerabilidades críticas y de alta gravedad en NGINX

El miércoles, F5 publicó actualizaciones de seguridad extraordinarias para solucionar múltiples vulnerabilidades de NGINX, incluyendo fallos críticos que podrían permitir la ejecución de código.

Este problema afecta tanto a las implementaciones de NGINX Open Source como a las de NGINX Plus. Los investigadores de seguridad advierten que los atacantes podrían explotar esta vulnerabilidad para provocar ataques de denegación de servicio (DoS) o ejecutar código malicioso bajo configuraciones específicas.

Las más graves son CVE-2026-42530 y CVE-2026-42055 (CVSS de 9.2), dos errores que afectan a los módulos HTTP y que podrían explotarse sin autenticación para provocar, respectivamente, un desbordamiento de búfer basado en el montón o un error de uso de memoria liberada (use-after-free).

La explotación exitosa de estas vulnerabilidades provocaría el reinicio del proceso de trabajo de NGINX, causando una denegación de servicio (DoS). Si la aleatorización del espacio de direcciones (ASLR) está deshabilitada o se puede eludir, el atacante podría ejecutar código arbitrario. La CVE-2026-42530, afecta al módulo ngx_http_v3_module de NGINX.

Otra vulnerabilidad de alto riesgo, CVE-2026-42055, afecta a los módulos ngx_http_proxy_v2_module y ngx_http_grpc_module.

Estas vulnerabilidades afectan a las versiones 1.31.0 y 1.31.1 de NGINX Open Source. F5 ha publicado versiones actualizadas de NGINX Plus, NGINX Open Source y NGINX Gateway Fabric que solucionan estos defectos de seguridad.

La vulnerabilidad se ha resuelto en las versiones 1.30.3 y 1.31.2 de NGINX Open Source, así como en NGINX Plus versión 37.0.2.1 y R36 P6.

La compañía también lanzó correcciones para CVE-2026-11311 y CVE-2026-50107, dos vulnerabilidades de alta gravedad en NGINX Gateway Fabric que podrían permitir a atacantes autenticados inyectar directivas de configuración arbitrarias de NGINX. Estos fallos afectan a las versiones 2.3.0 a 2.6.3 y se han corregido en la versión 2.6.4.

"Una explotación exitosa podría permitir al atacante exponer datos confidenciales del sistema de archivos del pod de NGINX, redirigir el tráfico a puntos finales controlados por el atacante o provocar una denegación de servicio (DoS) mediante la inyección de una configuración que impide que NGINX se recargue", explica F5.

Además, la compañía de ciberseguridad anunció parches para dos fallos de gravedad media en NGINX que permiten a atacantes remotos revelar el contenido de la memoria, reiniciar el proceso de trabajo de NGINX o provocar una denegación de servicio.

F5 no menciona que ninguna de estas vulnerabilidades esté siendo explotada en la práctica, pero es importante que los usuarios instalen los parches, ya que NGINX ha sido objetivo de ataques recientemente.

Fuente: Nginx

Seguir leyendo...

FortiBleed: ~70,000+ Firewall Fortinet comprometidos en una explotación masiva

Una exhaustiva campaña de ciberespionaje, ahora denominada FortiBleed, ha comprometido silenciosamente más de 73.932 URL únicas de firewalls Fortinet en 194 países. Las vulnerabilidades explotadas (ver abajo) ya se encuentra solucionadas pero los administradores deben aplicar los parches.

"La base de datos del atacante contiene credenciales de acceso para más de 30.791 dispositivos pertenecientes a empresas y organizaciones gubernamentales de 194 países", declaró SOCRadar. "No se trata de conjeturas aleatorias. Son nombres de usuario y contraseñas verificados y funcionales, probados y confirmados por los propios atacantes mediante herramientas automatizadas que operan las 24 horas del día".

Descubierta originalmente por el investigador de seguridad Volodymyr "Bob" Diachenko y analizada posteriormente por Hudson Rock, esta información revela una operación altamente automatizada a escala industrial dirigida a dispositivos FortiGate y gateways VPN SSL a nivel mundial, sin precedentes.

Los ciberdelincuentes ejecutaron aproximadamente 1.160 millones de intentos de robo de credenciales contra más de 320.000 objetivos FortiGate, al tiempo que lanzaron otros 2.100 millones de intentos de fuerza bruta contra más de 160.000 servidores MSSQL, lo que resultó en 21.632 dominios comprometidos.

Fortinet declaró que la recopilación de credenciales se obtuvo a través de incidentes anteriores y ataques de fuerza bruta, y que no implica ninguna nueva falla o brecha de seguridad nueva.

Según el experto en ciberseguridad Kevin Beaumont, este conjunto de datos expone una operación masiva y automatizada. Los actores de amenazas atacaron con éxito 73.932 URL de firewall únicas en 194 países, lo que resultó en 21.632 dominios únicos afectados. Sorprendentemente, como destacó Beaumont, esto representa aproximadamente el 50% de todos los dispositivos firewall de Fortinet que actualmente se encuentran en Internet.

Esta campaña se atribuye a un grupo ciberdelincuente ruso-hablante con múltiples operadores, cuya metodología va mucho más allá del simple robo de credenciales. El grupo rastreó sistemáticamente internet en busca de instancias Fortinet expuestas, probándolas con vastos repositorios de filtraciones históricas de credenciales obtenidas mediante malware de robo de información.

Una vez que se establece un punto de acceso inicial, los atacantes se dirigen directamente a entornos internos de Active Directory, lo que permite un acceso profundo y persistente a la red que sobrevive a las comprobaciones de seguridad rutinarias.

Uno de los vectores técnicos más alarmantes de la campaña es la interceptación activa de hashes de autenticación SSL VPN, que posteriormente se descifran sin conexión mediante un clúster dedicado de 45 GPU gestionado a través de Hashtopolis.

Esto significa que incluso las organizaciones que creen que sus credenciales cifradas son seguras están expuestas. Una vez que se vulnera el perímetro, los operadores monitorean el tráfico para obtener accesos adicionales, creando un ciclo de retroalimentación positiva de acceso no autorizado.

El alcance de las víctimas confirmadas abarca prácticamente todos los sectores de la economía global. La investigación de Diachenko confirmó la vulneración total de las redes de organizaciones en Japón, Taiwán, Vietnam, Irak y Turquía, incluyendo, de manera crucial, a un contratista de defensa turco de la OTAN del cual se extrajeron con éxito documentos de defensa clasificados.

La base de datos de credenciales verificadas de los atacantes incluye algunas de las empresas más grandes del planeta:

• Tecnología y Manufactura: Foxconn, Samsung, Siemens, Lenovo, Oracle
• Servicios Profesionales: PwC, Accenture
• Telecomunicaciones: Comcast
• y miles de entidades gubernamentales y proveedores de infraestructura crítica.

Quizás la conclusión más preocupante de este conjunto de datos es que la complejidad de las contraseñas no ofrecía ninguna protección. Un volumen significativo de contraseñas de 20 caracteres, altamente complejas, se vieron comprometidas no mediante su descifrado desde cero, sino porque ya existían en texto plano en bases de datos de ladrones de información previamente robadas.

Cuando las credenciales se roban en el punto final antes de que se aplique el cifrado, ninguna complejidad las protege. Esto socava fundamentalmente la política de "contraseñas seguras" como estrategia de defensa perimetral.

Las tácticas del grupo van más allá de la obtención y reutilización de credenciales. Se estima que los atacantes interceptan la autenticación SSL-VPN, descifran hashes en un clúster de 45 GPU administrado mediante Hashtopolis y acceden a entornos internos de Active Directory para su posterior explotación y persistencia. 

Hudson Rock lanzó un portal en línea especializado y SOCRadar otro diseñados específicamente para que las organizaciones verifiquen fácilmente si sus dominios están incluidos en la base de datos.

Según datos de SOCRadar, las cuentas de administrador genéricas (35%) y las cuentas integradas del sistema Fortinet (28,3%) constituyen la mayoría de las credenciales comprometidas. Las cuentas específicas de la organización representan el 36,7% del resto de las credenciales vulneradas.

Medidas de mitigación

Las organizaciones que utilizan dispositivos Fortinet deben tratar esto como una amenaza crítica y activa, y actuar de inmediato:

• Rotación obligatoria de credenciales: Restablecer sin demora todas las contraseñas de la VPN y la interfaz de administración de Fortinet; la complejidad es irrelevante si las credenciales ya se han filtrado.
• Implementar la autenticación multifactor universal: Aplicar la autenticación multifactor en todas las puertas de enlace externas para neutralizar las credenciales robadas en texto plano.
• Registros de auditoría de la puerta de enlace: Revise los registros de acceso de Fortinet para detectar ubicaciones de inicio de sesión anómalas, sesiones de administrador inesperadas o volúmenes de tráfico inusuales.
• Restricción de la exposición de la interfaz de administración: Aplique políticas de acceso local para restringir el acceso al panel de administración únicamente a direcciones IP internas de confianza y desactive el inicio de sesión único (SSO) de FortiCloud si no es esencial.

La campaña FortiBleed nos recuerda que la seguridad del perímetro depende de las credenciales que lo protegen, y en un mundo saturado de datos robados por ciberdelincuentes, el perímetro nunca ha sido tan frágil.

Actualización 18/06

Sólo en Argentina aparecen al menos 50 empresas y sitios gubernamentales afectados y ya hay evidencia de infección de ransomware debido a la explotación de esta vulnerabilidad.

Vulnerabilidades explotadas

En su publicación, Defused Cyber informó haber detectado la explotación de las vulnerabilidades CVE-2026-39813, CVE-2026-39808, y CVE-2026-25089 en las últimas 24 horas.

CVE-2026-39813 (CVSS: 9.1) se refiere a una vulnerabilidad de recorrido de ruta en la API JRPC de FortiSandbox que podría permitir a un atacante no autenticado eludir la autenticación mediante solicitudes HTTP especialmente diseñadas.

La segunda vulnerabilidad, CVE-2026-39808 (CVSS: 9.1), es un caso de inyección de comandos del sistema operativo que podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados mediante solicitudes HTTP especialmente diseñadas. Fortinet corrigió ambas vulnerabilidades en abril de 2026.

Por otro lado, la vulnerabilidad CVE-2026-25089 (CVSS: 9.1) se solucionó la semana pasada. Fortinet la describió como una inyección de comandos del sistema operativo que afectaba a FortiSandbox, FortiSandbox Cloud y la interfaz web de FortiSandbox PaaS, y que podía permitir a un atacante no autenticado ejecutar comandos no autorizados mediante solicitudes HTTP especialmente diseñadas.

Defused Cyber ​​señaló que el exploit para CVE-2026-25089 no solo muestra indicios de haber sido desarrollado mediante un modelo de inteligencia artificial (IA), sino que además es defectuoso. Aún no se ha divulgado públicamente un exploit funcional para esta vulnerabilidad.

En los últimos años, las vulnerabilidades en los dispositivos Fortinet se han convertido en un objetivo prioritario para los atacantes. En abril de 2026, Fortinet publicó parches fuera de ciclo para una falla de seguridad crítica que afectaba a FortiClient EMS (CVE-2026-35616, CVSS: 9.1) y que, según la compañía, había sido explotada en la práctica.

Fuente: CyberSecurityNews

Seguir leyendo...

EDRChoker: bloquea los procesos del EDR mediante QoS

Una nueva herramienta de código abierto para pruebas de penetración, llamada EDRChoker, introduce una técnica innovadora para silenciar agentes de detección y respuesta de endpoints (EDR) conectados a la nube, no mediante la eliminación de sus procesos ni la inyección de código, sino reduciendo silenciosamente su ancho de banda de red a casi cero utilizando el motor de calidad de servicio (QoS) basado en políticas nativo de Windows.

Desarrollada por el investigador de seguridad @TwoSevenOneT, la herramienta aprovecha la calidad de servicio (QoS) basada en políticas de Windows para limitar el ancho de banda de los procesos EDR a casi cero, aislándolos eficazmente de su infraestructura de comandos.

Las plataformas EDR modernas dependen de una conexión persistente y de baja latencia entre el agente de endpoint y un servidor de administración en la nube. Esta relación con el servidor es fundamental para la recopilación de telemetría, la correlación de amenazas y el control administrativo.

Herramienta EDRChoker

Al interrumpir esta conexión, el agente EDR queda inactivo, incapaz de informar sobre detecciones, recibir políticas actualizadas o aceptar comandos remotos de los administradores. Esta dependencia arquitectónica es precisamente lo que EDRChoker aprovecha.

Históricamente, los equipos rojos han utilizado dos métodos principales para interrumpir las comunicaciones EDR: las reglas del Firewall de Windows Defender y las llamadas a la API de la Plataforma de Filtrado de Windows (WFP).

Herramientas como EDRSilencer utilizan la API FwpmFilterAdd0 para registrar filtros de red salientes que descartan selectivamente los paquetes del agente EDR.

La limitación crítica es que el bloqueo basado en WFP, con visibilidad forense, genera eventos de bloqueo y descarte de paquetes que las plataformas de seguridad como Elastic Defend detectan activamente mediante reglas de detección específicas, lo que genera alertas inmediatas en la categoría de reglas de Evasión Potencial mediante la Plataforma de Filtrado de Windows.

New-NetQosPolicy -Name "EDRProcess_" -AppPathNameMatchCondition "agent.exe"
-ThrottleRateActionBitsPerSecond 8 -PolicyStore ActiveStore

A 8 bps, un protocolo de enlace TLS estándar, que requiere entre 3 KB y 6 KB de datos de la cadena de certificados, se vuelve imposible de completar. El agente EDR agota continuamente el tiempo de espera antes de intercambiar un solo paquete, lo que produce errores de conexión interrumpida en lugar de eventos de bloqueo del firewall detectables.

La ventaja técnica de EDRChoker es arquitectónica. La limitación de QoS se aplica mediante pacer.sys, un controlador de filtro ligero NDIS que opera directamente sobre la NIC física, una capa por debajo de WFP en la pila de red de Windows. El orden de la pila es importante:

• WFP se ubica dentro de tcpip.sys en la capa de transporte.
• pacer.sys intercepta tramas Ethernet sin procesar en el límite de NDIS, más cerca del hardware.
• Debido a que opera en un nivel de privilegio inferior en la pila, las reglas de pacer.sys rigen paquetes a los que las herramientas de monitorización EDR de nivel WFP nunca llegan.

El investigador @TwoSevenOneT afirmó que EDRChoker acepta un archivo de entrada con los nombres de los procesos EDR y genera automáticamente políticas de QoS con nombres únicos (nombre del proceso + GUID aleatorio por ejecución) para garantizar que no haya dos implementaciones que produzcan firmas de reglas idénticas.

La herramienta, disponible en GitHub, funciona en dos modos:

• Modo de eliminación: Se ejecuta sin parámetros para eliminar por completo todas las políticas de QoS instaladas.
• Modo de instalación: Acepta un archivo de entrada con los nombres de los procesos EDR y crea políticas de QoS con nombres únicos (nombre del proceso + GUID aleatorio) que se mantienen incluso después de reiniciar el sistema.

A principios de enero, el investigador también demostró EDRStartupHinder, que impide que se inicie un programa EDR. EDRStartupHinder pretende explotar la vulnerabilidad Bindlink de Windows para redirigir una DLL de System32 a otra ubicación, además de aprovechar la función que solo carga DLL firmadas por un programa protegido con Protected Process Light (PPL) para evitar que se inicien los servicios AV/EDR", explicó el investigador.

Otra técnica ideada por Binary Defense consiste en deshabilitar servicios de seguridad críticos, como Windows Defender y Sysmon, sin activar las alertas de malware tradicionales. Modifica las Listas de Control de Acceso (ACL) de Windows para agregar Entradas de Control de Acceso (ACE) de "Denegar" contra bibliotecas esenciales del sistema como "kernel32.dll". Dado que estos servicios dependen de la DLL para funcionar, se rompe la cadena de dependencias. Al reiniciar el sistema, los servicios protegidos no se inician, dejando el equipo sin ninguna defensa.

La técnica EDRChoker pone de manifiesto una realidad arquitectónica crucial: las herramientas EDR que dependen totalmente de la conectividad en la nube presentan un punto único de fallo inherente.

A medida que los atacantes profundizan en la pila de red de Windows para evadir la detección, los defensores deben extender la monitorización al mismo nivel o corren el riesgo de operar a ciegas precisamente cuando más importa.

Fuente: CyberSecurityNews

Seguir leyendo...

Extensiones de fondo de pantalla para Chrome con 105.000 instalaciones vinculadas a adware y tráfico falso

Investigadores de ciberseguridad han descubierto una red de 152 extensiones de Google Chrome que funcionan como complementos de fondo de pantalla animado para nuevas pestañas, distribuyendo una familia de programas potencialmente no deseados (PUP).

El grupo abarca 38 cuentas de editores distintas en la Chrome Web Store y tres servidores backend: tabplugins[.]com, yowgames[.]com y chromewallpaper[.]com. En total, se han instalado 105.000 veces. A continuación se muestran los nombres de algunas de las extensiones.

"Cada ficha en la Chrome Web Store declara que no recopilará ni utilizará datos de usuario, mientras que la política de privacidad vinculada admite lo contrario: que las extensiones registran direcciones IP, proveedores de servicios de Internet, recuentos de clics y fuentes de referencia, y comparten esos datos con Google AdSense, DoubleClick y socios publicitarios externos", dijo Kush Pandya, investigador de seguridad de Socket.

Además, un subgrupo de las extensiones identificadas define dos URL codificadas en un archivo JavaScript ("js/bg.js") que se activan durante la instalación y desinstalación.

La URL de instalación incluye los parámetros del Módulo de Seguimiento de Urchin (UTM) "utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper", lo que hace que la extensión abra una pestaña durante la instalación como si fuera una búsqueda "orgánica".

La URL de desinstalación es una redirección a google.com/url que simula la desinstalación como una búsqueda genuina en Google.

La búsqueda orgánica en buscadores como Google se refiere a los resultados no pagados que aparecen en la página de resultados del motor de búsqueda (SERP), generados por algoritmos. Su posición se basa en parámetros como la relevancia, la autoridad y la optimización para motores de búsqueda (SEO), y es diferente de los resultados patrocinados.

Según Socket, la idea detrás de estas extensiones es crear artificialmente esa señal, lo que equivale esencialmente a fabricar el origen de su propio tráfico. "La visita no proviene de una persona que haya buscado en Google; es la extensión la que abre una pestaña automáticamente y la etiqueta como 'procedente de la búsqueda orgánica de Google'", explicó la empresa.

El ping de desinstalación va un paso más allá, envolviendo la dirección en el formato exacto google.com/url que Google utiliza para los clics en resultados de búsqueda reales, incluyendo los tokens ved y usg firmados, de modo que el clic parece el de un usuario.

Los archivos JavaScript también incluyen una capacidad latente para enumerar y eliminar todas las bases de datos IndexedDB que encuentre al iniciarse un service worker.

Se considera que la campaña es una operación de afiliados de adware comercial con fines lucrativos y fraude de atribución de tráfico, aunque se desconoce su origen exacto. Los indicios disponibles sugieren que podría haberse originado en Turquía.

Fuente: THN

Seguir leyendo...

Palo Alto advierte sobre la explotación activa de una vulnerabilidad de VPN en PAN-OS GlobalProtect

Palo Alto Networks ha revelado que ha detectado la explotación activa de una vulnerabilidad de PAN-OS recientemente divulgada por parte de un actor malicioso desconocido para obtener acceso no autorizado a los portales de GlobalProtect.

La vulnerabilidad en cuestión es CVE-2026-0257 (CVSS: 7.8), una falla de omisión de autenticación que afecta a los componentes de portal y puerta de enlace del software PAN-OS y que podría ser explotada por actores maliciosos para establecer conexiones VPN. La vulnrabilidad fue corregida en mayo.

Según la empresa de seguridad de redes, este defecto de seguridad podría ser explotado por un actor malicioso para eludir los controles de seguridad e iniciar conexiones VPN.

La vulnerabilidad ha sido explotada en ataques limitados, con actividad inicial observada el 17 de mayo de 2026. Actualmente se desconoce quién está detrás de estos esfuerzos de explotación.

"Hasta el momento, no se ha identificado ningún comportamiento posterior al acceso ni movimiento lateral", declaró Palo Alto Networks. "Solo una pequeña parte de los dispositivos analizados lograron establecer sesiones VPN, lo que generó eventos de conexión a la puerta de enlace".

Palo Alto Networks también insta a sus clientes a buscar en los registros de GlobalProtect eventos de conexión a la puerta de enlace exitosos que coincidan con los siguientes valores de configuración de cliente predefinidos de una prueba de concepto (PoC):

• endpoint_os_version: Microsoft Windows 10 Pro de 64 bits
• source_user_info.domain: vacío

La empresa también ha publicado indicadores de compromiso (IoC) asociados a la actividad.

Direcciones IP:

• 23.128.228[.]6
• 104.207.144[.]154
• 146.19.216[.]119
• 146.19.216[.]120
• 146.19.216[.]125
• 179.43.172[.]213
• 185.195.232[.]139
• 198.12.106[.]60
• 202.144.192[.]47

Nombres de host y direcciones MAC:

• aa:bb:cc:dd:ee:ff
• 00:11:22:33:44:55
• WINDOWS-LAPTOP-001
• DESKTOP-GP01
• GP-CLIENT

A finales del mes pasado, CISA añadió la vulnerabilidad CVE-2026-0257 a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV).

Fuente: THN

Seguir leyendo...

Estado de la seguridad del SDLC 2026

El riesgo de las aplicaciones modernas no se limita a vulnerabilidades individuales. El informe "State of SDLC Security 2026" de la empresa WIZ muestra cómo el riesgo se concentra y se propaga entre dependencias compartidas, entornos de desarrollador, sistemas CI/CD y flujos de trabajo impulsados por IA.

1. El riesgo se concentra donde el software se reutiliza más

En todos los ecosistemas, la adopción de la dependencia sigue una distribución de ley de potencia, donde aparece un conjunto relativamente pequeño de paquetes en una proporción desproporcionada de organizaciones. Como resultado, las debilidades en componentes ampliamente reutilizados pueden convertirse rápidamente en eventos de exposición sistémica en miles de entornos.

2. Los entornos de desarrollo concentran privilegios y confianza.

Los puntos finales de los desarrolladores se encuentran en el centro de la cadena de confianza del SDLC con acceso directo al código, las credenciales y los canales de implementación. Los entornos de desarrollo también están muy concentrados en torno a macOS, y Darwin representa aproximadamente el 86% de los sistemas de desarrollo observados. Al mismo tiempo, las extensiones y las herramientas de inteligencia artificial introducen una capa de confianza fragmentada y difícil de gobernar sobre esa base estandarizada.

3. La automatización CI/CD convierte la reutilización en un impacto inmediato

Los sistemas CI/CD combinan ejecución y automatización para crear un camino directo desde el acceso al desarrollo hasta el impacto en la producción. Un conjunto relativamente pequeño de acciones y componentes de flujo de trabajo domina estos entornos, concentrando el riesgo en los procesos más adoptados en lugar de distribuirlo uniformemente entre los sistemas de automatización.

4. La IA acelera el desarrollo y amplía los impactos en todos los entornos

El desarrollo asistido por IA es ahora común y está aumentando la velocidad y la escala de la producción de software, haciendo que los patrones inseguros sean más fáciles de generar y replicar en todos los entornos. La lógica de generación compartida y los valores predeterminados inseguros pueden crear debilidades repetibles en múltiples aplicaciones.

Conclusiones

Proteger el SDLC moderno requiere ir más allá de encontrar vulnerabilidades individuales para comprender y gobernar la confianza concentrada y las rutas de ejecución automatizadas.

Descargue el informe completo para descubrir cómo identificar y priorizar las debilidades de alto impacto en los sistemas que construyen, confían y distribuyen su software.

Fuente: Wiz

Seguir leyendo...

Más de 400 paquetes en el repositorio Arch Linux distribuyen un rootkit y un troyano

ç

Más de 400 paquetes en el Repositorio de Usuarios de Arch (AUR) distribuyen un rootkit de Linux y malware de robo de información que ataca credenciales y tokens de acceso.

Un informe de la comunidad de inteligencia de código abierto Independent Federated Intelligence Network (IFIN) señala que un nuevo mantenedor está suplantando la identidad de un editor de confianza en la plataforma AUR para distribuir paquetes infectados.

La distribución Arch Linux es popular entre usuarios avanzados y desarrolladores, quienes utilizan el catálogo AUR para obtener las últimas versiones del software instalado, los controladores y el kernel.

Importante: esto solo afecta a los paquetes del repositorio de usuarios (AUR). Los paquetes oficiales de Arch Linux no se han visto comprometidos en ningún momento.

AUR es un repositorio mantenido por la comunidad para la distribución Arch que contiene scripts de compilación de paquetes (PKGBUILD) con instrucciones para descargar, compilar e instalar software no disponible en los repositorios oficiales de Arch.

AUR se considera esencial para cualquier distribución basada en Arch porque contiene aplicaciones propietarias, versiones beta/nightly de software de código abierto, utilidades especializadas y versiones antiguas de paquetes que conservan funcionalidades que podrían haber sido eliminadas en versiones posteriores.

Sin embargo, no se trata de un espacio verificado, y los ciberdelincuentes pueden usarlo para distribuir malware a través de paquetes que cambian de propietario sin que nadie se dé cuenta.

Según Michael Taggart, miembro de IFIN, los paquetes comprometidos se modifican con scripts de preinstalación que descargan y ejecutan un paquete npm malicioso llamado atomic-lockfile.

El investigador de seguridad independiente Whanos señala que una muestra de atomic-lockfile incluía una carga útil ELF de Linux llamada deps, que era un "ladrón de credenciales con capacidades de rootkit eBPF (filtro de paquetes Berkeley extendido) opcionales solo para root. Está diseñado para estaciones de trabajo de desarrolladores y entornos de compilación. Su objetivo son los datos de navegadores y aplicaciones Electron, Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, material de VPN, historiales de shell y otros secretos locales de desarrolladores", afirma Whanos en el informe.

Gracias a la tecnología eBPF, el malware puede ejecutarse dentro del kernel con privilegios elevados y ocultar procesos locales.

La empresa de gestión de la cadena de suministro Sonatype también publicó un informe sobre una campaña dirigida al repositorio AUR y que distribuía el paquete malicioso atomic-lockfile de npm, pero utilizando un método diferente. Los investigadores de Sonatype afirman que el atacante secuestró al menos 20 paquetes huérfanos en AUR e distribuyó atomic-lockfile modificando el archivo PKGBUILD, un script de Bash con la información de compilación necesaria para los paquetes de Arch Linux.

Según el informe, el atacante añadió un script posterior a la instalación para invocar npm y descargar el paquete malicioso. "Los paquetes modificados añaden un script posterior a la instalación que invoca npm e instala atomic-lockfile durante la instalación del paquete", explica Sonatype.

Sin embargo, el análisis reveló que el paquete npm instalaba un ejecutable de Linux con referencias a un rootkit eBPF capaz de ocultar procesos, archivos e interfaces de red. Además, el binario de Linux indica que posee funcionalidad de robo de información, dirigida a los siguientes tipos de información confidencial:

• Credenciales de GitHub
• Archivos SSH
• Tokens de HashiCorp Vault
• Bases de datos de cookies del navegador
• Datos de Slack
• Datos de Discord
• Datos de Microsoft Teams
• Datos de Telegram

Sonatype determinó que el binario puede archivar datos, manejar archivos multipartes y realizar cargas HTTP, por lo que cuenta con la funcionalidad necesaria para un mecanismo típico de exfiltración de datos.

Los responsables de AUR están trabajando para identificar y eliminar todas las confirmaciones maliciosas y bloquear las cuentas que las distribuyen. En un mensaje a la comunidad, Jonathan Grotelüschen, responsable del paquete Arch Linux, instó a los usuarios a reportar cualquier paquete malicioso que encuentren.

Como regla general, se recomienda confiar únicamente en proyectos con actualizaciones frecuentes y una comunidad activa. Se aconseja a los usuarios de Arch que revisen la lista de paquetes afectados y busquen los indicadores de compromiso que se mencionan en el informe de Whanos.

Fuente: BC

Seguir leyendo...