Noticias de seguridad

 

Segu-Info - Ciberseguridad desde 2000 Noticias de Ciberseguridad desde Segu-Info

  • Estudio de 85 extensiones de billeteras de criptomonedas detecta filtraciones
    por SeguInfo en julio 16, 2026 a las 1:28 pm

    Investigadores de la KU Leuven probaron 85 de las billeteras de criptomonedas más populares que funcionan como extensiones de navegador y descubrieron que las propias billeteras presentan fugas de información suficientes para vincular y rastrear a sus usuarios. La forma en que estas billeteras se comunican con sitios web y servidores blockchain puede conectar las distintas direcciones de una persona y permitir que terceros la sigan de un sitio a otro. Incluso en un sitio que ya contiene un nombre o correo electrónico, estas mismas fugas pueden asociar un nombre real a una identidad criptográfica "anónima". Esto no es un hackeo. Las billeteras funcionan exactamente como fueron diseñadas. Las 85 extensiones suman alrededor de 35 millones de usuarios registrados en la Chrome Web Store. El equipo, perteneciente al grupo de seguridad DistriNet de la universidad, publicó el artículo este mes y lo presentará en la conferencia de privacidad PETS 2026 en Calgary a finales de julio. Realizaron pruebas con billeteras reales en sitios Web3 reales e identificaron cinco vulnerabilidades de privacidad en la interacción entre billeteras y sitios web. Cuando informaron a los fabricantes de monederos sobre el problema de mayor alcance antes de su publicación, la mayoría se negó a considerarlo un error. Problema 1: Tus direcciones de monedero se vinculan Muchas personas mantienen varias direcciones de monedero a propósito para mantener separadas partes de su vida financiera. Esto solo funciona si nadie puede saber que las direcciones pertenecen a la misma persona. Pero para mostrar tu saldo, un monedero envía constantemente solicitudes a servidores externos, y esas solicitudes transmiten tu dirección, sin cifrar, a quien administra el servidor. Cuando un monedero incluye dos de tus direcciones en una sola solicitud, el servidor sabe que son tuyas. Diecisiete monederos expusieron conexiones entre las direcciones de monedero de un usuario. Trece lo hicieron de la forma obvia, agrupando dos direcciones en una sola solicitud. Cuatro más se delataron al enviar solicitudes separadas con milisegundos de diferencia, una señal más débil pero aún útil. En conjunto, estos monederos abarcan aproximadamente 23 millones de las instalaciones estudiadas. Quien administra el servidor, o cualquiera que obtenga sus datos posteriormente, puede unir las direcciones en un solo perfil. Problema 2: Cerrar sesión a menudo no cierra la sesión por completo. Este problema y el siguiente comparten un punto de partida: un sitio web puede saber qué billeteras tienes instaladas. Cada billetera se identifica en cada página que carga, por lo que un script puede leer el conjunto exacto que llevas, una huella digital que funciona incluso si nunca conectas una billetera y aunque bloquees las cookies. Los investigadores descubrieron que 36 de las 85 billeteras hacen esto, y sus usuarios representan aproximadamente el 82% de las instalaciones estudiadas. Esas mismas 36 billeteras son las responsables de las cifras que se muestran a continuación. Cuando conectas una billetera a un sitio y luego te desconectas, asumes que el sitio pierde el acceso. A menudo no es así, por dos razones distintas. Primero, muchos sitios nunca le indican a la billetera que corte el acceso. De las 30 aplicaciones Web3 populares que el equipo probó, solo 11 enviaron una orden de revocación real cuando un usuario hizo clic en Desconectar o Cerrar sesión. El resto simplemente borró su pantalla. Segundo, incluso cuando se envía la orden, muchas billeteras la ignoran. En 22 de esas 36 carteras, el sitio aún podía leer tu dirección después de solicitar a la cartera que la revocara, y ese acceso se mantuvo incluso después de borrar las cookies y reiniciar el navegador. Esto convierte la dirección en una potente etiqueta de seguimiento. Es única a nivel global y, a diferencia de una cookie, no desaparece al borrar el navegador. El permiso obsoleto permanece en la extensión hasta que se abre la lista de "Sitios conectados" de la billetera y se elimina el sitio manualmente; hasta entonces, un script en la página sigue leyendo la dirección en segundo plano. Problema 3: Una billetera a la que te conectaste puede exponerte en otros sitios. Este último problema tiene mayor alcance. De esas 36 billeteras, 23 compartirán tu dirección desde dentro de un marco que una página ha cargado desde otro sitio. Por sí solo, esto no tiene ninguna consecuencia. El problema radica en lo que un rastreador compartido puede hacer con ella. Supongamos que el mismo script de seguimiento se ejecuta en una aplicación de criptomonedas a la que te conectaste y en un sitio web común y corriente. En el sitio común, el rastreador carga silenciosamente la aplicación de criptomonedas dentro de un marco invisible. La página de la aplicación ya estaba autorizada por la billetera, y estas billeteras responden desde dentro del marco, por lo que la billetera devuelve la dirección al script sin que el usuario haga clic. La aplicación debe permitir la integración para que esto funcione, aunque muchas lo permiten. Vincula esa dirección a un nombre o correo electrónico que el sitio ya tenga registrado, y un perfil criptográfico seudónimo se convierte en una persona identificada. La dirección de una billetera es un registro público de sus saldos, transacciones y tenencias de tokens. Si la vinculas a una identidad real y a un historial de navegación, un atacante tiene un objetivo identificado cuyo dinero ahora está a la vista. Los investigadores demostraron que este método es real y utilizable; no afirmaron que los rastreadores ya lo estén utilizando a gran escala. Qué hacer y cómo respondió la industria Para los usuarios, las soluciones son solo parciales. Abre tu billetera y elimina los permisos de sitios antiguos que ya no uses. Esto detiene el rastreo de direcciones obsoletas del Problema 2, pero no soluciona las filtraciones de direcciones a los servidores ni la huella digital de la billetera instalada. La demostración de los investigadores muestra cómo funciona tu propia billetera; se ejecuta en tu navegador y, según afirman, no almacena nada. Usa una billetera desechable para mayor seguridad. También ayuda mantener las diferentes actividades en carteras o perfiles de navegador separados. Las soluciones más importantes están fuera del alcance de los usuarios. Los investigadores centraron su informe en el problema de vulnerabilidad entre sitios y notificaron a los fabricantes de carteras afectadas antes de su publicación. Para una nueva prueba en febrero de 2026, Coinbase Wallet y Coin98 ya lo habían solucionado, y Hana Wallet lo hizo posteriormente. Sin embargo, de los ocho proveedores que, según el informe, respondieron a través de sus programas de recompensas por errores, la mayoría se negó a considerarlo un error. MetaMask lo calificó como un problema conocido, cerró el informe como duplicado y afirmó que no tenía planes inmediatos de dejar de inyectar malware en su proveedor, ya que esto afectaría a demasiadas aplicaciones. Rabby afirmó que el ataque requeriría que el mismo script malicioso se ejecutara en dos sitios simultáneamente, lo cual calificó de "prácticamente imposible", y concluyó que "la vulnerabilidad no existe". OKX coincidió en que el hallazgo era técnicamente correcto, pero lo cerró como informativo porque expone datos sin robar dinero. Bybit, Backpack y Core lo consideraron de bajo riesgo o fuera de su alcance. Las respuestas completas se publican en el repositorio de los investigadores. El estudio se basa en la investigación de 2023 de Christof Ferreira Torres y sus colegas, quienes fueron los primeros en demostrar que las carteras digitales filtraban direcciones a servidores externos. Este trabajo detecta filtraciones que las herramientas anteriores no detectaron, mapea el rastreo entre sitios y muestra cómo la misma filtración podría usarse para revelar la identidad de los usuarios. Mientras que escáneres como WalletRadar y WalletProbe buscan errores evidentes, este artículo demuestra que una cartera digital no necesita un error para exponer a un usuario. Esto la diferencia de las extensiones de cartera falsas que robaron claves el año pasado. En esos casos, los delincuentes robaron. Aquí, no se roba nada, y la filtración está integrada en el diseño. El artículo se publicó en arXiv el 7 de julio y se presentará en PETS 2026 en Calgary, del 20 al 25 de julio. Por ahora, las carteras funcionan según lo previsto, y varios de sus fabricantes han afirmado, en efecto, que el diseño es correcto. La solución real no es otra advertencia a los usuarios. Se trata de carteras que dejan de exponerse dentro de marcos integrados, y de un estándar del ecosistema que define qué debe hacer realmente el cierre de sesión. Fuente: THN

  • Priorización y gestión de vulnerabilidades: CVSS, EPSS, SSVC y KEV (2 de...)
    por SeguInfo en julio 16, 2026 a las 12:19 pm

    Leer Priorización y gestión de vulnerabilidades: CVSS, EPSS, SSVC y KEV (1 de...) SSVC - Categorización de vulnerabilidades específicas de las partes interesadas El Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon, en colaboración con CISA, creó el sistema de Categorización de Vulnerabilidades Específicas para las Partes Interesadas (SSVC - Stakeholder-Specific Vulnerability Categorization ) en 2019 para proporcionar a la comunidad cibernética una metodología de análisis de vulnerabilidades que considere el estado de explotación de una vulnerabilidad, su impacto en la seguridad y la prevalencia del producto afectado en un sistema específico. CISA colaboró ​​con SEI en 2020 para desarrollar su propio árbol de decisiones SSVC personalizado para examinar las vulnerabilidades relevantes para el gobierno de los Estados Unidos (USG), así como para los gobiernos estatales, locales, tribales y territoriales (SLTT), y las entidades de infraestructura crítica. La implementación de SSVC ha permitido a CISA priorizar mejor su respuesta a las vulnerabilidades y la comunicación pública sobre ellas. ¿Qué es un SSVC? El SSVC es un marco de toma de decisiones diseñado para ayudar a los equipos de seguridad a priorizar y responder a las vulnerabilidades de manera eficiente. A diferencia del CVSS, que se centra en la gravedad técnica, el SSVC se centra en la respuesta operativa necesaria, es decir, qué acción se debe tomar y con qué urgencia. El SSVC utiliza un "árbol de decisiones" para guiar a los analistas a través de una serie de preguntas contextuales, como: ¿Es explotable la vulnerabilidad? ¿Existe una explotación conocida públicamente? ¿Qué tipo de impacto podría causar? Cómo CISA utiliza SSVC CISA utiliza su propio modelo de árbol de decisiones SSVC para priorizar las vulnerabilidades relevantes en cuatro posibles decisiones: Track (Seguimiento): La vulnerabilidad no requiere acción por el momento. La organización continuará monitoreando la vulnerabilidad y la reevaluará si se dispone de nueva información. CISA recomienda remediar las vulnerabilidades de seguimiento dentro de los plazos de actualización estándar. Track* (Seguimiento*): La vulnerabilidad contiene características específicas que podrían requerir una monitorización más estrecha para detectar cambios. CISA recomienda remediar las vulnerabilidades Track* dentro de los plazos de actualización estándar. Attend (Atención): La vulnerabilidad requiere la atención de los supervisores internos de la organización. Las acciones necesarias incluyen solicitar asistencia o información sobre la vulnerabilidad, y pueden implicar la publicación de una notificación interna o externa. CISA recomienda remediar las vulnerabilidades de Atención antes de los plazos de actualización estándar. Act (Actuar): La vulnerabilidad requiere la atención de los miembros internos, supervisores y directivos de la organización. Las acciones necesarias incluyen solicitar asistencia o información sobre la vulnerabilidad, así como publicar una notificación interna o externa. Normalmente, los grupos internos se reúnen para determinar la respuesta general y luego ejecutan las acciones acordadas. CISA recomienda remediar las vulnerabilidades de Actuar lo antes posible. El árbol CISA SSVC determina las decisiones de  Track ,  Track *,  Attend y  Act  en función de cinco valores:  Estado de explotación Impacto técnico Automatizable Prevalencia de la misión Impacto en el bienestar público Uso de SSVC SVC es una metodología para priorizar la respuesta a la vulnerabilidad según las necesidades de las distintas partes interesadas. Sus conceptos centrales son: Roles de las partes interesadas : Los distintos participantes en el proceso de respuesta a vulnerabilidades tienen distintas necesidades y prioridades. Los roles pueden incluir proveedores de parches, implementadores, coordinadores y otros. Decisiones : Cada rol de parte interesada debe tomar decisiones sobre cómo responder a las vulnerabilidades. Para un proveedor, la decisión podría ser sobre cómo priorizar la creación de parches. Para un implementador, la decisión podría ser sobre cómo priorizar la implementación de parches. Los coordinadores generalmente deben decidir si coordinar una respuesta y si publicar información sobre una vulnerabilidad que han coordinado. Puntos de decisión : Cada decisión se basa en un conjunto de datos o puntos de decisión. Estos son los factores que influyen en la decisión. Por ejemplo, la decisión de implementar un parche podría verse influenciada por la gravedad de la vulnerabilidad, la disponibilidad de un exploit y el impacto de la vulnerabilidad en el sistema. Resultados : Cada decisión tiene un conjunto de posibles resultados. Estos son los posibles resultados de la decisión. Por ejemplo, una decisión sobre la implementación de un parche podría tener resultados como "inmediato", "programado", "diferido" y "fuera de ciclo". Comenzar un proceso SSVC desde cero Usar SSVC para priorizar la respuesta a vulnerabilidades requiere algunos pasos: Preparar: definir la decisión que desea tomar, los resultados que le interesan, los puntos de decisión que utilizará para tomar la decisión, la tabla de decisiones, los datos que necesita para informar los puntos de decisión y el proceso para mantener su modelo de decisión. Recolectar: recopilar los datos que necesita para tomar decisiones informadas. Utilice SSVC: para tomar decisiones sobre cómo responder a las vulnerabilidades. Responder: a las vulnerabilidades según la priorización. Continuará...

  • Priorización y gestión de vulnerabilidades: CVSS, EPSS, SSVC y KEV (1 de...)
    por SeguInfo en julio 15, 2026 a las 1:02 pm

    Introducción Toda organización que gestiona software y hardware convive con un flujo constante de vulnerabilidades. Como los recursos de remediación son limitados y las amenazas cambian de forma dinámica, el problema central no es solo detectar debilidades, sino decidir cuáles atender primero. Para ello conviene separar las actividades: identificar una vulnerabilidad, evaluarla, categorizarla, gestionarla y solucionarla (si corresponde). El identificador CVE (Common Vulnerabilities and Exposures) actúa como el «nombre» único de cada vulnerabilidad pública, mientras que sistemas como CVSS, EPSS y SSVC aportan los criterios para priorizarla. CVSS (Common Vulnerability Scoring System), mantenido por FIRST, responde a la pregunta «¿qué tan grave es?». Asigna una puntuación de 0 a 10 a partir de las características intrínsecas de la vulnerabilidad —cómo se explota y qué impacto tiene sobre la confidencialidad, la integridad y la disponibilidad—. Es una medida de severidad técnica, no de riesgo. EPSS (Exploit Prediction Scoring System), también gestionado por FIRST, responde a «¿qué tan probable es que se explote?». Es un modelo basado en datos que estima, entre 0 y 1 (0% a 100%), la probabilidad de que una vulnerabilidad sea explotada en los próximos 30 días, incorporando inteligencia de amenazas y evidencia de explotación real. Tampoco debe interpretarse como una puntuación de riesgo. SSVC (Stakeholder-Specific Vulnerability Categorization), creado por el SEI de la Universidad Carnegie Mellon —CISA desarrolló después su propio árbol de decisión—, responde a «¿qué debo hacer y con qué urgencia?». En lugar de un número, emplea árboles de decisión que combinan el contexto —estado de explotación, impacto técnico, criticidad de la misión— para recomendar una acción operativa concreta. Los tres sistemas son complementarios, no intercambiables: miden dimensiones distintas (severidad, probabilidad y decisión operativa). Combinarlos permite pasar de una priorización reactiva, basada solo en la gravedad, a un enfoque basado en el riesgo real del entorno. Este documento describe cada sistema en detalle y, al final, propone una forma práctica de usarlos en conjunto. A estos tres se suma el catálogo KEV (Known ExploitedVulnerabilities) de CISA, que no puntúa ni decide, sino que enumera las vulnerabilidades para las que existe evidencia confirmada de explotación activa en el mundo real. Actúa como una señal binaria de máxima prioridad: si un CVE figura en el KEV, su explotación deja de ser una probabilidad y pasa a ser un hecho, por lo que debe remediarse de forma inmediata con independencia de su puntuación CVSS o EPSS.CVSS - Sistema común de puntuación de vulnerabilidades En la seguridad de la información, una vulnerabilidad se define como una debilidad que se encuentra en un activo o en un control y que puede ser explotada por una o más amenazas, lo que deriva en un riesgo de seguridad. En este sentido, la seguridad se enfoca en reducir los riesgos a un nivel que resulte aceptable, razón por la cual una de las actividades a las que se recurre con frecuencia consiste en identificar y evaluar debilidades asociadas a las plataformas de software y hardware, con la intención de evitar la materialización de eventos indeseados e inesperados. En un ambiente donde los riesgos se encuentran en constante cambio, las amenazas son dinámicas y los recursos son limitados, resulta fundamental priorizar la aplicación de medidas de seguridad, luego de identificar las vulnerabilidades. Sin embargo, la complejidad radica en definir una escala y los criterios que permitan transformar los datos obtenidos en información. Un elemento que aborda esta problemática y que ha sido adoptado por una cantidad importante de organizaciones y compañías enfocadas en seguridad, es CVE, por sus siglas en inglés Common Vulnerabilities and Exposures (Vulnerabilidades y exposiciones comunes). Es un identificador único para cada vulnerabilidad pública, funciona como un "DNI de vulnerabilidades". El CVSS, por sus siglas en inglés Common Vulnerability Scoring System (Sistema común de puntuación de vulnerabilidades), evalúa y califica estas vulnerabilidades. Las especificaciones CVSS son propiedad de FIRST, una organización sin fines de lucro con sede en EE.UU. cuya misión es ayudar a los equipos de respuesta a incidentes de seguridad informática de todo el mundo. ¿Qué es el CVSS? En resumen, es un marco muy utilizado para clasificar y calificar las vulnerabilidades de software. A través de este marco abierto, las organizaciones pueden calcular una puntuación CVSS, que es una puntuación numérica que representa la gravedad de una vulnerabilidad. Las características de una vulnerabilidad que han contribuido a la puntuación CVSS se representan en una cadena de texto conocida como cadena de vectores CVSS. El CVSS NO es una medida de riesgo. Es un método utilizado para proporcionar una medida cualitativa de la gravedad. ¿Cómo se calcula el impacto con CVSS? Para determinar el impacto que representa una vulnerabilidad se utiliza una escala que va del 0 al 10. La clasificación cualitativa depende de la versión de CVSS. En CVSS v2.0 se emplean tres niveles: baja (0.0–3.9), media (4.0–6.9) y alta (7.0–10.0). En CVSS v3.x y v4.0 —las versiones vigentes— la escala tiene cinco niveles: Ninguna (0.0), Baja (0.1–3.9), Media (4.0–6.9), Alta (7.0–8.9) y Crítica (9.0–10.0). Para calcular un puntaje asociado a una vulnerabilidad, CVSS utiliza tres grupos de métricas: Las métricas base representan las características intrínsecas a la vulnerabilidad, que son constantes en el tiempo y en el entorno del usuario. En CVSS v3.x incluyen el vector de ataque, la complejidad del ataque, los privilegios requeridos, la interacción del usuario y el alcance (las versiones v2.0 usaban vector de acceso, complejidad de acceso y autenticación), de manera que permiten definir cómo se puede acceder a una vulnerabilidad y si se cumplen las condiciones para ser explotada. Las métricas de impacto miden la manera en la que una vulnerabilidad, si se explota, afecta de forma directa a los activos de TI. Los impactos se determinan de manera independiente, como el grado de pérdida de confidencialidad, integridad y disponibilidad, ya que una vulnerabilidad podría causar pérdida parcial de integridad y disponibilidad, pero tal vez no afecte la confidencialidad. El segundo grupo corresponde a las métricas temporales, que representan las características de una vulnerabilidad que pueden cambiar en el tiempo, pero que son constantes en el ambiente de un usuario. Debido a que los riesgos planteados por una vulnerabilidad pueden cambiar a lo largo del tiempo, se consideran tres factores que influyen en ello: la madurez del código de explotación (explotabilidad), es decir, la disponibilidad de código o técnicas que permitan la explotación; el nivel de remediación disponible; y el nivel de confianza en el reporte, que refleja la credibilidad de la existencia de la vulnerabilidad y de sus detalles técnicos. Estas métricas son opcionales e incluyen un valor que no afecta a la evaluación cuando un usuario cree que la métrica en particular no existe y quiere omitirla. Las métricas de entorno corresponden al tercer grupo y representan las características de una vulnerabilidad que son relevantes y únicas para el entorno de un usuario en particular. Se definen debido a los distintos ambientes que pueden denotar una gran influencia sobre el riesgo que representa una vulnerabilidad para una organización. Este grupo de métricas se enfoca en las características de una vulnerabilidad asociadas al entorno del usuario. En CVSS v3.x y v4.0 se componen de las métricas base modificadas, que permiten reajustar cualquier métrica base según el entorno concreto, y los requisitos de seguridad de confidencialidad, integridad y disponibilidad (CR, IR y AR). El daño potencial colateral y la distribución de objetivos que definía CVSS v2.0 se eliminaron a partir de la versión 3.0. Al igual que las métricas temporales, son opcionales y cada una tiene un valor sin efecto en la evaluación, el cual es utilizado cuando un usuario considera que la métrica en particular no existe y la omite. Cuando se asignan valores a las métricas, la ecuación calcula la puntuación y crea una cadena de texto (vector) con dichos valores asignados, que es utilizada para comunicar la forma en que se generó cada puntuación de la respectiva vulnerabilidad, razón por la cual, el vector suele mostrarse junto a la calificación de la vulnerabilidad. De manera general, el grupo de métricas base pretende definir y comunicar las características fundamentales de una vulnerabilidad, para otorgar a los usuarios una clara e intuitiva representación de una vulnerabilidad. Es posible utilizar los grupos de entorno y temporal para proporcionar información contextual que refleje el riesgo de un ambiente específico, lo que permite tomar decisiones más informadas cuando se trata de mitigar los riesgos derivados de las vulnerabilidades. Para poner en práctica el método descrito, los usuarios pueden hacer uso de la calculadora CVSS v4.0. Cabe señalar que la calculadora y las evaluaciones del CVSS v2.0 fueron retiradas del NVD y ya no se aplican a los CVE publicados recientemente, por lo que debe emplearse una versión vigente (v4.0 o v3.1). Versiones de CVSS, y su compatibilidad con el NVD El CVSS v2.0 y el CVSS v3.x constan de tres grupos de métricas: Base, Temporal y Ambiental. El CVSS v4.0 es ligeramente diferente y consta de los grupos de métricas Base, Amenaza, Ambiental y Suplementaria. La Base de Datos Nacional de Vulnerabilidades (NVD) proporciona enriquecimiento del CVSS para todos los registros de CVE publicados. El NVD (National Vulnerability Database) es compatible con los estándares del Sistema Común de Puntuación de Vulnerabilidades (CVSS) v2.0, v3.x y v4.0. Sin embargo, según el anuncio de retirada del CVSS v2.0 del NVD , ya no ofrece evaluaciones del CVSS v2.0 para los registros CVE recién publicados. El NVD proporciona evaluaciones del CVSS de las métricas base, las características innatas de cada vulnerabilidad. Actualmente, el NVD no ofrece evaluaciones de métricas temporales o de amenaza (métricas que cambian con el tiempo debido a eventos externos a la vulnerabilidad), métricas ambientales (métricas personalizadas para reflejar el impacto de la vulnerabilidad en una organización específica) ni métricas complementarias (métricas utilizadas para proporcionar contexto adicional).No obstante, el NVD proporciona una calculadora del CVSS para cada versión del CVSS que permite a los usuarios evaluar métricas no base. ¿Se puede utilizar CVSS para evaluar las vulnerabilidades relacionadas con la IA? CVSS puede ser útil para evaluar tipos específicos de vulnerabilidades de ciberseguridad que a menudo se descubren en aplicaciones de IA, incluido el envenenamiento de modelos, la denegación del servicio o la divulgación de información. Sin embargo, CVSS podría ser menos útil para las vulnerabilidades relacionadas con la IA que se relacionan principalmente con el sesgo, la ética o las preocupaciones legales, según FIRST. Estas vulnerabilidades se relacionan con la inferencia, la inversión de modelos y la inyección de instrucciones. Leer Parte 2...

  • Actualizaciones de seguridad de JULIO para todas las empresas, murió el CVSS
    por SeguInfo en julio 14, 2026 a las 10:02 pm

    Microsoft publicó hoy su mayor actualización de seguridad hasta la fecha, y dos de las correcciones solucionan vulnerabilidades que los atacantes ya estaban explotando. La actualización cubre 622 vulnerabilidades propias de Microsoft, más del triple del máximo anterior de junio, que rondaba las 200. Debido a la cantidad de CVE, ordenar por criticidad de CVSS deja de tener sentido. Se debe ordenar y priorizar de acuerdo la vulnerabilidad que se esté analizando, usando KEV, EPSS y la bandera de vulnerabilidades de Microsoft, no por la "simple" puntuación de CVSS. A continuación se muestra el número aproximado de errores en cada categoría de vulnerabilidad: 254 Vulnerabilidades de elevación de privilegios 17 Vulnerabilidades de omisión de funciones de seguridad 145 Vulnerabilidades de ejecución remota de código 102 Vulnerabilidades de divulgación de información 35 Vulnerabilidades de denegación de servicio 16 Vulnerabilidades de suplantación de identidad Además, Google corrigió 468 fallos en Microsoft Edge/Chromium este mes, los cuales no se incluyeron en este resumen de actualizaciones de seguridad. Como parte de las actualizaciones de seguridad de junio del mes pasado, Google corrigió 360 fallos que posteriormente se implementaron en Microsoft Edge. 3 Vulnerabilidades de día cero, 2 explotadas En la actualización de seguridad de este mes, se corrigen tres vulnerabilidades de día cero: dos explotadas en ataques y una divulgada públicamente. Las dos vulnerabilidades de día cero explotadas activamente que se corrigen en la actualización de seguridad de este mes son: CVE-2026-56164, una vulnerabilidad de SharePoint Server que, según Microsoft, está siendo explotada activamente, permite a un atacante no autenticado escalar privilegios en la red. Sin credenciales, sin interacción del usuario y de forma remota. Microsoft atribuyó el descubrimiento a los responsables de respuesta a incidentes de Mandiant y al equipo FLARE de Google.Si utiliza SharePoint autohospedado, esta es la vulnerabilidad que debe actualizarse primero, y hay un segundo plazo: hoy también finaliza el soporte extendido para SharePoint Server 2016 y 2019. A diferencia de Windows Server o SQL Server, ninguno de los dos cuenta con un programa ESU de pago.Además de parchear, el aviso de Microsoft señala que habilitar AMSI en modo completo en el servidor reduce la efectividad del ataque. SharePoint ha sido un objetivo prioritario para los atacantes desde que la cadena ToolShell arrasó con servidores sin parchear en 2025, y sigue siéndolo. La vulnerabilidad CVE-2026-56155, que Microsoft también identifica como explotada en los Servicios de federación de Active Directory (AD FS), permite a un atacante ya autenticado elevar privilegios localmente mediante controles de acceso débiles.AD FS es el servidor que gestiona los tokens para el resto de los fideicomisos de la red, por lo que una vulnerabilidad etiquetada como "local" en ese servidor merece mayor atención de la que sugiere su denominación. Microsoft no ha especificado qué privilegios otorga ni cómo la utilizaron los atacantes. La vulnerabilidad de día cero divulgada públicamente que fue corregida es: CVE-2026-50661, una omisión de la función de seguridad BitLocker de Windows. Según se ha divulgado públicamente, podría permitir a los atacantes acceder a datos cifrados. "Un atacante que logre eludir la función de cifrado de dispositivo BitLocker en el dispositivo de almacenamiento del sistema. Un atacante con acceso físico al objetivo podría explotar esta vulnerabilidad para acceder a los datos cifrados", explica Microsoft. Microsoft reconoce la importancia de las respuestas a incidentes para ambas vulnerabilidades explotadas. Se trata de fallos de elevación de privilegios en la infraestructura de identidad y colaboración: CVE-2026-56164 en SharePoint Server local y CVE-2026-56155 en los Servicios de Federación de Active Directory. Ninguna de estas dos vulnerabilidades críticas es de ejecución remota de código. Son fallos de privilegios en dos sistemas que son más importantes de lo que sugieren sus puntuaciones: el repositorio de documentos de la empresa y el servidor que firma los inicios de sesión. El tercer fallo de día cero se hizo público, pero no está siendo explotado es: CVE-2026-50661, otra vulnerabilidad que permite eludir BitLocker. Requiere acceso físico al dispositivo, por lo que no se trata de una emergencia remota. Se parchea, pero no tiene prioridad.  SharePoint recibió una segunda corrección importante. Rapid7 Labs reveló CVE-2026-55040, una vulnerabilidad que permite eludir la autenticación JWT que desarrollaron para su participación en Pwn2Own Berlin. La puntuación varía según la fuente: Rapid7 le otorga una puntuación de 5.3 y afirma que Microsoft le asignó una gravedad media, mientras que ZDI la clasifica como crítica con una puntuación de 9.1. Su funcionamiento es indiscutible. Rapid7 la encadenó a un fallo de ejecución remota de código independiente para lograr la ejecución remota de código sin autenticación contra un servidor vulnerable, y la parte de ejecución remota de código aún no se ha parcheado. Microsoft tiene previsto solucionarlo en agosto. La limpieza de RC4 que puede provocar fallos en los inicios de sesión Esta actualización también finaliza el endurecimiento de Kerberos RC4 que Microsoft ha estado implementando durante varios años. El despliegue de julio elimina el interruptor de reversión RC4DefaultDisablementPhase, la vía de escape que los administradores han utilizado desde que Microsoft comenzó las medidas de seguridad en enero. A partir de ahora, RC4 solo funcionará para las cuentas configuradas explícitamente para permitirlo. Si alguna cuenta de servicio en su entorno aún solicita tickets Kerberos RC4, la autenticación podría fallar en el momento en que se implemente la actualización. El orden es importante: primero, auditar utilizando los eventos de auditoría de RC4 que Microsoft añadió en enero; luego, rotar las contraseñas de las cuentas de servicio marcadas para que Windows genere claves AES; y, finalmente, aplicar el parche. La rotación solo corrige las cuentas que carecen de claves AES. Cualquier sistema configurado para usar RC4, o un cliente antiguo que solo admita RC4, necesita una corrección antes de que se implemente la actualización. Esta corrección no provoca una brecha de seguridad; causa problemas, pero te avisará a las 2 de la madrugada si omites la auditoría. Por qué un mes tranquilo batió un récord Julio es históricamente uno de los meses con menos actualizaciones en el calendario de Microsoft, lo que hace que una actualización de este tamaño destaque. Solo Windows representa 416 de las 622 vulnerabilidades, y ZDI contabilizó 95 vulnerabilidades de ejecución remota de código en toda la actualización. En una publicación del 9 de julio, Microsoft comunicó a sus clientes que esperaran un "mayor volumen de actualizaciones de seguridad incluidas en cada versión a medida que la IA le ayuda a descubrir más problemas". Este trabajo incluye MDASH, su sistema de escaneo multimodal con agentes, que encontró 16 de las vulnerabilidades en el Patch Tuesday de mayo por sí solo. Microsoft no ha especificado cuántas de las 622 de julio surgieron de este proceso. La misma automatización funciona en ambos sentidos. Una vez que se publica un parche, los atacantes pueden compararlo con la última versión, encontrar el error que corrige y crear un exploit funcional antes de que la mayoría de las empresas hayan terminado las pruebas. Esto elimina el antiguo margen de tiempo de espera y reduce la brecha hasta el "Miércoles de Explotación". También debilita el análisis basado en CVSS. Cuando una versión contiene más de 600 CVE y una gran parte se clasifica como Alta o Crítica, la categoría "Crítica" deja de ser relevante para la clasificación. Los dos errores explotados este mes lo demuestran: ninguno es una vulnerabilidad grave de la versión 9.8, ambos son fallos de privilegio de nivel medio y ambos ya están en uso. Actualizaciones recientes de otras compañíasOtros proveedores que publicaron actualizaciones o avisos en mayo de 2026 incluyen:Adobe recently patched seven max-severity ColdFusion and Campaign flaws, including the ColdFusion flaw CVE-2026-48282, which was later exploited in attacks.BeyondTrust released security updates for two critical authentication bypass flaws in its Remote Support (RS) and Privileged Remote Access (PRA) software.Cisco released security updates for numerous products, including Cisco Identity Services Engine, Catalyst Center, and ClamAV. Cisco also confirmed that CVE-2026-20230, fixed in June, was actively exploited in attacks.Fortinet released security updates for numerous flaws in FortiOS, FortiSandbox, FortiPam, FortiSandbox, FortiSASE, and FortiProxy.Gitea released a security update for a critical auth bypass in the Gitea Docker image.Ivanti released security updates for two vulnerabilities in Ivanti Xtraction.Linux kernel maintainers released a patch for the Januscape vulnerability, a flaw that allows attackers to escape a virtual machine and execute arbitrary code on the host.NVIDIA released security updates for NVIDIA Triton Inference Server and NVIDIA TensorRT-LLM.Progress Software released security updates for a high-severity path traversal zero-day vulnerability that led to the emergency shutdown of ShareFile Storage Zone Controllers last week.Ubiquiti released security updates for vulnerabilities in UniFi OS, including a maximum-severity flaw that can be exploited in command injection attacks.U-Boot maintainers introduced patches to fix new flaws that could enable stealthy firmware attacks.SAP released the July security updates, which include fixes for four critical flaws in NetWeaver, Commerce Cloud, and AppRouter.VMware released security updates for VMware Avi Load Balancer, which include authentication bypasses and remote code execution flaws.Zimbra released security updates for a critical XSS vulnerability affecting the Classic Web Client in the Zimbra Collaboration suite.

  • Grok Build subió repositorios Git completos al almacenamiento de xAI (sin autorización)
    por SeguInfo en julio 14, 2026 a las 11:42 am

    La interfaz de línea de comandos (CLI) de codificación Grok Build de xAI estaba subiendo repositorios Git completos, con todo el historial de confirmaciones incluido, a un bucket de Google Cloud Storage administrado por xAI, y no solo los archivos necesarios para una tarea de codificación. Un investigador que publica bajo el seudónimo de cereblab, probando la versión 0.2.93, capturó una de estas cargas, clonó el paquete Git de la solicitud interceptada y recuperó un archivo que el agente tenía instrucciones explícitas de no abrir. La carga utiliza un canal independiente del modelo, y la distribución de bytes es difícil de refutar. En un repositorio de 12 GB con archivos que el modelo nunca leyó, el tráfico de la función `model-turn` hacia `/v1/responses` alcanzó aproximadamente 192 KB, mientras que el canal de almacenamiento hacia `/v1/storage` movió 5,10 GiB, una diferencia de aproximadamente 27.800 veces entre lo que el modelo necesitaba y lo que salía de la máquina. La carga del almacenamiento se realizó en 73 fragmentos de aproximadamente 75 MB, cada uno devolviendo un código HTTP 200. Durante el análisis del tamaño del repositorio, el volumen rastreado representó el tamaño total del repositorio. El bucket de destino, grok-code-session-traces, se nombra en el binario y en un archivo metadata.json preparado, cuyas rutas de archivo apuntan a gs://grok-code-session-traces/. El archivo no leído era src/_probe/never_read_canary.txt, al que se le añadió un marcador único. La clonación del paquete capturado lo recuperó tal cual, junto con el historial completo de confirmaciones del repositorio, y la misma prueba se replicó en un segundo repositorio independiente. Lo que establecen las capturas es la transmisión, la aceptación y el almacenamiento, no el entrenamiento. El análisis de limpieza no afirma que xAI se haya entrenado con el código, que el personal lo haya leído ni que los archivos ignorados por Git se incluyan siempre. Lo que muestra la red son los archivos rastreados y el historial. La ruta secreta es independiente y sencilla. Cuando Grok lee un archivo, su contenido pasa al modelo y un archivo .env rastreado se envía con él sin censurar, con los valores API_KEY y DB_PASSWORD incluidos. El mismo contenido también se guarda en un archivo session_state destinado al almacenamiento. Los secretos introducidos eran falsos, por lo que no se filtró información real en la prueba. El problema persiste: un archivo de credenciales que el agente leyó durante una tarea se envió y se almacenó sin censurar. Un repositorio puede contener código propietario, URL internas, datos de clientes y credenciales que se eliminaron del árbol de trabajo, pero que aún permanecen en el historial de confirmaciones. En la comparación entre herramientas realizada por Cereblab, Claude Code y Codex se encuentran en el paquete del repositorio; Gemini no envió nada en una prueba inactiva, aunque su ejecución de tarea realista se bloqueó por cuota antes de finalizar. Respuesta de xAI: El 13 de julio, el mismo binario 0.2.93 dejó de realizar solicitudes de almacenamiento. Cereblab realizó seis pruebas y no detectó ninguna carga en /v1/storage, y el servidor ahora devolvía disable_codebase_upload: true y trace_upload_enabled: false. El desarrollador Peter Dedene informó que se devolvió el mismo indicador para su cuenta, por lo que el cierre no fue solo una observación de Cereblab en una sola máquina. El cliente probado permaneció en la versión 0.2.93 mientras se modificaban los ajustes de su servidor, por lo que se trató de un cambio del lado del servidor, no de una corrección incluida en una actualización. xAI no ha confirmado si afecta a todas las cuentas o si es permanente. Fuente: THN

WeLiveSecurity WeLiveSecurity