Business
News
![[Webinar] Encuentre y elimine identidades no humanas huérfanas en su entorno – CYBERDEFENSA.MX](https://cybercolombia.co/wp-content/uploads/2026/04/bi.jpg)
![[Webinar] Cómo cerrar las brechas de identidad en 2026 antes de que la IA aproveche el riesgo empresarial – CYBERDEFENSA.MX](https://cybercolombia.co/wp-content/uploads/2026/04/cerby.jpg)
![[Webinar] Deja de adivinar. Aprenda a validar sus defensas contra ataques reales – CYBERDEFENSA.MX](https://cybercolombia.co/wp-content/uploads/2026/03/filigram.jpg)
Trending
Articles
Editor
Choice
Recent
Posts
Operación PowerOFF incauta 53 dominios DDoS y expone 3 millones de cuentas criminales – CYBERDEFENSA.MX
Una operación internacional de aplicación de la ley derribó 53 dominios y arrestó a cuatro personas en relación con operaciones comerciales de denegación de servicio distribuido (DDoS) que fueron utilizadas por más de 75.000 ciberdelincuentes.
El esfuerzo en curso, denominado Operación Apagadointerrumpió el acceso a los servicios de alquiler de DDoS, derribó la infraestructura técnica que los respaldaba y obtuvo acceso a bases de datos que contenían más de 3 millones de cuentas de usuarios criminales. Las autoridades también están enviando correos electrónicos y cartas de advertencia a los usuarios criminales identificados, y se han emitido 25 órdenes de registro.
En la acción participaron nada menos que 21 países: Australia, Austria, Bélgica, Brasil, Bulgaria, Dinamarca, Estonia, Finlandia, Alemania, Japón, Letonia, Lituania, Luxemburgo, Países Bajos, Polonia, Portugal, Suecia, Tailandia, Reino Unido y Estados Unidos.
«Los servicios de arranque permiten a los usuarios lanzar ataques DDoS contra sitios web, servidores o redes específicos», Europol dicho en un comunicado. «Su infraestructura se compone de servidores, bases de datos y otros componentes técnicos que hacen posibles las actividades de alquiler de DDoS. Al apoderarse de estas infraestructuras, las autoridades pudieron obstaculizar estas operaciones criminales y evitar mayores daños a las víctimas».
La agencia describió el alquiler de DDoS como una de las tendencias más prolíficas y de fácil acceso en materia de delitos cibernéticos, ya que permite que incluso personas con poco o ningún conocimiento técnico ejecuten ataques maliciosos a escala e inflijan daños significativos a las empresas.
Europol también señaló que la actividad DDoS puede provenir de actores de amenazas capacitados y con buenos recursos, que podrían confiar en dichos servicios para personalizar u optimizar sus actividades ilícitas. Los ataques DDoS suelen tener como objetivo varios servicios basados en la web, y las motivaciones detrás de ellos son tan variadas como amplias.
Esto va desde la simple curiosidad y la ganancia financiera mediante la extorsión hasta el hacktivismo impulsado por razones ideológicas y la interrupción de los servicios de los competidores. Se ha descubierto que algunos operadores de estos servicios enmascaran sus verdaderos motivos y escapan al escrutinio de las autoridades disfrazándolos de herramientas de pruebas de estrés.
Este desarrollo marca el último paso dado por las autoridades para desmantelar las infraestructuras criminales de alquiler de DDoS en todo el mundo como parte de PowerOFF. En agosto de 2025, el gobierno de EE. UU. anunció la eliminación de una botnet DDoS llamada RapperBot que se utilizaba para llevar a cabo ataques disruptivos a gran escala dirigidos a víctimas en más de 80 países desde al menos 2021.
Apache ActiveMQ CVE-2026-34197 agregado a CISA KEV en medio de explotación activa – CYBERDEFENSA.MX
Una falla de seguridad de alta gravedad recientemente revelada en Apache ActiveMQ Classic ha sido objeto de explotación activa en la naturaleza, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
Para ello, la agencia ha agregado la vulnerabilidad, rastreada como CVE-2026-34197 (Puntuación CVSS: 8,8), a sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 30 de abril de 2026.
CVE-2026-34197 se ha descrito como un caso de validación de entrada incorrecta que podría provocar la inyección de código, lo que permitiría efectivamente a un atacante ejecutar código arbitrario en instalaciones susceptibles. Según Naveen Sunkavally de Horizon3.ai, CVE-2026-34197 ha estado «escondido a plena vista» durante 13 años.
«Un atacante puede invocar una operación de administración a través de la API Jolokia de ActiveMQ para engañar al corredor para que obtenga un archivo de configuración remoto y ejecute comandos arbitrarios del sistema operativo», agregó Sunkavally.
«La vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos. En algunas versiones (6.0.0–6.1.1), no se requieren credenciales debido a otra vulnerabilidad, CVE-2024-32114, que expone inadvertidamente la API de Jolokia sin autenticación. En esas versiones, CVE-2026-34197 es efectivamente un RCE no autenticado».
la vulnerabilidad impactos las siguientes versiones –
- Agente Apache ActiveMQ (org.apache.activemq:activemq-broker) anterior a 5.19.4
- Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 anterior a 6.2.3
- Apache ActiveMQ (org.apache.activemq:activemq-all) anterior a 5.19.4
- Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 anterior a 6.2.3
Se recomienda a los usuarios que actualicen a la versión 5.19.4 o 6.2.3, que soluciona el problema. Actualmente no hay detalles sobre cómo se está explotando CVE-2026-34197 en la naturaleza, pero SAFE Security, en un informe publicado esta semana, reveló que los actores de amenazas están apuntando activamente a los puntos finales de administración de Jolokia expuestos en implementaciones de Apache ActiveMQ Classic.
Los hallazgos demuestran una vez más que los plazos de explotación continúan colapsando a medida que los atacantes se abalanzan sobre las vulnerabilidades recientemente reveladas a un ritmo alarmantemente más rápido y violan los sistemas antes de que puedan ser parcheados.
Apache ActiveMQ es un objetivo popular de ataque, con fallas en el intermediario de mensajes de código abierto explotadas repetidamente en varias campañas de malware desde 2021. En agosto de 2025, actores desconocidos utilizaron como arma una vulnerabilidad crítica en ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para lanzar un malware de Linux llamado DripDropper.
«Dado el papel de ActiveMQ en la mensajería empresarial y los canales de datos, las interfaces de gestión expuestas presentan un riesgo de alto impacto, lo que potencialmente permite la filtración de datos, la interrupción del servicio o el movimiento lateral», SAFE Security dicho. «Las organizaciones deben auditar todas las implementaciones para los puntos finales de Jolokia accesibles externamente, restringir el acceso a redes confiables, imponer una autenticación sólida y desactivar Jolokia cuando no sea necesario».
Ciudadanos estadounidenses condenados por ayudar al plan de trabajadores tecnológicos de Corea del Norte
Dos hombres de Nueva Jersey fueron sentenciado el miércoles por facilitar el plan de larga duración de Corea del Norte para colocar a operativos dentro de empresas estadounidenses como empleados, generando más de 5 millones de dólares en ingresos ilícitos para el régimen, dijo el Departamento de Justicia.
Los ciudadanos estadounidenses –Kejia Wang, también conocido como Tony Wang, y Zhenxing Wang, también conocido como Danny Wang– fueron parte de una conspiración de años de duración que colocó a agentes en puestos de trabajo en más de 100 empresas estadounidenses, incluidas muchas compañías Fortune 500, con sede en 27 estados y el Distrito de Columbia.
El elaborado plan involucraba empresas fantasma que se hacían pasar por empresas de desarrollo de software, lavado de dinero y espionaje con implicaciones para la seguridad nacional. Los agentes involucrados en la conspiración robaron archivos confidenciales de un contratista de defensa con sede en California relacionados con la tecnología militar estadounidense controlada bajo el Reglamento de Tráfico Internacional de Armas (ITAR), dijeron funcionarios.
«Los trabajadores de TI de la República Popular Democrática de Corea (RPDC) no se limitan a la generación de ingresos. Cuando se les asigna la tarea, pueden operacionalizar su ubicación y acceso para respaldar los requisitos de inteligencia estratégica, incluido el robo de propiedad intelectual, la interrupción de la red o la extorsión», dijo a CyberScoop Michael Barnhart, investigador del estado nacional en DTEX.
Si bien la mayor parte del plan de Corea del Norte se centra en los ingresos, a veces aplica un enfoque de doble uso, asignando a ciertos trabajadores de TI privilegiados actividades maliciosas que ayudan a otros grupos de piratería respaldados por el estado, añadió Barnhart.
«No todos los trabajadores de TI pueden ser piratas informáticos, pero todos los piratas informáticos norcoreanos pueden o han sido trabajadores de TI», dijo. «Esta distinción es importante para el análisis de amenazas internas porque, a diferencia de las típicas contrataciones fraudulentas motivadas por ganancias financieras personales, los trabajadores de TI pueden infligir daños a nivel de seguridad nacional».
Kejia Wang, de 42 años, Zhenzing Wang, de 39, y sus cómplices robaron las identidades de al menos 80 residentes estadounidenses para facilitar la contratación de agentes norcoreanos y recaudaron al menos 696.000 dólares en honorarios combinados, dijeron funcionarios. Las empresas estadounidenses víctimas también incurrieron en honorarios legales, costos de reparación y otros daños y pérdidas superiores a los 3 millones de dólares.
Ambos hombres se declararon previamente culpables de una variedad de delitos. Kejia Wang fue condenada a nueve años de prisión por conspiración para cometer fraude electrónico y postal, blanqueo de dinero y robo de identidad. Zhenxing Wang fue sentenciado a 92 meses de prisión por conspiración para cometer fraude electrónico y postal y lavado de dinero.
A la pareja también se le ordenó perder un total combinado de 600.000 dólares, de los cuales dos tercios ya han sido pagados, dijeron las autoridades.
La conspiración, que se desarrolló al menos desde 2021 hasta octubre de 2024, se basó en parte en empresas fantasma (Hopana Tech, Tony WKJ y Independent Lab), que los hombres crearon para crear la apariencia de negocios legítimos.
«Al combinar a una persona estadounidense, una dirección estadounidense y una empresa fachada como Independent Lab, los facilitadores crearon la ilusión de un esfuerzo interno legítimo que permitía a los trabajadores de TI presentarse como residentes de Estados Unidos sin despertar sospechas durante la incorporación o los flujos de trabajo diarios», dijo Barnhart.
«Las empresas pantalla pueden actuar como ese flujo financiero intermedio desde las empresas víctimas de regreso a las unidades de la RPDC, lo que luego impulsa fondos hacia arriba a través del Partido de los Trabajadores de Corea para apoyar cualquier programa con el que estuviera alineada la unidad, ya sea desarrollo de armas o prioridades internas», añadió.
Estas empresas fachada reflejan un mayor nivel de habilidad que explota un punto débil en las evaluaciones de riesgos internos porque las amenazas no siempre son una persona maliciosa que intenta ingresar a una red, dijo Barnhart. «A veces parece como si toda una empresa pareciera limpia sobre el papel».
Las autoridades han respondido al plan de Corea del Norte apuntando a facilitadores con sede en Estados Unidos que proporcionan identidades falsificadas o robadas y granjas de computadoras portátiles para agentes norcoreanos, y confiscando criptomonedas vinculadas al robo.
Los triunfos en materia de aplicación de la ley se están acumulando, pero los investigadores advierten que la operación de Corea del Norte es masiva y evoluciona constantemente.
La sentencia de Kejia Wang y Zhenxing Wang se produce menos de un mes después de que un trío de hombres estadounidenses fueran sentenciados por delitos similares, incluida la operación de granjas de computadoras portátiles, fraude electrónico y robo de identidad.
Los Departamentos de Justicia y del Tesoro también han emitido acusaciones y sancionado a personas y entidades presuntamente involucradas en el esfuerzo de Corea del Norte de enviar miles de profesionales técnicos especializados fuera del país para conseguir empleos bajo falsos pretextos y canalizar sus salarios de regreso a Pyongyang.
Puede leer las acusaciones completas contra Kejia Wang y Zhenxing Wang a continuación.