Google: "el desarrollo de Android será privado"

No es que Android sea realmente de código abierto, ya que Google fue cerrando poco a poco el sistema hasta dejar solo parte de él libre. Es lo que se conoce como AOSP, un software que puede utilizarse sin la autorización expresa de Google. Dicho AOSP lleva tiempo perdiendo relevancia para Google, que fue centrando el desarrollo clave en su rama interna: para sus dispositivos y los de sus socios. Ahora todo el desarrollo de Android se hará de forma privada.

Independientemente del fabricante, todos los teléfonos Android tienen algo en común: su base de software. Los fabricantes pueden personalizar en gran medida la apariencia del sistema operativo Android que incluyen en sus dispositivos, pero en esencia, la funcionalidad principal del sistema proviene de la misma base de código abierto: el Proyecto de Código Abierto de Android. Tras más de 16 años, Google está implementando importantes cambios en el desarrollo de la versión de código abierto de Android para optimizar su desarrollo.

Hablar de "Android puro" cuando vemos un Google Pixel es completamente falso, ya que el software que incluye el móvil está desarrollado específicamente para el dispositivo. La "pureza" queda solo para la rama libre del sistema, lo que se conoce como Android AOSP, un firmware sin excesivos artificios que fue perdiendo interés por parte de Google. No va a desaparecer, pero sí quedará casi como anécdota.

Siempre hemos tenido en mente que Android era un sistema operativo libre, así lleva vendiéndolo Google desde 2008. Registrado en la Open Handset Alliance como una iniciativa Open Source, lo cierto es que progresivamente fue perdiendo esta capacidad: Google lleva tiempo retrasando cada publicación AOSP para favorecer sus intereses y los de aquellos fabricantes que integran Android en sus dispositivos. Los denominados como "partners".

Si bien AOSP es una rama de software libre que cualquier fabricante y/o desarrollador puede aprovechar para crear sus propios productos, dicha rama no acostumbra a incluir las últimas novedades que Google va añadiendo a Android. Como decíamos, la publicación de cada AOSP es cada vez más tardía; por lo que no es de extrañar que Google decida restringir aún más estos lanzamientos.

Con la novedad avanzada por Android Authority, y que la propia Google confirmó con el desarrollador, el proceso de liberación de software cambia en la rama más abierta de Android. Así se resume dicho cambio:

• Antes. Parte del desarrollo de Android se hacía público a través de la rama AOSP, permitiendo que desarrolladores externos siguieran el progreso en tiempo real.
• Ahora. Todo el desarrollo se hará de forma privada y a nivel interno en Google. Una vez que se complete cada nueva versión el código fuente se publicará igualmente bajo AOSP.

Google quiere que Android se desarrolle completamente en privado para así aprovechar sus ventajas de cara a potenciar sus dispositivos y los de sus colaboradores. Este es un movimiento conservador y restrictivo que, sin embargo, tampoco cambia en exceso el panorama de las ROMs y de los fabricantes que usan AOSP: estos continuarán aprovechando el firmware ya publicado. El principal cambio es que las novedades ya no podrán seguirse en tiempo real; lo que restará transparencia al proceso.

Por más que AOSP no esté actualizado en la misma medida que el Android de los Google Pixel y compañía, eso no significa que la rama open source desaparezca: va a seguir manteniéndose.

Mishaal Rahman avanzó el giro de timón de Google y la empresa nos lo ha confirmado: Android se desarrollará a partir de ahora de forma privada. Es una mala noticia que Google deje de confiar en el software libre por más que tampoco suponga excesivos cambios para los usuarios.

A partir de la próxima semana, todo el desarrollo de Android se realizará en las ramas internas de Google, y el código fuente de los cambios solo se publicará cuando Google publique una nueva rama que los contenga. Como esta ya es la práctica habitual para la mayoría de los cambios en los componentes de Android, Google simplemente está consolidando sus esfuerzos de desarrollo en una sola rama.

Fuente: Xataka

Seguir leyendo...

Demuestran Jailbreaking para el LLM de DeepSeek

Investigadores de seguridad de la Unit 42 de PaloAlto han logrado que DeepSeek, un modelo de lenguaje grande (LLM) relativamente nuevo, genere instrucciones detalladas para crear keyloggers, herramientas de exfiltración de datos y otro contenido dañino.

DeepSeek, desarrollado por una organización de investigación de IA con sede en China, se ha convertido recientemente en un competidor destacado en el panorama de la IA. La compañía lanzó DeepSeek-V3 el 25 de diciembre de 2024, seguido de DeepSeek-R1 en enero de 2025.

El jailbreaking es una técnica que se utiliza para eludir las restricciones implementadas en los LLM y evitar que generen contenido malicioso o prohibido. Estas restricciones se conocen comúnmente como barandillas de seguridad. Los investigadores emplearon tres técnicas avanzadas de jailbreak para eludir las barreras de seguridad del modelo, lo que generó gran preocupación sobre el posible uso indebido de las tecnologías emergentes de IA.

Investigadores revelaron recientemente dos técnicas de jailbreaking novedosas y efectivas, denominadas Deceptive Delight y Bad Likert Judge. Dado su éxito con otros modelos de lenguaje grandes (LLM), probamos estas dos técnicas de jailbreaking y otra técnica de jailbreaking multi-turno, llamada Crescendo, con modelos DeepSeek.

La técnica Bad Likert Judge demostró ser particularmente eficaz contra DeepSeek. Este método implica que el LLM evalúe la nocividad de las respuestas mediante una escala de Likert y luego le pida que genere ejemplos alineados con estas calificaciones. Con una manipulación cuidadosa, los investigadores pudieron extraer código detallado para crear herramientas de exfiltración de datos, incluidos scripts de keylogger funcionales escritos en Python.

El modelo fue tan flexible que proporcionó orientación específica para configurar el entorno de desarrollo adecuado para crear keyloggers personalizados, incluyendo recomendaciones para las bibliotecas de Python necesarias. Los investigadores también lograron que DeepSeek generara plantillas detalladas de correo electrónico de phishing y sofisticadas estrategias de ingeniería social.

La técnica Crescendo, que guía progresivamente las conversaciones hacia temas prohibidos mediante una serie de indicaciones relacionadas, también demostró ser muy eficaz. A partir de preguntas históricas aparentemente inocuas sobre temas como los cócteles molotov, los investigadores pudieron extraer instrucciones detalladas paso a paso para crear dispositivos peligrosos en tan solo unas pocas interacciones.

Lo que hace a Crescendo particularmente preocupante es la rapidez con la que puede eludir los mecanismos de seguridad, requiriendo a menudo menos de cinco interacciones para lograr su objetivo.

Las respuestas de DeepSeek a estos intentos de jailbreaking fueron alarmantemente detalladas y prácticas. Más allá de los conceptos teóricos, el modelo proporcionó una guía práctica y completa que podría permitir actividades maliciosas.

Con indicaciones de seguimiento cuidadosamente elaboradas, el modelo proporcionó con facilidad instrucciones cada vez más detalladas y explícitas para diversas actividades dañinas.

Varios modelos simplificados derivados de estas versiones más grandes han ganado popularidad entre los usuarios que buscan alternativas de código abierto a los sistemas de IA establecidos.

Los investigadores probaron específicamente uno de los modelos simplificados de código abierto más populares y destacados de DeepSeek. Sin embargo, creen que las versiones alojadas en la web probablemente responderían de forma similar a las técnicas de jailbreak.

Los investigadores señalan que, si bien la protección completa contra todas las técnicas de jailbreak sigue siendo un desafío, los protocolos de seguridad adecuados pueden mitigar significativamente los riesgos.

Fuente: CyberSecurityNews

Seguir leyendo...

IngressNightmare: vulnerabilidades críticas del controlador NGINX permite RCE sin autenticación (con exploits)

Se han revelado cinco vulnerabilidades críticas de seguridad en el controlador Ingress NGINX para Kubernetes que podrían provocar la ejecución remota de código no autenticado, poniendo en riesgo inmediato a más de 6.500 clústeres al exponer el componente a la red pública de internet.

Las vulnerabilidades (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 y CVE-2025-1974), con una puntuación máxima CVSS de 9,8, han sido denominadas colectivamente como IngressNightmare por la firma de seguridad en la nube Wiz. Cabe destacar que estas vulnerabilidades no afectan al controlador Ingress NGINX, otra implementación del controlador Ingress para NGINX y NGINX Plus.

"La explotación de estas vulnerabilidades permite que los atacantes accedan sin autorización a todos los secretos almacenados en todos los espacios de nombres del clúster de Kubernetes, lo que puede resultar en la toma de control del clúster", declaró la compañía.

IngressNightmare, en esencia, afecta al componente del controlador de Ingress NGINX para Kubernetes. El controlador Ingress NGINX es una implementación de Ingress que utiliza NGINX como proxy inverso y balanceador de carga, lo que permite exponer rutas HTTP y HTTPS desde fuera de un clúster a los servicios dentro de él.

Es uno de los Ingress más populares y un proyecto fundamental de Kubernetes. Aproximadamente el 43% de los entornos en la nube son vulnerables a estas vulnerabilidades.

La vulnerabilidad se aprovecha del hecho de que los controladores de admisión, implementados dentro de un pod de Kubernetes, son accesibles a través de la red sin autenticación. En concreto, implica la inyección remota de una configuración arbitraria de NGINX mediante el envío de un objeto de entrada malicioso (también conocido como solicitudes AdmissionReview) directamente al controlador de admisión, lo que provoca la ejecución de código en el pod del controlador Ingress NGINX.

"Los privilegios elevados del controlador de admisión y la accesibilidad ilimitada a la red crean una ruta de escalamiento crítica", explicó Wiz. "Aprovechar esta falla permite a un atacante ejecutar código arbitrario y acceder a todos los secretos del clúster en todos los espacios de nombres, lo que podría llevar a la toma completa del clúster".

Las deficiencias se enumeran a continuación:

• CVE-2025-24513 (CVSS: 4,8): una vulnerabilidad de validación de entrada incorrecta que podría provocar un cruce de directorios dentro del contenedor, lo que provoca una denegación de servicio (DoS) o una divulgación limitada de objetos secretos del clúster cuando se combina con otras vulnerabilidades.
• CVE-2025-24514 (CVSS: 8,8): la anotación de Ingress auth-url puede utilizarse para inyectar configuración en NGINX, lo que resulta en la ejecución de código arbitrario en el contexto del controlador ingress-nginx y la divulgación de secretos accesibles para el controlador.
• CVE-2025-1097 (CVSS: 8,8): la anotación de Ingress auth-tls-match-cn puede utilizarse para inyectar configuración en NGINX, lo que resulta en la ejecución de código arbitrario en el contexto del controlador ingress-nginx y la divulgación de secretos accesibles para el controlador. Controlador
• CVE-2025-1098 (CVSS: 8,8): Las anotaciones de Ingress en el destino y el host del espejo pueden utilizarse para inyectar una configuración arbitraria en NGINX, lo que resulta en la ejecución de código arbitrario en el contexto del controlador Ingress-Nginx y la divulgación de secretos accesibles para el controlador.
• CVE-2025-1974 (CVSS: 9,8): Un atacante no autenticado con acceso a la red de pods puede ejecutar código arbitrario en el contexto del controlador Ingress-Nginx bajo ciertas condiciones.

En un escenario de ataque experimental, un atacante podría cargar una carga maliciosa en forma de biblioteca compartida al pod utilizando la función de búfer del cuerpo del cliente de NGINX, y posteriormente enviar una solicitud AdmissionReview al controlador de admisión.

Hillai Ben-Sasson, investigador de seguridad en la nube de Wiz, declaró que la cadena de ataque consiste esencialmente en inyectar una configuración maliciosa y utilizarla para leer archivos confidenciales y ejecutar código arbitrario. Esto podría permitir a un atacante abusar de una cuenta de servicio robusta para leer secretos de Kubernetes y, en última instancia, facilitar la toma de control del clúster.

En un aviso independiente, el Comité de Respuesta de Seguridad de Kubernetes indicó que todas las vulnerabilidades, con excepción de CVE-2025-1974, se refieren a mejoras en la forma en que Ingress NGINX gestiona ciertos parámetros de configuración. Por otro lado, la vulnerabilidad CVE-2025-1974 puede combinarse con otras vulnerabilidades para facilitar la toma de control del clúster sin requerir credenciales ni acceso administrativo.

Tras una divulgación responsable, las vulnerabilidades se han solucionado en las versiones 1.12.1, 1.11.5 y 1.10.7 del controlador Ingress NGINX. Se recomienda:

• Actualizar a la última versión del controlador NGINX de Ingress.
• Asegurar de que el punto final del webhook de admisión no esté expuesto externamente.
• Puede usar esta plantilla de Nuclei para comprobar si hay controladores de admisión Ingress-NGINX expuestos.

Como mitigación, se recomienda limitar el acceso al controlador de admisión únicamente al servidor de API de Kubernetes y deshabilitar temporalmente dicho componente si no es necesario.

Ya existe exploit públicos y los detalles técnicos se pueden encontrar en WIZ.

Fuente: THN

Seguir leyendo...

Ransomware LokiLocker activo en América Latina, borra datos definitivamente

Investigadores de BlackBerry Threat Intelligence descubrieron una cepa de ransomware relativamente nueva, probablemente originaria de Irán. Llamado LokiLocker, en honor al "dios nórdico de las travesuras", este ransomware está programado para borrar el disco y los datos de los equipos objetivo, eliminando así todos los archivos que no pertenecen al sistema y los registros de arranque (boot) si no se paga un rescate.

LokiLocker lleva activo desde mediados de agosto de 2021. Opera bajo un modelo de ransomware como servicio. BlackBerry afirmó que la cepa se vende a afiliados seleccionados y verificados. "Cada afiliado se identifica con un nombre de usuario y se le asigna un número de identificación de chat único. Actualmente, existen alrededor de 30 afiliados 'VIP' diferentes en las muestras de LokiLocker que los investigadores de BlackBerry han encontrado circulando".

El creciente uso de malware de borrado de discos en medio del conflicto entre Ucrania y Rusia ha animado a la banda de ransomware LokiLocker a utilizar malware similar en sus operaciones.  LokiLocker ahora va más allá del método de doble extorsión que se popularizó en los últimos dos años.

LokiLocker amenaza con borrar todos los archivos del sistema objetivo, además de cifrarlos, si la víctima no paga el rescate. Esto es posible gracias a una función de borrado opcional en la variante LokiLocker, que elimina todos los archivos que no son del sistema, eliminando así cualquier posibilidad de negociación. Sin embargo, los operadores/afiliados de LokiLocker dan a las víctimas un plazo para pagar el rescate antes de usar la función de borrado.

LokiLocker utiliza una combinación estándar de AES para el cifrado de archivos y RSA para la protección de claves para bloquear los archivos en el equipo objetivo.

Escrito en .NET y protegido con NETGuard mediante un complemento de virtualización llamado KoiVM, LokiLocker incluso sobrescribe el registro de arranque (MBR). El MBR es básicamente información que permite a un sistema localizar e iniciar el sistema operativo almacenado en el disco de un equipo. Sin el MBR, el disco queda inutilizado y no arranca, a menos que se recupere,

"La buena noticia" es que, al no exfiltrar datos de la organización, les impide filtrar públicamente información confidencial. Esto podría eliminar cualquier influencia adicional que quieran ejercer, pero a la banda de LokiLocker probablemente no le importe.

La imagen a continuación representa cómo se vería un ataque exitoso:

Los atacantes también publican un archivo HTA que, curiosamente, desaconseja pagar el rescate antes de descifrar algunos archivos de prueba. El grupo afirmó que descifraría tres archivos de prueba gratuitamente para demostrar su garantía de descifrado.

Los atacantes de ransomware que utilizan la cepa LokiLocker se dirigen principalmente a usuarios de PC con Windows de habla inglesa. El origen de LokiLocker sigue siendo desconocido, pero según los hallazgos de BlackBerry, que indican que las cadenas de depuración integradas contienen principalmente gramática sin errores y palabras en inglés correctamente escritas, es improbable que esta cepa se originara en Rusia y China.

BlackBerry afirmó que "algunas de las herramientas de cracking utilizadas para distribuir las primeras muestras de LokiLocker parecen haber sido desarrolladas por un equipo iraní llamado AccountCrack. Además, al menos tres de los afiliados conocidos de LokiLocker utilizan nombres de usuario únicos que se pueden encontrar en canales de hacking iraníes".

Además, el análisis de malware indica que la cepa LokiLocker impide que los sistemas iraníes sean cifrados y atacados. Por ello, esta cepa de ransomware parece haberse originado en Irán. O bien eso, o alguien está intentando culpar a los iraníes.

"Estos detalles complican aún más las cosas. Con estafadores y actores de amenazas, puede ser difícil distinguir entre una pista significativa y una bandera falsa, y nunca se puede estar seguro de hasta qué punto llega el engaño", añadió BlackBerry Threat Intelligence.

¿Se puede mitigar el impacto de LokiLocker?

Mitigar un ataque de LokiLocker es similar a mitigar cualquier tipo de ransomware: mantener una sólida estrategia de seguridad y realizar copias de seguridad de datos con regularidad. Dado que LokiLocker simplemente amenaza con borrar los datos de los sistemas objetivo sin exfiltrarlos ni presionar a la víctima para que los filtre, una copia de seguridad sin conexión a internet puede reducir el impacto.

NOTA: Actualmente no se conoce un descifrador para LokiLocker.

Fuente: Spiceworks

Seguir leyendo...

Convertidores de archivos falsos propagan malware

El FBI advierte que se están utilizando convertidores de documentos falsos en línea para robar información personal y, en el peor de los casos, para instalar ransomware en los dispositivos de las víctimas.

Aunque no todos los convertidores de archivos son malware, es fundamental investigarlos antes de usarlos y consultar las reseñas antes de descargar cualquier programa.

La advertencia llegó la semana pasada desde la oficina local del FBI en Denver, tras recibir un número creciente de informes sobre este tipo de herramientas. "La Oficina Local del FBI en Denver advierte que los agentes están detectando con cada vez mayor frecuencia estafas relacionadas con herramientas gratuitas de conversión de documentos en línea, y queremos animar a las víctimas a denunciar los casos de esta estafa", se lee en la advertencia.

El FBI afirma que los ciberdelincuentes están creando sitios web que promocionan herramientas gratuitas de conversión de documentos, descarga y fusión de archivos. En este caso, los delincuentes utilizan herramientas gratuitas de conversión de documentos en línea para instalar malware en los ordenadores de las víctimas, lo que provoca incidentes como el ransomware.

Para llevar a cabo esta acción, utilizan cualquier tipo de herramienta gratuita de conversión o descarga de documentos. Podría tratarse de un sitio web que afirma convertir un tipo de archivo a otro, como un archivo .DOC a un archivo .PDF. También podría afirmar combinar archivos, como unir varios archivos .JPG en uno solo .PDF. El programa sospechoso podría afirmar ser una herramienta de descarga de MP3 o MP4.

Si bien las herramientas en línea funcionan según lo anunciado, el FBI afirma que el archivo resultante también podría contener malware oculto que puede utilizarse para obtener acceso remoto al dispositivo infectado. El FBI también afirma que los documentos subidos pueden ser extraídos para obtener información confidencial, como nombres, números de seguro social, semillas de criptomonedas, frases de contraseña, direcciones de billetera, direcciones de correo electrónico, contraseñas e información bancaria.

"Los usuarios que antes buscan 'convertidor de archivos en línea gratuito' en un motor de búsqueda son vulnerables, ya que los algoritmos utilizados para los resultados ahora suelen incluir resultados de pago, que podrían ser fraudulentos".

Se sabe que los actores de amenazas utilizan estas herramientas para distribuir malware. La semana pasada, el investigador de ciberseguridad Will Thomas compartió algunos sitios que afirmaban ser convertidores de documentos en línea, como docu-flex[.]com y pdfixers[.]com.

Aunque estos sitios ya no están disponibles, distribuían ejecutables de Windows llamados Pdfixers.exe [VirusTotal] y DocuFlex.exe [VirusTotal], ambos detectados como malware.

Un investigador de ciberseguridad conocido por rastrear la infección de Gootloader también informó en noviembre sobre una campaña publicitaria de Google que promocionaba sitios web falsos de conversión de archivos. Estos sitios simulaban convertir archivos, pero en realidad provocaban la descarga del malware Gootloader. "Al visitar este sitio de WordPress (¡sorpresa!), encontré un formulario para subir un PDF y convertirlo a un archivo .DOCX dentro de un .ZIP", explicó el investigador.

"Pero tras pasar ciertas comprobaciones (ser de un país angloparlante y no haber visitado la misma subred de clase C en las últimas 24 horas), los usuarios reciben un archivo .JS dentro del .ZIP en lugar de un .DOCX genuino". Este archivo JavaScript es Gootloader, un cargador de malware conocido por descargar malware adicional, como troyanos bancarios, ladrones de información, descargadores de malware y herramientas de post-explotación, como Cobalt Strike o Havoc.

Utilizando estas cargas útiles adicionales, los actores de amenazas vulneran las redes corporativas y se propagan lateralmente a otros equipos. Ataques como estos han provocado ataques de ransomware en el pasado, como los de REvil y BlackSuit.

Si un sitio es relativamente desconocido, es mejor evitarlo por completo. Si utiliza un convertidor o descargador de archivos en línea, asegúrese de analizar cualquier archivo resultante del sitio, ya que, si es un ejecutable o JavaScript, sin duda es malicioso.

Fuente: BC

Seguir leyendo...

Revolución en Ubuntu: ¿dice adiós a GNU/Linux?

Canonical prepara una transformación importante en su sistema operativo de código abierto, con el objetivo de reforzar la seguridad y optimizar el rendimiento de Ubuntu.

Ubuntu, una de las distribuciones más longevas y utilizadas del ecosistema Linux, está a punto de experimentar uno de los mayores cambios en su historia. Durante años, su estabilidad han estado sustentadas por componentes del Proyecto GNU, pero ahora, Canonical —la compañía responsable de su desarrollo— ha confirmado un movimiento que va a suceder muy pronto.

A partir de la versión Ubuntu 25.10, la distribución comenzará a reemplazar las tradicionales coreutils de GNU. Esto significa que comandos esenciales como ls, cp o rm, que forman parte del día a día de cualquier usuario de este sistema, serán sustituidos por nuevas versiones desarrolladas en Rust, un lenguaje de programación moderno que prioriza la seguridad, la eficiencia y el rendimiento.
Ubuntu se reinventa, pero ¿por qué está dejando atrás GNU?

La próxima versión de Ubuntu, 25.04 "Plucky Puffin", aún no está disponible, pero se está gestando un cambio significativo para la versión posterior, que será la 25.10. Será entonces cuando Canonical y sus colaboradores reemplacen las utilidades básicas actuales (del proyecto GNU e implementadas en C) con la nueva suite de utilidades, escrita en Rust.

El motivo de este cambio no es meramente técnico, también es filosófico y estructural. Los coreutils (U-utils) originales del Proyecto GNU han demostrado ser robustos a lo largo de décadas, pero están escritos en lenguaje C, un entorno que, aunque potente, es susceptible a vulnerabilidades de seguridad como los desbordamientos de búfer o los errores de acceso a memoria.

Rust, en cambio, ha sido diseñado desde cero con la seguridad como prioridad. Su sistema de control de memoria en tiempo de compilación elimina clases enteras de errores que afectan al C. Además, ofrece una gestión del multihilo mucho más segura, lo que permite aprovechar los procesadores multinúcleo modernos sin los riesgos tradicionales de la programación paralela.

Canonical dice que es más fácil reemplazar fragmentos del espacio de usuario que el núcleo. Hasta ahora, las coreutils de Rust superan aproximadamente 500 de las 600 pruebas de GNU, y con la atención adicional que este cambio atraerá al proyecto, parece probable que la puntuación mejore rápidamente.

Este cambio también implica una diferencia crucial en las licencias, puesto que, mientras que el software de GNU/Linux utiliza la GPL (Licencia Pública General), que obliga a que cualquier modificación del código fuente también se distribuya con la misma licencia, Rust y los nuevos paquetes optan por la licencia MIT, mucho más permisiva.

Esto significa que otros proyectos —incluso propietarios— pueden utilizar, así como modificar el código sin necesidad de liberar sus cambios, algo que ha generado un debate profundo en la comunidad del código abierto y en los desarrolladores.

Además, Jon Seager, vicepresidente de ingeniería de Canonical y quien propone este cambio, proporciona una herramienta llamada Oxidizr para activar o desactivar globalmente los componentes de reemplazo. Expuso algunas de las razones detrás de esta medida en una entrada de blog el mes pasado, "Ingeniería de Ubuntu para los próximos 20 años".

Oxidir Puede instalarse directamente desde GitHub o mediante el gestor de paquetes Cargo. Permite sustituir comandos clave como coreutils, diffutils, findutils y otros, de forma progresiva y reversible. Se recomienda hacer copias de seguridad antes de modificar componentes tan esenciales del sistema.

Es una medida interesante, aunque ya está molestando a algunos observadores. La realidad es que a los usuarios de Ubuntu no les importan mucho cuestiones como las licencias de software libre o los lenguajes de implementación. Solo quieren que las cosas funcionen. Esto podría llevar a algunos usuarios más a Debian, Devuan o incluso a otras opciones más avanzadas.

Una distribución bastante importante ya lo ha hecho. Alpine Linux usa Busybox en lugar de muchos componentes estándar de Linux, aunque las utilidades GNU Core están disponibles si se necesitan.

En 2021, los líderes del kernel de Linux, como el propio fundador y líder, Linux Torvalds, quedaron impresionados con el lenguaje, pero optaron por esperar a ver qué pasaba. Rust para Linux ganó adeptos y fuerza, y en octubre de 2022, Torvalds aprobó una solicitud de incorporación de compatibilidad con el código de Rust en el kernel.

Más allá de Ubuntu, este cambio refleja una tendencia mayor, y es que el propio kernel de Linux ya ha empezado a integrar componentes en Rust desde la versión 6.1. Esto abre la puerta a que más distribuciones sigan los pasos de Canonical.

Fuente: ComputerHoy

Seguir leyendo...

Ransomware Medusa utiliza un controlador malicioso y certificados robados para desactivar el AV/EDR

Se ha observado que los actores de amenazas detrás de la operación de ransomware como servicio (RaaS) Medusa utilizan un controlador malicioso denominado ABYSSWORKER como parte de un ataque de "traiga su propio controlador vulnerable" (BYOVD) diseñado para desactivar las herramientas antimalware.

Elastic Security Labs afirmó haber observado un ataque de ransomware Medusa que distribuyó el cifrador mediante un cargador empaquetado con un empaquetador como servicio (PaaS) llamado HeartCrypt.

El controlador en cuestión, "smuol.sys", imita un controlador legítimo de CrowdStrike Falcon ("CSAgent.sys"). Se han detectado docenas de artefactos de ABYSSWORKER en la plataforma VirusTotal desde el 8 de agosto de 2024 hasta el 25 de febrero de 2025. Crea un dispositivo y un enlace simbólico en el sistema de la víctima mientras registra devoluciones de llamada para proteger sus procesos maliciosos. Todas las muestras identificadas están firmadas con certificados probablemente robados y revocados de empresas chinas.

El hecho de que el malware también esté firmado le otorga una apariencia de confianza y le permite eludir los sistemas de seguridad sin llamar la atención. Cabe destacar que el controlador que elimina los sistemas de detección y respuesta de endpoints (EDR) fue documentado previamente por ConnectWise en enero de 2025 con el nombre "nbwdv.sys".

Una vez inicializado y ejecutado, ABYSSWORKER está diseñado para agregar el ID del proceso a una lista de procesos protegidos globales y escuchar las solicitudes entrantes de control de E/S del dispositivo, que luego se envían a los controladores adecuados según el código de control de E/S.

Estos controladores abarcan una amplia gama de operaciones, desde la manipulación de archivos hasta la terminación de procesos y controladores, y proporcionan un conjunto completo de herramientas que puede utilizarse para terminar o desactivar permanentemente los sistemas EDR, afirmó Elastic.

A continuación, se muestra la lista de algunos códigos de control de E/S:

• 0x222080 - Habilitar el controlador enviando una contraseña
• 0x2220c0 - Cargar las API del kernel necesarias
• 0x222184 - Copiar archivo
• 0x222180 - Eliminar archivo
• 0x222408 - Finalizar subprocesos del sistema por nombre de módulo
• 0x222400 - Eliminar devoluciones de notificaciones por nombre de módulo
• 0x2220c0 - Cargar API
• 0x222144 - Finalizar proceso por su ID de proceso
• 0x222140 - Finalizar subproceso por su ID de subproceso
• 0x222084 - Deshabilitar malware
• 0x222664 - Reiniciar el equipo

De particular interés es 0x222400, que se puede utilizar para "cegar" productos de seguridad mediante la búsqueda y eliminación de todas las devoluciones de llamadas de notificación registradas, un enfoque también adoptado por otras herramientas de eliminación de EDR como EDRSandBlast y RealBlindingEDR.

Los hallazgos surgen de un informe de Venak Security sobre cómo los actores de amenazas están explotando un controlador de kernel legítimo pero vulnerable, asociado con el software antivirus ZoneAlarm de Check Point, como parte de un ataque BYOVD diseñado para obtener privilegios elevados y deshabilitar funciones de seguridad de Windows como la Integridad de Memoria.

Los actores de amenazas abusaron del acceso privilegiado para establecer una conexión de Protocolo de Escritorio Remoto (RDP) con los sistemas infectados, lo que facilitó el acceso persistente. Check Point ha solucionado la vulnerabilidad.

"Dado que vsdatant.sys opera con privilegios de kernel de alto nivel, los atacantes pudieron explotar sus vulnerabilidades, eludiendo las protecciones de seguridad y el software antivirus, y obteniendo el control total de los equipos infectados", declaró la compañía. "Una vez eludidas estas defensas, los atacantes tuvieron acceso completo al sistema subyacente y pudieron acceder a información confidencial, como contraseñas de usuario y otras credenciales almacenadas. Estos datos fueron exfiltrados, lo que facilitó su explotación".

Este desarrollo surge después de que la operación de ransomware RansomHub (también conocido como Greenbottle y Cyclops) se atribuyera al uso de una puerta trasera multifunción, previamente no documentada y con nombre en clave Betruger, por parte de al menos una de sus filiales.

El implante incluye funciones típicamente asociadas con malware implementado como precursor de ransomware, como captura de pantalla, registro de pulsaciones de teclas, escaneo de red, escalamiento de privilegios, volcado de credenciales y exfiltración de datos a un servidor remoto.

"La funcionalidad de Betruger indica que podría haber sido desarrollado para minimizar la cantidad de nuevas herramientas que se instalan en una red objetivo mientras se prepara un ataque de ransomware", declaró Symantec, describiéndolo como una especie de cambio con respecto a otras herramientas personalizadas desarrolladas por grupos de ransomware para la exfiltración de datos.

"El uso de malware personalizado que no sea el cifrado de cargas útiles es relativamente inusual en los ataques de ransomware. La mayoría de los atacantes utilizan herramientas legítimas, se aprovechan de herramientas LoLBas y malware disponible públicamente, como Mimikatz y Cobalt Strike".

Elastic Security Labs ha creado una regla YARA para detectar este rootkit.

Fuente: THN

Seguir leyendo...

Supuesta violación de datos de Oracle expone miles de empresas (confirmado)

El pasado jueves 20 de marzo, un atacante conocido como rose87168 publicó varios archivos de texto que contenían una base de datos de muestra, información LDAP y una lista de las empresas que, según afirmaba, fueron robadas de la plataforma SSO de Oracle Cloud. 

Oracle niega haber sufrido la vulneración de datos después de que un atacante afirmara vender 6 millones de registros de datos presuntamente robados de los servidores de inicio de sesión único (SSO) federados de Oracle Cloud y que afectarían a más de 140.621 organizaciones. Entre los registros se encuentran cientos de dominios de América Latina.

"No se ha producido ninguna vulneración de datos en Oracle Cloud. Las credenciales publicadas no corresponden a Oracle Cloud. Ningún cliente de Oracle Cloud sufrió una vulneración ni perdió datos", declaró la compañía.

Como prueba adicional de que tenía acceso a los servidores de Oracle Cloud, el atacante compartió una URL de Internet Archive que indica que subió un archivo .TXT con su dirección de correo electrónico de ProtonMail al servidor login.us2.oraclecloud.com.

Presunta filtración de datos de Oracle

rose87168 ahora vende los datos presuntamente robados del servicio SSO de Oracle Cloud por un precio no revelado o a cambio de exploits de Zero-Day. Afirma que los datos (incluidas las contraseñas SSO cifradas, los archivos del almacén de claves Java (JKS), los archivos de claves y las claves JPS del administrador empresarial) fueron robados tras hackear los servidores de Oracle login.(region-name).oraclecloud.com.

"Las contraseñas SSO están cifradas y se pueden descifrar con los archivos disponibles. También se pueden descifrar las contraseñas con hash LDAP", afirma rose87168. "Enumeraré los dominios de todas las empresas incluidas en esta filtración. Las empresas pueden pagar una cantidad específica para eliminar la información de sus empleados de la lista antes de que se venda".

También han ofrecido compartir algunos de los datos con cualquiera que pueda ayudar a descifrar las contraseñas SSO o descifrar las contraseñas LDAP.

El actor de amenazas declaró que obtuvo acceso a los servidores de Oracle Cloud hace unos 40 días y afirmó haber enviado un correo electrónico a la empresa tras exfiltrar datos de las regiones de nube US2 y EM2. rose87168 afirmó haber solicitado a Oracle el pago de 100.000 XMR por información sobre cómo vulneraron los servidores, pero la empresa supuestamente se negó a pagar tras solicitar "toda la información necesaria para la corrección y el parche".

Actualización: 25 de marzo de 2025

El actor de amenazas ha compartido una muestra de 10.000 líneas para fundamentar aún más sus afirmaciones. El análisis de este conjunto de datos ha revelado varias conclusiones cruciales:

• Amplio impacto en todas las organizaciones: la muestra contiene datos de más de 1.500 organizaciones únicas, lo que indica una filtración significativa.
• Autenticidad de los datos: el volumen y la estructura de la información filtrada dificultan enormemente su falsificación, lo que refuerza la credibilidad de la filtración.
• Indicadores de acceso a producción: muchas organizaciones afectadas tienen ID de tenant con el formato {tenant}-dev, {tenant}-test y {tenant}, lo que sugiere firmemente que el actor de amenazas también tiene acceso a entornos de producción.
• Exposición de correos electrónicos personales: el conjunto de datos incluye una cantidad considerable de direcciones de correo electrónico personales, probablemente debido a que las organizaciones permiten la autenticación basada en SSO para sus usuarios y clientes.
• Investigadores independientes que también recibieron este archivo pudieron verificar la validez de la filtración y confirmar que se trata de una violación legítima.

Dado que los supuestos datos podrían dar lugar a ataques generalizados a la cadena de suministro, CloudSek publicó una herramienta gratuita para comprobar si su organización figura en la lista de víctimas compartida por el atacante.

CVE-2021-35587

El actor de amenazas afirmó que todos los servidores de Oracle Cloud utilizan una versión vulnerable con un CVE-2021-35587 público que ya ha sido explotado anteriormente y que en 2022 ya tenía un exploit público conocido. Aquí se puede ver un análisis técnico de lo que se conoce hasta ahora de la brecha.

El CVE-2021-35587 (CVSS 9.8) se publicó en enero de 2022. Se trata de una vulnerabilidad en el producto Oracle Access Manager de Oracle Fusion Middleware que permite a un atacante no autenticado (Pre-auth) con acceso a la red a través de HTTP comprometer Oracle Access Manager y tomar el control total del sistema para llevar a cabo la ejecución remota de código (RCE).

Es decir que, esta vulnerabilidad, fácilmente explotable, permite que un atacante no autenticado con acceso a la red vía HTTP comprometa Oracle Access Manager. Una explotación exitosa puede llevar al control total de Oracle Access Manager.

Dado que Oracle Access Manager, definido en la guía de instalación, es una aplicación de seguridad de nivel empresarial que proporciona una gama completa de funciones de seguridad de perímetro web, esto puede tener graves consecuencias para las víctimas de este tipo de ataques.

Las versiones afectadas son: 11.1.2.3.0, 12.2.1.3.0 y 12.2.1.4.0

La primera prueba de concepto fue publicada en marzo de 2022 por los investigadores de seguridad Janggggg y Peterjson. Desde entonces, también han aparecido otras PoC, ofreciendo a los atacantes una gran variedad de opciones.

Filtración confirmada

La negación por parte de Oracle contradice las conclusiones de BleepingComputer, que recibió muestras adicionales de los datos filtrados del atacante y contactó a las empresas asociadas. Lo mismo han hecho diversos investigadores y todos llegan a al misma conclusión: la filtración es real.

Representantes de estas empresas, quienes aceptaron confirmar los datos bajo la promesa de anonimato, confirmaron la autenticidad de la información. Las empresas declararon que los nombres para mostrar, las direcciones de correo electrónico, los nombres de pila y demás información de identificación de LDAP asociados eran correctos y les pertenecían.

El atacante también compartió correos electrónicos con BleepingComputer, afirmando formar parte de un intercambio entre ellos y Oracle. Un correo electrónico muestra al atacante contactando con el correo electrónico de seguridad de Oracle ([email protected]) para informar que habían pirateado los servidores.

Otro hilo de correo electrónico compartido con BleepingComputer muestra un intercambio entre el atacante y alguien que usa una dirección de ProtonMail y afirma ser de Oracle. En este intercambio de correos electrónicos, el atacante afirma que alguien de Oracle, usando la dirección @proton.me, le dijo: "Hemos recibido sus correos. Usemos este correo para todas las comunicaciones a partir de ahora. Avísenme cuando lo reciban".

La empresa de ciberseguridad Cloudsek también encontró una URL de Archive.org que muestra que el servidor "login.us2.oraclecloud.com" ejecutaba Oracle Fusion Middleware 11g el 17 de febrero de 2025. Oracle desconectó este servidor tras informarse de la presunta brecha.

Esta versión del software se veía afectada por la vulnerabilidad mencionada (CVE-2021-35587) que permitía a atacantes no autenticados comprometer Oracle Access Manager. El actor de amenazas afirmó que esta vulnerabilidad se aprovechó para vulnerar los servidores.

Fuente: BC I | II | CloudSek I | CloudSek II

Seguir leyendo...

Vulnerabilidad crítica de Next.js permite eludir las comprobaciones de autorización del middleware

Se ha revelado una falla de seguridad crítica en el framework React de Next.js que podría explotarse para eludir las comprobaciones de autorización en determinadas circunstancias.

La vulnerabilidad, identificada como CVE-2025-29927, tiene una puntuación CVSS de 9,1 sobre 10.

"Next.js utiliza un encabezado interno x-middleware-subrequest para evitar que las solicitudes recursivas generen bucles infinitos", declaró Next.js en un aviso. "Era posible omitir la ejecución del middleware, lo que podría permitir que las solicitudes omitieran comprobaciones críticas, como la validación de cookies de autorización, antes de llegar a las rutas".

Las versiones vulnerables son todas las versiones de Next.js 15.x hasta la 15.2.3, todas las versiones de 14.x hasta la 14.2.25 y las versiones 11.1.4-13.5.6. La deficiencia se ha solucionado en las versiones 12.3.5, 13.5.9, 14.2.25 y 15.2.3. Si no es posible aplicar un parche, se recomienda a los usuarios evitar que las solicitudes de usuarios externos que contengan el encabezado x-middleware-subrequest lleguen a la aplicación Next.js.

El investigador de seguridad Rachid Allam (también conocido como zhero y cold-try), a quien se le atribuye el descubrimiento y el informe de la falla, ha publicado desde entonces detalles técnicos adicionales de la falla, lo que hace imperativo que los usuarios actúen rápidamente para aplicar las correcciones.

"Esta vulnerabilidad permite a los atacantes eludir fácilmente las comprobaciones de autorización realizadas en el middleware de Next.js, lo que podría permitirles acceder a páginas web confidenciales reservadas para administradores u otros usuarios con privilegios elevados", afirmó JFrog.

Next.js ofrece a los usuarios el uso de middleware, que permite ejecutar código antes de que se complete una solicitud. Se llamará al middleware para cada ruta del proyecto y puede utilizarse para autenticar/autorizar a los usuarios mediante la comprobación de cookies de sesión, registros, análisis, etc. Cualquier sitio web que utilice middleware para autorizar a los usuarios sin comprobaciones adicionales es vulnerable.

Los usuarios de Next.js podrían ser vulnerables si el archivo middleware.ts o _middleware.ts existe en su implementación; esto indica la presencia de un middleware, pero no necesariamente que se utilice para la autorización. Además, los usuarios de Next.js que usan paquetes npm que añaden un middleware de autorización de Next.js (como https://npmjs.com/package/nextjs-basic-auth-middleware) también son vulnerables.

Es importante tener en cuenta que los usuarios que utilizan múltiples capas de seguridad deberían estar seguros: la comprobación del middleware se omitiría, pero los atacantes no deberían poder omitir todas las comprobaciones. 

Antes de ejecutar el middleware en una solicitud, se realiza una comprobación en la cabecera HTTP x-middleware-subrequest. Si dicha cabecera incluye el valor correcto, el middleware se omite por completo, independientemente de su funcionalidad prevista.

Se descubrió que los atacantes podían incluir este encabezado en una solicitud, lo que les permitía eludir el middleware incluso en casos donde debería ejecutarse. Esto es peligroso. Un ejemplo es un sitio web con un panel de administración que utiliza cookies de sesión para autorizar a los administradores que ya han iniciado sesión. Aprovechar esta vulnerabilidad permitiría a un atacante acceder al panel de administración sin que se haya aplicado una comprobación de autorización a su solicitud.

La compañía también indicó que cualquier sitio web que utilice middleware para autorizar a los usuarios sin comprobaciones de autorización adicionales es vulnerable a CVE-2025-29927, lo que podría permitir a los atacantes acceder a recursos que de otro modo no estarían autorizados (por ejemplo, páginas de administración).

Fuente: THN

Seguir leyendo...

Diplomatura en Gestión y Estrategia en Ciberseguridad

La Diplomatura en Gestión y Estrategia en Ciberseguridad de la Universidad Austral es el programa líder en la formación de profesionales de alto nivel en el campo de la seguridad digital.

Diseñada para expertos con al menos 5 años de experiencia en el sector, esta diplomatura ofrece una perspectiva integral y estratégica de la ciberseguridad moderna.

El próximo 27 de marzo habrá una reunión informativa para luego arrancar con el contenido del programa en abril.

A lo largo del programa, los participantes desarrollarán habilidades cruciales en liderazgo, gestión de riesgos y toma de decisiones estratégicas en un entorno digital en constante evolución.

Con un enfoque práctico y actualizado, la diplomatura aborda los desafíos más apremiantes del sector, desde la protección de infraestructuras críticas hasta la gestión de crisis cibernéticas.

Los alumnos se beneficiarán de la experiencia de un cuerpo docente de élite, compuesto por CISOs y líderes reconocidos en la industria.

El programa no solo profundiza en aspectos técnicos avanzados, sino que también enfatiza la alineación de la ciberseguridad con los objetivos empresariales, preparando a los participantes para roles de liderazgo estratégico.

Modalidad: 100% online

Objetivos

• Desarrollar líderes estratégicos en ciberseguridad capaces de alinear las iniciativas de seguridad con los objetivos de negocio de sus organizaciones.
• Proporcionar una comprensión profunda de las últimas tendencias, amenazas y tecnologías en el campo de la ciberseguridad.
• Fortalecer las habilidades de gestión de riesgos cibernéticos y toma de decisiones estratégicas en entornos digitales complejos.
• Capacitar a los profesionales en el diseño e implementación de programas de ciberseguridad integrales y efectivos.
• Mejorar las competencias en liderazgo, comunicación y gestión de equipos de seguridad de alto rendimiento.
• Proporcionar herramientas y metodologías prácticas para la evaluación, protección y respuesta ante incidentes de seguridad.
• Preparar a los profesionales para asumir roles de liderazgo senior, como CISO (Chief Information Security Officer).

Estos objetivos están diseñados para asegurar que los graduados de la diplomatura estén completamente preparados para enfrentar los desafíos de la ciberseguridad moderna y liderar con éxito las estrategias de seguridad en sus respectivas organizaciones.

¿A quién está dirigido?

La Diplomatura en Gestión y Estrategia en Ciberseguridad está dirigida a:

• Profesionales con al menos 5 años de experiencia en ciberseguridad o áreas relacionadas de TI, que buscan avanzar hacia roles de liderazgo estratégico. El programa es ideal para: Especialistas en seguridad de la información que desean ampliar su visión estratégica.
• Gerentes de TI con enfoque en seguridad, aspirando a posiciones de nivel ejecutivo.
• Consultores en ciberseguridad buscando profundizar sus conocimientos en gestión y estrategia.
• Profesionales de gestión de riesgos tecnológicos que quieren especializarse en ciberseguridad.
• Ingenieros de sistemas o redes con experiencia, orientados a roles de liderazgo en seguridad.
• Analistas de seguridad senior que buscan ascender a posiciones de gestión.
• Profesionales de cumplimiento normativo en TI interesados en aspectos estratégicos de ciberseguridad.
• Ejecutivos de nivel medio en áreas de TI o seguridad que buscan potenciar sus habilidades de liderazgo.
• Profesionales de diversas industrias con sólida experiencia en seguridad de la información.
• Candidatos a futuros CISOs o directores de seguridad de la información.

Este programa está diseñado para aquellos que aspiran a liderar la transformación segura de sus organizaciones en la era digital, combinando experiencia técnica con habilidades de gestión y visión estratégica.

El Plan de Estudio, el cuerpo académico, los requisitos de admisión y los descuentos pueden encontrarse aquí.

Seguir leyendo...