Un sheriff del condado de California y contendiente republicano para la carrera por la gobernación del estado confiscó 650.000 boletas físicas del condado de Riverside, diciendo que eran parte de una investigación sobre fraude electoral vinculado a guerras de redistribución de distritos.

Los funcionarios estatales y los expertos en seguridad electoral dicen que las acusaciones subyacentes son falsas y que las autoridades locales no tienen la autoridad para investigar o validar unilateralmente los resultados electorales.

El sheriff del condado de Riverside, Chad Bianco, dijo en una conferencia de prensa el viernes que tenía la intención de realizar un recuento manual de las papeletas, que estaban vinculadas a las elecciones de noviembre pasado, y “comparar ese resultado con el total de votos registrados”.

En un 6 de marzo cartael Fiscal General de California, Rob Bonta, ordenó a Bianco que pausara la investigación hasta que el estado pudiera revisar “las bases fácticas y legales” de la investigación y la incautación.

Con base en una revisión inicial de las órdenes y declaraciones juradas del caso, Bonta escribió que su “oficina tiene serias preocupaciones en cuanto a si existía causa probable para respaldar la emisión de las órdenes y si su oficina presentó al magistrado todas las pruebas disponibles según lo exige la ley”.

Si bien la carta de Bonta no describe el contenido subyacente de las órdenes de registro, señala una presentación pública realizada por un residente en una reunión del Registro de Votantes del Condado de Riverside el 10 de febrero que «aborda la supuesta discrepancia de votos que parece ser la base de su investigación».

En que reuniónun individuo que se identificó como “Errol” y llevaba una gorra de “Trump 2028” alegó que el consejo había participado en fraude electoral local, estatal y federal.

En varios momentos, el individuo dijo que confió en Google para obtener información sobre personas y empresas a las que acusaba de recibir pagos indebidos. En otro momento, afirmó que el auditor del condado de Riverside no revelaría el propósito detrás de miles de páginas de pagos del condado, antes de decir «no van a recibir los archivos, yo los guardé».

«Tenemos muchos problemas, muchachos. Han cometido un fraude grave aquí, desde siempre», alegó el individuo, añadiendo que esperaba que los miembros del consejo fueran encarcelados.

Bonta acusó a Bianco de “violar flagrantemente mis directivas” según la Constitución del Estado de California y amenazó con emprender acciones judiciales si procedía con la investigación y el recuento manual.

La ley de Bianco, que ocupa el tercer lugar en las primarias abiertas del estado para gobernador este mes, según un Encuesta de Emerson College – es la segunda incautación de boletas de este tipo que se lleva a cabo en este ciclo electoral, luego de la redada del FBI en el condado de Fulton, la oficina electoral de Georgia.

Gowri Ramachandran, director de elecciones y seguridad del Centro Brennan para la Justicia, dijo a CyberScoop que las elecciones supuestamente están siendo investigadas. no fue una carrera reñida. Además, como prácticamente cualquier otra elección, los candidatos o partidos tienen oportunidades de impugnar las irregularidades o los resultados, incluidos los recuentos automáticos o los recuentos pagados por los candidatos o las campañas, junto con los tribunales estatales que regularmente juzgan cuestiones sobre los resultados electorales.

«Es importante que la gente sepa que ninguno de esos procesos involucra a alguien que entra y toma las boletas al azar», dijo, y agregó: «Me preocupa qué podría hacer para interferir si esto sucede más cerca de una elección real».

Ramachandran dijo que al confiscar las papeletas físicas, a las que llamó “el estándar de oro” que utilizamos para determinar la verdad básica sobre la intención de los votantes, Bianco estaba alterando la cadena de custodia, que es uno de los procesos clave diseñados para dar a los votantes confianza en sus elecciones.

“Debería ser un listón muy alto, no simplemente: 'Sospecho, quiero hacer una expedición de pesca'”, dijo. “No es suficiente tener a alguien que no tiene experiencia en contar boletas o mantenerlas seguras. [to] simplemente entra y toma todas esas cosas”.

La sugerencia de Bonta de que Bianco no informó materialmente a los tribunales se hace eco de lo que alegaron los funcionarios del condado de Fulton en su propia demanda, que acusaron al FBI de presentar al juez una “narrativa flagrantemente engañosa” que omitía pruebas clave, socavando la base del gobierno para investigar las papeletas de 2020.

Grupos conectados con el gobierno iraní están implementando malware a través de la aplicación de mensajería Telegram, apuntando a disidentes y otros opositores de Teherán en todo el mundo, dijo el FBI en una alerta el viernes.

El FBI dijo que atacantes vinculados al Ministerio de Inteligencia y Seguridad están detrás de la campaña, que se remonta a 2023. Sin embargo, la oficina está intensificando la alerta ahora debido al conflicto entre Irán y una alianza entre Estados Unidos e Israel, afirma.

«El perfil de víctima observado incluía a disidentes iraníes, periodistas opuestos a Irán, miembros de organizaciones con creencias contrarias a las narrativas del gobierno de Irán y otras personas que Irán percibe como una amenaza para el gobierno iraní. Sin embargo, el malware podría usarse para atacar a cualquier individuo de interés para Irán». la alerta dice. «Este malware resultó en la recopilación de inteligencia, fugas de datos y daños a la reputación de las partes objetivo».

Handala, un grupo iraní pro palestino que se atribuyó el mérito del ataque al fabricante de dispositivos médicos Stryker este mes, utilizó información que recopiló de disidentes piratas informáticos para llevar a cabo una campaña de pirateo y filtración en 2025, evalúa el FBI. (Stryker envió un aviso a la Comisión de Bolsa y Valores el lunes que proporciona una actualización sobre el incidente).

Si bien los funcionarios estadounidenses dicen que no han visto ningún aumento importante en los ataques cibernéticos desde Irán desde que comenzó el conflicto, los expertos han señalado que podrían pasar semanas antes de que surjan patrones.

Telegram es un canal de comunicación popular en Irán. Los piratas informáticos iraníes frecuentan Telegram para discutir ataques planificados. Por otro lado, el Cuerpo de la Guardia Revolucionaria Islámica también ha emitido advertencias a su población de que podrían ser procesados ​​si son miembros de canales de oposición basados ​​en Telegram, IranWire reportado la semana pasada.

El FBI dijo que, a partir de las muestras de malware que examinó, el esquema comienza con piratas informáticos haciéndose pasar por aplicaciones como Pictory, KeePass y Telegram. Los piratas informáticos configuran el comando y control mediante un bot de Telegram.

Para obtener acceso inicial, los piratas informáticos buscan manipular a las víctimas haciéndose pasar por alguien que conocen o como soporte técnico de una plataforma de redes sociales. Luego engañan a las víctimas para que acepten una transferencia de archivos, lo que luego lanza el malware.

«Basado en múltiples observaciones, la etapa 1 del malware parecía estar adaptada al patrón de vida de la víctima para aumentar la probabilidad de que descargara el malware, lo que indica que los ciberactores iraníes probablemente realizaron un reconocimiento del objetivo antes de interactuar con la víctima», dijo el FBI.

La alerta del FBI es la última de una serie de advertencias gubernamentales sobre atacantes que utilizan aplicaciones de mensajería para llevar a cabo sus objetivos.

El portavoz de Telegram, Remi Vaughn, dijo en una respuesta enviada por correo electrónico: «Los malos actores pueden usar, y usan, cualquier canal disponible para controlar el malware, incluidos otros mensajeros, correo electrónico o incluso conexiones web directas. Si bien no hay nada único en el uso de Telegram para controlar el software, los moderadores eliminan rutinariamente cualquier cuenta que se encuentre involucrada con malware».

A campaña de phishing vinculado al servicio de alojamiento en la nube de IA Railway ha dado a los piratas informáticos acceso a las cuentas en la nube de Microsoft para cientos de empresas, según investigadores de Huntress.

Rich Mozeleski, gerente de producto del equipo de identidad de Huntress, dijo a CyberScoop que la campaña está actualmente vinculada a un actor más pequeño y aproximadamente una docena de direcciones IP, pero ha logrado comprometer cientos de objetivos en las últimas semanas.

A principios de marzo comprometía unas pocas docenas de objetivos por día, pero a partir del 3 de marzo hubo un “aumento masivo” en ese ritmo. Mozeleski dijo que, además de ser más sofisticado de lo habitual, no se utilizaron correos electrónicos ni dominios idénticos, lo que llevó a los investigadores a sospechar que pudieron haber sido generados a través de herramientas de inteligencia artificial. Las plantillas iban desde señuelos de correo electrónico tradicionales hasta códigos QR y sitios cooptados para compartir archivos.

“Solo la cantidad fue como si se hubiera abierto la Caja de Pandora, y la eficacia estaba por las nubes”, dijo Mozeleski.

Un señuelo de phishing de descarga de archivos personalizado utilizado en la campaña. Los investigadores creen que los atacantes utilizaron IA para generar señuelos únicos a escala. (Fuente: Cazadora)

La campaña de phishing explota el flujo de autenticación de Microsoft para dispositivos como televisores inteligentes, impresoras y terminales, lo que le otorga al atacante tokens OAuth válidos para esa cuenta por hasta 90 días sin necesidad de contraseña o autenticación multifactor.

En última instancia, Huntress ha visto a cientos de sus clientes caer en estafas de phishing, aunque afirman haber evitado la actividad posterior al compromiso en todos los casos. Pero también creen que sus clientes representan sólo una pequeña fracción del probable conjunto total de víctimas, que podría ascender a miles.

Las entidades afectadas abarcan una variedad de sectores: empresas de construcción y comercio, bufetes de abogados, organizaciones sin fines de lucro, bienes raíces, manufactura, finanzas y seguros, atención médica, gobierno y organizaciones de seguridad pública se encontraban entre las 344 víctimas detalladas en el blog de Huntress.

Para proteger a los clientes, Mozeleski dijo que Huntress emitió el miércoles una actualización de la política de acceso condicional a 60.000 inquilinos de la nube de Microsoft en correos electrónicos provenientes de dominios Railway, un acto que describió como «nada que hayamos hecho antes».

Armando la infraestructura codificada por vibraciones

Los investigadores creen que los atacantes estaban utilizando la plataforma como servicio de Railway, creada para ayudar a los no codificadores a crear sitios web y herramientas, para activar la infraestructura de recolección de credenciales para la campaña.

Al utilizar dominios comprometidos y lanzar señuelos personalizados, los correos electrónicos de phishing evitan la mayoría de las soluciones comerciales de filtrado de correo electrónico. No está claro si utilizaron la herramienta de inteligencia artificial de Railway o una separada para generar los señuelos. De cualquier manera, todos los ataques que Huntress ha observado provienen de la infraestructura IP de Railway.com.

En respuesta a las preguntas de CyberScoop el viernes, el ingeniero de soluciones ferroviarias Angelo Saraceno dijo que la compañía está al tanto del incidente y Huntress se puso en contacto por primera vez el 6 de marzo con respecto al tráfico de phishing que se origina desde una dirección IP específica y tres dominios. “Las cuentas asociadas fueron prohibidas y los dominios bloqueados”, dijo Saraceno.

«Nuestras heurísticas están diseñadas para detectar correlaciones: tarjetas de crédito repetidas, fuentes de código compartidas, infraestructura superpuesta», escribió en un correo electrónico. «Cuando una campaña evita esas señales, llega más lejos de lo que nos gustaría».

Saraceno calificó la detección de fraudes de Railway como «un equilibrio» entre atrapar a los malos actores y verse inundado de falsos positivos, señalando un incidente en febrero, cuando un ajuste en el sistema automatizado de control de abusos de la empresa provocó una interrupción del servicio del cliente.

El viernes temprano, Mozeleski le dijo a CyberScoop que Huntress seguía viendo más de 50 compromisos por día vinculados a dominios de phishing de Railway. Cuando se le preguntó qué más podría haber hecho Railway para evitar el abuso de su plataforma, dijo que se podría mejorar la investigación y validación del uso gratuito de su producto. Señaló productos con pruebas similares, como MailChimp y HubSpot, que cuentan con controles y supervisión para que los usuarios no puedan «entrar en un millón de contactos y comenzar a enviar spam».

«No permitan que nadie entre, inicie una prueba, active recursos y comience a utilizar su infraestructura» para ataques cibernéticos, dijo.

Uno de los contrastes más sorprendentes de la campaña fue el uso de la IA para crear una infraestructura de phishing similar a la de un actor de amenazas patrocinado por el estado o un grupo cibercriminal avanzado al servicio de una estafa de phishing común y corriente.

Esto refuerza las advertencias de los expertos en ciberseguridad de que los ciberdelincuentes de bajo nivel, a menudo llamados “script kiddies” por su dependencia de herramientas de piratería automatizadas, están preparados para convertirse en uno de los mayores beneficiarios de la era de la IA generativa. El mes pasado, John Hultquist, analista jefe del Threat Intelligence Group de Google, dijo que espera que las herramientas de inteligencia artificial ayuden a «los grupos cibercriminales más pequeños más que a los piratas informáticos patrocinados por el estado».

Los testimonios en el sitio web de Railway promocionan la capacidad del servicio para ofrecer «escala automática vertical lista para usar», mientras que otro dijo que «hace que la creación de herramientas de terceros autohospedadas sea casi sin esfuerzo».

También puede darles una ventaja sobre las organizaciones víctimas que tienen políticas internas más restrictivas en torno al uso de la IA para la ciberdefensa.

«Estamos viendo a los delincuentes como los primeros impulsores de la IA», dijo Prakash Ramamurthy, director de productos de Huntress. «No tienen ningún reparo en la PII, no tienen ningún reparo en el entrenamiento de modelos… y este incidente, simplemente por el ritmo al que ha evolucionado, es una especie de testimonio de ello».

El phishing basado en voz, una forma de ingeniería social en la que los atacantes llaman a los empleados o al servicio de asistencia de TI con falsos pretextos en un intento de obtener acceso a las redes de las víctimas, aumentó en 2025, dijo Mandiant el lunes en su informe anual M-Trends.

Estos puntos de intrusión, que han sido un sello distintivo de los ataques atribuidos a miembros del colectivo de delitos cibernéticos The Com, incluidas ramas como Scattered Spider, representaron el 11% de todos los incidentes que Mandiant investigó el año pasado.

Las vulnerabilidades explotadas siguieron siendo el principal vector de acceso inicial por sexto año consecutivo, dando a los atacantes un punto de apoyo en el 32% de todos los incidentes el año pasado, dijo la compañía. Sin embargo, el aumento del phishing de voz marca un cambio preocupante en las tácticas, especialmente en ataques a gran escala con impactos radicales.

«Este tipo de ataque de ingeniería social es extremadamente poderoso. Consume más tiempo, obviamente requiere habilidades y habilidades de suplantación que los actores de la amenaza deben tener, especialmente cuando se comunican con su servicio de asistencia de TI», dijo a CyberScoop Jurgen Kutscher, vicepresidente de Mandiant. «Hemos visto claramente que varios actores de amenazas son muy especializados y tienen mucho éxito con este tipo de ataque».

El phishing basado en voz fue la raíz de múltiples ataques a los que Mandiant respondió el año pasado, incluidas campañas dirigidas a clientes de Salesforce atribuidas a grupos de amenazas que Google Threat Intelligence Group rastrea como UNC6040 y UNC6240.

Este cambio global en los ataques se vio más claramente en la fuerte caída del phishing basado en correo electrónico. Durante años, el phishing ha sido un método popular porque es barato y requiere poca habilidad técnica. Funciona de manera muy similar a la publicidad de gran volumen: una estrategia de rociar y orar centrada en llegar a la mayor cantidad de personas posible en lugar de una orientación específica.

Según Mandiant, el phishing por correo electrónico ya no es uno de los principales vectores de acceso inicial. La empresa de respuesta a incidentes dijo que solo fue responsable del 6% de las intrusiones el año pasado, frente al 14% en 2024 y el 22% en 2022.

«Cuanto mayor sea la inversión, mayor debe ser el pago», dijo Kutscher. “[Interactive phishing] requiere una cantidad significativa de tiempo e inversión. Entonces, como atacante, debes hacer eso cuando creas que hay un retorno significativo”.

Es difícil defenderse de estas técnicas porque están diseñadas para explotar los instintos humanos y eludir muchos controles de seguridad. «Siempre hemos dicho que, lamentablemente, el ser humano tiende a ser el eslabón más débil», dijo Kutscher.

Por supuesto, la ingeniería social no fue la única forma en que los atacantes obtuvieron acceso a las redes de las víctimas el año pasado. Los defectos explotados siguen siendo un problema persistente.

Las tres principales vulnerabilidades que Mandiant observó como vector de acceso inicial en 2025 incluyen CVE-2025-31324 en SAP NetWeaver, CVE-2025-61882 en Oracle E-Business Suite y CVE-2025-53770 en Microsoft SharePoint.

Los atacantes de diversos orígenes y objetivos explotaron las tres vulnerabilidades en masa y como días cero.

Mandiant registró 500.000 horas combinadas de investigaciones de respuesta a incidentes a nivel mundial el año pasado, frente a 450.000 horas en 2024.

Las empresas de tecnología fueron las más atacadas en 2025, representando el 17% de todos los incidentes. Las siguientes industrias más afectadas incluyeron finanzas con un 14,6%, servicios comerciales y profesionales con un 13,3% y atención médica con un 11,9%.

Los piratas informáticos afiliados a la inteligencia rusa han obtenido acceso a las aplicaciones de mensajería de miles de usuarios con una campaña global de phishing, advirtieron el viernes el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad en un anuncio de servicio público.

Los objetivos de alto valor que persiguen incluyen a funcionarios actuales y anteriores del gobierno estadounidense, figuras políticas, personal militar y periodistas, dijeron las dos agencias en el PSA conjunto sobre los intentos de los piratas informáticos de infiltrarse en aplicaciones de mensajería comercial (CMA).

El alerta estadounidense viene inmediatamente después de un anterior Advertencia de las autoridades holandesas.quien dijo la semana pasada que los piratas informáticos rusos estaban “involucrados en un intento global a gran escala” de apoderarse de las cuentas de WhatsApp y Signal. La advertencia holandesa también siguió a una advertencia similar de Alemania en febrero.

Las agencias estadounidenses enfatizaron que los piratas informáticos no habían podido eludir el cifrado de extremo a extremo, sino que habían manipulado a los usuarios para que renunciaran al acceso. El esquema involucra a piratas informáticos que se hacen pasar por personal de ayuda de Signal y luego los invitan a hacer clic en un enlace o proporcionar códigos de verificación o un número de identificación personal de la cuenta.

«Después de comprometer una cuenta, los actores maliciosos pueden ver los mensajes y las listas de contactos de las víctimas, enviar mensajes y realizar phishing adicional contra otras cuentas CMA», explica la PSA. «(Nota: los informes muestran que los actores de amenazas se dirigen específicamente a las cuentas de Signal, pero pueden aplicar métodos similares contra otras CMA)».

Sin embargo, «los usuarios de CMA que fortalecen su ciberseguridad personal y se defienden contra los intentos de ingeniería social pueden reducir el riesgo de que la cuenta se vea comprometida y limitar la efectividad de las tácticas, técnicas y procedimientos actuales de los actores de amenazas», dijeron las agencias.

La campaña rusa es sólo la última que busca eludir las protecciones que ofrecen las aplicaciones comerciales de mensajería. CISA advirtió en noviembre sobre software espía dirigido a aplicaciones de mensajería.

En ocasiones ha habido un nexo de inteligencia ruso con el reciente ataque. El año pasado, Google Threat Intelligence Group destacó los intentos rusos de atacar a los usuarios de Signal en Ucrania.

«Anticipamos que las tácticas y métodos utilizados para atacar a Signal aumentarán en prevalencia en el corto plazo y proliferarán a actores de amenazas adicionales y regiones fuera del teatro de guerra de Ucrania», dijo la compañía.

Tres hombres americanos fueron sentenciado el viernes por crímenes que cometieron en cumplimiento del vasto plan de Corea del Norte para contratar agentes en empresas estadounidenses, dijo el Departamento de Justicia.

El trío (Audricus Phagnasay, de 25 años, Jason Salazar, de 30 y Alexander Paul Travis, de 35) se declaró culpable en noviembre de conspiración para cometer fraude electrónico al proporcionar identidades estadounidenses a trabajadores remotos de TI de Corea del Norte.

Alojaron en sus hogares computadoras portátiles proporcionadas por empresas estadounidenses e instalaron software de acceso remoto para que pareciera que los agentes norcoreanos estaban trabajando en el país. El grupo también ayudó a trabajadores remotos de TI a pasar la investigación de antecedentes de los empleadores y, en el caso de Travis y Salazar, realizó pruebas de drogas en nombre de los norcoreanos, dijeron los fiscales.

Travis, un miembro en servicio activo del ejército estadounidense en ese momento, recibió alrededor de 51.000 dólares del plan. Fue sentenciado a un año de prisión y se le ordenó perder alrededor de 193.000 dólares.

Phagnasay y Salazar se embolsaron cada uno unos 3.500 y 4.500 dólares, respectivamente, y ambos fueron sentenciados a tres años de libertad condicional y una multa de 2.000 dólares. Un tribunal federal ordenó a Salazar perder unos 410.000 dólares y ordenó a Phagnasay perder casi 682.000 dólares.

«Estos hombres prácticamente dieron las llaves del reino en línea a probables trabajadores norcoreanos de tecnología en el extranjero que buscaban recaudar ingresos ilícitos para el gobierno de Corea del Norte, todo a cambio de lo que les parecía dinero fácil», dijo en un comunicado Margaret Heap, fiscal estadounidense para el Distrito Sur de Georgia.

«Estos esquemas presentan un desafío importante para nuestra seguridad nacional y aplaudimos a nuestros socios de investigación que trabajan para asegurar nuestras fronteras digitales», agregó Heap.

El trío facilitó alrededor de 1,28 millones de dólares en salarios de las empresas estadounidenses víctimas desde septiembre de 2019 hasta noviembre de 2022. Sin embargo, los recortes financieros por su asistencia fueron relativamente bajos.

Las contramedidas de los funcionarios a estos esquemas, que en última instancia blanquean dinero mal habido para el gobierno de Corea del Norte, implican atacar a facilitadores con sede en Estados Unidos que proporcionan identidades falsificadas o robadas y granjas de computadoras portátiles para agentes norcoreanos, y la incautación de criptomonedas vinculadas al robo.

Los avances en materia de aplicación de la ley en ambos frentes se están acumulando, pero los investigadores advierten que la operación de Corea del Norte es de escala masiva y evoluciona constantemente.

Microsoft Threat Intelligence advirtió a principios de este mes que los grupos de amenazas norcoreanos están utilizando herramientas de inteligencia artificial para acelerar y expandir el esquema del país, automatizando y mejorando los esfuerzos a lo largo del ciclo de vida del ataque.

Los investigadores y cazadores de amenazas están luchando por contener un defecto de máxima gravedad en la aplicación de red UniFi de Ubiquiti que los atacantes podrían aprovechar para apoderarse de las cuentas de los usuarios accediendo y manipulando archivos.

La vulnerabilidad del recorrido del camino CVE-2026-22557 — afecta al software utilizado para administrar dispositivos de red UniFi, incluidos puntos de acceso, puertas de enlace y conmutadores. El proveedor reveló y lanzó parches para el defecto en un aviso de seguridad Miércoles.

«Hasta esta mañana, no hemos observado ninguna prueba pública de explotación de concepto ni informes confirmados de explotación en la naturaleza», dijo a CyberScoop Matthew Guidry, ingeniero senior de detección de productos de Censys.

«Sin embargo, debido a que se trata de una vulnerabilidad de recorrido de ruta, la complejidad técnica para un atacante suele ser menor que la corrupción de la memoria o los errores de desbordamiento del búfer», añadió. «Dado que la clasificación CVSS 10 implica una baja complejidad de ataque, anticipamos que una vez que se identifique el punto final vulnerable específico, la explotación será trivial de automatizar».

Los sensores de Censys observaron casi 88.000 hosts de aplicaciones de red UniFi expuesto públicamente en Internet a partir del viernes por la mañana. El software no expone qué versión está ejecutando, por lo que los análisis no pueden distinguir entre instancias vulnerables y parcheadas.

Aproximadamente un tercio de las instancias expuestas de la aplicación UniFi Network se encuentran en los Estados Unidos.

Como defensor, cuando ve un CVSS 10 para un producto que inmediatamente reconoce y sabe que está en todas partes, probablemente se sienta un poco ansioso», dijo Guidry. «También sabe que es remotamente explotable, no requiere autenticación y no necesita interacción del usuario, porque no sería un 10 si no lo fuera. Ubiquiti es un nombre que se escucha con frecuencia y muchos de esos dispositivos están conectados directamente a Internet”.

Ubiquiti aconseja a los usuarios de la aplicación UniFi Network que actualicen a las últimas versiones del software, lo que también solucionó una segunda vulnerabilidad: CVE-2026-22558 – que los atacantes podrían aprovechar para aumentar los privilegios.

Las autoridades confiscaron la infraestructura que impulsaba cuatro botnets que Secuestró un total de tres millones de dispositivos. y lanzaron más de 300.000 ataques DDoS en conjunto, dijo el jueves el Departamento de Justicia.

Las botnets (Aisuru, Kimwolf, JackSkid y Mossad) permitieron a los operadores vender acceso a los dispositivos infectados para diversos delitos cibernéticos. Las consecuencias abarcaron miles de ataques, incluidos algunos que exigían pagos de extorsión a las víctimas, dijeron los funcionarios.

La operación coordinada globalmente, ayudada por acciones policiales dirigidas a los operadores de botnets en Canadá y Alemania, interrumpió la infraestructura de comando y control de las cuatro botnets. Dos de las botnets establecieron récords antes de su eliminación, atrayendo la atención generalizada de investigadores y proveedores de seguridad.

La botnet Kimwolf, una variante de Android de Aisuru, se propagó como la pólvora después de que sus operadores descubrieron cómo abusar de las redes de proxy residenciales para el control local, según Sythient. Finalmente se hizo cargo más de 2 millones Dispositivos Android TV para enero. En septiembre, justo cuando Kimwolf se estaba formando, Cloudflare registró que la botnet Aisuru alcanzó un récord. Ataque DDoS de 29,7 terabits por segundo que duró 69 segundos.

En última instancia, los funcionarios atribuyeron aproximadamente 200.000 ataques DDoS a Aisuru, 90.000 a JackSkid, 25.000 a Kimwolf y alrededor de 1.000 comandos de ataque DDoS a la botnet Mossad. Sin embargo, los ataques DDoS de atacantes con motivaciones financieras suelen ser una distracción o una mala dirección.

«A menudo, un ataque DDoS es simplemente publicidad del tamaño de la botnet de un operador», dijo a CyberScoop Zach Edwards, investigador de amenazas de Infoblox. Los operadores de botnet obtienen dinero alquilando estos dispositivos controlados a ciberdelincuentes para abuso de cuentas, ataques de restablecimiento de contraseñas, esquemas de fraude publicitario y nodos proxy residenciales, añadió.

Los dispositivos infectados por las cuatro botnets incluyen grabadoras de vídeo digitales, cámaras web, enrutadores Wi-Fi y decodificadores de TV. Cientos de miles de estos dispositivos se encuentran en Estados Unidos, dijeron los fiscales federales.

Las autoridades no nombraron a las personas involucradas ni anunciaron formalmente ningún arresto. Sin embargo, describen la operación en términos casi concluyentes, afirmando que la acción interrumpió la infraestructura de comunicaciones de las botnets (dominios, servidores virtuales y otros sistemas) para evitar una mayor infección y limitar o eliminar la capacidad de las botnets de lanzar futuros ataques.

«Los ciberdelincuentes se infiltran en la infraestructura más allá de las fronteras físicas y el Servicio de Investigación Criminal de Defensa participa en operaciones internacionales para ayudar a salvaguardar la huella global del Departamento», dijo en un comunicado Kenneth DeChellis, agente especial a cargo de la oficina cibernética DCIS del Departamento de Defensa. Algunos de los ataques DDoS atribuidos a estas botnets alcanzaron direcciones IP propiedad de la Red de Información del Departamento de Defensa.

Las botnets a menudo compiten por dispositivos que infectar y oportunidades de escalar. A medida que Kimwolf se extendió y alcanzó esos objetivos, captó un gran interés por parte de investigadores, autoridades y proveedores capaces de ayudar a detenerlo.

Kimwolf fue la botnet DDoS más grande jamás detectada, según Tom Scholl, vicepresidente de Amazon Web Services, que ayudó en la operación. «La escala de esta botnet es asombrosa», dijo en un publicación en LinkedIn.

«Kimwolf representó un cambio fundamental en la forma en que operan y escalan las botnets», añadió Scholl. «A diferencia de las botnets tradicionales que escanean la Internet abierta en busca de dispositivos vulnerables, Kimwolf aprovechó un nuevo vector de ataque: las redes proxy residenciales».

Según este mecanismo, cualquier organización con dispositivos vulnerables conectados a Internet podría, sin saberlo, convertir esos dispositivos en un nodo para una botnet o un punto de apoyo para un ataque dirigido.

“Esto no es sólo un problema que tiene su primo porque compró una caja de TV barata que le prometía canales de televisión gratuitos”, dijo Edwards. Infoblox dijo anteriormente casi el 25% de los clientes tenía al menos un dispositivo terminal en un servicio de proxy residencial objetivo de Kimwolf.

Si bien es intelectualmente interesante cuando una botnet alcanza un tamaño extraordinario, también es un «triste recordatorio de que muchas veces la seguridad pasa a un segundo plano frente a la conveniencia y el costo», dijo Edwards.

«Las botnets están creciendo porque cada vez más personas compran cosas raras conectadas a Internet», añadió. «Nada en este mundo es gratis».

Los desmantelamientos marcan la continuación de una ofensiva constante y continua contra botnets de gran escala, mercados de delitos cibernéticos, malware, ladrones de información y otras herramientas de delitos cibernéticos. Algunas de las redes maliciosas obstaculizadas o que dejaron de funcionar debido a interrupciones y arrestos durante el año pasado incluyen: DanaBot, Rapper Bot, Lumma Stealer, AVCheck y SocksEscort.

Más de 20 empresas y organizaciones ayudaron con la interrupción coordinada, incluidas las fuerzas del orden de los Países Bajos y Europol. Los esfuerzos para detener las botnets continuarán a medida que estas redes maliciosas proliferen en nuevos lugares y de nuevas maneras.

«Vivimos en un tiovivo de dispositivo comprometido: botnet DDOS y aunque muchos de nosotros deseamos que algo pueda ralentizarlo, los desafíos continúan creciendo», dijo Edwards. «Este sigue siendo un mal día para los actores de amenazas graves, y cualquier día como ese es algo que todos deberíamos celebrar».

Un hombre de 27 años de Carolina del Norte fue encontrado culpable de seis cargos de extorsión por una serie de delitos que cometió mientras trabajaba como contratista de análisis de datos para una empresa de tecnología internacional con sede en DC, dijo el jueves el Departamento de Justicia.

Cameron Nicholas Curry, también conocido como “Loot”, robó una gran cantidad de datos corporativos, incluida información confidencial sobre empleados y compensaciones, que utilizó para extorsionar a su empleador, según registros judiciales. Curry finalmente se llevó aproximadamente 2,5 millones de dólares de la organización víctima en enero de 2024.

El ataque interno subraya los riesgos inconmensurables que las empresas aceptan cuando los empleados o contratistas asignados a puestos por una empresa de contratación externa, como fue el caso de Curry, pueden acceder a datos confidenciales en una computadora portátil propiedad de la empresa. Los funcionarios no nombraron la empresa.

Curry utilizó su acceso a la red de la empresa para eliminar datos corporativos con fines de extorsión mientras trabajaba para la empresa entre agosto y diciembre de 2023. Inmediatamente después de su último día de empleo en la empresa, Curry comenzó a enviar correos electrónicos amenazantes a sus empleados y exigió un rescate para no filtrar ni destruir los datos.

Los funcionarios dijeron que envió más de 60 correos electrónicos a varios empleados y ejecutivos durante un período de seis semanas, amenazando con revelar los datos de nómina de la compañía, alegando que mostraban una importante desigualdad salarial en toda la fuerza laboral. En esos correos electrónicos, Curry enmarcó el ataque de extorsión por robo de datos como un esfuerzo por implementar la transparencia salarial.

«Loot y nuestros socios tienen como objetivo garantizar que todos reciban el pago correspondiente, brindando a los empleados la influencia que merecen y al mismo tiempo cumpliendo con las regulaciones del gobierno federal sobre actos protegidos», escribió Curry en uno de los correos electrónicos, según la acusación.

Curry incluyó archivos adjuntos en los correos electrónicos que contenían capturas de pantalla de hojas de cálculo que enumeraban la información de identificación personal de los empleados de la empresa. Los funcionarios dijeron que también advirtió a la compañía que proporcionaría a los empleados instrucciones sobre cómo abordar la discriminación salarial a través de la mediación, la Comisión de Igualdad de Oportunidades en el Empleo o una demanda colectiva.

Algunos de los correos electrónicos de extorsión se volvieron personales, incluida una afirmación de que una persona del equipo legal no recibía una bonificación, mientras que la mayoría de los empleados en puestos de alto nivel sí recibían bonificaciones. Curry también amenazó con informar la violación a la Comisión de Bolsa y Valores, citando reglas que requieren que las empresas públicas revelen rápidamente los ciberataques.

La empresa que cotiza en bolsa notificó al FBI sobre la infracción el 14 de diciembre de 2023 y pagó la demanda de rescate de Curry casi un mes después.

Múltiples errores de seguridad operativa ayudaron a las autoridades a identificar y construir un caso contra Curry con bastante rapidez. Usó datos personales y verificables para establecer una nueva cuenta de Coinbase, y dos de las tarjetas de débito vinculadas a la cuenta que Curry estableció para recibir un rescate pertenecían a su madre y su hermana.

Las autoridades registraron el apartamento, los dispositivos digitales y el vehículo de Curry en Charlotte, Carolina del Norte, pocas semanas después de que se pagara el rescate. Fue arrestado y puesto en libertad bajo fianza a finales de enero de 2024.

Los funcionarios dijeron que Curry inició su plan de extorsión después de enterarse de que su contrato con la empresa no sería renovado. Se enfrenta a hasta 12 años de prisión en el momento de la sentencia.

Puede leer la acusación completa a continuación.

Durante la última década, los expertos en ciberseguridad del gobierno federal han argumentado que la confianza, o la falta de ella, era clave para desarrollar políticas de seguridad efectivas para los sistemas y datos de las agencias.

Pero hoy en día, los ciberdelincuentes y los piratas informáticos patrocinados por el Estado utilizan la inteligencia artificial para desarrollar y lanzar ciberataques de forma más rápida y eficiente. Los gobiernos y las empresas se enfrentan a presiones para adoptar defensas de ciberseguridad basadas en IA, junto con arquitecturas de seguridad que deleguen decisiones clave de seguridad en agentes de IA.

Jennifer Franks, directora del Centro para una Ciberseguridad Mejorada de la Oficina de Responsabilidad Gubernamental, dijo que las agencias federales estaban actualmente lidiando con cómo hacer ambas cosas.

«Tenemos que considerar un enfoque dos en uno», dijo Franks el jueves en la Cumbre del Sector Público Elástico presentada por FedScoop. «No es algo que debamos considerar como una herramienta que sea bueno tener, es una necesidad necesaria en este momento en un entorno para analizar realmente las mejores prácticas para anticipar realmente a los adversarios que podrían atacar su entorno».

Zero Trust: un conjunto de principios de seguridad con raíces en la ciberseguridad más antigua conceptos como “acceso con privilegios mínimos”, básicamente sostiene que los defensores deben tratar todo lo que hay en su red como un activo potencial comprometido. Por lo tanto, todo requiere una verificación constante de la identidad, el acceso y la autorización para protegerse de piratas informáticos, violaciones de datos y amenazas internas.

Pero los investigadores de amenazas informan que los piratas informáticos malintencionados han podido aprovechar la automatización y el escalamiento impulsados ​​por la IA para aumentar significativamente la velocidad de sus ataques, lo que hace cada vez más difícil para los operadores humanos en el lado defensivo mantenerse al día o tomar decisiones en tiempo real.

En el mismo evento, Mike Nichols, gerente general de soluciones de seguridad de Elastic, dijo que su compañía y otras firmas de investigación de amenazas descubrieron que las herramientas de inteligencia artificial han ayudado a reducir el tiempo que lleva ejecutar un ataque y obtener acceso a la red de una organización a alrededor de 11 minutos.

Otras métricas del año pasado apuntan a una barrera más baja para los piratas informáticos maliciosos, incluida una disminución del 80 al 90 % en el costo de desarrollar malware personalizado y un aumento del 42 % en la explotación de cero días antes de la divulgación pública.

Sostuvo que los defensores de la ciberseguridad necesitarán adoptar la IA para defenderse a velocidades similares, llegando incluso a decir «si no la estás usando, vas a estar comprometido… como si eso fuera una garantía en este momento».

Nichols dijo que a pesar de lo que puedan prometer los “proveedores falsos”, actualmente no existe ninguna tecnología o proceso que pueda proporcionar a una organización operaciones de ciberseguridad genuinas, autónomas y con agencia. Los operadores humanos aún pueden controlar las decisiones críticas tomadas por los agentes de IA mediante la planificación inicial.

«La conclusión es que estas cosas ejecutan los procesos existentes y les agregan algo de razonamiento», dijo. «Y entonces… hay que tener un proceso bien engrasado y un proceso documentado».

Chase Cunningham, autor y veterano de la ciberseguridad, que se ganó el apodo de «Dr. Zero Trust» por su defensa de estos principios, dijo a CyberScoop que la IA agente puede coexistir «absolutamente» dentro de una arquitectura de seguridad Zero Trust, siempre y cuando se trate a los agentes como cualquier otra identidad no humana en una empresa.

Dijo que la microsegmentación de la red, los controles estrictos de las cuentas y el registro continuo se alinean con los principios de Confianza Cero y limitarían el daño potencial que podría causar un agente de IA.

«Es simplemente otra entidad en la red que necesita ser conocida, verificada, limitada, monitoreada y gobernada explícitamente», dijo. «Si no sabes qué modelo es, a qué datos puede acceder, a qué sistemas puede llamar, qué acciones puede tomar y bajo qué condiciones puede hacer esas cosas, entonces has introducido ambigüedad en el entorno. Y la ambigüedad es exactamente lo que se supone que debe eliminar Zero Trust».

Pero Nichols dijo que los humanos siempre deberían estar informados cuando los agentes toman decisiones en su nombre, y dijo que los proveedores de IA tenían la misma responsabilidad de brindar más transparencia detrás de los productos que venden.

«Ya no se puede tener una caja negra, no se puede tener una IA que diga 'oye, lo arreglamos, no voy a explicar por qué es así'», dijo Nichols. “Por diseño, necesitas encontrar un proveedor que sea API abierto [and who can provide] explicabilidad, el trabajo que tiene que estar ahí”.