Newsletter - 2025-6

Tabla de Contenidos
  1. Newsletter - 2025-6
    1. Nueva campaña de malware a través de sitios falsos de DeepSeek
    2. Técnicas de Jailbreaking: Cómo los modelos de lenguaje pueden ser manipulados para usos maliciosos
    3. La importancia de la seguridad en la nube: desafíos y soluciones emergentes
    4. Aumento alarmante de ataques de ransomware en el sector salud
    5. Microsoft aborda fallos críticos en Azure AI Face Service y Microsoft Account
    6. Nuevas medidas de protección contra el robo de dispositivos Android
    7. La creciente amenaza de las vulnerabilidades explotadas en 2024

Nueva campaña de malware a través de sitios falsos de DeepSeek

Categoría Seguridad en Aplicaciones
Nombre del tema Nueva campaña de malware a través de sitios falsos de DeepSeek
Brecha Falsificación de sitios web oficiales para distribuir malware
Criticidad
Solución propuesta Verificación de URLs, evitar descargas innecesarias, y uso de soluciones de seguridad para analizar archivos
Beneficios esperados Reducción del riesgo de infecciones por malware, protección de datos sensibles y aumento de la concienciación de los usuarios
Artículo original We Live Security

Deepseek Malware

En los últimos días, luego del lanzamiento de DeepSeek, se detectó una campaña de distribución de malware a través de sitios falsos que imitan al oficial de esta herramienta de inteligencia artificial generativa open source. Así, una vez más, los cibercriminales muestran cómo aprovechan temas o eventos de interés masivo para engañar a los usuarios desprevenidos.

La web maliciosa, reportada por el usuario de X @g0njxa, tiene un diseño muy similar al sitio legítimo, pero detalles como la URL o la opción de descargar una aplicación delatan su falsedad. Por eso es tan relevante siempre observar bien la URL y chequear su veracidad. La mejor opción es tipear por uno mismo letra a letra.

Diferencias entre el sitio real y el falso:

En el sitio oficial, el botón principal dice “Start Now”, ya que DeepSeek se usa directamente en la web. En el sitio falso, el botón dice “Download Now” y eso implica la descarga de un archivo que, como veremos, es malicioso. DeepSeek no precisa de instalación; cualquier sitio que solicite una descarga representa un posible riesgo.

Sitio Original Sitio Original de DeepSeek

En cuanto al sitio apócrifo, según el mismo usuario de X, el dominio de esta URL es usado por otros sitios que impersonan diversos software para distribuir el mismo malware. Este dominio utiliza la firma digital que supuestamente proviene de una empresa llamada “K.MY TRADING TRANSPORT COMPANY LIMITED” para intentar que parezca un archivo legítimo y evitar ser detectado por sistemas de seguridad. Sitio Falso Sitio Falso de DeepSeek

Si un usuario hace clic en el botón del sitio falso, se descarga un archivo ejecutable (.exe) con el nombre de DeepSeek. En la telemetría de ESET, este archivo es detectado como Win32/Packed.NSIS.A y, hasta el momento, se ha registrado esta actividad en China, Rusia y otros países de Europa. De todas formas, sirve como advertencia, ya que este tipo de campañas aprovechándose de la creciente popularidad de esta nueva herramienta podrían verse en otras partes del mundo o incluso en América Latina. Por lo tanto, se recomienda precaución al acceder a herramientas en línea.

Para evitar descargar archivos maliciosos o ingresar credenciales en sitios fraudulentos, se sugiere:

  1. Verificar la URL antes de acceder o ingresar datos.
  2. Evitar descargas innecesarias en herramientas que funcionan desde la web.
  3. Usar soluciones de seguridad para analizar archivos antes de ejecutarlos.
  4. Consultar fuentes confiables para conocer posibles riesgos y campañas activas.

El monitoreo de este tipo de campañas permite identificar patrones y prevenir incidentes relacionados con la distribución de malware. La concienciación y la educación de los usuarios son fundamentales para evitar caer en estas trampas. Además, el uso de herramientas de seguridad adecuadas y la verificación constante de la legitimidad de los sitios web visitados pueden reducir significativamente el riesgo de infecciones y proteger los datos sensibles de los usuarios.

En resumen, esta nueva campaña de malware a través de sitios falsos de DeepSeek es un claro ejemplo de cómo los cibercriminales se adaptan rápidamente a las tendencias y eventos de interés para maximizar su alcance y efectividad. Es esencial que los usuarios mantengan una actitud vigilante y adopten prácticas seguras en línea para protegerse contra estas amenazas.

Técnicas de Jailbreaking: Cómo los modelos de lenguaje pueden ser manipulados para usos maliciosos

Categoría Seguridad en Aplicaciones
Nombre del tema Técnicas de Jailbreaking en Modelos de Lenguaje
Brecha Vulnerabilidad en las restricciones de seguridad de los LLMs
Criticidad
Solución propuesta Implementación de mecanismos de seguridad avanzados y monitoreo continuo
Beneficios esperados Reducción del riesgo de uso malicioso de LLMs y fortalecimiento de la ciberseguridad
Artículo original Palo Alto

Palo Alto

Investigadores de Unit 42 han identificado tres nuevas técnicas de jailbreaking para modelos de lenguaje (LLMs), denominadas Deceptive Delight, Bad Likert Judge y Crescendo. Estas técnicas permiten burlar las restricciones de seguridad de los modelos para generar contenido malicioso. Durante su investigación, probaron estas técnicas en los modelos DeepSeek-V3 y DeepSeek-R1, dos LLMs de código abierto desarrollados por una organización de IA en China.

Los resultados mostraron que estos modelos son altamente vulnerables a los jailbreaks, permitiendo la generación de contenido restringido en múltiples categorías prohibidas. Se lograron tasas de evasión significativas sin necesidad de conocimientos técnicos avanzados.

Peligros de los Jailbreaks en LLMs
Las restricciones de seguridad en los LLMs existen para evitar que estos modelos generen información sobre actividades ilegales, como la creación de herramientas de exfiltración de datos, keyloggers y dispositivos incendiarios. Sin embargo, cuando estas restricciones son vulneradas, los modelos pueden facilitar enormemente la realización de actividades delictivas al proporcionar información estructurada y accesible.

Técnicas de Jailbreaking probadas

1. Bad Likert Judge
Esta técnica manipula al LLM utilizando una escala de Likert para evaluar la peligrosidad de diferentes respuestas. La estrategia consiste en mezclar temas benignos con temas maliciosos, de modo que el modelo termine proporcionando información sensible al tratar de cumplir con la estructura del ejercicio.

Bad Likert Judge initial jailbreak prompt Bad Likert Judge initial jailbreak prompt

  • En las pruebas con DeepSeek, los investigadores lograron obtener código para la exfiltración de datos, generación de keyloggers e incluso creación de correos electrónicos de phishing altamente convincentes.
  • En muchos casos, DeepSeek proporcionó información detallada sobre tácticas de manipulación psicológica para mejorar la eficacia de ataques de ingeniería social.
  • Aunque algunos mensajes incluían advertencias como “esto es solo con fines educativos”, el nivel de detalle facilitado era suficiente para su uso real en ataques maliciosos.

Bad Likert Judge responses after using additional prompts

2. Crescendo
Esta técnica introduce progresivamente temas prohibidos en la conversación, de manera que el modelo no perciba un cambio abrupto en el contexto y termine proporcionando información sensible.

Response from DeepSeek in the initial phase of a Crescendo jailbreak Response from DeepSeek in the initial phase of a Crescendo jailbreak

  • Se probó con la historia de los cócteles Molotov, comenzando con información general sobre su origen y escalando hasta conseguir instrucciones paso a paso para su fabricación.
  • La misma técnica se utilizó para obtener información sobre la producción de metanfetaminas y otros contenidos peligrosos.

Response from DeepSeek in the final phase of a Crescendo jailbreak Response from DeepSeek in the final phase of a Crescendo jailbreak

3. Deceptive Delight
Este método introduce temas maliciosos dentro de un contexto narrativo positivo, lo que engaña al modelo para que genere respuestas detalladas sobre ataques informáticos. The first turn of a Deceptive Delight attempt in DeepSee The first turn of a Deceptive Delight attempt in DeepSee

  • Se utilizó para obtener código relacionado con la ejecución remota de comandos en Windows mediante DCOM.
  • También se logró que DeepSeek generara código para SQL Injection, facilitando ataques a bases de datos vulnerables.
  • La técnica se demostró altamente efectiva en múltiples escenarios, mostrando que los LLMs pueden ser engañados fácilmente para proporcionar código malicioso real.

Example of DeepSeek providing a rudimentary script after using the Deceptive Delight technique Example of DeepSeek providing a rudimentary script after using the Deceptive Delight technique

Conclusiones y riesgos
La investigación evidenció que DeepSeek es vulnerable a técnicas de jailbreaking, permitiendo la generación de contenido prohibido en diferentes categorías. Aunque en algunos casos los modelos proporcionaban respuestas vagas o genéricas en un primer intento, con suficientes iteraciones fue posible extraer información detallada y accionable.

Esto demuestra que, a pesar de los esfuerzos por mejorar la seguridad de los LLMs, siguen existiendo vulnerabilidades que los atacantes pueden explotar. El problema es aún más grave considerando que estos modelos de código abierto están disponibles para cualquier persona, aumentando el riesgo de su uso indebido.

Medidas de mitigación y protección
Para mitigar estos riesgos, se recomienda que las organizaciones:

  • Monitoreen el uso de LLMs dentro de sus redes corporativas, especialmente aquellos modelos no autorizados.
  • Implementen herramientas de ciberseguridad avanzadas para detectar posibles intentos de jailbreaking.
  • Refuercen las restricciones y mecanismos de seguridad en modelos de IA para evitar que sean explotados con técnicas avanzadas.

En conclusión, el estudio de Unit 42 subraya la urgente necesidad de mejorar la seguridad en los LLMs, ya que los atacantes pueden aprovechar sus vulnerabilidades para obtener información detallada sobre ataques cibernéticos, ingeniería social y otras actividades maliciosas.

La importancia de la seguridad en la nube: desafíos y soluciones emergentes

Categoría Seguridad en la Nube
Nombre del tema La importancia de la seguridad en la nube: desafíos y soluciones emergentes
Brecha Vulnerabilidades en la configuración y gestión de entornos en la nube
Criticidad
Solución propuesta Implementación de buenas prácticas de configuración, monitoreo constante y adopción de herramientas de seguridad específicas para la nube
Beneficios esperados Reducción de riesgos de violaciones de datos, aumento de la confianza en la infraestructura en la nube y mejora de la resiliencia ante ciberataques
Artículo original The Hacker News

Palo Alto

El panorama de la seguridad en la nube ha evolucionado significativamente en los últimos años, impulsado por la adopción masiva de servicios en la nube por parte de organizaciones de todos los tamaños. Sin embargo, junto con los beneficios de flexibilidad, escalabilidad y reducción de costos, también han surgido nuevos desafíos de seguridad que deben ser abordados de manera proactiva. La seguridad en la nube se refiere a un conjunto de políticas, tecnologías y controles diseñados para proteger los datos, las aplicaciones y la infraestructura asociada con los servicios en la nube.

Una de las principales brechas en la seguridad en la nube es la configuración incorrecta de los entornos en la nube. Muchas organizaciones, al migrar a la nube, no siguen las mejores prácticas de configuración, lo que puede resultar en vulnerabilidades explotables por actores malintencionados. La falta de visibilidad y control sobre los recursos en la nube es otra preocupación crítica. A menudo, las organizaciones no tienen una visión completa de todos los activos desplegados en la nube, lo que dificulta la identificación y mitigación de riesgos.

Además, la gestión de identidades y accesos (IAM) en la nube presenta desafíos únicos. Con la proliferación de usuarios, dispositivos y aplicaciones, gestionar quién tiene acceso a qué recursos y asegurar que los permisos sean adecuados se vuelve una tarea compleja. La implementación de políticas de Zero Trust puede ser una solución efectiva, ya que se basa en la premisa de no confiar en ningún usuario o dispositivo por defecto, independientemente de su ubicación dentro o fuera de la red de la organización.

Otro aspecto crítico es la protección de los datos en tránsito y en reposo. Los datos que se mueven entre la nube y los usuarios finales, así como los datos almacenados en la nube, deben estar cifrados para prevenir accesos no autorizados. Las organizaciones deben asegurarse de que los proveedores de servicios en la nube ofrezcan capacidades robustas de cifrado y que estas se configuren correctamente.

Para abordar estos desafíos, se recomienda la adopción de herramientas y prácticas específicas para la seguridad en la nube. El monitoreo constante de los entornos en la nube es esencial para detectar y responder a incidentes de seguridad en tiempo real. Las soluciones de gestión de eventos e información de seguridad (SIEM) pueden proporcionar una visión centralizada de la actividad en la nube y ayudar a identificar patrones sospechosos.

Además, las organizaciones deben implementar pruebas regulares de penetración y auditorías de seguridad para identificar y corregir vulnerabilidades antes de que puedan ser explotadas. La automatización de la seguridad mediante el uso de herramientas de DevSecOps también puede mejorar significativamente la capacidad de una organización para gestionar la seguridad en entornos dinámicos y en constante cambio.

La formación y concienciación del personal es otro componente crucial. Los empleados deben estar informados sobre las mejores prácticas de seguridad en la nube y ser capaces de reconocer y responder a posibles amenazas. La implementación de simulaciones de ataques y ejercicios de respuesta a incidentes puede ayudar a preparar al equipo para enfrentar situaciones de seguridad reales.

En resumen, la seguridad en la nube es un campo en constante evolución que requiere una atención continua y un enfoque proactivo. Al adoptar un conjunto integral de políticas, herramientas y prácticas de seguridad, las organizaciones pueden mitigar los riesgos y aprovechar al máximo los beneficios de los servicios en la nube. La clave para una seguridad efectiva en la nube radica en la combinación de tecnología avanzada, procesos sólidos y una cultura organizacional orientada a la seguridad.

Aumento alarmante de ataques de ransomware en el sector salud

Categoría Seguridad en Aplicaciones
Nombre del tema Aumento alarmante de ataques de ransomware en el sector salud
Brecha Falta de medidas de seguridad robustas en aplicaciones críticas de salud
Criticidad
Solución propuesta Implementación de soluciones avanzadas de seguridad en aplicaciones, formación del personal y adopción de prácticas de ciberseguridad proactivas
Beneficios esperados Reducción de la vulnerabilidad a ataques, protección de datos sensibles de pacientes y mejora de la resiliencia operativa
Artículo original The Hacker News

The Hacker News

En los últimos tiempos, el sector de la salud ha sido el objetivo de un número creciente de ataques de ransomware, destacando el preocupante aumento de la actividad maliciosa y las graves consecuencias para las organizaciones y los pacientes. Uno de los incidentes más recientes y significativos fue el ataque llevado a cabo por el grupo Interlock, que comprometió los datos personales y de salud de millones de personas.

El grupo Interlock, conocido por sus sofisticadas tácticas de doble extorsión, se ha enfocado en hospitales, clínicas y otros proveedores de servicios médicos. Este método de ataque implica no solo encriptar los datos del usuario para interrumpir las operaciones, sino también amenazar con divulgar información sensible si no se cumplen las demandas de rescate.

Características notables del grupo Interlock:

  1. Sofisticación: Utilizan técnicas avanzadas como phishing, actualizaciones de software falsas y sitios web maliciosos para obtener acceso inicial.
  2. Persistencia: Su capacidad para permanecer indetectados durante largos períodos amplifica el daño potencial.
  3. Despliegue rápido: Una vez dentro de la red, se mueven lateralmente con rapidez, robando datos sensibles y preparando los sistemas para la encriptación.
  4. Demandas de rescate personalizadas: Evalúan cuidadosamente el valor de los datos robados para establecer montos de rescate que las víctimas probablemente pagarán.

En el último trimestre de 2024, Interlock atacó varias organizaciones de salud en Estados Unidos, exponiendo información sensible de pacientes y causando graves interrupciones en las operaciones. Entre las víctimas se encuentran:

  • Brockton Neighborhood Health Center: Brechado en octubre de 2024, con el ataque permaneciendo indetectado durante casi dos meses.
  • Legacy Treatment Services: Detectado a finales de octubre de 2024.
  • Drug and Alcohol Treatment Service: Datos comprometidos descubiertos en el mismo período.

Cadena de ataque del grupo Interlock:

El ataque del grupo Interlock comienza con un método estratégico y altamente engañoso conocido como “Drive-by Compromise”. Esta técnica les permite obtener acceso inicial a los sistemas objetivo explotando a usuarios desprevenidos, a menudo a través de sitios web de phishing cuidadosamente diseñados.

Ataque inicial del ransomware:

El ataque comienza cuando el grupo Interlock compromete un sitio web legítimo existente o registra un nuevo dominio de phishing. Estos sitios están diseñados para parecer confiables, imitando plataformas creíbles como portales de noticias o páginas de descarga de software. Los sitios contienen enlaces para descargar actualizaciones falsas o herramientas, que, al ejecutarse, infectan el dispositivo del usuario con software malicioso.

Ejecución: cómo Interlock gana control:

Una vez que el grupo Interlock ha atravesado las defensas iniciales, comienza la fase de Ejecución. En esta etapa, los atacantes despliegan cargas útiles maliciosas o ejecutan comandos dañinos en los dispositivos comprometidos, preparando el escenario para tomar el control total de la red de la víctima.

A menudo disfrazan sus herramientas maliciosas como actualizaciones de software legítimas para engañar a los usuarios. Las víctimas lanzan sin saberlo actualizadores falsos, pensando que están realizando mantenimiento rutinario. En realidad, estas descargas activan herramientas de acceso remoto (RAT), que otorgan a los atacantes acceso completo al sistema infectado.

Fake updater analyzed inside ANY.RUN sandbox Fake updater analyzed inside ANY.RUN sandbox

Compromiso de acceso sensible:

El siguiente paso del ataque es robar credenciales de acceso. Estas credenciales permiten a los atacantes moverse lateralmente dentro de la red y explotar aún más la infraestructura de la víctima.

Interlock Stealer detected by ANY.RUN Interlock Stealer detected by ANY.RUN

El grupo Interlock utilizó una herramienta personalizada de robo de datos para recolectar información sensible, incluyendo nombres de usuario, contraseñas y otras credenciales de autenticación.

Movimiento lateral: expandiendo el acceso:

Durante la fase de Movimiento Lateral, los atacantes se expanden por la red para acceder a sistemas y recursos adicionales. El grupo Interlock se valió de herramientas de administración remota legítimas, como Putty, Anydesk y RDP, comúnmente utilizadas por los equipos de TI, pero reutilizadas para actividades maliciosas.

Putty detected inside ANY.RUN Putty detected inside ANY.RUN

Exfiltración de datos: extracción de información robada:

En esta etapa final, los atacantes exfiltran los datos robados fuera de la red de la víctima, a menudo utilizando servicios de almacenamiento en la nube. El grupo Interlock, por ejemplo, utilizó el almacenamiento en la nube de Azure para transferir datos fuera de la organización.

Data sent by the RAT to attacker-controlled servers revealed by ANY.RUN Data sent by the RAT to attacker-controlled servers revealed by ANY.RUN

Protección proactiva contra ransomware en el sector salud:

El sector de la salud es un objetivo principal para grupos de ransomware como Interlock, con ataques que ponen en peligro datos sensibles de pacientes, interrumpen servicios críticos y ponen vidas en riesgo. Las organizaciones de salud deben mantenerse cautelosas y priorizar las medidas de ciberseguridad para proteger sus sistemas y datos.

La detección temprana es clave para minimizar el daño. Herramientas como el Sandbox de ANY.RUN permiten a los equipos de salud identificar amenazas como Interlock temprano en la cadena de ataque, proporcionando información procesable para prevenir violaciones de datos antes de que ocurran.

Con la capacidad de analizar archivos sospechosos de manera segura, descubrir Indicadores de Compromiso (IOC) ocultos y monitorear la actividad de la red, ANY.RUN da a las organizaciones el poder de combatir amenazas avanzadas eficazmente.

Microsoft aborda fallos críticos en Azure AI Face Service y Microsoft Account

Categoría Seguridad en Aplicaciones
Nombre del tema Microsoft aborda fallos críticos en Azure AI Face Service y Microsoft Account
Brecha Vulnerabilidades de elevación de privilegios en servicios críticos en la nube
Criticidad
Solución propuesta Implementación de parches de seguridad específicos para cada vulnerabilidad
Beneficios esperados Reducción del riesgo de explotación de vulnerabilidades críticas, mejora de la seguridad de los servicios en la nube y fortalecimiento de la confianza del cliente
Artículo original The Hacker News

Microsoft Patches

Microsoft ha lanzado recientemente parches para solucionar dos vulnerabilidades críticas que afectan a Azure AI Face Service y Microsoft Account. Estas vulnerabilidades, identificadas como CVE-2025-21396 y CVE-2025-21415, podrían permitir que un actor malicioso eleve sus privilegios bajo ciertas condiciones específicas.

La vulnerabilidad CVE-2025-21396, con una puntuación CVSS de 7.5, se describe como una vulnerabilidad de elevación de privilegios en Microsoft Account. Esta falla se debe a una autorización ausente, lo que podría permitir a un atacante no autorizado elevar sus privilegios a través de una red. Un investigador de seguridad conocido bajo el alias Sugobet ha sido reconocido por el descubrimiento de esta vulnerabilidad.

Por otro lado, la vulnerabilidad CVE-2025-21415, con una puntuación CVSS de 9.9, afecta a Azure AI Face Service. Esta falla se debe a una suplantación de autenticación que permite a un atacante autorizado elevar sus privilegios a través de una red. Microsoft, en su asesoría para CVE-2025-21415, ha agradecido a un investigador anónimo por reportar esta vulnerabilidad.

En ambos casos, Microsoft ha lanzado parches de seguridad para mitigar estas vulnerabilidades. La compañía ha enfatizado que estas fallas han sido completamente mitigadas y no requieren ninguna acción adicional por parte de los clientes. Este enfoque proactivo forma parte de los esfuerzos continuos de Microsoft para mejorar la transparencia emitiendo CVEs para vulnerabilidades críticas en servicios en la nube, independientemente de si los clientes necesitan instalar un parche o tomar otras acciones para protegerse.

El impacto de estas vulnerabilidades es significativo, ya que podrían permitir a los atacantes obtener acceso no autorizado a recursos críticos y potencialmente comprometer la integridad de los sistemas afectados. La divulgación y la corrección de estas vulnerabilidades son esenciales para mantener la seguridad y la confianza en los servicios en la nube de Microsoft.

Microsoft ha subrayado la importancia de la transparencia en la industria de la ciberseguridad, especialmente a medida que más servicios migran a la nube. “A medida que nuestra industria madura y migra cada vez más hacia servicios basados en la nube, debemos ser transparentes sobre las vulnerabilidades significativas de ciberseguridad que se encuentran y se corrigen”, señaló la compañía en junio de 2024. Al compartir abiertamente información sobre las vulnerabilidades descubiertas y resueltas, Microsoft y sus socios pueden aprender y mejorar continuamente, contribuyendo a la seguridad y resiliencia de la infraestructura crítica.

En resumen, la implementación de los parches de seguridad para CVE-2025-21396 y CVE-2025-21415 es crucial para proteger a los usuarios y mantener la integridad de los servicios de Microsoft. Los beneficios esperados incluyen la reducción del riesgo de explotación de estas vulnerabilidades críticas, la mejora de la seguridad de los servicios en la nube y el fortalecimiento de la confianza del cliente. Este esfuerzo colaborativo es fundamental para garantizar la seguridad y la resiliencia de la infraestructura crítica en un entorno cada vez más digital y conectado.

Nuevas medidas de protección contra el robo de dispositivos Android

Categoría Seguridad Móvil
Nombre del tema Nuevas medidas de protección contra el robo de dispositivos Android
Brecha Vulnerabilidad de los dispositivos móviles ante el robo físico y acceso no autorizado a datos sensibles
Criticidad
Solución propuesta Implementación de funciones de verificación de identidad y bloqueo de detección de robo en dispositivos Android
Beneficios esperados Mayor protección de datos personales, reducción del riesgo de fraude financiero y privacidad, y mayor tranquilidad para los usuarios
Artículo original Security Google Blog

The Hacker News

Hoy en día, las personas de todo el mundo dependen de sus dispositivos móviles para mantenerse conectadas con amigos y familiares, gestionar finanzas, llevar un seguimiento de la información de salud y más, todo desde la palma de su mano. Un dispositivo robado en manos equivocadas puede exponer datos sensibles, dejándote vulnerable al robo de identidad, fraude financiero y violaciones de privacidad.

Por ello, Google ha lanzado recientemente la protección contra el robo de Android, una suite completa de características diseñadas para protegerte a ti y a tus datos en cada etapa: antes, durante y después del robo del dispositivo. Como parte de su compromiso para ayudarte a mantenerte seguro en Android, están expandiendo y mejorando estas características para ofrecer una protección aún más robusta a más usuarios en todo el mundo.

Verificación de Identidad disponible para dispositivos Pixel y Samsung con One UI 7

Google está lanzando oficialmente la Verificación de Identidad, primero en dispositivos Pixel y Samsung Galaxy elegibles para One UI 7, para proporcionar una mejor protección para tus configuraciones críticas de cuentas y dispositivos. Cuando activas la Verificación de Identidad, tu dispositivo requerirá autenticación biométrica explícita para acceder a ciertos recursos sensibles cuando estés fuera de ubicaciones de confianza. La Verificación de Identidad también habilita una protección mejorada para las cuentas de Google en todos los dispositivos compatibles y seguridad adicional para las cuentas de Samsung en dispositivos Galaxy elegibles para One UI 7, haciendo mucho más difícil para un atacante no autorizado tomar el control de las cuentas iniciadas en el dispositivo.

Identity Check Identity Check - Android Theft Protection.png

Como parte de la habilitación de la Verificación de Identidad, puedes designar una o más ubicaciones de confianza. Cuando estés fuera de estos lugares de confianza, se requerirá autenticación biométrica para acceder a configuraciones críticas de cuentas y dispositivos, como cambiar el PIN del dispositivo o las biometrías, desactivar la protección contra el robo o acceder a Passkeys.

La Verificación de Identidad te da más tranquilidad al saber que tus activos más sensibles del dispositivo están protegidos contra el acceso no autorizado, incluso si un ladrón o actor malicioso logra aprender el PIN de tu dispositivo. La Verificación de Identidad se está implementando ahora en dispositivos Pixel con Android 15 y estará disponible en dispositivos Galaxy elegibles para One UI 7 en las próximas semanas. Se implementará en dispositivos Android compatibles de otros fabricantes más adelante este año.

Bloqueo de Detección de Robo: expandiendo la protección impulsada por IA a más usuarios

Una de las principales características de protección contra el robo introducidas el año pasado fue el Bloqueo de Detección de Robo, que utiliza un algoritmo impulsado por IA en el dispositivo para ayudar a detectar cuándo tu teléfono puede ser tomado por la fuerza. Si el algoritmo de aprendizaje automático detecta un posible intento de robo en tu dispositivo desbloqueado, bloqueará tu pantalla para mantener a los ladrones fuera.

El Bloqueo de Detección de Robo ahora está totalmente implementado en teléfonos Android 10+ alrededor del mundo.

Protegiendo tu dispositivo Android del robo

Google está colaborando con la GSMA y expertos de la industria para combatir el robo de dispositivos móviles compartiendo información, herramientas y técnicas de prevención. Mantente atento a un próximo white paper de la GSMA, desarrollado en asociación con la industria móvil, con más información sobre cómo protegerte a ti y a tu organización del robo de dispositivos.

Con la adición de la Verificación de Identidad y las mejoras continuas a nuestras características existentes, Android ofrece un conjunto robusto y completo de herramientas para proteger tus dispositivos y tus datos del robo. Nos dedicamos a proporcionarte tranquilidad, sabiendo que tu información personal está segura y protegida.

Puedes activar las nuevas funciones de protección contra el robo de Android haciendo clic aquí en un dispositivo Android compatible. Aprende más sobre nuestras características de protección contra el robo visitando nuestro centro de ayuda.

La creciente amenaza de las vulnerabilidades explotadas en 2024

Categoría Cumplimiento
Nombre del tema La creciente amenaza de las vulnerabilidades explotadas en la naturaleza en 2024
Brecha Incremento significativo de vulnerabilidades explotadas activamente, falta de actualización y parcheo adecuado de sistemas
Criticidad
Solución propuesta Implementación de una gestión robusta de parches, mejora de la inteligencia de amenazas y reducción de la exposición de sistemas a internet
Beneficios esperados Reducción del riesgo de explotación, mejora de la resiliencia de los sistemas y mayor protección contra actores maliciosos
Artículo original The Hacker News

CVE

En 2024, se han reportado 768 vulnerabilidades con identificadores CVE que han sido explotadas en la naturaleza, en comparación con 639 CVEs en 2023, lo que representa un incremento del 20% año tras año.

Describiendo 2024 como “otro año destacado para los actores de amenazas que se enfocan en la explotación de vulnerabilidades”, VulnCheck informó que el 23.6% de las vulnerabilidades conocidas explotadas (KEV) fueron conocidas por ser utilizadas con fines maliciosos en el mismo día en que sus CVEs fueron divulgadas públicamente.

Esto marca una ligera disminución respecto al 26.8% de 2023, lo que indica que los intentos de explotación pueden ocurrir en cualquier momento del ciclo de vida de una vulnerabilidad.

“Durante 2024, el 1% de los CVEs publicados fueron reportados públicamente como explotados en la naturaleza,” dijo Patrick Garrity de VulnCheck en un informe compartido con The Hacker News. “Se espera que este número crezca ya que la explotación a menudo se descubre mucho después de que se publica un CVE.”

El informe llega más de dos meses después de que la compañía revelara que 15 diferentes grupos de hackers chinos, de un total de 60 actores de amenazas nombrados, han sido vinculados al abuso de al menos una de las 15 vulnerabilidades más explotadas rutinariamente en 2023.

“No es sorprendente que el CVE de Log4j (CVE-2021-44228) esté asociado con la mayoría de los actores de amenazas en general, con 31 actores de amenazas nombrados vinculados a su explotación,” señaló Garrity a finales del año pasado, agregando que la compañía identificó 65,245 hosts potencialmente vulnerables a la falla.

En total, hay aproximadamente 400,000 sistemas accesibles por internet que son susceptibles a ataques derivados de la explotación de 15 deficiencias de seguridad en productos de Apache, Atlassian, Barracuda, Citrix, Cisco, Fortinet, Microsoft, Progress, PaperCut y Zoho.

“Las organizaciones deben evaluar su exposición a estas tecnologías, mejorar la visibilidad de los riesgos potenciales, aprovechar una inteligencia de amenazas robusta, mantener prácticas sólidas de gestión de parches y aplicar controles mitigadores, como minimizar la exposición a internet de estos dispositivos siempre que sea posible,” recomendó VulnCheck.

Este aumento en la explotación de vulnerabilidades destaca la necesidad crítica de que las organizaciones implementen estrategias de ciberseguridad más robustas y proactivas. La gestión de parches y la inteligencia de amenazas se presentan como elementos esenciales para reducir el riesgo de ser víctimas de estos ataques. Además, es fundamental que las organizaciones reduzcan la exposición de sus sistemas a internet, lo que puede minimizar significativamente las oportunidades para que los actores maliciosos exploten vulnerabilidades.

Mantenerse al tanto de las actualizaciones y parches, así como entender las amenazas emergentes, puede proporcionar una ventaja defensiva crucial contra los ciberataques. La colaboración y la compartición de información entre las organizaciones también pueden mejorar la respuesta colectiva a las amenazas cibernéticas y fortalecer la seguridad general en el ecosistema digital.

En conclusión, el aumento de las vulnerabilidades explotadas en 2024 subraya la necesidad de una vigilancia constante y una gestión de riesgos proactiva. Las organizaciones deben adoptar un enfoque integral que incluya la actualización continua de sistemas, la implementación de medidas de seguridad avanzadas y la reducción de la exposición innecesaria a internet para protegerse eficazmente contra las crecientes amenazas cibernéticas.