La Comisión Federal de Comunicaciones aprobó el jueves nuevas reglas que impulsan las regulaciones de ciberseguridad para los sistemas de alerta de emergencia del país y actualizan las reglas de seguridad para los cables submarinos del país.

La nueva regla revisaría dos sistemas de emergencia nacionales, el Sistema de Alerta de Emergencia y las Alertas de Emergencia Inalámbricas, para proteger mejor contra ataques de secuestro de actores maliciosos.

El EAS es un sistema nacional de alerta pública que las autoridades estatales y locales utilizan para difundir información relacionada con eventos climáticos, alertas AMBER y otras emergencias a través de estaciones de radio y televisión. El WEA maneja gran parte de los mismos mensajes a través de texto.

Un compromiso de cualquiera de los sistemas por parte de un gobierno extranjero, un grupo cibercriminal u otro actor deshonesto podría usarse para sembrar caos y desinformación en tiempos más tranquilos, o impedir los esfuerzos de coordinación ante una emergencia genuina. Cualquier vulnerabilidad en sistemas como el Sistema de Alerta de Emergencia «puede tener graves consecuencias», dijo la comisionada de la FCC, Olivia Trusty, en un comunicado después de la votación.

«Por eso ha sido apropiado que la Comisión lleve a cabo una revisión exhaustiva del marco EAS centrándose en la seguridad del sistema en sí», continuó Trusty. «A medida que las amenazas a la ciberseguridad continúan evolucionando, los participantes de EAS deben tomar las medidas adecuadas para salvaguardar la infraestructura que respalda la entrega de alertas que salvan vidas».

Las nuevas reglas equivalen a prácticas de ciberhigiene básicas, pero aún críticas, para los usuarios que acceden y actualizan los sistemas EAS y WEA. Deben utilizar contraseñas seguras, instalar rápidamente parches de seguridad de los proveedores y utilizar cortafuegos para limitar el acceso a sus equipos.

La regla también crea un nuevo sistema de identificación de autenticación para verificar las alertas antes de enviarlas y evitar que se propaguen alertas duplicadas o no autorizadas.

Otra regla aprobada por la Comisión el jueves proporcionó la primera actualización integral de las regulaciones de cables submarinos de la FCC en décadas, y actúa para endurecer los requisitos de ciberseguridad en algunas áreas y flexibilizarlos en otras.

Exime a algunos proveedores de cables submarinos de someterse a estrictas revisiones de licencias de seguridad nacional necesarias para aterrizar y operar cables que tocan territorio estadounidense.

La revisión, llamado «Equipo Telecom», es un organismo interinstitucional dirigido por la Sección de Revisión de Inversiones Extranjeras del Departamento de Justicia y otras agencias federales que asesoran a la FCC sobre las implicaciones de sus políticas de telecomunicaciones para la seguridad nacional.

Las nuevas reglas presuntamente eximirían las solicitudes para los titulares de licencias de cables submarinos cuando el proveedor pueda autocertificarse con «altos estándares de seguridad» que estén «estructurados para aumentar la certeza, la previsibilidad y los plazos más rápidos para el proceso de concesión de licencias».

«Actualmente, todas las solicitudes de cables submarinos se remiten al Team Telecom… los cambios adoptados eximirían las solicitudes de los solicitantes que hayan operado cables sin incidentes, puedan certificar los más altos estándares de seguridad nacional y acepten una supervisión y monitoreo continuos», dijo la FCC en un comunicado.

Otras partes de la norma otorgan a la FCC una mayor supervisión de las funciones críticas dentro de las operaciones de cables submarinos. Los propietarios y operadores de equipos terminales de líneas submarinas, que conectan cables submarinos a instalaciones terrestres en los EE. UU., estarán sujetos a un nuevo requisito de licencia.

La norma también pretende actualizar las salvaguardias destinadas a abordar las vulnerabilidades relacionadas con los equipos principales, los proveedores de servicios externos y otras áreas de preocupación en la cadena de suministro de cables submarinos.

Un juez federal de Massachusetts anuló secciones importantes de una orden ejecutiva de la administración Trump que habría restringido las boletas por correo a través del Servicio Postal de EE. UU. y habría requerido que los estados adoptaran listas de votantes aprobadas a nivel federal.

El decisión El jueves, la jueza Indira Talwani del Tribunal de Distrito de Massachusetts determinó que esas partes de la orden eran inconstitucionales, al tiempo que declaró legalmente no vinculante otra sección que ordena a las agencias federales de aplicación de la ley investigar y procesar a los funcionarios estatales y locales que incumplan.

Talwani escribió que la Constitución de Estados Unidos otorga poderes a los estados y al Congreso en diferentes roles pero “no otorga al presidente ningún poder específico sobre las elecciones”.

Si bien la Casa Blanca ha citado como justificación la Ley Help America Vote (HAVA) de 2002 y las leyes electorales de la era de los derechos civiles, Talwani encontró que esas leyes no autorizan al gobierno a regular las prácticas estatales de registro de votantes.

“En particular, en ninguna parte de HAVA el Congreso prescribe quién debe ser incluido en las listas de votantes estatales”, escribió Talwani. «Además, ni en HAVA ni en ningún otro estatuto federal el Congreso autoriza al gobierno federal a crear su propia base de datos de votación. En cambio, el Congreso, de conformidad con la Constitución, ha dejado esa autoridad solo a los estados».

Talwani también se negó a destituir al presidente Trump y al secretario de Comercio, Howard Lutnick, como acusados ​​nombrados en la demanda, rechazando el argumento de la administración de que el tribunal no podía regular o inmiscuirse en la autoridad constitucional del presidente “en el desempeño de sus deberes oficiales”.

“Contrariamente a lo que afirman los demandados, la acción presidencial no es inherentemente irrevisable”, escribió Talwani.

La orden, emitida en marzo, instruye al secretario de Seguridad Nacional, al director de los Servicios de Inmigración y Ciudadanía de Estados Unidos y al comisionado de la Administración de la Seguridad Social a compilar listas de votantes estadounidenses para cada estado, incluido su supuesto estatus de ciudadanía.

Para elaborar las listas, las agencias se basarían en la controvertida base de datos de Verificación Sistémica de Derechos de Extranjeros (SAVE, por sus siglas en inglés) que el DHS ha estado construyendo durante la administración Trump, así como en los registros federales de ciudadanía y naturalización del Seguro Social y.

Esas listas luego se enviarían a los estados, la mayoría de los cuales ya han rechazado esfuerzos similares de la administración Trump para controlar el registro de votantes. La orden ordena al Departamento de Justicia que investigue y procese a los funcionarios electorales estatales y locales que emitan boletas a votantes no elegibles.

La orden también requiere que las boletas por correo se envíen en sobres especiales con códigos de barras para su seguimiento. Fundamentalmente, exige que los estados proporcionen listas de votantes elegibles para votar por correo y amenaza con negar las papeletas a los estados que se nieguen. También afirma que el fiscal general tiene derecho a retener fondos federales de los estados que no cumplan.

Talwani descubrió que los estados han demostrado que ya cuentan con un riguroso proceso de registro y verificación de votantes para garantizar que los no ciudadanos y otros votantes no elegibles no puedan votar en las elecciones estadounidenses, y cuentan con leyes para investigar y procesar a quienes lo hagan.

Los abogados del poder ejecutivo argumentaron que la orden era simplemente una directiva federal interna que no obstaculiza a las autoridades estatales. Pero Talwani señaló que estados como Connecticut ya estaban retirando personal de actividades críticas, como la traducción de materiales electorales requeridos por la Ley de Derecho al Voto, para desarrollar planes de cumplimiento de la orden.

Casi la mitad de los estados en la demanda ya han comprado boletas por correo para este ciclo electoral que no cumplen con los estándares de diseño y sobres del Servicio Postal.

A pesar de una serie de pérdidas en los tribunales y el Congreso, la Casa Blanca ha seguido ejerciendo una amplia autoridad sobre la forma en que los estados y localidades administran las elecciones.

El Departamento de Justicia ha demandado a decenas de estados para obligarlos a entregar datos confidenciales de los votantes. En los 10 casos decididos hasta ahora, los estados han ganado todos.

En sus opiniones, los jueces citaron la falta de autoridad inherente del poder ejecutivo para crear listas de votantes estatales. Otros acusaron al Departamento de Justicia de hacer un mal uso de las leyes de la era de los derechos civiles diseñadas para proteger a los votantes negros y minoritarios, creando una base de datos “poco confiable” que privaría de sus derechos a los votantes legítimos.

El fallo de Massachusetts llega a la misma conclusión: Talwani escribe que “está claro que las agencias federales encargadas de compilar las Listas de Ciudadanos Confirmados carecen de la capacidad de crear listas completas y precisas de los ciudadanos estadounidenses que residen en cada estado”.

El miércoles, Trump canceló una ceremonia de firma de un proyecto de ley de vivienda bipartidista en un intento de presionar a los republicanos del Congreso para que aprobaran la Ley SAVE America, que implementaría muchos de los mismos cambios en las elecciones estadounidenses. En una publicación de Truth Social, Trump dijo que consideraba la aprobación del proyecto de ley como una “emergencia nacional”.

Un análisis de una popular extensión de bloqueo de anuncios de Google Chrome para YouTube ha descubierto la capacidad de ejecutar código JavaScript arbitrario.

Según Island, la extensión, denominada Bloqueo de anuncios para YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk), tiene más de 10 millones de instalaciones y lleva una insignia de Destacado en Chrome Web Store.

La descripción de la extensión indica que permite a los usuarios evitar que elementos de la página web, como anuncios, incluidos los anuncios previos al video, se muestren en la plataforma para compartir videos, así como en sitios externos que cargan YouTube. Si bien el complemento ofrece la funcionalidad prometida, también presenta capacidades para ejecutar código JavaScript arbitrario.

«También contiene los ingredientes arquitectónicos para la ejecución arbitraria de JavaScript en cualquier sitio web, activado por un único cambio de configuración del lado del servidor, sin una actualización de la extensión, sin una revisión de la tienda y sin ningún signo visible de que algo haya cambiado», investigadores Oleg Zaytsev y Shachar Gritzman dicho en un informe compartido con The Hacker News.

«En términos prácticos, eso podría significar leer páginas, robar datos y actuar como usuario dentro de cuentas personales, aplicaciones de trabajo, paneles de administración y otras sesiones sensibles del navegador».

Vale la pena enfatizar aquí que no hay evidencia de que se haya distribuido carga útil maliciosa a los usuarios de esta manera, pero la mera presencia de la capacidad, junto con vínculos con otras extensiones de bloqueo de publicidad que desde entonces han sido eliminadas del escaparate de malware, aumenta los riesgos de privacidad y seguridad, agregó Island.

La lista de extensiones relacionadas que se han eliminado se enumera a continuación:

• Adblock para Chrome (ID: onomjaelhagjjojbkcafidnepbfkpnee)
• Adblock para ti (ID: ogcaehilgakehloljjmajoempaflmdci)
• AdBlock Suite (ID: gekoepiplklhniacchbbgbhilidiojmb)

Adblock para YouTube ha estado en Chrome Web Store desde 2014, comenzando como un bloqueador de anuncios básico de YouTube antes de cambiar de propietario cuatro años después. Se descubrió que las primeras versiones de la extensión se entregaban con un kit de desarrollo de software (SDK) de inyección de anuncios llamado Unistream SDK, aunque se eliminó en junio de 2024.

Lo que ha sido constante es la presencia de rutas de inyección de scripts controladas remotamente desde febrero de 2025, lo que abre la puerta a la creación de «autorizaciones» arbitrarias.

«En el momento de nuestro análisis, el elemento de creación confiable no estaba activo en la respuesta del servidor», explicaron los investigadores. «La capacidad está inactiva, no ausente. Activarla requiere un único cambio en el servidor, sin actualización de extensión, ni revisión de la tienda».

Para agravar aún más el riesgo está el hecho de que las extensiones de bloqueadores de anuncios suelen solicitar amplios permisos para inspeccionar solicitudes, alterar páginas, ocultar elementos y ajustar su comportamiento a medida que evolucionan los sistemas publicitarios.

Específicamente, se ha descubierto que, contrariamente a su nombre, la extensión se ejecuta en cada sitio web que un usuario visita en el navegador, al tiempo que agrega una verificación que se activa solo cuando la URL actual contiene «youtube.com». Sin embargo, en realidad, la verificación solo verifica si la cadena correspondiente a «youtube.com» aparece en cualquier lugar de la URL y no valida el nombre de host, el origen del marco o el contexto del reproductor integrado.

Esto significa que la verificación se puede omitir trivialmente colocando youtube.com en cualquier lugar de la URL, como se muestra en los siguientes patrones de URL:

• www.facebook.com/page?ref=youtube.com
• banco.ejemplo.com/search?q=youtube.com
• internal.corp.com/redirect?from=youtube.com

«La preocupación no es ni una sola línea de código sospechosa», dijo Island. «Es la combinación: una extensión de alta instalación con acceso a todos los sitios, una ruta de inyección controlada remotamente, una infraestructura de inyección de anuncios previa, un cambio importante de propiedad y de base de código, y extensiones relacionadas que se eliminaron de Chrome Web Store por malware».

The Hacker News se ha puesto en contacto con el desarrollador de la extensión para solicitar comentarios y actualizaremos la historia si recibimos una respuesta.

La divulgación se produce cuando la Unidad 42 de Palo Alto Networks dijo que detectó 18 extensiones de navegador que se hacen pasar por marcas de consumo con el objetivo de monetizar a través del marketing de afiliación.

«Tras la instalación, todas las extensiones abren el dominio .shop en una nueva pestaña», Unidad 42 dicho. «El dominio .shop redirige a otro dominio. El dominio presenta una página que indica que se requieren medidas adicionales. La página cita problemas de incompatibilidad y solicita a los usuarios que instalen un navegador orientado a juegos».

Las autoridades rusas utilizaron la tecnología de descifrado de teléfonos Cellebrite para acceder a un dispositivo perteneciente a un destacado activista nacional de derechos humanos que arrestaron y encarcelaron, a pesar de que la empresa canceló su contrato con el gobierno ruso, según un informe publicado el jueves.

Laboratorio ciudadano de la Universidad de Toronto llegó a sus conclusiones después de analizar un teléfono perteneciente a Andrey Pivovarov y examinar los documentos judiciales que proporcionó confirmando el uso del producto UFED de Cellebrite.

Pivovarov fue arrestado en marzo de 2021, sentenciado en 2022 y liberado en 2024 como parte de un intercambio de prisioneros. Citizen Lab encontró evidencia de que las autoridades accedieron a su teléfono alrededor de junio de 2021 mientras el teléfono estaba en manos del gobierno ruso.

Los investigadores también dijeron que parece que las autoridades rusas podrían haber utilizado la información que obtuvieron del teléfono de Pivoarov para vigilar a otros opositores al régimen, combinando información en los documentos judiciales con el objetivo posterior de la disidente Anastasiya Burakova en una campaña de piratería informática vinculada al Servicio Federal de Seguridad (FSB) de Rusia.

«La arquitectura histórica de los sistemas forenses de Cellebrite significa que gran parte de la funcionalidad del producto UFED ha seguido funcionando mucho después de que cesen las actualizaciones», dijo Citizen Lab en su informe. «Además, los sistemas de Cellebrite históricamente han presentado un modo fuera de línea. En consecuencia, la forma en que se diseñó la tecnología de Cellebrite parecía dificultar que la empresa pudiera aislar de manera significativa a los clientes problemáticos.

«Si bien Cellebrite ha argumentado que sus cancelaciones en Rusia… fueron más allá de lo requerido legalmente, esta investigación aporta evidencia de que la cancelación del contrato no impidió inmediatamente que Rusia aprovechara las herramientas de Cellebrite para la persecución política», continuó.

Cellebrite proporcionado una respuesta al informe de Citizen Lab, diciendo que la tecnología de Cellebrite sería ineficaz en Rusia hoy.

“Cualquier uso del hardware heredado de Cellebrite en Rusia después de marzo de 2021 está completamente no autorizado”, dijo a CyberScoop el portavoz de Cellebrite, Victor Cooper, haciéndose eco de la respuesta de Citizen Lab. «El hardware de Cellebrite vendido anteriormente, antes de marzo de 2021, ahora sería incompatible con dispositivos modernos y funcionaría sin nuestro soporte técnico, nuestro consentimiento o cualquier sanción legal de Cellebrite. Los rápidos avances tecnológicos hacen que el hardware y el software forense digital heredado sean ineficaces en un corto período de tiempo. Rusia permanece permanentemente en nuestra lista de clientes restringidos».

La Embajada de Rusia en Washington, DC no respondió de inmediato a una solicitud de comentarios.

Un hombre de Minnesota de 21 años que operaba bajo el alias en línea “Snoopy” fue sentenciado el martes a 18 meses de prisión federal por su papel en un ataque de relleno de credenciales en 2022 que comprometió aproximadamente 60.000 cuentas de usuarios en la plataforma de apuestas y deportes de fantasía DraftKings, lo que provocó cientos de miles de dólares en pérdidas para los clientes.

Nathan Austad se declaró culpable en diciembre de un cargo de conspiración para cometer intrusión informática en el Tribunal de Distrito de Estados Unidos para el Distrito Sur de Nueva York, que impuso la sentencia. Además de la pena de prisión, a Austad se le ordenó cumplir tres años de libertad supervisada, pagar más de 1,3 millones de dólares en restitución y perder 463.000 dólares adicionales.

En noviembre de 2022, Austad y sus cómplices lanzaron el ataque contra DraftKings mediante relleno de credenciales, comprometiendo con éxito aproximadamente 60.000 cuentas. En aproximadamente 1.600 de esos casos, los atacantes agregaron un nuevo método de pago bajo su propio control a la cuenta comprometida y retiraron los fondos disponibles, robando aproximadamente $600.000 en total.

El acceso a las cuentas comprometidas restantes se vendió a través de mercados de ciberdelincuentes. Austad operaba su propia tienda de este tipo, que llevaba el nombre del personaje de la tira cómica Peanuts, Snoopy. Los investigadores también identificaron cuentas de criptomonedas bajo el control de Austad que recibieron aproximadamente 465.000 dólares en activos, incluidos los ingresos de su actividad criminal.

Entre las pruebas presentadas ante el tribunal se encontraban mensajes privados en los que Austad y sus cómplices reconocían que los investigadores federales estaban examinando sus actividades incluso cuando el plan estaba en marcha. En diciembre de 2022, Austad le escribió a un cómplice de la conspiración: “todos deberían haber estado preparados para esto antes de cobrar jajaja”. El coconspirador respondió: «jajaja, el FBI no puede hacer m**rdas». Meses después, Austad escribió: “como si no supiéramos el riesgo cuando empezamos jajaja… todos conocen sus [sic] cometiendo fraude”.

El fiscal federal Jay Clayton citó esos intercambios en su declaración posterior a la sentencia.

“Los acusados ​​reconocieron la investigación federal sobre su conducta mientras cometían sus crímenes, incluso teniendo la arrogancia de decir que el FBI no podía hacer nada al respecto”, dijo Clayton. “Se equivocaron”.

DraftKings reveló la infracción en noviembre de 2022, informando inicialmente que se habían robado menos de 300.000 dólares a los clientes afectados. Un mes después, la empresa revisó esa cifra y reveló que 67.995 cuentas habían sido comprometidas.

Los fiscales federales no han nombrado oficialmente a DraftKings en los documentos judiciales, refiriéndose al objetivo como un “sitio web de apuestas y deportes de fantasía”, aunque los detalles del ataque coinciden con la infracción que la compañía reveló públicamente.

Austad es el tercer acusado sentenciado en el caso. Joseph Garrison recibió 18 meses de prisión en enero de 2024, y Kamerin Stokes, que usaba el alias “TheMFNPlug”, recibió 30 meses en abril de 2026.

It’s dumb out there again.

This week has the usual smell of prod on fire and nobody wanting to admit who left the door open — old creds still working, trusted apps doing sketchy crap, browser tricks jumping the fence, and “normal” workflows turning into phishing pipes because apparently email was not enough hell already.

The worst part is how cheap some of it feels. Not elite. Not cinematic. Just stale secrets, fake updates, lazy trust, and random boxes quietly becoming someone else’s infrastructure. Same internet, fresh headache. Let’s get into it.

If there’s a theme here, it’s that attackers do not need magic when the boring crap still works — forgotten creds, lazy trust, fake updates, loose admin paths, and users getting nudged into doing the dangerous part themselves. The future is here, somehow, and it still smells like a misconfigured staging box.

Patch what you can. Revoke what you forgot. Maybe glance at the devices you’ve been treating like furniture. See you next ThreatsDay, assuming the internet hasn’t found an even dumber way to catch fire by then.

A pesar de la abundancia de telemetría a disposición de los analistas, muchos equipos de operaciones de seguridad luchan por responder algunas preguntas básicas durante la investigación de incidentes: ¿Qué pasó? ¿Qué evidencia tenemos? ¿Cómo sabemos que lo estamos viendo todo, en contexto?

Responder a estas preguntas requiere que los equipos vayan más allá de las alertas, la base más común para la clasificación inicial. Pero las investigaciones (y sus resultados) requieren evidencia defendible, no suposiciones, que es lo que tienden a ofrecer las alertas.

Las alertas se están volviendo menos útiles a medida que se acelera el descubrimiento de vulnerabilidades (también conocida como la Era de los Mitos). La mayoría de las organizaciones no pueden investigar el volumen de nuevos hallazgos con los flujos de trabajo existentes. Incluso con una mayor automatización, los equipos de SecOps necesitan evidencia validada de explotación y exposición activa, no más telemetría sin procesar.

A medida que la IA acelera tanto los ataques como la defensa, los equipos de seguridad deben sentar las bases que les permitan validar los hallazgos, comprender el comportamiento de los atacantes y detener el tráfico sospechoso antes de que resulte en una infracción.

Richard Bejtlich NDR Essentials: una guía práctica para la detección y respuesta de redespublicado en asociación con Corelight, explora cómo la detección y respuesta de redes (NDR) ayuda a los profesionales a navegar en la era actual de las redes. La guía gratuita es una introducción a NDR y un recurso práctico para los equipos que buscan fortalecer la búsqueda de amenazas y las investigaciones asistidas por IA.

El caso de la interdicción de la red

Muchos programas de seguridad se centran en la prevención. Sin embargo, la realidad es que las organizaciones no pueden simplemente girar hacia la izquierda o desplazarse a la derecha. Se debe poner atención y control durante toda la secuencia de ataque.

Si los controles preventivos fueran la respuesta simple, las credenciales robadas no funcionarían una vez que un atacante logra afianzarse. El malware se detendría en el perímetro. Y los datos nunca saldrían de su entorno de almacenamiento.

Sin embargo, estos eventos ocurren todo el tiempo.

Por estas razones, Bejtlich sostiene que los programas de seguridad resilientes deberían centrarse en la interdicción: identificar e interrumpir la actividad maliciosa antes de que los atacantes logren sus objetivos.

El verdadero éxito de la defensa depende de la capacidad de una organización para aislar y contener a los actores maliciosos después del compromiso inicial, pero antes de una infracción total. Sostiene que la interdicción cambia el enfoque de las listas de bloqueo básicas a la interrupción activa de amenazas dentro del perímetro. Permite mitigar la vulnerabilidad y contener las amenazas, ayudando a detener un ataque antes de que el adversario logre una misión principal.

La guía explica cómo NDR apoya la interdicción al brindar visibilidad del tráfico que se mueve por la red. Vale la pena explorar en profundidad cuatro fuentes principales de evidencia de redes:

• Capturas de paquetes completos
• Archivos extraídos
• Registros de transacciones
• Alertas y detecciones

En lugar de funcionar como una barrera pasiva, la NDR moderna facilita la intervención activa. Brinda a los equipos de seguridad el conocimiento de la situación y el contexto para evitar la propagación de un ataque y preservar evidencia de red de alta fidelidad.

La caza de amenazas comienza con una hipótesis

Uno de los capítulos más fuertes del libro se centra en cómo las organizaciones pueden evolucionar la búsqueda de amenazas para que coincida con las técnicas de ataque actuales, aquellas capaces de evadir los límites de detección tradicionales.

Según Bejtlich, la caza de amenazas no debe basarse en el seguimiento de alertas. Más bien, debería comenzar con una hipótesis sobre las técnicas de confrontación. Una vez que se forma una hipótesis, el analista ejecuta consultas en los registros y sesiones de la red para validar o refutar la teoría.

La evidencia de la red sigue siendo el nexo de la investigación. Las técnicas basadas en red que respaldan la búsqueda proactiva de amenazas incluyen:

• Identificar ejecutables
• Investigar protocolos inusuales
• Realice un seguimiento de grandes transferencias de datos salientes
• Detectar movimiento lateral
• Analizar la exposición del certificado

El foco de la búsqueda debe ser anomalías específicas y observables en lugar de advertencias de seguridad genéricas, que es precisamente lo que se puede obtener al observar las transacciones de la red.

IA en detección y respuesta de redes

La inteligencia artificial ha transformado la defensa de la red, al igual que ha transformado los ataques contra la red. En el capítulo 5 de la guía, Bejtlich describe cómo los analistas de SOC pueden utilizar la IA para un bien mayor: creando eficiencias, reduciendo la carga cognitiva y mejorando la recopilación de evidencia.

Cubre tres áreas funcionales en profundidad:

1. Marcos de alerta optimizados: dónde y cómo se capturan los datos de tráfico (el borde y/o el centro) y cómo cada uno afecta el análisis.
2. Triaje agente para acelerar los ciclos de respuesta a incidentes: cómo se deberían utilizar agentes autónomos para ejecutar manuales de estrategia, pero, lo que es igualmente importante, las capacidades de toma de decisiones estratégicas de los analistas humanos de alto nivel.
3. Interoperabilidad de herramientas: aunque a la red se la suele denominar “verdad sobre el terreno”, la investigación de ataques moderna requiere una visión holística de la red, los puntos finales, las plataformas en la nube, las aplicaciones, etc. La orquestación de IA coordina las herramientas aisladas y sus resultados.

Para lograr la máxima eficacia, los profesionales pueden integrar estos modelos de IA en los flujos de trabajo diarios para sus casos de uso específicos (descritos en detalle en el libro).

Si bien la IA es inevitable en el ecosistema digital actual, la verificación humana sigue siendo un punto de control crítico. Al menos a corto plazo, la automatización debe regularse para evitar alucinaciones o consecuencias no deseadas. Cuando se utiliza correctamente, la IA es una victoria para las investigaciones y los analistas que las dirigen.

Dos lecciones para mejores operaciones

Los equipos de operaciones exitosos buscan continuamente mejorar los procesos. Los operadores deben desarrollar técnicas de investigación para igualar la velocidad y la sofisticación actuales, y la red presenta esa base. El libro ofrece numerosas recomendaciones operativas, y dos destacan por su eficacia:

• Líneas base de alerta inicial: Demasiadas reglas prehabilitadas provocan fatiga en las alertas. A su vez, la fatiga de alerta adormece y/o entierra a los equipos de seguridad. Por lo tanto, Bejtlich recomienda que las organizaciones adopten una estrategia de “línea de base cero”. Puede leer más sobre este método en el libro electrónico.
• Definiciones de alerta: Los operadores deben tratar una alerta como el comienzo de una investigación en lugar de la definición concluyente de un evento. Hacerlo facilita la recopilación profunda de evidencia que apoye o rechace una hipótesis, asegurando que, al final de la investigación, el analista pueda responder de manera concluyente: ¿Qué pasó? ¿Qué evidencia tenemos? ¿Cómo sabemos que lo estamos viendo todo, en contexto?

Por qué es importante ahora la interdicción de redes

Los actores de amenazas continúan evolucionando sus tácticas, pero la evidencia de la red sigue siendo una fuente definitiva de verdad para la defensa. Los profesionales que quieran construir una arquitectura de seguridad moderna y resistente pueden encontrar estrategias prácticas en este libro electrónico.

el valor de Elementos esenciales de NDR no es simplemente que explique la NDR. Proporciona un marco práctico para pensar en las investigaciones modernas.

Para explorar estos conceptos en profundidad, descargue el PDF gratuito del Página de elementos esenciales de NDR. Para las organizaciones que buscan implementar estas estrategias defensivas modernas, hay información adicional disponible en corelight.com/elitedefense.

Detección y respuesta de la red Corelight

Corelight ofrece detección y respuesta de red (NDR) que acelera las investigaciones de amenazas a través de una defensa impulsada por IA. Utilizando visibilidad integral de la red, análisis de comportamiento y detección basada en evidencia, la plataforma Open NDR de Corelight combina telemetría de red profunda con contexto procesable. Los analistas pueden identificar amenazas más rápido, validar los hallazgos con confianza y tomar medidas con claridad.

Obtenga más información en corelight.com/elitedefense.

Se ha descubierto que un implante de macOS basado en Rust y un ladrón de información previamente indocumentados incorpora una carga útil de inyección rápida diseñada para engañar a las herramientas de inteligencia artificial (IA) de un analista de malware y engañarlo para que aborte o rechace un análisis del artefacto.

El malware tiene un nombre en código. luz de gas debido a este comportamiento engañoso. Se ha evaluado con gran confianza que la herramienta es obra de actores de amenazas alineados con Corea del Norte.

«Su característica más notable es una cascada incorporada de mensajes inventados sobre fallas del sistema, diseñada para hacer que un agente de clasificación asistido por LLM dude de su propia sesión», dijo el investigador de SentinelOne, Phil Stokes. dicho en un informe técnico. «Ataca la percepción del agente, en lugar del entorno de pruebas en el que se encuentra».

Un elemento central de la arquitectura del malware es un canal de comando y control (C2) basado en API del bot de Telegram que ingresa en un ciclo de sondeo, lo que permite al operador emitir instrucciones a través de un shell interactivo y devolver los resultados de la ejecución. En el caso de que dos instancias del mismo token de bot sondeen simultáneamente, se emite una respuesta de «Conflicto», lo que provoca que finalice la segunda copia.

El shell admite seis comandos principales, lo que garantiza un punto de apoyo persistente sobre el host infectado:

• ayuda, para mostrar ayuda de comando
• id, para identificar el implante al operador
• shell, para ejecutar un comando de shell a través de vicepresidente ejecutivo
• matar, para terminar un proceso objetivo mediante PID
• subir, para extraer un archivo a través del mecanismo «attach://» de Telegram
• stop, para detener la ejecución del implante

SentinelOne dijo que identificó señales que sugieren la presencia de un séptimo comando llamado «enfoque», aunque su funcionalidad sigue siendo indeterminada en este momento. Para lograr persistencia, Gaslight hace uso de un Agente de lanzamiento que utiliza la etiqueta «com.apple.system.services.activity» en su archivo .plist.

También está integrado en el malware un script Python codificado en Base64 de 6,6 KB que funciona como un conjunto de recopilación de información responsable de recopilar historiales de comandos de Terminal, listados de aplicaciones instaladas, instantáneas de procesos en ejecución, hardware del sistema y perfil de software. Base de datos de llaveros de macOSy datos de los navegadores web Chrome, Brave, Firefox y Safari. Posteriormente, los datos recopilados se comprimen en un archivo ZIP («temp/collected_data.zip») y se cargan a través de Telegram.

El ladrón de Python, por su parte, se implementa mediante un instalador bash separado de 2 KB codificado en Base64 que elimina un intérprete cpython-3.10.18 del proyecto «astral-sh/python-build-standalone». La presencia de emojis y encabezados de comentarios extensos indica que probablemente se generó utilizando un modelo de lenguaje grande (LLM).

Lo notable de Gaslight es que los detalles relacionados con el token del bot, el ID del chat (tg_room_id) y el resto de la configuración del operador no están codificados en la muestra, sino que se proporcionan en tiempo de ejecución. «El implante redacta automáticamente su token de bot de Telegram en su propia salida de tiempo de ejecución, negándolo a cualquiera que capture registros o bloquee artefactos», agregó Stokes.

Además de eso, el malware intenta evadir una detección basada en IA incorporando un bloque delimitado por Markdown que contiene 38 mensajes de «sistema» fabricados y diseñados para engañar a un agente de seguridad para que aborte, trunque o rechace el análisis.

«El andamio contiene mensajes falsos del sistema sobre caducidad de tokens, muertes por falta de memoria, agotamiento del disco y fallas repetidas en las operaciones. También plantea advertencias falsas sobre vulnerabilidades de inyección y indicadores de análisis estático», dijo SentinelOne, calificándolo de un «intento de convertir en arma los canales de clasificación asistidos por LLM que se encuentran cada vez más en el ciclo de ingeniería inversa».

Una nueva puerta trasera sigilosa llamada místico se ha implementado como parte de presuntos ataques con motivación financiera dirigidos a múltiples organizaciones que abarcan los sectores de seguros, educación, TI y servicios profesionales desde abril de 2026.

Según Symantec y el equipo Threat Hunter de Carbon Black, se dice que la puerta trasera, también rastreada como MLTBackdoor, está vinculada a un corredor de acceso inicial (IAB) llamado KongTuke (también conocido como 404 TDS, Chaya_002, LandUpdate808, TAG-124 y Woodgnat), y se eliminó junto con ModeloRAT, un troyano de acceso remoto (RAT) de Python previamente atribuido al grupo.

«La puerta trasera ejecuta cargas útiles en la memoria sin ningún archivo escrito en el disco e incluye un interruptor de apagado que le permite eliminarse a sí mismo, características consistentes con un operador que busca acceso a largo plazo y de baja visibilidad», dijeron los equipos de ciberseguridad de Broadcom. dicho en un informe compartido con The Hacker News.

ModeloRAT fue señalado por primera vez por Huntress en enero de 2026 en relación con una variante de una campaña de ClickFix denominada CrashFix, en la que los actores de KongTuke utilizaron una extensión maliciosa de Google Chrome disfrazada de bloqueador de anuncios para bloquear intencionalmente el navegador web de una víctima y engañarla para que ejecutara comandos arbitrarios con el pretexto de ejecutar un análisis de seguridad.

El malware también se distribuyó en una campaña ClickFix diferente que implicó la ejecución de comandos que llevaban a cabo una búsqueda del Sistema de nombres de dominio (DNS) para recuperar la carga útil de la siguiente etapa, y Microsoft señaló que la cadena de ataque utiliza DNS como un «canal ligero de preparación o señalización».

El uso de ClickFix por parte de Mistic como vector de entrega fue destacado por Zscaler ThreatLabz a principios de este mes, atribuyendo la actividad a un actor de amenazas relacionado con ransomware para establecer un punto de apoyo para el movimiento lateral.

Los últimos hallazgos de Broadcom muestran que el malware se basa en técnicas de carga lateral de DLL, utilizando herramientas confiables de seguridad de endpoints de Microsoft («MpExtMs.exe») para integrarse y evitar generar señales de alerta. La puerta trasera se ejecuta directamente en la memoria, lo que permite una amplia gama de capacidades típicamente asociadas con una familia de malware de este tipo.

• Cargar o descargar un archivo
• Mover, cambiar el nombre o eliminar un archivo
• Crear una carpeta
• Modificar el intervalo de tiempo después del cual sondea un servidor remoto en busca de comandos
• Ejecute el código recibido de C2 en la memoria sin dejar ningún artefacto en el disco
• Cargue archivos de objetos de baliza (BOF) para expandir dinámicamente sus capacidades
• Terminar y eliminarse

«El objetivo parece ser oportunista, ya que los atacantes lanzan una amplia red y luego evalúan a qué organizaciones podrían vender acceso en lugar de centrarse en un solo sector», dijeron Symantec y Carbon Black, y agregaron que ModeloRAT se ha observado en ataques que implementaron el ransomware Qilin.

Se sabe que KongTuke opera un sistema de distribución de tráfico (TDS) construido en sitios de WordPress comprometidos, usándolo para servir un conjunto de señuelos en constante evolución que llevan a los visitantes desprevenidos del sitio al malware. El mes pasado, Rapid7 y ReliaQuest revelaron que el actor de amenazas pasó a enviar mensajes de Microsoft Teams desde una cuenta de soporte de TI falsa para desencadenar una cadena de ataque que conduce a la implementación de ModeloRAT.

«El sigilo de la puerta trasera también es notable, al igual que el hecho de que Woodgnat también esté posiblemente detrás del desarrollo de ModeloRAT, lo que indica un grupo que está muy capacitado en el desarrollo de herramientas de acceso remoto sigiloso», dijo Broadcom.

«El uso de herramientas personalizadas en ataques de ransomware se está convirtiendo en un fenómeno más común, con múltiples ejemplos de grupos de ransomware que utilizan exfiltración personalizada y otras herramientas en los últimos tiempos. Backdoor.Mistic parece ser una continuación de esta tendencia, aunque parece probable que haya sido desarrollado por agentes de acceso que trabajan con afiliados de ransomware en lugar de un grupo de ransomware en sí».

Cuando CISA emite una directiva de emergencia, el mensaje para cada agencia federal y cada equipo de seguridad que preste atención es parchear ahora. Para CVE-2026-50751, una omisión de autenticación CVSS 9.3 en Check Point Remote Access VPN, esa directiva llegó el 21 de junio, a pesar de que la explotación comenzó a principios de mayo. Esa brecha de seis semanas de intrusión activa no es una nota a pie de página. Es la historia completa.

El defecto en sí es sencillo de la peor manera posible. Un error lógico en el proceso de validación de certificados, desencadenado cuando el protocolo de intercambio de claves IKEv1 obsoleto está habilitado, permite a un atacante remoto establecer una sesión VPN completamente autenticada sin una contraseña válida. Sin phishing. Sin robo de credenciales. No se requiere movimiento lateral para llegar al perímetro. El atacante cruza la puerta principal y la puerta lo registra como una entrada legítima.

Cuando Check Point reveló la vulnerabilidad el 8 de junio, un afiliado de ransomware Qilin ya la había utilizado para comprometer unas pocas docenas de organizaciones en todo el mundo. El manual posterior al acceso fue eficiente e incluyó Rclone para la exfiltración de datos, el protocolo Tox para la comunicación de comando y control enrutada a través de una infraestructura VPS desechable. Silencioso, rápido y diseñado para completar el trabajo antes de que la detección tuviera la oportunidad de importar.

El producto de seguridad se convirtió en el vector de ataque.

Hay una ironía particular en CVE-2026-50751 con la que la industria debe sentarse. El dispositivo que fue vulnerado no es una estación de trabajo sin parches ni un depósito de nube mal configurado. Es la puerta de enlace VPN, el producto vendido específicamente para mantener a los atacantes fuera del perímetro. El control diseñado para impedir el acceso no autorizado se convirtió en el mecanismo del mismo.

Esto no es exclusivo de Check Point y no es una crítica a ningún proveedor en particular. Refleja un problema estructural con la arquitectura de seguridad dependiente del perímetro. Cuando el dispositivo perimetral es el ancla de confianza, comprometer ese dispositivo no sólo viola el perímetro. Hereda la autoridad del perímetro. Cada control posterior, cada verificación de identidad, cada herramienta de detección basada en el comportamiento ahora razona sobre una sesión que cree que es legítima, porque la VPN así lo dice.

Esa es la condición que aprovechó Qilin. Y parchear la vulnerabilidad, si bien es absolutamente necesario, no hace nada para cambiar la posición de las organizaciones que fueron atacadas durante el período de mayo a junio. Para ellos, el atacante ya actúa como un usuario de confianza. La directiva CISA no es un remedio para estas organizaciones. Es un mensaje para todos los demás.

Por qué la respuesta estándar se queda corta

La secuencia estándar después de una divulgación como esta es una que todos hemos escuchado antes: parchear los sistemas afectados, actualizar las firmas de detección, revisar los registros en busca de indicadores de compromiso. Si bien cada uno de estos pasos es una buena práctica, ninguno de ellos resuelve el problema subyacente.

Parchar cierra la puerta a futuros atacantes, pero no desaloja a los que ya están dentro. Las firmas de detección ayudan a identificar el comportamiento conocido posterior a la explotación, pero los afiliados de ransomware han demostrado una disciplina operativa constante, utilizando herramientas legítimas para la exfiltración y protocolos estándar de comando y control precisamente porque estos enfoques se mezclan con el tráfico normal. La revisión de registros es valiosa, pero los atacantes que explotaron la vulnerabilidad tuvieron semanas de acceso antes de que alguien mirara.

El modelo de detección y respuesta supone que la detección llega antes de que se complete el daño. Frente a un día cero armado con una ventaja de seis semanas, esa suposición no se cumple. Cuando se activa una alerta, los datos se han movido. El ransomware está preparado. El reloj del rescate ha comenzado.

Hacer que el punto final sea más difícil de explotar

La vulnerabilidad de Check Point obliga a una pregunta crítica: ¿cómo se detiene la ejecución de la carga útil cuando un atacante ya logró la autenticación y eludió todas las demás defensas?

Requiere mover la capa defensiva al propio punto final, en el punto de ejecución, donde la carga útil del ransomware tiene que operar independientemente de cómo se obtuvo el acceso. Las técnicas que transforman el entorno de la memoria de ejecución, transformando las estructuras que el malware necesita encontrar y utilizar en el momento de la ejecución, detienen la carga útil de manera determinista. El atacante puede tener credenciales autenticadas, una sesión legítima y semanas de acceso no detectado. Si el entorno de destino no se parece a lo que espera la carga útil, ésta falla.

Esto no reemplaza los parches. Las organizaciones deben aplicar la solución Check Point de inmediato y deben tratar cualquier sistema con IKEv1 habilitado durante el período de mayo a junio como potencialmente comprometido. Pero aplicar parches es el comienzo, ya que las organizaciones que estaban dentro de la ventana de explotación de seis semanas necesitan un control que funcione después de que el perímetro haya desaparecido.

La lección antes de la próxima directiva

CISA emitirá otra directiva de emergencia. Habrá otra omisión de autenticación, otro dispositivo perimetral convertido en vector de ataque, otro actor de amenazas motivado financieramente con una ventaja medida en semanas. El ciclo de parchear y detectar se repetirá, y las organizaciones cuya exposición se gestionaba completamente en el perímetro se encontrarán en la misma posición.

La lección aquí no es que Check Point falló o que las VPN se acabaron. Es que cualquier arquitectura en la que una única omisión de autenticación le otorga al atacante autoridad operativa sobre todo el entorno tiene un problema estructural que ningún parche resuelve. Es necesario cerrar la puerta. Asegurarse de que el ransomware no pueda detonar incluso después de que el atacante esté dentro es la parte que la industria aún no ha resuelto a escala.

Ésa es la conversación que la directiva CISA debería iniciar, y en la mayoría de los casos no lo hace.