Newsletter - 2025-9

Tabla de Contenidos
  1. Newsletter - 2025-9
    1. El ascenso del smishing: Mensajes de peajes fraudulentos en EE.UU.
    2. Nueva vulnerabilidad en la nube que afecta a grandes empresas
    3. La creciente amenaza del ransomware en la infraestructura crítica
    4. Microsoft anuncia el fin del soporte para Exchange Server 2016 y 2019
    5. El aumento de smishing dirigido a usuarios de peajes en Estados Unidos
    6. Auge del malware Snake Keylogger: Nuevas tácticas y objetivos
    7. Nueva Amenaza de Malware: FrigidStealer Ataca macOS

El ascenso del smishing: Mensajes de peajes fraudulentos en EE.UU.

Categoría Seguridad en Aplicaciones
Nombre del tema El ascenso del smishing: Mensajes de peajes fraudulentos en EE.UU.
Brecha Falta de concienciación y protección frente a ataques de smishing
Criticidad
Solución propuesta Implementación de filtros de contenido en SMS, educación y concienciación sobre smishing, y uso de autenticación multifactor
Beneficios esperados Reducción de fraudes, mayor protección de datos personales y financieros, y mejora de la seguridad general de los usuarios
Artículo original The Hacker News

Seguridad en Aplicaciones

En los últimos tiempos, se ha observado un incremento significativo en los mensajes de texto fraudulentos (phishing por SMS o “smishing”) en Estados Unidos, dirigidos a usuarios de operadores de peajes como E-ZPass. Estos mensajes advierten a los destinatarios sobre multas por tarifas de peaje no pagadas, instándoles a proporcionar datos de tarjetas de pago y, eventualmente, contraseñas de un solo uso enviadas a través de SMS o aplicaciones de autenticación móvil.

Este fenómeno está vinculado a la adición de nuevas funciones a un kit de phishing comercial popular en China, que facilita la creación de señuelos convincentes que suplantan a los operadores de peajes en varios estados de EE.UU. La semana pasada, el Departamento de Transporte de Massachusetts (MassDOT) alertó a los residentes sobre una nueva estafa de smishing dirigida a los usuarios del programa de peajes electrónicos EZDriveMA. Los informes de ataques similares surgieron simultáneamente en otros estados como Florida, Texas, California, Colorado, Connecticut, Minnesota y Washington.

Estos mensajes fraudulentos suelen ser muy convincentes, utilizando logotipos y formatos que imitan a los operadores de peajes legítimos. Los ciberdelincuentes buscan crear una sensación de urgencia, advirtiendo a las víctimas sobre multas inminentes para que actúen rápidamente y proporcionen la información solicitada.

El objetivo principal de estos ataques es recopilar datos personales y financieros, que luego pueden ser utilizados para realizar transacciones fraudulentas o venderse en el mercado negro. Además, en algunos casos, los atacantes también buscan obtener acceso a las cuentas de las víctimas, utilizando las contraseñas de un solo uso enviadas por SMS para secuestrar las cuentas y realizar actividades maliciosas adicionales.

Para protegerse contra estos ataques, es fundamental que los usuarios sean conscientes de los riesgos y estén atentos a los signos de smishing. Algunas recomendaciones para evitar ser víctima de estos fraudes incluyen:

  1. Verificar la autenticidad de los mensajes: Si recibe un mensaje de texto que parece ser de un operador de peajes, no haga clic en ningún enlace ni proporcione información personal. En su lugar, contacte directamente con el operador a través de su sitio web oficial o número de teléfono.

  2. No compartir información personal por SMS: Nunca proporcione datos sensibles, como números de tarjeta de crédito o contraseñas, en respuesta a un mensaje de texto.

  3. Utilizar la autenticación multifactor: Configure la autenticación de dos factores (2FA) para sus cuentas, de modo que incluso si un atacante obtiene su contraseña, no pueda acceder a su cuenta sin el segundo factor de autenticación.

  4. Educarse sobre el smishing: Manténgase informado sobre las últimas tácticas utilizadas por los ciberdelincuentes y comparta esta información con amigos y familiares para que también estén protegidos.

  5. Implementar filtros de contenido en SMS: Algunas aplicaciones de seguridad y operadores de telefonía ofrecen herramientas para filtrar y bloquear mensajes de texto sospechosos.

El aumento de los ataques de smishing destaca la necesidad de una mayor educación y concienciación sobre ciberseguridad entre los usuarios. Además, es esencial que las empresas y organizaciones implementen medidas de seguridad adecuadas para proteger a sus clientes y reducir la efectividad de estos ataques.

OpenAI reveló recientemente que ha prohibido un conjunto de cuentas que utilizaban su herramienta ChatGPT para desarrollar un supuesto sistema de vigilancia impulsado por inteligencia artificial (IA). Este sistema, originado probablemente en China y potenciado por uno de los modelos Llama de Meta, estaba diseñado para recopilar y analizar datos en tiempo real sobre protestas contra China en Occidente, compartiendo estos informes con las autoridades chinas.

La campaña, denominada Peer Review, se centró en el análisis de publicaciones y comentarios en plataformas como X, Facebook, YouTube, Instagram, Telegram y Reddit. Los investigadores Ben Nimmo, Albert Zhang, Matthew Richard y Nathaniel Hartley señalaron que la herramienta estaba diseñada para ingerir y analizar publicaciones y comentarios en estas plataformas. En uno de los casos, los actores utilizaron ChatGPT para depurar y modificar el código fuente del software de monitoreo.

Además de utilizar su modelo como herramienta de investigación para obtener información pública sobre centros de estudios en Estados Unidos, funcionarios gubernamentales y políticos en países como Australia, Camboya y Estados Unidos, también se descubrió que el grupo aprovechaba el acceso a ChatGPT para leer, traducir y analizar capturas de pantalla de documentos en inglés.

Algunas de las imágenes eran anuncios de protestas por los derechos de los uigures en diversas ciudades occidentales, que probablemente fueron copiadas de las redes sociales. Actualmente, no se sabe si estas imágenes eran auténticas.

OpenAI también informó que interrumpió otros grupos que estaban abusando de ChatGPT para diversas actividades maliciosas:

  • Esquema de empleo fraudulento: Una red de Corea del Norte vinculada a un esquema fraudulento de trabajadores de TI, que estaba creando documentación personal para solicitantes de empleo ficticios, como currículums, perfiles en línea y cartas de presentación.
  • Descontento patrocinado: Una red, probablemente de origen chino, que creaba contenido en redes sociales en inglés y artículos en español críticos con Estados Unidos, publicados en sitios web de noticias latinoamericanos.
  • Estafa de romance: Una red de cuentas que generaba y traducía comentarios en japonés, chino e inglés para estafas de romance e inversión, originadas probablemente en Camboya.
  • Nexo de influencia iraní: Una red de cinco cuentas que generaba publicaciones y artículos pro-palestinos, pro-Hamas, pro-Irán y anti-Israel y anti-Estados Unidos.
  • Kimsuky y BlueNoroff: Una red de actores de amenazas de Corea del Norte que recopilaba información sobre herramientas de intrusión cibernética y temas relacionados con criptomonedas.
  • Operación de influencia encubierta de la Iniciativa Juvenil: Una red de cuentas que creaba artículos en inglés para un sitio web llamado “Empowering Ghana” y comentarios en redes sociales.
  • Estafa de tareas: Una red probablemente de origen camboyano que traducía comentarios entre urdu e inglés como parte de una estafa que atrae a personas a realizar tareas simples a cambio de una comisión inexistente.

Este desarrollo subraya cómo las herramientas de IA están siendo cada vez más utilizadas por actores maliciosos para facilitar campañas de desinformación habilitadas por cibertecnología y otras operaciones maliciosas.

El mes pasado, el Grupo de Inteligencia de Amenazas de Google (GTIG) reveló que más de 57 actores de amenazas distintos con vínculos con China, Irán, Corea del Norte y Rusia utilizaron su chatbot de IA Gemini para mejorar múltiples fases del ciclo de ataque, realizar investigaciones sobre eventos temáticos y crear, traducir y localizar contenido.

Las ideas únicas que las compañías de IA pueden obtener de los actores de amenazas son particularmente valiosas si se comparten con proveedores upstream, como desarrolladores de software y alojamiento, plataformas de distribución downstream, como compañías de redes sociales, e investigadores de código abierto.

Igualmente, las ideas que los proveedores y los investigadores upstream y downstream tienen sobre los actores de amenazas abren nuevas vías de detección y aplicación para las compañías de IA.

Nueva vulnerabilidad en la nube que afecta a grandes empresas

Categoría Seguridad en la Nube
Nombre del tema Nueva vulnerabilidad en la nube que afecta a grandes empresas
Brecha Exposición de datos sensibles debido a configuraciones incorrectas y fallos de seguridad en la nube
Criticidad
Solución propuesta Implementación de configuraciones seguras, auditorías periódicas de seguridad y formación continua para el personal de TI
Beneficios esperados Reducción del riesgo de filtración de datos, mejora de la postura de seguridad y cumplimiento de normativas
Artículo original The Hacker News

Seguridad en la Nube

En los últimos días, se ha descubierto una nueva vulnerabilidad en los sistemas de seguridad en la nube que podría poner en riesgo la información de grandes empresas. Este fallo de seguridad ha sido detectado por expertos en ciberseguridad y se encuentra en proceso de mitigación. En este artículo, analizamos los detalles de la vulnerabilidad, su impacto potencial y las medidas que las empresas pueden tomar para protegerse.

La vulnerabilidad se ha encontrado en un servicio ampliamente utilizado por empresas para gestionar sus datos en la nube. Este servicio, que no ha sido nombrado públicamente debido a la gravedad de la situación, presenta una brecha de seguridad que permite a los atacantes acceder a información sensible almacenada en los servidores de la nube. La brecha se debe a configuraciones incorrectas y fallos en el sistema de seguridad, lo que ha dejado expuestos datos críticos de varias empresas de gran tamaño.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo. Las empresas afectadas podrían enfrentar pérdidas financieras, daños a su reputación y posibles sanciones legales por no proteger adecuadamente los datos de sus clientes y empleados. La criticidad de esta vulnerabilidad es alta, ya que los datos expuestos incluyen información financiera, registros de clientes y otra información confidencial que podría ser utilizada por ciberdelincuentes para llevar a cabo fraudes, robos de identidad y otras actividades delictivas.

Medidas de mitigación

Para mitigar los riesgos asociados con esta vulnerabilidad, los expertos en ciberseguridad recomiendan varias medidas. En primer lugar, es crucial que las empresas auditen y revisen sus configuraciones de seguridad en la nube para asegurarse de que están correctamente configuradas. Esto incluye la implementación de políticas de acceso estrictas, el uso de cifrado fuerte para los datos almacenados y en tránsito, y la realización de pruebas de penetración regulares para identificar y corregir posibles debilidades en el sistema.

Además, es importante que las empresas proporcionen formación continua a su personal de TI sobre las mejores prácticas de seguridad en la nube. Esto incluye la concienciación sobre las amenazas emergentes, la comprensión de las configuraciones de seguridad adecuadas y la capacidad de responder rápidamente a incidentes de seguridad.

Implementación de soluciones tecnológicas

Otra medida clave es la implementación de soluciones tecnológicas avanzadas para proteger los datos en la nube. Esto incluye el uso de herramientas de monitoreo y detección de amenazas, que pueden identificar actividades sospechosas y alertar a los administradores del sistema. También es recomendable utilizar plataformas de gestión de la seguridad en la nube (Cloud Security Posture Management, CSPM) que ayudan a asegurar que las configuraciones de seguridad estén alineadas con las mejores prácticas y normativas.

Beneficios esperados

La implementación de estas medidas no solo reducirá el riesgo de filtración de datos, sino que también mejorará la postura de seguridad de las empresas y les ayudará a cumplir con las normativas de protección de datos, como el Reglamento General de Protección de Datos (GDPR) en Europa y otras leyes de privacidad a nivel mundial. Además, una fuerte postura de seguridad en la nube puede aumentar la confianza de los clientes y socios comerciales, lo que es esencial para el éxito continuo de cualquier empresa en el entorno digital actual.

Conclusión

En conclusión, la reciente vulnerabilidad descubierta en los sistemas de seguridad en la nube es una llamada de atención para todas las empresas que dependen de estos servicios para gestionar sus datos. Es crucial que las empresas tomen medidas proactivas para proteger sus activos digitales y garantizar que sus configuraciones de seguridad estén actualizadas y sean robustas. Al hacerlo, pueden minimizar los riesgos asociados con esta y futuras vulnerabilidades, protegiendo tanto su información como la confianza de sus clientes.

La creciente amenaza del ransomware en la infraestructura crítica

Categoría Seguridad en Endpoint
Nombre del tema La creciente amenaza del ransomware en la infraestructura crítica
Brecha Vulnerabilidades en los sistemas de endpoint y falta de segmentación de redes
Criticidad
Solución propuesta Implementación de soluciones de seguridad en endpoint, segmentación de redes y programas de concienciación de seguridad para empleados
Beneficios esperados Reducción del impacto de ataques de ransomware, mejora de la resiliencia de la infraestructura crítica y protección de datos sensibles
Artículo original The Hacker News

Seguridad en Endpoint

El ransomware es una forma de malware que encripta los archivos de una víctima, y los atacantes exigen un rescate para restaurar el acceso. La infraestructura crítica, que incluye sectores como energía, agua, salud y transporte, es particularmente vulnerable debido a la naturaleza esencial de sus operaciones y la antigüedad de algunos de sus sistemas. Los ataques de ransomware a estas infraestructuras pueden tener consecuencias catastróficas, no solo en términos financieros, sino también en la seguridad y bienestar de la sociedad.

En los últimos años, hemos visto un aumento alarmante en los ataques de ransomware dirigidos a infraestructura crítica. En 2021, el ataque a Colonial Pipeline en Estados Unidos destacó la vulnerabilidad de las infraestructuras energéticas. El ataque provocó una interrupción significativa del suministro de gasolina en la costa este del país, subrayando la importancia de proteger estos sistemas.

Las principales brechas de seguridad que permiten estos ataques incluyen la falta de segmentación adecuada de las redes, lo que permite a los atacantes moverse lateralmente una vez que han penetrado en el sistema. Además, muchas infraestructuras críticas operan con sistemas heredados que no reciben actualizaciones de seguridad regulares, lo que las hace especialmente vulnerables.

Para mitigar estos riesgos, es esencial que las organizaciones adopten un enfoque proactivo. La implementación de soluciones de seguridad en endpoint puede ayudar a detectar y bloquear el ransomware antes de que pueda causar daño. Estas soluciones deben complementarse con una segmentación de redes adecuada, lo que limitará la capacidad de los atacantes para moverse dentro de la red.

Además, la formación y concienciación de los empleados es crucial. Los ataques de ransomware a menudo comienzan con un correo electrónico de phishing, y la educación de los empleados sobre cómo identificar estos correos puede ser una de las primeras líneas de defensa. Las organizaciones también deben realizar simulacros de phishing para evaluar y mejorar la preparación de sus empleados.

La respuesta a incidentes es otra área crítica. Las organizaciones deben tener un plan claro y probado para responder a un ataque de ransomware. Esto incluye identificar rápidamente el ataque, contenerlo, eliminar el malware y restaurar los sistemas a partir de copias de seguridad seguras. Las copias de seguridad regulares y fuera de línea son esenciales para garantizar que los datos se puedan restaurar sin necesidad de pagar el rescate.

Otra estrategia importante es la colaboración y el intercambio de información entre organizaciones y con agencias gubernamentales. Las amenazas cibernéticas son un problema global, y compartir información sobre tácticas, técnicas y procedimientos de los atacantes puede ayudar a otras organizaciones a protegerse mejor.

Finalmente, la inversión en nuevas tecnologías de seguridad, como la inteligencia artificial y el aprendizaje automático, puede proporcionar una capa adicional de defensa. Estas tecnologías pueden analizar grandes volúmenes de datos en tiempo real y detectar patrones de comportamiento anómalos que podrían indicar un ataque.

En conclusión, el ransomware sigue siendo una amenaza significativa para la infraestructura crítica, pero con las medidas adecuadas, las organizaciones pueden reducir su vulnerabilidad y mejorar su capacidad de respuesta. La combinación de tecnología avanzada, formación continua y colaboración entre sectores es la clave para enfrentar y mitigar esta amenaza en constante evolución.

Microsoft anuncia el fin del soporte para Exchange Server 2016 y 2019

Categoría Cumplimiento
Nombre del tema Fin del soporte para Exchange Server 2016 y 2019
Brecha Ausencia de actualizaciones de seguridad y soporte técnico
Criticidad
Solución propuesta Migración a Exchange Server Subscription Edition, Exchange Online (Microsoft 365) o Google Workspace
Beneficios esperados Mejora en la seguridad, cumplimiento normativo y eficiencia operativa
Artículo original The Hacker News

Cumplimiento

Microsoft Exchange ha sido durante décadas el pilar de las comunicaciones empresariales, facilitando el correo electrónico, la programación y la colaboración en organizaciones de todo el mundo. Sin embargo, Microsoft ha anunciado que el soporte para Exchange Server 2016 y Exchange Server 2019 finalizará el 14 de octubre de 2025. Aunque esta fecha pueda parecer lejana, las empresas y equipos de TI deben empezar a prepararse desde ahora. El fin del soporte implica que Microsoft dejará de proporcionar parches de seguridad, correcciones de errores o soporte técnico, dejando a las organizaciones que sigan utilizando estas versiones expuestas a vulnerabilidades de seguridad, riesgos de cumplimiento y posibles interrupciones operativas.

Riesgos de seguridad: Sin parches de seguridad, Exchange 2016 y 2019 se convierten en objetivos prioritarios para los ciberdelincuentes. Las vulnerabilidades no parcheadas pueden llevar a brechas de datos, ataques de ransomware y amenazas basadas en correo electrónico, poniendo en riesgo las comunicaciones empresariales sensibles.

Ausencia de soporte técnico: Después del 14 de octubre de 2025, Microsoft no proporcionará correcciones, parches ni asistencia. Si algo falla, los equipos de TI estarán solos, lo que puede llevar a tiempos de inactividad más prolongados, resolución de problemas costosa e interrupciones operativas potenciales.

Riesgos de cumplimiento: Regulaciones como el Reglamento General de Protección de Datos (GDPR) y la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) exigen que las empresas utilicen software seguro y actualizado. Ejecutar versiones obsoletas de Exchange podría resultar en multas, auditorías y consecuencias legales si ocurre un incidente de seguridad.

Ineficiencias operativas: El software antiguo carece de características modernas, mejoras de rendimiento e integraciones, lo que hace que la comunicación sea más lenta y el mantenimiento de TI más complejo. Mantener Exchange 2016 o 2019 en funcionamiento también costará más con el tiempo a medida que los recursos de soporte disminuyan.

Nota importante: Este fin de soporte también se aplica a varios productos relacionados de Microsoft, incluidos Microsoft Office 2016, Microsoft Office 2019, Outlook 2016, Outlook 2019, Skype for Business 2016, Skype for Business 2019, Skype for Business Server 2015 y Skype for Business Server 2019.

Microsoft sigue un ciclo de soporte en dos fases para sus productos: Soporte Principal y Soporte Extendido.

El Soporte Principal incluye actualizaciones de características, parches de seguridad y asistencia técnica, mientras que el Soporte Extendido se centra únicamente en correcciones de seguridad críticas, sin nuevas características, correcciones de errores ni soporte complementario. Una vez finalizado el Soporte Extendido, Microsoft detiene completamente todas las actualizaciones y asistencia, dejándote sin red de seguridad.

¿Cuáles son las mejores opciones para mantener tu negocio seguro y en funcionamiento sin problemas?

Seguir utilizando versiones obsoletas de Exchange no es una opción viable para los equipos de TI, ya que los riesgos superan con creces cualquier conveniencia a corto plazo. Exploremos las mejores rutas de migración y alternativas para mantener tu organización segura, eficiente y en cumplimiento.

  1. Actualizar a Exchange Server Subscription Edition (Exchange Server SE)

Microsoft ha anunciado Exchange Server Subscription Edition (Exchange Server SE), una nueva versión basada en suscripción de Exchange para organizaciones que requieren una solución de correo electrónico en las instalaciones. Esta opción es ideal para empresas que necesitan mantener una infraestructura local por motivos de cumplimiento o que prefieren un modelo híbrido que se integre con Microsoft 365.

Sin embargo, hay algunos aspectos clave que las empresas deben considerar antes de esta migración:

  • Requiere actualizaciones periódicas: Exchange Server SE requerirá actualizaciones regulares, lo que significa que los equipos de TI deben mantenerse al día con el mantenimiento.
  • Costos de licencias y mantenimiento: Un modelo de suscripción implica costos continuos, y las organizaciones aún necesitarán gestionar y asegurar su propia infraestructura.
  • Ruta de actualización compleja desde Exchange 2016: Microsoft recomienda que las empresas actualicen a Exchange 2019 antes de pasar a Exchange Server SE, ya que no se admitirán actualizaciones in situ directas a Exchange SE.
  1. Migrar a Exchange Online (Microsoft 365)

Para las empresas que buscan superar la infraestructura local, Exchange Online (Microsoft 365) es una opción atractiva. Esta solución basada en la nube elimina el mantenimiento del servidor, mejora la seguridad y aumenta la escalabilidad, lo que la hace ideal para organizaciones que adoptan una estrategia de prioridad en la nube.

Las principales ventajas de elegir Exchange Online incluyen:

  • Sin mantenimiento del servidor: Microsoft se encarga de todas las actualizaciones, parches y gestión de infraestructura, liberando a los equipos de TI de la carga de mantener los servidores de Exchange.
  • Seguridad y cumplimiento integrados: Exchange Online incluye actualizaciones de seguridad automáticas, protección contra amenazas y herramientas de cumplimiento para cumplir con los requisitos regulatorios, como GDPR y HIPAA.
  • Escalabilidad y accesibilidad: Los empleados pueden acceder de manera segura al correo electrónico desde cualquier lugar, con un tiempo de actividad del 99.9% y opciones de almacenamiento flexibles que se ajustan a las necesidades del negocio.
  • Colaboración mejorada: Como parte de Microsoft 365, Exchange Online se integra perfectamente con Teams, SharePoint y OneDrive, mejorando la productividad y la gestión de datos.

Sin embargo, también hay algunos desafíos potenciales.

  • Complejidad de la migración: Mover grandes cantidades de datos de correo electrónico puede llevar tiempo y requiere una planificación cuidadosa para minimizar el tiempo de inactividad.
  • Costos de licencias: Microsoft 365 opera con un modelo de suscripción, lo que implica tarifas de licencia por usuario continuas.
  • Adopción y formación de usuarios: Es posible que los empleados necesiten formación para utilizar completamente las nuevas características y garantizar una transición sin problemas.
  1. Migrar a Google Workspace

Para las empresas que buscan una alternativa rentable y basada en la nube a Microsoft 365, Google Workspace es un fuerte contendiente. Proporciona colaboración sin problemas, seguridad integrada y reducción de la sobrecarga de TI, lo que lo convierte en una opción atractiva, especialmente para organizaciones que no requieren las herramientas avanzadas incluidas en muchos planes de Microsoft 365.

Notablemente, Google Workspace es a menudo más competitivo en costos que Microsoft 365. Mientras que los precios de Microsoft 365 oscilan entre $6 y $22 por usuario al mes, los planes de Google Workspace suelen estar entre $6 y $18 por usuario al mes, con precios empresariales disponibles a pedido.

Algunas de las ventajas de cambiar a Google Workspace incluyen:

  • Menor sobrecarga de TI: Sin mantenimiento del servidor de Exchange, lo que reduce los costos de hardware y operativos.
  • Escalabilidad y flexibilidad: La infraestructura en la nube de Google se adapta a las necesidades de tu negocio sin esfuerzo adicional de TI.
  • Colaboración y productividad: Google Workspace integra Gmail, Google Drive, Meet y Docs, permitiendo la colaboración en tiempo real entre equipos.

Mientras tanto, los desafíos potenciales incluyen:

  • Complejidad de la migración: La transición desde Exchange puede ser disruptiva, requiriendo una cuidadosa planificación de la migración de datos.
  • Formación y adopción de usuarios: Los empleados acostumbrados a Outlook y aplicaciones de Microsoft pueden necesitar formación para adaptarse a Gmail y herramientas de Google.
  • Desafíos de integración con sistemas heredados: Las empresas que utilizan sistemas locales, como la gestión de relaciones con los clientes (CRM) o la planificación de recursos empresariales (ERP), que dependen de Exchange pueden tener dificultades con la integración. Configurar Google Workspace Sync para Outlook o utilizar herramientas de migración de terceros puede ayudar a cerrar la brecha.

Planificación de tu viaje de migración desde Exchange 2016 y 2019

Ya sea que elijas permanecer en las instalaciones con Exchange Server SE o migrar a la nube con Microsoft 365 o Google Workspace, comprender los pasos de migración correctos es esencial para una transición sin problemas.

Preparación para Exchange Server SE

Para las empresas que permanecen en las instalaciones con Exchange Server SE, la ruta de actualización depende de la versión actual de Exchange:

  • Si estás ejecutando Exchange 2016, Microsoft recomienda actualizar a Exchange 2019 ahora, ya que no se admitirán actualizaciones in situ directas a Exchange SE.
  • Si ya estás en Exchange 2019, simplemente puedes mantener tus servidores actualizados y realizar una actualización in situ a Exchange Server SE una vez que esté disponible.

Transición a un entorno SaaS (Microsoft 365 o Google Workspace)

Migrar a una solución basada en la nube como Microsoft 365 o Google Workspace ofrece a las empresas mayor flexibilidad, seguridad y escalabilidad, mientras elimina la carga del mantenimiento del servidor. A continuación se muestra una lista de verificación de alto nivel para guiar tu transición sin problemas desde Exchange a una plataforma SaaS.

Fase 1: Planificación y preparación

Comienza evaluando tu entorno actual. Identifica los buzones de correo, cuentas compartidas e integraciones con herramientas de terceros como sistemas CRM o ERP. Elige el método y las herramientas de migración adecuadas, ya sea moviendo de Exchange a Microsoft 365, Exchange a Google Workspace o utilizando herramientas de migración de Protocolo de Acceso a Mensajes de Internet (IMAP).

A continuación, verifica tu dominio en Microsoft 365 o Google Workspace, asegurando que el enrutamiento de correo electrónico esté configurado correctamente. La comunicación y formación de los usuarios también son cruciales: mantén informados a los empleados y proporciona la formación necesaria para minimizar la interrupción. Finalmente, los datos críticos deben respaldarse antes de la migración para protegerse contra cualquier pérdida de datos inesperada. Aquí es donde una solución de respaldo confiable puede salvar el día.

Fase 2: Ejecución de la migración

Para evitar el tiempo de inactividad, configura los registros MX para mantener Exchange como el servidor de correo principal durante la migración. Si te estás moviendo a Google Workspace, configura Google Workspace Migration para Microsoft Exchange (GWMME). Realiza una sincronización de lotes inicial con usuarios seleccionados, luego prueba la migración para asegurarte de que los correos electrónicos, contactos y calendarios se transfieran correctamente. Migra a los usuarios por lotes, priorizando primero a los equipos clave y monitoreando el proceso de cerca a través de herramientas de administración.

Fase 3: Cambio y post-migración

Una vez validada la migración, cambia los registros MX a tu nueva plataforma, redirigiendo todos los correos electrónicos nuevos a Microsoft 365 o Google Workspace. Actualiza las configuraciones de seguridad, incluidos el Marco de Política del Remitente (SPF), DomainKeys Identified Mail (DKIM) y la Autenticación, Informes y Conformidad de Mensajes Basados en el Dominio (DMARC) para mejorar la seguridad del correo electrónico. Finalmente, si ya no se necesita Exchange, desmantela tu servidor de Exchange después de confirmar una migración exitosa.

Asegura tus datos en la nube con Backupify

Migrar a Microsoft 365 o Google Workspace traslada la gestión del correo electrónico a la nube, pero no elimina los riesgos de pérdida de datos. Bajo el modelo de responsabilidad compartida de la seguridad en la nube, mientras los proveedores de la nube aseguran su infraestructura, los clientes son responsables de asegurar sus propios datos contra eliminaciones accidentales, amenazas cibernéticas y otros escenarios de pérdida de datos. Sin un respaldo dedicado, las empresas corren el riesgo de perder correos electrónicos críticos, archivos y datos de colaboración sin forma de recuperarlos.

Ahí es donde entra Backupify. Como una solución confiable de respaldo de SaaS, Backupify asegura que las empresas que utilizan Microsoft 365 y Google Workspace tengan una red de seguridad automatizada y segura para sus datos en la nube. Ya sea por eliminaciones accidentales, ataques de ransomware o requisitos de cumplimiento, Backupify proporciona protección de datos completa, para que nunca pierdas acceso a información empresarial crítica.

Por qué más de 40,000 empresas confían en Backupify:

  • Respaldo automatizado diario: Protege correos electrónicos, archivos y datos de colaboración con respaldos continuos.
  • Recuperación rápida y confiable: Restaura datos perdidos o eliminados al instante, evitando tiempos de inactividad costosos.
  • Protección avanzada: Con el almacenamiento en la nube privado e inmutable de Backupify, asegúrate de que tus datos estén a salvo de todo tipo de amenazas.
  • Cumplimiento y retención de datos: Cumple con HIPAA, GDPR y otros mandatos

El aumento de smishing dirigido a usuarios de peajes en Estados Unidos

Categoría Seguridad en Aplicaciones
Nombre del tema El aumento de smishing dirigido a usuarios de peajes en Estados Unidos
Brecha Falta de medidas de seguridad robustas en las aplicaciones de gestión de peajes y comunicación con los usuarios
Criticidad
Solución propuesta Implementación de sistemas de autenticación multifactor y educación del usuario sobre las amenazas de smishing
Beneficios esperados Reducción de la cantidad de fraudes exitosos, mayor confianza de los usuarios en los sistemas de peaje y protección de datos personales y financieros
Artículo original The Hacker News

Seguridad en Aplicaciones

Los ciudadanos de Estados Unidos están siendo bombardeados con mensajes de texto fraudulentos que aparentan ser de operadores de peajes como E-ZPass, advirtiendo sobre multas por tarifas no pagadas. Este aumento coincide con nuevas características añadidas a un kit de phishing comercial popular en China. Este artículo analiza la naturaleza de estas estafas y ofrece recomendaciones para evitar ser víctima de ellas.

En los últimos tiempos, se ha observado un incremento significativo en los mensajes de texto fraudulentos (phishing por SMS o “smishing”) en Estados Unidos, dirigidos a usuarios de operadores de peajes como E-ZPass. Estos mensajes advierten a los destinatarios sobre multas por tarifas de peaje no pagadas, instándoles a proporcionar datos de tarjetas de pago y, eventualmente, contraseñas de un solo uso enviadas a través de SMS o aplicaciones de autenticación móvil.

Este fenómeno está vinculado a la adición de nuevas funciones a un kit de phishing comercial popular en China, que facilita la creación de señuelos convincentes que suplantan a los operadores de peajes en varios estados de EE.UU. La semana pasada, el Departamento de Transporte de Massachusetts (MassDOT) alertó a los residentes sobre una nueva estafa de smishing dirigida a los usuarios del programa de peajes electrónicos EZDriveMA. Los informes de ataques similares surgieron simultáneamente en otros estados como Florida, Texas, California, Colorado, Connecticut, Minnesota y Washington.

Estos mensajes fraudulentos suelen contener enlaces que redirigen a sitios web falsos, diseñados para parecerse a los portales legítimos de los operadores de peajes. Una vez en estos sitios, las víctimas son solicitadas a ingresar información sensible, como números de tarjetas de crédito y datos personales. Además, algunos de estos sitios falsos están configurados para capturar contraseñas de un solo uso (OTP) enviadas a través de SMS o aplicaciones de autenticación móvil, permitiendo a los atacantes acceder a cuentas bancarias y otros servicios en línea de las víctimas.

Para combatir este tipo de fraude, es crucial que los usuarios sean conscientes de las técnicas utilizadas por los atacantes y estén preparados para identificarlas y evitarlas. Algunas recomendaciones para protegerse contra el smishing incluyen:

  1. No hacer clic en enlaces sospechosos: Si recibe un mensaje de texto que advierte sobre una multa de peaje no pagada, no haga clic en ningún enlace incluido. En su lugar, visite el sitio web oficial del operador de peajes ingresando la URL directamente en su navegador.

  2. Verificar la autenticidad del mensaje: Antes de proporcionar cualquier información personal o financiera, verifique la autenticidad del mensaje contactando directamente con el operador de peajes a través de sus canales oficiales de atención al cliente.

  3. Utilizar autenticación multifactor: Active la autenticación multifactor en todas sus cuentas en línea para añadir una capa adicional de seguridad. Esto puede ayudar a prevenir el acceso no autorizado a sus cuentas, incluso si su información de inicio de sesión es comprometida.

  4. Mantenerse informado: Esté al tanto de las últimas tácticas de smishing y otras formas de phishing, y comparta esta información con amigos y familiares para ayudarles a protegerse también.

En respuesta a este aumento en los ataques de smishing, los operadores de peajes y otras organizaciones deben implementar medidas de seguridad adicionales para proteger a sus usuarios. Esto puede incluir la mejora de los sistemas de autenticación y la educación de los usuarios sobre los riesgos de smishing y cómo identificarlos.

Además, las autoridades deben trabajar en conjunto con las empresas de telecomunicaciones y los proveedores de servicios de mensajería para identificar y bloquear mensajes fraudulentos antes de que lleguen a los usuarios. La cooperación internacional también es esencial, dado que muchos de estos ataques se originan fuera de las fronteras de EE.UU.

En resumen, el aumento de smishing dirigido a los usuarios de peajes en Estados Unidos subraya la necesidad de medidas de seguridad más robustas y una mayor conciencia pública sobre las tácticas de phishing. Al adoptar prácticas de seguridad adecuadas y mantenerse informado sobre las últimas amenazas, los usuarios pueden protegerse mejor contra estos ataques y minimizar el riesgo de convertirse en víctimas.

Auge del malware Snake Keylogger: Nuevas tácticas y objetivos

Categoría Seguridad en Endpoint
Nombre del tema Auge del malware Snake Keylogger: Nuevas tácticas y objetivos
Brecha Vulnerabilidad en los sistemas Windows debido a la falta de medidas de seguridad adecuadas y actualizaciones
Criticidad
Solución propuesta Implementación de soluciones de seguridad en endpoints, actualizaciones regulares del sistema y concienciación sobre phishing
Beneficios esperados Reducción de la probabilidad de infecciones por malware, mayor protección de datos sensibles y mejora de la resiliencia ante ciberataques
Artículo original The Hacker News

Seguridad en Endpoint

El Snake Keylogger es un malware diseñado para robar información sensible de los usuarios, como credenciales de acceso, datos bancarios y otros datos personales. Este malware se distribuye principalmente a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Una vez que el usuario interactúa con estos correos, el malware se instala en el sistema y comienza su actividad maliciosa.

En los últimos meses, se ha detectado una nueva variante del Snake Keylogger que utiliza el lenguaje de scripting AutoIt para ejecutar y entregar su carga útil principal. Esta técnica permite al malware evadir los mecanismos de detección tradicionales. El ejecutable que contiene el malware es un binario compilado con AutoIt, lo que complica el análisis estático y facilita comportamientos dinámicos que imitan herramientas de automatización benignas.

Una vez lanzado, el Snake Keylogger se copia a sí mismo en un archivo llamado “ageless.exe” en la carpeta “%Local_AppData%\supergroup”. También deja caer otro archivo llamado “ageless.vbs” en la carpeta de inicio de Windows, asegurando que el malware se inicie automáticamente cada vez que el sistema se reinicia. Esta persistencia permite al malware mantener el acceso al sistema comprometido y continuar con sus actividades maliciosas incluso si el proceso asociado se termina.

El ataque culmina con la inyección de la carga útil principal en un proceso legítimo de .NET, como “regsvcs.exe”, utilizando una técnica llamada hollowing de procesos. Esto permite al malware ocultar su presencia dentro de un proceso de confianza y evitar la detección.

El Snake Keylogger también ha sido diseñado para registrar pulsaciones de teclas y utilizar sitios web como checkip.dyndns[.]org para recuperar la dirección IP y la geolocalización de la víctima. Para capturar las pulsaciones de teclas, utiliza la API SetWindowsHookEx con el primer parámetro configurado en WH_KEYBOARD_LL (flag 13), un gancho de teclado de bajo nivel que monitorea las pulsaciones de teclas. Esta técnica permite al malware registrar entradas sensibles como credenciales bancarias.

Además de las campañas de phishing, el Snake Keylogger se ha asociado con infraestructura comprometida en instituciones educativas para distribuir archivos LNK maliciosos disfrazados de documentos PDF. Esta actividad tiene como objetivo sectores como las finanzas, la salud, la tecnología y los medios de comunicación, y resulta en el robo de contraseñas, datos del navegador y carteras de criptomonedas.

El vector de infección principal de estas campañas implica el uso de archivos LNK maliciosos que están diseñados para parecer documentos PDF legítimos. Estos archivos están alojados en un servidor WebDAV al que los visitantes desprevenidos son redirigidos después de visitar ciertos sitios. El archivo LNK, a su vez, ejecuta un comando de PowerShell para conectarse a un servidor remoto y recuperar el siguiente malware, un código JavaScript ofuscado que descarga el Lumma Stealer desde el mismo servidor y lo ejecuta.

En las últimas semanas, también se ha observado la distribución de malware stealer a través de archivos JavaScript ofuscados para recopilar una amplia gama de datos sensibles de sistemas Windows comprometidos y exfiltrarlos a un bot de Telegram operado por el atacante. El ataque comienza con un archivo JavaScript ofuscado que recupera cadenas codificadas de un servicio de código abierto para ejecutar un script de PowerShell. Este script luego descarga una imagen JPG y un archivo de texto desde una dirección IP y un acortador de URL, ambos de los cuales contienen ejecutables maliciosos MZ DOS incrustados utilizando técnicas de esteganografía. Una vez ejecutados, estos payloads despliegan el malware stealer.

Para protegerse contra el Snake Keylogger y otras amenazas similares, es fundamental implementar soluciones de seguridad en endpoints, mantener los sistemas actualizados y educar a los usuarios sobre los peligros del phishing. La vigilancia constante y el monitoreo del tráfico interno y externo también son cruciales para detectar y mitigar las actividades maliciosas antes de que causen daños significativos.

Nueva Amenaza de Malware: FrigidStealer Ataca macOS

Categoría Seguridad en Endpoint
Nombre del tema Nueva Amenaza de Malware: FrigidStealer Ataca macOS
Brecha Vulnerabilidad en la actualización falsa de navegadores que permite la instalación de malware en macOS
Criticidad
Solución propuesta Implementación de medidas de seguridad adicionales como el uso de software de seguridad actualizado y la capacitación de usuarios para identificar ataques de phishing
Beneficios esperados Reducción del riesgo de infección por malware, protección de datos sensibles y mejora en la seguridad general del sistema
Artículo original The Hacker News

Seguridad en Endpoint

En los últimos tiempos, los investigadores en ciberseguridad han alertado sobre una nueva campaña que utiliza inyecciones web para distribuir un nuevo malware dirigido a macOS conocido como FrigidStealer. Esta actividad ha sido atribuida a un actor de amenazas previamente no documentado llamado TA2727, que también se ha asociado con el uso de otros ladrones de información en plataformas como Windows y Android.

TA2727 es un actor de amenazas que utiliza señuelos temáticos de actualizaciones falsas para distribuir una variedad de cargas de malware, según el equipo de investigación de Proofpoint Threat Research. Este grupo de amenazas se ha identificado recientemente junto con TA2726, que se considera un operador de sistema de distribución de tráfico (TDS) malicioso que facilita la distribución de malware para otros actores de amenazas.

TA2726 actúa como un TDS para TA2727 y otro actor de amenazas llamado TA569, responsable de la distribución de un malware cargador basado en JavaScript conocido como SocGholish (también llamado FakeUpdates), que a menudo se hace pasar por una actualización del navegador en sitios legítimos pero comprometidos. “TA2726 está motivado financieramente y trabaja con otros actores motivados financieramente como TA569 y TA2727,” señaló la empresa.

Tanto TA569 como TA2727 comparten similitudes en que se distribuyen a través de sitios web comprometidos con inyecciones de JavaScript maliciosas que imitan actualizaciones del navegador para navegadores como Google Chrome o Microsoft Edge. Donde TA2727 difiere es en el uso de cadenas de ataque que sirven diferentes cargas útiles según la geografía o el dispositivo del destinatario.

Por ejemplo, si un usuario visita un sitio web infectado en Francia o el Reino Unido desde un ordenador con Windows, se le solicita que descargue un archivo instalador MSI que lanza Hijack Loader (también conocido como DOILoader), que a su vez carga Lumma Stealer. En cambio, la misma redirección de actualización falsa cuando se visita desde un dispositivo Android conduce al despliegue de un troyano bancario llamado Marcher, que ha sido detectado en la naturaleza durante más de una década.

No es todo. A partir de enero de 2025, la campaña se ha actualizado para dirigirse a usuarios de macOS fuera de América del Norte, redirigiéndolos a una página de actualización falsa que descarga un nuevo ladrón de información llamado FrigidStealer. El instalador de FrigidStealer, como otro malware de macOS, requiere que los usuarios lancen explícitamente la aplicación sin firmar para eludir las protecciones de Gatekeeper, tras lo cual se ejecuta un ejecutable Mach-O incrustado para instalar el malware.

“El ejecutable fue escrito en Go y estaba firmado ad-hoc,” dijo Proofpoint. “El ejecutable fue construido con el proyecto WailsIO, que renderiza contenido en el navegador del usuario. Esto añade a la ingeniería social de la víctima, implicando que el instalador de Chrome o Safari era legítimo.”

FrigidStealer no es diferente de varias familias de ladrones dirigidas a sistemas macOS. Utiliza AppleScript para solicitar al usuario que introduzca su contraseña del sistema, otorgándole así privilegios elevados para recolectar archivos y todo tipo de información sensible de navegadores web, Apple Notes y aplicaciones relacionadas con criptomonedas.

“Los actores están utilizando compromisos web para distribuir malware que apunta tanto a usuarios empresariales como a consumidores,” dijo la compañía. “Es razonable que tales inyecciones web entreguen malware personalizado al destinatario, incluidos los usuarios de Mac, que aún son menos comunes en entornos empresariales que los de Windows.”

El desarrollo se produce cuando Tonmoy Jitu de Denwp Research reveló detalles de otra puerta trasera de macOS totalmente indetectable llamada Tiny FUD, que utiliza manipulación de nombres, inyección de demonio de enlace dinámico (DYLD) y ejecución de comandos basados en comando y control (C2).

También sigue la aparición de nuevos malware ladrones de información como Astral Stealer y Flesh Stealer, ambos diseñados para recopilar información sensible, evadir la detección y mantener la persistencia en sistemas comprometidos. “Flesh Stealer es particularmente efectivo en la detección de entornos de máquinas virtuales (VM),” dijo Flashpoint en un informe reciente. “Evitará ejecutarse en VMs para prevenir cualquier análisis forense potencial, demostrando una comprensión de las prácticas de investigación de seguridad.”