Noticias de seguridad

Fortinet ha lanzado actualizaciones para corregir una falla de seguridad crítica que afecta a FortiSIEM y que podría permitir que un atacante no autenticado logre la ejecución de código en instancias susceptibles. La vulnerabilidad de inyección del sistema operativo (SO), rastreada como CVE-2025-64155, tiene una calificación de CVSS 9,4. "Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo ('inyección de comando del sistema operativo') [CWE-78] en FortiSIEM puede permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes TCP diseñadas", dijo la compañía en un boletín del martes. Fortinet dijo que la vulnerabilidad afecta solo a los nodos Super y Worker, y que se ha solucionado en las siguientes versiones: FortiSIEM 6.7.0 a 6.7.10 (migrar a una versión corregida) FortiSIEM 7.0.0 a 7.0.4 (migrar a una versión corregida) FortiSIEM 7.1.0 a 7.1.8 (actualizar a 7.1.9 o superior) FortiSIEM 7.2.0 a 7.2.6 (actualizar a 7.2.7 o superior) FortiSIEM 7.3.0 a 7.3.4 (actualizar a 7.3.5 o superior) FortiSIEM 7.4.0 (actualizar a 7.4.1 o superior) FortiSIEM 7.5 (NO afectado) FortiSIEM Cloud (NO afectado) El investigador de seguridad de Horizon3.ai, Zach Hanley, a quien se le atribuye el descubrimiento y el informe de la falla el 14 de agosto de 2025, dijo que consta de dos partes móviles: Una vulnerabilidad de inyección de argumentos no autenticados que conduce a la escritura arbitraria de archivos, lo que permite la ejecución remota de código como usuario administrador. Una vulnerabilidad de escalamiento de privilegios de sobrescritura de archivos que conduce al acceso raíz y compromete completamente el dispositivo. Específicamente, el problema tiene que ver con cómo el servicio phMonitor de FortiSIEM, un proceso backend crucial responsable del monitoreo del estado, la distribución de tareas y la comunicación entre nodos a través del puerto TCP 7900, maneja las solicitudes entrantes relacionadas con el registro de eventos de seguridad en Elasticsearch. Esto, a su vez, invoca un script de shell con parámetros controlados por el usuario, abriendo así la puerta a la inyección de argumentos a través de curl y logrando escrituras de archivos arbitrarios en el disco en el contexto del usuario administrador. En otras palabras, escribir una shell en este archivo permite el escalamiento de privilegios del administrador al root, otorgando al atacante acceso ilimitado al dispositivo FortiSIEM. El aspecto más importante del ataque es que el servicio phMonitor expone varios controladores de comandos que no requieren autenticación. Esto facilita que un atacante invoque estas funciones simplemente obteniendo acceso de red al puerto 7900. Fortinet también ha enviado correcciones para otra vulnerabilidad de seguridad crítica en FortiFone (CVE-2025-47855, CVSS: 9.3) que podría permitir a un atacante no autenticado obtener la configuración del dispositivo a través de una solicitud HTTP(S) especialmente diseñada a la página del portal web. Afecta a las siguientes versiones de la plataforma de comunicaciones empresariales: FortiFone 3.0.13 a 3.0.23 (actualizar a 3.0.24 o superior) FortiFone 7.0.0 a 7.0.1 (Actualizar a 7.0.2 o superior) FortiFone 7.2 (NO afectado) Se recomienda a los usuarios que actualicen a las últimas versiones. Como solución alternativa para CVE-2025-64155, Fortinet recomienda que los clientes limiten el acceso al puerto phMonitor (7900). Fuente: THN

Este martes de parches de enero de 2026, Microsoft ha publicado actualizaciones de seguridad para 114 fallas, incluida una vulnerabilidad de día cero explotada activamente y dos divulgadas públicamente. También se abordan ocho vulnerabilidades "críticas", 6 de las cuales son fallas de ejecución remota de código y 2 son fallas de elevación de privilegios. La cantidad de errores en cada categoría de vulnerabilidad se enumera a continuación: 57 vulnerabilidades de elevación de privilegios 3 vulnerabilidades de omisión de funciones de seguridad 22 vulnerabilidades de ejecución remota de código 22 vulnerabilidades de divulgación de información 2 vulnerabilidades de denegación de servicio 5 vulnerabilidades de suplantación de identidad Estas cantidades no incluyen Microsoft Edge (1 falla) y las vulnerabilidades de Mariner corregidas a principios de este mes. Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, puede revisar nuestros artículos dedicados a las actualizaciones acumulativas KB5074109 y KB5073455 de Windows 11 y a la actualización de seguridad extendida KB5073724 de Windows 10. 3 Zero-Days, uno explotado Este mes se corrige una vulnerabilidad de día cero explotada activamente y dos divulgadas públicamente. El día cero activamente explotado es: CVE-2026-20805 (CVSS 5,5): vulnerabilidad de divulgación de información del Administrador de ventanas de escritorio. "La exposición de información confidencial a un actor no autorizado en Desktop Windows Manager permite a un atacante autorizado revelar información localmente", explica Microsoft. Microsoft dice que explotar con éxito la falla permite a los atacantes leer direcciones de memoria asociadas con el puerto ALPC remoto. Las fallas de día cero divulgadas públicamente son: CVE-2026-21265: Microsoft advierte que los certificados de arranque seguro de Windows emitidos en 2011 están a punto de caducar y que los sistemas que no se actualizan tienen un mayor riesgo de que los actores de amenazas pasen por alto el arranque seguro. Microsoft ya había revelado esta vulnerabilidad en un aviso de junio titulado "Caducidad del certificado de arranque seguro de Windows y actualizaciones de CA". CVE-2023-31096: Microsoft advirtió previamente en octubre sobre vulnerabilidades explotadas activamente en un controlador de módem Agere de terceros que se envía con versiones compatibles de Windows y dijo que se eliminarían en una actualización futura. Estas vulnerabilidades fueron explotadas para obtener privilegios administrativos en sistemas comprometidos. Como parte de las actualizaciones de enero, Microsoft ha eliminado estos controladores vulnerables de Windows. Además la empresa ha publicado actualizaciones para 6 vulnerabilidades críticas relacionadas con Office: CVE-2026-20822, CVE-2026-20952, CVE-2026-20953, CVE-2026-20957, CVE-2026-20944 y CVE-2026-20955.Otra vulnerabilidad crítica está relacionada con un RCE (CVE-2026-20854 - CVSS 7,5) en el servicio Windows Local Security Authority Subsystem Service (LSASS) y; la última afecta al servicio Windows Virtualization-Based Security (VBS) Enclave (CVE-2026-20876). Actualizaciones recientes de otras empresas. Otros proveedores que publicaron actualizaciones o avisos en enero de 2026 incluyen: ABBAdobeAmazon Web ServicesAMDArmASUSBroadcom (including VMware)CiscoConnectWiseDassault SystèmesD-LinkDellDevolutionsDrupalElasticF5FortinetFortraFoxit SoftwareFUJIFILMGigabyteGitLabGoogle Android and PixelGoogle ChromeGoogle CloudGrafanaHikvisionHPHP Enterprise (including Aruba Networking and Juniper Networks)IBMImagination TechnologiesLenovoLinux distributions AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE, and UbuntuMediaTekMitelMitsubishi ElectricMongoDBMoxaMozilla Firefox and Firefox ESRn8nNETGEARNode.jsNVIDIAownCloudQNAPQualcommRicohSamsungSAPSchneider ElectricServiceNowSiemensSolarWindsSonicWallSophosSpring FrameworkSynologyTP-LinkTrend Micro, andVeeamFuente: BC

La empresa Chainguard publicó el informe "El estado del Código Abierto confiable", un análisis trimestral de la cadena de suministro de software de código abierto. Al analizar el uso anónimo de productos y los datos de CVE, el equipo de Chainguard detectó temas comunes en torno a lo que los equipos de ingeniería de código abierto utilizan realmente para construir y los riesgos asociados. Este informe analiza más de 1.800 proyectos únicos de imágenes de contenedores, un total de 10.100 instancias de vulnerabilidad y 154 CVE únicos rastreados desde el 1 de septiembre de 2025 hasta el 30 de noviembre de 2025. Cuando usamos términos como "20 proyectos principales" y "proyectos de cola larga" (definidos por imágenes fuera del top 20), se refieren a patrones de uso reales observados en la cartera de clientes de Chainguard y en las extracciones de producción. Uso: Lo que los equipos realmente ejecutan en producción La huella actual de los contenedores de producción es exactamente la esperada: los lenguajes fundamentales, los entornos de ejecución y los componentes de infraestructura dominan la lista de los más populares. Imágenes más populares: La IA está transformando la pila base En todas las regiones, las imágenes principales son elementos básicos y conocidos: Python (71,7% de los clientes), Node (56,5%), nginx (40,1%), go (33,5%), redis (31,4%), seguidos de JDK, JRE y un conjunto de herramientas esenciales de observabilidad y plataforma como Grafana, Prometheus, Istio, cert-manager, argocd, ingress-nginx y kube-state-metrics. Esto indica que los clientes operan una cartera de componentes esenciales, como lenguajes, puertas de enlace, malla de servicios, monitorización y controladores, que, en conjunto, forman la base de su negocio. No es sorprendente que Python lidere el camino a nivel mundial, como el lenguaje de enlace predeterminado para la pila de IA moderna. Los equipos suelen estandarizar Python para el desarrollo de modelos, las canalizaciones de datos y, cada vez más, también para los servicios de inferencia de producción. El uso de imágenes de cola larga es crucial para la producción, no para casos extremos. Las imágenes más populares de Chainguard representan solo el 1,37 % del total de imágenes disponibles y representan aproximadamente la mitad de las extracciones de contenedores. La otra mitad del uso en producción proviene de otras fuentes: 1.436 imágenes de cola larga que constituyen el 61,42 % de la cartera de contenedores promedio del cliente. En otras palabras, la mitad de las cargas de trabajo de producción se ejecutan en imágenes de cola larga. Estos no son casos extremos. Son fundamentales para la infraestructura de las empresas. Es relativamente sencillo mantener las mejores imágenes optimizadas, pero lo que requiere un código abierto confiable es mantener esa seguridad y velocidad en todo lo que los clientes realmente ejecutan. Uso de FIPS: El cumplimiento normativo es un catalizador para la acción. El cifrado FIPS es una tecnología esencial en el ámbito del cumplimiento normativo, centrada en satisfacer los requisitos de cifrado. Y ofrece una perspectiva útil sobre cómo la presión regulatoria impulsa la adopción. Según los datos, el 44% de los clientes ejecutan al menos una imagen FIPS en producción. El patrón es consistente: al trabajar con marcos de cumplimiento normativo como FedRAMP, DoD IL-5, PCI DSS, SOC 2, CRA, Essential Eight o HIPAA, los equipos necesitan software de código abierto robusto y confiable que refleje sus cargas de trabajo comerciales. Las imágenes FIPS más utilizadas se alinean con la cartera más amplia, simplemente con módulos criptográficos reforzados para auditoría y verificación. Los principales proyectos de imágenes FIPS incluyen Python-fips (el 62% de los clientes con al menos una imagen FIPS en producción), Node-fips (50%), nginx-fips (47,2%), go-fips (33,8%), redis-fips (33,1%), además de componentes de plataforma como istio-pilot-fips, istio-proxy-fips y variantes de cert-manager. Incluso aparecen bibliotecas de soporte y bases de cifrado, como glibc-openssl-fips. CVE: La popularidad no se corresponde con el riesgo Al examinar el catálogo de imágenes de Chainguard, el riesgo se concentra abrumadoramente fuera de las imágenes más populares. De los CVE que Chainguard corrigió en los últimos tres meses, 214 se produjeron en las 20 imágenes principales, lo que representa solo el 2% del total de CVE. Si analizamos más allá de esas imágenes principales, encontraremos el 98% restante de los CVE corregidos (10.785 instancias de CVE). ¡Eso es 50 veces la cantidad de CVE en las 20 imágenes principales! El mayor volumen de CVE se clasifica como medio, pero la urgencia operativa a menudo depende de la rapidez con la que se abordan los CVE críticos y altos, y de si los clientes pueden confiar en esa velocidad en todo su portafolio, no solo en las imágenes más comunes. La confianza se basa en la velocidad de corrección Durante el período de tres meses analizado, el equipo logró un tiempo promedio de remediación de CVE críticos inferior a 20 horas. El 63,5% de los CVE críticos se resolvieron en 24 horas, el 97,6% en dos días y el 100% en tres días. En la cola larga es donde se esconde la mayor parte de la exposición real, y puede resultar imposible mantenerse al día. La mayoría de las organizaciones simplemente no pueden asignar recursos para corregir vulnerabilidades en paquetes que no pertenecen a su pila principal, pero los datos dejan claro que es necesario asegurar la "mayoría silenciosa" de la cadena de suministro de software con el mismo rigor que las cargas de trabajo más críticas. Un punto de referencia para el código abierto confiable En los datos, una conclusión destaca: el software moderno se basa en una amplia y cambiante cartera de componentes de código abierto, la mayoría de los cuales se encuentran fuera de las 20 imágenes más populares. No es ahí donde los desarrolladores invierten su tiempo, pero sí donde se acumula la mayor parte del riesgo de seguridad y cumplimiento. Esto crea una desconexión preocupante: es lógico que los equipos de ingeniería se centren en el pequeño conjunto de proyectos que más importan para su pila, pero la mayor parte de la exposición reside en el amplio conjunto de dependencias que no tienen tiempo de gestionar. Fuente: Chainguard

Una falla recientemente descubierta en las aplicaciones móviles de Telegram está generando serias preocupaciones entre los defensores de la privacidad y los investigadores de ciberseguridad, tras la aparición de evidencia de que las direcciones IP reales de los usuarios pueden exponerse con un solo toque, incluso al usar proxies o VPN diseñadas para ocultar su ubicación. El problema, descrito por los investigadores como una "fuga de IP con un solo clic", afecta tanto a las versiones de Android como a iOS de Telegram y explota la función de validación automática de proxy de la plataforma. Según los expertos en seguridad, la falla permite a los atacantes eludir las herramientas de anonimato configuradas por el usuario y capturar directamente información de identificación de la red, lo que podría facilitar la vigilancia, el rastreo o el doxing a gran escala. Telegram ha promovido durante mucho tiempo la compatibilidad con proxys, como los proxies SOCKS5 y MTProto, como una forma de que los usuarios eludan la censura u oculten su ubicación en la red. Sin embargo, los investigadores afirman que el diseño de la aplicación incluye un descuido crítico: cuando un usuario pulsa un enlace de proxy, Telegram prueba automáticamente su conectividad antes de añadirlo a la configuración de la aplicación. Según los expertos, esa solicitud de prueba se envía directamente desde el dispositivo del usuario mediante la interfaz de red predeterminada, omitiendo todos los proxies configurados previamente y, en algunos casos, el enrutamiento VPN. "Esto ocurre de forma silenciosa e instantánea", afirmó un investigador de ciberseguridad que analizó el comportamiento. "El usuario cree estar operando tras capas de protección, pero la aplicación las supera momentáneamente". El problema fue demostrado públicamente por el investigador de seguridad 0x6rss en X, quien compartió una prueba de concepto que mostraba cómo un atacante podía registrar la dirección IP real de una víctima inmediatamente después de un solo clic en un enlace de Telegram manipulado. "Telegram realiza un ping automático al servidor proxy antes de agregarlo", escribió el investigador. "Esa solicitud ignora todos los proxies configurados. Tu IP real se registra al instante". Enlaces maliciosos camuflados en nombres de usuario El ataque se basa en el sistema flexible de enlaces de Telegram. Los atacantes pueden crear URL de proxy, como t.me/proxy?server=attacker-controlled, y camuflarlas en nombres de usuario comunes o enlaces de perfil inofensivos dentro de chats, canales o mensajes directos. Una vez hecho clic, el proceso se ejecuta automáticamente: Validación silenciosa del proxy: Telegram prueba la disponibilidad del proxy. Evasión de proxy y VPN: La solicitud de prueba se envía directamente desde el dispositivo. Exposición de IP: El servidor del atacante registra la dirección IP real del usuario, su ubicación aproximada y los metadatos de conexión. No se requieren permisos, confirmaciones ni credenciales adicionales. La víctima no recibe ninguna advertencia visible de que su identidad de red ha sido expuesta. Los investigadores comparan este mecanismo con las conocidas fugas de hash NTLM en sistemas Windows, donde un simple intento de autenticación puede revelar inadvertidamente credenciales confidenciales. En este caso, basta con hacer clic en un enlace. Implicaciones para activistas, periodistas y disidentes Esta vulnerabilidad es particularmente preocupante dada la base global de usuarios de Telegram —estimada en más de 950 millones de usuarios activos mensuales— y su popularidad entre activistas, periodistas y comunidades que operan bajo regímenes restrictivos. Telegram se utiliza a menudo en entornos donde el anonimato no es solo una preferencia, sino una necesidad. Una falla como esta puede tener consecuencias reales, como arrestos, acoso o situaciones aún peores. Los actores de amenazas afines a los Estados y las empresas de vigilancia privada se han centrado cada vez más en los metadatos —como las direcciones IP y la información de tiempo— en lugar del contenido de los mensajes, que puede estar cifrado. Incluso sin acceso a los chats, una dirección IP puede revelar el país, la ciudad, el proveedor de internet (ISP) y, en ocasiones, los movimientos físicos de un usuario a lo largo del tiempo. Preocupaciones similares han surgido en el pasado. Signal, otra aplicación de mensajería centrada en la privacidad, se enfrentó anteriormente al escrutinio sobre cómo ciertas solicitudes de red podían eludir las herramientas de anonimato en condiciones específicas, lo que provocó cambios de diseño y auditorías públicas. Los investigadores afirman que la situación actual de Telegram pone de relieve la tensión existente entre la usabilidad y la seguridad en las plataformas de mensajería a gran escala. Respuesta de Telegram Telegram informó que empezará a añadir advertencias a los enlaces proxy después de que investigadores demostraran que enlaces especialmente diseñados podrían exponer la dirección IP real del usuario sin necesidad de confirmación adicional. La compañía ha priorizado históricamente su arquitectura de seguridad, especialmente en lo que respecta al cifrado, pero ha recibido críticas de expertos que argumentan que la privacidad a nivel de red recibe menos atención. Qué pueden hacer los usuarios ahora Hasta que se implemente una solución, millones de usuarios de Telegram pueden estar operando bajo una falsa sensación de seguridad: a un clic de ser expuestos. Hasta que Telegram aborde el problema, los expertos recomiendan varias medidas de precaución: Evitar hacer clic en nombres de usuario desconocidos o enlaces proxy, especialmente en canales públicos o mensajes no solicitados.Desactivar la detección o prueba automática de proxy, si esta opción está disponible en la versión de su aplicación. Utilizar firewalls a nivel de dispositivo para supervisar y bloquear conexiones salientes inesperadas. Herramientas como AFWall+ en Android o monitores de red tipo Little Snitch (o similar) pueden ayudar a los usuarios avanzados a identificar tráfico sospechoso. Seguir el registro de cambios oficial de Telegram y los anuncios de seguridad para obtener actualizaciones o correcciones. Para los usuarios de alto riesgo, los investigadores recomiendan asumir que un solo clic descuidado podría comprometer el anonimato de la red y ajustar los modelos de amenaza en consecuencia. Fuente: Cyber Security Hub Newsletter

Una nueva y sofisticada variante de la botnet GoBruteforcer anda suelta y se aprovecha de un problema muy actual: la reutilización masiva de ejemplos de implementación de servidores generados por IA, que deja miles de sistemas vulnerables a ataques. GoBruteforcer (también llamado GoBrut) es una botnet modular, escrita en Go, que fuerza las contraseñas de los usuarios de servicios como FTP, MySQL, PostgreSQL y phpMyAdmin en servidores Linux. La botnet se propaga a través de una cadena de módulos de shell web, descargador, bot de IRC y fuerza bruta. Un nuevo informe de Check Point Research (CPR) detalla la evolución de esta amenaza modular en 2025, dirigida a servidores Linux que ejecutan servicios comunes como MySQL, FTP, XAMPP y phpMyAdmin. Los investigadores estiman que más de 50.000 servidores con conexión a internet podrían ser vulnerables a esta última ola, que combina ataques de fuerza bruta tradicionales con tácticas de evasión modernas. Si bien GoBruteforcer no está basado en IA, su éxito se debe a los hábitos de los desarrolladores que utilizan herramientas de IA. El informe destaca que los Grandes Modelos de Lenguaje (LLM) entrenados con documentación pública suelen regurgitar fragmentos de configuración con valores predeterminados débiles. Pedimos a dos LLM de renombre que nos ayudaran a crear una instancia de MySQL en Docker. Ambos generaron fragmentos casi idénticos con patrones de nombre de usuario estándar, señalaron los investigadores. Los atacantes lo saben. Las listas de credenciales de la botnet están repletas de estos mismos nombres de usuario estándar, como appuser, myuser y appuser1234, lo que les permite burlar la seguridad en servidores implementados por administradores inexpertos o apresurados. "Aunque no creemos que GoBruteforcer se dirija específicamente a instalaciones de servidores asistidas por IA, el uso generalizado de LLM podría contribuir al éxito de los ataques de la botnet". Al comparar la lista de credenciales utilizada en las campañas de GoBruteforcer con una base de datos de aproximadamente 10 millones de contraseñas filtradas, los investigadores encontraron una superposición de aproximadamente el 2,44 %. Esto proporciona una base para un límite superior aproximado en la cantidad de hosts que podrían aceptar una de las contraseñas que GoBruteforcer tiene a su disposición: aproximadamente 54.600 instancias de MySQL y 13.700 instancias de PostgreSQL. Incluso con una baja tasa de éxito, la gran cantidad de servicios expuestos convierte este tipo de ataque en una opción económicamente atractiva.  La campaña no se limita al secuestro de recursos; también tiene una motivación económica. CPR observó que la botnet atacaba específicamente bases de datos de proyectos de criptomonedas y blockchain. En un host comprometido, los investigadores encontraron un tesoro de herramientas de robo: "un escáner de saldo de TRON y utilidades de 'barrido de tokens' de TRON y BSC, junto con un archivo que contiene aproximadamente 23.000 direcciones de TRON". El análisis de blockchain confirmó lo peor: "El análisis de transacciones en cadena que involucran las billeteras de los receptores de los operadores de la botnet muestra que al menos algunos de estos ataques con motivación económica tuvieron éxito". Detectada por primera vez en 2023, la variante 2025 de GoBruteforcer ha recibido una importante actualización interna. El módulo del bot IRC, previamente escrito en C, ha sido reescrito completamente en Go y altamente ofuscado. Ahora emplea ingeniosos trucos de enmascaramiento de procesos para ocultarse a simple vista, enmascarándose como un proceso legítimo del sistema como init para engañar a los administradores que consultan sus administradores de tareas. La botnet también es sorprendentemente selectiva con sus objetivos. Emplea un sistema "inteligente" de generación de IP que filtra las zonas peligrosas. "Una característica notable es una lista negra integrada de 13 bloques /8 específicos históricamente asociados con el Departamento de Defensa de EE.UU. (DoD)... Al omitirlos, el bot evita atraer atención innecesaria y probablemente elude los honeypots del gobierno". De igual manera, evita las principales cadenas de proveedores de nube como AWS, considerándolas de "baja prioridad o alto riesgo" debido a sus agresivos equipos de respuesta ante abusos. GoBruteforcer sirve como un claro recordatorio de que los exploits avanzados no siempre son necesarios cuando fallan las medidas básicas de higiene. GoBruteforcer es un ejemplo perfecto de cómo los actores de amenazas utilizan tácticas aparentemente poco sofisticadas para comprometer un gran número de sistemas conectados a internet con relativamente poco esfuerzo. Se insta a las organizaciones a ir más allá de las configuraciones predeterminadas que ofrecen los asistentes de IA y a garantizar que sus servicios conectados a internet estén protegidos con una autenticación robusta.