SAFE. Guía para proteger tu vida digital y tu privacidad

8 jul 2026

Phishing "moderno" II: abusan del flujo de código de dispositivo de Microsoft para apuntar a cuentas M365

Se ha observado una campaña de phishing de código de dispositivo Microsoft 365 que aprovecha señuelos con temas de colaboración para tomar el control de las cuentas de las víctimas entre la última semana de junio de 2026 y principios de julio, según los hallazgos de ZeroBEC.

"La campaña no dependía de una página de contraseña falsa de Microsoft. Utilizó un señuelo malicioso de estilo colaborativo para empujar a los usuarios a la experiencia legítima de inicio de sesión del dispositivo Microsoft, mientras que un agente backend generaba y sondeaba tokens de código de dispositivo del Agente de Autenticación de Microsoft", dijo la compañía de seguridad de correo electrónico.

Se evalúa que la actividad comparte superposiciones "fuertes" con una campaña documentada por Microsoft en febrero de 2025 bajo el nombre de Storm-2372, incluido el uso de mensajes o señuelos estilo Teams para engañar a víctimas desprevenidas para que ingresen un código de dispositivo proporcionado por el atacante, junto con sus credenciales, lo que permite efectivamente al actor de amenazas recuperar el token y secuestrar su cuenta.

A pesar de estas similitudes, se evalúa que los actores de amenazas están empleando técnicas de estilo Storm-2372 a través de lo que se ha descrito como una capa de herramientas reutilizable llamada DEBULL.

El phishing de código de dispositivo se refiere a una técnica de robo de identidad en la que los atacantes explotan un mecanismo de autenticación OAuth 2.0 legítimo, específicamente el flujo de concesión de autorización de dispositivo, para evitar la autenticación multifactor (MFA) y obtener acceso persistente a la cuenta sin tener que robar las contraseñas de los usuarios.

A diferencia de los ataques de phishing tradicionales que requieren que los operadores configuren páginas de inicio de sesión falsas de adversario en el medio (AitM), el phishing de código de dispositivo se basa en manipular a un usuario para que complete un mensaje de autenticación real y confiable.

La autenticación de código de dispositivo, según Microsoft, es un flujo OAuth legítimo diseñado para dispositivos con interfaces limitadas, como televisores inteligentes o impresoras, que no pueden admitir un inicio de sesión interactivo tradicional. En este escenario, al usuario se le presenta un código corto en el dispositivo desde el que intenta iniciar sesión y se le solicita que ingrese ese código en un navegador web en un dispositivo separado para completar la autenticación.

Los actores de amenazas han abusado de esta separación para insertarse e iniciar el flujo de autenticación. Luego, comparten ese código con el objetivo a través de un señuelo de phishing. Así, cuando el usuario ingresa el código, autoriza la sesión del actor de la amenaza sin su conocimiento, otorgándole acceso a la cuenta.

"El phishing del código del dispositivo no se abre paso. Utiliza un flujo de autenticación legítimo para atravesar la puerta principal, sin necesidad de contraseña, sin pasar por MFA y con tokens de sesión entregados directamente al atacante", informa Huntress

Los ataques exitosos de phishing de código de dispositivo pueden facilitar la apropiación total de la cuenta, el robo de información valiosa, el fraude, el compromiso del correo electrónico empresarial (BEC), el movimiento lateral dentro de un entorno comprometido e incluso ataques disruptivos como el ransomware.

"En la mayoría de los ataques de phishing de código de dispositivo actuales, el código se genera dinámicamente cuando un usuario hace clic en el enlace de phishing inicial. Este cambio aparentemente pequeño permite al usuario ver el correo electrónico en cualquier momento para iniciar la cadena de ataque", dijo Proofpoint en un análisis publicado en mayo de 2026. "Estas nuevas implementaciones de las cadenas de ataque de código de dispositivo se pueden comprar a través de ofertas de phishing como servicio (PhaaS), como EvilTokens o Tycoon, o pueden ser creadas y propiedad de el actor de amenazas que dirige las campañas".

También se sabe que estas campañas aprovechan el salto de toma de control de cuenta (ATO), una técnica en la que un atacante compromete una cuenta de correo electrónico inicial y luego abusa de ella para enviar enlaces de phishing a un conjunto más amplio de contactos en forma de botón, texto con hipervínculo, incrustado en un documento o código QR. Los enlaces, cuando son visitados por el destinatario, inician una secuencia de ataque que emplea el proceso de autorización de dispositivos de Microsoft.

ZeroBEC dijo que la campaña que observó implica el uso de pretextos de pago y carpetas compartidas en correos electrónicos de phishing para engañar a las víctimas para que hagan clic en una URL que las lleva a un sitio web de alquiler croata legítimo pero comprometido, que, a su vez, actúa como un orquestador de códigos de dispositivos utilizado para iniciar la cadena de desafío de códigos de dispositivos de Microsoft.

El flujo de trabajo se caracteriza por la presencia de marcadores de desarrollador en idioma turco, aunque las pistas no son suficientes para atribuir definitivamente la procedencia de la campaña. Un análisis más detallado de la infraestructura ha revelado que DEBULL es probablemente una plataforma de phishing como servicio (PhaaS) que utiliza GraphSpy o un flujo de trabajo derivado de GraphSpy para Microsoft 365 y Entra después de la explotación.

"Los operadores pueden definir un nombre de página y un slug, editar HTML, CSS y JavaScript directamente y luego elegir cómo se publica el señuelo", dijo ZeroBEC. "Las plantillas integradas incluían una página de autenticación de código de dispositivo de Microsoft 365, una página de devolución de llamada de OAuth y una página de inicio moderna. La plantilla de Microsoft 365 es especialmente importante porque expone el bloque de construcción exacto utilizado por la campaña: una visualización del código de usuario, un comportamiento de copia de código y un vínculo para iniciar sesión en el dispositivo de Microsoft".

"La conclusión más útil es que el arte de identidad al estilo Storm-2372 ahora se está empaquetando en una infraestructura de corredor reutilizable. DEBULL proporciona la capa orientada a la campaña y al operador. GraphSpy o el código derivado de GraphSpy probablemente maneja la capa posterior a la autenticación. El señuelo se puede cambiar sin cambiar la pila de identidades del backend".

Cisco Talos también identificó un panel de operador PhaaS con todas las funciones llamado ARToken que comparte infraestructura, contratos API y patrones operativos con la plataforma de phishing de código de dispositivo EvilTokens y está disponible para los afiliados.

"El panel ARToken expone más de 80 puntos finales API para phishing de códigos de dispositivos, persistencia de tokens de actualización primaria (PRT), acceso a correo electrónico, operaciones de compromiso de correo electrónico empresarial (BEC) y exfiltración de SharePoint, todo accesible para los operadores a través de un panel basado en React", dijo Talos.

EvilTokens, como DEBULL, permiten a los atacantes utilizar tokens recolectados como armas para filtrar correos electrónicos, archivos y otros datos confidenciales de cuentas de Microsoft comprometidas, realizar reconocimientos a través de la API Microsoft Graph y establecer acceso persistente. Además, incorpora funciones impulsadas por inteligencia artificial (IA) para automatizar y escalar los flujos de trabajo de BEC, como examinar miles de correos electrónicos recopilados, identificar hilos de correo electrónico relacionados con finanzas y redactar borradores de correos electrónicos de BEC.

ARToken funciona como un conjunto de herramientas completo posterior al compromiso que permite a los operadores aprovechar el token de acceso capturado recuperado luego de una autenticación exitosa del código del dispositivo para mantener el acceso, realizar operaciones de correo electrónico, acceder a OneDrive y SharePoint, y explorar las sesiones de Microsoft 365 de las víctimas fuera del panel utilizando una herramienta dedicada conocida como ARTBrowser.

"Estas características indican que la plataforma es más madura que un simple kit de phishing de código de dispositivo: es un entorno de operaciones BEC completo", dijo el investigador de Talos, Michael Kelley.

El aumento de los ataques de phishing de códigos de dispositivos también ha llevado a otros kits PhaaS como Tycoon 2FA a adoptar la técnica para secuestrar cuentas de Microsoft 365 en su recuperación luego de una operación policial, lo que indica un cambio más amplio dentro del panorama de amenazas.

"Los operadores de Tycoon 2FA han reutilizado su kit PhaaS existente como marco de entrega para el phishing de concesión de código de dispositivo OAuth", señaló eSentire en mayo de 2026. "El ataque comienza cuando una víctima hace clic en una URL de seguimiento de clics de Trustifi en un correo electrónico atractivo y culmina cuando la víctima, sin saberlo, otorga tokens OAuth a un dispositivo controlado por un atacante a través del flujo legítimo de inicio de sesión del dispositivo de Microsoft en microsoft.com/devicelogin."

Fuente: THN

Phishing "moderno" I: EvilTokens obtiene accesos abusando de un mecanismo legítimo

Esta novedosa campaña de phishing, detectada por el equipo de Sekoia y con gran actividad en marzo de 2026, ya no se vale de un mail falso, una página clonada y del robo de credenciales.

En este esquema, es la víctima la que ingresa a un sitio real, interactúa con la infraestructura legítima de Microsoft, donde el proceso de autenticación utiliza servicios oficiales: la autenticación es válida y es la propia víctima quien autoriza el acceso. El ciberatacante no roba la contraseña para ingresar, sino que obtiene tokens de sesión legítimos emitidos por el proveedor de identidad.

De este modo, el ciberatacante obtiene una sesión legítima, autenticada correctamente, con el multifactor de autenticación (MFA) aprobado y hasta emitida por Microsoft. Y todo ello sin la necesidad de robar una contraseña o vulnerar a la plataforma, ya que es la víctima quien autoriza el acceso.

¿Qué es EvilTokens?

EvilTokens es una plataforma de Phishing as a Service que busca comprometer cuentas de Microsoft 365, incluso aquellas con multifactor de autenticación activado, abusando del flujo de código de dispositivo OAuth.

Los cibercriminales engañan a la víctima para que completen el proceso de autenticación en las páginas oficiales de inicio de sesión de Microsoft. De esta forma logran acceder a los recursos y datos sin levantar sospechas, como si se tratara de una actividad habitual de la víctima.

Esta campaña, activa desde al menos febrero de 2026, circula a través de canales de Telegram. Solo durante marzo, según publica Huntress, afectó casi 350 organizaciones, con especial foco en Estados Unidos, Canadá, Australia, Nueva Zelanda y Alemania.

Desde mediados de marzo de 2026, Microsoft observó el lanzamiento de entre 10 y 15 campañas distintas cada 24 horas.

El ataque: paso a paso

Para comprender de qué manera opera EvilTokens, detallaremos el paso a paso del ataque.

1. Validación

El ciberatacante, primero, verifica si la cuenta realmente existe. ¿Cómo? A través de una función legítima de Microsoft, que permite confirmar su existencia. Este reconocimiento previo suele hacerse varios días antes del phishing, para asegurarse de atacar únicamente cuentas válidas y aumentar las chances de éxito.

2. Inicio de autenticación

El ciberdelincuente genera un pedido de acceso legítimo, valiéndose del flujo OAuth Device Code de Microsoft. Dicho de una manera más llana, "abre" una sesión para la cual Microsoft genera un código temporal, que queda a la espera de la autorización. Esto es clave: ese código es el que queda asociado a la sesión del ciberatacante.

3. El engaño

Luego, el ciberatacante envía a la víctima un mensaje convincente a través del correo, una invitación, un supuesto documento o una alerta corporativa. Para eso utiliza frases anzuelo del tipo "Complete la validación en Microsoft", "Tienes un documento pendiente", "Firma requerida", entre otras excusas.

4. Ingreso a Microsoft

Si la víctima cae en el engaño y hace clic en el enlace, será redirigida al portal real de Microsoft, donde tanto el dominio como el flujo de autenticación son genuinos, lo que hace que el ataque resulte especialmente convincente.

5. Ingreso del código

Este paso es crítico, ya que el código NO pertenece a una acción iniciada por la víctima, sino a la sesión que inició previamente el ciberatacante. Así, y sin saberlo, la víctima está vinculando su cuenta a la sesión del actor malicioso.

6. Aprobación del acceso

Debido a la acción que se desencadena tras el ingreso del código, Microsoft interpreta que el usuario autorizó esta sesión. Por ello, emite access tokens (credenciales temporales que permiten acceder a una cuenta ya autenticada sin volver a ingresar usuario y contraseña) y refresh tokens (de mayor duración, que permiten generar nuevos access tokens de forma automática). La mala noticia es que esos tokens se entregan a la sesión que controla el ciberatacante.

La clave del ataque de EvilTokens

OAuth Device Code Flow, esa es la clave del éxito del ataque de EvilTokens. O, mejor dicho, el abuso de ese mecanismo legítimo de autenticación de Microsoft.

Diseñado para dispositivos con capacidades limitadas (léase Smart TVs, impresoras o equipos IoT), permite iniciar sesión manualmente en los casos en los que puede resultar incómodo.

¿Cómo funciona? Un dispositivo solicita el código, el usuario ingresa a la página de Microsoft e introduce el código recibido. Luego, Microsoft valida la autenticación y emite tokens de acceso para el dispositivo.

El problema aparece cuando el flujo es abusado por un ciberatacante, el cual logra generar device codes para luego distribuirlos a través de campañas de phishing.

Si la víctima no identifica que se trata de un engaño e ingresa el código en el portal legítimo, Microsoft entregará tokens válidos, pero asociados a la sesión controlada por el ciberatacante.

¿Por qué EvilTokens es tan peligroso?

EvilTokens es especialmente peligroso porque no presenta las "banderas rojas" clásicas del phishing: no utiliza dominios sospechosos ni presenta errores visuales o gramaticales. Por el contrario, todo en el flujo es técnicamente legítimo: el sitio, el MFA y el proceso de autenticación.

Dicho en otras palabras, al ocurrir dentro de la infraestructura de Microsoft, la víctima confía y no sospecha que se trata de un engaño.

Otro punto crítico sobre la peligrosidad de EvilTokens es que, cuando el ataque es efectivo, el cibercriminal obtiene acceso persistente a correos electrónicos y documentos corporativos, lo que abre la posibilidad concreta de realizar fraudes especialmente dirigidos o del tipo business email compromise (BEC).

En este contexto, no resulta casual que las áreas predilectas a las que apuntan los cibercriminales sean los departamentos de Finanzas, Recursos Humanos, Logística, así como también cargos ejecutivos.

Fuente: WeLiveSecurity

7 jul 2026

Arresto de delincuente abre discusión sobre posibilidades de rastreo de dispositivos Windows

El FBI utilizó un identificador de dispositivo de Microsoft, denominado GDID, para vincular a un adolescente con un ataque informático atribuido a Scattered Spider, lo que generó preocupación sobre la privacidad y las capacidades de vigilancia de Windows.

El grupo habría estado implicado en más de 100 intrusiones, obteniendo más de 100 millones de dólares en rescates. En el caso que se le atribuye el hacker detenido no se consiguió rescate alguno, pese a que la demanda era de 8 millones de dólares. Eso sí, se ha confirmado que la empresa de joyas de lujo sufrió al menos 2 millones de dólares en pérdidas por interrupción del negocio, investigación y mitigación.

Según una denuncia federal sustitutiva presentada en el Distrito Norte de Illinois, se utilizó un identificador persistente de dispositivo de Microsoft para desenmascarar a un presunto operador de Scattered Spider. Peter Stokes, de 19 años, con doble nacionalidad estadounidense y estonia, quien supuestamente usaba los alias "Bouquet", "Spencer" y "Jordan", fue arrestado en Finlandia el 10 de abril de 2026, cuando intentaba abordar un vuelo a Japón.

Los fiscales alegan que es miembro de Scattered Spider, también conocido como Octo Tempest, UNC3944 y 0ktapus, un grupo vinculado a más de 100 intrusiones y pagos de rescate por más de 100 millones de dólares.

La detención de un joven ha revelado que Microsoft puede rastrear un PC con Windows y su actividad en línea mediante un "Identificador Global de Dispositivo" que, al parecer, no permite desactivarlo fácilmente, lo que ha generado temores sobre una posible vigilancia.

La semana pasada, Estados Unidos anunció la extradición de Peter Stokes, de 19 años, desde Europa, por presuntamente pertenecer al conocido grupo de hackers Scattered Spider. Sin embargo, el caso destaca porque Microsoft desempeñó un papel clave al vincular a Stokes con los presuntos delitos informáticos, según una denuncia penal que se hizo pública.

Al parecer, Stokes hackeó una joyería de lujo (cuyo nombre no se ha revelado) en mayo de 2025 utilizando una VPN. Finalmente, se extrajeron datos utilizando Teleport.sh y Amazon S3, por un total de al menos 77 GB, seguido de una amenaza de despliegue de ransomware y una demanda de extorsión de 8 millones de dólares que quedó impaga.

La denuncia penal de 39 páginas revela que el FBI utilizó los registros de Microsoft para descubrir que su dirección IP estaba asociada a un identificador de dispositivo de Microsoft conocido como ID Global de Dispositivo (GDID).

"Según un representante de Microsoft, un ID Global de Dispositivo en el ecosistema de Windows es un identificador persistente a nivel de dispositivo, diseñado para identificar de forma única una instalación del sistema operativo Windows en un dispositivo, ya sea físico (por ejemplo, un teléfono móvil o un portátil) o virtual, en determinados servicios y escenarios de Microsoft", explica la denuncia.

El ID Global de Dispositivo no resulta sorprendente, dado que es práctica habitual asignar un ID único a cada cuenta o dispositivo para que un proveedor de tecnología pueda reconocerlos y distinguirlos. Sin embargo, la denuncia revela que Microsoft puede asociar el GDID con servicios de terceros y también con la hora de uso, lo que le permite, en teoría, rastrear la actividad en línea de un usuario. En otras palabras, Microsoft podría rastrear la actividad en línea de su PC con Windows sin necesidad de cookies de navegador de terceros.

Se descubrió que Stokes estaba utilizando la herramienta ngrok para eludir las defensas de la red de la joyería. La denuncia indica que Microsoft tenía registros que mostraban que el 12 de mayo de 2025, a las 19:21 UTC, el GDID asociado al ordenador de Stokes "accedió, entre otras páginas de ngrok, a https://dashboard[.]ngrok.com/signup, la página de ngrok para crear una cuenta".

El documento añade que los registros de Microsoft también mostraban que el GDID accedió a "múltiples sitios" desde servidores de Tzulo, un proveedor de alojamiento web, para facilitar el ataque.

Por lo tanto, el hecho de que los investigadores federales usaran el identificador de Microsoft para atrapar a un presunto delincuente genera preocupación por su posible uso indebido con otros fines de vigilancia.

El identificador del dispositivo se menciona brevemente en esta página de soporte, pero Microsoft no se ha pronunciado públicamente al respecto. Según la denuncia penal, un usuario de Windows puede restablecer el GDID por sí mismo, aunque no es sencillo. "Un GDID se mantiene constante tras las actualizaciones del sistema operativo Windows en un dispositivo, pero una reinstalación de Windows, ya sea en el mismo dispositivo o en otro, se vinculará a un nuevo GDID único", indica el documento judicial. En una nota a pie de página, añade: "Por lo tanto, un usuario de Microsoft podría tener varios GDID".

¿Se puede desactivar el GDID?

No hay una forma clara y oficial de desactivar el GDID de Windows desde los ajustes del sistema. De hecho, Microsoft no ofrece ningún tipo de información al respecto en sus webs oficiales de soporte. Lo que sí existen son aplicaciones de terceros que permiten reducir la telemetría, bloquear servicios de diagnóstico, desactivar identificadores publicitarios, limitar experiencias personalizadas o impedir conexiones automáticas a ciertos servidores de Microsoft.

Entre las aplicaciones más populares tenemos, WinDebloatO&O ShutUp10++, WPDPrivatezilla, DoNotSpyMajorPrivay, WinTenPrivacy, y BlackBird que se han hecho un hueco entre muchos usuarios de Windows 11. Estas permiten modificar opciones de privacidad, diagnóstico, anuncios, permisos de aplicaciones, historial de actividad o sincronización desde una misma pantalla.

Fuente: PCMag

4 jul 2026

Vulnerabilidad BlueHammer de Windows es explotada por bandas de ransomware

CISA confirmó que grupos de ransomware han comenzado a explotar una vulnerabilidad de escalamiento de privilegios de alta gravedad en Microsoft Defender, la cual ya se había utilizado en ataques de día cero.

La vulnerabilidad, denominada BlueHammer (CVE-2026-33825), fue filtrada a principios de abril por un investigador de seguridad conocido como "Nightmare Eclipse", junto con un código de prueba de concepto para su explotación, en protesta por la forma en que el Centro de Respuesta de Seguridad de Microsoft (MSRC) gestiona el proceso de divulgación.

"La insuficiente granularidad del control de acceso en Microsoft Defender permite que un atacante autorizado eleve sus privilegios localmente", explica Microsoft en un aviso de seguridad.

Will Dormann, analista principal de vulnerabilidades en Tharros, declaró que, si bien la vulnerabilidad no es fácil de explotar, permite a los atacantes locales acceder a la base de datos del Administrador de Cuentas de Seguridad (SAM), que contiene los hashes de las contraseñas de las cuentas locales.

Con este acceso, pueden escalar a privilegios de SYSTEM y potencialmente tomar el control total del sistema objetivo. "En ese momento, [los atacantes] básicamente controlan el sistema y pueden hacer cosas como generar una shell con privilegios de SYSTEM", dijo Dormann.

Microsoft corrigió la vulnerabilidad el 14 de abril como parte de la actualización de seguridad de abril de 2026. Sin embargo, días después, investigadores de seguridad de Huntress Labs revelaron que ciberdelincuentes la habían estado explotando como una vulnerabilidad de día cero en ataques que mostraban evidencia de actividad directa del atacante.

Durante los últimos meses, Nightmare Eclipse ha revelado múltiples exploits de día cero para Windows, incluyendo las vulnerabilidades BlueHammer, MiniPlasma, RedSun, UnDefend, YellowKey, RoguePlanet, GreenPlasma. Algunas de estas vulnerabilidades afectan a Microsoft Defender, mientras que otras tienen como objetivo BitLocker y componentes de Windows.

Microsoft corrigió las vulnerabilidades de seguridad GreenPlasma, MiniPlasma y YellowKey hace tres semanas como parte de las actualizaciones de seguridad de junio de 2026.

La CISA añadió la vulnerabilidad BlueHammer a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 22 de abril, ordenando que se actualizaran los dispositivos Windows para protegerse contra los ataques en curso de la vulnerabilidad CVE-2026-33825 en un plazo de dos semanas, hasta el 7 de mayo.

Si bien Microsoft aún no ha identificado esta vulnerabilidad como explotada en ataques, la CISA también la ha señalado como explotada en campañas de ransomware en una actualización del Catálogo KEV publicada el lunes.

Fuente: BC

3 jul 2026

"Bad Epoll" permite a los usuarios sin privilegios obtener root en Linux y Android

Una falla del kernel de Linux recientemente revelada llamada Bad Epoll (CVE-2026-46242) permite a un usuario común y corriente sin acceso especial tomar el control total de una máquina como root. Afecta a los escritorios, servidores y Android de Linux, y ya existe una solución.

Bad Epoll se encuentra en el mismo pequeño tramo de código del kernel donde el modelo de IA más poderoso de Anthropic, Mythos, encontró recientemente un error diferente.

Epoll es una característica estándar de Linux que permite a un programa observar muchos archivos o conexiones de red a la vez. Los servidores, los servicios de red y los navegadores web se basan en él. No puedes simplemente apagarlo.

Jaeyoung Chung presentó la falla como un día cero al programa kernelCTF de Google, y los detalles técnicos completos se encuentran en su artículo público. No hay señales de que se haya utilizado en ataques reales: al momento de escribir este artículo, no está en la lista de vulnerabilidades explotadas conocidas de CISA, y el único código que funciona es la prueba de concepto de kernelCTF. Aún se está desarrollando una versión para Android del exploit.


Bad Epoll es un error de "uso después de la liberación". Dos partes del kernel intentan limpiar el mismo objeto interno al mismo tiempo. Uno libera la memoria mientras el otro sigue escribiendo en ella. Esa breve colisión permite que un atacante corrompa la memoria del kernel y luego pase de una cuenta normal a root.

El problema es el tiempo. La ventana donde chocan los dos caminos tiene sólo seis instrucciones de máquina de ancho, por lo que un intento aleatorio casi nunca aterriza en ella. El exploit amplía esa ventana y lo reintenta sin fallar, alcanzando root aproximadamente el 99% de las veces en los sistemas probados.

Dos cosas lo hacen más peligroso: según su cuenta, puede activarse desde dentro del entorno limitado de procesamiento de Chrome, que bloquea casi todos los demás errores del kernel, y puede llegar a Android, algo que la mayoría de los errores de privilegios de Linux no pueden.

Ambos errores se remontan a un único cambio de 2023 en el código epoll. Chung dice que Mythos encontró el primero de los dos, ahora rastreado como CVE-2026-43074, con un aterrizaje fijo a principios de 2026.

Anthropic ha dicho por separado que Mythos encontró errores de escalamiento de privilegios en el kernel de Linux, aunque no ha vinculado públicamente ese trabajo con Bad Epoll. Encontrar el primero fue un resultado real, porque los errores en las condiciones de carrera son notoriamente difíciles de detectar.

Epoll no se puede desactivar, por lo que no existe ninguna solución, se debe aplicar la actualización de su distribución cuando llegue. Los kernels creados con la versión 6.4 o posterior se ven afectados a menos que ya tengan la solución. Los kernels más antiguos basados ​​en 6.1, incluidos algunos teléfonos Android como el Pixel 8, no lo son, porque el error llegó en 6.4.

Fuente: THN

2 jul 2026

El malware Umbrij abusa de OAuth para acceder a Gmail a través de la API de Google.

El grupo de ciberdelincuentes conocido como ToddyCat ha sido atribuido a un nuevo malware llamado Umbrij, diseñado para obtener acceso subrepticio al GMail de las víctimas a través de la API de Google.

"En esta campaña, los atacantes centraron su atención en las comunicaciones de correo electrónico corporativas alojadas en Gmail, con el objetivo de comprometer el acceso a través de las API", afirmó Kaspersky en un informe detallado publicado esta semana. "Dado que la API de Google se basa en el protocolo OAuth 2.0 para la autorización, las aplicaciones pueden usar un token OAuth para acceder a los recursos de correo electrónico solicitados".

Se cree que el atacante desarrolló Umbrij para obtener este token y usarlo para conectarse a la consola de administración del navegador en modo sin interfaz gráfica (headless mode) a través de un puerto de depuración remota.

Posteriormente, se emitieron varias solicitudes para obtener un código de autorización OAuth, que luego se intercambió por un token de acceso para acceder a los recursos objetivo a través de la API. Esta técnica ha sido denominada "Shadow Token via Remote Debug" (STRD) por el proveedor ruso de ciberseguridad.

Lo más destacable de este ataque es que funciona en navegadores basados ​​en Chromium y aprovecha una sesión activa de Gmail. En otras palabras, la idea es ejecutar el navegador en modo sin interfaz gráfica, conectarse a través del puerto de depuración remota para tomar el control y utilizar una sesión de Gmail ya iniciada para acceder a los recursos de la cuenta de Google.

Se han descubierto tres versiones diferentes de Umbrij, incluyendo versiones con funciones auxiliares para la depuración y para buscar y seleccionar cuentas de usuario dentro del navegador.

ToddyCat es el nombre asignado a una amenaza persistente avanzada (APT) que ha atacado a diversas organizaciones en Europa y Asia desde al menos 2020. En noviembre de 2025, Kaspersky detalló el uso que hizo el grupo de una herramienta personalizada llamada TCSectorCopy para obtener datos de correo electrónico de Microsoft Outlook pertenecientes a las empresas objetivo.

La empresa de ciberseguridad declaró haber descubierto Umbrij durante una operación de búsqueda de amenazas, en la que se utilizó una tarea programada que suplantaba la identidad de su software ("KasperskyEndpointSecurityEDRAvp") para ejecutar un archivo firmado digitalmente. Este archivo, a su vez, ejecutó Umbrij mediante la carga lateral de DLL.

Para lograrlo, se aprovecharon tres binarios legítimos vulnerables a la carga lateral de DLL:

  • BDSubWiz.exe, un componente del Asistente de Envío de Bitdefender ConnectAgent;
  • VSTestVideoRecorder.exe, un componente de la herramienta de grabación de vídeo utilizada para realizar pruebas con Microsoft Visual Studio;
  • GoogleDesktop.exe, una aplicación de búsqueda de escritorio de Google ya descontinuada que se utilizaba para indexar archivos y realizar búsquedas rápidas en un equipo Windows local.

Independientemente del ejecutable utilizado, el resultado final es el mismo: la ejecución de la DLL maliciosa de Umbrij, escrita en .NET y ofuscada con ConfuserEx, un ofuscador de código abierto. La herramienta también puede ejecutarse mediante parámetros de línea de comandos que especifican los navegadores a los que dirigirse (Google Chrome o Microsoft Edge), le indican que guarde una captura de pantalla del perfil de usuario como archivo PDF y proporcionan el nombre de usuario del sistema con el que se ejecutará la herramienta.

Umbrij, al igual que la mayoría de las herramientas del conjunto de herramientas de ToddyCat, registra sus acciones en detalle y las guarda en un archivo. También guarda el código de autorización recuperado en este archivo de registro, que el operador posteriormente extrae del host comprometido."

"El código de autorización obtenido se intercambia por un token de acceso OAuth. Los ciberdelincuentes utilizan ese token para conectarse a la cuenta de Gmail a través de la API, comprometiendo así las comunicaciones de correo electrónico corporativas."

Para contrarrestar la amenaza, se recomienda revisar los códigos de autorización otorgados a las aplicaciones accediendo a "myaccount.google[.]com/connections" y buscando aplicaciones llamadas "Google Workspace Migration for Microsoft Outlook" o "Google Workspace Sync for Microsoft Outlook". Si alguna de estas aplicaciones está presente y no se utiliza en la organización, es fundamental revocar su acceso para invalidar los tokens OAuth.

"El grupo APT ToddyCat continúa buscando formas de comprometer las comunicaciones de correo electrónico corporativas", afirmó Andrey Gunkin, analista sénior de malware en Kaspersky. Su nueva herramienta, Umbrij, automatiza los intentos de los atacantes por acceder a las cuentas de correo electrónico de las organizaciones. Esta automatización no solo contribuye a aumentar la escala y la frecuencia de sus ataques, sino que también demuestra la gran motivación y las avanzadas habilidades técnicas de ToddyCat.

Fuente: THN

1 jul 2026

Ataque de fuerza bruta masivo contra CLI de Azure

Investigadores de ciberseguridad de Huntress han alertado sobre un ataque masivo, continuo y automatizado de fuerza bruta contra contraseñas dirigido a la interfaz de línea de comandos (CLI) de Azure de Microsoft, que ha comprometido decenas de cuentas.

Según Huntress, la actividad se origina en un rango de direcciones IPv6 (2a0a:d683::/32) controlado por el proveedor de infraestructura de internet LSHIY LLC (AS32167).

Entre el 12 y el 26 de junio, el atacante realizó más de 81 millones de intentos de inicio de sesión y logró comprometer al menos 78 cuentas de Microsoft en 64 organizaciones. "La estrategia de estos ataques parece basarse exclusivamente en la frecuencia de las contraseñas en las listas de combinaciones de contraseñas comprometidas, sin estar específica para ningún tipo de empresa o sector".

Lo que hace que este ataque de fuerza bruta sea relevante no es solo su magnitud, sino también el hecho de que muchas de las organizaciones afectadas tenían habilitadas las políticas de acceso condicional. En concreto, se ha descubierto que la campaña aprovecha un flujo de OAuth obsoleto llamado Credenciales de Contraseña del Propietario del Recurso (ROPC) para eludir las protecciones de la Política de Acceso Condicional (CAP).

ROPC es un tipo de concesión de OAuth 2.0 heredado en el que un usuario proporciona directamente su nombre de usuario y contraseña a una aplicación cliente, que luego envía estas credenciales a un servidor de autorización para intercambiarlas por un token de acceso. Se dejó de usar en OAuth 2.1.

En su documentación, Microsoft recomienda a los clientes no usar el flujo ROPC, argumentando que es incompatible con la autenticación multifactor (MFA).

"En la mayoría de los casos, existen alternativas más seguras que se recomiendan. Este flujo requiere un alto grado de confianza en la aplicación y conlleva riesgos que no están presentes en otros flujos. Solo debe usarse cuando no sea viable usar flujos más seguros", afirma el gigante tecnológico.

Se dice que los ataques de fuerza bruta contra credenciales y tokens resultaron en un puñado de inicios de sesión exitosos por día entre el 12 y el 21 de junio de 2026, con un promedio de dos a cuatro cuentas comprometidas diariamente, con la excepción del 19 de junio, cuando se vieron comprometidas 12 cuentas de usuario (también conocidas como identidades). El ritmo constante cambió el 22 de junio, cuando 30 identidades de 23 empresas se vieron afectadas.

En total, 78 cuentas de usuario se vieron comprometidas en 64 organizaciones como parte de la campaña. La gran mayoría de los ataques de fuerza bruta contra contraseñas provino de LSHIY LLC. Algunas de las direcciones IP corresponden a Estados Unidos, mientras que otras corresponden a China.

"Estos ataques forman parte de una oleada generalizada de ataques de fuerza bruta contra credenciales en varios sistemas autónomos (ASN)", declaró Huntress, añadiendo que ha observado un aumento de más de 155 veces en el volumen de ataques de este tipo entre sus clientes. "Los ataques surgieron especialmente entre finales de mayo y principios de junio, con un promedio actual de aproximadamente 1964 ataques fallidos al mes por cada cliente protegido por Huntress".

La actividad parece centrarse específicamente en el uso de combinaciones antiguas de nombre de usuario y contraseña que ya habían sido vulneradas, pero que nunca se habían actualizado. El uso del vector ROPC permitió a los atacantes dirigirse a empresas que habían implementado la autenticación multifactor (MFA), pero que no la tenían configurada para gestionar los inicios de sesión ROPC de la CLI de Azure.

"ROPC se considera problemático por varias razones, pero una de ellas es que no ofrece compatibilidad con flujos de autenticación modernos como MFA o SSO. Esto significa que, como vimos en esta campaña, ROPC envía la contraseña directamente al punto final /token sin solicitar la autenticación multifactor de forma interactiva", explica Huntress.

Esto incluía escenarios en los que no se activaba la autenticación multifactor (MFA):

  • Aplicar la MFA solo para aplicaciones específicas, en lugar de para "Todas las aplicaciones en la nube", lo que impedía cubrir los inicios de sesión de la CLI de Azure utilizados por los ciberdelincuentes.
  • Aplicar la MFA solo para grupos de usuarios específicos, como los administradores.
  • Aplicar la MFA solo cuando las solicitudes se originaban en ubicaciones no confiables.

"Cabe destacar que ocho empresas afectadas por la campaña no contaban con ninguna política de autenticación multifactor (MFA): Si bien los ciberdelincuentes lograron acceder a pesar de tener MFA configurada, la conclusión no debe ser que MFA no funcione en absoluto; en cambio, las organizaciones deben asegurarse de que sus políticas de MFA estén configuradas correctamente para abordar el flujo de autorización utilizado en estos incidentes".

Para contrarrestar este tipo de ataque, se recomienda a las organizaciones que exijan MFA para todos los usuarios, todas las aplicaciones en la nube y todos los tipos de aplicaciones cliente al habilitar CAP, que restrinjan el acceso a la aplicación Azure CLI para usuarios que no sean administradores y que prioricen la respuesta según la validez de las credenciales.

Este ataque revela vulnerabilidades en los CAP que no se han configurado adecuadamente. Todavía existen posibles debilidades en la implementación de los CAP que pueden permitir que los ciberdelincuentes se filtren. Un error evidente es que los protocolos heredados como ROPC pueden eludir por completo algunos CAP mal configurados, ya que no pasan por el punto final de autorización donde se aplican las políticas.

El rango de direcciones IPv6 desde el que se originaron los ataques pertenece a LSHIY, un proveedor de infraestructura de internet registrado en Hong Kong, Wuhan (China) y Nueva York. También existen otros informes que indican que los rangos de IPv6 asociados con AS32167 y AS955, dos sistemas autónomos (ASN) operados por la empresa, se originan en China.

Fuente: THN

CitrixBleed: seis vulnerabilidades de NetScaler permiten la lectura de archivos y ataques de denegación de servicio

Ayer Citrix publicó actualizaciones de seguridad para solucionar múltiples fallos en NetScaler ADC (anteriormente Citrix ADC) y NetScaler Gateway (anteriormente Citrix Gateway) que podrían ser explotados por un atacante para facilitar la lectura arbitraria de archivos o provocar una denegación de servicio (DoS).

Las vulnerabilidades se enumeran a continuación:

  • CVE-2026-8451 (CVSS: 8.8): Vulnerabilidad de validación de entrada insuficiente que provoca una lectura excesiva de memoria cuando NetScaler ADC o NetScaler Gateway se configura como un IDP SAML.
  • CVE-2026-8452 (CVSS: 8.8): Vulnerabilidad de desbordamiento de memoria que provoca un comportamiento impredecible o erróneo y una denegación de servicio cuando el dispositivo se configura como una puerta de enlace o un servidor virtual AAA.
  • CVE-2026-8655 (CVSS: 8.8): Múltiples vulnerabilidades de desbordamiento de memoria que provocan un comportamiento impredecible o erróneo y una denegación de servicio cuando NetScaler ADC se configura como un balanceador de carga de tipo Oracle, un proxy DNS o una implementación de resolución recursiva DNS.
  • CVE-2026-10816 (CVSS: 7.7): Control externo del Vulnerabilidad de ruta de archivo que permite la lectura arbitraria de archivos sin autenticación cuando el acceso a NSIP, la IP de administración del clúster o SNIP con acceso de administración está habilitado.
  • CVE-2026-10817 (CVSS: 6.9): Vulnerabilidad de validación de entrada insuficiente que provoca una lectura excesiva de memoria cuando TCP TimeStamp está habilitado en el perfil TCP y asociado con el servidor virtual (de tipo LB, CS, VPN) o el servicio configurado en NetScaler.
  • CVE-2026-13474 (CVSS: 8.7): Vulnerabilidad de liberación de memoria faltante después del tiempo de vida efectivo que provoca una denegación de servicio mediante solicitudes HTTP/2 mal formadas cuando HTTP/2 está habilitado en el perfil HTTP y asociado con el servidor virtual (de tipo LB, CS, VPN) o el servicio configurado en NetScaler.

Se han publicado parches para las vulnerabilidades de seguridad en las siguientes versiones:

  • NetScaler ADC y NetScaler Gateway 14.1-72.61 y versiones posteriores
  • NetScaler ADC y NetScaler Gateway 13.1-63.18 y versiones posteriores de la versión 13.1
  • NetScaler ADC 14.1-FIPS, 14.1-72.61 FIPS y versiones posteriores de la versión 14.1-FIPS
  • NetScaler ADC 13.1-FIPS y 13.1-NDcPP, 13.1.37.272 y versiones posteriores de las versiones 13.1-FIPS y 13.1-NDcPP

En cuanto a la vulnerabilidad CVE-2026-13474, se recomienda a los clientes que actualicen sus configuraciones modificando el parámetro Http2SmallWndTimeout, que controla el tiempo de espera (en segundos) para las transmisiones HTTP/2 de ventana pequeña bloqueadas.

Para los dispositivos que utilizan perfiles HTTP estrictos, este parámetro tiene un valor predeterminado de 30 segundos. La solución se aplica inmediatamente después de la actualización.

Para los dispositivos que NO utilizan perfiles HTTP estrictos, el valor predeterminado es 0. En este caso, la simple actualización a las versiones que incluyen la solución no resolverá la vulnerabilidad por completo. Los clientes deben configurar manualmente Http2SmallWndTimeout a 30 segundos.

El comando para configurar este parámetro se muestra a continuación:

set ns httpProfile <profile_name> -http2SmallWndTimeout <value_in_seconds>

Cisco reconoció la labor de Michael Tucker del equipo XOR de JPMorgan Chase, Aliz Hammond de watchTowr y Maxim Suhanov por reportar las vulnerabilidades. No hay evidencia de que estos problemas se hayan explorado en entornos reales.

watchTowr Labs, en un informe técnico publicado junto con el boletín de Citrix, indicó que la vulnerabilidad CVE-2026-8451 se descubrió y reportó a finales de marzo de 2026 tras intentos de reproducir la CVE-2026-3055 (CVSS: 9.3), una vulnerabilidad independiente de validación de entrada insuficiente que se dio a conocer a principios de este año.

La empresa de ciberseguridad afirmó que la vulnerabilidad se origina en la forma en que NetScaler analiza las solicitudes de autenticación SAML y comparte la misma causa raíz que la vulnerabilidad de marzo de 2026, lo que provoca lecturas de memoria fuera de los límites al enviar solicitudes SAML mal formadas.

"Un aspecto que nos interesa destacar es que, a diferencia de la vulnerabilidad original CVE-2026-3055, que permitía la filtración de kilobytes de datos binarios, esta lectura excesiva interrumpe la lectura fuera de límites cuando se leen diversos caracteres de control, como NULL (o incluso >)", explicó el investigador de seguridad Hammond. "En la práctica, comprobamos que, variando la longitud de la solicitud, podíamos extraer consistentemente algunos bytes del servidor. Sin embargo, lo que debería preocuparnos es el panorama general: la tendencia, que sugiere claramente que la gestión de memoria sigue siendo vulnerable en los dispositivos Citrix NetScaler, hasta el punto de que incluso una configuración incorrecta accidental puede provocar la filtración de memoria".

En los últimos años, los dispositivos Citrix han sido un objetivo lucrativo para los ciberdelincuentes, quienes han explotado múltiples fallos de seguridad en su software para el despliegue de ransomware. Por ello, es fundamental que los usuarios apliquen los parches para una protección óptima.

Fuente: THN

29 jun 2026

Explotan activamente una vulnerabilidad crítica de Oracle E-Business Suite

Actores maliciosos están explotando activamente la vulnerabilidad CVE-2026-46817, una vulnerabilidad crítica de acceso remoto sin autenticación en Oracle E-Business Suite (EBS). Se detectó actividad de ataque en tiempo real en infraestructura honeypot durante el fin de semana del 27 y 28 de junio de 2026.

CVE-2026-46817 es una vulnerabilidad de gravedad crítica que reside en el producto Oracle Payments dentro de Oracle E-Business Suite, específicamente en el componente de transmisión de archivos. La vulnerabilidad tiene una puntuación base CVSS de 9.8 y permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa completamente Oracle Payments, lo que conlleva el control total de la confidencialidad, la integridad y la disponibilidad.

Esta vulnerabilidad de seguridad se descubrió en el componente de transmisión de archivos del producto Oracle Payments de EBS y permite que agentes maliciosos no autenticados con acceso a la red HTTP se apoderen de sistemas vulnerables mediante ataques de baja complejidad.

Las versiones afectadas abarcan desde Oracle E-Business Suite 12.2.3 hasta 12.2.15. El vector CVSS refleja la baja complejidad del ataque y la ausencia de requisitos de autenticación, lo que facilita su explotación a gran escala.

Aunque no existe código de prueba de concepto (PoC) público, esta es la primera explotación real conocida de esta vulnerabilidad, lo que indica que el atacante podría estar utilizando capacidades de explotación desarrolladas de forma privada.

El tráfico de ataque capturado en los honeypots de Defused reveló solicitudes POST dirigidas a /OA_HTML/ibytransmit, el punto final de transmisión de archivos de Oracle iPayment.

La IP del atacante, 45.84.137[.]125, operando a través de AS136787 PacketHub S.A. (Francia), se dirigió al puerto 443 y envió una carga útil XML DeliveryRequest manipulada.

La carga útil contenía un esquema de transmisión CODEX_PULL, con el parámetro FULL_FILE_PATH configurado en /etc/passwd, un indicador clásico de una cadena de explotación de lectura de archivos locales/recorrido de rutas diseñada para extraer archivos confidenciales del sistema.

Según Shadowserver, el 28 de junio se registraron un total de 456 ataques en todas las regiones monitorizadas, con Norteamérica (193) y Asia (181) concentrando la mayor parte del tráfico. Europa registró 53 ataques, Sudamérica 18, África 9 y Oceanía 2.

Oracle abordó la vulnerabilidad CVE-2026-46817 en su Actualización Crítica de Parches de Seguridad (CSPU), publicada el 28 de mayo de 2026. Esta actualización corrigió 35 vulnerabilidades CVE distintas en diversas familias de productos de Oracle, 11 de las cuales se clasificaron como críticas.

Oracle recomendó encarecidamente a todos sus clientes que aplicaran los parches inmediatamente después de su publicación. Posteriormente, el 16 de junio de 2026, se publicó una CSPU complementaria que reforzó la postura de Oracle respecto a las vulnerabilidades.

Las organizaciones que utilizan Oracle E-Business Suite deben actuar de inmediato:

  • Aplicar sin demora el parche CSPU de mayo de 2026 para las versiones 12.2.3 a 12.2.15 de EBS.
  • Bloquee o restrinja el acceso público a internet a las interfaces de Oracle EBS, en particular a la ruta /OA_HTML/.
  • Auditar los registros del servidor web en busca de solicitudes POST a /OA_HTML/ibytransmit con cargas útiles XML inusuales.
  • Investigar la IP del atacante (45.84.137[.]125) y la cadena User-Agent (ibytransmit-lab-poc/1.0) en los registros del firewall y del proxy.
  • Realizar una evaluación de la vulnerabilidad si la aplicación del parche se retrasó más allá del 28 de mayo de 2026.

Dada la ausencia de código PoC público y la aparición confirmada de herramientas de explotación privadas, las implementaciones de Oracle EBS sin parchear siguen expuestas a un grave riesgo de sufrir una vulneración total del sistema.

Fuente: CyberSecurityNews

28 jun 2026

Microsoft extiende el soporte gratuito de ESU para Windows 10 hasta octubre de 2027

El 14 de octubre de 2025, Windows 10 llegó al final del soporte y Microsoft ya no brinda soporte técnico, actualizaciones de funciones o actualizaciones de seguridad para el sistema operativo a menos que esté ejecutando una versión LTSC de Windows.

Para aquellos que no pueden actualizar a Windows 11, Microsoft originalmente ofreció a los consumidores un año adicional de actualizaciones de seguridad si se inscribían en un programa gratuito de actualizaciones de seguridad extendidas (ESU) que expiraría el 12 de octubre de 2026.

Ahora, Microsoft ha extendido silenciosamente su programa gratuito de Actualizaciones de seguridad extendidas (ESU) de Windows 10 para consumidores por un año adicional, lo que permite que los dispositivos inscritos continúen recibiendo actualizaciones de seguridad hasta el 12 de octubre de 2027.

El cambio se realizó sin un anuncio formal y, en cambio, apareció en actualizaciones de la documentación ESU de Windows 10 de Microsoft y como una "nota del editor" de una publicación del blog Windows Experience publicada ayer.

"Nota del editor – 25 de junio de 2026 – Esta publicación se actualizó para reflejar que el programa de Actualizaciones de seguridad extendidas (ESU) de Windows 10 para dispositivos de uso personal se proporciona por un año adicional, con cobertura ahora disponible hasta el 12 de octubre de 2027", se lee en la publicación de blog actualizada.

Esta extensión brinda a los clientes más tiempo para realizar la transición a una nueva PC con Windows 11 mientras continúan recibiendo actualizaciones de seguridad críticas.

Los clientes empresariales también podrían inscribirse en el programa ESU por hasta tres años, lo que eleva el costo total por dispositivo a $427 durante ese período.

Cuando se le preguntó por qué se amplió el programa ESU gratuito, Microsoft compartió la siguiente declaración con BleepingComputer: "Entendemos que pasar a una nueva PC puede llevar tiempo. Como parte de nuestro compromiso continuo de ayudar a los clientes a mantenerse seguros durante la transición, el programa de actualizaciones de seguridad extendidas (ESU) de Windows 10 para dispositivos personales se ofrece por un año adicional", explicó Microsoft.

Los consumidores pueden seguir recibiendo seguridad ampliada de forma gratuita utilizando uno de estos métodos:

  • Pagando $30.
  • Hacer una copia de seguridad de su configuración de Windows en su cuenta de Microsoft.
  • Canjear 1000 puntos de recompensa de Microsoft.
  • Los usuarios del Espacio Económico Europeo pueden recibir ESU de forma gratuita iniciando sesión en Windows 10 con una cuenta de Microsoft.

Microsoft dice que una licencia ESU se puede usar en hasta 10 dispositivos asociados con la misma cuenta de Microsoft, y los usuarios ya inscritos permanecerán cubiertos automáticamente hasta la nueva fecha final de octubre de 2027.

La compañía señala que el programa ESU para consumidores es solo para dispositivos personales y no está disponible para sistemas unidos a dominios de Active Directory, Microsoft Entra o administrados a través de Mobile Device Management (MDM). Sin embargo, los dispositivos registrados en Microsoft Entra son elegibles.

Fuente: BC