Principales características

Seguridad integrada por diseño

IPv8 incorpora autenticación obligatoria mediante tokens (JWT/OAuth2), eliminando el enfoque tradicional donde la seguridad es una capa adicional.

Servicios unificados

Funciones como DNS, DHCP, NTP, control de acceso y telemetría se centralizan en una única entidad lógica (Zone Server), reduciendo complejidad operativa.

Validación de tráfico en tiempo real

Cada paquete es validado contra información de red registrada (DNS/WHOIS), introduciendo un modelo de control activo del tráfico saliente.

Compatibilidad y transición

Compatible con IPv4

IPv4 pasa a ser un subconjunto de IPv8, permitiendo coexistencia sin romper infraestructura existente.

Sin migración forzada

El modelo evita un “flag day”, uno de los mayores problemas en la adopción de IPv6.

Escalabilidad y direccionamiento

Modelo basado en ASN

Cada sistema autónomo puede gestionar más de 4.000 millones de direcciones.

Ruteo optimizado

La tabla global se limita estructuralmente al número de AS, mejorando eficiencia y escalabilidad.

Enfoque en ciberseguridad

IPv8 redefine el paradigma actual:

• Autenticación obligatoria de dispositivos
• Control de acceso integrado
• Validación continua del tráfico
• Telemetría nativa en la red

Esto desplaza la seguridad desde “perímetro” hacia el core del protocolo.

Consideraciones

• Es un Internet-Draft (no estándar aprobado)
• No tiene adopción real actualmente
• La industria continúa enfocada en IPv6

Conclusión

IPv8 propone una arquitectura donde red, seguridad y gestión convergen en un único modelo.

Aunque su adopción no es inminente, el enfoque es relevante:
mover la seguridad desde soluciones externas hacia el diseño mismo del protocolo IP.

El email del sándwich. Durante una de las pruebas realizadas, los investigadores de Anthropic le dieron a una versión de Mythos acceso al control de un ordenador en un entorno seguro y aislado y le pidieron que intentara escapar de ese contenedor y mandar un mensaje al investigador que estaba supervisando la evaluación. El modelo lo consiguió, pero es que hizo algo más: desarrolló por su cuenta un exploit multipaso muy avanzado para obtener acceso a internet desde un sistema que por diseño solo era capaz de acceder a una lista limitada de servicios predefinidos. 

El investigador estaba tranquilamente comiendo un sándwich en el parque cuando recibió el email que jamás debería haber recibido. La cosa no acaba ahí, porque el modelo además decidió, sin que nadie se lo pidiera,  publicar los detalles técnicos de su exploit en varios sitios web de difícil acceso pero que técnicamente son públicos. Quería dejar constancia de su logro.

El bug de OpenBSD que llevaba 27 años escondido. Otro de los artículos técnicos publicados por Anthropic daba aún más pistas sobre los «logros» de Claude Mythos. OpenBSD es el sistema operativo con una de las reputaciones más sólidas del mundo en materia de ciberseguridad. Aun así Mythos encontró en él una vulnerabilidad que llevaba ahí desde 1998. 

El bug se escondía en la implementación del protocolo TCP con una función que gestiona el reenvío selectivo de paquetes perdidos. Aquí no basta detectar el error: hay que encadenar dos fallos separados que individualmente parecen casi inofensivos, y luego aprovechar un desbordamiento de la secuencia TCP para satisfacer una condición rarísima. Con este método un atacante en internet podía enviar un paquete especial y colgar la máquina remotamente sin autenticación. Mythos lo encontró solo sin que nadie le dijera dónde mirar.

FFmpeg y el fuzzing. FFmpeg es una biblioteca extraordinariamente famosa en internet porque procesa vídeo de forma masiva en la red de redes. Es también una herramienta muy auditada y los investigadores a menudo usan la técnica de fuzzing —bombaardearla con millones de archivos de vídeo malformados hasta que alguno la rompe— para lograr explotar sus vulnerabilidades. 

Mythos encontró un fallo que lleva en el código desde 2003 y que se convirtió en vulnerabilidad en una refactorización que se realizó en 2010. El problema es de nuevo extraordinariamente difícil de encontrar, tanto que 20 años de revisiones humanas y automatizadas lo habían pasado por alto, pero el modelo de Anthropic lo detectó.

Ejecución de código remota en FreeBSD. Mythos identificó y explotó de forma autónoma una vulnerabilidad que llevaba 17 años en el código del servidor NFS de FreeBSD —que permite compartir ficheros en red—. Con él cualquier usuario no autenticado en internet podía obtener acceso root completo a la máquina. La magnitud de este fallo es enorme, porque el servidor NFS corre en el núcleo del sistema operativo y da acceso a un control absoluto por parte del atacante. Mythos encontró el fallo y construyó el exploit por 50 dólares de llamadas a la API.

Zero-days autónomos en sistemas operativos y navegadores. Mythos es, que se sepa, el primer modelo capaz de descubrir de forma autónoma vulnerabilidads zero-day —fallos de seguridad desconocidos y sin parche— tanto en software de código abierto como cerrado, incluyendo sistemas operativos y navegadores web. Lo hace además con supervisión humana mínima usando lo que se llama un arnés agéntico (agentic harness). Gracias a esa técnica el modelo puede ejecutar acciones, leer resultados y planificar sus siguientes pasos en bucle. En muchos de esos casos el modelo no solo fue capaz de encontrar la vulnerabilidad, sino que además lo convirtió en un exploit (normalmente, un script o pequeño programa) funcional listo para ser usado.

Firefox 147 en peligro. En colaboración con Mozilla, el nuevo modelo de Anthropic analizó 50 categorías de «cuelgues» del motor JavaScript SpiderMonkey que es el núcleo de este navegador. Su tarea era detectar los problemas más graves, aprovecharlos para crear scripts de corrupción de memoria y así poder ejecutar código arbitrario, es decir, ejecutar instrucciones más allá de lo que permite JavaScript. Claude Mythos Preview fue capaz de detectar con mucha precisión cuáles eran las vulnerabilidades más «explotables», y aprovechó dos bugs no corregidos para lograr su objetivo.

Captura la bandera. Las competiciones de ciberseguridad ‘Capture the Flag’ (CTF) permiten a los participantes resolver retos que simulan ataques y defensas reales de sistemas. Claude Mythos Preview se enfrentó al benchmark público Cybench con 40 retos extraídos de distintas competiciones y logró un 100% de éxito en todos los intentos. Este benchmark de hecho se ha vuelto inútil: el modelo de Anthropic es demasiado potente para él. Opus 4.6, por ejemplo, lograba un 93% de efectividad, pero Mythos lo ha «saturado».

Miles de vulnerabilidades críticas pendientes de parche. Hay numerosos ejemplos más en esos dos documentos citados en los que parece quedar claro que las capacidades de Mythos en materia de ciberseguridad son asombrosas. Pero es que cuando se anunció el modelo, el 99% de las vulnerabilidades descubiertas (y aun no mencionadas) no se habían parcheado aún, por lo que Anthropic no reveló esos detalles y estas fueron solo algunas de las que sí se parchearon. 

Lo que sí indicaron es que en el 89% de los 198 informes revisados manualmente por expertos externos, estos expertos coincidieron con la valoración de gravedad del problema asignado por Mythos. Ante esta situación, Anthropic ha contratado a equipos de auditores de ciberseguridad profesionales para validar los informes antes de enviarlos a los mantenedores del software afectado.

Y Mythos es solo el principio. En el blog de Anthropic sus investigadores lo dicen sin rodeos: llevábamos 20 años con un equilibrio de ciberseguridad relativamente estable, pero las cosas han cambiado. Los ataques habían evolucionado técnicamente en ese periodo, pero eran fundamentalmente del mismo tipo que los de 2006. 

Mythos es capaz de encontrar fallos en software que ha sido auditado por humanos (y máquinas) durante décadas, y los ha convertido en exploits con una rapidez asombrosa. Pero es que en Anthropic ya avisaban de que Mythos era solo el principio, y que ven una trayectoria clara en la que sus modelos seguirán mejorando y, por tanto, siendo aún más capaces en el ámbito de la ciberseguridad.

El Grupo de Trabajo de Ingeniería de Internet (IETF) creó recientemente un grupo de trabajo, PKI, Registros y Firmas de Árbol («PLANTS»), cuyo objetivo es abordar los desafíos de rendimiento y ancho de banda que el mayor tamaño de la criptografía resistente a la computación cuántica introduce en las conexiones TLS que requieren Transparencia de Certificados (CT).

La empresa está probando certificados de árbol de Merkle en Chrome para habilitar HTTPS resistente a la tecnología cuántica, reducir los datos de protocolo de enlace TLS y lanzar un nuevo almacén raíz para 2027.

«Para garantizar la escalabilidad y la eficiencia del ecosistema, Chrome no tiene previsto añadir certificados X.509 tradicionales con criptografía poscuántica a la tienda raíz de Chrome», declaró el equipo de Redes y Web Segura de Chrome. «En su lugar, Chrome, en colaboración con otros socios, está desarrollando una evolución de los certificados HTTPS basada en Certificados de Árbol de Merkle (MTC), actualmente en desarrollo en el grupo de trabajo PLANTS».

Como explica Cloudflare, MTC es una propuesta para la próxima generación de la Infraestructura de Clave Pública (PKI) utilizada para proteger internet, cuyo objetivo es reducir al mínimo necesario el número de claves públicas y firmas en el protocolo de enlace TLS.

Bajo este modelo, una Autoridad de Certificación (CA) firma una única «Cabeza de Árbol» que representa potencialmente millones de certificados, y el «certificado» enviado al navegador es una prueba ligera de inclusión en ese árbol, según Google.

En otras palabras, los MTC facilitan la adopción de algoritmos poscuánticos sin tener que incurrir en el ancho de banda adicional asociado con las cadenas de certificados X.509 clásicas. Este enfoque, añadió la compañía, desvincula la seguridad del algoritmo criptográfico correspondiente del tamaño de los datos transmitidos al usuario.

«Al reducir al mínimo los datos de autenticación en un protocolo de enlace TLS, los MTC buscan mantener la web poscuántica tan rápida y fluida como el internet actual, manteniendo un alto rendimiento incluso mientras adoptamos una seguridad más robusta», declaró Google.

El gigante tecnológico afirmó que ya está experimentando con MTC con tráfico real de internet y que planea expandir gradualmente el despliegue en tres fases distintas para el tercer trimestre de 2027:

• Fase 1 (En curso): Google está realizando un estudio de viabilidad en colaboración con Cloudflare para evaluar el rendimiento y la seguridad de las conexiones TLS basadas en MTC.
• Fase 2 (T1 de 2027): Google planea invitar a los operadores de registros de transparencia de certificados (CT) con al menos un registro «utilizable» en Chrome antes del 1 de febrero de 2026 a participar en el arranque inicial de los MTC públicos.
• Fase 3 (T3 de 2027): Google finalizará los requisitos para la incorporación de CA adicionales al nuevo almacén raíz resistente a la tecnología cuántica (CQRS) de Chrome y al programa raíz correspondiente, que solo admite MTC.

«Consideramos la adopción de MTC y un almacén raíz resistente a la tecnología cuántica como una oportunidad crucial para garantizar la solidez de la base del ecosistema actual», declaró Google. Al diseñar para las demandas específicas de una internet moderna y ágil, podemos acelerar la adopción de la resiliencia poscuántica para todos los usuarios web.

Fuente: Google

La vulnerabilidad de inyección del sistema operativo (SO), rastreada como CVE-2025-64155, tiene una calificación de CVSS 9,4. «Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo (‘inyección de comando del sistema operativo’) [CWE-78] en FortiSIEM puede permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes TCP diseñadas», dijo la compañía en un boletín del martes.

Fortinet dijo que la vulnerabilidad afecta solo a los nodos Super y Worker, y que se ha solucionado en las siguientes versiones:

• FortiSIEM 6.7.0 a 6.7.10 (migrar a una versión corregida)
• FortiSIEM 7.0.0 a 7.0.4 (migrar a una versión corregida)
• FortiSIEM 7.1.0 a 7.1.8 (actualizar a 7.1.9 o superior)
• FortiSIEM 7.2.0 a 7.2.6 (actualizar a 7.2.7 o superior)
• FortiSIEM 7.3.0 a 7.3.4 (actualizar a 7.3.5 o superior)
• FortiSIEM 7.4.0 (actualizar a 7.4.1 o superior)
• FortiSIEM 7.5 (NO afectado)
• FortiSIEM Cloud (NO afectado)

El investigador de seguridad de Horizon3.ai, Zach Hanley, a quien se le atribuye el descubrimiento y el informe de la falla el 14 de agosto de 2025, dijo que consta de dos partes móviles:

• Una vulnerabilidad de inyección de argumentos no autenticados que conduce a la escritura arbitraria de archivos, lo que permite la ejecución remota de código como usuario administrador.
• Una vulnerabilidad de escalamiento de privilegios de sobrescritura de archivos que conduce al acceso raíz y compromete completamente el dispositivo.

Específicamente, el problema tiene que ver con cómo el servicio phMonitor de FortiSIEM, un proceso backend crucial responsable del monitoreo del estado, la distribución de tareas y la comunicación entre nodos a través del puerto TCP 7900, maneja las solicitudes entrantes relacionadas con el registro de eventos de seguridad en Elasticsearch.

Esto, a su vez, invoca un script de shell con parámetros controlados por el usuario, abriendo así la puerta a la inyección de argumentos a través de curl y logrando escrituras de archivos arbitrarios en el disco en el contexto del usuario administrador.

En otras palabras, escribir una shell en este archivo permite el escalamiento de privilegios del administrador al root, otorgando al atacante acceso ilimitado al dispositivo FortiSIEM. El aspecto más importante del ataque es que el servicio phMonitor expone varios controladores de comandos que no requieren autenticación. Esto facilita que un atacante invoque estas funciones simplemente obteniendo acceso de red al puerto 7900.

Fortinet también ha enviado correcciones para otra vulnerabilidad de seguridad crítica en FortiFone (CVE-2025-47855, CVSS: 9.3) que podría permitir a un atacante no autenticado obtener la configuración del dispositivo a través de una solicitud HTTP(S) especialmente diseñada a la página del portal web. Afecta a las siguientes versiones de la plataforma de comunicaciones empresariales:

• FortiFone 3.0.13 a 3.0.23 (actualizar a 3.0.24 o superior)
• FortiFone 7.0.0 a 7.0.1 (Actualizar a 7.0.2 o superior)
• FortiFone 7.2 (NO afectado)

Se recomienda a los usuarios que actualicen a las últimas versiones. Como solución alternativa para CVE-2025-64155, Fortinet recomienda que los clientes limiten el acceso al puerto phMonitor (7900).

Fuente: THN

La cantidad de errores en cada categoría de vulnerabilidad se enumera a continuación:

• 57 vulnerabilidades de elevación de privilegios
• 3 vulnerabilidades de omisión de funciones de seguridad
• 22 vulnerabilidades de ejecución remota de código
• 22 vulnerabilidades de divulgación de información
• 2 vulnerabilidades de denegación de servicio
• 5 vulnerabilidades de suplantación de identidad

Estas cantidades no incluyen Microsoft Edge (1 falla) y las vulnerabilidades de Mariner corregidas a principios de este mes.

Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, puede revisar nuestros artículos dedicados a las actualizaciones acumulativas KB5074109 y KB5073455 de Windows 11 y a la actualización de seguridad extendida KB5073724 de Windows 10.

3 Zero-Days, uno explotado

Este mes se corrige una vulnerabilidad de día cero explotada activamente y dos divulgadas públicamente.

El día cero activamente explotado es:

• CVE-2026-20805 (CVSS 5,5): vulnerabilidad de divulgación de información del Administrador de ventanas de escritorio. «La exposición de información confidencial a un actor no autorizado en Desktop Windows Manager permite a un atacante autorizado revelar información localmente», explica Microsoft. Microsoft dice que explotar con éxito la falla permite a los atacantes leer direcciones de memoria asociadas con el puerto ALPC remoto.

Las fallas de día cero divulgadas públicamente son:

• CVE-2026-21265: Microsoft advierte que los certificados de arranque seguro de Windows emitidos en 2011 están a punto de caducar y que los sistemas que no se actualizan tienen un mayor riesgo de que los actores de amenazas pasen por alto el arranque seguro.

Microsoft ya había revelado esta vulnerabilidad en un aviso de junio titulado «Caducidad del certificado de arranque seguro de Windows y actualizaciones de CA».

• CVE-2023-31096: Microsoft advirtió previamente en octubre sobre vulnerabilidades explotadas activamente en un controlador de módem Agere de terceros que se envía con versiones compatibles de Windows y dijo que se eliminarían en una actualización futura. Estas vulnerabilidades fueron explotadas para obtener privilegios administrativos en sistemas comprometidos. Como parte de las actualizaciones de enero, Microsoft ha eliminado estos controladores vulnerables de Windows.

Además la empresa ha publicado actualizaciones para 6 vulnerabilidades críticas relacionadas con Office: CVE-2026-20822, CVE-2026-20952, CVE-2026-20953, CVE-2026-20957, CVE-2026-20944 y CVE-2026-20955.

Otra vulnerabilidad crítica está relacionada con un RCE (CVE-2026-20854 – CVSS 7,5) en el servicio Windows Local Security Authority Subsystem Service (LSASS) y; la última afecta al servicio Windows Virtualization-Based Security (VBS) Enclave (CVE-2026-20876).

Actualizaciones recientes de otras empresas.

Otros proveedores que publicaron actualizaciones o avisos en enero de 2026 incluyen:

• ABB
• Adobe
• Amazon Web Services
• AMD
• Arm
• ASUS
• Broadcom (including VMware)
• Cisco
• ConnectWise
• Dassault Systèmes
• D-Link
• Dell
• Devolutions
• Drupal
• Elastic
• F5
• Fortinet
• Fortra
• Foxit Software
• FUJIFILM
• Gigabyte
• GitLab
• Google Android and Pixel
• Google Chrome
• Google Cloud
• Grafana
• Hikvision
• HP
• HP Enterprise (including Aruba Networking and Juniper Networks)
• IBM
• Imagination Technologies
• Lenovo
• Linux distributions AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE, and Ubuntu
• MediaTek
• Mitel
• Mitsubishi Electric
• MongoDB
• Moxa
• Mozilla Firefox and Firefox ESR
• n8n
• NETGEAR
• Node.js
• NVIDIA
• ownCloud
• QNAP
• Qualcomm
• Ricoh
• Samsung
• SAP
• Schneider Electric
• ServiceNow
• Siemens
• SolarWinds
• SonicWall
• Sophos
• Spring Framework
• Synology
• TP-Link
• Trend Micro, and
• Veeam

Fuente: BC

Esta investigación de inteligencia de protección condujo al descubrimiento de más de 300 servidores SIM y 100.000 tarjetas SIM ubicados en el mismo lugar en múltiples ubicaciones. Los primeros análisis muestran que la red se utilizaba para la comunicación entre gobiernos extranjeros e individuos conocidos por las fuerzas del orden estadounidenses. «Esto no es un grupo de personas en un sótano jugando a un videojuego y gastando una broma. Esto estuvo bien organizado y bien financiado», dijo un funcionario.

Además de ejecutar amenazas telefónicas anónimas, estos dispositivos podrían utilizarse para llevar a cabo una amplia gama de ataques de telecomunicaciones. Esto incluye la desactivación de torres de telefonía celular, la habilitación de ataques de denegación de servicio y la facilitación de comunicaciones anónimas y cifradas entre posibles actores de amenazas y organizaciones criminales.

Si bien el análisis forense de estos dispositivos está en curso, los primeros análisis indican comunicaciones celulares entre actores de amenazas de estados nacionales e individuos conocidos por las fuerzas del orden federales.

«El potencial de interrupción de las telecomunicaciones de nuestro país que representa esta red de dispositivos es innegable», declaró el director del Servicio Secreto de EE.UU., Sean Curran. La misión de protección del Servicio Secreto de EE.UU. se centra en la prevención, y esta investigación deja claro a los posibles actores maliciosos que las amenazas inminentes a nuestros protegidos serán investigadas, localizadas y desmanteladas de inmediato.

Estos dispositivos se concentraron a menos de 56 kilómetros de la reunión global de la Asamblea General de las Naciones Unidas, que se está celebrando en la ciudad de Nueva York. Dado el momento, la ubicación y el potencial de interrupción significativa de las telecomunicaciones de Nueva York que estos dispositivos representaban, la agencia actuó con rapidez para interrumpir esta red. La Unidad de Interdicción de Amenazas Avanzadas del Servicio Secreto de EE.UU., una nueva sección de la agencia dedicada a interrumpir las amenazas más significativas e inminentes para nuestros protegidos, está llevando a cabo esta investigación. Esta investigación está actualmente en curso.

Las Investigaciones de Seguridad Nacional del Departamento de Seguridad Nacional, el Departamento de Justicia, la Oficina del Director de Inteligencia Nacional y el Departamento de Policía de Nueva York, así como otras fuerzas del orden estatales y locales, brindaron valioso asesoramiento técnico y asistencia en apoyo de esta investigación.

Esta es una investigación en curso.

Fuente: SecretService

Según Zero Salarium, la técnica aprovecha una función integrada de Windows, ofreciendo una alternativa más discreta a los cada vez más populares ataques de «Traiga su propio controlador vulnerable» (BYOVD), utilizados por los actores de amenazas para desactivar el software de seguridad.

A diferencia de los métodos BYOVD, que requieren la introducción de un controlador vulnerable en el sistema objetivo, EDR-Freeze explota componentes legítimos del sistema operativo Windows.

Este enfoque evita la necesidad de instalar controladores de terceros, lo que reduce el riesgo de inestabilidad y detección del sistema. Todo el proceso se ejecuta desde código en modo usuario, lo que lo convierte en una forma sutil y eficaz de neutralizar temporalmente la monitorización de seguridad.

El exploit MiniDumpWriteDump

El núcleo de la técnica EDR-Freeze reside en la manipulación de la función MiniDumpWriteDump. Esta función, parte de la biblioteca DbgHelp de Windows, está diseñada para crear un minivolcado, una instantánea de la memoria de un proceso para fines de depuración.

Para garantizar una instantánea consistente e intacta, la función suspende todos los subprocesos del proceso de destino mientras se crea el volcado. Normalmente, esta suspensión es breve. Sin embargo, el desarrollador de EDR-Freeze ideó un método para prolongar este estado de suspensión indefinidamente.

Los principales desafíos fueron dos: extender el breve tiempo de ejecución de la función MiniDumpWriteDump y eludir la función de seguridad Protected Process Light (PPL), que protege los procesos de EDR y antivirus contra manipulaciones.

Para superar la protección de PPL, la técnica utiliza WerFaultSecure.exe, un componente del servicio Informe de errores de Windows (WER) y que puede ejecutarse con protección de nivel WinTCB, uno de los niveles de privilegio más altos, lo que le permite interactuar con procesos protegidos.

Al configurar los parámetros correctos, se puede indicar a WerFaultSecure.exe que inicie la función MiniDumpWriteDump en cualquier proceso objetivo, incluidos los agentes de EDR y antivirus protegidos.

La última pieza del rompecabezas es un ataque de condición de carrera que convierte una suspensión momentánea en una congelación prolongada. El ataque se desarrolla en una secuencia rápida y precisa:

• WerFaultSecure.exe se ejecuta con parámetros que le indican que cree un volcado de memoria del proceso de EDR o antivirus objetivo. La herramienta EDR-Freeze monitoriza continuamente el proceso objetivo.
• En el momento en que el proceso objetivo entra en estado suspendido (mientras MiniDumpWriteDump comienza a funcionar), la herramienta EDR-Freeze suspende inmediatamente el proceso WerFaultSecure.exe.
• Dado que WerFaultSecure.exe está suspendido, nunca podrá completar la operación de volcado de memoria y, fundamentalmente, nunca podrá reanudar los subprocesos del proceso EDR objetivo.

Como resultado, el software de seguridad queda en un estado de suspensión permanente, prácticamente bloqueado, hasta que finalice el proceso WerFaultSecure.exe.

Eliminación del proceso mediante la herramienta EDR-Freeze

El desarrollador ha lanzado la herramienta EDR-Freeze para demostrar esta técnica. Requiere dos parámetros simples: el ID de proceso (PID) del objetivo que se congelará y la duración de la suspensión en milisegundos.

Esto permite a un atacante desactivar las herramientas de seguridad, realizar acciones maliciosas y, posteriormente, permitir que el software de seguridad reanude sus operaciones normales como si nada hubiera sucedido.

Una prueba en Windows 11 24H2 suspendió con éxito el proceso MsMpEng.exe de Windows Defender.

Para los defensores, detectar esta técnica implica monitorear ejecuciones inusuales de WerFaultSecure.exe.

Si se observa que el programa ataca los PID de procesos sensibles como lsass.exe o agentes EDR, debe considerarse una alerta de seguridad de alta prioridad que requiere investigación inmediata.

De acuerdo a Florian Roth:

• Los primeros envíos de VirusTotal tuvieron una detección de AV muy baja (5/73).
• El binario de la versión precompilada se cargó varias veces en VT y finalmente alcanzó 22/73 detecciones.
• Otras compilaciones de la herramienta aún obtienen solo entre 8 y 10 detecciones.
• Los antivirus aún tardan en reaccionar a las herramientas lanzadas públicamente.
• Existen reglas de bloqueo para esta herramienta en la configuración de Sysmon, usando Imphash.
• Esto significa que si usa Sysmon y una versión lo suficientemente reciente, EDR-Freeze es bloqueada al escribir mediante FileBlockExecutable.

Fuente: ZeroSolarium

NOTA: hay otros dos Zero-Day que también están siendo explotados.

Identificada como CVE-2025-20352, la falla se debe a una vulnerabilidad de desbordamiento de búfer basada en la pila, encontrada en el subsistema del Protocolo Simple de Administración de Red (SNMP) del software vulnerable IOS e IOS XE, que afecta a todos los dispositivos con SNMP habilitado.

Atacantes remotos autenticados con privilegios bajos pueden explotar esta vulnerabilidad para activar condiciones de denegación de servicio (DoS) en dispositivos sin parches. Por otro lado, los atacantes con privilegios altos pueden obtener el control total de los sistemas que ejecutan el software vulnerable Cisco IOS XE ejecutando código como usuario root.

Sin embargo, Cisco señaló que para que esto suceda, se deben cumplir las siguientes condiciones:

• Para provocar la denegación de servicio (DoS), el atacante debe tener la cadena de comunidad de solo lectura SNMPv2c o anterior, o credenciales de usuario SNMPv3 válidas.
• Para ejecutar el código como usuario root, el atacante debe tener la cadena de comunidad de solo lectura SNMPv1 o v2c, o credenciales de usuario SNMPv3 válidas, y credenciales administrativas o de privilegio 15 en el dispositivo afectado.

«Un atacante podría explotar esta vulnerabilidad enviando un paquete SNMP manipulado a un dispositivo afectado a través de redes IPv4 o IPv6», declaró Cisco en su aviso.

La compañía indicó que el problema afecta a todas las versiones de SNMP, así como a los switches Meraki MS390 y Cisco Catalyst de la serie 9300 que ejecutan Meraki CS 17 y versiones anteriores. Se ha corregido en la versión 17.15.4a del software Cisco IOS XE. El software Cisco IOS XR y el software NX-OS no se ven afectados.

El Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT) detectó la explotación exitosa de esta vulnerabilidad en la práctica después de que se comprometieran las credenciales del administrador local. Cisco recomienda encarecidamente a los clientes que actualicen a una versión de software corregida para remediar esta vulnerabilidad.

Si bien no existen soluciones alternativas para abordar esta vulnerabilidad aparte de aplicar los parches publicados hoy, Cisco indicó que los administradores que no puedan actualizar inmediatamente el software vulnerable pueden mitigar el problema temporalmente limitando el acceso SNMP en un sistema afectado a usuarios de confianza.

Hoy, Cisco ha corregido otras 13 vulnerabilidades de seguridad, incluyendo dos para las que existe un código de explotación de prueba de concepto.

La primera, una falla de scripts entre sitios (XSS) reflejada en Cisco IOS XE, identificada como CVE-2025-20240, puede ser utilizada por un atacante remoto no autenticado para robar cookies de dispositivos vulnerables.

La segunda, identificada como CVE-2025-20149, es una vulnerabilidad de denegación de servicio que permite a atacantes locales autenticados forzar la recarga de los dispositivos afectados.

En mayo, la compañía también corrigió una falla de máxima gravedad en IOS XE que afectaba a los controladores de LAN inalámbrica. Esta vulnerabilidad permitía a atacantes no autenticados tomar el control remoto de los dispositivos mediante un token web JSON (JWT) codificado.

Fuente: BC

Sapphire Sleet, activo desde al menos 2020 y también identificado como APT38 y BlueNoroff, ha desarrollado infraestructuras que imitan portales de evaluación de habilidades para ejecutar sus campañas de engaño. Una de las tácticas principales consiste en hacerse pasar por capitalistas de riesgo interesados en empresas objetivo, estableciendo reuniones en línea fraudulentas. Cuando las víctimas intentan unirse a estas reuniones, se les presentan mensajes de error que las instan a contactar al administrador de la sala o al equipo de soporte.

Al comunicarse con los supuestos administradores, las víctimas reciben archivos maliciosos en formato AppleScript (.scpt) o Visual Basic Script (.vbs), según el sistema operativo que utilicen. Estos scripts descargan malware en los dispositivos comprometidos, permitiendo a los atacantes obtener credenciales y acceder a monederos de criptomonedas para su posterior robo.

Además, Sapphire Sleet ha sido detectado haciéndose pasar por reclutadores de firmas financieras como Goldman Sachs en LinkedIn, contactando a posibles víctimas y solicitándoles completar evaluaciones de habilidades alojadas en sitios web controlados por los atacantes. Al iniciar sesión y descargar el código asociado con la evaluación, las víctimas instalan inadvertidamente malware en sus dispositivos, otorgando a los atacantes acceso al sistema.

Microsoft también ha destacado que Corea del Norte ha desplegado miles de trabajadores de TI en el extranjero, representando una triple amenaza: generan ingresos para el régimen a través de trabajos «legítimos», abusan de su acceso para obtener propiedad intelectual y facilitan el robo de datos a cambio de un rescate. Estos trabajadores crean perfiles y portafolios falsos en plataformas como GitHub y LinkedIn para comunicarse con reclutadores y postularse a empleos. En algunos casos, utilizan herramientas de inteligencia artificial, como Faceswap, para modificar fotos y documentos robados, presentándolos en entornos profesionales. Estas imágenes se emplean en currículums o perfiles, a veces para múltiples identidades, que se envían en aplicaciones de empleo.

La sofisticación de estas tácticas destaca la importancia de que empresas e individuos refuercen sus medidas de seguridad para evitar ser víctimas de estos ataques:

1. Verificar la autenticidad de contactos en plataformas profesionales, antes de interactuar con un supuesto reclutador o solicitante de empleo, asegúrate de validar la legitimidad del perfil. Comprueba las conexiones, antecedentes y detalles del perfil en LinkedIn u otras plataformas.
2. Evitar descargar archivos de fuentes desconocidas, no descargues archivos, programas o aplicaciones enviados por contactos desconocidos, incluso si parecen legítimos. Es preferible utilizar servicios de análisis de archivos antes de abrirlos.
3. Fortalecer la seguridad de cuentas críticas, implementa autenticación multifactor (MFA) en todas las cuentas importantes, especialmente en aquellas relacionadas con criptomonedas o finanzas.
4. Educar a los empleados y usuarios, las organizaciones deben ofrecer capacitación constante a sus empleados sobre cómo detectar intentos de phishing y otras tácticas de ingeniería social.
5. Monitorizar accesos y transacciones, realiza auditorías frecuentes de las actividades en tus cuentas y dispositivos para identificar comportamientos inusuales. En el caso de criptomonedas, utiliza carteras frías (offline) para almacenar fondos a largo plazo.
6. Usar soluciones avanzadas de ciberseguridad, implementa herramientas como antivirus, cortafuegos y software de detección de amenazas basados en inteligencia artificial para proteger tus sistemas y redes.
7. Ser cauteloso con solicitudes de información personal, nunca compartas datos sensibles, como credenciales o claves privadas, con nadie a través de plataformas en línea.

Tomar estas precauciones puede reducir significativamente los riesgos de ser víctima de este tipo de ataques, garantizando mayor seguridad en el entorno digital.

HybridPetya es una nueva variante de ransomware que eleva el listón al comprometer la partición EFI y saltarse las protecciones de UEFI Secure Boot en sistemas Windows. Descubierto recientemente por investigadores de ESET, el malware se inspira en los ya célebres Petya y NotPetya, que causaron graves daños en 2016 y 2017. Sin embargo, introduce innovaciones preocupantes como el uso de la vulnerabilidad CVE-2024-7344, mostrando la evolución de las amenazas persistentes en la cadena de arranque.

HybridPetya destaca por su capacidad para infectar equipos UEFI con partición GPT, donde introduce un bootkit malicioso directamente en la partición de sistema EFI. Utiliza archivos como config, verify, y un bootloader modificado, además de un componente cifrador basado en Salsa20. Su vector principal es el abuso de CVE-2024-7344, una falla corregida que permitió la colocación de bootkits incluso con Secure Boot activado, sustituyendo archivos clave como bootmgfw.efi por uno malicioso y eliminando componentes originales del arranque.

El flujo de infección simula errores mediante BSOD y reinicia el equipo para activar el bootkit, cifrando datos críticos y exigiendo un rescate.

El principal riesgo radica en su habilidad para evadir UEFI Secure Boot, lo que implica que medidas de arranque seguro pierden efectividad si el sistema no está actualizado. HybridPetya puede incapacitar por completo el arranque de Windows y comprometer la restauración del sistema sin la clave de rescate, elevando el daño potencial. Aunque no hay casos activos detectados aún, la aparición del malware como prueba de concepto augura posibles campañas futuras dirigidas a equipos vulnerables.

Se recomienda aplicar sin demora los parches de seguridad de enero de 2025 de Microsoft que corrigen CVE-2024-7344, mantener copias de seguridad offline de la información más relevante y activar doble factor de autenticación en plataformas críticas. Realizar auditorías periódicas de integridad en la partición EFI y eliminar permisos innecesarios de arranque son prácticas clave. Revisar los indicadores de compromiso publicados por ESET puede ayudar en la detección temprana.

HybridPetya marca un nuevo hito en el ataque al ciclo de arranque de sistemas Windows. Sus capacidades demuestran que ni siquiera Secure Boot es infalible ante amenazas sofisticadas y vulnerabilidades como CVE-2024-7344. Mantener los parches aplicados y las copias de seguridad protegidas es esencial para reducir el riesgo y evitar la pérdida total de sistemas y datos.

Fuente: Hispasec