Esta semana destacamos que Microsoft corrigió dos fallas críticas en SharePoint ya explotadas activamente; se suman problemas graves en CrushFTP, puntos de acceso Aruba y productos VMware, todos con potencial para comprometer sistemas a gran escala si no se actualizan de inmediato. En cuanto a riesgos, sobresale el compromiso de paquetes npm tras ataques de phishing a sus mantenedores, así como problemas derivados de actualizaciones defectuosas en Veeam y Windows Server, que afectan la continuidad operativa. Y finalmente, se destaca que CISA y el FBI advierten sobre el avance del ransomware Interlock, que combina técnicas de ingeniería social con descargas maliciosas desde sitios legítimos.
CISA y FBI alertan sobre aumento de ataques del ransomware Interlock
Tras la advertencia que comentábamos la semana pasada sobre los ataques de Interlock utilizando la técnica “FileFix”, esta semana la Agencia de Ciberseguridad de los Estados Unidos, CISA, el FBI, así como otras agencias estadounidenses emitieron una alerta conjunta ante el aumento de los ataques del ransomware Interlock Las autoridades identificaron indicadores de compromiso recientes y técnicas de acceso poco comunes, como descargas maliciosas desde sitios legítimos comprometidos.
La técnica FileFix, implica el uso de ingeniería social que explota elementos del sistema Windows para ejecutar malware sin alertas visibles. Las agencias recomiendan a las organizaciones implementar filtros DNS, firewalls, segmentación de redes, MFA y formación en ciberseguridad para reducir el impacto de estos ataques, que combinan cifrado de datos con amenazas de filtración para forzar el pago del rescate.
El malware Lumma infostealer reaparece tras golpe policial
Tras una operación internacional en mayo, que desmanteló parte de su infraestructura y confiscó más de 2.300 dominios, el malware Lumma infostealer logró reactivarse, aseguraron investigadores de Trend Micro. Aunque el servicio Malware-as-a-Service (MaaS) fue severamente afectado, sus operadores comenzaron de inmediato los esfuerzos de recuperación, logrando restaurar su infraestructura y reconquistar la confianza de la comunidad cibercriminal, y ya operan casi al mismo nivel que antes del desmantelamiento.
La información apunta a que Lumma ha cambiado su estrategia de distribución y evasión, dejando Cloudflare y pasando a Selectel, proveedor ruso menos propenso a colaborar con autoridades. Actualmente, propaga su malware mediante cracks falsos, sitios comprometidos con CAPTCHA falsos, repositorios de GitHub con trampas disfrazadas de hacks de videojuegos, y enlaces engañosos en YouTube y Facebook. Su resiliencia evidencia que, sin detenciones o cargos concretos, las operaciones policiales tienen un impacto limitado en detener estas amenazas.
El troyano bancario Coyote utiliza accesibilidad de Windows para robar datos
Una nueva versión del malware bancario Coyote está utilizando el sistema de accesibilidad de Windows, UI Automation (UIA), para identificar cuándo los usuarios acceden a servicios financieros o de criptomonedas desde sus navegadores. Este abuso del marco de accesibilidad le permite al malware inspeccionar los elementos de la interfaz de usuario, como pestañas y barras de direcciones, para detectar si el usuario visita algún servicio bancario o cripto predefinidos.
El uso de UIA permite a Coyote evadir herramientas de seguridad como EDR y representa el primer caso documentado en el mundo real de este tipo de técnica. Aunque por ahora se usa para reconocimiento de sitios visitados, los investigadores de Akamai advierten que UIA también puede ser explotado para robar directamente las credenciales ingresadas. Esta situación pone en alerta sobre los riesgos inherentes al poder de los sistemas de accesibilidad, y recuerda casos similares en Android donde también han sido utilizados con fines maliciosos.
Campaña PoisonSeed burla autenticación FIDO2 usando acceso cruzado entre dispositivos
La campaña de phishing «PoisonSeed» está logrando evadir protecciones avanzadas de seguridad como FIDO2 mediante el uso malicioso de la autenticación cruzada entre dispositivos (WebAuthn). Sin explotar vulnerabilidades técnicas, los atacantes redirigen a las víctimas a portales falsos que imitan servicios como Okta o Microsoft 365, donde recogen las credenciales. Luego, usando una técnica de adversario-en-el-medio (AiTM), inician una sesión real en el sitio legítimo y solicitan una autenticación cruzada mediante QR, que el usuario escanea sin saber que está autorizando al atacante.
Este método permite a los cibercriminales eludir el requisito físico de las llaves de seguridad FIDO2, explotando una característica legítima para validar sesiones maliciosas. Expertos de Expel advierten que no se trata de una falla en el protocolo, sino de un uso engañoso de su funcionalidad. Para mitigar el riesgo, se recomienda restringir el acceso geográfico, monitorear nuevos registros de llaves desconocidas y preferir autenticación cruzada basada en Bluetooth para evitar este tipo de fraudes.
Microsoft lanza actualización KB5062660 con nuevas funciones de recuperación en Windows 11
Microsoft presentó la actualización KB5062660 para Windows 11 24H2, introduciendo 29 novedades enfocadas en la estabilidad del sistema. Destaca el lanzamiento de la Iniciativa de Resiliencia de Windows, que incluye herramientas como Quick Machine Recovery, diseñada para detectar y corregir automáticamente errores críticos del sistema sin intervención manual. También se incorpora una versión modernizada de la pantalla negra de la muerte, mejor alineada con el estilo visual de Windows 11.
Además, se añaden nuevas funciones de accesibilidad, mejoras en la búsqueda, explorador de archivos, configuración, y nuevas integraciones con Copilot y Microsoft Teams. Esta es una actualización opcional, sin parches de seguridad, que busca preparar cambios para el próximo Patch Tuesday. Si bien no resuelve amenazas directas, estas funciones apuntan a reducir riesgos operacionales y mejorar la capacidad de recuperación ante fallos del sistema.
Ataque a la cadena de suministro compromete populares librerías de JavaScript tras phishing a su mantenedor
Una serie de populares paquetes npm como eslint-config-prettier y eslint-plugin-prettier, con millones de descargas semanales, fueron comprometidos tras un ataque de phishing dirigido al mantenedor JounQin. Usando credenciales robadas, los atacantes publicaron versiones maliciosas con scripts que ejecutan DLLs troyanizadas en sistemas Windows. Los paquetes infectados contenían código en el script install.js que se hacía pasar por una función inocente, pero que en realidad cargaba archivos maliciosos a través de rundll32.
El ataque forma parte de una tendencia creciente de compromisos a bibliotecas de código abierto mediante ingeniería social. Otro paquete, got-fetch, fue también secuestrado de forma similar, apuntando a que un mismo actor estaría detrás de ambos incidentes. Se recomiendo a los usuarios evitar versiones específicas comprometidas, revisar sus entornos de compilación y despliegue posteriores al 18 de julio, y rotar cualquier secreto expuesto.
Windows 11 presenta nueva pantalla negra de error y herramienta de recuperación automática
Microsoft ha lanzado importantes mejoras en Windows 11 como parte de su Iniciativa de Resiliencia, diseñada para reducir tiempos de inactividad y facilitar la recuperación ante fallos críticos. Entre los cambios destaca el reemplazo de la tradicional pantalla azul de la muerte (BSOD) por una nueva pantalla negra de la muerte, con un diseño más claro y alineado al estilo visual de Windows 11. Esta nueva interfaz elimina elementos confusos como el emoji triste y el código QR, y muestra un mensaje más directo con información técnica útil para diagnóstico.
Otra novedad crucial es la función Quick Machine Recovery, que permite recuperar el sistema de manera automática ante errores de arranque, sin intervención manual. En caso de fallo crítico, el equipo accede al entorno de recuperación (WinRE), se conecta a Internet y aplica automáticamente parches desde Windows Update, incluyendo la desactivación de controladores defectuosos. Esta herramienta, activada por defecto en equipos domésticos, busca prevenir desastres como el reciente incidente de CrowdStrike, que afectó a millones de dispositivos. Microsoft planea seguir perfeccionando esta función con herramientas avanzadas para administradores TI.
Fallo en Veeam bloquea accesos tras activar autenticación multifactor
Veeam advirtió que la versión 7.2.1.286 de su herramienta Recovery Orchestrator provoca bloqueos en la interfaz web al activar la autenticación multifactor (MFA), impidiendo a los usuarios iniciar sesión. El fallo afecta a quienes descargaron dicha versión entre el 8 y el 17 de julio de 2025. Aunque ya se lanzó la versión corregida (7.2.1.290), Veeam recomienda no actualizar directamente ni hacer rollback, sino contactar al soporte técnico para una solución adecuada.
Además, la compañía investiga errores de conexión al restaurar datos desde medios de recuperación en Windows 11 24H2, posiblemente relacionados con la actualización KB5051987. Dado que Veeam es utilizado por más del 77 % de las empresas Fortune 500, estos problemas representan un riesgo considerable para la continuidad operativa de organizaciones que dependen de esta plataforma para ejecutar planes de recuperación ante desastres.
Actualización de Windows Server provoca fallos en clústeres y máquinas virtuales
Microsoft advirtió que la actualización de seguridad KB5062557 para Windows Server 2019, lanzada el 8 de julio, está causando problemas críticos en el servicio de clústeres y reinicios inesperados de máquinas virtuales. El error afecta especialmente a entornos con BitLocker habilitado en volúmenes compartidos de clúster (CSV), impidiendo que nodos se reintegren correctamente y generando múltiples eventos de error en los registros del sistema. Esto puede llevar a interrupciones en servicios dependientes de alta disponibilidad.
Aunque Microsoft ha desarrollado una mitigación para las organizaciones afectadas, esta aún no está disponible públicamente y requiere contacto directo con el soporte empresarial. Mientras se trabaja en la solución, se recomienda a las empresas evitar aplicar esta actualización si no es estrictamente necesaria, o bien solicitar asistencia especializada para reducir los impactos en la operación.
Japón lanza herramienta gratuita para recuperar archivos de Phobos y 8Base
La policía japonesa ha liberado un decryptor gratuito que permite a víctimas del ransomware Phobos y 8Base recuperar sus archivos sin pagar rescate. Esta herramienta es efectiva incluso contra variantes recientes como la que añade la extensión .LIZARD. Se cree que fue desarrollada con información obtenida tras una operación internacional que desmanteló la infraestructura de Phobos y llevó a la detención de varios sospechosos, incluidos cuatro líderes del grupo 8Base.
El decryptor ya está disponible en el sitio de la policía japonesa y en la plataforma NoMoreRansom de Europol. A pesar de que algunos navegadores lo detectan erróneamente como malware, la herramienta ha sido comprobada como segura y funcional. Esta acción marca un avance importante en la lucha contra el ransomware, ofreciendo una solución concreta para víctimas de una de las operaciones más extendidas a nivel mundial desde 2018.
Microsoft lanza parches de emergencia para vulnerabilidades críticas de SharePoint explotadas en ataques
Microsoft ha publicado actualizaciones urgentes para corregir dos vulnerabilidades zero-day (CVE-2025-53770 y CVE-2025-53771) en SharePoint que están siendo explotadas en ataques conocidos como «ToolShell», afectando a más de 54 organizaciones a nivel mundial. Estas fallas permiten la ejecución remota de código y eludir parches anteriores, lo que llevó a Microsoft a lanzar estas actualizaciones fuera del ciclo regular para SharePoint Subscription Edition, 2019 y 2016.
Además de instalar los parches, Microsoft recomienda a los administradores rotar las claves de máquina de SharePoint para evitar futuras intrusiones, y revisar los registros del sistema para detectar indicios de explotación, incluyendo archivos maliciosos como “spinstall0.aspx”. En caso de detección, Microsoft aconseja realizar una investigación exhaustiva para garantizar que no haya movimiento lateral de atacantes dentro de la red afectada.
ExpressVPN corrige falla que exponía IPs reales en sesiones RDP
ExpressVPN solucionó una vulnerabilidad en su cliente para Windows que permitía que el tráfico de escritorio remoto (RDP) se filtrara fuera del túnel VPN, exponiendo la dirección IP real del usuario. El error, introducido por código de depuración no removido tras pruebas internas, afectó las versiones 12.97 a 12.101.0.2-beta. Aunque la conexión permanecía cifrada, terceros en la misma red, como proveedores de internet, podían ver qué servidores remotos eran accedidos mediante RDP, rompiendo la promesa de anonimato de la VPN.
El problema fue reportado en abril de 2025 y solucionado con la versión 12.101.0.45, publicada en junio. ExpressVPN señaló que el impacto fue limitado, ya que la mayoría de sus usuarios no emplean RDP y la fuga no afectó otros protocolos. Aun así, recomiendan actualizar el cliente y han anunciado mejoras en sus procesos de validación y pruebas para evitar futuras filtraciones de este tipo.
Más de mil servidores CrushFTP expuestos a ataques de secuestro
Más de mil servidores CrushFTP accesibles por internet son vulnerables a una falla crítica (CVE-2025-54309) que permite a atacantes obtener acceso de administrador a la interfaz web. La vulnerabilidad, causada por una validación incorrecta en el protocolo AS2, afecta a versiones anteriores a 10.8.5 y 11.3.4_23. Aunque la falla ya fue corregida, aún se detectan instancias expuestas, y se sospecha que los ataques podrían haberse iniciado antes del 18 de julio.
CrushFTP recomienda actualizar urgentemente los servidores, revisar logs en busca de actividad anómala y aplicar controles adicionales como listas blancas de IPs y actualizaciones automáticas. Plataformas como Shadowserver ya están notificando a los administradores afectados, alertando sobre el riesgo de robo de datos. Los sistemas de transferencia de archivos como CrushFTP han sido blanco frecuente de ataques por grupos de ransomware como Clop, lo que refuerza la urgencia de cerrar esta brecha.
HP alerta por credenciales codificadas en puntos de acceso Aruba Instant On
Hewlett-Packard (HP) advirtió sobre una vulnerabilidad crítica (CVE-2025-37103, con puntaje CVSS de 9.8) en sus puntos de acceso Aruba Instant On, la cual permite a atacantes eludir la autenticación y acceder a la interfaz web con privilegios de administrador. Esta falla, presente en firmware 3.2.0.1 y anteriores, se debe a credenciales codificadas en el sistema, lo que facilita su explotación para modificar configuraciones, instalar puertas traseras, capturar tráfico o realizar movimientos laterales.
Junto a esta falla, HP también reportó una segunda vulnerabilidad (CVE-2025-37102), que permite inyección de comandos en la interfaz CLI, la cual puede combinarse con la anterior para lograr una intrusión más profunda. Aunque aún no hay evidencia de explotación activa, la empresa insta a los usuarios a actualizar de inmediato al firmware 3.2.1.0 o superior, ya que no existen soluciones alternativas para mitigar estos riesgos.
VMware corrige fallas críticas explotadas en concurso Pwn2Own 2025
VMware solucionó cuatro vulnerabilidades en sus productos ESXi, Workstation, Fusion y Tools, las cuales fueron explotadas como zero-days durante el concurso Pwn2Own Berlin 2025. Tres de las fallas, con una severidad de 9.3, permitían a una máquina virtual ejecutar comandos en el sistema anfitrión, comprometiendo completamente su seguridad. Estas incluyen errores de overflow y underflow en componentes como VMXNET3, VMCI y PVSCSI, y fueron demostradas exitosamente por investigadores de ciberseguridad durante la competencia. Una cuarta vulnerabilidad, de menor severidad (7.1), expone información sensible y fue usada como parte de una cadena de explotación. VMware no ofreció soluciones temporales, por lo que es imprescindible actualizar los productos afectados para mitigar el riesgo. Estos hallazgos resaltan la relevancia de eventos como Pwn2Own para identificar vulnerabilidades críticas antes de que sean utilizadas en ataques reales.
Debe estar conectado para enviar un comentario.