La agencia de ciberseguridad de Estados Unidos confirmó que actores maliciosos comprometieron una red federal de ese país tras explotar la vulnerabilidad crítica CVE-2024-36401 en GeoServer. Los atacantes se mantuvieron durante tres semanas en la red sin ser detectado hasta que un EDR emitió alertas que permitieron aislar servidores y recibir asistencia de CISA. El CSIRT Nacional de Chile emitió una alerta sobre la misma vulnerabilidad este martes.
Además, Samsung corrigió un día cero en Android explotado contra usuarios de WhatsApp y otras apps; Apple solucionó un fallo en iPhones antiguos utilizado en campañas de spyware; y Google lanzó su sexta actualización de emergencia en Chrome durante 2025. CISA también alertó sobre explotación activa en el software industrial DELMIA Apriso, mientras que WatchGuard, Fortra y SolarWinds publicaron parches para Firebox, GoAnywhere MFT y Web Help Desk respectivamente. Entre los riesgos y amenazas emergentes destacan el ransomware HybridPetya capaz de evadir Secure Boot, campañas de robo de datos en Salesforce, ataques de ingeniería social como FileFix, malware AMOS distribuido desde GitHub y el uso masivo de VPS vulnerables por la botnet SystemBC.
Samsung corrige grave falla explotada en ataques de día cero contra Android
Samsung solucionó la vulnerabilidad crítica CVE-2025-21043, localizada en la librería libimagecodec.quram.so, que permitía la ejecución remota de código en dispositivos Android 13 o superiores. El fallo, descubierto tras un reporte de Meta y WhatsApp, ya había sido explotado en ataques de día cero antes de su parche en septiembre.
Los investigadores señalaron que no solo WhatsApp podría verse afectado, sino también otras apps que usan la librería vulnerable. Tanto Apple como Samsung aplicaron correcciones luego de un verano marcado por campañas avanzadas de spyware. WhatsApp instó a los usuarios potencialmente comprometidos a actualizar sus equipos y restablecerlos de fábrica para mitigar riesgos.
CISA alerta sobre explotación activa en software industrial DELMIA Apriso
La agencia CISA advirtió que actores maliciosos están explotando la vulnerabilidad crítica CVE-2025-5086 en DELMIA Apriso, un sistema usado en industrias como automotriz, aeroespacial y electrónica. El fallo, con severidad 9.0 en CVSS, permite ejecución remota de código mediante deserialización de datos no confiables.
Investigadores observaron intentos de explotación con solicitudes SOAP maliciosas que inyectan ejecutables en los sistemas afectados. CISA otorgó a las agencias federales plazo hasta el 2 de octubre para aplicar actualizaciones o mitigar riesgos. Aunque la directiva es obligatoria solo para entes gubernamentales, se insta a empresas privadas a actuar de inmediato para evitar compromisos.
Actualización de Windows provoca fallos de conexión en SMBv1
Microsoft confirmó que las actualizaciones de seguridad de septiembre 2025 están generando problemas de conexión a recursos compartidos SMBv1 sobre NetBIOS. El fallo afecta a múltiples versiones de Windows 10, Windows 11 y Windows Server, impidiendo que los clientes y servidores accedan a carpetas y archivos compartidos.
Mientras desarrolla un parche, Microsoft recomienda un ajuste temporal: permitir tráfico en el puerto TCP 445 para que el protocolo funcione sobre TCP en lugar de NetBT. Aunque SMBv1 está obsoleto y deshabilitado por defecto desde hace años, aún persiste en algunas redes, lo que amplifica el impacto de este error.
Apple corrige grave falla explotada en ataques contra iPhones y iPads antiguos
Apple lanzó actualizaciones para iOS e iPadOS que corrigen la vulnerabilidad CVE-2025-43300, un fallo de escritura fuera de límites en el framework Image I/O. Este error permitía ejecutar código remoto al procesar imágenes maliciosas y ya había sido explotado en ataques dirigidos contra individuos específicos.
El parche abarca dispositivos antiguos como iPhone 6s, iPhone 7, iPhone X, iPad Air 2 y otros. El mismo bug había sido combinado con una falla en WhatsApp para desplegar spyware avanzado. Con este arreglo, Apple suma seis vulnerabilidades de día cero corregidas en 2025.
Google corrige sexto zero-day de Chrome explotado en 2025
Google lanzó una actualización de emergencia para corregir CVE-2025-10585, una vulnerabilidad de tipo confusión en el motor V8 de JavaScript, activamente explotada en ataques. El fallo ya contaba con un exploit público y fue identificado por el Threat Analysis Group, que suele reportar campañas de spyware dirigidas a políticos, periodistas y activistas.
Se trata del sexto zero-day de Chrome corregido este año, sumándose a fallos similares parchados en marzo, mayo, junio y julio. La compañía liberó las versiones 140.0.7339.185/.186 para Windows, Mac y Linux, recomendando a los usuarios actualizar de inmediato para reducir el riesgo de compromiso.
WatchGuard corrige grave fallo de ejecución remota en Firebox
WatchGuard publicó actualizaciones críticas para solucionar CVE-2025-9242, una vulnerabilidad de escritura fuera de límites en Fireware OS que permite la ejecución remota de código en firewalls Firebox. El error afecta configuraciones de VPN IKEv2 y puede persistir incluso si estas se eliminan parcialmente.
Aunque no hay reportes de explotación activa, la compañía advierte que los firewalls son objetivos habituales de grupos de ransomware. Se recomienda instalar de inmediato las versiones parchadas o aplicar las mitigaciones temporales publicadas por WatchGuard para reducir el riesgo de ataque.
Fortra corrige falla crítica en GoAnywhere MFT con riesgo de inyección
Fortra lanzó parches para CVE-2025-10035, una vulnerabilidad de deserialización en GoAnywhere MFT que puede derivar en inyección de comandos y comprometer entornos expuestos a internet. El fallo es de máxima severidad y no requiere interacción del usuario para ser explotado.
La compañía recomienda actualizar a las versiones 7.8.4 y 7.6.3 Sustain Release, además de restringir el acceso público al Admin Console. Aunque no se ha confirmado explotación activa, la firma recuerda que este software ya fue usado como vector en ataques masivos de ransomware en años anteriores.
SolarWinds corrige grave falla de ejecución remota en Web Help Desk
SolarWinds liberó un hotfix para corregir la vulnerabilidad CVE-2025-26399 en Web Help Desk, que permitía a atacantes ejecutar código remoto sin autenticación. El fallo, presente en la versión 12.8.7, es resultado de un bypass en parches anteriores que intentaban solucionar problemas similares en 2024.
Aunque no hay evidencia de explotación activa, CISA había catalogado la vulnerabilidad original como explotada en ataques. SolarWinds recomendó aplicar de inmediato la corrección disponible en el portal de clientes, siguiendo cuidadosamente los pasos de reemplazo de archivos, para proteger sistemas que gestionan tickets y activos de TI en organizaciones grandes y medianas.
Apple alerta sobre ataques de spyware mercenario a sus usuarios
CERT-FR informó que Apple emitió al menos cuatro notificaciones de seguridad en 2025 alertando sobre sofisticados ataques de spyware mercenario. Estos incidentes, que emplean vulnerabilidades de día cero y no requieren interacción del usuario, han afectado a periodistas, abogados, activistas y altos funcionarios. Apple explicó que recibir la notificación implica que algún dispositivo vinculado a la cuenta de iCloud pudo haber sido comprometido.
Aunque no se detallaron los responsables ni las regiones afectadas, Apple y WhatsApp lanzaron actualizaciones de emergencia tras detectar vulnerabilidades encadenadas en ataques avanzados. Como medida de defensa, Apple recomienda activar el Lockdown Mode y solicitar apoyo inmediato en la línea de ayuda de seguridad digital de Access Now.
Nuevo ransomware HybridPetya puede evadir el arranque seguro de Windows
Investigadores de ESET descubrieron HybridPetya, un ransomware inspirado en los ataques de Petya y NotPetya, capaz de evadir UEFI Secure Boot mediante la vulnerabilidad CVE-2024-7344. Aunque aún no se ha detectado en ataques reales, el malware ya puede instalarse en la partición EFI del sistema, modificar el bootloader y cifrar archivos críticos del sistema operativo.
HybridPetya muestra mensajes falsos de CHKDSK antes de desplegar una nota de rescate que exige 1.000 dólares en Bitcoin. Si bien podría ser solo una prueba de concepto, los analistas advierten que su desarrollo confirma el riesgo creciente de bootkits maliciosos. Microsoft ya corrigió la vulnerabilidad en enero de 2025, por lo que mantener los sistemas actualizados sigue siendo la mejor defensa.
FBI alerta sobre robo de datos en Salesforce por grupos de extorsión
El FBI emitió un aviso FLASH detallando cómo los grupos UNC6040 y UNC6395 están comprometiendo entornos de Salesforce para robar datos y extorsionar a empresas. Los atacantes usaron aplicaciones OAuth maliciosas y tokens de acceso robados, lo que permitió la exfiltración masiva de bases de datos de clientes y credenciales críticas. Entre las compañías afectadas se encuentran Google, Adidas, Cisco, Louis Vuitton y muchas más.
Las investigaciones apuntan a vínculos con grupos de extorsión como ShinyHunters y Scattered Spider. En paralelo, los atacantes afirmaron haber accedido a sistemas internos del FBI y Google, aunque estas entidades no confirmaron los hechos. El FBI publicó indicadores de compromiso para ayudar a reforzar defensas.
Nueva campaña FileFix distribuye malware haciéndose pasar por Meta
Investigadores de Acronis detectaron un ataque de ingeniería social llamado FileFix, que simula advertencias de suspensión de cuentas de Meta. La campaña induce a los usuarios a copiar y pegar comandos maliciosos disfrazados de rutas de archivos en el Explorador de Windows, lo que instala el malware StealC.
El infostealer roba credenciales, cookies, billeteras de criptomonedas y datos de servicios en la nube. Los atacantes incluso usan esteganografía para ocultar scripts dentro de imágenes aparentemente inofensivas. Expertos recomiendan reforzar la capacitación en phishing, ya que estas tácticas evolucionan rápidamente y pueden evadir defensas tradicionales.
Botnet SystemBC aprovecha VPS vulnerables para ocultar ataques
Investigadores de Black Lotus Labs revelaron que la botnet SystemBC mantiene un promedio de 1.500 VPS comprometidos al día, usados para encubrir tráfico malicioso y actividades de ransomware. Muchos de estos servidores presentan múltiples vulnerabilidades críticas sin parches, lo que permite infecciones persistentes de más de un mes.
El proxy SystemBC ha estado activo desde 2019 y sigue resistiendo operaciones policiales. Sus clientes incluyen redes criminales que ofrecen servicios de proxys y grupos que realizan ataques de fuerza bruta contra sitios WordPress. La escala de tráfico observada supera con creces a la de otras redes de proxys criminales.
CISA analiza malware usado en ataques contra Ivanti EPMM
La CISA publicó un informe técnico sobre el malware desplegado en ataques que explotaron las vulnerabilidades CVE-2025-4427 y CVE-2025-4428 en Ivanti Endpoint Manager Mobile. Los atacantes aprovecharon un bypass de autenticación y una falla de inyección de código para ejecutar comandos y exfiltrar información sensible.
El análisis reveló dos conjuntos de malware diseñados para establecer persistencia, ejecutar código arbitrario y robar credenciales LDAP. Aunque informes previos vincularon la campaña a un grupo de espionaje chino, CISA no realizó atribución y pidió a las organizaciones tratar los sistemas MDM como activos de alto valor, aplicando parches y monitoreo reforzado.
FBI alerta sobre sitios falsos que suplantan al IC3
El FBI advirtió que ciberdelincuentes están creando páginas fraudulentas que imitan el sitio oficial del Internet Crime Complaint Center (IC3), con el fin de robar datos personales y financieros. Estos dominios usan variaciones mínimas en la escritura o diferentes extensiones para engañar a los usuarios y recolectar información sensible como nombres, direcciones, correos y datos bancarios.
Entre los sitios detectados figuran icc3[.]live e ic3a[.]com, que incluso replicaban mensajes del portal legítimo. El FBI recordó que sus empleados nunca solicitan pagos ni contactan a víctimas directamente para recuperar fondos, y aconsejó acceder siempre a ic3.gov de manera manual, sin usar buscadores ni enlaces patrocinados.
Campaña con malware AMOS apunta a usuarios de macOS mediante GitHub falso
LastPass alertó sobre una campaña que distribuye el malware AMOS a través de repositorios fraudulentos en GitHub, disfrazados como aplicaciones legítimas como Dropbox, 1Password, Notion o Adobe After Effects. Estas páginas engañan a los usuarios para que copien y ejecuten comandos en Terminal, lo que descarga el infostealer en sus equipos.
AMOS, ofrecido como servicio por sus operadores, roba credenciales, datos financieros y ahora incluye un backdoor que garantiza acceso persistente a los sistemas. Aunque LastPass reporta los repositorios, los atacantes crean nuevos de forma automática. La recomendación es descargar software solo desde los sitios oficiales de cada proveedor.
Nueva técnica “EDR-Freeze” deja inoperativos antivirus en Windows
Un investigador demostró que el método llamado EDR-Freeze permite suspender indefinidamente procesos de antivirus y soluciones EDR en Windows, sin usar drivers vulnerables. La técnica aprovecha componentes legítimos como Windows Error Reporting (WER) y la API MiniDumpWriteDump para dejar a las defensas en un estado de “hibernación”.
Aunque no se trata de una vulnerabilidad sino de una debilidad de diseño, el ataque es difícil de detectar porque usa herramientas del propio sistema operativo. Expertos sugieren monitorear actividades inusuales de WER como defensa, mientras se espera que Microsoft implemente medidas de endurecimiento para bloquear este tipo de abusos.
Ataque a agencia federal de Estados Unidos explotó falla crítica en GeoServer
CISA reveló que actores maliciosos comprometieron la red de una agencia federal civil de Estados Unidos tras aprovechar la vulnerabilidad crítica CVE-2024-36401 en GeoServer, que permite ejecución remota de código. El CSIRT Nacional de Chile replicó la alerta, emitiendo un comunicado similar este martes, indicando que la vulnerabilidad podria afectar seriamente a sistemas e infraestructuras de proeveedores de servicios esenciales (PSE) y operadores de importancia vital (OIV).
La falla había sido parcheada en junio de 2024, pero seguía sin aplicarse en el sistema afectado. Poco después de que investigadores publicaran pruebas de concepto, servicios como Shadowserver detectaron intentos de explotación y ZoomEye reportaba más de 16.000 instancias de GeoServer expuestas.
Los atacantes instalaron web shells como China Chopper y usaron scripts para persistencia, movimiento lateral y escalamiento de privilegios. También recurrieron a técnicas de fuerza bruta para obtener contraseñas y abusaron de cuentas de servicio. Permanecieron tres semanas sin ser detectados hasta que la herramienta EDR de la agencia alertó al SOC, lo que permitió aislar servidores comprometidos y recibir asistencia de CISA. La agencia recomienda aplicar parches críticos con urgencia, reforzar la monitorización de EDR y mejorar los planes de respuesta a incidentes.
Windows 11 23H2 dejará de recibir soporte en noviembre de 2025
Microsoft recordó que las ediciones Home y Pro de Windows 11 23H2 dejarán de recibir actualizaciones de seguridad a partir del 11 de noviembre de 2025. Las versiones Enterprise y Education contarán con soporte un año más, hasta noviembre de 2026. Quienes sigan en 23H2 deberán migrar a Windows 11 24H2 para mantenerse protegidos frente a amenazas.
La compañía advirtió que algunos dispositivos tienen bloqueos de actualización por problemas de compatibilidad con controladores y software. Según datos recientes, Windows 11 ya superó a Windows 10 en cuota de uso, alcanzando más del 53% de instalaciones en todo el mundo, mientras que la última versión de Windows 10 con soporte (22H2) expirará en octubre de 2025.
Microsoft confirma fin de soporte para Windows 10 en octubre de 2025
Microsoft reiteró que el 14 de octubre de 2025 finalizará el soporte para Windows 10 (todas las ediciones), dejando sin parches de seguridad ni asistencia técnica a millones de dispositivos. Para quienes no puedan migrar de inmediato a Windows 11, la empresa ofrece el programa de Actualizaciones de Seguridad Extendidas (ESU), con suscripción anual pagada o gratuita para algunos usuarios mediante recompensas.
Opciones alternativas incluyen migrar a Windows 365 en la nube o usar versiones LTSC para equipos especializados, que mantendrán soporte más allá de 2025. Actualmente, Windows 11 ya superó a Windows 10 en instalaciones, con más del 53% de adopción, lo que refuerza la urgencia de migrar para no quedar expuesto a amenazas.
Exchange 2016 y 2019 quedarán sin soporte en octubre
Microsoft recordó que el 14 de octubre de 2025 termina el soporte para Exchange Server 2016 y 2019. Tras esa fecha no se entregarán actualizaciones de seguridad ni asistencia técnica, lo que expone a los servidores a vulnerabilidades críticas y posibles brechas.
La compañía aconseja migrar cuanto antes a Exchange Online o a Exchange Server Subscription Edition (SE). También entregó guías detalladas para facilitar el proceso de actualización, advirtiendo que mantener versiones antiguas implicará riesgos serios de seguridad.
SonicWall expone respaldos de firewalls y pide restablecer credenciales
SonicWall notificó que copias de respaldo de configuraciones de firewall almacenadas en cuentas MySonicWall fueron expuestas tras ataques de fuerza bruta contra su servicio de API en la nube. Aunque solo afectó a menos del 5% de los dispositivos, los archivos filtrados contenían datos sensibles que facilitan la explotación de firewalls comprometidos.
La compañía pidió a los clientes restablecer contraseñas, claves y tokens, además de revisar accesos sospechosos en sus redes. Si bien no se han visto los archivos filtrados públicamente, SonicWall advirtió que su uso indebido podría facilitar intrusiones graves en infraestructuras críticas.
PyPI invalida miles de tokens tras ataque de la campaña GhostAction
La Python Software Foundation invalidó todos los tokens de PyPI afectados por el ataque de cadena de suministro GhostAction. Los atacantes usaron flujos de trabajo maliciosos en GitHub Actions para exfiltrar secretos, incluyendo credenciales de PyPI, npm, DockerHub y servicios en la nube.
Aunque no se detectó abuso en repositorios PyPI, se estima que más de 3.300 secretos fueron robados, afectando a múltiples ecosistemas como Python, Rust, JavaScript y Go. La organización recomendó a los desarrolladores migrar a Trusted Publishers para reforzar la seguridad de sus proyectos.
Error en Windows 11 bloquea reproducción de contenido protegido por DRM
Microsoft confirmó un fallo en Windows 11 24H2 que afecta a aplicaciones que reproducen contenido protegido por DRM, como video en vivo o discos Blu-ray/DVD. Tras la actualización de agosto de 2025, varios usuarios experimentaron pantallas negras, congelamientos y errores de derechos digitales al intentar acceder a este tipo de archivos.
La compañía informó que trabaja en un parche y recordó que otros problemas recientes de Windows también fueron originados por actualizaciones, incluyendo errores en la instalación de apps y fallas en operaciones de recuperación del sistema. Se espera una solución oficial en próximas actualizaciones.
SonicWall publica actualización para eliminar rootkits en SMA 100
SonicWall lanzó un firmware que elimina el malware OVERSTEP en dispositivos de la serie SMA 100, usado por el grupo UNC6148 para mantener acceso persistente y robar credenciales. El rootkit permite a los atacantes establecer shells reversos y obtener datos críticos, lo que representa un riesgo severo para infraestructuras conectadas.
El anuncio llega a pocos días del fin de soporte oficial de estos dispositivos, lo que incrementa su exposición. La empresa instó a los administradores a actualizar de inmediato y advirtió que casos previos vincularon incidentes similares con el ransomware Abyss, demostrando la criticidad de aplicar medidas de seguridad antes de la fecha límite.
Debe estar conectado para enviar un comentario.