Vulnerabilidad Zero-Day en Oracle PeopleSoft (CVE-2026-35273) siendo explotada

El grupo de extorsionadores ShinyHunters explotó una vulnerabilidad sin parchear en Oracle PeopleSoft para infiltrarse en sistemas empresariales, robar datos y exigir un pago para mantenerlos privados. La campaña afectó principalmente a las universidades.

Mandiant, de Google, atribuye la actividad al grupo UNC6240 y la fecha entre el 27 de mayo y el 9 de junio. Oracle no publicó su aviso hasta el 10 de junio, por lo que la vulnerabilidad fue de Zero-Day durante todo ese período.

La vulnerabilidad, CVE-2026-35273, es un fallo de ejecución remota de código en PeopleSoft Enterprise PeopleTools con una calificación de 9.8 sobre 10. No requiere inicio de sesión ni interacción del usuario; solo acceso a la red mediante HTTP para tomar el control del servidor. Si utiliza PeopleSoft con el Centro de administración de entornos accesible desde el exterior, está expuesto, y la medida inmediata es proteger esos puntos finales.

La vulnerabilidad reside en el componente de Administración de entornos de actualizaciones, el componente que gestiona el Centro de administración de entornos (PSEMHUB). Oracle indica que PeopleTools 8.61 y 8.62 están afectadas y que las versiones anteriores, sin soporte, probablemente también sean vulnerables. Atribuye el informe a investigadores de TrendAI Zero Day Initiative y TrendAI Research.

Charles Carmakal, CTO de Mandiant, confirmó que la vulnerabilidad está siendo explotada; Oracle no ha confirmado si ha detectado alguna explotación. Su aviso remite a un documento de disponibilidad de parches que requiere una cuenta de soporte, y no está claro si existe una solución completa disponible para todos. Por ahora, la guía se centra en la mitigación.

Los detalles operativos se hicieron públicos porque los atacantes dejaron sus propios equipos expuestos. La investigadora @nahamike01 señaló públicamente los directorios abiertos. Mandiant analizó cinco direcciones IP consecutivas que ejecutaban el servidor SimpleHTTP de Python en el puerto 8888. Estos servidores expusieron los archivos de preparación: un archivo .bash_history compartido, agentes de administración remota MeshCentral personalizados disfrazados de binarios de Microsoft Azure y un script de movimiento lateral.

Los agentes se conectaron a un servidor de comando y control en azurenetfiles.net, un dominio elegido para imitar Azure NetApp Files. El script, llamado [victim]_fanout.sh, se propaga a través de SSH enviando una lista predefinida de nombres de usuario y contraseñas a hosts internos obtenidos de /etc/hosts, y luego coloca un archivo marcador llamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT en directorios de PeopleSoft. El historial de comandos muestra los datos comprimidos con zstd y una conexión SSH saliente al servidor que aloja la copia pública del sitio de filtración ShinyHunters.

Mandiant notificó a más de 100 organizaciones cuyas direcciones IP coincidían con los puntos finales vulnerables. El 68% pertenecían al sector de la educación superior, la mayoría en Estados Unidos. Algunas bloquearon la actividad; otras fueron comprometidas y sus datos se publicaron en el sitio de filtración.

La Universidad de Nottingham es una de las primeras víctimas confirmadas. Have I Been Pwned ha contabilizado aproximadamente 455.000 direcciones de correo electrónico únicas en la filtración, que incluye a estudiantes actuales y antiguos alumnos, con nombres, direcciones, números de teléfono, números de pasaporte e información sobre etnia y discapacidades. La universidad ha confirmado la brecha de seguridad.

Oracle recomienda deshabilitar el servicio Environment Management Hub en configuraciones multiservidor o eliminar la aplicación PSEMHUB por completo en configuraciones de un solo servidor. Si no es posible realizar ninguna de estas acciones, bloquee el acceso externo a /PSEMHUB/* (especialmente /PSEMHUB/hub) y /PSIGW/HttpListeningConnector en el perímetro.

Mandiant advierte que las reglas de inspección del cuerpo del WAF por sí solas no son suficientes, ya que pueden eludirse. Restringir estos puntos finales no interrumpe las sesiones de usuario normales.

A continuación, busque indicios de una posible vulneración:

• Registros de acceso de WebLogic que muestren solicitudes POST externas a /PSEMHUB/hub o /PSIGW/HttpListeningConnector. Archivos .jsp inesperados en el directorio de la aplicación web PSEMHUB.war, o carpetas extrañas llamadas logs, persistantstorage o scratchpad en las rutas de PSEMHUB.
• Archivos .xml modificados recientemente en envmetadata/data/environment del directorio raíz del documento web, que pueden ser explotados para la persistencia de XMLDecoder que se activa en el siguiente reinicio.
• Tráfico SMB saliente en el puerto 445 desde hosts de PeopleSoft a destinos externos, que la cadena de exploits puede usar para capturar hashes NetNTLM de cuentas de máquina.
• Aplique la actualización de Oracle para su versión de PeopleTools una vez que confirme que está disponible en My Oracle Support.

ShinyHunters afirma que la búsqueda de víctimas acaba de comenzar y no ha publicado la mayoría de las organizaciones que menciona, por lo que es probable que haya más nombres.

El método es la clave. Últimamente, ShinyHunters ha recurrido al vishing, tokens robados y controles de acceso débiles para robar datos de plataformas SaaS y educativas, desde clientes de Salesforce hasta Canvas. Una vulnerabilidad de día cero en un servidor de software ERP local representa un avance significativo, dirigido a los mismos objetivos con gran cantidad de datos.

La incógnita reside en si se trató de una vulnerabilidad de día cero aislada o del inicio de la incursión de ShinyHunters en la explotación de sistemas ERP.

Fuente: THN

Seguir leyendo...

(Otra) vulnerabilidad permite eludir BitLocker de Windows (Zero-Day)

El investigador de seguridad Chaotic Eclipse (también conocido como Nightmare-Eclipse y MSNightmare) ha publicado una nueva vulnerabilidad para eludir BitLocker de Windows, denominada GreatXML, un día después de haber publicado un exploit para Microsoft Defender.

"Fue un descubrimiento accidental; me llevó cuatro horas encontrarlo", declaró el investigador en una publicación. "Si alguna vez intentaste usar el análisis sin conexión de Windows Defender, eres automáticamente vulnerable a un exploit de BitLocker. No estoy seguro de si aún se puede activar el fallo sin usar la función de análisis sin conexión, porque sin duda es posible".

El exploit funciona de la siguiente manera:

• Copie un archivo XML ("unattend.xml") y una carpeta de recuperación que contenga otro archivo XML ("Recovery/WindowsRE/ReAgent.xml") a la raíz de la partición de recuperación.
• Reinicie en el Entorno de Recuperación de Windows (WinRE) manteniendo presionada la tecla Mayús mientras hace clic en Reiniciar en el menú de inicio de Windows.

Si se siguen todos los pasos correctamente, se generará una shell con acceso ilimitado al volumen de BitLocker.

"Si nunca se inició el análisis sin conexión de Defender, deberá iniciar sesión e iniciarlo manualmente o encontrar una manera de arrancar en WinRE en estado de análisis sin conexión (creo que debería ser posible hacerlo sin iniciar sesión) y seguir los pasos anteriores", señaló Chaotic Eclipse.

El lanzamiento de GreatXML se produce poco después de RoguePlanet, una vulnerabilidad de día cero en Microsoft Defender que facilita la escalada de privilegios local (LPE) a SYSTEM, otorgando al atacante la capacidad de ejecutar código arbitrario o realizar acciones no autorizadas.

GreatXML es también el segundo exploit para eludir BitLocker publicado por Chaotic Eclipse después de YellowKey (también conocido como CVE-2026-45585), cuyos parches fueron publicados por Microsoft esta semana como parte de las actualizaciones de Patch Tuesday.

Fuente: THN

Seguir leyendo...

¿Welcome IPv8?

IPv8 es una propuesta de protocolo de red publicada como Internet-Draft en el IETF el 15 de abril de 2026 que busca reemplazar IPv4 resolviendo de raíz sus dos grandes problemas: el agotamiento de direcciones y la fragmentación de la gestión de red. Lo hace manteniendo compatibilidad total con IPv4 —sin necesidad de dual-stack ni migración forzada— y usando direcciones de 64 bits que incluyen el número de sistema autónomo (ASN) como prefijo de enrutamiento.

El borrador draft-thain-ipv8-01, ha generado bastante ruido en la comunidad de redes. Algunos lo han calificado de "hecho por la IA", otros lo han leído con más calma y ven propuestas interesantes.

El 3 de febrero de 2011 IANA entregó los últimos bloques /8 libres de IPv4. Desde entonces no ha habido más espacio central que repartir. Los cinco registros regionales agotaron sus reservas entre 2011 y 2020 uno tras otro. Hoy todas las direcciones IPv4 útiles del mundo están en manos de alguien — y la única forma de conseguir más es comprárselas a ese alguien.

¿Qué pasó cuando se acabaron las IPs? Que se inventó el CGNAT (Carrier-Grade NAT): el operador de Internet pone a todos los clientes juntos detrás de una misma IP pública. Las consecuencias son conocidas: la comunicación directa entre dispositivos se complica (adiós a muchos juegos online, torrent, VoIP directo...), los logs para hacer trazabilidad se vuelven un infierno y la latencia aumenta. No es una solución elegante, es un parche. Y además, el protocolo en sí nunca pensó mucho en la seguridad ni en la gestión centralizada: DHCP, DNS, NTP, autenticación... cada protocolo salió por su lado, en distintas décadas, sin un modelo de identidad común. El resultado es que administrar una red grande hoy es como intentar orquestar una banda donde cada músico lleva un manual diferente.

IPv6 existe desde 1998. Lleva veintiocho años escribiéndose, estandarizándose, desplegándose. Y en 2026 apenas transporta el 45,2% del tráfico mundial según las estadísticas de Google. La mitad más uno de Internet sigue siendo IPv4. El fracaso no es de ingeniería — IPv6 es un protocolo sólido — sino de incentivos.

El modelo de transición de IPv6 exige doble pila: cada dispositivo, cada aplicación, cada router tiene que hablar ambos protocolos simultáneamente durante el tiempo que dure la migración. Y ese tiempo, sin un forzante real, es indefinido. Cada operador asume el coste operativo del doble mantenimiento sin obtener un beneficio inmediato si sus pares no han migrado también. Sin externalidad forzante, el equilibrio racional es quedarse en IPv4 con CGNAT.

IPv6 rompe compatibilidad a nivel de paquete. Un router que solo entiende IPv4 no puede reenviar un paquete IPv6 — ni siquiera sabe qué longitud tiene la cabecera. Cada salto del camino debe actualizarse antes de que la ruta funcione. Eso multiplica el coste de coordinación por el número de operadores involucrados, que es un número grande.

Tras 25 años de esfuerzo de despliegue IPv6 transporta una minoría del tráfico global de internet. El coste operativo del modelo de transición doble pila, combinado con la ausencia de mejoras en la gestión, resultó comercialmente inaceptable.

IPv8 cambia la reglas del juego

La propuesta fue publicada con una serie completa de documentos para definir los protocolos necesarios para pasar a IPv8, como serían los protocolos DHCP8, WHOIS8, y el conjunto mínimo de protocolos de gestión del enrutamiento de tráfico IPv8 en las redes de Internet de hoy en día.

IPv8 es un Internet-Draft individual del IETF, no una RFC (borrador español). Para avanzar necesita revisión, implementaciones experimentales y — lo más difícil — adopción operativa.

IPv8 cambia la regla del juego: IPv4 es un subconjunto estricto de IPv8. Una dirección IPv8 es de 64 bits y se escribe r.r.r.r.n.n.n.n. El tramo n.n.n.n son los 32 bits IPv4 de siempre con idéntica semántica. El tramo r.r.r.r codifica el ASN — el número del sistema autónomo al que pertenece la IP.

Puntos clave de IPv8:

• Formato ASN:HOST: Por ejemplo, 23548:192.168.1.1.
• Retrocompatibilidad Garantizada: Considera el direccionamiento IPv4 como un subconjunto donde el ASN corresponde a 0.0.0.0 (ejemplo 0:192.168.1.1).
• Seguridad Nativa: Implementa Zero Trust validado por JWT (JSON Web Tokens).
• Servicios Integrados: Incorpora protocolos como DHCP8, DNS8 y WHOIS8 para una gestión centralizada.

Los primeros 32 bits (r.r.r.r) son un prefijo de enrutamiento basado en el número de sistema autónomo (ASN) del operador o empresa. Los otros 32 bits (n.n.n.n) son la dirección del host, con la misma semántica que una dirección IPv4 de toda la vida. El espacio total es 2^64: más de 18 trillones de direcciones, con 4.294.967.296 hosts disponibles para cada ASN registrado.

Lo más importante del diseño es la compatibilidad hacia atrás. Una dirección IPv4 se representa en IPv8 como 0.0.0.0.n.n.n.n: cuando el prefijo de enrutamiento es todo ceros, se aplican las reglas IPv4 estándar. Esto significa que IPv4 es un subconjunto propio de IPv8. Ningún dispositivo, ninguna aplicación, ninguna red necesita modificarse. Sin día D, sin migración forzada, sin dual-stack.

Cuando r.r.r.r = 0.0.0.0, la dirección IPv8 es una dirección IPv4 clásica, procesada por las reglas IPv4 de siempre. Ningún router, ningún firmware, ninguna aplicación IPv4 existente necesita modificación. No hay flag day. No hay migración forzada.Cada titular de un ASN recibe 4.294.967.296 direcciones — tantas como tiene IPv4 entero. Un ISP consumer, un hyperscaler, un laboratorio universitario: todos con espacio de sobra para décadas, sin CGNAT, sin renumeración. El espacio total pasa de 232 a 264 direcciones, es decir, ~18 trillones. El agotamiento deja de ser un problema arquitectónico.

La tabla BGP global también cambia. En IPv8 la regla es que el prefijo mínimo anunciable entre sistemas autónomos es /16. Se acabaron los /24, /22, /20 que hoy inflan la tabla BGP4 hasta los 970.000 prefijos. La tabla BGP8 queda acotada por el número de ASNs activos, no por la proliferación de prefijos. Hoy hay ~122.000 ASNs: ese es tu límite superior. Finito. Manejable.

IPv4 vs IPv6 vs IPv8 — las diferencias que importan

	IPv4	IPv6	IPv8
Bits por dirección	32	128	64
Formato	n.n.n.n	2001:db8::1	r.r.r.r.n.n.n.n
Espacio total	4.300 millones	340 sextillones	18 trillones
Compatible con IPv4	—	No (requiere doble pila)	Sí (subconjunto estricto)
Migración	—	Años, cara, incompleta	Actualización de software
Tabla BGP acotada	No	No	Sí (/16 mínimo, 1 por ASN)
Adopción global (2026)	~55%	~45%	Internet-Draft

Además de las direcciones, la propuesta incluye un ecosistema completo de protocolos: DHCP8 para entregar toda la configuración de red en una sola respuesta, DNS8 para resolución de nombres, BGP8 para enrutamiento con validación obligatoria de rutas contra un registro WHOIS8, autenticación mediante tokens OAuth2/JWT y telemetría unificada. Todo gestionado a través de un Zone Server que hace las veces de gateway, servidor DNS, NTP, gestor de autenticación y monitor de red al mismo tiempo.

¿Por qué IPv8 podría tener éxito donde IPv6 ha fallado?

Si algo ha frenado a IPv6 es el modelo de transición. IPv8 lo resuelve de una manera mucho más pragmática: en lugar de exigir dual-stack, hace que IPv4 conviva dentro del propio espacio de direcciones de IPv8. El prefijo 0.0.0.0 actúa como "modo legado" y cualquier tráfico con ese prefijo se enruta con las reglas IPv4 de siempre. No hay rotura, no hay "o lo tienes todo migrado o no funciona nada".

Fuente: IPv8

Seguir leyendo...

RoguePlanet: (otra) vulnerabilidad Zero-Day de Microsoft Defender

El investigador de seguridad anónimo conocido como Chaotic Eclipse (también conocido como Nightmare-Eclipse) ha publicado una prueba de concepto (PoC) de un exploit para otra vulnerabilidad de día cero de Microsoft Defender llamada RoguePlanet.

"El exploit es una condición de carrera, por lo que su efectividad es variable", declaró el investigador, quien publicó el exploit bajo una nueva cuenta de GitHub llamada "MSNightmare". "He logrado un 100% de éxito en algunas máquinas, mientras que en otras ha tenido dificultades para funcionar".

Si el exploit tiene éxito, se obtiene una shell con privilegios de nivel SYSTEM, lo que permite al atacante ejecutar código arbitrario o realizar acciones no autorizadas. El investigador afirmó que el exploit se ha probado en máquinas con Windows 11 y 10 con las actualizaciones de Patch Tuesday de junio de 2026 instaladas, lo que significa que funciona en las versiones más recientes del sistema operativo de escritorio.

Sin embargo, el exploit no funciona en instancias de Windows Server en su forma actual, ya que "los usuarios estándar no pueden montar una imagen ISO". Chaotic Eclipse destacó que las instalaciones de Windows Server también son vulnerables a la falla y que el exploit necesita ser rediseñado para que funcione. "Lograr que esta prueba de concepto funcionara me agotó por completo; afectó gravemente mi salud mental y física, pero a finales de mayo [sic] se desarrolló una prueba de concepto completa", dijo el investigador.

"Los esfuerzos de Microsoft para proteger a Defender de los ataques de redirección de ruta son inútiles. También tengo varias vulnerabilidades de corrupción de memoria en Defender, sin mencionar otras vulnerabilidades que tengo en varios componentes".

El investigador de seguridad Will Dormann, en una publicación compartida en Mastodon, dijo: "Según se informa, no es 100% confiable, pero me funcionó al primer intento". RoguePlanet es la última de una serie de vulnerabilidades descubiertas por Chaotic Eclipse en los últimos meses.

Estas divulgaciones descoordinadas forman parte de lo que se considera una represalia tras una supuesta falta de comunicación entre el investigador, que no se ha identificado públicamente, y Microsoft.

En publicaciones firmadas criptográficamente en su blog, Chaotic Eclipse expresó su descontento con la forma en que Microsoft gestionó el proceso de divulgación y criticó a la compañía por revocar el acceso a su cuenta del Centro de Respuesta de Seguridad de Microsoft (MSRC), donde los investigadores pueden reportar vulnerabilidades. El investigador también acusó a Microsoft de humillarlo, desestimar sus informes, no compensarlo por las vulnerabilidades identificadas y difamarlo.

A finales del mes pasado, Microsoft condenó las divulgaciones públicas de vulnerabilidades, afirmando que "nunca se justifican" y que exponen a los clientes a un "riesgo innecesario". Cabe destacar que las tres vulnerabilidades de Defender mencionadas anteriormente ya han sido explotadas.

La disputa pública también ha provocado el cierre de sus cuentas de GitHub y GitLab. "Microsoft está intentando abusar de su propiedad de GitHub para proteger únicamente sus propios productos, y de sus amplios vínculos con las fuerzas del orden, calificando la publicación de información sobre vulnerabilidades en sus propios productos como un comportamiento delictivo", declaró el investigador de seguridad Kevin Beaumont.

"Para que quede claro nuestro enfoque en materia legal, no tenemos intención de emprender acciones legales contra las personas que realizan o publican investigaciones sobre seguridad", afirmó Microsoft en una publicación de X. "Cuando una persona infringe la ley y participa en actividades maliciosas que causan un daño real a nuestros clientes, colaboraremos con las fuerzas del orden según corresponda".

Fuente: THN

Seguir leyendo...

Actualizaciones de seguridad de JUNIO para todas las empresas

En el Patch Tuesday de junio de 2026, Microsoft public'o actualizaciones de seguridad para 200 fallos y tres vulnerabilidades Zero-Days divulgadas públicamente. Este parche aborda 33 vulnerabilidades "críticas", de las cuales 28 son de ejecución remota de código, 4 de elevación de privilegios y 1 es un fallo de divulgación de información. 

A continuación se muestra el número de errores en cada categoría de vulnerabilidad:

• 65 Vulnerabilidades de elevación de privilegios
• 19 Vulnerabilidades de omisión de funciones de seguridad
• 55 Vulnerabilidades de ejecución remota de códig
• 30 vulnerabilidades de divulgación de información
• 7 vulnerabilidades de denegación de servicio
• 27 vulnerabilidades de suplantación de identidad

Estos fallos no incluye los de Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Microsoft Exchange Online y Microsoft Graph, que Microsoft corrigió a principios de este mes.

Además, Google corrigió 360 fallos de Microsoft Edge/Chromium este mes, los cuales tampoco se incluye en este resumen.

Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, consulte nuestros artículos dedicados a las Windows 11 KB5094126 & KB5093998 cumulative updates y Windows 10 KB5094127 extended security update..

Vulnerabilidades destacadas

La actualización de seguridad de este mes corrige tres vulnerabilidades de día cero que se habían hecho públicas, ninguna de las cuales se sabe que haya sido explotada en ataques.

• CVE-2026-45586 - Vulnerabilidad de elevación de privilegios en el Marco de Traducción Colaborativa de Windows (CTFMON) que otorga privilegios de SYSTEM. "La resolución incorrecta de enlaces antes del acceso a archivos (seguimiento de enlaces) en el Marco de Traducción Colaborativa de Windows permite a un atacante autorizado elevar privilegios localmente", explica Microsoft.

Microsoft atribuyó la vulnerabilidad a un investigador anónimo, pero BleepingComputer ha descubierto que se trata de una corrección para la vulnerabilidad de día cero "GreenPlasma", divulgada por el investigador de seguridad Nightmare Eclipse.GreenPlasma es una vulnerabilidad de escalamiento de privilegios que podría explotarse para obtener una shell con permisos de SYSTEM.

Por último, la actualización de junio de 2026 también corrige MiniPlasma, una vulnerabilidad independiente revelada por Chaotic Eclipse como una solución incompleta para CVE-2020-17103, que Microsoft ya había abordado en diciembre de 2020. "Para solucionar de forma integral la vulnerabilidad identificada por CVE-2020-17103 y recientemente denominada públicamente "MiniPlasma", Microsoft recomienda instalar las actualizaciones de junio de 2026 para sus sistemas operativos Windows", indicó el gigante tecnológico en una actualización de su aviso.

Nightmare Eclipse ha publicado una serie de vulnerabilidades de día cero para Windows, entre ellas BlueHammer, MiniPlasma, RedSun, UnDefend y YellowKey (también corregida hoy), en protesta por la gestión de Microsoft de sus programas de recompensas por detección de errores y divulgación de vulnerabilidades.

• CVE-2026-49160 - Vulnerabilidad de denegación de servicio en HTTP.sys, conocida como HTTP/2 Bomb, que fue revelada este mes por investigadores de la empresa de seguridad ofensiva Calif. "El consumo descontrolado de recursos en HTTP/2 permite a un atacante no autorizado denegar el servicio en una red", explica Microsoft.

El ataque HTTP/2 Bomb es una técnica de denegación de servicio que aprovecha la forma en que el protocolo HTTP/2 comprime y gestiona las cabeceras del tráfico web, permitiendo a los atacantes enviar cantidades muy pequeñas de datos que obligan a los servidores a asignar cantidades desproporcionadamente grandes de memoria.

Los investigadores descubrieron que el ataque podía aumentar drásticamente el uso de memoria en los servidores afectados. Los atacantes también pueden mantener la memoria ocupada manipulando la configuración de control de flujo, impidiendo que el servidor libere recursos y pudiendo causar problemas de rendimiento o interrupciones del servicio.

Para ayudar a mitigar este ataque, Microsoft ha introducido una nueva configuración de registro llamada "MaxHeadersCount" para limitar la cantidad de encabezados en una solicitud, junto con un boletín de soporte sobre cómo usarla.

Microsoft también introdujo una nueva configuración de registro llamada MaxHeadersCount. Esta configuración permite limitar la cantidad de encabezados incluidos en las solicitudes HTTP/2 y HTTP/3 que acepta el servidor HTTP. Para obtener más información, consulte el artículo KB5102602.

• CVE-2026-50507 - Vulnerabilidad de omisión de la función de seguridad BitLocker de Windows, previamente divulgada públicamente, que permitía a atacantes locales acceder a una unidad cifrada. "Un fallo en el mecanismo de protección de BitLocker de Windows permite a un atacante no autorizado eludir una función de seguridad mediante un ataque físico", explica Microsoft.

Si bien Microsoft atribuyó la vulnerabilidad a un investigador anónimo, BleepingComputer ha descubierto que se trata de una solución para la vulnerabilidad YellowKey, también divulgada públicamente el mes pasado por el investigador de ciberseguridad Nightmare Eclipse.

La vulnerabilidad YellowKey podía explotarse colocando archivos especialmente diseñados en una unidad USB o partición EFI e iniciando el Entorno de recuperación de Windows (WinRE). Al mantener presionada la tecla CTRL, se activaba una consola de comandos con acceso ilimitado a las unidades cifradas protegidas con BitLocker.

La vulnerabilidad afecta principalmente a los sistemas que utilizan la protección BitLocker solo con TPM en dispositivos Windows 11 y Windows Server 2022/2025. Microsoft ya había compartido soluciones temporales para este problema, como habilitar la autenticación TPM+PIN en lugar de depender únicamente de la protección TPM.

Otras vulnerabilidades importantes a destacar se enumeran a continuación:

• CVE-2026-47291 ( CVSS: 9.8): Un fallo de desbordamiento de enteros o de bucle en el archivo HTTP.sys de Windows que permite a un atacante no autorizado ejecutar código a través de la red.
• CVE-2026-44815 (CVSS: 9.8): Una vulnerabilidad de desbordamiento de búfer basado en pila en el cliente DHCP de Windows que permite a un atacante no autorizado ejecutar código a través de la red. "Este fallo no requiere credenciales ni acción del usuario y puede convertir el tráfico de red en una vulneración total del sistema", declaró Alex Vovk, director ejecutivo y cofundador de Action1, sobre CVE-2026-44815. "Un atacante podría enviar tráfico de red especialmente diseñado a un sistema configurado para servicios DHCP".

Fuente: BC

Seguir leyendo...

FROST: permite a sitios web rastrear qué sitios y aplicaciones abre a través de SSD Timing

El ataque, llamado FROST, no necesita código nativo, extensión ni solicitud de permiso. Un sitio web malicioso puede determinar qué sitios se visitan y qué aplicaciones se abren, utilizando nada más que JavaScript y la sincronización de la SSD. 

Investigadores de la Universidad Tecnológica de Graz lo construyeron y lo describieron en un nuevo artículo que aparecerá en el congreso DIMVA 2026 en Grecia. Abusa de una función de almacenamiento presente en todos los principales navegadores de escritorio, y el canal de sincronización subyacente funciona tanto en macOS como en Linux.

Los ataques de sincronización de SSD no son nuevos. El año pasado, el mismo grupo publicó Secret Spilling Drive, que lee el comportamiento del usuario en un disco observando cómo las lecturas se ralentizan cuando algo más lo está usando. El problema era que necesitaba código nativo en la máquina, a través de una interfaz de bajo nivel como io_uring de Linux. FROST elimina ese requisito. Se ejecuta dentro del entorno limitado del navegador, lo que convierte un ataque local en uno remoto. Ya no es necesario estar en la máquina para sacarlo.

El mismo laboratorio de Graz ya lo ha hecho antes. Su ataque SnailLoad dedujo los sitios y vídeos que una víctima cargó únicamente a partir de la latencia de la red, sin ningún JavaScript.

Cómo funciona el ataque FROST

La forma de ingresar está el Origin Private File System, u OPFS, una función de almacenamiento que los navegadores agregaron en 2023 para que las aplicaciones web como los editores en el navegador y los IDE puedan mantener archivos en el disco. OPFS le da a cada origen su propia porción protegida del sistema de archivos y, debido a que esa porción está aislada, omite la solicitud de permiso que una página normalmente necesita para acceder a sus archivos. Sin diálogo, sin clic. Un sitio puede simplemente empezar a escribir.

Normalmente, el sistema operativo oculta la sincronización del disco detrás del caché de la página, ofreciendo lecturas repetidas desde la memoria para que nunca toquen la unidad.

FROST soluciona esto creando un archivo más grande que la RAM de la máquina. El caché no puede contenerlo todo, por lo que las lecturas siguen llegando al SSD. En Chrome y Safari, OPFS puede crecer hasta el 60% del espacio en disco, mucho más que suficiente; Firefox limita cada origen a un nivel más bajo, aunque un atacante puede distribuir la carga entre múltiples orígenes para superarlo.

Un sitio web malicioso puede determinar qué sitios visita y qué aplicaciones abre, utilizando nada más que JavaScript y la sincronización de la SSD. El ataque, llamado FROST, no necesita código nativo, extensión ni solicitud de permiso.

Luego, el código del atacante lee fragmentos aleatorios de 4 kB de ese archivo en un bucle y cronometra cada lectura con performance.now(). Los navegadores reducen sus temporizadores de forma predeterminada para dificultar este tipo de medición, pero el atacante vuelve a agudizar la resolución activando el aislamiento entre orígenes, lo que puede hacer libremente en su propia página.

Cuando abres un sitio o inicias una aplicación en el mismo disco, esa actividad compite con las lecturas del atacante y el tiempo cambia considerablemente. Una red neuronal entrenada en esos rastros identifica el sitio o la aplicación.

La precisión es la parte incómoda. En una Mac, frente a los 50 sitios web principales, FROST identificó el sitio visitado con una puntuación del 88,95% en una prueba de mundo cerrado y se mantuvo en 86,95% en una prueba de mundo abierto que agregó 300 sitios que nunca había visto. Para diez aplicaciones macOS nativas preinstaladas, alcanzó el 95,83%.

Si bien el canal de sincronización también funciona en Linux, el equipo ejecutó el clasificador completo solo en macOS, por lo que esos números de huellas digitales son un resultado de macOS. FROST también sólo detecta actividad en el mismo disco que su archivo OPFS.

Una computadora portátil de un solo disco pone todo en ese disco; una estación de trabajo con varias unidades oculta todo lo que se ejecuta en una unidad separada, aunque los inicios de aplicaciones que tocan el directorio de inicio tienden a filtrarse de todos modos.

Qué se puede hacer

No mucho, por ahora. A Google, Mozilla y Apple se les informó antes de la publicación. El equipo de Chromium de Google no trata las huellas dactilares como una vulnerabilidad de seguridad. Apple lo consideró fuera de alcance, pero dejó espacio para una mitigación más adelante. Mozilla lo reconoció y no envió nada. No existe CVE ni evidencia pública de que la técnica se haya utilizado en la naturaleza.

Eso deja las defensas débiles. La medición solo se ejecuta mientras la página del atacante está abierta, por lo que cerrar la pestaña finaliza la ejecución. Observar el almacenamiento de su navegador en busca de un archivo de varios gigabytes inexplicable es otra señal, aunque los navegadores no hacen que el uso de OPFS sea fácil de ver.

En Linux, los sistemas que ejecutan profile-sync-daemon, una utilidad que mantiene el perfil del navegador en la RAM, están protegidos incidentalmente contra la versión sin clic, porque las escrituras OPFS nunca llegan al SSD. La variante más débil, en la que una página utiliza un cuadro de diálogo de selección de archivos para que usted mismo seleccione un archivo grande, todavía funciona.

Las soluciones que realmente lo cerrarían recaen en los fabricantes de navegadores: limitar el tamaño de OPFS para que el archivo quepa en la memoria y no genere contención, acelerar los temporizadores de alta resolución mientras OPFS está en uso o colocar un mensaje de permiso delante de él. Cada uno cuesta algo en velocidad o usabilidad, lo cual es parte de por qué ninguno de ellos ha sucedido.

El verdadero desacuerdo es si un sitio web que aprende silenciosamente lo que usted hace en su propia máquina es un error o una característica que funciona según lo diseñado. La verdadera preocupación de los investigadores es estructural: los navegadores siguen dando a las aplicaciones web un acceso casi nativo al hardware, y el acceso casi nativo trae consigo fugas casi nativas. FROST es una API. El patrón es lo que hay que tener en cuenta.

Fuente: THN

Seguir leyendo...

Vulnerabilidad de un solo caracter en el kernel de Linux permite el acceso de root

La vulnerabilidad, identificada como CVE-2026-23111, reside en el código de filtrado de paquetes nf_tables del kernel y fue corregida el 5 de febrero de 2026. Exodus Intelligence publicó su análisis técnico completo el 8 de junio, y cabe destacar que no es el primer exploit público: FuzzingLabs publicó una reproducción independiente en abril.

La vulnerabilidad se reduce a un solo carácter erróneo y una comprobación invertida en nf_tables, y la corrección implementada en el kernel la eliminó en una sola línea. Ubuntu califica la vulnerabilidad con CVSS 7.8 (alto).

La configuración vulnerables es común: nf_tables más espacios de nombres de usuario sin privilegios, una característica de Linux que permite que una cuenta ordinaria actúe como root dentro de un entorno aislado privado y acceda a código del kernel al que de otro modo no podría acceder.

Ambas características vienen incluidas por defecto en la mayoría de los equipos de escritorio y en muchas configuraciones de servidor. No existe un vector de ataque remoto por sí sola. Se trata de una vulnerabilidad que un atacante explota tras obtener acceso, convirtiendo una shell con pocos privilegios, un contenedor comprometido o una cuenta de servicio en root en el host.

Oliver Sieber, investigador de Exodus, quien descubrió la vulnerabilidad a principios de 2025, la convirtió en un root local completo. El exploit activa el uso de memoria liberada (use-after-free), elude las protecciones de memoria integradas del kernel y, posteriormente, toma el control de la ejecución para obtener root y salir del espacio de nombres del contenedor.

Lo demostró en Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS y Ubuntu 24.04 LTS. FuzzingLabs reprodujo el fallo en RHEL 10 antes de Pwn2Own Berlin 2026, creando su propio exploit de root por una ruta diferente. El cronograma es ajustado: la solución se publicó el 5 de febrero, FuzzingLabs publicó el 16 de abril y el informe detallado de Exodus se publicó el 8 de junio.

La técnica ahora está documentada en Debian, Ubuntu y Red Hat. Dado que el fallo se encuentra en la rama principal, cualquier distribución que haya distribuido un kernel vulnerable con ambas características habilitadas está expuesta, a menos que las medidas de seguridad o las restricciones de espacio de nombres de la distribución bloqueen el acceso.

CVE-2026-23111 se produce en medio de una intensa oleada de divulgaciones de vulnerabilidades de root local en Linux. En las últimas semanas han surgido Copy Fail, la cadena Dirty Frag, su variante Fragnesia, DirtyDecrypt y una vulnerabilidad de ptrace de nueve años de antigüedad que lee /etc/shadow y ejecuta comandos como root.

Difieren en los detalles, pero comparten la característica que debería preocupar a los expertos en seguridad: un punto de acceso sin privilegios se convierte en root en instalaciones normales.

El error solo afecta al sistema local y requiere espacios de nombres de usuario sin privilegios, por lo que conviene centrarse primero en los sistemas que permiten que usuarios o cargas de trabajo no confiables los creen.

Ubuntu tiene correcciones para las versiones 22.04, 24.04 y 25.10, y Debian corrigió Bookworm y Trixie, con una retrocompatibilidad para Bullseye LTS 6.1. Red Hat, SUSE y Amazon Linux también monitorean la vulnerabilidad; consulte el aviso de su distribución para obtener el paquete del kernel correspondiente, ya que la versión corregida exacta varía. La corrección original consistió en una sola línea de código.

Hay un panorama más amplio. En un análisis reciente del aumento de vulnerabilidades LPE, Synacktiv vincula la rapidez de este aumento con la investigación asistida por IA y la comparación de parches, que permite la propagación de exploits funcionales antes de que se difundan las correcciones. Además, argumenta que el endurecimiento habitual de los sistemas sigue dando tiempo a los defensores.

La mayoría de estas vulnerabilidades se basan en funciones opcionales del kernel o configuraciones predeterminadas poco estrictas, por lo que restringir el acceso de usuarios sin privilegios (en este caso, los espacios de nombres de usuario) retrasa la explotación hasta que se implemente el parche.

No existen informes públicos de explotación en la práctica, ni se ha vinculado a ningún actor malicioso con ella. El parche se publicó en febrero, y el código del exploit es público desde abril.

Fuente: THN

Seguir leyendo...

Explotan vulnerabilidad crítica en la VPN de Check Point

Check Point ha alertado sobre la explotación activa de una vulnerabilidad crítica que afecta a las implementaciones de VPN de acceso remoto y acceso móvil configuradas para usar el protocolo de intercambio de claves IKEv1, actualmente obsoleto.

La vulnerabilidad, identificada como CVE-2026-50751 (CVSS: 9.3), consiste en una debilidad en el flujo lógico de la validación de certificados que permite a un atacante remoto no autenticado eludir la autenticación de usuario y establecer una conexión VPN de acceso remoto sin una contraseña válida.

"Al explotar una vulnerabilidad lógica en la validación de certificados, un atacante puede establecer una sesión VPN sin poseer una contraseña válida, eludiendo así los requisitos de autenticación", declaró Check Point. "Se requiere actividad adicional posterior a la autenticación para acceder a recursos internos o escalar privilegios".

La vulnerabilidad afecta a los siguientes productos y versiones:

• Security Gateways R82.10 Jumbo Hotfix Take 19 o inferior, R82 Jumbo Hotfix Take 103 o inferior, R81.20 Jumbo Hotfix Take 141 o inferior, R81.10 (EOS), R81 (EOS) y R80.40 (EOS)
• Spark Firewalls: R80.20.X (EOS), R81.10.X y R82.00.X

Para explotar la vulnerabilidad con éxito, se deben cumplir las siguientes condiciones:

• El acceso remoto VPN o el acceso móvil deben estar habilitados.
• IKEv1 debe estar habilitado para el acceso remoto.
• Los gateways deben aceptar clientes de acceso remoto heredados.
• Los gateways no deben requerir un certificado de máquina para las conexiones.

La empresa israelí de ciberseguridad indicó que detectó los primeros indicios de actividad sospechosa el 4 de junio de 2026, y que la primera explotación observada data del 7 de mayo de 2026. Se afirma que los esfuerzos de explotación se intensificaron a partir de este año. mes.

Check Point añadió que la actividad de explotación se ha limitado a "unas pocas docenas de organizaciones objetivo a nivel mundial". En un caso, la fase posterior a la explotación se ha asociado con una filial del ransomware Qilin.

"Creemos que la infraestructura de este actor de amenazas está explotando otras vulnerabilidades relacionadas con VPN, como las publicadas por Palo Alto Networks, Fortinet y F5", señaló. "Identificamos indicadores que sugieren que el actor podría usar el protocolo Tox para comunicarse, un patrón comúnmente asociado con los actores de ransomware con fines lucrativos".

Un aspecto clave es el uso de una infraestructura de servidor virtual privado (VPS) para llevar a cabo los ataques. Específicamente, esto implica depender de servidores VPS geolocalizados en un país específico para atacar a organizaciones dentro de sus fronteras. Una vez establecido el acceso, se descubrió que los atacantes intentaban descargar archivos ELF maliciosos de la infraestructura controlada por el actor.

Algunos aspectos de estos esfuerzos coinciden con un informe de Ctrl-Alt-Intel del mes pasado, que destacaba el abuso por parte del grupo de ransomware de los dispositivos VPN corporativos para el acceso inicial.

Un análisis más detallado de los componentes VPN afectados ha revelado una segunda vulnerabilidad, CVE-2026-50752 (CVSS: 7,40), que podría permitir un ataque de intermediario (AitM) en las conexiones VPN de sitio a sitio. No existen indicios de que esta vulnerabilidad haya sido explotada en ataques reales.

Fuente: THN

Seguir leyendo...

Aplicaciones gratuitas convierten televisores en servidores proxy para IA

Un investigador ha realizado ingeniería inversa al SDK de iOS que Bright Data incorpora en aplicaciones de consumo y ha documentado cómo convierte dispositivos, incluidos televisores inteligentes siempre encendidos, en nodos de salida que transmiten el tráfico web para un negocio de datos que Bright Data comercializa fuertemente en la industria de la IA.

La empresa, sucesora de Luminati, opera lo que llama la red de proxy residencial más grande del mundo, anunciada en más de 400 millones de IP residenciales. Parte de ese suministro proviene de este SDK, que se incluye dentro de aplicaciones gratuitas detrás de una pantalla de suscripción y se describe como un grupo de más de 150 millones de direcciones IP "obtenidas mediante consentimiento".

Los hallazgos, publicados el 5 de junio por Include Security y el investigador independiente Buchodi, son importantes porque el scraping proviene de la IP doméstica del usuario, no de la del cliente. El riesgo inmediato no es una cuenta pirateada o datos robados; es que una conexión doméstica y su ancho de banda se utilizan como infraestructura de raspado de otra persona.

Un televisor conectado es casi ideal para eso: generalmente enchufado, con una conexión rápida, efectivamente no medido y sin mirar.

La evidencia técnica más profunda proviene del SDK de iOS; El alcance de la televisión inteligente se basa en el soporte de la plataforma de Bright Data, su lista de socios públicos y sus informes anteriores. La investigación encontró que el canal de pares que realiza trabajos de scraping no tiene autenticación real y, en iOS, su tráfico pasa por alto una VPN configurada.

Dentro del túnel de pares

Cuando se abre la aplicación, el SDK se pone en contacto con uno de los servidores de Bright Data, que entrega sus instrucciones sin comprobar realmente quién pregunta. A partir de ese momento, el servidor puede indicarle al dispositivo que vaya a buscar páginas de otros sitios web, utilizando la conexión a Internet del hogar del usuario para hacerlo.

El investigador descubrió que el canal que realiza esas tareas no tiene ninguno de los controles de seguridad habituales y lo describió como más débil que los controles integrados en la mayoría del malware.

En los iPhone, el investigador descubrió que este tráfico pasa por una VPN y que gran parte de lo que hace la aplicación no aparece en las herramientas que los equipos de seguridad normalmente usan para monitorear las aplicaciones. El dispositivo también puede seguir transmitiendo en segundo plano mientras alguien mira la pantalla o atiende una llamada, siempre que la batería no esté baja.

La brecha de consentimiento

La pantalla de suscripción no coincide con lo que realmente permite el SDK. En una aplicación de Roku, Petflix, la pantalla decía que usaría el dispositivo y su conexión "ocasionalmente".

La configuración que carga el SDK permite hasta 200 GB de tráfico al mes. En algunos países, incluidos Uzbekistán y Omán, los límites son mucho más altos y el dispositivo puede seguir funcionando casi hasta que se agote la batería. El SDK también puede unir el teléfono de una persona y las computadoras que ejecutan las aplicaciones de la misma empresa, tratándolos como un solo usuario.

Bright Data publica su lista de socios de aplicaciones en una página que cualquiera puede abrir e incluye creadores de aplicaciones de televisión inteligente como PlayWorks Digital, CloudTV y Longvision. El investigador tiene cuidado de señalar que estar en la lista solo muestra que una empresa trabajó con Bright Data en algún momento, no que su aplicación incluya el SDK en la actualidad. Habría que comprobar cada uno por separado.

Un modelo antiguo, impulsado por la demanda de IA

Nada de esto es nuevo en cuanto a forma, sólo en escala. Bright Data es el sucesor de Luminati, el servicio de proxy pago que surgió de Hola VPN. En 2015, Hola fue sorprendida vendiendo el ancho de banda de sus usuarios gratuitos como nodos de salida a través de Luminati, a 20 dólares el gigabyte. El mismo modelo funciona ahora en la caja siempre encendida del salón.

Lo que cambió es el comprador. Las defensas anti-bot de Cloudflare, DataDome y otros bloquean los scrapers provenientes de las IP de los centros de datos, por lo que los scrapers de IA se dirigen a través de conexiones residenciales.

Krebs informó en octubre de 2025 que los servidores proxy de botnets como Aisuru están impulsando la recolección de datos de IA a gran escala, y Google desmanteló la red proxy criminal IPIDEA en enero. Esas operaciones secuestran los dispositivos de los consumidores; Bright Data dice que sus nodos de salida optan por participar a través de una pantalla de consentimiento. Ese consentimiento es la línea divisoria entre ambos, y si es significativo es la cuestión abierta.

Lowpass  apareció en febrero, y este es el desmontaje técnico. Desde entonces, Google, Amazon y Roku han restringido los SDK de proxy en segundo plano, y Bright Data eliminó esas plataformas, aunque todavía incluye Tizen de Samsung y webOS de LG.

Qué hacer

El tráfico es fácil de detectar y bloquear. En una red doméstica, el paso más sencillo es bloquear las direcciones web que utiliza el SDK para conectarse, con una herramienta a nivel de enrutador como Pi-hole o NextDNS.

Los principales son proxyjs.brdtnet.com, proxyjs.luminatinet.com, proxyjs.bright-sdk.com, clientdk.bright-sdk.com y clientdk.brdtnet.com. Según la investigación, bloquearlos impide que el dispositivo actúe como un proxy sin afectar el servicio pago de Bright Data, que se ejecuta en direcciones separadas.

Las empresas que administran los teléfonos del personal también pueden buscar aplicaciones que incluyan el SDK. Un problema: en una conexión móvil, el tráfico evita el Wi-Fi de la oficina, por lo que un bloqueo de red por sí solo no siempre lo captará. Bright Data también podría cambiar la forma en que se conecta el SDK en el futuro, lo que significaría que es necesario actualizar cualquier lista de bloqueo.

Fuente: THN

Seguir leyendo...

Agentes de IA permiten gusanos adaptativos

Investigadores de la Universidad de Toronto, el Vector Institute, la Universidad de Cambridge y ServiceNow demostraron que un gusano informático impulsado por IA, que utiliza Grandes Modelos de Lenguaje de peso abierto y un arnés agéntico especializado, puede propagarse de forma autónoma y explotar adaptativamente objetivos heterogéneos a través de una red.

El gusano logró la explotación del 73.8% y la replicación al 61.8% de los hosts objetivo en promedio en entornos simulados, incluyendo la explotación exitosa de vulnerabilidades divulgadas recientemente.

La investigación, realizada en un laboratorio digital cerrado al exterior, mostró que un gusano impulsado por modelos de IA abiertos puede tomar control de una red completa, apropiarse de capacidad de cómputo de las máquinas infectadas y usar esos recursos para continuar su expansión. El alcance de la amenaza abarca desde computadoras portátiles hasta sistemas de climatización y redes eléctricas, de acuerdo con Nicolas Papernot, uno de los autores del trabajo.

El investigador explicó que el equipo decidió divulgar los hallazgos después de revisar el estudio para eliminar cualquier información que pudiera ayudar a actores maliciosos. Antes de publicarlo, los autores compartieron sus resultados con organismos nacionales de ciencia, seguridad y defensa.

El trabajo se centró en modelos de IA de "pesos abiertos", que cualquier persona puede descargar y modificar de forma gratuita. Los investigadores quisieron poner a prueba la idea, extendida en parte de la comunidad de ciberseguridad, de que esos modelos más pequeños no tienen suficiente capacidad para causar daños reales.

Para hacerlo, construyeron una prueba de concepto en un sistema seguro y cerrado que simuló el comportamiento de un gusano de IA en una red de decenas de dispositivos interconectados, entre ellos portátiles, impresoras y cámaras.

A diferencia de un gusano tradicional, que sigue un guion fijo programado por humanos y fracasa si encuentra una defensa para la que no fue diseñado, el prototipo evaluó cada objetivo, adaptó su ataque y luego se copió en la siguiente máquina.

El estudio mostró que el gusano podía reunir información mientras avanzaba por la red: cada intrusión revelaba contraseñas y puntos débiles que facilitaban el acceso al siguiente equipo. Esa capacidad de ajuste hace que una sola defensa no baste para frenarlo.

Papernot explicó que el programa amplía su radio de acción a costa de las propias víctimas. Una vez instalado en una máquina, el gusano desvía potencia de procesamiento para sostener su razonamiento y preparar el siguiente ataque, lo que elimina en los hechos el costo de cada nueva infección.

De acuerdo con el portal, la principal diferencia con trabajos anteriores es que este prototipo no se limita a propagarse a través de aplicaciones de inteligencia artificial, sino que puede operar fuera de esos sistemas y atacar el software subyacente. Eso amplía de forma directa el universo de dispositivos en riesgo.

"Cada dispositivo conectado a Internet, portátiles, cámaras, termostatos inteligentes y todo lo demás, se convierte en un objetivo potencial, aunque no sea por los datos que almacena, sí como punto de apoyo para atacar objetivos más valiosos", indicó Papernot.

El prototipo no descubre vulnerabilidades desconocidas, a diferencia de modelos más potentes y fuertemente protegidos como Claude Mythos de Anthropic. Aun así, en un entorno abierto podría acceder a Internet, localizar avisos sobre fallas recién detectadas y explotarlas antes de que lleguen los parches de software.

Medidas concretas para reducir el riesgo

"En un mundo interconectado, ningún sistema es inmune a esta amenaza", señaló Papernot. "Compartir estos hallazgos es el primer paso para movilizar a investigadores, líderes de la industria y responsables políticos para que actúen, y rápido", agregó.

El profesor pidió a los profesionales de tecnología reforzar cualquier ajuste de seguridad que pueda dejar expuestos sus sistemas y sostuvo que los usuarios también deben intervenir. Sus recomendaciones fueron concretas: mantener los dispositivos actualizados, usar contraseñas robustas y activar la autenticación multifactor.

Fuente: AI Agents Enable Adaptive Computer Worms

Seguir leyendo...