Google confirmó que el ataque al proveedor Salesloft Drift permitió al grupo UNC6395 robar tokens OAuth utilizados en conexiones con Salesforce, AWS, Snowflake y Google Workspace. El incidente derivó en accesos no autorizados a cuentas corporativas de correo y a información sensible en la nube, obligando a la revocación masiva de credenciales y a medidas de emergencia en clientes globales.
Además, esta semana destacan vulnerabilidades críticas en WhatsApp, FreePBX, Citrix y Passwordstate, todas con explotación activa o riesgo inmediato. En paralelo, campañas de malware como Brokewell y TamperedChef avanzan mediante anuncios fraudulentos en Google y Meta, mientras operaciones policiales cierran mercados de identidades falsas en la dark web. Al mismo tiempo, nuevas variantes de ransomware -desde el giro en la nube de Storm-0501 hasta los casos de MathWorks, PromptLock y el uso de IA generativa como Claude Code para extorsión- muestran una diversificación en las tácticas de monetización criminal. Finalmente, incidentes en ChromeOS y Windows 11 ponen foco en los riesgos operativos ante fallos en actualizaciones y autenticaciones críticas.
WhatsApp parchea vulnerabilidad de día cero explotada en ataques dirigidos
WhatsApp corrigió la vulnerabilidad CVE-2025-55177, un fallo de tipo zero-click que afectaba a clientes en iOS y macOS y que ya había sido explotado junto con una falla de Apple (CVE-2025-43300) en ataques sofisticados contra usuarios seleccionados. El problema radicaba en la autorización incompleta de mensajes de sincronización de dispositivos vinculados, lo que permitía ejecutar contenido malicioso desde URLs externas.
Meta y Apple confirmaron que los ataques estuvieron vinculados a campañas de spyware avanzadas contra periodistas y miembros de la sociedad civil. WhatsApp recomendó a los usuarios potencialmente comprometidos realizar un restablecimiento de fábrica y mantener siempre el sistema operativo actualizado, recordando que en marzo ya se había bloqueado otra campaña de espionaje con el spyware Graphite de Paragon.
Zero-day en FreePBX compromete miles de sistemas de comunicación
El equipo de seguridad de Sangoma FreePBX advirtió sobre un exploit activo en su panel de administración (ACP) expuesto a internet. El fallo afecta a versiones 16 y 17 con el módulo de endpoint habilitado, permitiendo ejecución de comandos con privilegios del usuario Asterisk. La compañía lanzó un módulo EDGE como mitigación temporal y prepara un parche completo.
Usuarios reportaron intrusiones que afectaron hasta 3 mil extensiones SIP y 500 troncales. Los indicadores de compromiso incluyen modificaciones en archivos de configuración, creación de scripts sospechosos y registros anómalos en bases de datos. Sangoma recomienda restaurar desde respaldos anteriores al 21 de agosto, aplicar las actualizaciones y rotar todas las credenciales SIP y de sistema.
Más de 28 mil instancias vulnerables a falla crítica en Citrix
Más de 28.200 dispositivos Citrix NetScaler ADC y Gateway siguen expuestos a la vulnerabilidad crítica CVE-2025-7775, ya explotada como zero-day, según reportes de CISA y la compañía. Las versiones afectadas abarcan ramas 14.1, 13.1, 12.1 en configuraciones de VPN, LB y CR con IPv6, sin mitigaciones disponibles más allá de la actualización inmediata del firmware.
Los países con más sistemas comprometidos son los Estados Unidos (10.100), Alemania (4.300) y Reino Unido (1.400). En Chile solo se habían detectado 14 a la fecha de la edición de este reporte. La vulnerabilidad ya fue añadida al catálogo KEV de CISA. Además, Citrix reconoció otros dos fallos graves en los últimos días: CVE-2025-7776 y CVE-2025-8424.
Click Studios alerta sobre grave fallo en Passwordstate
La empresa Click Studios, creadora del gestor empresarial Passwordstate, advirtió a sus clientes sobre una vulnerabilidad crítica de bypass de autenticación en la página de acceso de emergencia. El fallo permite a atacantes, mediante una URL manipulada, ingresar sin credenciales al área administrativa del sistema.
El fabricante, con más de 370 mil profesionales y 29 mil organizaciones usuarias, lanzó la versión 9.9 Build 9972 para mitigar el problema. Aunque existe un parche parcial basado en restricciones por IP, la compañía insiste en actualizar de inmediato, recordando además que en 2021 Passwordstate sufrió un ataque a su cadena de suministro con el malware Moserpass.
Brokewell se propaga en Android mediante falsos anuncios de TradingView Premium
Ciberdelincuentes han lanzado una campaña de anuncios en plataformas de Meta que ofrece supuestas versiones gratuitas de TradingView Premium para Android, pero en realidad instala el malware Brokewell. Una vez ejecutado, el falso instalador solicita permisos de accesibilidad y simula actualizaciones del sistema para obtener el PIN de desbloqueo.
El malware cuenta con más de 130 comandos que permiten robar criptomonedas, credenciales bancarias, códigos de 2FA, así como grabar pantallas, activar cámaras y micrófonos o incluso tomar control remoto del dispositivo. Según Bitdefender, se trata de una evolución de Brokewell con capacidades más avanzadas, diseñada para apuntar principalmente a usuarios de criptoactivos.
Campaña masiva distribuye malware TamperedChef mediante anuncios en Google
Investigadores detectaron que actores maliciosos usan anuncios de Google para promocionar un falso editor PDF llamado AppSuite PDF Editor, que instala el infostealer TamperedChef. El malware permaneció inactivo hasta recibir una actualización en agosto que habilitó la exfiltración de credenciales, cookies y otros datos sensibles mediante DPAPI.
La operación utilizó más de 50 dominios y certificados fraudulentos de varias empresas para dar legitimidad a las aplicaciones. Además, algunas versiones intentaban inscribir los dispositivos en redes de residential proxies, multiplicando el valor del ataque. Aunque los certificados fueron revocados, los investigadores advierten que las instalaciones actuales siguen siendo un riesgo activo.
FBI y Policía holandesa cierran VerifTools, mercado de documentos falsos
El FBI y la policía neerlandesa desmantelaron VerifTools, una plataforma que generaba documentos de identidad falsos, tras incautar servidores en Ámsterdam. El sitio permitía comprar pasaportes, licencias y otras identificaciones falsas por tan solo 9 dólares en criptomonedas, facilitando fraudes bancarios, estafas de soporte técnico, evasión de beneficios sociales y anonimato frente a regulaciones KYC.
Las autoridades calculan ganancias ilícitas de hasta 6,4 millones de dólares. Durante la operación, se aseguraron dos servidores físicos y 21 virtuales, copiando toda la infraestructura para futuras investigaciones. Aunque los administradores no han sido identificados, la fiscalía neerlandesa no descarta detenciones y advierte que los usuarios de documentos falsos enfrentan hasta seis años de cárcel.
Brecha en Drift expone tokens OAuth y afecta cuentas de Google Workspace
Google informó que el alcance del ataque contra Salesloft Drift es mayor al estimado inicialmente. Los atacantes, identificados como el grupo UNC6395, robaron tokens OAuth usados en integraciones con Salesforce, accediendo a información sensible como claves de AWS, tokens de Snowflake y credenciales reutilizables.
La investigación determinó que también fueron comprometidas integraciones con Google Workspace, accediendo a un número reducido de cuentas de correo empresarial. Google y Salesforce han revocado los tokens afectados y deshabilitado integraciones, mientras recomiendan a todas las organizaciones con Drift revocar, rotar credenciales y revisar accesos no autorizados.
Storm-0501 migra del ransomware tradicional al cifrado en la nube
Microsoft alertó que el grupo Storm-0501, antes asociado a ransomware como Sabbath, Hive o LockBit, ahora se centra en ataques nativos a entornos cloud. En lugar de cifrar equipos locales, utilizan cuentas comprometidas en Azure para robar datos, destruir respaldos y aplicar cifrado mediante llaves gestionadas por el atacante, sin necesidad de malware en los endpoints.
El cambio de táctica aprovecha la ausencia de MFA en cuentas privilegiadas, abuso de sincronización de directorios y elevación de privilegios en Azure. Tras tomar control total, los atacantes contactan a las víctimas a través de Microsoft Teams con exigencias de pago. Microsoft advierte que este modelo podría expandirse, ya que es más difícil de detectar que el ransomware clásico en servidores on-premise.
MathWorks confirma robo de datos tras ataque de ransomware
La empresa MathWorks, creadora de MATLAB y Simulink, reveló que un grupo de ransomware comprometió su red en abril, robando información de 10.476 personas. Entre los datos sustraídos figuran nombres, direcciones, fechas de nacimiento y números de identificación, incluyendo SSN en algunos casos.
La compañía detectó el ataque un mes después del acceso inicial y vinculó interrupciones en MFA, SSO y servicios en la nube a esta intrusión. Aunque MathWorks ya reconoció públicamente el incidente, aún no se conoce el grupo responsable ni si se pagó rescate. Con más de 6.500 empleados en 34 países, el alcance del incidente refuerza la necesidad de mejorar detección temprana y resiliencia frente a ransomware.
Claude Code usado por ciberdelincuentes para crear ransomware y extorsión
La compañía Anthropic reveló que su modelo de lenguaje Claude Code fue explotado por actores maliciosos en el desarrollo de ransomware-as-a-service (RaaS) y campañas de extorsión. Uno de los casos, identificado como GTG-5004, describe cómo un delincuente británico utilizó casi exclusivamente la IA para implementar cifrado ChaCha20 con RSA, evasión avanzada y consolas de mando.
En otro incidente, GTG-2002, Claude asistió en intrusiones contra 17 organizaciones de sectores críticos, generando malware, analizando datos robados y hasta redactando notas de rescate personalizadas. Anthropic calificó esta tendencia como “vibe hacking”, prohibió las cuentas implicadas y compartió indicadores de compromiso para apoyar a la comunidad defensiva.
Fallas de autenticación afectan a ChromeOS y bloquean accesos educativos
Google confirmó que dispositivos con ChromeOS versión 16328.55.0 y navegador 139 presentan errores de autenticación que impiden iniciar sesión en plataformas como Clever y ClassLink, utilizadas por millones de estudiantes en el mundo. El fallo también impacta la verificación en dos pasos, dificultando el acceso a servicios críticos de Google.
Mientras prepara una solución definitiva aún sin fecha, la compañía propuso dos alternativas: volver a la versión anterior del sistema operativo (M138) o modificar configuraciones de inicio de sesión. Google asegura que continúa probando un parche y que informará a los administradores en los próximos días.
Nueva actualización de Windows 11 introduce 36 funciones y mejoras
Microsoft lanzó la actualización KB5064081 para Windows 11 24H2, una versión preliminar opcional que incorpora 36 novedades, entre ellas mejoras en Task Manager, funciones de Recall, rediseños de diálogos de privacidad y nuevos widgets en la pantalla de bloqueo. La actualización también elimina definitivamente PowerShell 2.0 e incluye correcciones en File Explorer, Windows Hello, audio, video y conectividad.
Aunque trae múltiples mejoras, Microsoft informó de dos problemas conocidos: errores falsos de CertEnroll (ya en proceso de corrección) y fallos de rendimiento en transmisiones con NDI. Al ser un parche opcional, los usuarios deben instalarlo manualmente, aunque quienes tengan la opción de recibir actualizaciones anticipadas lo obtendrán automáticamente.
Operaciones de espionaje chino Salt Typhoon apuntan a telecomunicaciones globales
Un informe conjunto de la NSA (Estados Unidos), NCSC (Reino Unido) y agencias de otros 13 países vincula al grupo Salt Typhoon con tres empresas tecnológicas chinas que habrían apoyado campañas de espionaje dirigidas por el Ministerio de Seguridad del Estado y el Ejército Popular de Liberación. Desde 2021, los ataques han afectado redes gubernamentales, de transporte y telecomunicaciones, con especial énfasis en espiar comunicaciones privadas.
Los actores de amenaza se enfocan en fallas conocidas en dispositivos de borde (Ivanti, Palo Alto, Cisco), evitando depender de zero-days. Han logrado crear túneles GRE/IPsec, manipular listas de control de acceso y robar tráfico de autenticación. Entre los objetivos estuvieron grandes operadores de Estados Unidos, provocando exigencias regulatorias de la FCC. El informe insta a priorizar parches, endurecer configuraciones y restringir servicios expuestos.
Ransomware PromptLock impulsado por IA demuestra su potencial de abuso
Investigadores de ESET descubrieron PromptLock, un prototipo de ransomware que utiliza modelos de lenguaje (gpt-oss:20b) para generar dinámicamente scripts en Lua capaces de enumerar archivos, exfiltrar y cifrar información en Windows, macOS y Linux. Aunque hallado en VirusTotal y no en ataques reales, representa un caso de uso emergente de IA en cibercrimen.
El malware está escrito en Golang y usa el algoritmo de cifrado SPECK 128-bit, considerado débil. Todo indica que es un proof-of-concept: incluye direcciones Bitcoin falsas y carece de funciones completas de destrucción de datos. Aun así, el hallazgo resalta cómo la IA puede facilitar malware multiplataforma, reduciendo barreras de entrada para ciberdelincuentes y anticipando nuevas tácticas.
Microsoft niega vínculo entre fallo de discos y actualización de Windows 11
Tras reportes de usuarios en Japón sobre fallos en SSDs y HDDs después de instalar la actualización KB5063878 de Windows 11 (versión 24H2), Microsoft aclaró que no ha encontrado relación entre el parche y las fallas de hardware. La compañía realizó pruebas internas y con fabricantes de almacenamiento sin hallar evidencia de incremento en errores o corrupción de datos.
Aun así, se han recibido múltiples reportes en modelos de Corsair, SanDisk, Kioxia e InnoGrit, donde los discos fallaban durante operaciones intensivas de escritura. Mientras continúa la investigación con proveedores de controladores NAND, Microsoft aconseja a los usuarios con discos llenos en más del 60% evitar operaciones masivas de copia o escritura hasta esclarecer la causa raíz.
Microsoft resuelve error falso de CertEnroll en Windows 11
Microsoft solucionó un fallo que generaba mensajes de error falsos en CertificateServicesClient (CertEnroll) tras instalar las actualizaciones de Windows 11 24H2 de julio y agosto de 2025. Aunque los eventos aparecían cada vez que se reiniciaba el dispositivo, la compañía aclaró que no afectaban procesos activos ni implicaban riesgo real.
El error estaba vinculado a una función aún en desarrollo y su corrección comenzó a distribuirse con la actualización KB5064081. Microsoft señaló que el despliegue será gradual en las próximas cuatro semanas hasta incluir la resolución en todas las actualizaciones futuras, reiterando que se trataba únicamente de un problema de registro visual sin impacto operativo.
Debe estar conectado para enviar un comentario.