Some weeks in cybersecurity feel routine. This one doesn’t.

Several new developments surfaced over the past few days, showing how quickly the threat landscape keeps shifting. Researchers uncovered fresh activity, security teams shared new findings, and a few unexpected moves from major tech companies also drew attention.

Together, these updates offer a useful snapshot of what is happening behind the scenes in the cyber world right now. From new tactics and campaigns to security and policy changes that could affect millions of users, there is a lot unfolding at once.

Below is a quick roundup of the most notable stories making headlines this week.

That wraps up this week’s quick look at what has been happening across the cybersecurity landscape.

Each update on its own may seem small, but together they show how quickly things continue to change. New techniques appear, old tactics evolve, and security decisions from major companies can shift the wider ecosystem.

For security teams, researchers, and anyone who follows the threat landscape, keeping track of these signals helps make sense of the bigger picture.

Stay tuned for the next edition of the ThreatsDay Bulletin with more developments from the cyber world.

Las organizaciones suelen implementar la autenticación multifactor (MFA) y suponen que las contraseñas robadas ya no son suficientes para acceder a los sistemas. En entornos Windows, esa suposición suele ser errónea. Los atacantes siguen comprometiendo las redes todos los días utilizando credenciales válidas. La cuestión no es la ayuda macrofinanciera en sí, sino la cobertura.

Se aplica a través de un proveedor de identidad (IdP) como Microsoft Entra ID, Okta o Google Workspace. MFA funciona bien para aplicaciones en la nube e inicios de sesión federados. Pero muchos inicios de sesión de Windows dependen únicamente de rutas de autenticación de Active Directory (AD) que nunca activan mensajes de MFA. Para reducir el riesgo basado en credenciales, los equipos de seguridad deben comprender dónde ocurre la autenticación de Windows fuera de su pila de identidades.

Siete rutas de autenticación de Windows en las que confían los atacantes

1. Inicio de sesión interactivo de Windows (local o unido a un dominio)

Cuando un usuario inicia sesión directamente en una estación de trabajo o servidor de Windows, la autenticación normalmente la maneja AD (a través de Kerberos o NTLM), no mediante un IdP en la nube.

En entornos híbridosincluso si Entra ID aplica MFA para aplicaciones en la nube, los controladores de dominio locales validan los inicios de sesión tradicionales de Windows en sistemas unidos a un dominio. A menos que se implemente Windows Hello for Business, tarjetas inteligentes u otro mecanismo MFA integrado, no hay ningún factor adicional en ese flujo.

Si un atacante obtiene la contraseña de un usuario (o hash NTLM), puede autenticarse en una máquina unida a un dominio sin activar las políticas MFA que protegen las aplicaciones de software como servicio o el inicio de sesión único federado. Desde la perspectiva del controlador de dominio, esta es una solicitud de autenticación estándar.

Herramientas como Acceso seguro a Specops son clave para limitar el riesgo de abuso de credenciales en estos escenarios. Al aplicar MFA para el inicio de sesión de Windows, así como para las conexiones VPN y de Protocolo de escritorio remoto (RDP), esta herramienta dificulta que los atacantes obtengan acceso no autorizado a su red. Esto se extiende incluso a los inicios de sesión fuera de línea, que están protegidos con autenticación con contraseña de un solo uso.

Acceso seguro a Specops

2. Acceso RDP directo que evita el acceso condicional

RDP es uno de los métodos de acceso más específicos en entornos Windows. Incluso cuando RDP no está expuesto a Internet, los atacantes suelen llegar a través de movimiento lateral después del compromiso inicial. Una sesión RDP directa a un servidor no pasa automáticamente por los controles MFA basados ​​en la nube, lo que significa que el inicio de sesión puede depender únicamente de la credencial AD subyacente.

3. Autenticación NTLM

NTLM es un protocolo de autenticación heredado que, a pesar de estar en desuso a favor del protocolo Kerberos, más seguro, todavía existe por razones de compatibilidad. También es un vector de ataque común porque admite técnicas como pass-the-hash.

En los ataques pass-the-hash, el atacante no necesita la contraseña en texto plano; en su lugar, utilizan el hash NTLM para autenticarse. Ministerio de Asuntos Exteriores no ayuda si el sistema acepta el hash como prueba de identidad.

NTLM también puede aparecer en flujos de autenticación internos que las organizaciones tal vez no monitoreen activamente; sólo un incidente o una auditoría lo revelará a los equipos de seguridad.

4. Abuso de tickets de Kerberos

Kerberos es el protocolo de autenticación principal para AD. En lugar de robar contraseñas directamente, Los atacantes roban tickets de Kerberos. desde la memoria o generar tickets falsificados después de comprometer cuentas privilegiadas. Esto permite técnicas como:

• Pase el boleto
• Boleto Dorado
• Boleto de Plata

Estos ataques permiten el acceso a largo plazo y el movimiento lateral y también reducen la necesidad de inicios de sesión repetidos, lo que reduce las posibilidades de detección. Estos ataques pueden persistir incluso después de restablecer la contraseña si el compromiso subyacente no se aborda por completo.

5. Cuentas de administrador local y reutilización de credenciales

Las organizaciones todavía dependen de cuentas de administrador local para tareas de soporte y recuperación del sistema. Si las contraseñas de administrador local se reutilizan en todos los puntos finales, los atacantes pueden escalar un compromiso hacia un acceso amplio.

Las cuentas de administrador local generalmente se autentican directamente en el punto final, evitando por completo los controles de MFA. No se aplican las políticas de acceso condicional de Entra ID. Ésta es una de las razones por las que el volcado de credenciales sigue siendo tan eficaz en entornos Windows.

6. Autenticación y movimiento lateral del Bloque de mensajes del servidor (SMB)

SMB se utiliza para compartir archivos y acceder remotamente a recursos de Windows. También es una de las rutas de movimiento lateral más confiables una vez que un atacante tiene credenciales válidas. Los atacantes suelen utilizar SMB para acceder a recursos compartidos administrativos como C$ o para interactuar con sistemas de forma remota utilizando credenciales válidas.

Si la autenticación SMB se trata como tráfico interno, rara vez se aplica MFA en esta capa. Si el atacante tiene credenciales válidas, puede usar SMB para moverse rápidamente entre sistemas.

7. Cuentas de servicio que nunca activan MFA

cuentas de servicio existen para ejecutar tareas programadas, aplicaciones, integraciones y servicios del sistema. Suelen tener credenciales estables, amplios permisos y una larga vida útil.

En muchas organizaciones, las contraseñas de las cuentas de servicio no caducan y rara vez se controlan. También son difíciles de proteger con MFA porque la autenticación está automatizada. Con frecuencia, estas cuentas se utilizan en aplicaciones heredadas que no pueden admitir controles de autenticación modernos.

Esta es una de las razones por las que los atacantes apuntan credenciales de soporte técnico y acceso de administrador de endpoints en las primeras etapas de una intrusión.

Cómo cerrar las brechas de autenticación de Windows

Los equipos de seguridad deben tratar la autenticación de Windows como su propia superficie de seguridad. Hay varias medidas prácticas que los equipos de seguridad pueden tomar para reducir la exposición:

1. Aplicar políticas de contraseñas más seguras en AD

Se debe aplicar una política de contraseñas segura frases de contraseña más largas de 15 o más caracteres. Las frases de contraseña son más fáciles de recordar para los usuarios y más difíciles de descifrar para los atacantes. Las políticas sólidas también deberían impedir la reutilización de contraseñas y bloquear patrones débiles que los atacantes puedan adivinar.

2. Bloquear continuamente las contraseñas comprometidas

El robo de credenciales no siempre es el resultado de ataques de fuerza bruta. Miles de millones de contraseñas ya están disponibles en conjuntos de datos violados para que los atacantes las reutilicen. ataques de credenciales. El bloqueo de contraseñas comprometidas en el momento de su creación reduce la posibilidad de que los usuarios establezcan credenciales que los atacantes ya tienen.

3. Reducir la exposición a protocolos de autenticación heredados

Siempre que sea posible, las organizaciones deben restringir o eliminar la autenticación NTLM. Los equipos de seguridad deben fijarse el objetivo de comprender dónde existe NTLM, reducirlo cuando sea posible y reforzar los controles cuando no se pueda eliminar.

4. Audite las cuentas de servicio y reduzca la pérdida de privilegios

Trate las cuentas de servicio como identidades de alto riesgo. Las organizaciones deben inventariarlos, reducir privilegios innecesariosrotar credenciales y eliminar cuentas que ya no sean necesarias. Si una cuenta de servicio tiene permisos a nivel de dominio, la organización debe asumir que será el objetivo.

Cómo puede ayudar Specops

Las políticas de contraseñas sólidas y las comprobaciones proactivas de credenciales comprometidas conocidas son dos de las formas más efectivas de reducir el riesgo de ataques basados ​​en credenciales. Política de contraseñas de Specops ayuda aplicando controles de contraseña flexibles que van más allá de lo que está disponible de forma nativa en Microsoft.

Política de contraseñas de Specops

Es Protección de contraseña violada La función verifica continuamente las contraseñas de Active Directory con una base de datos de más de 5,4 mil millones de credenciales expuestas, avisándole rápidamente si se descubre que la contraseña de un usuario está en riesgo. Si está interesado en ver cómo Specops puede ayudar a su organización, hable con un experto o reservar una demostración para ver nuestras soluciones en acción.

Un presunto actor de amenazas del nexo con Irán ha sido atribuido a una campaña dirigida a funcionarios gubernamentales en Irak haciéndose pasar por el Ministerio de Asuntos Exteriores del país para entregar un conjunto de malware nunca antes visto.

Zscaler ThreatLabz, que observó la actividad en enero de 2026, está rastreando el clúster con el nombre Espectro de polvo. Los ataques, que se manifiestan en forma de dos cadenas de infección diferentes, culminan con la implementación de malware denominado SPLITDROP, TWINTASK, TWINTALK y GHOSTFORM.

«Dust Spectre utilizó rutas URI generadas aleatoriamente para la comunicación de comando y control (C2) con valores de suma de verificación adjuntos a las rutas URI para garantizar que estas solicitudes se originaran en un sistema infectado real», dijo el investigador de seguridad Sudeep Singh. dicho. «El servidor C2 también utilizó técnicas de geocercado y verificación de usuario-agente».

Un aspecto notable de la campaña es el compromiso de la infraestructura relacionada con el gobierno iraquí para organizar cargas maliciosas, sin mencionar el uso de técnicas de evasión para retrasar la ejecución y pasar desapercibidas.

La primera secuencia de ataque comienza con un archivo RAR protegido con contraseña, dentro del cual existe un gotero .NET llamado SPLITDROP, que actúa como conducto para TWINTASK, un módulo de trabajo, y TWINTALK, un orquestador C2.

TWINTASK, por su parte, es una DLL maliciosa («libvlc.dll») que el binario legítimo «vlc.exe» descarga para sondear periódicamente un archivo («C:\ProgramData\PolGuid\in.txt») cada 15 segundos en busca de nuevos comandos y ejecutarlos usando PowerShell. Esto también incluye comandos para establecer persistencia en el host mediante cambios en el Registro de Windows. La salida del script y los errores se capturan en un archivo de texto separado («C:\ProgramData\PolGuid\out.txt»).

TWINTASK, en el primer inicio, está diseñado para ejecutar otro binario legítimo presente en el archivo extraído («WingetUI.exe»), lo que provoca que descargue la DLL TWINTALK («hostfxr.dll»). Su objetivo principal es comunicarse con el servidor C2 para obtener nuevos comandos, coordinar tareas con TWINTASK y filtrar los resultados al servidor. Admite la capacidad de escribir el cuerpo del comando desde la respuesta C2 a «in.txt», así como descargar y cargar archivos.

«El orquestador C2 trabaja en paralelo con el módulo de trabajo descrito anteriormente para implementar un mecanismo de sondeo basado en archivos utilizado para la ejecución de código», dijo Singh. «Tras la ejecución, TWINTALK ingresa a un bucle de baliza y retrasa la ejecución en un intervalo aleatorio antes de sondear el servidor C2 en busca de nuevos comandos».

La segunda cadena de ataque representa una evolución de la primera, consolidando toda la funcionalidad de TWINTASK y TWINTALK en un único binario denominado GHOSTFORM. Utiliza la ejecución de scripts de PowerShell en memoria para ejecutar comandos recuperados del servidor C2, eliminando así la necesidad de escribir artefactos en el disco.

Ese no es el único factor diferenciador entre las dos cadenas de ataque. Se ha descubierto que algunos archivos binarios de GHOSTFORM incorporan una URL de Google Forms codificada que se inicia automáticamente en el navegador web predeterminado del sistema una vez que el malware comienza a ejecutarse. El formulario presenta contenido escrito en árabe y se hace pasar por una encuesta oficial del Ministerio de Asuntos Exteriores de Irak.

El análisis de Zscaler del código fuente de TWINTALK y GHOSTFORM también descubrió la presencia de valores de marcador de posición, emojis y texto Unicode, lo que sugiere que se pueden haber utilizado herramientas de inteligencia artificial (IA) generativa para ayudar con el desarrollo del malware.

Además, el dominio C2 asociado a TWINTALK, «meetingapp[.]site», se dice que fue utilizado por los actores de Dust Spectre en una campaña de julio de 2025 para albergar una página falsa de invitación a una reunión de Cisco Webex que indica a los usuarios que copien, peguen y ejecuten un script de PowerShell para unirse a la reunión. Las instrucciones reflejan una táctica ampliamente vista en los ataques de ingeniería social estilo ClickFix.

El script de PowerShell, por su parte, crea un directorio en el host e intenta recuperar una carga útil no especificada del mismo dominio y guardarla como un ejecutable dentro del directorio recién creado. También crea una tarea programada para ejecutar el binario malicioso cada dos horas.

Las conexiones de Dust Spectre con Irán se basan en el hecho de que los grupos de hackers iraníes tienen un historial de desarrollo de puertas traseras .NET ligeras y personalizadas para lograr sus objetivos. El uso de infraestructura gubernamental iraquí comprometida se ha observado en campañas pasadas vinculadas a actores de amenazas como OilRig (también conocido como APT34).

«Esta campaña, atribuida con un nivel de confianza medio a alto a Dust Spectre, probablemente se dirigió a funcionarios gubernamentales que utilizaban señuelos convincentes de ingeniería social que se hacían pasar por el Ministerio de Asuntos Exteriores de Irak», dijo Zscaler. «La actividad también refleja tendencias más amplias, incluidas técnicas de estilo ClickFix y el creciente uso de IA generativa para el desarrollo de malware».

Una operación conjunta de aplicación de la ley ha sido desmantelada Base de fugasuno de los foros en línea más grandes del mundo para que los ciberdelincuentes compren y vendan datos robados y herramientas de cibercrimen.

El foro LeakBase, según el Departamento de Justicia de EE. UU. (DoJ), tenía más de 142.000 miembros y más de 215.000 mensajes entre miembros en diciembre de 2025. Aquellos que intentaban acceder al sitio web del foro («base de fugas[.]la«) ahora son recibidos con un cartel de incautación que dice que fue confiscado por la Oficina Federal de Investigaciones (FBI) de Estados Unidos como parte de un esfuerzo internacional de aplicación de la ley.

«Todo el contenido del foro, incluidas las cuentas de los usuarios, publicaciones, detalles de crédito, mensajes privados y registros de IP, se ha protegido y conservado con fines probatorios», se lee en el cartel.

Disponible en inglés y accesible a través de clearnet, LeakBase ofreció bases de datos pirateadasincluidos cientos de millones de credenciales de cuentas e información financiera, como números de tarjetas de crédito y débito, información de ruta y cuenta bancaria, nombres de usuario y contraseñas asociadas, de las que se podría abusar para facilitar la apropiación de cuentas.

Según un informe Publicado por Flare en abril de 2023, LeakBase prohibía explícitamente a los usuarios vender o publicar bases de datos rusas, probablemente en un intento de evitar el escrutinio. El foro ha estado activo desde junio de 2021.

LeakBase es uno de los alias de Chucky, que también se conoce con los apodos Chuckies y Sqlrip en varios foros clandestinos. Por SOCRadarel actor de amenazas tiene un historial de compartir vastas colecciones de bases de datos, que a menudo contienen información confidencial de entidades globales.

Es más, SpyCloud reveló A principios del mes pasado, el foro había estado inactivo durante unos días y Chucky estaba buscando un nuevo proveedor de alojamiento. Algunos de los otros administradores y moderadores conocidos de LeakBase incluyen BloodyMery, OrderCheck y TSR.

Como parte del ejercicio de interrupción denominado Operación Fuga que tuvo lugar los días 3 y 4 de marzo de 2026, las autoridades ejecutaron órdenes de registro, realizaron arrestos y realizaron entrevistas en los EE. UU., Australia, Bélgica, Polonia, Portugal, Rumania, España y el Reino Unido.

En un anuncio coordinado, Europol dicho LeakBase se especializó en la venta de registros de ladrones, que contienen archivos de credenciales recopiladas mediante malware de ladrones de información. La información podría utilizarse como arma para realizar apropiaciones de cuentas, fraudes y otras intrusiones cibernéticas.

La agencia dijo que se llevaron a cabo alrededor de 100 acciones coercitivas en todo el mundo, incluida la adopción de medidas no especificadas contra 37 de los usuarios más activos de las plataformas.

«El FBI, Europol y agencias policiales de todo el mundo ejecutaron un desmantelamiento de LeakBase, una de las plataformas cibercriminales en línea más grandes, confiscando cuentas de usuarios, publicaciones, detalles de crédito, mensajes privados y registros de IP con fines probatorios». dicho Brett Leatherman, subdirector de la División Cibernética del FBI.

magnate 2FAuno de los destacados kits de herramientas de phishing como servicio (PhaaS) que permitía a los ciberdelincuentes realizar ataques de recolección de credenciales de adversario en el medio (AitM) a escala, fue desmantelado por una coalición de agencias de aplicación de la ley y empresas de seguridad.

El kit de phishing basado en suscripcióncual surgió por primera vez en agosto de 2023fue descrita por Europol como una de las operaciones de phishing más grandes del mundo. El kit estaba disponible por un precio inicial de 120 dólares por 10 días o 350 dólares por acceso a un panel de administración basado en web durante un mes.

El panel sirve como centro para configurar, rastrear y perfeccionar campañas. Cuenta con plantillas prediseñadas, archivos adjuntos para formatos de señuelos comunes, configuración de dominio y alojamiento, lógica de redireccionamiento y seguimiento de víctimas. Los operadores también pueden configurar cómo se entrega el contenido malicioso a través de archivos adjuntos, así como controlar los intentos de inicio de sesión válidos e inválidos.

La información capturada, como credenciales, códigos de autenticación multifactor (MFA) y cookies de sesión, se puede descargar directamente dentro del panel o reenviar a Telegram para un monitoreo casi en tiempo real.

«Permitió a miles de ciberdelincuentes acceder de forma encubierta al correo electrónico y a cuentas de servicios basados ​​en la nube», Europol dicho. «A escala, la plataforma generó decenas de millones de correos electrónicos de phishing cada mes y facilitó el acceso no autorizado a casi 100.000 organizaciones en todo el mundo, incluidas escuelas, hospitales e instituciones públicas».

Como parte del esfuerzo coordinado, se eliminaron 330 dominios que formaban la columna vertebral del servicio criminal, incluidas páginas de phishing y paneles de control.

Al caracterizar a Tycoon 2FA como «peligroso», Intel 471 dicho el kit estaba vinculado a más de 64.000 incidentes de phishing y decenas de miles de dominios, generando decenas de millones de correos electrónicos de phishing cada mes. Según Microsoft, que rastrea a los operadores del servicio bajo el nombre Storm-1747, Tycoon 2FA se convirtió en la plataforma más prolífica observada por la compañía en 2025, bloqueando más de 13 millones de correos electrónicos maliciosos vinculados al servicio de crimeware.

Cronología de la evolución de Tycoon 2FA (Fuente: Point Wild)

Datos de Proofpoint muestra que Tycoon 2FA representó el mayor volumen de amenazas de phishing AiTM. La empresa de seguridad del correo electrónico dijo que observó más de tres millones de mensajes asociados con el kit de phishing sólo en febrero de 2026. Trend Micro, que fue uno de los socios del sector privado en la operación, notó que la plataforma PhaaS tenía aproximadamente 2.000 usuarios.

Las campañas que aprovechan Tycoon 2FA se han dirigido indiscriminadamente a casi todos los sectores, incluidos la educación, la atención médica, las finanzas, las organizaciones sin fines de lucro y el gobierno. Los correos electrónicos de phishing enviados desde el kit llegaron a más de 500.000 organizaciones cada mes en todo el mundo.

«La plataforma de Tycoon 2FA permitió a los actores de amenazas hacerse pasar por marcas confiables imitando páginas de inicio de sesión para servicios como Microsoft 365, OneDrive, Outlook, SharePoint y Gmail», Microsoft dicho.

«También permitió a los actores de amenazas que usaban su servicio establecer persistencia y acceder a información confidencial incluso después de restablecer las contraseñas, a menos que las sesiones activas y los tokens fueran revocados explícitamente. Esto funcionó interceptando las cookies de sesión generadas durante el proceso de autenticación, capturando simultáneamente las credenciales del usuario. Los códigos MFA se transmitieron posteriormente a través de los servidores proxy de Tycoon 2FA al servicio de autenticación».

El kit también empleó técnicas como monitoreo de pulsaciones de teclas, detección anti-bot, toma de huellas digitales del navegador, ofuscación de código pesado, CAPTCHA autohospedados, JavaScript personalizado y páginas señuelo dinámicas para eludir los esfuerzos de detección. Otro aspecto clave es el uso de una combinación más amplia de dominios de nivel superior (TLD) y nombres de dominio completos (FQDN) de corta duración para alojar la infraestructura de phishing en Cloudflare.

Los FQDN a menudo solo duran entre 24 y 72 horas, y su rápida rotación es un esfuerzo deliberado para complicar la detección e impedir la creación de listas de bloqueo confiables. Microsoft también atribuyó el éxito de Tycoon 2FA a imitar fielmente los procesos de autenticación legítimos para interceptar sigilosamente las credenciales de usuario y los tokens de sesión.

Para empeorar las cosas, los clientes de Tycoon 2FA aprovecharon una técnica llamada ATO Jumping, mediante la cual se utiliza una cuenta de correo electrónico comprometida para distribuir las URL de Tycoon 2FA e intentar realizar más actividades de apropiación de cuentas. «El uso de esta técnica permite que los correos electrónicos parezcan provenir auténticamente del contacto de confianza de la víctima, lo que aumenta la probabilidad de un compromiso exitoso», señaló Proofpoint.

Kits de phishing como Tycoon están diseñados para ser flexibles, de modo que sean accesibles para actores con menos conocimientos técnicos y, al mismo tiempo, ofrezcan capacidades avanzadas para operadores más experimentados.

«En 2025, el 99% de las organizaciones experimentaron intentos de apropiación de cuentas y el 67% experimentó una apropiación de cuentas exitosa», dijo Selena Larson, investigadora de amenazas del personal de Proofpoint, en un comunicado compartido con The Hacker News. «De estas, el 59% de las cuentas tomadas tenían habilitado MFA. Si bien no todos estos ataques estaban relacionados con Tycoon MFA, esto muestra el impacto del phishing AiTM en las empresas».

«Estos ciberataques que permiten la apropiación total de cuentas pueden provocar impactos desastrosos, incluido el ransomware o la pérdida de datos confidenciales. A medida que los actores de amenazas continúan priorizando la identidad, obtener acceso a cuentas de correo electrónico empresariales suele ser el primer paso en una cadena de ataques que puede tener consecuencias destructivas».

Tycoon 2FA, un importante kit y plataforma de phishing que permitió a ciberdelincuentes poco capacitados eludir la autenticación multifactor y realizar ataques de adversario en el medio a gran escala, fue desmantelado el miércoles por una coalición global de empresas de seguridad y organismos encargados de hacer cumplir la ley.

Microsoft, que lideró el esfuerzo junto con Europol y autoridades de seis países y 11 empresas u organizaciones de seguridad, dijo que confiscó 330 dominios que impulsaban la infraestructura central de Tycoon 2FA, incluidos paneles de control y páginas de inicio de sesión fraudulentas.

La plataforma, que surgió en agosto de 2023, fue responsable de decenas de millones de mensajes de phishing que llegó a más de 500.000 organizaciones en todo el mundo cada mes, según Microsoft Threat Intelligence. Miles de ciberdelincuentes utilizaron Tycoon 2FA para acceder al correo electrónico y a los servicios en línea, incluidos Microsoft 365, Outlook, SharePoint, OneDrive y los servicios de Google.

«A mediados de 2025, Tycoon 2FA representó aproximadamente el 62% de todos los intentos de phishing que Microsoft bloqueó, incluidos más de 30 millones de correos electrónicos en un solo mes. Eso colocó a Tycoon 2FA entre las operaciones de phishing más grandes del mundo», dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft, en un publicación de blog sobre el derribo.

“A pesar de las amplias defensas, el servicio está vinculado a unas 96.000 víctimas de phishing distintas en todo el mundo desde 2023, incluidos más de 55.000 clientes de Microsoft”, añadió Masada.

El kit de phishing, que fue desarrollado y publicitado por un grupo al que Microsoft rastrea como Storm-1747, se vendió a ciberdelincuentes en Telegram y Signal por 350 dólares al mes. La plataforma proporcionó componentes centrales para el phishing en un único panel que permitió a los ciberdelincuentes configurar, rastrear y perfeccionar sus campañas.

La plataforma también proporcionó a los ciberdelincuentes plantillas prediseñadas, archivos adjuntos para señuelos de phishing comunes, configuración de dominio y alojamiento y lógica de redireccionamiento, dijo Microsoft. El volumen mensual de mensajes de phishing atribuidos a Tycoon 2FA alcanzó un máximo de más de 30 millones de mensajes en noviembre de 2025.

Las organizaciones de educación y atención médica fueron las más afectadas por los ataques de phishing habilitados por Tycoon 2FA. Más de 100 miembros de Salud-ISAC, co-demandante en el caso judicial presentadas en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York, fueron suplantadas con éxito, dijo Masada.

Dos hospitales, seis escuelas y tres universidades de Nueva York enfrentaron intentos o compromisos exitosos a través de Tycoon 2FA, lo que resultó en incidentes que interrumpieron las operaciones, desviaron recursos y retrasaron la atención de los pacientes, añadió.

Microsoft y Health-ISAC presentaron una denuncia civil contra el presunto creador Saad Fridi y cuatro asociados anónimos, exigiendo una orden judicial de 10 millones de dólares por desarrollar, ejecutar y vender Tycoon 2FA. La orden judicial permitió a Microsoft desmantelar y tomar posesión de la infraestructura técnica de Tycoon 2FA.

Autoridades de Letonia, Lituania, Portugal, Polonia, España y el Reino Unido ayudaron en la operación junto con Cloudflare, Coinbase, Crowell & Moring, eSentire, Intel 471, Proofpoint, Resecurity, Shadowserver, SpyCloud y Trend Micro.

Selena Larson, investigadora de amenazas del personal de Proofpoint que proporcionó un declaración formal en apoyo de la orden judicialdijo que Tycoon 2FA fue responsable del mayor volumen de ataques de phishing de adversario en el medio observados por Proofpoint.

«Tycoon fue la mayor amenaza de phishing de MFA en nuestros datos y anticipamos ver una disminución significativa después de esta operación», dijo a CyberScoop.

«Muchos clientes encontrarán que su herramienta de piratería ya no funciona, e incluso si Tycoon 2FA es capaz de crear nuevos dominios e infraestructura, la marca se verá significativamente perjudicada, y los clientes comprarán un kit de phishing menos eficaz o potencialmente repensarán sus elecciones de vida y saldrán del juego», añadió Larson.

Las capacidades robustas y fáciles de usar de Tycoon 2FA contribuyeron a su popularidad, dijeron los investigadores. El código base de la plataforma se actualizaba periódicamente y los operadores generaban un gran volumen de subdominios durante breves períodos antes de abandonarlos y pasar a nuevos dominios.

Los investigadores dijeron que la rápida rotación y los cambios a infraestructura temporal complicaron los esfuerzos para detectar y bloquear nuevas campañas.

La eliminación de Tycoon 2FA se produce tras una reciente ola de medidas enérgicas contra los delitos cibernéticos, incluidas acciones contra Racoon0365 y la operación de robo de información Lumma Stealer, que infectó alrededor de 10 millones de sistemas.

¿Puede sobrevivir el anonimato en Internet en la era de la IA generativa?

Un reciente estudiar de ETH Zurich examinó cómo los modelos de lenguaje grandes pueden combinar información de Internet para identificar al ser humano detrás de las cuentas de varias plataformas en línea.

En el estudio, los agentes de LLM recibieron biografías anónimas basadas en perfiles reales de usuarios en HackerNews y Reddit, y se les pidió que buscaran en Internet más detalles en un esfuerzo por identificar a los usuarios. Si bien los resultados variaron, las herramientas pudieron reemplazar “en minutos lo que un investigador humano dedicado podría tardar horas”. Para un conjunto de datos de perfiles proporcionado por la empresa de inteligencia artificial Anthropic, que también participó en el estudio, el LLM pudo volver a identificar correctamente a 9 de los 125 candidatos, a menudo simplemente dándole un resumen del perfil y pidiendo que identificara al usuario.

Los modelos ajustados identificaron a más personas conectando la información existente a perfiles de redes sociales como LinkedIn.

«Demostramos que los LLM cambian fundamentalmente el panorama, permitiendo ataques de anonimización totalmente automatizados que operan en texto no estructurado a escala», concluye el estudio.

Daniel Paleka, estudiante de doctorado y uno de los varios autores del estudio, dijo a CyberScoop que los hallazgos indican que las herramientas de inteligencia artificial han facilitado sustancialmente la identificación de personas pseudoanónimas en línea.

«Si su seguridad operativa requiere que nadie pase horas o días investigando quién es usted, este modelo de seguridad ya no funciona», afirmó.

Una advertencia importante: las personas identificadas en el estudio no eran personas con un alto nivel de privacidad que buscaban limitar la difusión de su información personal en Internet. Por razones éticas, los investigadores no probaron sus métodos en carteles reales, anónimos o pseudoanónimos.

Ya se han utilizado herramientas de inteligencia artificial para desenmascarar a personas en línea. El mes pasado, Grok de xAI reveló el nombre legal y la dirección de una actriz de cine para adultos, a pesar de que la persona ha utilizado un nombre artístico desde 2012. La intérprete, dirigiéndose a grok directamente en X, dijo que su nombre legal solo se hizo público después de que la herramienta de IA la había «doxxed», y que desde entonces su información privada había «sido proliferada en todo Internet por otros raspadores de IA».

Si bien los analistas de inteligencia y aplicación de la ley han combinado durante mucho tiempo Internet y otros datos de código abierto para identificar a los usuarios, los LLM pueden hacerlo mucho más rápido y a un costo mucho menor. Las investigaciones que normalmente requerirían la contratación de un investigador privado o un bufete de abogados ahora se pueden realizar por una fracción del costo.

Por ejemplo, Paleka dijo que algunas tareas fundamentales, como rastrear la huella en línea de una persona para identificar cualquier signo de nacionalidad, ubicación o lugar de empleo, ahora pueden ser realizadas por LLM en “cinco segundos” y por unos centavos en costos de inferencia.

En un momento, Paleka dijo «Estoy muy preocupado» y describió las capacidades de desanonimización de los LLM como una «invasión de la privacidad a gran escala».

“En general, no creo que la IA deba limitar a sus usuarios… este es uno de esos casos en los que tu libertad termina cuando la libertad de la otra persona [begins]”, dijo.

El estudio indica que las herramientas de inteligencia artificial podrían remodelar la privacidad en línea, y que los gobiernos, las fuerzas del orden, la industria legal, los anunciantes, los estafadores y los ciberdelincuentes utilizan herramientas similares. En países represivos, podría presentar mayores desafíos a los disidentes, activistas de derechos humanos, periodistas y otras personas que dependen del anonimato o pseudoanonimato para operar de manera segura.

Jacob Hoffman-Andrews, tecnólogo senior de la Electronic Frontier Foundation, dijo que el estudio “indica definitivamente hasta qué punto publicar incluso una pequeña cantidad de información de identificación – en contextos donde no imaginas que alguien esté tratando de desenmascararte – podría resultar en que alguien vincule esa identidad de alguna manera” a través de LLM.

Publicar incluso detalles personales inofensivos, o en la misma cuenta durante un largo período de tiempo, puede facilitar que una herramienta de inteligencia artificial correlacione una cuenta con otras y, eventualmente, con su identidad real. Los modelos de lenguaje grandes destacan por resumir documentos e información. También «trabajan rápido y no se aburren», dijo Hoffman-Andrews, lo que los hace ideales para la investigación en Internet.

Paleka dijo que las empresas que brindan servicios de seguros o verificación de antecedentes probablemente tendrían un gran interés en la tecnología de anonimización, y Hoffman-Andrews dijo que era fácil imaginar que las empresas de inteligencia artificial intentaran convertir las capacidades en un producto independiente en algún momento.

Es probable que el impacto a largo plazo sea una Internet en la que permanecer en el anonimato sea, para bien o para mal, mucho más difícil.

«Creo que tiene mucho valor ser pseudoanónimo en Internet, y hay muchas personas que quieren mantener [that] por una amplia variedad de razones y no todos deberían necesitar ser expertos en cómo evitar un adversario realmente dedicado, como efectivamente lo es un LLM”, dijo Hoffman-Andrews.

Los investigadores de ciberseguridad han advertido sobre un aumento en la actividad hacktivista de represalia luego de la operación coordinada entre Estados Unidos e Israel. Campaña militar contra Irán.con nombre en código Epic Fury y Roaring Lion.

«La amenaza hacktivista en Medio Oriente está muy desequilibrada, con dos grupos, Keymous+ y DieNet, impulsando casi el 70% de toda la actividad de ataque entre el 28 de febrero y el 2 de marzo», Radware dicho en un informe del martes. El primer ataque distribuido de denegación de servicio (DDoS) fue lanzado por Hider Nex (también conocido como Túnezn Maskers Cyber ​​Force) el 28 de febrero de 2026.

De acuerdo a detalles compartido por Orange Cyberdefense, Hider Nex es un oscuro grupo hacktivista tunecino que apoya causas pro palestinas. Aprovecha una estrategia de pirateo y filtración que combina ataques DDoS con violaciones de datos para filtrar datos confidenciales y avanzar en su agenda geopolítica. El grupo surgió a mediados de 2025.

En total, se registraron un total de 149 reclamaciones de hacktivistas DDoS dirigidas a 110 organizaciones distintas en 16 países. Los ataques fueron llevados a cabo por 12 grupos diferentes, entre ellos Keymus+, DieNety NoName057(16), que representó el 74,6% de toda la actividad.

De estos ataques, la gran mayoría, 107, se concentraron en Medio Oriente y apuntaron desproporcionadamente a infraestructuras públicas y objetivos a nivel estatal. Europa fue el objetivo del 22,8% de la actividad global total durante el período. Casi el 47,8% de todas las organizaciones objetivo a nivel mundial pertenecían al sector gubernamental, seguido por los sectores de finanzas (11,9%) y telecomunicaciones (6,7%).

«El frente digital se está expandiendo junto con el físico en la región, con grupos hacktivistas atacando simultáneamente a más naciones en el Medio Oriente que nunca», dijo Radware. «La distribución de los ataques dentro de la región se concentró en gran medida en tres naciones específicas: Kuwait, Israel y Jordania, donde Kuwait representó el 28%, Israel el 27,1% y Jordania el 21,5% del total de ataques reclamados».

Además de Keymous+, DieNet y NoName057(16), algunos de los otros grupos que han participado en operaciones disruptivas incluyen Nation of Saviors (NOS), Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, Cyber ​​Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors y PalachPro, según datos de Flashpoint, Palo Alto Networks Unit 42 y Radware.

El alcance actual de los ciberataques se enumera a continuación:

• Grupos hacktivistas prorrusos como Cardinal y Russian Legion reclamado haber violado las redes militares israelíes, incluido su sistema de defensa antimisiles Cúpula de Hierro.
• Se ha observado una campaña activa de phishing por SMS utilizando una réplica fraudulenta de la aplicación RedAlert del Home Front Command israelí para ofrecer vigilancia móvil y malware de filtración de datos. «Al manipular a las víctimas para que descarguen este APK malicioso bajo la apariencia de una actualización urgente en tiempos de guerra, los adversarios implementan con éxito una interfaz de alerta completamente funcional que enmascara un motor de vigilancia invasivo diseñado para aprovecharse de una población hipervigilante», CloudSEK dicho.
• El Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI) apuntó a los sectores de energía e infraestructura digital en Medio Oriente, atacando a Saudi Aramco y un centro de datos de Amazon Web Services en los Emiratos Árabes Unidos con la intención de «infligir el máximo dolor económico global como contrapresión a las pérdidas militares», dijo Flashpoint.
• Tormenta de arena de algodón (también conocido como Haywire Kitten) revivido su antiguo personaje cibernético, Equipo Altoufanafirmando haber pirateado sitios web en Bahréin. «Esto refleja la naturaleza reactiva de las campañas del actor y una alta probabilidad de su mayor participación en intrusiones en todo el Medio Oriente en medio del conflicto», dijo Check Point.
• Datos recopilados por Nozomi Networks muestra que el grupo de hackers patrocinado por el estado iraní conocido como UNC1549 (también conocido como GalaxyGato, Nimbus Manticore o Subtle Snail) fue el cuarto actor más activo en la segunda mitad de 2025, centrando sus ataques en entidades de defensa, aeroespaciales, de telecomunicaciones y de gobiernos regionales para promover las prioridades geopolíticas de la nación.
• Los principales intercambios de criptomonedas iraníes tienen permaneció operativo pero ajustes operativos anunciadosya sea suspendiendo o agrupando retiros, y emitiendo una guía de riesgo que insta a los usuarios a prepararse para una posible interrupción de la conectividad.
• «Lo que estamos viendo en Irán no es una evidencia clara de una fuga masiva de capitales, sino más bien un mercado que gestiona la volatilidad en condiciones conectividad restringida e intervención regulatoria», dijo Ari Redbord, Jefe Global de Políticas de TRM Labs. «Durante años, Irán ha operado una economía sumergida que, en parte, ha utilizado criptomonedas para evadir sanciones, incluso a través de sofisticadas infraestructuras extraterritoriales. Lo que estamos viendo ahora –bajo la presión de la guerra, los cortes de conectividad y los mercados volátiles– es una prueba de estrés en tiempo real de esa infraestructura y la capacidad del régimen para aprovecharla».
• sofos dicho «observó un aumento en la actividad hacktivista, pero no una escalada en el riesgo», principalmente de personas pro-Irán, incluido el equipo Handala Hack y APT Irán en forma de ataques DDoS, desfiguraciones de sitios web y afirmaciones no verificadas de compromisos que involucran infraestructura israelí.
• El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) alertado organizaciones a un mayor riesgo de ataques cibernéticos iraníes, instándolas a fortalecer su postura de ciberseguridad para responder mejor a ataques DDoS, actividad de phishingy Orientación ICS.

En una publicación compartida en LinkedIn, Cynthia Kaiser, vicepresidenta senior del centro de investigación de ransomware en Halcyon y ex subdirectora adjunta de la División Cibernética de la Oficina Federal de Investigaciones, dijo que Irán tiene un historial de uso de operaciones cibernéticas para tomar represalias contra «desaires políticos percibidos», y agregó que estas actividades han incorporado cada vez más ransomware.

«Teherán ha preferido durante mucho tiempo hacer la vista gorda, o al menos indiferente, a las operaciones cibernéticas privadas contra objetivos en EE.UU., Israel y otros países aliados», afirmó Kaiser. agregado. «Eso se debe a que tener acceso a ciberdelincuentes le da opciones al gobierno. Mientras Irán considera su respuesta a las acciones militares de Estados Unidos e Israel, es probable que active a cualquiera de estos ciberactores si cree que sus operaciones pueden generar un impacto de represalia significativo».

La empresa de ciberseguridad SentinelOne también ha juzgado con un alto nivel de confianza en que las organizaciones en Israel, los EE. UU. y las naciones aliadas probablemente enfrenten ataques directos o indirectos, particularmente dentro de los sectores gubernamental, de infraestructura crítica, de defensa, de servicios financieros, académicos y de medios.

«Los actores de amenazas iraníes han demostrado históricamente una voluntad de combinar operaciones de espionaje, perturbación e impacto psicológico para avanzar en objetivos estratégicos», Nozomi Networks dicho. «En períodos de inestabilidad, estas operaciones a menudo se intensifican, apuntando a infraestructuras críticas, redes de energía, entidades gubernamentales y la industria privada mucho más allá de la zona inmediata del conflicto».

Para contrarrestar el riesgo que plantea el conflicto cinético, se recomienda a las organizaciones activar el monitoreo continuo para reflejar la actividad de amenazas intensificada, actualizar las firmas de inteligencia de amenazas, reducir la superficie de ataque externo, realizar revisiones exhaustivas de la exposición de los activos conectados, validar la segmentación adecuada entre las redes de tecnología de la información y de tecnología operativa, y garantizar el aislamiento adecuado de los dispositivos de IoT.

«En conflictos pasados, los actores cibernéticos de Teherán han alineado su actividad con objetivos estratégicos más amplios que aumentan la presión y la visibilidad de los objetivos, incluida la energía, la infraestructura crítica, las finanzas, las telecomunicaciones y la atención médica», dijo Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike, en un comunicado compartido con The Hacker News.

«Los adversarios iraníes han seguido evolucionando su oficio, expandiéndose más allá de las intrusiones tradicionales hacia la nube y las operaciones centradas en la identidad, lo que los posiciona para actuar rápidamente en entornos empresariales híbridos con mayor escala e impacto».

Autoridades de 14 países cerrar LeakBaseconfiscó sus dominios y arrestó a varias personas presuntamente involucradas en el mercado del delito cibernético por datos robados y herramientas de piratería, dijo el miércoles el Departamento de Justicia.

LeakBase tenía más de 142.000 miembros, lo que lo sitúa entre los foros para ciberdelincuentes más grandes del mundo. El sitio, que estaba disponible en la web abierta, contenía un archivo masivo de bases de datos pirateadas que incluía cientos de millones de credenciales de cuentas, dijeron los funcionarios.

Según los funcionarios, las bases de datos robadas, que incluían datos de corporaciones e individuos estadounidenses, estaban vinculadas a muchos ataques de alto perfil. Los datos incautados por las autoridades revelaron un tesoro de números de tarjetas de crédito y débito, información de rutas y cuentas bancarias, credenciales para apropiaciones de cuentas, registros comerciales confidenciales e información de identificación personal.

«El FBI, Europol y agencias de aplicación de la ley de todo el mundo ejecutaron un desmantelamiento de LeakBase, una de las plataformas cibercriminales en línea más grandes, confiscando cuentas de usuarios, publicaciones, detalles de crédito, mensajes privados y registros de IP con fines probatorios», dijo Brett Leatherman, subdirector de la división cibernética del FBI, en un comunicado.

Las agencias policiales involucradas en la operación de derribo coordinada globalmente, que comenzó el martes, ejecutaron órdenes de registro, realizaron arrestos y entrevistaron a personas en Estados Unidos, Australia, Bélgica, Polonia, Portugal, Rumania, España y el Reino Unido.

Las autoridades no nombraron de inmediato a ningún sospechoso, pero parte de la actividad ocurrió en San Diego y Provo, Utah. Los funcionarios dijeron que las oficinas de campo del FBI en San Diego y Salt Lake City, que está investigando el caso, participaron en la operación a nivel nacional. El Departamento de Policía de Provo también estuvo involucrado.

“Ocultarse detrás de una pantalla no protege a los ciberdelincuentes de la responsabilidad”, afirmó en un comunicado Robert Bohls, agente especial a cargo de la oficina de campo del FBI en Salt Lake City.

Las autoridades identificaron a varios usuarios que creían que estaban operando de forma anónima al apoderarse de la base de datos del foro.

«Esta operación internacional demuestra la fuerza de nuestras alianzas globales y nuestro compromiso compartido para alterar las plataformas que facilitan el robo de datos y la victimización de personas y organizaciones inocentes en todo el mundo», añadió Bohls. «Juntos, continuaremos identificando, desmantelando y responsabilizando a quienes buscan sacar provecho del cibercrimen, sin importar dónde operen».

Europol, que organizó la operación coordinada en La Haya, describió a LeakBase como “uneje central en el ecosistema del cibercrimen» que se especializaba en bases de datos filtradas y registros de ladrones. El sitio en inglés, que ha estado activo desde 2021, contenía más de 32.000 publicaciones y más de 215.000 mensajes privados.

Las autoridades participaron colectivamente en alrededor de 100 acciones de cumplimiento a nivel mundial y tomaron medidas contra 37 de los usuarios más activos de la plataforma el martes, según Europol.

La fase de interrupción técnica comenzó el miércoles y el El sitio ahora muestra una página de incautación.. Funcionarios de Canadá, Alemania, Grecia, Kosovo, Malasia y Países Bajos también apoyan la investigación.

«Junto con nuestros socios, estamos enviando el mensaje de que ningún delincuente es verdaderamente anónimo en línea y eliminando un punto fácil de acceso a información robada sobre empresas e individuos estadounidenses», dijo Leatherman. «El FBI seguirá defendiendo la patria desmantelando los servicios clave que utilizan los ciberdelincuentes para facilitar sus ataques».

de nubeflare informe inaugural de inteligencia sobre amenazas identifica una serie de debilidades en la tecnología de la que los atacantes han abusado e industrializado en «fábricas de ataques» profesionales, dejando a la mayoría de las organizaciones sin preparación para responder.

Los atacantes están convirtiendo los mismos servicios que las víctimas implementan y pagan en herramientas para lanzar ataques a gran escala. Los investigadores dicen que la barrera de entrada ha desaparecido, ya que las identidades y los tokens permiten a los atacantes convertir en armas las brechas en los sistemas basados ​​en la nube.

Los entornos de las organizaciones están plagados de posibles puntos de entrada. A medida que se difunde el modelo de todo como servicio, los sistemas se vuelven más interconectados y dependientes unos de otros, y muchos componentes de software son accesibles de maneras que los hacen casi tan accesibles para los atacantes como para los usuarios legítimos.

«Cuando una de esas interconexiones falla, de repente todo sale mal», dijo a CyberScoop Blake Darché, jefe de la unidad de inteligencia de amenazas de Cloudflare, Cloudforce One.

«Los datos son más accesibles que nunca, lo cual es bueno en muchos casos, pero los actores de amenazas están utilizando ese fácil acceso a esos datos como una forma de explotar a las personas, los sistemas y las organizaciones», añadió. «Será cada vez más difícil. Creo que algunas de las herramientas de inteligencia artificial lo empeorarán aún más».

Los atacantes han convertido «el tejido conectivo de la empresa moderna en su principal vulnerabilidad», escribieron los investigadores en el informe.

Cloudflare espera que los atacantes exploten las plataformas de forma rutinaria como táctica estándar este año. Los ciberdelincuentes, los estados-nación y otros utilizan habitualmente recursos de la nube pública para mezclarse con el tráfico legítimo, proporcionar infraestructura para las operaciones y lanzar señuelos de phishing basados ​​en enlaces en correos electrónicos que eluden o eluden protecciones ineficaces, escribieron los investigadores en el informe.

Las debilidades en las fisuras de los entornos de nube complejos son abundantes y trascendentes, lo que permite que los ataques basados ​​en identidad logren el mismo resultado que el malware complejo o los exploits de día cero.

Estos puntos ciegos hacen que los barómetros tradicionales de peligro (la sofisticación demostrada de los atacantes a través de un código elegante o novedosos días cero) sean efectivamente triviales, escribieron los investigadores en el informe.

«Si usted es una empresa que acaba de perder un millón de registros, no importa si el autor de la amenaza era sofisticado, poco sofisticado o un niño», dijo Darché.

Cloudflare sostiene que la industria debería replantear la forma en que categoriza el riesgo y adoptar un enfoque más pragmático: centrarse en la “eficacia”, medida por la relación entre el esfuerzo de un atacante y el resultado operativo que logra.

«Resulta que no es necesario ser sofisticado para tener éxito», dijo Darché. «En la industria, estamos demasiado centrados en la sofisticación de las amenazas y probablemente ya no se trate de eso, y con el tiempo se volverá menos el nivel de sofisticación».

La ola de ataques de gran alcance que se originó en Salesloft Drift el verano pasado, que afectó a Cloudflare y a más de 700 empresas adicionales a través de la conexión del agente de IA externo con Salesforce, ejemplificó los riesgos que acechan en lugares inesperados de la cadena de suministro.

Las relaciones de confianza de las que dependen estos servicios interconectados deben examinarse más a fondo, afirmó Darché. «Usted, como propietario de los datos, ni siquiera sabe adónde van a parar sus datos y su exposición es casi infinita».