Noticias de seguridad

Se han descubierto dos vulnerabilidades de alta gravedad en el popular archivador de archivos de código abierto 7-Zip, que podrían permitir a atacantes remotos ejecutar código arbitrario. Identificadas como CVE-2025-11001 y CVE-2025-11002, las fallas afectan a todas las versiones del software anteriores a la última versión y requieren una corrección inmediata. Falla en el procesamiento de enlaces simbólicos El núcleo de ambas vulnerabilidades reside en la forma en que 7-Zip gestiona los enlaces simbólicos incrustados en archivos ZIP. Según el aviso, un atacante puede crear un archivo ZIP malicioso con datos manipulados que explotan esta vulnerabilidad. Cuando un usuario con una versión vulnerable de 7-Zip intenta descomprimir el archivo, el proceso afectado puede manipularse para realizar un recorrido de directorio. Esto permite que el proceso de extracción escriba archivos fuera de la carpeta de destino prevista, lo que podría colocar cargas maliciosas en ubicaciones sensibles del sistema. Si bien el ataque se inicia remotamente mediante la entrega del archivo malicioso, su explotación requiere la interacción del usuario, ya que la víctima debe decidir si desea abrir el archivo comprimido. Los vectores de ataque específicos pueden variar según la implementación de 7-Zip en diferentes entornos. La alta complejidad del ataque y la necesidad de interacción del usuario impiden que las vulnerabilidades reciban una calificación crítica, pero el impacto potencial en la confidencialidad, la integridad y la disponibilidad sigue siendo significativo dado el uso generalizado de la utilidad 7-Zip. El desarrollador de 7-Zip ha lanzado la versión 25.01, que corrige estas fallas de seguridad. Se recomienda encarecidamente a todos los usuarios que actualicen sus instalaciones inmediatamente para protegerse contra posibles vulnerabilidades. Las vulnerabilidades se informaron inicialmente al proveedor el 2 de mayo de 2025, siguiendo un cronograma de divulgación responsable. Posteriormente, el 7 de octubre de 2025, se publicó un aviso público coordinado para informar al público sobre los riesgos y el parche disponible. Estas vulnerabilidades fueron descubiertas por el investigador de seguridad Ryota Shiga de GMO Flatt Security Inc., en colaboración con takumi-san.ai. Fuente: CyberSecurityNews

Investigadores de ciberseguridad han detectado un nuevo conjunto de 175 paquetes maliciosos en el registro de NPM, utilizados para facilitar ataques de recolección de credenciales como parte de una campaña inusual. Los paquetes se han descargado 26.000 veces en total, sirviendo como infraestructura para una campaña de phishing generalizada, denominada Beamglea, dirigida a más de 135 empresas industriales, tecnológicas y energéticas de todo el mundo, según Socket. "Si bien los nombres aleatorios de los paquetes hacen improbable su instalación accidental por parte de desarrolladores, es probable que el recuento de descargas incluya a investigadores de seguridad, escáneres automatizados e infraestructura de CDN que analizan los paquetes tras su divulgación", declaró el investigador de seguridad Kush Pandya. Se ha descubierto que los paquetes utilizan el registro público de NPM y el CDN de unpkg.com para alojar scripts que dirigen a las víctimas a páginas de recolección de credenciales. Algunos aspectos de la campaña fueron detectados por primera vez por Paul McCarty, de Safety, a finales del mes pasado. En concreto, la biblioteca incluye un archivo Python llamado "redirect_generator.py" para crear y publicar programáticamente un paquete NPM llamado "redirect-xxxxxx", donde "x" se refiere a una cadena alfanumérica aleatoria. El script inyecta la dirección de correo electrónico de la víctima y una URL de phishing personalizada en el paquete. Una vez que el paquete está activo en el registro NPM, el malware crea un archivo HTML con una referencia al CDN y asociada al paquete recién publicado (p. ej., "unpkg[.]com/[email protected]/beamglea.js"). El atacante aprovecha este comportamiento para distribuir cargas útiles HTML que, al abrirse, cargan JavaScript desde el CDN y redirigen a la víctima a páginas de recolección de credenciales de Microsoft. El archivo JavaScript "beamglea.js" es un script de redirección que incluye la dirección de correo electrónico de la víctima y la URL a la que se dirige para obtener sus credenciales. Socket afirmó haber encontrado más de 630 archivos HTML que se hacen pasar por órdenes de compra, especificaciones técnicas o documentos de proyecto. En otras palabras, los paquetes NPM no están diseñados para ejecutar código malicioso al instalarse. En cambio, la campaña utiliza NPM y UNPKG para alojar la infraestructura de phishing. Actualmente no está claro cómo se distribuyen los archivos HTML, aunque es posible que se propaguen mediante correos electrónicos que engañan a los destinatarios para que ejecuten los archivos HTML especialmente diseñados. "Cuando las víctimas abren estos archivos HTML en un navegador, el JavaScript redirige inmediatamente al dominio de phishing, pasando la dirección de correo electrónico de la víctima mediante un fragmento de URL", explicó Socket. La página de phishing rellena previamente el campo de correo electrónico, creando la impresión de que la víctima accede a un portal de inicio de sesión legítimo que ya la reconoce. Esta credencial precargada aumenta significativamente la tasa de éxito del ataque al reducir la sospecha de la víctima. Los hallazgos resaltan una vez más la naturaleza en constante evolución de los actores de amenazas, que adaptan constantemente sus técnicas para adelantarse a los defensores, quienes también desarrollan constantemente nuevas técnicas para detectarlos. En este caso, se pone de manifiesto el abuso de infraestructura legítima a gran escala. Al publicar 175 paquetes en 9 cuentas y automatizar la generación de HTML específico para cada víctima, los atacantes crearon una infraestructura de phishing resistente, gratuita y que aprovecha servicios CDN confiables. La combinación del registro abierto de NPM, la entrega automática desde UNPKG  y un código mínimo crea un manual de estrategias reproducible que otros actores de amenazas adoptarán. Fuente: THN

La función "Buscar mi iPhone" original se introdujo en 2010 como una función del iPhone. Era un servicio independiente de "Buscar a mis amigos", que permite rastrear la ubicación de contactos que dan su consentimiento. Apple los fusionó en 2019 para iOS 13. Hoy en día, el servicio funciona con AirPods, Macs e incluso dispositivos de terceros. Utiliza Bluetooth para enviar señales de corto alcance que pueden ser captadas por otros dispositivos Apple, que luego transmiten la ubicación del objeto perdido a Apple. Cuando abres tu iPhone para localizar un dispositivo perdido en un mapa, eso es lo que estás usando. Resulta que "Buscar" también es ideal para encontrar dispositivos robados. En Nochebuena del año pasado, una víctima de robo de teléfono utilizó el servicio para rastrear su dispositivo robado. La señal condujo a la policía a un almacén cerca del aeropuerto de Heathrow que contenía casi 900 teléfonos robados con destino a Hong Kong. Este descubrimiento impulsó a la policía a lanzar la Operación Echosteep, una investigación que duró casi un año. Al final, se lograron 46 arrestos tras redadas en 28 ubicaciones. La policía del Reino Unido recuperó más de 2.000 dispositivos robados, exponiendo una red criminal que contrabandeaba hasta 40.000 teléfonos al año. Los dispositivos robados acababan en China, donde podían venderse a un alto precio. El robo de teléfonos es una plaga en Londres, donde ladrones callejeros en bicicletas eléctricas han convertido esta nefasta actividad en un negocio. Pueden vender los teléfonos que roban por 300 libras cada uno (unos 400 dólares). Suelen envolver los dispositivos en papel de aluminio para bloquear las señales de rastreo. Esta no es la primera vez que se rastrea un teléfono. El Financial Times informó en mayo sobre un emprendedor tecnológico llamado Sam Amrani, cuyo teléfono fue robado en Kensington, Londres. Rastreó el recorrido de su teléfono hasta un barrio de Shenzhen, China, conocido por su mercado de teléfonos de segunda mano. Incluso los teléfonos con bloqueo de activación para evitar el robo de datos pueden ser desmantelados, conservando hasta el 30% de su valor. Los legisladores del Reino Unido han expresado su preocupación por el creciente problema del robo de teléfonos. En una audiencia parlamentaria celebrada en junio, preguntaron a Apple y Google por qué no estaban haciendo más para integrar medidas antirrobo en sus sistemas. Todo dispositivo que se conecta a una red móvil tiene un número de identificación único llamado Identidad Internacional de Equipo Móvil (IMEI). Cuando se denuncia el robo de un dispositivo, su IMEI puede añadirse a una "lista negra" global gestionada por la Asociación del Sistema Global para las Comunicaciones Móviles (GSMA). Las redes móviles pueden entonces bloquear la conexión de ese teléfono. Sin embargo, este sistema solo funciona en países donde las operadoras aplican activamente la lista negra. Muchas no lo hacen, lo que significa que un teléfono robado en un país puede venderse y utilizarse en otro. Por eso, los legisladores quieren que Apple y Google vayan más allá. Como se quejó el diputado Martin Wrigley en la audiencia: "Pueden detener esto bloqueando los IMEI de la lista negra de la GSMA, y simplemente están decidiendo no hacerlo todavía". Si Apple y Google también se negaran a activar o conectar los dispositivos incluidos en la lista negra de la GSMA a cuentas de iCloud o Google, esos teléfonos quedarían inservibles en cualquier parte del mundo. Esto haría que los teléfonos robados fueran mucho menos valiosos y podría reducir significativamente los robos. El gobierno del Reino Unido no espera a que las empresas tecnológicas actúen. En febrero presentó el Proyecto de Ley sobre Delitos y Vigilancia Policial, que otorga a la policía nuevas facultades para registrar los locales donde se hayan geolocalizado dispositivos robados, sin necesidad de una orden judicial. Mientras tanto, ¿qué puede hacer para protegerse? Guarde el teléfono en el bolsillo, preferiblemente en uno interior, y no camine por la calle sosteniéndolo alegremente junto a la oreja o mirando la pantalla. Use auriculares si necesita hablar, pero manténgase atento a su entorno. Es un buen consejo para cualquier persona, en cualquier lugar, ya sea que use un teléfono o no. Fuente: MalwareBytes

Delincuentes robaron información de pago parcial y datos personales, incluyendo nombres e identificaciones oficiales, de algunos usuarios de Discord tras comprometer la seguridad de un proveedor de servicio al cliente externo. Discord se creó como una plataforma de comunicación para gamers, que representan más del 90% de la base de usuarios, pero se expandió a otras comunidades, permitiendo mensajes de texto, chats de voz y videollamadas. Según las estadísticas de la plataforma, más de 200 millones de personas usan Discord cada mes.El ataque ocurrió el 20 de septiembre y afectó a un número limitado de usuarios que interactuaban con el servicio de atención al cliente o los equipos de Confianza y Seguridad de Discord. En la notificación a los usuarios afectados, la empresa de mensajería afirma que "una persona no autorizada obtuvo acceso limitado a un sistema de servicio al cliente externo utilizado por Discord". Discord reveló el incidente públicamente, indicando que tomó medidas inmediatas para aislar al proveedor de soporte de su sistema de tickets e inició una investigación. Esto incluyó la revocación del acceso del proveedor de atención al cliente a nuestro sistema de tickets, el inicio de una investigación interna, la contratación de una firma líder en informática forense para apoyar nuestra investigación y las iniciativas de remediación, y la participación de las fuerzas del orden. El ataque parece tener una motivación económica, ya que los atacantes exigieron un rescate a Discord a cambio de no filtrar la información robada: La red social afirma que las direcciones IP, los mensajes y los archivos adjuntos enviados a los agentes de atención al cliente también se vieron comprometidos. Los datos expuestos incluyen información de identificación personal, como nombres reales y nombres de usuario, direcciones de correo electrónico y otros datos de contacto proporcionados al equipo de soporte. Los atacantes también accedieron a fotos de documentos de identificación oficiales (licencia de conducir, pasaporte) de un pequeño número de usuarios. También se expuso información parcial de facturación, como el tipo de pago, los últimos cuatro dígitos de la tarjeta de crédito y el historial de compras asociado a la cuenta comprometida. El grupo de seguridad VX-Underground señala que "el tipo de datos robados a los usuarios de Discord representa literalmente la identidad completa de las personas". Alon Gal, director de tecnología de la empresa de inteligencia de amenazas Hudson Rock, cree que si se publican los datos, podrían proporcionar información crucial para ayudar a descubrir o resolver hackeos y estafas de criptomonedas. "Simplemente diré que si se filtra, esta base de datos será fundamental para resolver hackeos y estafas relacionadas con criptomonedas, ya que los estafadores no suelen recordar haber usado un correo electrónico desechable ni una VPN, y casi todos están en Discord", afirma Alon Gal, director de tecnología de Hudson Rock. Actualmente, se desconoce cuántos usuarios de Discord están afectados, y el nombre del proveedor externo o el vector de acceso no se ha revelado públicamente. Sin embargo, el grupo de amenazas Scattered Lapsus$ Hunters (SLH) se atribuyó el ataque. SLH confirmó a BleepingComputer que se trató de una brecha de seguridad de Zendesk que permitió el robo de datos de los usuarios de Discord. Pero, si bien SLH inicialmente pareció confirmar a BleepingComputer que estaban detrás del ataque a Zendesk en Discord, posteriormente declararon que se trataba de un grupo diferente al que conocen y con el que interactúan. Una imagen que los atacantes publicaron en línea muestra una lista de control de acceso de Kolide para empleados de Discord con acceso a la consola de administración. Kolide es una solución de confianza para dispositivos que se conecta al servicio de Gestión de Identidad y Acceso (IAM) basado en la nube de Okta para la autenticación multifactor. Fuente: BC

Investigadores de ciberseguridad están alertando sobre una campaña maliciosa dirigida a sitios de WordPress para realizar inyecciones de JavaScript diseñadas para redirigir a los usuarios a sitios sospechosos. "Los visitantes del sitio reciben contenido inyectado que es malware oculto, como una verificación falsa de Cloudflare", declaró Puja Srivastava, investigadora de Sucuri, en un análisis publicado la semana pasada. La empresa de seguridad web informó que inició una investigación después de que uno de los sitios de WordPress de uno de sus clientes mostrara JavaScript sospechoso de terceros a los visitantes, y finalmente descubrió que los atacantes introdujeron modificaciones en un archivo relacionado con el tema ("functions.php"). El código insertado incorpora referencias a Google Ads, probablemente con el objetivo de evadir la detección. Pero, en realidad, funciona como un cargador remoto al enviar una solicitud HTTP POST al dominio "brazilc[.]com", que, a su vez, responde con una carga útil dinámica que incluye dos componentes: Un archivo JavaScript alojado en un servidor remoto ("porsasystem[.]com"), que, al momento de escribir este artículo, ha sido referenciado en 17 sitios web y contiene código para realizar redirecciones de sitios; Un fragmento de código JavaScript que crea un iframe oculto de 1x1 píxeles, dentro del cual inyecta código que imita recursos legítimos de Cloudflare como "cdn-cgi/challenge-platform/scripts/jsd/main.js", una API esencial de su plataforma de detección y desafío de bots; Cabe destacar que el dominio "porsasystem[.]com" ha sido marcado como parte de un sistema de distribución de tráfico (TDS) llamado Kongtuke (también conocido como 404 TDS, Chaya_002, LandUpdate808 y TAG-124). Según la información compartida por una cuenta llamada "monitorsg" en Mastodon el 19 de septiembre de 2025, la cadena de infección comienza cuando los usuarios visitan un sitio comprometido, lo que resulta en la ejecución de "porsasystem[.]com/6m9x.js", que luego conduce a "porsasystem[.]com/js.php" para eventualmente llevar a las víctimas a páginas de estilo ClickFix para la distribución de malware. Los hallazgos ilustran la necesidad de proteger los sitios de WordPress y garantizar que los plugins, temas y software del sitio web se mantengan actualizados, implementando contraseñas seguras, analizando los sitios en busca de anomalías y creando cuentas de administrador inesperadas para mantener el acceso persistente incluso después de detectar y eliminar el malware. Crear páginas ClickFix con el generador IUAM ClickFix Esta revelación surge después de que la Unit 42 de Palo Alto Networks detallara un kit de phishing llamado IUAM ClickFix Generator que permite a los atacantes infectar a los usuarios con malware aprovechando la técnica de ingeniería social ClickFix y crear páginas de destino personalizables que imitan los desafíos de verificación del navegador que se utilizan a menudo para bloquear el tráfico automatizado. Las páginas de phishing personalizadas también permiten manipular el portapapeles, un paso crucial en el ataque ClickFix, además de detectar el sistema operativo utilizado para adaptar la secuencia de infección y distribuir malware compatible. En al menos dos casos diferentes, se ha detectado que actores de amenazas utilizan páginas generadas con el kit para implementar ladrones de información como DeerStealer y Odyssey Stealer, este último diseñado para sistemas macOS de Apple.La aparición del generador IUAM ClickFix se suma a una alerta previa de Microsoft sobre el aumento de desarrolladores comerciales de ClickFix en foros clandestinos desde finales de 2024. Otro ejemplo notable de un kit de phishing que ha integrado la oferta es Impact Solutions. "Los kits ofrecen la creación de páginas de destino con diversos señuelos, incluyendo Cloudflare", señaló Microsoft en agosto de 2025. "También permiten la creación de comandos maliciosos que los usuarios pegarán en el cuadro de diálogo Ejecutar de Windows. Estos kits afirman garantizar la elusión de antivirus y protección web (algunos incluso prometen que pueden eludir Microsoft Defender SmartScreen), así como la persistencia de la carga útil". No hace falta decir que estas herramientas reducen aún más la barrera de entrada para los ciberdelincuentes, permitiéndoles lanzar sofisticados ataques multiplataforma a escala sin mucho esfuerzo ni experiencia técnica. ClickFix se vuelve sigiloso mediante el contrabando de caché Los hallazgos también se producen tras el descubrimiento de una nueva campaña que ha innovado en la fórmula de ataque de ClickFix empleando una técnica furtiva conocida como contrabando de caché (cache smuggling) para pasar desapercibido en lugar de descargar explícitamente archivos maliciosos en el host objetivo."Esta campaña se diferencia de las variantes anteriores de ClickFix en que el script malicioso no descarga ningún archivo ni se comunica con internet", afirmó Marcus Hutchins, investigador principal de amenazas de Expel. "Esto se logra utilizando la caché del navegador para almacenar preventivamente datos arbitrarios en el equipo del usuario". En el ataque documentado por la empresa de ciberseguridad, la página con temática de ClickFix se hace pasar por un verificador de cumplimiento de VPN de Fortinet, utilizando tácticas de FileFix para engañar a los usuarios y lograr que inicien el Explorador de archivos de Windows y peguen un comando malicioso en la barra de direcciones para activar la ejecución de la carga útil. El comando invisible está diseñado para ejecutar un script de PowerShell a través de conhost.exe. Lo que distingue al script es que no descarga malware adicional ni se comunica con un servidor controlado por el atacante. En su lugar, ejecuta una carga útil ofuscada que se hace pasar por una imagen JPEG y que ya está almacenada en la caché del navegador cuando el usuario accede a la página de phishing. Ni la página web ni el script de PowerShell descargan archivos explícitamente, explicó Hutchins. "Con solo dejar que el navegador almacene en caché la imagen falsa, el malware puede obtener un archivo zip completo en el sistema local sin que el comando de PowerShell tenga que realizar ninguna solicitud web". Las implicaciones de esta técnica son preocupantes, ya que el contrabando de caché puede ofrecer una forma de evadir las protecciones que, de otro modo, detectarían archivos maliciosos al descargarse y ejecutarse. Se descarga un archivo 'image/jpeg' de apariencia inofensiva, solo para que su contenido se extraiga y se ejecute mediante un comando de PowerShell oculto en un señuelo de phishing de ClickFix. Fuente: THN