El Servicio Secreto de EE.UU. desmanteló una red de dispositivos electrónicos ubicados en el área triestatal de Nueva York, utilizados para ejecutar múltiples amenazas de telecomunicaciones dirigidas a altos funcionarios del gobierno estadounidense, lo que representaba una amenaza inminente para las operaciones de protección de la agencia.
Esta investigación de inteligencia de protección condujo al descubrimiento de más de 300 servidores SIM y 100.000 tarjetas SIM ubicados en el mismo lugar en múltiples ubicaciones. Los primeros análisis muestran que la red se utilizaba para la comunicación entre gobiernos extranjeros e individuos conocidos por las fuerzas del orden estadounidenses. «Esto no es un grupo de personas en un sótano jugando a un videojuego y gastando una broma. Esto estuvo bien organizado y bien financiado», dijo un funcionario.
Además de ejecutar amenazas telefónicas anónimas, estos dispositivos podrían utilizarse para llevar a cabo una amplia gama de ataques de telecomunicaciones. Esto incluye la desactivación de torres de telefonía celular, la habilitación de ataques de denegación de servicio y la facilitación de comunicaciones anónimas y cifradas entre posibles actores de amenazas y organizaciones criminales.
Si bien el análisis forense de estos dispositivos está en curso, los primeros análisis indican comunicaciones celulares entre actores de amenazas de estados nacionales e individuos conocidos por las fuerzas del orden federales.
«El potencial de interrupción de las telecomunicaciones de nuestro país que representa esta red de dispositivos es innegable», declaró el director del Servicio Secreto de EE.UU., Sean Curran. La misión de protección del Servicio Secreto de EE.UU. se centra en la prevención, y esta investigación deja claro a los posibles actores maliciosos que las amenazas inminentes a nuestros protegidos serán investigadas, localizadas y desmanteladas de inmediato.
Estos dispositivos se concentraron a menos de 56 kilómetros de la reunión global de la Asamblea General de las Naciones Unidas, que se está celebrando en la ciudad de Nueva York. Dado el momento, la ubicación y el potencial de interrupción significativa de las telecomunicaciones de Nueva York que estos dispositivos representaban, la agencia actuó con rapidez para interrumpir esta red. La Unidad de Interdicción de Amenazas Avanzadas del Servicio Secreto de EE.UU., una nueva sección de la agencia dedicada a interrumpir las amenazas más significativas e inminentes para nuestros protegidos, está llevando a cabo esta investigación. Esta investigación está actualmente en curso.
Las Investigaciones de Seguridad Nacional del Departamento de Seguridad Nacional, el Departamento de Justicia, la Oficina del Director de Inteligencia Nacional y el Departamento de Policía de Nueva York, así como otras fuerzas del orden estatales y locales, brindaron valioso asesoramiento técnico y asistencia en apoyo de esta investigación.
Se ha desarrollado una nueva herramienta de prueba de concepto llamada EDR-Freeze, capaz de suspender los sistemas de Detección y Respuesta de Endpoints (EDR) y las soluciones antivirus.
Según Zero Salarium, la técnica aprovecha una función integrada de Windows, ofreciendo una alternativa más discreta a los cada vez más populares ataques de «Traiga su propio controlador vulnerable» (BYOVD), utilizados por los actores de amenazas para desactivar el software de seguridad.
A diferencia de los métodos BYOVD, que requieren la introducción de un controlador vulnerable en el sistema objetivo, EDR-Freeze explota componentes legítimos del sistema operativo Windows.
Este enfoque evita la necesidad de instalar controladores de terceros, lo que reduce el riesgo de inestabilidad y detección del sistema. Todo el proceso se ejecuta desde código en modo usuario, lo que lo convierte en una forma sutil y eficaz de neutralizar temporalmente la monitorización de seguridad.
El exploit MiniDumpWriteDump
El núcleo de la técnica EDR-Freeze reside en la manipulación de la función MiniDumpWriteDump. Esta función, parte de la biblioteca DbgHelp de Windows, está diseñada para crear un minivolcado, una instantánea de la memoria de un proceso para fines de depuración.
Para garantizar una instantánea consistente e intacta, la función suspende todos los subprocesos del proceso de destino mientras se crea el volcado. Normalmente, esta suspensión es breve. Sin embargo, el desarrollador de EDR-Freeze ideó un método para prolongar este estado de suspensión indefinidamente.
Los principales desafíos fueron dos: extender el breve tiempo de ejecución de la función MiniDumpWriteDump y eludir la función de seguridad Protected Process Light (PPL), que protege los procesos de EDR y antivirus contra manipulaciones.
Para superar la protección de PPL, la técnica utiliza WerFaultSecure.exe, un componente del servicio Informe de errores de Windows (WER) y que puede ejecutarse con protección de nivel WinTCB, uno de los niveles de privilegio más altos, lo que le permite interactuar con procesos protegidos.
Al configurar los parámetros correctos, se puede indicar a WerFaultSecure.exe que inicie la función MiniDumpWriteDump en cualquier proceso objetivo, incluidos los agentes de EDR y antivirus protegidos.
La última pieza del rompecabezas es un ataque de condición de carrera que convierte una suspensión momentánea en una congelación prolongada. El ataque se desarrolla en una secuencia rápida y precisa:
WerFaultSecure.exe se ejecuta con parámetros que le indican que cree un volcado de memoria del proceso de EDR o antivirus objetivo. La herramienta EDR-Freeze monitoriza continuamente el proceso objetivo.
En el momento en que el proceso objetivo entra en estado suspendido (mientras MiniDumpWriteDump comienza a funcionar), la herramienta EDR-Freeze suspende inmediatamente el proceso WerFaultSecure.exe.
Dado que WerFaultSecure.exe está suspendido, nunca podrá completar la operación de volcado de memoria y, fundamentalmente, nunca podrá reanudar los subprocesos del proceso EDR objetivo.
Como resultado, el software de seguridad queda en un estado de suspensión permanente, prácticamente bloqueado, hasta que finalice el proceso WerFaultSecure.exe.
Eliminación del proceso mediante la herramienta EDR-Freeze
El desarrollador ha lanzado la herramienta EDR-Freeze para demostrar esta técnica. Requiere dos parámetros simples: el ID de proceso (PID) del objetivo que se congelará y la duración de la suspensión en milisegundos.
Esto permite a un atacante desactivar las herramientas de seguridad, realizar acciones maliciosas y, posteriormente, permitir que el software de seguridad reanude sus operaciones normales como si nada hubiera sucedido.
Una prueba en Windows 11 24H2 suspendió con éxito el proceso MsMpEng.exe de Windows Defender.
Para los defensores, detectar esta técnica implica monitorear ejecuciones inusuales de WerFaultSecure.exe.
Si se observa que el programa ataca los PID de procesos sensibles como lsass.exe o agentes EDR, debe considerarse una alerta de seguridad de alta prioridad que requiere investigación inmediata.
Cisco ha publicado actualizaciones de seguridad para abordar una vulnerabilidad de día cero de alta gravedad en el software Cisco IOS e IOS XE que actualmente se está explotando en ataques.
Identificada como CVE-2025-20352, la falla se debe a una vulnerabilidad de desbordamiento de búfer basada en la pila, encontrada en el subsistema del Protocolo Simple de Administración de Red (SNMP) del software vulnerable IOS e IOS XE, que afecta a todos los dispositivos con SNMP habilitado.
Atacantes remotos autenticados con privilegios bajos pueden explotar esta vulnerabilidad para activar condiciones de denegación de servicio (DoS) en dispositivos sin parches. Por otro lado, los atacantes con privilegios altos pueden obtener el control total de los sistemas que ejecutan el software vulnerable Cisco IOS XE ejecutando código como usuario root.
Sin embargo, Cisco señaló que para que esto suceda, se deben cumplir las siguientes condiciones:
Para provocar la denegación de servicio (DoS), el atacante debe tener la cadena de comunidad de solo lectura SNMPv2c o anterior, o credenciales de usuario SNMPv3 válidas.
Para ejecutar el código como usuario root, el atacante debe tener la cadena de comunidad de solo lectura SNMPv1 o v2c, o credenciales de usuario SNMPv3 válidas, y credenciales administrativas o de privilegio 15 en el dispositivo afectado.
«Un atacante podría explotar esta vulnerabilidad enviando un paquete SNMP manipulado a un dispositivo afectado a través de redes IPv4 o IPv6», declaró Cisco en su aviso.
La compañía indicó que el problema afecta a todas las versiones de SNMP, así como a los switches Meraki MS390 y Cisco Catalyst de la serie 9300 que ejecutan Meraki CS 17 y versiones anteriores. Se ha corregido en la versión 17.15.4a del software Cisco IOS XE. El software Cisco IOS XR y el software NX-OS no se ven afectados.
El Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT) detectó la explotación exitosa de esta vulnerabilidad en la práctica después de que se comprometieran las credenciales del administrador local. Cisco recomienda encarecidamente a los clientes que actualicen a una versión de software corregida para remediar esta vulnerabilidad.
Si bien no existen soluciones alternativas para abordar esta vulnerabilidad aparte de aplicar los parches publicados hoy, Cisco indicó que los administradores que no puedan actualizar inmediatamente el software vulnerable pueden mitigar el problema temporalmente limitando el acceso SNMP en un sistema afectado a usuarios de confianza.
La primera, una falla de scripts entre sitios (XSS) reflejada en Cisco IOS XE, identificada como CVE-2025-20240, puede ser utilizada por un atacante remoto no autenticado para robar cookies de dispositivos vulnerables.
La segunda, identificada como CVE-2025-20149, es una vulnerabilidad de denegación de servicio que permite a atacantes locales autenticados forzar la recarga de los dispositivos afectados.
En mayo, la compañía también corrigió una falla de máxima gravedad en IOS XE que afectaba a los controladores de LAN inalámbrica. Esta vulnerabilidad permitía a atacantes no autenticados tomar el control remoto de los dispositivos mediante un token web JSON (JWT) codificado.
En un reciente informe, Microsoft ha revelado que el grupo de ciberamenazas vinculado a Corea del Norte, conocido como Sapphire Sleet, ha logrado sustraer más de 10 millones de dólares en criptomonedas mediante sofisticadas campañas de ingeniería social en LinkedIn. Estas operaciones, llevadas a cabo durante un período de seis meses, han involucrado la creación de perfiles falsos que se hacen pasar por reclutadores y solicitantes de empleo, con el objetivo de generar ingresos ilícitos para el régimen sancionado.
Sapphire Sleet, activo desde al menos 2020 y también identificado como APT38 y BlueNoroff, ha desarrollado infraestructuras que imitan portales de evaluación de habilidades para ejecutar sus campañas de engaño. Una de las tácticas principales consiste en hacerse pasar por capitalistas de riesgo interesados en empresas objetivo, estableciendo reuniones en línea fraudulentas. Cuando las víctimas intentan unirse a estas reuniones, se les presentan mensajes de error que las instan a contactar al administrador de la sala o al equipo de soporte.
Al comunicarse con los supuestos administradores, las víctimas reciben archivos maliciosos en formato AppleScript (.scpt) o Visual Basic Script (.vbs), según el sistema operativo que utilicen. Estos scripts descargan malware en los dispositivos comprometidos, permitiendo a los atacantes obtener credenciales y acceder a monederos de criptomonedas para su posterior robo.
Además, Sapphire Sleet ha sido detectado haciéndose pasar por reclutadores de firmas financieras como Goldman Sachs en LinkedIn, contactando a posibles víctimas y solicitándoles completar evaluaciones de habilidades alojadas en sitios web controlados por los atacantes. Al iniciar sesión y descargar el código asociado con la evaluación, las víctimas instalan inadvertidamente malware en sus dispositivos, otorgando a los atacantes acceso al sistema.
Microsoft también ha destacado que Corea del Norte ha desplegado miles de trabajadores de TI en el extranjero, representando una triple amenaza: generan ingresos para el régimen a través de trabajos «legítimos», abusan de su acceso para obtener propiedad intelectual y facilitan el robo de datos a cambio de un rescate. Estos trabajadores crean perfiles y portafolios falsos en plataformas como GitHub y LinkedIn para comunicarse con reclutadores y postularse a empleos. En algunos casos, utilizan herramientas de inteligencia artificial, como Faceswap, para modificar fotos y documentos robados, presentándolos en entornos profesionales. Estas imágenes se emplean en currículums o perfiles, a veces para múltiples identidades, que se envían en aplicaciones de empleo.
La sofisticación de estas tácticas destaca la importancia de que empresas e individuos refuercen sus medidas de seguridad para evitar ser víctimas de estos ataques:
Verificar la autenticidad de contactos en plataformas profesionales, antes de interactuar con un supuesto reclutador o solicitante de empleo, asegúrate de validar la legitimidad del perfil. Comprueba las conexiones, antecedentes y detalles del perfil en LinkedIn u otras plataformas.
Evitar descargar archivos de fuentes desconocidas, no descargues archivos, programas o aplicaciones enviados por contactos desconocidos, incluso si parecen legítimos. Es preferible utilizar servicios de análisis de archivos antes de abrirlos.
Fortalecer la seguridad de cuentas críticas, implementa autenticación multifactor (MFA) en todas las cuentas importantes, especialmente en aquellas relacionadas con criptomonedas o finanzas.
Educar a los empleados y usuarios, las organizaciones deben ofrecer capacitación constante a sus empleados sobre cómo detectar intentos de phishing y otras tácticas de ingeniería social.
Monitorizar accesos y transacciones, realiza auditorías frecuentes de las actividades en tus cuentas y dispositivos para identificar comportamientos inusuales. En el caso de criptomonedas, utiliza carteras frías (offline) para almacenar fondos a largo plazo.
Usar soluciones avanzadas de ciberseguridad, implementa herramientas como antivirus, cortafuegos y software de detección de amenazas basados en inteligencia artificial para proteger tus sistemas y redes.
Ser cauteloso con solicitudes de información personal, nunca compartas datos sensibles, como credenciales o claves privadas, con nadie a través de plataformas en línea.
Tomar estas precauciones puede reducir significativamente los riesgos de ser víctima de este tipo de ataques, garantizando mayor seguridad en el entorno digital.
HybridPetya destaca como la evolución moderna de Petya y NotPetya, demostrando que incluso Secure Boot puede ser burlado. El malware incorpora técnicas de cifrado e infección avanzadas y aprovecha la vulnerabilidad CVE-2024-7344 para comprometer sistemas Windows a nivel de arranque.
HybridPetya es una nueva variante de ransomware que eleva el listón al comprometer la partición EFI y saltarse las protecciones de UEFI Secure Boot en sistemas Windows. Descubierto recientemente por investigadores de ESET, el malware se inspira en los ya célebres Petya y NotPetya, que causaron graves daños en 2016 y 2017. Sin embargo, introduce innovaciones preocupantes como el uso de la vulnerabilidad CVE-2024-7344, mostrando la evolución de las amenazas persistentes en la cadena de arranque.
HybridPetya destaca por su capacidad para infectar equipos UEFI con partición GPT, donde introduce un bootkit malicioso directamente en la partición de sistema EFI. Utiliza archivos como config, verify, y un bootloader modificado, además de un componente cifrador basado en Salsa20. Su vector principal es el abuso de CVE-2024-7344, una falla corregida que permitió la colocación de bootkits incluso con Secure Boot activado, sustituyendo archivos clave como bootmgfw.efi por uno malicioso y eliminando componentes originales del arranque.
El flujo de infección simula errores mediante BSOD y reinicia el equipo para activar el bootkit, cifrando datos críticos y exigiendo un rescate.
El principal riesgo radica en su habilidad para evadir UEFI Secure Boot, lo que implica que medidas de arranque seguro pierden efectividad si el sistema no está actualizado. HybridPetya puede incapacitar por completo el arranque de Windows y comprometer la restauración del sistema sin la clave de rescate, elevando el daño potencial. Aunque no hay casos activos detectados aún, la aparición del malware como prueba de concepto augura posibles campañas futuras dirigidas a equipos vulnerables.
Se recomienda aplicar sin demora los parches de seguridad de enero de 2025 de Microsoft que corrigen CVE-2024-7344, mantener copias de seguridad offline de la información más relevante y activar doble factor de autenticación en plataformas críticas. Realizar auditorías periódicas de integridad en la partición EFI y eliminar permisos innecesarios de arranque son prácticas clave. Revisar los indicadores de compromiso publicados por ESET puede ayudar en la detección temprana.
HybridPetya marca un nuevo hito en el ataque al ciclo de arranque de sistemas Windows. Sus capacidades demuestran que ni siquiera Secure Boot es infalible ante amenazas sofisticadas y vulnerabilidades como CVE-2024-7344. Mantener los parches aplicados y las copias de seguridad protegidas es esencial para reducir el riesgo y evitar la pérdida total de sistemas y datos.
∞ Hacking Day 2025 es una jornada intensiva sobre ciberseguridad, cultura hacker y tecnología organizada por el Laboratorio de Seguridad de la Información (LASI) de la Facultad de Ciencia y Tecnología – UADER y la Municipalidad de Paraná, a través del Área de Innovación Pública y Transformación Digital.
Se realizará de forma presencial el días viernes 8 de agosto en la Sala Mayo de Paraná, con entrada gratuita e inscripción obligatoria. Durante la jornada se realizarán actividades simultáneas de charlas y talleres y no será transmitido en línea.
A través de la charlas y talleres, se busca generar un espacio de formación, encuentro y reflexión para quienes desarrollan, investigan o gestionan la ciberseguridad en contextos públicos, privados o comunitarios.
Cisco ha revelado una nueva vulnerabilidad de seguridad de máxima gravedad que afecta a Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC). Esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario en el sistema operativo subyacente con privilegios elevados.
«Varias vulnerabilidades en una API específica de Cisco ISE y Cisco ISE-PIC podrían permitir que un atacante remoto no autenticado ejecute código arbitrario en el sistema operativo subyacente como root. El atacante no necesita credenciales válidas para explotar estas vulnerabilidades», declaró la compañía en un aviso.
Las vulnerabilidades descritas en la alerta son errores críticos (puntuación CVSS: 10.0) que podrían permitir que un atacante remoto no autenticado ejecute comandos en el sistema operativo subyacente como usuario root.
CVE-2025-20281 y CVE-2025-20337: Múltiples vulnerabilidades en una API específica que podrían permitir que un atacante remoto no autenticado ejecute código arbitrario en el sistema operativo subyacente como usuario root.
CVE-2025-20282: Una vulnerabilidad en una API interna que podría permitir que un atacante remoto no autenticado cargue archivos arbitrarios en un dispositivo afectado y luego los ejecute en el sistema operativo subyacente como usuario root.
Estas vulnerabilidades se deben a una validación insuficiente de la información proporcionada por el usuario. Un atacante podría explotar estas vulnerabilidades enviando una solicitud de API manipulada. Una explotación exitosa podría permitirle obtener privilegios de root en un dispositivo afectado. Según FOFA, habría más de 1.200 equipos vulnerables.
Kentaro Kawane, de GMO Cybersecurity, es reconocido por descubrir y reportar la falla. Anteriormente, Kawane fue reconocido por otras dos fallas críticas de Cisco ISE (CVE-2025-20286 y CVE-2025-20282) y por otro error crítico en Fortinet FortiWeb (CVE-2025-25257).
CVE-2025-20337 afecta a las versiones 3.3 y 3.4 de ISE e ISE-PIC, independientemente de la configuración del dispositivo. No afecta a las versiones 3.2 o anteriores de ISE e ISE-PIC. El problema se ha corregido en las siguientes versiones:
Cisco ISE o ISE-PIC versión 3.3 (corregido en la versión 3.3, parche 7)
Cisco ISE o ISE-PIC versión 3.4 (corregido en la versión 3.4, parche 2)
No hay evidencia de que la vulnerabilidad se haya explotado en un contexto malicioso. Dicho esto, siempre es recomendable mantener los sistemas actualizados para evitar posibles amenazas.
Los datos de Censys, la plataforma de gestión de la superficie de ataque, muestran que hay 20.098 dispositivos Fortinet FortiWeb en línea, sin contar los honeypots, aunque actualmente se desconoce cuántos de ellos son vulnerables a CVE-2025-25257. «Esta falla permite a atacantes no autenticados ejecutar comandos SQL arbitrarios mediante solicitudes HTTP manipuladas, lo que provoca la ejecución remota de código (RCE)», declaró Censys.
Actualización 22/07: Cisco actualizó su aviso sobre las vulnerabilidades para reconocer su explotación activa.
Microsoft ha publicado un script de PowerShell para restaurar la carpeta «inetpub» vacía, creada por las actualizaciones de seguridad de Windows de abril de 2025, si se elimina. Como Microsoft advirtió previamente, esta carpeta ayuda a mitigar una vulnerabilidad de escalamiento de privilegios de alta gravedad en la Activación del Proceso de Windows (WPA).
En abril, tras instalar las nuevas actualizaciones de seguridad, los usuarios de Windows descubrieron repentinamente que se había creado una carpeta vacía, C:\Inetpub. Dado que esta carpeta está asociada con Internet Information Server de Microsoft, resultaba confuso que se creara cuando el servidor web no estaba instalado.
Esto provocó que algunos usuarios eliminaran la carpeta, lo que los volvió vulnerables a la vulnerabilidad corregida. Microsoft indicó que los usuarios que la eliminaron pueden volver a crearla manualmente instalando Internet Information Services desde el panel de control «Activar o desactivar las características de Windows» de Windows.
Una vez instalado IIS, se agregará una nueva carpeta inetpub a la raíz de la unidad C:\, con los mismos archivos y la misma propiedad SYSTEM que el directorio creado por las actualizaciones de seguridad de Windows de abril. Además, si no se usa IIS, puede desinstalarlo desde el mismo panel de control de Características de Windows para eliminarlo, dejando la carpeta C:\inetpub intacta.
El miércoles, en una nueva actualización del aviso CVE-2025-21204, la compañía también compartió un script de corrección que ayuda a los administradores a recrear esta carpeta desde un PowerShell con los siguientes comandos:
Install-Script -Name Set-InetpubFolderAcl
\Set-InetpubFolderAcl.ps1
Como explica Redmond, el script establecerá los permisos correctos de IIS para evitar el acceso no autorizado y las posibles vulnerabilidades relacionadas con CVE-2025-21204.
También actualizará las entradas de la lista de control de acceso (ACL) del directorio DeviceHealthAttestation en sistemas Windows Server para garantizar su seguridad si se crea antes de las actualizaciones de seguridad de febrero de 2025.
Microsoft: «No lo eliminen».
La falla de seguridad (CVE-2025-21204), mitigada por esta carpeta inetpub (creada automáticamente por las actualizaciones de seguridad de abril, incluso en sistemas sin la plataforma de servidor web IIS instalada previamente), se debe a un problema de resolución de enlaces incorrectos en la pila de Windows Update.
Esto probablemente significa que Windows Update podría seguir enlaces simbólicos en dispositivos sin parches, lo que permite a atacantes locales engañar al sistema operativo para que acceda o modifique archivos o carpetas no deseados.
Microsoft afirma que una explotación exitosa permite a atacantes con privilegios bajos escalar permisos y manipular o realizar operaciones de administración de archivos en el contexto de la cuenta NT AUTHORITY\SYSTEM.
Si bien la eliminación de la carpeta no causó problemas con Windows en nuestras pruebas, Microsoft indicó que se creó intencionalmente y no debe eliminarse. Redmond emitió la misma advertencia en un aviso actualizado sobre la falla de seguridad CVE-2025-21204 para advertir a los usuarios que no eliminen la carpeta vacía %systemdrive%\inetpub.
«Esta carpeta no debe eliminarse, independientemente de si Internet Information Services (IIS) está activo en el dispositivo de destino. Este comportamiento forma parte de los cambios que aumentan la protección y no requiere ninguna acción por parte de los administradores de TI ni de los usuarios finales», advirtió la compañía.
El experto en ciberseguridad Kevin Beaumont también demostró que los usuarios sin derechos de administrador pueden abusar de esta carpeta para bloquear la instalación de actualizaciones de Windows mediante la creación de una unión entre C:\inetpub y cualquier archivo de Windows.
Miles de millones de usuarios han estado expuestos a un sistema de rastreo y espionaje masivo que han usado las empresas Meta y Yandex. Ambas empresas han usado una técnica que se aprovechaba de aplicaciones nativas como Facebook o Instagram para monitorizar todo lo que hacíamos con nuestros navegadores móviles. Es una gota más de un vaso ya absolutamente colmado: el de los ataques a nuestra privacidad.
Un grupo de investigadores de la agencia IMDEA Networks y la Radboud Universiteit de Países Bajos, liderados por los profesores Gunes Acar y Narseo Vallina-Rodríguez, publicaron un extenso artículo técnico. En él, desvelan la técnica que han bautizado como ‘Local Mess’ (‘Lío Local’) y que Meta ha estado usando desde septiembre de 2024 y Yandex desde 2017.
El seguimiento encubierto en Meta Pixel y Yandex Metrica, permite que Meta y Yandex omitan las protecciones de seguridad y privacidad proporcionadas tanto por el sistema operativo Android como por los navegadores que se ejecutan en él.
«Uno de los principios de seguridad fundamentales que existe en la web, como el sistema móvil, se llama sandboxing», dijo Nardiso Vallina-Rodríguez, uno de los investigadores detrás del descubrimiento, en una entrevista. «Este vector de ataque permite romper el sandbox que existe entre el contexto móvil y el contexto web. El canal que existe todo el sistema Android para comunicar lo que feliz en el navegador con la identidad que se ejecuta en la aplicación móvil». Android Sandboxing, por ejemplo, aísla procesos para evitar que el dispositivo interactúe con cualquier aplicación instalada, reduciendo el acceso a datos confidenciales o recursos de sistema privilegiados.
El bypass descripto permite que las compañías pasen cookies desde navegadores a aplicaciones nativas de Android como Facebook, Instagram y varias aplicaciones de Yandex. Así, cuando el usuario inicia su sesión, las compañías pueden tener el vasto historial de navegación del titular de la cuenta.
¿Qué hace ‘Local Mess’?
Nos centraremos en Meta y sus aplicaciones, aunque el método es análogo en Yandex. Los usuarios de Android que hagan uso de aplicaciones como Facebook o Instagram podían estar expuestos, porque esas aplicaciones «escuchaban» lo que pasaba en los navegadores instalados en nuestros móviles haciendo uso de puertos locales (de ahí lo de ‘Local Mess’) con el objetivo de rastrear y monitorear todo lo que hacíamos en el navegador.
El usuario no se enteraba de nada. El método permitía que esas aplicaciones lograran recibir metadatos, cookies y comandos que se ejecutaban en los navegadores. El código JavaScript de Meta, llamado Meta Pixel, se cargaba de forma silenciosa y sin avisar como una especie de complemento de los navegadores móviles, y se conectaba a aplicaciones como Facebook o Instagram.
Desanonimizando a los usuarios. Como explican los investigadores, el método permitía acceder a los identificadores de dispositivo que se usan para los sistemas publicitarios, llamados Android Advertising ID (AAID), y eso hacía que fuera posible asociar todo lo que hacía el usuario a una identidad real (un perfil de Facebook o Instagram). El resultado: lo que hacíamos en el navegador ya no era anónimo ni privado.
Ni Modo Incógnito, ni borrar cookies ni nada. Este método «web-to-app» elude sistemas que teóricamente deberían proteger este tipo de rastreo. Así, ni borrar las cookies, ni navegar en modo incógnito funcionaba a la hora de intentar escapar de ese rastreo. De hecho, el método «abre la puerta a que aplicaciones potencialmente maliciosas espíen la actividad web de los usuarios», explican en el documento.
Los scripts de Meta y Yandex son ligeramente distintos, pero ambos hacen un uso indebido del acceso no autorizado a los sockets de nuestro localhost, el nombre reservado que tiene nuestro dispositivo en la red local y que siempre es la dirección IP loopback 127.0.0.1 (en IPv4). El sistema operativo Android permite a cualquier aplicación instalada, y con el permiso INTERNET, abrir un socket de escucha en la interfaz loopback. Los navegadores que se ejecutan en el mismo dispositivo también acceden a esta interfaz sin el consentimiento del usuario o la mediación de la plataforma. Esto permite que un código JavaScript incrustado en las páginas web se comunique con aplicaciones nativas de Android y comparta identificadores y actividad de navegación.
Millones de sitios web afectados. Para que el método funcionara Meta aprovechaba su cookie «_fbp», muy extendida en sitios web que hacen uso de publicidad de esta plataforma. Según BuiltWith, una web que permite monitorizar la adopción de distintas tecnologías, ese Meta Pixel está embebido en más de 5,8 millones de sitios web. Hay un buscador en la parte final del estudio que permite saber si un sitio web estaba expuesto y la actividad en él podía quedar registrada por estos scripts.
Teóricamente, solo en Android. Los investigadores revelan que sólo lograron obtener pruebas empíricas de esta técnica en móviles Android. No han observado tal problema en navegadores en iOS o en las aplicaciones que evaluaron, aunque señalan que técnicamente lograr hacer algo así en los iPhones es factible.
Los navegadores se protegen. Los responsables del descubrimiento han seguido una política de comunicación responsable de vulnerabilidades y se han puesto en contacto con varios desarrolladores de navegadores. Chrome ya tiene preparado el parche; el de Firefox está en desarrollo (pero parece no estar expuesto al problema); DuckDuckGo ya lo ha resuelto y; Brave no estaba afectado al usar una lista de bloqueo y al requerir permiso explícito del usuario para las comunicaciones con el localhost. No hay información sobre el progreso del parche en Microsoft Edge, que sí estaba afectado.
Y Meta ha desactivado esa opción sin más. Aunque los navegadores hayan tomado medidas, estas llegan tarde. No porque no haya solución o el código se haya modificado, sino porque Meta ha decidido dejar de usarlo sin decir nada. El script Meta Pixel dejó de enviar paquetes o de realizar peticiones a localhost. El código responsable de enviar esa cookie «_fbp», señalan en una actualización en este informe, ha sido casi completamente eliminado.
¿Por qué Meta hizo esto? Hay una hipótesis sobre la puesta en marcha de esta técnica por parte de Meta: podría deberse a cómo Google tenía la intención de librarse de las cookies de terceros en Chrome en algún momento en 2024. Eso hubiera afectado a empresas como Meta, que quizás habría reaccionado tratando de recabar esa información con esta técnica para poder tener un plan B si las cookies desaparecían.
Investigadores de ciberseguridad han revelado detalles de una falla de seguridad crítica en el software de correo web Roundcube, que ha pasado desapercibida durante una década y podría explotarse para controlar sistemas vulnerables y ejecutar código arbitrario.
Roundcube es una de las soluciones de correo web más populares, ya que el producto está incluido en las ofertas de proveedores de hosting reconocidos como GoDaddy, Hostinger, Dreamhost u OVH.
La vulnerabilidad, identificada como CVE-2025-49113, tiene una puntuación CVSS de 9,9 sobre 10. Se ha descrito como un caso de ejecución remota de código mediante la deserialización de objetos PHP y luego de la autenticación del usuario. «Roundcube Webmail en versiones anteriores a la 1.5.10 y 1.6.x en versiones anteriores a la 1.6.11 permite la ejecución remota de código por parte de usuarios autenticados porque el parámetro _from de una URL no está validado en program/actions/settings/upload.php, lo que provoca la deserialización de objetos PHP».
La falla, que afecta a todas las versiones del software anteriores a la 1.6.10 inclusive, se ha solucionado en las versiones 1.6.11 y 1.5.10 LTS. Kirill Firsov, fundador y director ejecutivo de FearsOff, es reconocido por descubrir y reportar la falla. La empresa de ciberseguridad con sede en Dubái indicó en un breve aviso que publicó detalles técnicos adicionales y una prueba de concepto (PoC) en un video.
Los atacantes solo tardaron un par de días en aplicar ingeniería inversa a la solución, aprovechar la vulnerabilidad y empezar a vender un exploit funcional en al menos un foro. Las vulnerabilidades de seguridad previamente reveladas en Roundcube han sido un objetivo lucrativo para actores de amenazas estatales como APT28 y Winter Vivern. El año pasado, Positive Technologies reveló que atacantes no identificados intentaron explotar una falla de Roundcube (CVE-2024-37383) como parte de un ataque de phishing diseñado para robar credenciales de usuario.
Hace un par de semanas, ESET detectó que APT28 había aprovechado vulnerabilidades de secuencias de comandos entre sitios (XSS) en varios servidores de correo web como Roundcube, Horde, MDaemon y Zimbra para recopilar datos confidenciales de cuentas de correo electrónico específicas pertenecientes a entidades gubernamentales y empresas de defensa en Europa del Este.
Positive Technologies, en una publicación en X, afirmó haber logrado reproducir la vulnerabilidad CVE-2025-49113 e instó a los usuarios a actualizar a la última versión de Roundcube lo antes posible.
«Esta vulnerabilidad permite a los usuarios autenticados ejecutar comandos arbitrarios a través de la deserialización de objetos PHP», añadió la empresa rusa de ciberseguridad.
GitLab ha distribuido parches de emergencia —17.10.1, 17.9.3 y 17.8.6— para mitigar la vulnerabilidad CVE-2025-2867, una indirect prompt injection que afectaba a su asistente de IA GitLab Duo y que ya había sido demostrada públicamente por Legit Security.
¿En qué consistía el fallo?
La debilidad permitía inyectar instrucciones ocultas —comentarios blancos, texto codificado en Base16 o manipulado con Unicode smuggling— dentro de merge requests, issues o incluso el propio código. Cuando Duo procesaba ese contexto, obedecía las órdenes maliciosas y podía:
Exfiltrar fragmentos de código privado a un servidor controlado por el atacante.
Inyectar HTML o JavaScript en las respuestas, redirigiendo al desarrollador a sitios de phishing o paquetes maliciosos.
Todas las ediciones CE/EE desde la rama 17.8 hasta la 17.10.0 inclusive estaban expuestas a un ataque de indirect prompt injection, que explota la confianza que la IA otorga al contexto no estructurado para manipular su comportamiento. Un atacante que lograra introducir un “comentario trampa” —por ejemplo, mediante un fork o una simple sugerencia de cambio— podía robar propiedad intelectual, filtrar zero-days internos o engañar a otros desarrolladores para que importaran dependencias maliciosas. El 26 de marzo de 2025, GitLab publicó las versiones corregidas 17.10.1, 17.9.3 y 17.8.6, y GitLab.com ya ejecuta el código seguro.
Recomendaciones
Actualizar inmediatamente a una versión parcheada.
Si la actualización se retrasa, deshabilitar GitLab Duo (GITLAB_DUO_DISABLED=true) y limitar su uso a repositorios públicos.
Revisar registros de Duo y tráfico saliente en busca de respuestas que incluyan URLs o código fuera del dominio corporativo.
Implementar filtros que bloqueen texto oculto o codificado en comentarios y descripciones.
En un mundo donde las imágenes se utilizan para informar o entretener, una nueva generación de ataques de phishing las utiliza para engañar y robar. Un informe reciente de Trustwave SpiderLabs revela un aumento del 1.800 % en los ataques de phishing que utilizan archivos SVG (gráficos vectoriales escalables) como medios de distribución.
Estos archivos de imagen, ligeros y aparentemente inofensivos, se están convirtiendo en la herramienta predilecta de los ciberdelincuentes para el robo de credenciales, la distribución de malware y la elusión de la autenticación multifactor.
Los archivos SVG se utilizan en toda la web para crear iconos y logotipos nítidos. A diferencia de los formatos PNG o JPEG, los SVG se basan en XML y pueden incrustar JavaScript, lo que les permite transportar código interactivo o, en este caso, scripts maliciosos. «Los ciberdelincuentes aprovechan esta característica insertando scripts maliciosos directamente en los archivos SVG, lo que permite el acceso no autorizado, el robo de datos y la vulneración de la identidad».
Los archivos SVG se procesan de forma nativa en los navegadores, y la mayoría de los clientes de correo electrónico no los escanean ni los protegen, lo que los convierte en vectores ideales para el phishing.
En una campaña, los atacantes imitaron una notificación de correo de voz de Microsoft Teams. El correo electrónico de phishing parecía legítimo e instaba a los usuarios a descargar un supuesto archivo adjunto de audio: un archivo .SVG malicioso.
«A pesar de su extensión .SVG, el archivo está diseñado para parecer un mensaje de voz… Al hacer clic, ejecuta un código de redirección incrustado que lleva a los usuarios a una página de inicio de sesión falsa de Office 365.»
El script utilizaba la etiqueta SVG <foreignObject> y ofuscación Base64, eludiendo las herramientas tradicionales de seguridad del correo electrónico. Al abrirse, la imagen mostraba un logotipo falso de Microsoft y redirigía a las víctimas a una página de recolección de credenciales.
Esta campaña estaba vinculada a Mamba2FA, un grupo de phishing como servicio (PhaaS) conocido por su capacidad para eludir las protecciones de MFA.
El phishing basado en SVG ahora se ve impulsado por sofisticadas plataformas de phishing como servicio (PaaS) como:
Tycoon2FA
Mamba2FA
Sneaky2FA
Estos kits permiten a los atacantes:
Integrar scripts ofuscados de varias capas en SVG
Realizar phishing de tipo «Ataque en el Intermedio» (AiTM)
Redireccionar a los usuarios a páginas que eluden la autenticación multifactor (MFA) y recopilan credenciales
«El aumento del phishing en SVG sugiere que los actores de amenazas están expandiendo continuamente sus tácticas para eludir las medidas de seguridad más allá de los códigos QR y los métodos tradicionales, incluyendo enlaces, HTML y ataques basados en documentos», concluye el informe. Para combatir esta amenaza, Trustwave SpiderLabs recomienda un enfoque multifacético:
Evalúar la opción de bloquear correos electrónicos con archivos adjuntos en SVG o, como mínimo, marcarlos con una advertencia.
Tener cuidado con los archivos adjuntos y enlaces: sospechar de los archivos inesperados y los enlaces incrustados.
Verificar la autenticidad de los remitentes y el contenido.
Capacitar a los empleados regularmente.
Implementar sistemas robustos de filtrado y detección de amenazas.
Implementar métodos de autenticación multifactor (MFA) con capas adicionales
Reforzar las defensas con métodos resistentes al phishing.
Investigadores han revelado detalles de una plataforma impulsada por inteligencia artificial (IA) llamada AkiraBot, que se utiliza para enviar spam a chats, secciones de comentarios y formularios de contacto de sitios web con el fin de promocionar servicios de optimización para motores de búsqueda (SEO) dudosos como Akira y ServicewrapGO.
«AkiraBot ha atacado más de 400.000 sitios web y ha enviado spam con éxito a al menos 80.000 desde septiembre de 2024», declararon los investigadores de SentinelOne, Alex Delamotte y Jim Walter, en un informe. «El bot utiliza OpenAI para generar mensajes de contacto personalizados según el propósito del sitio web».
Los objetivos de esta actividad incluyen formularios de contacto y widgets de chat presentes en sitios web de pequeñas y medianas empresas, y el framework comparte contenido spam generado mediante los modelos de lenguaje (LLM) de OpenAI. Lo que distingue a esta extensa herramienta basada en Python es su capacidad para crear contenido que permite eludir los filtros de spam.
Se cree que la herramienta de mensajería masiva se ha utilizado al menos desde septiembre de 2024, comenzando con el nombre «Shopbot», en lo que parece ser una referencia a los sitios web que utilizan Shopify.
Con el tiempo, AkiraBot ha ampliado su alcance de segmentación para incluir sitios desarrollados con GoDaddy, Wix y Squarespace, así como aquellos con formularios de contacto genéricos y widgets de chat en vivo creados con Reamaze.
La clave de la operación, que consiste en generar el contenido de spam, se facilita mediante el uso de la API de OpenAI. La herramienta también ofrece una interfaz gráfica de usuario (GUI) para seleccionar la lista de sitios web objetivo y personalizar cuántos de ellos se pueden atacar simultáneamente.
«AkiraBot crea mensajes de spam personalizados para los sitios web objetivo procesando una plantilla que contiene un esquema genérico del tipo de mensaje que debe enviar el bot», explicaron los investigadores. «La plantilla se procesa mediante una solicitud enviada a la API de chat de OpenAI para generar un mensaje de contacto personalizado basado en el contenido del sitio web».
Un análisis del código fuente revela que el cliente OpenAI utiliza el modelo gpt-4o-mini y se le asigna la función de «asistente útil que genera mensajes de marketing».
Otro aspecto destacable del servicio es que puede sortear las barreras CAPTCHA para enviar spam a sitios web a gran escala y evadir las detecciones basadas en la red mediante un servicio de proxy que se suele ofrecer a los anunciantes. Los servicios CAPTCHA objetivo son hCAPTCHA, reCAPTCHA y Cloudflare Turnstile.
Para lograrlo, el tráfico web del bot está diseñado para simular un usuario final legítimo y utiliza diferentes servidores proxy de SmartProxy para ocultar el origen del tráfico.
AkiraBot también está configurado para registrar sus actividades en un archivo llamado «submissions.csv», que registra tanto los intentos de spam exitosos como los fallidos. Un análisis de estos archivos ha revelado que más de 420.000 dominios únicos han sido atacados hasta la fecha. Además, las métricas de éxito relacionadas con la evasión de CAPTCHA y la rotación de proxy se recopilan y se publican en un canal de Telegram a través de la API.
En respuesta a los hallazgos, OpenAI ha desactivado la clave API y otros recursos asociados utilizados por los actores de amenazas. «El autor o los autores han invertido un esfuerzo considerable en la capacidad de este bot para evadir las tecnologías CAPTCHA de uso común, lo que demuestra que los operadores están motivados a violar las protecciones de los proveedores de servicios. El uso por parte de AkiraBot del contenido de mensajes de spam generados por LLM demuestra los nuevos desafíos que la IA plantea para la defensa de los sitios web contra los ataques de spam».
Fortinet ha revelado que actores de amenazas han encontrado una manera de mantener el acceso de solo lectura a dispositivos FortiGate vulnerables, incluso después de que se parcheara el vector de acceso inicial utilizado para vulnerarlos.
Se cree que los atacantes aprovecharon vulnerabilidades de seguridad conocidas y ahora parcheadas, incluyendo, entre otras, CVE-2022-42475, CVE-2023-27997, y CVE-2024-21762.
«Un actor de amenazas utilizó una vulnerabilidad conocida para implementar acceso de solo lectura a dispositivos FortiGate vulnerables», declaró la compañía en un aviso publicado el jueves. «Esto se logró mediante la creación de un enlace simbólico que conectaba el sistema de archivos del usuario con el sistema de archivos raíz en una carpeta utilizada para servir archivos de idioma para SSL-VPN».
Fortinet afirmó que las modificaciones se realizaron en el sistema de archivos del usuario y lograron evadir la detección, lo que provocó que el enlace simbólico (también conocido como symlink) permaneciera incluso después de que se solucionaran las vulnerabilidades de seguridad responsables del acceso inicial.
Esto, a su vez, permitió a los actores de amenazas mantener acceso de solo lectura a los archivos del sistema de archivos del dispositivo, incluidas las configuraciones. Sin embargo, los clientes que nunca han habilitado SSL-VPN no se ven afectados por el problema.
No está claro quién está detrás de la actividad, pero Fortinet afirmó que su investigación indicó que no se dirigía a ninguna región o industria específica. También indicó que notificó directamente a los clientes afectados por el problema.
Como medidas adicionales para evitar que estos problemas vuelvan a ocurrir, se han implementado una serie de actualizaciones de software para FortiOS:
FortiOS 7.4, 7.2, 7.0, 6.4: El enlace simbólico se marcó como malicioso, por lo que el motor antivirus lo eliminó automáticamente.
FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 y 6.4.16: Se eliminó el enlace simbólico y se modificó la interfaz de usuario de SSL-VPN para evitar la publicación de estos enlaces simbólicos maliciosos.
Se recomienda a los clientes que actualicen sus instancias a las versiones 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16 de FortiOS, revisen las configuraciones de los dispositivos, las consideren potencialmente comprometidas y realicen las acciones de recuperación adecuadas.
CISA ha emitido un aviso propio, instando a los usuarios a restablecer las credenciales expuestas y a considerar la desactivación de la funcionalidad SSL-VPN hasta que se puedan aplicar los parches. El Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR), en un boletín similar, afirmó tener conocimiento de vulnerabilidades que se remontan a principios de 2023.
OpenSSL 3.5 se lanzó una importante actualización de esta biblioteca de software libre, multiplataforma y de código abierto que proporciona comunicaciones seguras a través de redes informáticas para aplicaciones y sitios web.
OpenSSL 3.5 es una versión estable a largo plazo (LTS) y tendrá soporte hasta el 8 de abril de 2030.
Más de seis meses después de OpenSSL 3.4, la versión 3.5 de OpenSSL introduce nuevas características como compatibilidad con QUIC del lado del servidor (RFC 9000), compatibilidad con pilas QUIC de terceros (incluida la compatibilidad con 0-RTT), compatibilidad con algoritmos PQC (ML-KEM, ML-DSA y SLH-DSA) y compatibilidad con la generación central de claves en CMP.
OpenSSL 3.5 también introduce compatibilidad con objetos de clave simétrica opacos (EVP_SKEY), compatibilidad con múltiples claves compartidas TLS, una mejor configuración de grupos de establecimiento de claves TLS y compatibilidad con API para la segmentación en los algoritmos de cifrado proporcionados.
Además, esta versión añade la nueva opción de configuración «no-tls-deprecated-ec» para deshabilitar la compatibilidad con los grupos TLS obsoletos en la RFC8422, así como la nueva opción de configuración «enable-fips-jitter» para que el proveedor FIPS utilice la fuente de semilla JITTER.
OpenSSL 3.5 también modifica la lista predeterminada de grupos compatibles con TLS para incluir y priorizar grupos híbridos PQC KEM, modifica las claves compartidas TLS predeterminadas para ofrecer X25519MLKEM768 y X25519, cambia el cifrado predeterminado para las aplicaciones req, cms y smime de des-ede3-cbc a aes-256-cbc y deshabilita todas las funciones BIO_meth_get_*().
Existe un problema conocido, que los desarrolladores planean solucionar en OpenSSL 3.5.1: un error al llamar a SSL_accept en los objetos devueltos desde SSL_accept_connection. Se espera que esta llamada avance el protocolo de enlace SSL para la conexión realizada, pero actualmente no es así. Esto se puede gestionar llamando a SSL_do_handshake.
Para más detalles, consulte las notas de la versión. Mientras tanto, puede descargar OpenSSL 3.5 ahora mismo desde el sitio web oficial. Se recomienda a todos los usuarios, sitios web y sistemas operativos que actualicen a esta versión lo antes posible.
Desde hace semanas, expertos en ciberseguridad han alertado sobre una intensificación de los ataques por fuerza bruta contra dispositivos de red. Según el informe de The Shadowserver Foundation, la ofensiva no es nueva, pero ha alcanzado un nivel crítico recientemente.
Este tipo de ataque consiste en probar miles de combinaciones de usuario y contraseña hasta encontrar la correcta, utilizando programas automatizados.
2,8 millones de direcciones IP involucradas
Lo que hace a esta ofensiva especialmente preocupante es su escala global. Las conexiones maliciosas provienen de millones de direcciones IP de diversos países.
Los delincuentes aprovechan vulnerabilidades en estos dispositivos antiguos o sin soporte para convertirlos en herramientas de ataque, lo que refuerza la importancia de mantener los sistemas actualizados. Para ello, han desplegado una red de dispositivos comprometidos mediante un botnet, infectando routers de marcas como MikroTik, Huawei, Cisco, Boa y ZTE. Estos equipos, sin las actualizaciones adecuadas, han sido tomados por los ciberdelincuentes para lanzar ataques masivos contra objetivos específicos. En esta ocasión, los atacantes han centrado sus esfuerzos en dispositivos de Palo Alto Networks, Ivanti y SonicWall, todos ellos esenciales en infraestructuras de seguridad digital.
Uno de los aspectos más inquietantes de esta campaña es la sofisticación de sus métodos para evadir los sistemas de seguridad. n lugar de utilizar servidores proxy convencionales, se apoyan en proxies residenciales, que les permiten ocultar sus actividades tras direcciones IP legítimas de usuarios reales. De esta manera, logran evitar las restricciones que suelen detectar y bloquear accesos sospechosos.
Este enfoque hace que los intentos de intrusión sean mucho más difíciles de identificar y frenar, lo que aumenta la efectividad del ataque. Aunque esta campaña ha alcanzado un nivel preocupante, no es la primera vez que ocurre algo similar. En abril de 2024, Cisco advirtió sobre un aumento significativo de ataques de fuerza bruta dirigidos a dispositivos de seguridad de empresas como CheckPoint, Fortinet, SonicWall y Ubiquiti.
Cómo protegerse de estos ataques
Ante esta amenaza global, se recomienda tomar medidas urgentes para proteger los dispositivos de red:
Usar contraseñas seguras: evitar credenciales débiles y optar por combinaciones complejas para dificultar los ataques por fuerza bruta.
Activar la autenticación en dos pasos (2FA): añadir una capa extra de seguridad impide el acceso no autorizado, incluso si los atacantes logran descifrar la contraseña.
Restringir el acceso por IP: configurar los dispositivos para que solo permitan conexiones desde direcciones IP de confianza.
Mantener los equipos actualizados: instalar parches de seguridad y actualizar dispositivos regularmente para evitar que vulnerabilidades conocidas sean explotadas.
Reemplazar equipos obsoletos: si el dispositivo ya no recibe soporte o actualizaciones, es crucial considerar su sustitución por modelos más seguros.
MITRE ha lanzado oficialmente D3FEND 1.0, una innovadora ontología de ciberseguridad diseñada para estandarizar el vocabulario y las técnicas utilizadas para contrarrestar las ciberamenazas maliciosas.
Este marco innovador, financiado por la Agencia de Seguridad Nacional (NSA) y el Departamento de Defensa de los EE.UU. (DoD), tiene como objetivo mejorar las operaciones de ciberseguridad y la toma de decisiones estratégicas en todas las industrias.
D3FEND, presentado por primera vez como versión beta en junio de 2021, ha experimentado un desarrollo significativo durante los últimos tres años. Su gráfico semántico ha triplicado su tamaño, lo que refleja las contribuciones de una comunidad diversa de expertos en ciberseguridad, incluidos arquitectos de seguridad e ingenieros de detección.
El resultado es un modelo sólido basado en casos de uso que proporciona un marco estable y extensible para abordar las complejidades de los desafíos de la ciberseguridad moderna.
“D3FEND 1.0 refleja la experiencia y la visión colectivas de una comunidad diversa de ciberseguridad”, dijo Wen Masters, vicepresidente de tecnologías cibernéticas de MITRE. “Es más que una herramienta, es un camino hacia estrategias defensivas más inteligentes y matizadas”.
En esencia, D3FEND funciona como una “piedra de Rosetta” para los defensores cibernéticos al establecer un lenguaje común para las actividades defensivas y los sistemas que protegen.
Según Peter Kaloroumakis, principal ontólogo aplicado en MITRE, “Aunque D3FEND se centra en la tecnología, en realidad está resolviendo un problema humano: lograr que todos estén en la misma página con un vocabulario compartido es esencial para el análisis estratégico y la construcción de sistemas seguros”.
Características de D3FEND 1.0
Herramienta de defensa contra ataques cibernéticos (CAD): esta herramienta interactiva permite a los usuarios aplicar la ontología completa a escenarios específicos mediante la vinculación de nodos en un lienzo visual. Los usuarios pueden explorar inferencias y compartir sus gráficos CAD en redes.
Técnicas defensivas ampliadas: la versión incluye nuevas taxonomías para el control de identidad y acceso, tecnología operativa, fortalecimiento del código fuente y modelado de vulnerabilidades mediante la integración con Common Weakness Enumeration (CWE).
Precisión ontológica: D3FEND, que se basa en los estándares OWL 2 DL, garantiza la compatibilidad con las principales ontologías superiores para aplicaciones semánticas más amplias.
Actualizaciones transparentes: una nueva estrategia de ciclo de vida del contenido garantiza actualizaciones predecibles para una adaptación perfecta.
MITRE anima a los profesionales de la ciberseguridad a explorar D3FEND 1.0 y contribuir a su evolución. MITRE tiene como objetivo mejorar las capacidades de defensa de la ciberseguridad fomentando la colaboración y la innovación en un panorama de amenazas cada vez más sofisticado.
