Newsletter - 2025-7
Tabla de Contenidos
- Newsletter - 2025-7
- Zimbra lanza actualizaciones críticas para corregir vulnerabilidades de seguridad en su software de colaboración
- La evolución del phishing: De los mensajes fraudulentos a las deepfakes
- Falsos sitios web de Google Chrome distribuyen el troyano ValleyRAT
- El impacto creciente del ransomware en el sector empresarial
- Vulnerabilidad en 7-Zip explotada para distribuir malware en Ucrania
- Aumento de ciberataques a infraestructuras críticas
- Ciberataque masivo: Fuerza bruta para vulnerar dispositivos de red
Zimbra lanza actualizaciones críticas para corregir vulnerabilidades de seguridad en su software de colaboración
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | Zimbra lanza actualizaciones críticas para corregir vulnerabilidades de seguridad en su software de colaboración |
| Brecha | Vulnerabilidades en la sanitización de entradas y en el parser de feeds RSS |
| Criticidad | |
| Solución propuesta | Actualización a las versiones más recientes del software y mejoras en la sanitización de entradas |
| Beneficios esperados | Protección contra inyecciones SQL, XSS almacenado y SSRF, reduciendo el riesgo de divulgación de información y acceso no autorizado |
| Artículo original | The Hacker News |
Zimbra ha lanzado una serie de actualizaciones de software para abordar varias vulnerabilidades críticas en su software de colaboración, que podrían ser explotadas por atacantes para obtener acceso no autorizado a información sensible.
Una de las vulnerabilidades más críticas, rastreada como CVE-2025-25064, posee una puntuación CVSS de 9.8 sobre un máximo de 10.0. Esta vulnerabilidad es un fallo de inyección SQL en el endpoint SOAP del servicio ZimbraSync que afecta a las versiones anteriores a 10.0.12 y 10.1.4. La causa principal de este fallo es la falta de una adecuada sanitización de un parámetro suministrado por el usuario, lo que podría ser aprovechado por atacantes autenticados para inyectar consultas SQL arbitrarias. Estas consultas podrían permitir a los atacantes recuperar metadatos de correos electrónicos manipulando un parámetro específico en la solicitud.
Además de esta vulnerabilidad, Zimbra también ha abordado otro fallo crítico relacionado con cross-site scripting (XSS) almacenado en el cliente web clásico de Zimbra. Aunque esta vulnerabilidad aún no ha sido asignada un identificador CVE, la empresa ha declarado que ha fortalecido la sanitización de entradas y ha mejorado la seguridad en su última actualización. Este fallo se ha corregido en las versiones 9.0.0 Patch 44, 10.0.13 y 10.1.5.
Otra vulnerabilidad que Zimbra ha corregido es CVE-2025-25065 (puntuación CVSS: 5.3), un fallo de gravedad media relacionado con Server-Side Request Forgery (SSRF) en el componente del parser de feeds RSS. Este fallo permite la redirección no autorizada a endpoints de la red interna. La vulnerabilidad ha sido corregida en las versiones 9.0.0 Patch 43, 10.0.12 y 10.1.4.
Zimbra ha recomendado a todos sus clientes actualizar a las versiones más recientes de Zimbra Collaboration para garantizar una protección óptima contra estas vulnerabilidades. Las actualizaciones no solo abordan los fallos mencionados, sino que también incluyen mejoras adicionales en la seguridad y la estabilidad del software.
La inyección SQL (SQLi) es una técnica de ataque que permite a los atacantes ejecutar consultas SQL maliciosas contra una base de datos, lo que puede resultar en la divulgación o manipulación de datos confidenciales. En el caso de la vulnerabilidad CVE-2025-25064, un atacante podría utilizar esta técnica para recuperar metadatos de correos electrónicos, obteniendo acceso a información que debería estar protegida.
El cross-site scripting (XSS) almacenado es otra técnica de ataque que permite a los atacantes inyectar scripts maliciosos en sitios web que son posteriormente ejecutados por otros usuarios. Este tipo de ataque puede ser utilizado para robar credenciales de usuario, realizar acciones no autorizadas en nombre del usuario o distribuir malware.
Finalmente, el Server-Side Request Forgery (SSRF) es una vulnerabilidad que permite a los atacantes enviar solicitudes desde el servidor de la aplicación a otros sistemas, potencialmente accediendo a recursos internos que no deberían ser accesibles desde el exterior. Este tipo de ataque puede ser utilizado para escanear redes internas, acceder a bases de datos internas o explotar otras vulnerabilidades en sistemas internos.
Actualizar el software regularmente y aplicar parches de seguridad son prácticas fundamentales para proteger los sistemas contra estos tipos de ataques. Las organizaciones deben asegurarse de seguir las recomendaciones de los proveedores de software y mantener sus sistemas actualizados para minimizar los riesgos de seguridad.
En conclusión, las actualizaciones recientes de Zimbra son cruciales para mitigar una serie de vulnerabilidades críticas que podrían tener graves implicaciones para la seguridad de la información. Las organizaciones que utilizan el software de colaboración de Zimbra deben aplicar estas actualizaciones de inmediato para protegerse contra posibles ataques.
La evolución del phishing: De los mensajes fraudulentos a las deepfakes
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | La evolución del phishing: De los mensajes fraudulentos a las deepfakes |
| Brecha | Falta de medidas de seguridad avanzadas para detectar y mitigar técnicas de phishing basadas en IA |
| Criticidad | |
| Solución propuesta | Implementación de soluciones de detección basadas en IA y formación continua a los empleados sobre nuevas tácticas de phishing |
| Beneficios esperados | Mejora en la detección y respuesta a amenazas de phishing, reducción de riesgos de fraude y aumento de la resiliencia organizacional |
| Artículo original | The Hacker News |
En los últimos tiempos, se ha observado un incremento significativo en los mensajes de texto fraudulentos (phishing por SMS o “smishing”) en Estados Unidos, dirigidos a usuarios de operadores de peajes como E-ZPass. Estos mensajes advierten a los destinatarios sobre multas por tarifas de peaje no pagadas, instándoles a proporcionar datos de tarjetas de pago y, eventualmente, contraseñas de un solo uso enviadas a través de SMS o aplicaciones de autenticación móvil.
Este fenómeno está vinculado a la adición de nuevas funciones a un kit de phishing comercial popular en China, que facilita la creación de señuelos convincentes que suplantan a los operadores de peajes en varios estados de EE.UU. La semana pasada, el Departamento de Transporte de Massachusetts (MassDOT) alertó a los residentes sobre una nueva estafa de smishing dirigida a los usuarios del programa de peajes electrónicos EZDriveMA. Los informes de ataques similares surgieron simultáneamente en otros estados como Florida, Texas, California, Colorado, Connecticut, Minnesota y Washington.
Las bases de los ataques de ingeniería social – manipulación de humanos – no han cambiado mucho a lo largo de los años. Son los vectores – cómo se despliegan estas técnicas – los que están evolucionando. Y, como la mayoría de las industrias hoy en día, la IA está acelerando su evolución.
Este artículo explora cómo estos cambios están impactando a las empresas y cómo los líderes de ciberseguridad pueden responder.
Ataques de suplantación: utilizando una identidad de confianza
Las formas tradicionales de defensa ya estaban luchando por resolver la ingeniería social, la “causa de la mayoría de las brechas de datos” según Thomson Reuters. La próxima generación de ciberataques impulsados por IA y actores de amenazas ahora pueden lanzar estos ataques con una velocidad, escala y realismo sin precedentes.
La forma antigua: Máscaras de silicona
Al hacerse pasar por un ministro del gobierno francés, dos estafadores pudieron extraer más de 55 millones de euros de múltiples víctimas. Durante las videollamadas, uno usaba una máscara de silicona de Jean-Yves Le Drian. Para añadir una capa de credibilidad, también se sentaban en una recreación de su oficina ministerial con fotos del entonces presidente François Hollande.
Más de 150 figuras prominentes fueron contactadas y se les pidió dinero para pagos de rescate u operaciones antiterroristas. La mayor transferencia realizada fue de 47 millones de euros, cuando se instó a la víctima a actuar debido a dos periodistas detenidos en Siria.
La nueva forma: Deepfakes de video
Muchas de las solicitudes de dinero fracasaron. Después de todo, las máscaras de silicona no pueden replicar completamente el aspecto y movimiento de la piel de una persona. La tecnología de video AI está ofreciendo una nueva forma de intensificar este tipo de ataque.
Vimos esto el año pasado en Hong Kong, donde los atacantes crearon un deepfake de video de un CFO para llevar a cabo una estafa de 25 millones de dólares. Luego invitaron a un colega a una videoconferencia. Ahí es donde el deepfake del CFO convenció al empleado para hacer la transferencia multimillonaria a la cuenta de los estafadores.
Llamadas en vivo: phishing de voz
El phishing de voz, a menudo conocido como vishing, utiliza audio en vivo para aprovechar el poder del phishing tradicional, donde las personas son persuadidas para dar información que compromete a su organización.
La forma antigua: Llamadas telefónicas fraudulentas
El atacante puede hacerse pasar por alguien, tal vez una figura autoritaria o de otro fondo confiable, y hacer una llamada telefónica a un objetivo.
Añaden un sentido de urgencia a la conversación, solicitando que se realice un pago de inmediato para evitar resultados negativos como perder el acceso a una cuenta o perder una fecha límite. Las víctimas perdieron una mediana de $1,400 a esta forma de ataque en 2022.
La nueva forma: Clonación de voz
Las recomendaciones tradicionales de defensa contra el vishing incluyen pedir a las personas que no hagan clic en enlaces que vienen con solicitudes, y llamar de vuelta a la persona en un número de teléfono oficial. Es similar al enfoque Zero Trust de Nunca Confíes, Siempre Verifica. Por supuesto, cuando la voz proviene de alguien que la persona conoce, es natural que la confianza pase por alto cualquier preocupación de verificación.
Ese es el gran desafío con la IA, con los atacantes ahora utilizando tecnología de clonación de voz, a menudo tomada de solo unos segundos de una persona hablando. Una madre recibió una llamada de alguien que había clonado la voz de su hija, diciendo que había sido secuestrada y que los atacantes querían una recompensa de $50,000.
Correo electrónico de phishing
La mayoría de las personas con una dirección de correo electrónico han sido ganadores de la lotería. Al menos, han recibido un correo electrónico diciéndoles que han ganado millones. Tal vez con una referencia a un Rey o Príncipe que podría necesitar ayuda para liberar los fondos, a cambio de una tarifa inicial.
La forma antigua: Spray and pray
Con el tiempo, estos intentos de phishing se han vuelto mucho menos efectivos, por múltiples razones. Se envían en masa con poca personalización y muchos errores gramaticales, y las personas están más conscientes de las ‘estafas 419’ con sus solicitudes de usar servicios específicos de transferencia de dinero. Otras versiones, como el uso de páginas de inicio de sesión falsas para bancos, a menudo pueden ser bloqueadas usando protección de navegación web y filtros de spam, junto con la educación de las personas para verificar de cerca la URL.
Sin embargo, el phishing sigue siendo la mayor forma de ciberdelito. El Informe de Delitos en Internet del FBI 2023 encontró que el phishing/suplantación fue la fuente de 298,878 quejas. Para dar contexto, la segunda más alta (brecha de datos personales) registró 55,851 quejas.
La nueva forma: Conversaciones realistas a escala
La IA está permitiendo a los actores de amenazas acceder a herramientas perfectas al aprovechar los LLM, en lugar de depender de traducciones básicas. También pueden usar la IA para lanzar estos a múltiples destinatarios a escala, con la personalización permitiendo una forma más dirigida de spear phishing.
Además, pueden usar estas herramientas en múltiples idiomas. Esto abre las puertas a un mayor número de regiones, donde los objetivos pueden no estar tan conscientes de las técnicas tradicionales de phishing y qué verificar. La Harvard Business Review advierte que “todo el proceso de phishing puede ser automatizado usando LLM, lo que reduce los costos de los ataques de phishing en más del 95% mientras se logran tasas de éxito iguales o mayores”.
Amenazas reinventadas significan defensas reinventadas
La ciberseguridad siempre ha estado en una carrera armamentista entre la defensa y el ataque. Pero la IA ha añadido una dimensión diferente. Ahora, los objetivos no tienen manera de saber qué es real y qué es falso cuando un atacante está tratando de manipular su:
- Confianza, al hacerse pasar por un colega y pedir a un empleado que pase por alto los protocolos de seguridad para información sensible
- Respeto por la autoridad al pretender ser el CFO de un empleado y ordenarles completar una transacción financiera urgente
- Miedo al crear un sentido de urgencia y pánico para que el empleado no piense en considerar si la persona con la que está hablando es genuina
Estas son partes esenciales de la naturaleza humana y el instinto que han evolucionado durante miles de años. Naturalmente, esto no es algo que pueda evolucionar a la misma velocidad que los métodos de los actores maliciosos o el progreso de la IA. Las formas tradicionales de concienciación, con cursos en línea y preguntas y respuestas, no están construidas para esta realidad impulsada por la IA.
Es por eso que parte de la respuesta — especialmente mientras las protecciones técnicas aún están poniéndose al día — es hacer que su fuerza laboral experimente ataques simulados de ingeniería social.
Porque sus empleados pueden no recordar lo que usted dice sobre la defensa contra un ciberataque cuando ocurre, pero recordarán cómo les hace sentir. Así que cuando ocurra un ataque real, estarán conscientes de cómo responder.
Falsos sitios web de Google Chrome distribuyen el troyano ValleyRAT
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | Falsos sitios web de Google Chrome distribuyen ValleyRAT |
| Brecha | Uso de sitios web falsificados y carga de instaladores maliciosos a través de enlaces engañosos |
| Criticidad | |
| Solución propuesta | Implementación de filtrado de contenido web, análisis de archivos y antivirus actualizado para evitar la descarga de ejecutables maliciosos |
| Beneficios esperados | Prevención de infecciones por troyanos, protección de datos sensibles y reducción de ataques dirigidos a usuarios |
| Artículo original | The Hacker News |
El troyano ValleyRAT, detectado por primera vez en 2023, ha sido identificado como parte de una campaña dirigida por el grupo de cibercriminales Silver Fox, cuyo principal objetivo es robar información sensible. Este grupo ha dirigido sus ataques principalmente a usuarios de habla china en regiones como Hong Kong, Taiwán y China continental. Sin embargo, el uso de un falso instalador de Google Chrome como vector de ataque también está afectando a otros usuarios de Windows.
La campaña de infección se lleva a cabo a través de sitios web falsificados que simulan ser páginas legítimas de Google Chrome, engañando a los usuarios para que descarguen un archivo ZIP que contiene un instalador malicioso llamado “Setup.exe”. Tras la ejecución del archivo, el malware realiza una serie de actividades maliciosas, como la infección del sistema con payloads adicionales y la instalación de un DLL que ejecuta el malware ValleyRAT.
ValleyRAT es un troyano desarrollado en C++, cuyo objetivo principal es monitorear el contenido de la pantalla y registrar pulsaciones de teclas. Además, se conecta a servidores remotos para recibir instrucciones adicionales, lo que permite al atacante ejecutar código arbitrario y realizar tareas como enumerar procesos en ejecución, descargar y ejecutar otros malware o incluso robar credenciales de usuario.
Una de las características más alarmantes de este malware es su capacidad para evadir detección, ya que se aprovecha de archivos ejecutables legítimos vulnerables a ataques de secuenciación de DLL. Al usar aplicaciones genuinas como Douyin.exe (la versión china de TikTok), el malware carga una DLL maliciosa que lanza ValleyRAT, lo que permite que este malware se ejecute sin levantar sospechas.
Además, los atacantes también emplean tácticas de descargas automáticas (drive-by downloads) para distribuir el malware, lo que significa que los usuarios, al buscar el navegador Google Chrome, son redirigidos a estos sitios maliciosos donde se descargan automáticamente los instaladores falsos.
Los efectos de este ataque pueden ser devastadores para las organizaciones, ya que Silver Fox ha mostrado un interés particular en roles clave dentro de las empresas, como finanzas, contabilidad y ventas, donde los atacantes pueden obtener acceso a información financiera sensible o datos confidenciales de clientes.
Recomendaciones de seguridad incluyen el uso de software de protección avanzado como sistemas de detección y respuesta en endpoints (EDR), junto con prácticas de educación en ciberseguridad para concienciar a los usuarios sobre el riesgo de descargas de fuentes no verificadas. Además, se debe implementar un sistema de autenticación multifactorial (MFA) para proteger el acceso a sistemas críticos y evitar que los atacantes obtengan acceso incluso si logran comprometer las credenciales.
Este ataque también subraya la creciente sofisticación de las campañas de ciberseguridad dirigidas, que no solo buscan explotar vulnerabilidades técnicas, sino también aprovechar la confianza de los usuarios en sitios web y aplicaciones legítimas para facilitar el acceso a información crítica.
El impacto creciente del ransomware en el sector empresarial
| Categoría | Seguridad en Endpoint |
|---|---|
| Nombre del tema | El impacto creciente del ransomware en el sector empresarial |
| Brecha | Falta de medidas de seguridad efectivas en los endpoints y sistemas internos |
| Criticidad | |
| Solución propuesta | Implementación de medidas de seguridad avanzadas en endpoints, como EDR, y formación continua a los empleados sobre ciberseguridad |
| Beneficios esperados | Reducción de la vulnerabilidad a ataques de ransomware, mitigación de daños y mejora de la resiliencia organizacional |
| Artículo original | The Hacker News |
El ransomware, un tipo de malware que cifra los archivos de una víctima y exige un rescate para liberar los datos, ha evolucionado significativamente en los últimos años, convirtiéndose en una amenaza constante y peligrosa para las empresas de todos los tamaños. Este artículo analiza en profundidad cómo este fenómeno está afectando a distintas industrias y qué medidas pueden tomarse para combatirlo.
¿Qué es el ransomware y cómo funciona?
El ransomware es un tipo de software malicioso que, una vez instalado en un sistema, cifra los archivos del usuario, dejándolos inaccesibles. Los atacantes luego demandan un rescate, generalmente en criptomonedas, para proporcionar la clave de descifrado. El daño causado por el ransomware no se limita únicamente a la pérdida de datos; también puede incluir interrupciones operativas significativas y daños reputacionales.
Casos recientes de ataques de ransomware
LockBit: Un viejo conocido que sigue causando estragos
LockBit es uno de los grupos de ransomware más notorios, conocido por su eficiencia en el cifrado y sus tácticas de doble extorsión. En mayo de 2024, LockBit atacó a la cadena de tiendas canadiense London Drugs, exigiendo un rescate de 25 millones de dólares. Tras la negativa de la empresa a pagar, los atacantes filtraron datos de empleados. Este tipo de ataques subraya la necesidad de contar con estrategias de seguridad robustas y actualizadas.
Lynx: Una amenaza emergente para las pequeñas y medianas empresas
Lynx es un grupo de ransomware relativamente nuevo que se ha enfocado en pequeñas y medianas empresas, aprovechando sus medidas de seguridad más débiles. En enero de 2025, Lynx atacó a Lowe Engineers, una firma de ingeniería civil en Atlanta, Georgia, exfiltrando datos sensibles y amenazando con publicarlos si no se pagaba el rescate. Estos ataques demuestran que ninguna empresa está a salvo, independientemente de su tamaño.
Virlock: Ransomware autoreplicante que no da tregua
Virlock es una cepa única de ransomware que no solo cifra archivos, sino que también los infecta, permitiendo su propagación rápida, especialmente a través de plataformas de almacenamiento en la nube. Este comportamiento hace que Virlock sea particularmente peligroso, ya que puede infectar a múltiples usuarios dentro de una organización a través de archivos compartidos en la nube. La capacidad de Virlock para replicarse y propagarse destaca la importancia de contar con soluciones de seguridad que puedan detectar y neutralizar amenazas en tiempo real.
Soluciones y estrategias para mitigar el ransomware
Para combatir el ransomware, las empresas deben adoptar un enfoque multifacético que incluya:
- Educación y formación continua: Los empleados deben recibir formación regular sobre las mejores prácticas de ciberseguridad, incluyendo cómo identificar correos electrónicos y enlaces sospechosos.
- Implementación de soluciones de seguridad avanzadas: Herramientas como Endpoint Detection and Response (EDR) y sistemas de monitoreo continuo pueden ayudar a detectar y responder a amenazas antes de que causen daño significativo.
- Copias de seguridad regulares: Mantener copias de seguridad actualizadas y almacenarlas en ubicaciones seguras puede ser crucial para recuperar datos sin pagar un rescate en caso de un ataque.
- Actualización y parcheo constante: Mantener todos los sistemas y software actualizados con los últimos parches de seguridad puede ayudar a cerrar las brechas que los atacantes podrían explotar.
Beneficios esperados de una estrategia de seguridad robusta
Adoptar estas medidas no solo reduce la vulnerabilidad de una empresa a ataques de ransomware, sino que también mejora su resiliencia organizacional, permitiéndole recuperarse más rápidamente de cualquier incidente de seguridad. Una estrategia de seguridad bien implementada puede significar la diferencia entre una interrupción menor y una crisis devastadora.
En conclusión, el ransomware continuará siendo una amenaza significativa en el futuro previsible. Sin embargo, con las medidas adecuadas, las empresas pueden protegerse eficazmente contra estos ataques y minimizar su impacto. La clave está en la preparación, la educación y el uso de tecnologías avanzadas de seguridad que puedan detectar y neutralizar amenazas en tiempo real.
Vulnerabilidad en 7-Zip explotada para distribuir malware en Ucrania
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | Vulnerabilidad en 7-Zip explotada para distribuir malware en Ucrania |
| Brecha | CVE-2025-0411 permite a atacantes eludir protecciones de marca de la web (MotW) |
| Criticidad | |
| Solución propuesta | Actualización a la versión 24.09 de 7-Zip, implementación de filtros de correo electrónico y deshabilitación de la ejecución de archivos de fuentes no confiables |
| Beneficios esperados | Reducción del riesgo de ejecución de código malicioso, mejora de la seguridad del sistema y protección contra campañas de ciberespionaje |
| Artículo original | The Hacker News |
La vulnerabilidad CVE-2025-0411 en la herramienta de compresión 7-Zip, con una puntuación CVSS de 7.0, ha sido explotada activamente en la naturaleza para distribuir el malware SmokeLoader. Esta brecha permite a los atacantes remotos eludir las protecciones de marca de la web (MotW) y ejecutar código arbitrario en el contexto del usuario actual. La vulnerabilidad fue abordada por 7-Zip en noviembre de 2024 con la versión 24.09.
El CVE-2025-0411 ha sido explotado por grupos de ciberdelincuentes rusos a través de campañas de phishing dirigidas, utilizando ataques de homoglifos para falsificar extensiones de documentos y engañar a los usuarios y al sistema operativo Windows para que ejecuten archivos maliciosos. Según el investigador de seguridad de Trend Micro, Peter Girnus, se sospecha que esta vulnerabilidad ha sido utilizada para atacar organizaciones gubernamentales y no gubernamentales en Ucrania como parte de una campaña de ciberespionaje en el contexto del conflicto en curso entre Rusia y Ucrania.
MotW es una característica de seguridad implementada por Microsoft en Windows para evitar la ejecución automática de archivos descargados de Internet sin realizar comprobaciones adicionales a través de Microsoft Defender SmartScreen. Esta función utiliza el flujo de datos alternativo (ADS) del sistema de archivos NTFS de Windows para colocar una etiqueta “Zone.Identifier” con el valor “ZoneId=3”, lo que indica que el archivo ha sido descargado de una fuente externa y no confiable y necesita someterse a comprobaciones adicionales.
El CVE-2025-0411 elude MotW al crear un archivo comprimido y luego incrustar ese archivo dentro de otro archivo comprimido para ocultar las cargas maliciosas. “La causa raíz del CVE-2025-0411 es que, antes de la versión 24.09, 7-Zip no propagaba correctamente las protecciones MotW al contenido de archivos comprimidos doblemente encapsulados”, explicó Girnus. “Esto permite a los actores de amenazas crear archivos comprimidos que contienen scripts o ejecutables maliciosos que no recibirán protecciones MotW, dejando a los usuarios de Windows vulnerables a ataques.”
Los ataques que aprovechan esta vulnerabilidad como un día cero fueron detectados por primera vez en la naturaleza el 25 de septiembre de 2024, con secuencias de infección que conducen a SmokeLoader, un malware cargador que ha sido utilizado repetidamente para atacar a Ucrania. El punto de partida es un correo electrónico de phishing que contiene un archivo comprimido especialmente diseñado que, a su vez, utiliza un ataque de homoglifos para pasar el archivo ZIP interno como un documento de Microsoft Word, activando efectivamente la vulnerabilidad.
Los mensajes de phishing, según Trend Micro, fueron enviados desde direcciones de correo electrónico asociadas con organismos gubernamentales ucranianos y cuentas comerciales a organizaciones municipales y empresas, lo que sugiere un compromiso previo. “El uso de estas cuentas de correo electrónico comprometidas da una apariencia de autenticidad a los correos electrónicos enviados a los objetivos, manipulando a las posibles víctimas para que confíen en el contenido y en sus remitentes”, señaló Girnus.
Este enfoque conduce a la ejecución de un archivo de acceso directo de internet (.URL) presente dentro del archivo ZIP, que apunta a un servidor controlado por el atacante que aloja otro archivo ZIP. El nuevo archivo ZIP descargado contiene el ejecutable SmokeLoader disfrazado como un documento PDF.
Se ha evaluado que al menos nueve entidades gubernamentales ucranianas y otras organizaciones han sido afectadas por la campaña, incluyendo el Ministerio de Justicia, el Servicio de Transporte Público de Kyiv, la Compañía de Abastecimiento de Agua de Kyiv y el Ayuntamiento.
A la luz de la explotación activa del CVE-2025-0411, se recomienda a los usuarios actualizar sus instalaciones a la última versión, implementar funciones de filtrado de correo electrónico para bloquear intentos de phishing y deshabilitar la ejecución de archivos de fuentes no confiables.
“Una conclusión interesante que notamos en las organizaciones objetivo y afectadas en esta campaña es que son cuerpos gubernamentales locales más pequeños”, dijo Girnus. “Estas organizaciones a menudo están bajo una intensa presión cibernética, pero a menudo se pasan por alto, son menos ciberexpertas y carecen de los recursos para una estrategia cibernética integral que tienen las organizaciones gubernamentales más grandes. Estas organizaciones más pequeñas pueden ser puntos de pivote valiosos para que los actores de amenazas se desplacen a organizaciones gubernamentales más grandes.”
El actor de amenazas motivado financieramente conocido como UAC-0006 ha sido atribuido a una campaña de phishing temática de pagos denominada GetSmoked, que tiene como objetivo al banco ucraniano PrivatBank para distribuir el malware SmokeLoader. Las cadenas de ataque, observadas entre octubre de 2024 y finales de enero de 2025, implican el uso de archivos ZIP adjuntos en correos electrónicos que, al abrirse, lanzan un archivo JavaScript o un acceso directo de Windows (LNK) para ejecutar un script de PowerShell. El script, a su vez, abre un documento PDF señuelo, mientras establece sigilosamente contacto con un servidor remoto para descargar y ejecutar SmokeLoader.
“Las tácticas, técnicas y procedimientos (TTPs) de UAC-0006 se superponen con las de FIN7, lo que indica vínculos con la actividad APT rusa”, dijo el investigador de CloudSEK, Koushik Pal, en un análisis fechado el 5 de febrero de 2025.
Aumento de ciberataques a infraestructuras críticas
| Categoría | Seguridad en Redes |
|---|---|
| Nombre del tema | Aumento de ciberataques a infraestructuras críticas |
| Brecha | Vulnerabilidades en la seguridad de redes y sistemas de control industrial |
| Criticidad | |
| Solución propuesta | Fortalecimiento de la ciberseguridad en redes, implementación de sistemas de detección y respuesta a incidentes, y colaboración entre entidades públicas y privadas |
| Beneficios esperados | Reducción de la vulnerabilidad ante ataques, mejora en la capacidad de respuesta y recuperación, y protección de servicios esenciales |
| Artículo original | Security Boulevard |
En los últimos años, hemos sido testigos de un aumento alarmante en los ciberataques dirigidos a infraestructuras críticas. Estas infraestructuras, que incluyen servicios esenciales como electricidad, agua, transporte y comunicaciones, son fundamentales para el funcionamiento de la sociedad moderna. Un ataque exitoso contra estas infraestructuras puede tener consecuencias devastadoras, no solo para la economía, sino también para la seguridad y el bienestar de la población.
Naturaleza de los ataques
Los atacantes que se dirigen a infraestructuras críticas utilizan una variedad de tácticas sofisticadas. Una de las más comunes es el ransomware, que cifra los datos y sistemas de una organización, exigiendo un rescate para su liberación. Este tipo de ataque puede paralizar servicios esenciales durante días o incluso semanas, como se ha visto en varios incidentes recientes. Además del ransomware, otros métodos incluyen ataques de denegación de servicio (DDoS), que sobrecargan los sistemas con tráfico para dejarlos inoperativos, y ataques a los sistemas de control industrial (ICS), que pueden manipular procesos físicos y causar daños materiales.
Sectores más vulnerables
Entre los sectores más vulnerables se encuentran los de energía y agua. Los sistemas de control industrial (ICS) utilizados en estas industrias a menudo operan con tecnología antigua y con poca o ninguna actualización de seguridad. Esto los convierte en objetivos atractivos para los atacantes, que pueden aprovechar estas vulnerabilidades para infiltrarse en los sistemas y tomar el control de operaciones críticas. Otro sector en riesgo es el del transporte, donde los sistemas de gestión del tráfico y los sistemas ferroviarios pueden ser comprometidos, causando interrupciones significativas y poniendo en peligro la seguridad de los pasajeros.
Consecuencias de los ataques
Las consecuencias de un ataque exitoso a infraestructuras críticas pueden ser catastróficas. En el caso de un ataque a la red eléctrica, por ejemplo, podría resultar en apagones generalizados que afectarían a millones de personas, interrumpiendo el suministro de electricidad a hogares, hospitales y otras instalaciones vitales. Los ataques a los sistemas de agua podrían contaminar el suministro de agua potable, poniendo en riesgo la salud pública. Además, las interrupciones en el transporte pueden causar caos en las ciudades, afectando tanto a los viajeros como a las cadenas de suministro de bienes esenciales.
Medidas de mitigación
Para mitigar estos riesgos, las organizaciones y gobiernos están implementando una serie de medidas de seguridad. Una de las estrategias clave es el fortalecimiento de la ciberseguridad en redes. Esto incluye la actualización y el parcheo regular de sistemas y software, la implementación de firewalls y sistemas de detección de intrusiones, y la segmentación de redes para limitar el acceso de los atacantes a sistemas críticos. Además, las organizaciones están adoptando sistemas de detección y respuesta a incidentes (IDR), que permiten identificar y responder rápidamente a las amenazas antes de que puedan causar daños significativos.
Otra medida importante es la colaboración entre entidades públicas y privadas. Los gobiernos están trabajando con empresas y organizaciones del sector privado para compartir información sobre amenazas y mejores prácticas de seguridad. Esta colaboración es esencial para crear una defensa unificada contra los atacantes y para asegurar que todas las partes involucradas estén preparadas para responder a incidentes de ciberseguridad.
Beneficios esperados
La implementación de estas medidas de seguridad puede tener numerosos beneficios. En primer lugar, puede reducir significativamente la vulnerabilidad de las infraestructuras críticas ante ciberataques. Al fortalecer las defensas y mejorar la capacidad de detección y respuesta, las organizaciones pueden minimizar el impacto de los ataques y asegurar una recuperación rápida. Además, estas medidas pueden ayudar a proteger los servicios esenciales, garantizando que continúen operando de manera segura y eficiente, incluso en el caso de un ataque.
Conclusión
En conclusión, el aumento de ciberataques a infraestructuras críticas es un desafío serio que requiere una respuesta coordinada y multifacética. Fortalecer la ciberseguridad en redes, implementar sistemas de detección y respuesta a incidentes, y fomentar la colaboración entre entidades públicas y privadas son pasos cruciales para proteger estos servicios esenciales. Con estas medidas en su lugar, las organizaciones pueden mejorar su resiliencia y asegurar que estén preparadas para enfrentar y superar las amenazas cibernéticas.
Ciberataque masivo: Fuerza bruta para vulnerar dispositivos de red
| Categoría | Seguridad de Redes |
|---|---|
| Nombre del tema | Ciberataque masivo: Fuerza bruta para vulnerar dispositivos de red |
| Brecha | Exposición de dispositivos de seguridad en red a ataques de fuerza bruta debido a contraseñas débiles o predeterminadas |
| Criticidad | |
| Solución propuesta | Implementación de contraseñas fuertes y únicas, uso de autenticación multifactor (MFA), creación de una lista blanca de IPs confiables, y desactivación de interfaces de administración web no necesarias |
| Beneficios esperados | Mejora de la seguridad de los dispositivos de red, reducción del riesgo de acceso no autorizado, y fortalecimiento de la postura de seguridad general de la organización |
| Artículo original | Ble Ping Computer |
En las últimas semanas, se ha detectado un ataque de fuerza bruta de gran magnitud que emplea casi 2.8 millones de direcciones IP para intentar adivinar las credenciales de una amplia gama de dispositivos de red, incluyendo equipos de Palo Alto Networks, Ivanti, y SonicWall. Un ataque de fuerza bruta se caracteriza por el intento repetido de iniciar sesión en una cuenta o dispositivo utilizando múltiples combinaciones de nombres de usuario y contraseñas hasta encontrar la correcta. Una vez que los atacantes obtienen acceso a las credenciales correctas, pueden utilizarlas para secuestrar un dispositivo o acceder a una red.
Según la plataforma de monitoreo de amenazas The Shadowserver Foundation, el ataque de fuerza bruta ha estado activo desde el mes pasado, utilizando casi 2.8 millones de direcciones IP de origen diariamente para realizar estos ataques. La mayoría de estas direcciones (1.1 millones) provienen de Brasil, seguidas de Turquía, Rusia, Argentina, Marruecos y México, aunque generalmente hay una gran cantidad de países de origen participando en la actividad.
Los dispositivos de borde de seguridad, como firewalls, VPNs, gateways y otros dispositivos de seguridad, están principalmente expuestos a Internet para facilitar el acceso remoto. Los dispositivos que llevan a cabo estos ataques son principalmente routers y IoTs de MikroTik, Huawei, Cisco, Boa y ZTE, que comúnmente son comprometidos por grandes botnets de malware.
En una declaración a BleepingComputer, The Shadowserver Foundation confirmó que la actividad ha estado ocurriendo durante un tiempo, pero recientemente ha aumentado a una escala mucho mayor. ShadowServer también mencionó que las direcciones IP atacantes están distribuidas en muchas redes y Sistemas Autónomos, y probablemente se trate de una botnet o alguna operación asociada con redes de proxy residenciales.
Los proxies residenciales son direcciones IP asignadas a clientes de consumo de Proveedores de Servicios de Internet (ISPs), lo que las hace muy buscadas para su uso en ciberdelincuencia, raspado de datos, elusión de geo-restricciones, verificación de anuncios, reventa de entradas y más. Estos proxies enrutan el tráfico de Internet a través de redes residenciales, haciendo parecer que el usuario es un usuario doméstico regular en lugar de un bot, raspador de datos o hacker.
Los dispositivos de puerta de enlace, como aquellos objetivos de esta actividad, podrían ser utilizados como nodos de salida de proxy en operaciones de proxy residencial, enrutando tráfico malicioso a través de la red empresarial de una organización. Estos nodos son considerados de “alta calidad” ya que las organizaciones tienen una buena reputación y los ataques son más difíciles de detectar y detener.
Pasos para proteger los dispositivos de borde contra ataques de fuerza bruta incluyen cambiar la contraseña de administrador predeterminada por una fuerte y única, aplicar autenticación multifactor (MFA), usar una lista blanca de IPs confiables, y desactivar las interfaces de administración web si no son necesarias. En última instancia, aplicar las últimas actualizaciones de firmware y seguridad en estos dispositivos es crucial para eliminar las vulnerabilidades que los actores de amenazas pueden aprovechar para obtener acceso inicial.
En abril pasado, Cisco advirtió sobre una campaña de fuerza bruta de credenciales a gran escala que apuntaba a dispositivos de Cisco, CheckPoint, Fortinet, SonicWall, y Ubiquiti en todo el mundo. En diciembre, Citrix también alertó sobre ataques de rociado de contraseñas dirigidos a dispositivos Citrix Netscaler en todo el mundo.
Este ataque de fuerza bruta a gran escala destaca la importancia de la seguridad de las redes y la necesidad de prácticas de seguridad robustas para proteger los dispositivos de borde. Implementar contraseñas fuertes, autenticación multifactor, y mantener los dispositivos actualizados son medidas esenciales para mitigar el riesgo y proteger las infraestructuras críticas contra accesos no autorizados.