Noticias de seguridad

Investigadores de seguridad de la Unit 42 de PaloAlto han logrado que DeepSeek, un modelo de lenguaje grande (LLM) relativamente nuevo, genere instrucciones detalladas para crear keyloggers, herramientas de exfiltración de datos y otro contenido dañino. DeepSeek, desarrollado por una organización de investigación de IA con sede en China, se ha convertido recientemente en un competidor destacado en el panorama de la IA. La compañía lanzó DeepSeek-V3 el 25 de diciembre de 2024, seguido de DeepSeek-R1 en enero de 2025. El jailbreaking es una técnica que se utiliza para eludir las restricciones implementadas en los LLM y evitar que generen contenido malicioso o prohibido. Estas restricciones se conocen comúnmente como barandillas de seguridad. Los investigadores emplearon tres técnicas avanzadas de jailbreak para eludir las barreras de seguridad del modelo, lo que generó gran preocupación sobre el posible uso indebido de las tecnologías emergentes de IA. Investigadores revelaron recientemente dos técnicas de jailbreaking novedosas y efectivas, denominadas Deceptive Delight y Bad Likert Judge. Dado su éxito con otros modelos de lenguaje grandes (LLM), probamos estas dos técnicas de jailbreaking y otra técnica de jailbreaking multi-turno, llamada Crescendo, con modelos DeepSeek. La técnica Bad Likert Judge demostró ser particularmente eficaz contra DeepSeek. Este método implica que el LLM evalúe la nocividad de las respuestas mediante una escala de Likert y luego le pida que genere ejemplos alineados con estas calificaciones. Con una manipulación cuidadosa, los investigadores pudieron extraer código detallado para crear herramientas de exfiltración de datos, incluidos scripts de keylogger funcionales escritos en Python. El modelo fue tan flexible que proporcionó orientación específica para configurar el entorno de desarrollo adecuado para crear keyloggers personalizados, incluyendo recomendaciones para las bibliotecas de Python necesarias. Los investigadores también lograron que DeepSeek generara plantillas detalladas de correo electrónico de phishing y sofisticadas estrategias de ingeniería social. La técnica Crescendo, que guía progresivamente las conversaciones hacia temas prohibidos mediante una serie de indicaciones relacionadas, también demostró ser muy eficaz. A partir de preguntas históricas aparentemente inocuas sobre temas como los cócteles molotov, los investigadores pudieron extraer instrucciones detalladas paso a paso para crear dispositivos peligrosos en tan solo unas pocas interacciones. Lo que hace a Crescendo particularmente preocupante es la rapidez con la que puede eludir los mecanismos de seguridad, requiriendo a menudo menos de cinco interacciones para lograr su objetivo. Las respuestas de DeepSeek a estos intentos de jailbreaking fueron alarmantemente detalladas y prácticas. Más allá de los conceptos teóricos, el modelo proporcionó una guía práctica y completa que podría permitir actividades maliciosas. Con indicaciones de seguimiento cuidadosamente elaboradas, el modelo proporcionó con facilidad instrucciones cada vez más detalladas y explícitas para diversas actividades dañinas. Varios modelos simplificados derivados de estas versiones más grandes han ganado popularidad entre los usuarios que buscan alternativas de código abierto a los sistemas de IA establecidos. Los investigadores probaron específicamente uno de los modelos simplificados de código abierto más populares y destacados de DeepSeek. Sin embargo, creen que las versiones alojadas en la web probablemente responderían de forma similar a las técnicas de jailbreak. Los investigadores señalan que, si bien la protección completa contra todas las técnicas de jailbreak sigue siendo un desafío, los protocolos de seguridad adecuados pueden mitigar significativamente los riesgos. Fuente: CyberSecurityNews

Se han revelado cinco vulnerabilidades críticas de seguridad en el controlador Ingress NGINX para Kubernetes que podrían provocar la ejecución remota de código no autenticado, poniendo en riesgo inmediato a más de 6.500 clústeres al exponer el componente a la red pública de internet. Las vulnerabilidades (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 y CVE-2025-1974), con una puntuación máxima CVSS de 9,8, han sido denominadas colectivamente como IngressNightmare por la firma de seguridad en la nube Wiz. Cabe destacar que estas vulnerabilidades no afectan al controlador Ingress NGINX, otra implementación del controlador Ingress para NGINX y NGINX Plus. "La explotación de estas vulnerabilidades permite que los atacantes accedan sin autorización a todos los secretos almacenados en todos los espacios de nombres del clúster de Kubernetes, lo que puede resultar en la toma de control del clúster", declaró la compañía. IngressNightmare, en esencia, afecta al componente del controlador de Ingress NGINX para Kubernetes. El controlador Ingress NGINX es una implementación de Ingress que utiliza NGINX como proxy inverso y balanceador de carga, lo que permite exponer rutas HTTP y HTTPS desde fuera de un clúster a los servicios dentro de él.Es uno de los Ingress más populares y un proyecto fundamental de Kubernetes. Aproximadamente el 43% de los entornos en la nube son vulnerables a estas vulnerabilidades. La vulnerabilidad se aprovecha del hecho de que los controladores de admisión, implementados dentro de un pod de Kubernetes, son accesibles a través de la red sin autenticación. En concreto, implica la inyección remota de una configuración arbitraria de NGINX mediante el envío de un objeto de entrada malicioso (también conocido como solicitudes AdmissionReview) directamente al controlador de admisión, lo que provoca la ejecución de código en el pod del controlador Ingress NGINX. "Los privilegios elevados del controlador de admisión y la accesibilidad ilimitada a la red crean una ruta de escalamiento crítica", explicó Wiz. "Aprovechar esta falla permite a un atacante ejecutar código arbitrario y acceder a todos los secretos del clúster en todos los espacios de nombres, lo que podría llevar a la toma completa del clúster". Las deficiencias se enumeran a continuación: CVE-2025-24513 (CVSS: 4,8): una vulnerabilidad de validación de entrada incorrecta que podría provocar un cruce de directorios dentro del contenedor, lo que provoca una denegación de servicio (DoS) o una divulgación limitada de objetos secretos del clúster cuando se combina con otras vulnerabilidades. CVE-2025-24514 (CVSS: 8,8): la anotación de Ingress auth-url puede utilizarse para inyectar configuración en NGINX, lo que resulta en la ejecución de código arbitrario en el contexto del controlador ingress-nginx y la divulgación de secretos accesibles para el controlador. CVE-2025-1097 (CVSS: 8,8): la anotación de Ingress auth-tls-match-cn puede utilizarse para inyectar configuración en NGINX, lo que resulta en la ejecución de código arbitrario en el contexto del controlador ingress-nginx y la divulgación de secretos accesibles para el controlador. Controlador CVE-2025-1098 (CVSS: 8,8): Las anotaciones de Ingress en el destino y el host del espejo pueden utilizarse para inyectar una configuración arbitraria en NGINX, lo que resulta en la ejecución de código arbitrario en el contexto del controlador Ingress-Nginx y la divulgación de secretos accesibles para el controlador. CVE-2025-1974 (CVSS: 9,8): Un atacante no autenticado con acceso a la red de pods puede ejecutar código arbitrario en el contexto del controlador Ingress-Nginx bajo ciertas condiciones. En un escenario de ataque experimental, un atacante podría cargar una carga maliciosa en forma de biblioteca compartida al pod utilizando la función de búfer del cuerpo del cliente de NGINX, y posteriormente enviar una solicitud AdmissionReview al controlador de admisión. Hillai Ben-Sasson, investigador de seguridad en la nube de Wiz, declaró que la cadena de ataque consiste esencialmente en inyectar una configuración maliciosa y utilizarla para leer archivos confidenciales y ejecutar código arbitrario. Esto podría permitir a un atacante abusar de una cuenta de servicio robusta para leer secretos de Kubernetes y, en última instancia, facilitar la toma de control del clúster. En un aviso independiente, el Comité de Respuesta de Seguridad de Kubernetes indicó que todas las vulnerabilidades, con excepción de CVE-2025-1974, se refieren a mejoras en la forma en que Ingress NGINX gestiona ciertos parámetros de configuración. Por otro lado, la vulnerabilidad CVE-2025-1974 puede combinarse con otras vulnerabilidades para facilitar la toma de control del clúster sin requerir credenciales ni acceso administrativo. Tras una divulgación responsable, las vulnerabilidades se han solucionado en las versiones 1.12.1, 1.11.5 y 1.10.7 del controlador Ingress NGINX. Se recomienda:Actualizar a la última versión del controlador NGINX de Ingress.Asegurar de que el punto final del webhook de admisión no esté expuesto externamente.Puede usar esta plantilla de Nuclei para comprobar si hay controladores de admisión Ingress-NGINX expuestos. Como mitigación, se recomienda limitar el acceso al controlador de admisión únicamente al servidor de API de Kubernetes y deshabilitar temporalmente dicho componente si no es necesario.Ya existe exploit públicos y los detalles técnicos se pueden encontrar en WIZ.Fuente: THN

Investigadores de BlackBerry Threat Intelligence descubrieron una cepa de ransomware relativamente nueva, probablemente originaria de Irán. Llamado LokiLocker, en honor al "dios nórdico de las travesuras", este ransomware está programado para borrar el disco y los datos de los equipos objetivo, eliminando así todos los archivos que no pertenecen al sistema y los registros de arranque (boot) si no se paga un rescate. LokiLocker lleva activo desde mediados de agosto de 2021. Opera bajo un modelo de ransomware como servicio. BlackBerry afirmó que la cepa se vende a afiliados seleccionados y verificados. "Cada afiliado se identifica con un nombre de usuario y se le asigna un número de identificación de chat único. Actualmente, existen alrededor de 30 afiliados 'VIP' diferentes en las muestras de LokiLocker que los investigadores de BlackBerry han encontrado circulando". El creciente uso de malware de borrado de discos en medio del conflicto entre Ucrania y Rusia ha animado a la banda de ransomware LokiLocker a utilizar malware similar en sus operaciones.  LokiLocker ahora va más allá del método de doble extorsión que se popularizó en los últimos dos años. LokiLocker amenaza con borrar todos los archivos del sistema objetivo, además de cifrarlos, si la víctima no paga el rescate. Esto es posible gracias a una función de borrado opcional en la variante LokiLocker, que elimina todos los archivos que no son del sistema, eliminando así cualquier posibilidad de negociación. Sin embargo, los operadores/afiliados de LokiLocker dan a las víctimas un plazo para pagar el rescate antes de usar la función de borrado. LokiLocker utiliza una combinación estándar de AES para el cifrado de archivos y RSA para la protección de claves para bloquear los archivos en el equipo objetivo. Escrito en .NET y protegido con NETGuard mediante un complemento de virtualización llamado KoiVM, LokiLocker incluso sobrescribe el registro de arranque (MBR). El MBR es básicamente información que permite a un sistema localizar e iniciar el sistema operativo almacenado en el disco de un equipo. Sin el MBR, el disco queda inutilizado y no arranca, a menos que se recupere, "La buena noticia" es que, al no exfiltrar datos de la organización, les impide filtrar públicamente información confidencial. Esto podría eliminar cualquier influencia adicional que quieran ejercer, pero a la banda de LokiLocker probablemente no le importe. La imagen a continuación representa cómo se vería un ataque exitoso: Los atacantes también publican un archivo HTA que, curiosamente, desaconseja pagar el rescate antes de descifrar algunos archivos de prueba. El grupo afirmó que descifraría tres archivos de prueba gratuitamente para demostrar su garantía de descifrado. Los atacantes de ransomware que utilizan la cepa LokiLocker se dirigen principalmente a usuarios de PC con Windows de habla inglesa. El origen de LokiLocker sigue siendo desconocido, pero según los hallazgos de BlackBerry, que indican que las cadenas de depuración integradas contienen principalmente gramática sin errores y palabras en inglés correctamente escritas, es improbable que esta cepa se originara en Rusia y China. BlackBerry afirmó que "algunas de las herramientas de cracking utilizadas para distribuir las primeras muestras de LokiLocker parecen haber sido desarrolladas por un equipo iraní llamado AccountCrack. Además, al menos tres de los afiliados conocidos de LokiLocker utilizan nombres de usuario únicos que se pueden encontrar en canales de hacking iraníes". Además, el análisis de malware indica que la cepa LokiLocker impide que los sistemas iraníes sean cifrados y atacados. Por ello, esta cepa de ransomware parece haberse originado en Irán. O bien eso, o alguien está intentando culpar a los iraníes. "Estos detalles complican aún más las cosas. Con estafadores y actores de amenazas, puede ser difícil distinguir entre una pista significativa y una bandera falsa, y nunca se puede estar seguro de hasta qué punto llega el engaño", añadió BlackBerry Threat Intelligence. ¿Se puede mitigar el impacto de LokiLocker? Mitigar un ataque de LokiLocker es similar a mitigar cualquier tipo de ransomware: mantener una sólida estrategia de seguridad y realizar copias de seguridad de datos con regularidad. Dado que LokiLocker simplemente amenaza con borrar los datos de los sistemas objetivo sin exfiltrarlos ni presionar a la víctima para que los filtre, una copia de seguridad sin conexión a internet puede reducir el impacto. NOTA: Actualmente no se conoce un descifrador para LokiLocker. Fuente: Spiceworks

El FBI advierte que se están utilizando convertidores de documentos falsos en línea para robar información personal y, en el peor de los casos, para instalar ransomware en los dispositivos de las víctimas. Aunque no todos los convertidores de archivos son malware, es fundamental investigarlos antes de usarlos y consultar las reseñas antes de descargar cualquier programa. La advertencia llegó la semana pasada desde la oficina local del FBI en Denver, tras recibir un número creciente de informes sobre este tipo de herramientas. "La Oficina Local del FBI en Denver advierte que los agentes están detectando con cada vez mayor frecuencia estafas relacionadas con herramientas gratuitas de conversión de documentos en línea, y queremos animar a las víctimas a denunciar los casos de esta estafa", se lee en la advertencia. El FBI afirma que los ciberdelincuentes están creando sitios web que promocionan herramientas gratuitas de conversión de documentos, descarga y fusión de archivos. En este caso, los delincuentes utilizan herramientas gratuitas de conversión de documentos en línea para instalar malware en los ordenadores de las víctimas, lo que provoca incidentes como el ransomware. Para llevar a cabo esta acción, utilizan cualquier tipo de herramienta gratuita de conversión o descarga de documentos. Podría tratarse de un sitio web que afirma convertir un tipo de archivo a otro, como un archivo .DOC a un archivo .PDF. También podría afirmar combinar archivos, como unir varios archivos .JPG en uno solo .PDF. El programa sospechoso podría afirmar ser una herramienta de descarga de MP3 o MP4. Si bien las herramientas en línea funcionan según lo anunciado, el FBI afirma que el archivo resultante también podría contener malware oculto que puede utilizarse para obtener acceso remoto al dispositivo infectado. El FBI también afirma que los documentos subidos pueden ser extraídos para obtener información confidencial, como nombres, números de seguro social, semillas de criptomonedas, frases de contraseña, direcciones de billetera, direcciones de correo electrónico, contraseñas e información bancaria. "Los usuarios que antes buscan 'convertidor de archivos en línea gratuito' en un motor de búsqueda son vulnerables, ya que los algoritmos utilizados para los resultados ahora suelen incluir resultados de pago, que podrían ser fraudulentos". Se sabe que los actores de amenazas utilizan estas herramientas para distribuir malware. La semana pasada, el investigador de ciberseguridad Will Thomas compartió algunos sitios que afirmaban ser convertidores de documentos en línea, como docu-flex[.]com y pdfixers[.]com. Aunque estos sitios ya no están disponibles, distribuían ejecutables de Windows llamados Pdfixers.exe [VirusTotal] y DocuFlex.exe [VirusTotal], ambos detectados como malware. Un investigador de ciberseguridad conocido por rastrear la infección de Gootloader también informó en noviembre sobre una campaña publicitaria de Google que promocionaba sitios web falsos de conversión de archivos. Estos sitios simulaban convertir archivos, pero en realidad provocaban la descarga del malware Gootloader. "Al visitar este sitio de WordPress (¡sorpresa!), encontré un formulario para subir un PDF y convertirlo a un archivo .DOCX dentro de un .ZIP", explicó el investigador. "Pero tras pasar ciertas comprobaciones (ser de un país angloparlante y no haber visitado la misma subred de clase C en las últimas 24 horas), los usuarios reciben un archivo .JS dentro del .ZIP en lugar de un .DOCX genuino". Este archivo JavaScript es Gootloader, un cargador de malware conocido por descargar malware adicional, como troyanos bancarios, ladrones de información, descargadores de malware y herramientas de post-explotación, como Cobalt Strike o Havoc. Utilizando estas cargas útiles adicionales, los actores de amenazas vulneran las redes corporativas y se propagan lateralmente a otros equipos. Ataques como estos han provocado ataques de ransomware en el pasado, como los de REvil y BlackSuit. Si un sitio es relativamente desconocido, es mejor evitarlo por completo. Si utiliza un convertidor o descargador de archivos en línea, asegúrese de analizar cualquier archivo resultante del sitio, ya que, si es un ejecutable o JavaScript, sin duda es malicioso. Fuente: BC

Canonical prepara una transformación importante en su sistema operativo de código abierto, con el objetivo de reforzar la seguridad y optimizar el rendimiento de Ubuntu. Ubuntu, una de las distribuciones más longevas y utilizadas del ecosistema Linux, está a punto de experimentar uno de los mayores cambios en su historia. Durante años, su estabilidad han estado sustentadas por componentes del Proyecto GNU, pero ahora, Canonical —la compañía responsable de su desarrollo— ha confirmado un movimiento que va a suceder muy pronto.A partir de la versión Ubuntu 25.10, la distribución comenzará a reemplazar las tradicionales coreutils de GNU. Esto significa que comandos esenciales como ls, cp o rm, que forman parte del día a día de cualquier usuario de este sistema, serán sustituidos por nuevas versiones desarrolladas en Rust, un lenguaje de programación moderno que prioriza la seguridad, la eficiencia y el rendimiento.Ubuntu se reinventa, pero ¿por qué está dejando atrás GNU? La próxima versión de Ubuntu, 25.04 "Plucky Puffin", aún no está disponible, pero se está gestando un cambio significativo para la versión posterior, que será la 25.10. Será entonces cuando Canonical y sus colaboradores reemplacen las utilidades básicas actuales (del proyecto GNU e implementadas en C) con la nueva suite de utilidades, escrita en Rust. El motivo de este cambio no es meramente técnico, también es filosófico y estructural. Los coreutils (U-utils) originales del Proyecto GNU han demostrado ser robustos a lo largo de décadas, pero están escritos en lenguaje C, un entorno que, aunque potente, es susceptible a vulnerabilidades de seguridad como los desbordamientos de búfer o los errores de acceso a memoria. Rust, en cambio, ha sido diseñado desde cero con la seguridad como prioridad. Su sistema de control de memoria en tiempo de compilación elimina clases enteras de errores que afectan al C. Además, ofrece una gestión del multihilo mucho más segura, lo que permite aprovechar los procesadores multinúcleo modernos sin los riesgos tradicionales de la programación paralela. Canonical dice que es más fácil reemplazar fragmentos del espacio de usuario que el núcleo. Hasta ahora, las coreutils de Rust superan aproximadamente 500 de las 600 pruebas de GNU, y con la atención adicional que este cambio atraerá al proyecto, parece probable que la puntuación mejore rápidamente. Este cambio también implica una diferencia crucial en las licencias, puesto que, mientras que el software de GNU/Linux utiliza la GPL (Licencia Pública General), que obliga a que cualquier modificación del código fuente también se distribuya con la misma licencia, Rust y los nuevos paquetes optan por la licencia MIT, mucho más permisiva. Esto significa que otros proyectos —incluso propietarios— pueden utilizar, así como modificar el código sin necesidad de liberar sus cambios, algo que ha generado un debate profundo en la comunidad del código abierto y en los desarrolladores. Además, Jon Seager, vicepresidente de ingeniería de Canonical y quien propone este cambio, proporciona una herramienta llamada Oxidizr para activar o desactivar globalmente los componentes de reemplazo. Expuso algunas de las razones detrás de esta medida en una entrada de blog el mes pasado, "Ingeniería de Ubuntu para los próximos 20 años". Oxidir Puede instalarse directamente desde GitHub o mediante el gestor de paquetes Cargo. Permite sustituir comandos clave como coreutils, diffutils, findutils y otros, de forma progresiva y reversible. Se recomienda hacer copias de seguridad antes de modificar componentes tan esenciales del sistema. Es una medida interesante, aunque ya está molestando a algunos observadores. La realidad es que a los usuarios de Ubuntu no les importan mucho cuestiones como las licencias de software libre o los lenguajes de implementación. Solo quieren que las cosas funcionen. Esto podría llevar a algunos usuarios más a Debian, Devuan o incluso a otras opciones más avanzadas. Una distribución bastante importante ya lo ha hecho. Alpine Linux usa Busybox en lugar de muchos componentes estándar de Linux, aunque las utilidades GNU Core están disponibles si se necesitan. En 2021, los líderes del kernel de Linux, como el propio fundador y líder, Linux Torvalds, quedaron impresionados con el lenguaje, pero optaron por esperar a ver qué pasaba. Rust para Linux ganó adeptos y fuerza, y en octubre de 2022, Torvalds aprobó una solicitud de incorporación de compatibilidad con el código de Rust en el kernel. Más allá de Ubuntu, este cambio refleja una tendencia mayor, y es que el propio kernel de Linux ya ha empezado a integrar componentes en Rust desde la versión 6.1. Esto abre la puerta a que más distribuciones sigan los pasos de Canonical. Fuente: ComputerHoy