Los investigadores de ciberseguridad han advertido sobre un aumento en la actividad hacktivista de represalia luego de la operación coordinada entre Estados Unidos e Israel. Campaña militar contra Irán.con nombre en código Epic Fury y Roaring Lion.

«La amenaza hacktivista en Medio Oriente está muy desequilibrada, con dos grupos, Keymous+ y DieNet, impulsando casi el 70% de toda la actividad de ataque entre el 28 de febrero y el 2 de marzo», Radware dicho en un informe del martes. El primer ataque distribuido de denegación de servicio (DDoS) fue lanzado por Hider Nex (también conocido como Túnezn Maskers Cyber ​​Force) el 28 de febrero de 2026.

De acuerdo a detalles compartido por Orange Cyberdefense, Hider Nex es un oscuro grupo hacktivista tunecino que apoya causas pro palestinas. Aprovecha una estrategia de pirateo y filtración que combina ataques DDoS con violaciones de datos para filtrar datos confidenciales y avanzar en su agenda geopolítica. El grupo surgió a mediados de 2025.

En total, se registraron un total de 149 reclamaciones de hacktivistas DDoS dirigidas a 110 organizaciones distintas en 16 países. Los ataques fueron llevados a cabo por 12 grupos diferentes, entre ellos Keymus+, DieNety NoName057(16), que representó el 74,6% de toda la actividad.

De estos ataques, la gran mayoría, 107, se concentraron en Medio Oriente y apuntaron desproporcionadamente a infraestructuras públicas y objetivos a nivel estatal. Europa fue el objetivo del 22,8% de la actividad global total durante el período. Casi el 47,8% de todas las organizaciones objetivo a nivel mundial pertenecían al sector gubernamental, seguido por los sectores de finanzas (11,9%) y telecomunicaciones (6,7%).

«El frente digital se está expandiendo junto con el físico en la región, con grupos hacktivistas atacando simultáneamente a más naciones en el Medio Oriente que nunca», dijo Radware. «La distribución de los ataques dentro de la región se concentró en gran medida en tres naciones específicas: Kuwait, Israel y Jordania, donde Kuwait representó el 28%, Israel el 27,1% y Jordania el 21,5% del total de ataques reclamados».

Además de Keymous+, DieNet y NoName057(16), algunos de los otros grupos que han participado en operaciones disruptivas incluyen Nation of Saviors (NOS), Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, Cyber ​​Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors y PalachPro, según datos de Flashpoint, Palo Alto Networks Unit 42 y Radware.

El alcance actual de los ciberataques se enumera a continuación:

• Grupos hacktivistas prorrusos como Cardinal y Russian Legion reclamado haber violado las redes militares israelíes, incluido su sistema de defensa antimisiles Cúpula de Hierro.
• Se ha observado una campaña activa de phishing por SMS utilizando una réplica fraudulenta de la aplicación RedAlert del Home Front Command israelí para ofrecer vigilancia móvil y malware de filtración de datos. «Al manipular a las víctimas para que descarguen este APK malicioso bajo la apariencia de una actualización urgente en tiempos de guerra, los adversarios implementan con éxito una interfaz de alerta completamente funcional que enmascara un motor de vigilancia invasivo diseñado para aprovecharse de una población hipervigilante», CloudSEK dicho.
• El Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI) apuntó a los sectores de energía e infraestructura digital en Medio Oriente, atacando a Saudi Aramco y un centro de datos de Amazon Web Services en los Emiratos Árabes Unidos con la intención de «infligir el máximo dolor económico global como contrapresión a las pérdidas militares», dijo Flashpoint.
• Tormenta de arena de algodón (también conocido como Haywire Kitten) revivido su antiguo personaje cibernético, Equipo Altoufanafirmando haber pirateado sitios web en Bahréin. «Esto refleja la naturaleza reactiva de las campañas del actor y una alta probabilidad de su mayor participación en intrusiones en todo el Medio Oriente en medio del conflicto», dijo Check Point.
• Datos recopilados por Nozomi Networks muestra que el grupo de hackers patrocinado por el estado iraní conocido como UNC1549 (también conocido como GalaxyGato, Nimbus Manticore o Subtle Snail) fue el cuarto actor más activo en la segunda mitad de 2025, centrando sus ataques en entidades de defensa, aeroespaciales, de telecomunicaciones y de gobiernos regionales para promover las prioridades geopolíticas de la nación.
• Los principales intercambios de criptomonedas iraníes tienen permaneció operativo pero ajustes operativos anunciadosya sea suspendiendo o agrupando retiros, y emitiendo una guía de riesgo que insta a los usuarios a prepararse para una posible interrupción de la conectividad.
• «Lo que estamos viendo en Irán no es una evidencia clara de una fuga masiva de capitales, sino más bien un mercado que gestiona la volatilidad en condiciones conectividad restringida e intervención regulatoria», dijo Ari Redbord, Jefe Global de Políticas de TRM Labs. «Durante años, Irán ha operado una economía sumergida que, en parte, ha utilizado criptomonedas para evadir sanciones, incluso a través de sofisticadas infraestructuras extraterritoriales. Lo que estamos viendo ahora –bajo la presión de la guerra, los cortes de conectividad y los mercados volátiles– es una prueba de estrés en tiempo real de esa infraestructura y la capacidad del régimen para aprovecharla».
• sofos dicho «observó un aumento en la actividad hacktivista, pero no una escalada en el riesgo», principalmente de personas pro-Irán, incluido el equipo Handala Hack y APT Irán en forma de ataques DDoS, desfiguraciones de sitios web y afirmaciones no verificadas de compromisos que involucran infraestructura israelí.
• El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) alertado organizaciones a un mayor riesgo de ataques cibernéticos iraníes, instándolas a fortalecer su postura de ciberseguridad para responder mejor a ataques DDoS, actividad de phishingy Orientación ICS.

En una publicación compartida en LinkedIn, Cynthia Kaiser, vicepresidenta senior del centro de investigación de ransomware en Halcyon y ex subdirectora adjunta de la División Cibernética de la Oficina Federal de Investigaciones, dijo que Irán tiene un historial de uso de operaciones cibernéticas para tomar represalias contra «desaires políticos percibidos», y agregó que estas actividades han incorporado cada vez más ransomware.

«Teherán ha preferido durante mucho tiempo hacer la vista gorda, o al menos indiferente, a las operaciones cibernéticas privadas contra objetivos en EE.UU., Israel y otros países aliados», afirmó Kaiser. agregado. «Eso se debe a que tener acceso a ciberdelincuentes le da opciones al gobierno. Mientras Irán considera su respuesta a las acciones militares de Estados Unidos e Israel, es probable que active a cualquiera de estos ciberactores si cree que sus operaciones pueden generar un impacto de represalia significativo».

La empresa de ciberseguridad SentinelOne también ha juzgado con un alto nivel de confianza en que las organizaciones en Israel, los EE. UU. y las naciones aliadas probablemente enfrenten ataques directos o indirectos, particularmente dentro de los sectores gubernamental, de infraestructura crítica, de defensa, de servicios financieros, académicos y de medios.

«Los actores de amenazas iraníes han demostrado históricamente una voluntad de combinar operaciones de espionaje, perturbación e impacto psicológico para avanzar en objetivos estratégicos», Nozomi Networks dicho. «En períodos de inestabilidad, estas operaciones a menudo se intensifican, apuntando a infraestructuras críticas, redes de energía, entidades gubernamentales y la industria privada mucho más allá de la zona inmediata del conflicto».

Para contrarrestar el riesgo que plantea el conflicto cinético, se recomienda a las organizaciones activar el monitoreo continuo para reflejar la actividad de amenazas intensificada, actualizar las firmas de inteligencia de amenazas, reducir la superficie de ataque externo, realizar revisiones exhaustivas de la exposición de los activos conectados, validar la segmentación adecuada entre las redes de tecnología de la información y de tecnología operativa, y garantizar el aislamiento adecuado de los dispositivos de IoT.

«En conflictos pasados, los actores cibernéticos de Teherán han alineado su actividad con objetivos estratégicos más amplios que aumentan la presión y la visibilidad de los objetivos, incluida la energía, la infraestructura crítica, las finanzas, las telecomunicaciones y la atención médica», dijo Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike, en un comunicado compartido con The Hacker News.

«Los adversarios iraníes han seguido evolucionando su oficio, expandiéndose más allá de las intrusiones tradicionales hacia la nube y las operaciones centradas en la identidad, lo que los posiciona para actuar rápidamente en entornos empresariales híbridos con mayor escala e impacto».

El actor de amenazas detrás de la campaña asistida por inteligencia artificial (IA) recientemente revelada dirigida a los dispositivos Fortinet FortiGate aprovechó una plataforma de prueba de seguridad nativa de IA de código abierto llamada CyberStrikeAI para ejecutar los ataques.

Los nuevos hallazgos provienen del equipo Cymru, que detectó su uso tras un análisis de la dirección IP («212.11.64[.]250») que fue utilizado por el presunto actor de amenazas de habla rusa para realizar escaneos masivos automatizados en busca de dispositivos vulnerables.

CyberStrikeAI es una «herramienta de seguridad ofensiva (OST) de inteligencia artificial (IA) de código abierto desarrollada por un desarrollador con sede en China que consideramos que tiene algunos vínculos con el gobierno chino», dijo el investigador de seguridad Will Thomas (alias @BushidoToken) dicho.

Los detalles de la actividad impulsada por la IA salieron a la luz el mes pasado cuando Amazon Threat Intelligence dijo que detectó que un atacante desconocido apuntaba sistemáticamente a dispositivos FortiGate utilizando servicios de inteligencia artificial (IA) generativa como Anthropic Claude y DeepSeek, comprometiendo más de 600 dispositivos en 55 países.

Según el descripción En su repositorio de GitHub, CyberStrikeAI está construido en Go e integra más de 100 herramientas de seguridad para permitir el descubrimiento de vulnerabilidades, el análisis de la cadena de ataques, la recuperación de conocimientos y la visualización de resultados. Lo mantiene un desarrollador chino que utiliza el alias en línea Ed1s0nZ.

Team Cymru dijo que observó 21 direcciones IP únicas ejecutando CyberStrikeAI entre el 20 de enero y el 26 de febrero de 2026, con servidores alojados principalmente en China, Singapur y Hong Kong. Se han detectado servidores adicionales relacionados con la herramienta en EE. UU., Japón y Suiza.

La cuenta Ed1s0nZ, además de albergar CyberStrikeAI, ha publicado varias otras herramientas que demuestran su interés en la explotación y el jailbreak de los modelos de IA.

• herramienta de marca de agua, para agregar marcas de agua digitales invisibles a los documentos.
• banana_blackmail, un ransomware basado en Golang,
• PrivHunterAI, una herramienta basada en Golang que utiliza modelos Kimi, DeepSeek y GPT para detectar vulnerabilidades de escalada de privilegios.
• ChatGPTJailbreak, que contiene un archivo README.md con indicaciones para hacer jailbreak a OpenAI ChatGPT engañándolo para que ingrese al modo Do Anything Now (DAN) o pidiéndole que actúe como ChatGPT con el modo de desarrollador habilitado.
• InfiltrateX, un escáner basado en Golang para detectar vulnerabilidades de escalada de privilegios.
• VigilantEye, una herramienta basada en Golang que monitorea la divulgación de información confidencial, como números de teléfono y números de tarjetas de identificación, en bases de datos. Está configurado para enviar una alerta a través de un bot de WeChat Work si se detecta una posible violación de datos.

«Además, las actividades de Ed1s0nZ en GitHub indican que interactúan con organizaciones que apoyan operaciones cibernéticas potencialmente patrocinadas por el gobierno chino», dijo Thomas. «Esto incluye empresas del sector privado chino que tienen vínculos conocidos con el Ministerio de Seguridad del Estado (MSS) chino».

Una de esas empresas que el desarrollador tiene interactuado con es Conocidosec 404un proveedor de seguridad chino que sufrió una fuga importante de más de 12.000 documentos internos a finales del año pasado, exponiendo los datos de los empleados de la empresa, la clientela gubernamental, las herramientas de piratería, grandes volúmenes de datos robados, como registros de llamadas de Corea del Sur e información relacionada con las organizaciones de infraestructura crítica de Taiwán, y el funcionamiento interno de las operaciones cibernéticas en curso dirigidas a otros países.

«Aparentemente, KnownSec parecía ser simplemente otra empresa de seguridad, pero esto es sólo una verdad a medias», DomainTools anotado en un análisis publicado en enero, describiéndolo como un «contratista cibernético alineado con el estado» capaz de apoyar la seguridad nacional, la inteligencia y los objetivos militares de China.

«En realidad, […] tiene una organización en la sombra que trabaja para el EPL, el MSS y los órganos del estado de seguridad chino. Esta filtración expone a una empresa que opera mucho más allá del papel de un proveedor típico de ciberseguridad. Herramientas como ZoomEye y Critical Infrastructure Target Library brindan a China un sistema de reconocimiento global que cataloga millones de IP, dominios y organizaciones extranjeras mapeadas por sector, geografía y valor estratégico».

También se ha observado que Ed1s0nZ realiza modificaciones activas en un archivo README.md ubicado en un repositorio del mismo nombre. eliminando referencias a ellos haber sido honrados con el Premio de Contribución de Nivel 2 a la Base de Datos Nacional de Vulnerabilidad de Seguridad de la Información de China (CNNVD). El desarrollador también ha afirmado que «todo lo que se comparte aquí es puramente para investigación y aprendizaje».

De acuerdo a investigación Publicado por Bitsight el mes pasado, China mantiene dos bases de datos de vulnerabilidades diferentes: CNNVD y la Base de datos nacional de vulnerabilidades de China (CNVD). Mientras que la CNNVD está supervisada por el Ministerio de Seguridad del Estado, la CNVD está controlada por la CNCERT. Los hallazgos anteriores de Recorded Future han reveló que CNNVD tarda más en publicar vulnerabilidades con puntuaciones CVSS más altas que vulnerabilidades con puntuaciones más bajas.

«El reciente intento del desarrollador de eliminar las referencias al CNNVD de su perfil de GitHub apunta a un esfuerzo activo para ocultar estos vínculos estatales, probablemente para proteger la viabilidad operativa de la herramienta a medida que crece su popularidad», dijo Thomas. «La adopción de CyberStrikeAI está a punto de acelerarse, lo que representa una evolución preocupante en la proliferación de herramientas de seguridad ofensivas mejoradas por IA».

La mayoría de los equipos de SaaS recuerdan el día en que el tráfico de usuarios empezó a crecer rápidamente. Pocos se dan cuenta del día en que los robots empezaron a atacarlos.

Sobre el papel, todo parece genial: más registros, más sesiones, más llamadas API. Pero en realidad, algo se siente mal:

• Los registros aumentan, pero los usuarios no se activan.
• Los costos de los servidores aumentan más rápido que los ingresos.
• Los registros están llenos de solicitudes repetidas de agentes de usuario extraños.

Si esto le suena familiar, no es sólo una señal de popularidad. Su aplicación está bajo constante ataque automatizado, incluso si no han llegado correos electrónicos de rescate. Su balanceador de carga ve el tráfico. Su equipo de producto ve «crecimiento». Su base de datos ve dolor.

Aquí es donde encaja un WAF como SafeLine.

Línea segura es un firewall de aplicaciones web (WAF) autohospedado que se ubica frente a su aplicación e inspecciona cada solicitud HTTP antes de que llegue a su código.

No solo busca paquetes rotos o IP malas conocidas. Observa cómo se comporta el tráfico: qué envía, a qué velocidad, en qué patrones y contra qué puntos finales.

En este artículo, mostraremos cómo se ven los ataques reales para un producto SaaS, cómo los bots explotan la lógica empresarial y cómo SafeLine puede proteger su aplicación sin agregar trabajo adicional a su equipo.

Los ataques que realmente ven los productos SaaS

Cuando la gente dice «ataques web», muchos piensan sólo en inyección SQL o XSS. Todavía existen y SafeLine los bloquea con un motor de análisis semántico integrado.

El motor de análisis semántico de SafeLine lee las solicitudes HTTP como un ingeniero de seguridad. En lugar de simplemente buscar palabras clave, comprende el contexto, decodifica cargas útiles, detecta tipos de campos extraños y reconoce la intención de ataque en SQL, JS, NoSQL y marcos modernos. Bloquea robots sofisticados y días cero con una precisión del 99,45 % y no es necesario realizar ajustes constantes en las reglas.

Solicitudes maliciosas bloqueadas por SafeLine

Pero para SaaS, los ataques más dolorosos no siempre son los más “técnicos”. Ellos son los que modifican las reglas de su negocio.

Ejemplos comunes:

• Registros falsos: Los scripts de registro automatizados generan pruebas gratuitas, graban códigos de invitación o obtienen cupones de descuento.
• Relleno de credenciales: Los bots prueban pares de nombre de usuario/contraseña filtrados en su punto final de inicio de sesión hasta que algo funciona.
• raspado de API: Los competidores o raspadores genéricos recorren su API, página por página, copiando su contenido o precios.
• Automatización abusiva: Un usuario (o botnet) desencadena trabajos pesados ​​en segundo plano, tareas de exportación o tormentas de webhooks por los que usted paga.
• Picos de tráfico de bots: Oleadas repentinas de solicitudes programadas llegan a los mismos puntos finales, no lo suficientemente grandes como para ser un DDoS clásico, pero sí lo suficiente como para ralentizar todo.

La parte complicada es que todas estas solicitudes parecen «normales» a nivel HTTP.

Ellos son:

• Bien formado
• A menudo a través de HTTPS
• Usando su API documentada

Por qué un WAF autohospedado tiene sentido para SaaS

Hay muchos productos WAF en la nube. Funcionan bien para muchos equipos. Pero los productos SaaS tienen algunas preocupaciones especiales:

• Control de datos: Es posible que no desee que todas las solicitudes y respuestas fluyan a través de la nube de otra empresa.
• Latencia y enrutamiento: Los saltos externos adicionales pueden ser importantes para los usuarios globales.
• Depuración: Cuando un WAF en la nube bloquea algo, a menudo se ve un mensaje vago, no un contexto completo.

SafeLine toma un camino diferente:

• Es autohospedado y se ejecuta como un proxy inverso frente a su aplicación.
• Mantienes el control total sobre los registros y el tráfico.
• Puede ver exactamente por qué se bloqueó una solicitud en sus propios paneles.

Para los equipos SaaS, eso significa que puedes:

• Cumpla con las demandas más estrictas de los clientes o de cumplimiento sobre dónde fluyen los datos.
• Ajuste las reglas sin abrir un ticket de soporte.
• Trate su configuración WAF como parte de su infraestructura normal, no como un servicio de caja negra.

Cómo SafeLine ve y detiene el tráfico de bots

Los bots no son una sola cosa. Algunos son guiones torpes; algunos son casi indistinguibles de los usuarios reales. SafeLine utiliza varias capas para abordarlos.

1. Comprender el tráfico, no solo las firmas

SafeLine combina comprobaciones basadas en reglas con análisis semántico de solicitudes.

En la práctica, eso significa que analiza:

• Parámetros y cargas útiles (para intentos de inyección, codificaciones extrañas, patrones de explotación).
• Estructuras de URL y rutas de acceso (para escáneres, rastreadores y kits de explotación).
• Frecuencia y distribución de llamadas (por abuso de inicio de sesión, scraping y ataques sutiles de inundación).

Esto es lo que le permite:

• Bloquee los ataques web clásicos con una baja tasa de falsos positivos.
• Detectar patrones extraños que no coinciden con ninguna «firma» pero que claramente no son un comportamiento normal del usuario.

2. Desafíos anti-bot

Algunos bots sólo pueden detenerse obligándolos a demostrar que no son máquinas. SafeLine incluye un Desafío anti-bots Característica: cuando detecta tráfico sospechoso, puede presentar un desafío que los navegadores reales manejan, pero los bots fallan.

Puntos clave:

• Los usuarios humanos normales apenas lo notan.
• Los rastreadores, scripts y herramientas de abuso básicos se bloquean o ralentizan drásticamente.
• Tú decides dónde habilitarlo: registro, inicio de sesión, páginas de precios o API específicas.

3. Limitación de tarifas como red de seguridad

Para SaaS, “demasiado de algo bueno” es un problema real. Una integración demasiado entusiasta, un script defectuoso o un ataque pueden agotar los recursos.

SafeLine limitación de velocidad te permite:

• Limite la cantidad de solicitudes que una IP o token puede realizar a puntos finales específicos por segundo, minuto u hora.
• Proteja el inicio de sesión, el registro y las costosas API contra la fuerza bruta y las inundaciones.
• Mantenga su aplicación estable incluso bajo picos anormales.

Esto es esencial para:

• Proteger los niveles gratuitos del abuso.
• Evitar que las “llamadas API ilimitadas” se conviertan en “facturas ilimitadas en la nube”.

4. Controles de identidad y acceso

Algunas partes de su SaaS nunca deberían ser públicas:

• Paneles internos
• Funciones beta tempranas
• Herramientas de administración específicas de la región

SafeLine proporciona una desafío de autenticación característica. Cuando está habilitado, los visitantes deben ingresar una contraseña que usted establezca antes de poder continuar.

Esta es una forma sencilla de:

• Oculte entornos internos o de prueba de escáneres y bots.
• Reduzca el radio de explosión de rutas mal configuradas u olvidadas.

Una historia sencilla: un equipo SaaS frente al abuso de bots

Hay un pequeño producto B2B SaaS:

• Menos de 10 personas en el equipo.
• Nginx al frente de un conjunto de API REST.
• Pruebas gratuitas, registro público y documentos API abiertos.

Al principio, los números parecen buenos. Entonces:

• Los registros falsos ascienden a entre 150 y 200 por día.
• Los picos de CPU alcanzan el 70 % debido a los intentos de inicio de sesión y al tráfico abusivo.
• La base de datos crece más rápido que los usuarios de pago.

Cuando agregan SafeLine:

• Lo implementan detrás de Nginx, como un WAF autohospedado.
• Permiten la detección de bots, límites de tasas de registro e inicio de sesión y reglas básicas de abuso para cuentas nuevas.

Dentro de una semana:

• Los registros falsos caen por debajo de 10 por día.
• La CPU se estabiliza alrededor del 40%.
• La conversión comienza a recuperarse porque los usuarios reales enfrentan menos obstáculos.

Lo interesante no son los números.

Es lo que hizo el equipo. no tienes que hacer:

• No diseñaron una limitación compleja en la aplicación.
• No mantenían un código personalizado de bloqueo de bots.
• Durante meses no discutieron sobre si podían enviar el tráfico a un servicio de inspección externo.

SafeLine tomó silenciosamente la primera ola de abuso y el equipo de producto se centró nuevamente en las funciones y los clientes.

Cómo encaja SafeLine en una pila SaaS

Desde el punto de vista de la arquitectura, SafeLine se comporta como un proxy inverso:

• Tráfico externo → SafeLine → sus servidores Nginx/aplicaciones.

Esto hace que sea más fácil de adoptar sin tener que reescribir su producto.

Puede:

• Coloque SafeLine frente a su aplicación web principal y puerta de enlace API.
• Enrute lentamente más dominios y servicios a través de él a medida que gane confianza.

El panel de SafeLine se convierte entonces en su “consola de seguridad”:

• Verá registros de ataques: qué IP intentó qué, qué regla se activó, qué carga útil se bloqueó.
• Ve tendencias: mayores escaneos, nuevos tipos de cargas útiles o patrones de bots en crecimiento.
• Puede ajustar las reglas y protecciones con unos pocos clics.

Implementación y facilidad de uso

SafeLine WAF está diseñado para operadores de SaaS que quizás no tengan equipos de seguridad dedicados.

Una implementación suele tardar menos de 10 minutos. A continuación se muestra el comando de implementación con un solo clic:

bash -c «$(curl -fsSLk https://waf.chaitin.com/release/latest/manager.sh)» — –es

Consulte la documentación oficial para obtener instrucciones detalladas: https://docs.waf.chaitin.com/en/GetStarted/Deploy

Más importante aún, Línea segura todavía ofrece una edición gratuita para todos los usuarios de todo el mundo. Entonces, una vez que lo instales, estará listo para usar nada más sacarlo de la caja, sin ningún costo adicional. Sólo cuando necesite funciones avanzadas se requiere una licencia paga.

Después de la instalación, verás una interfaz limpia con una experiencia de configuración súper simple e intuitiva. Proteja su primera aplicación siguiendo este tutorial oficial: https://docs.waf.chaitin.com/en/GetStarted/AddApplication.

Una vez configurado, el WAF funciona de forma autónoma y proporciona visibilidad detallada de las amenazas y las acciones de mitigación.

Mirando hacia el futuro: seguridad continua

El panorama de amenazas está en constante evolución. Los bots son cada vez más inteligentes, los ataques están cada vez más dirigidos y las plataformas SaaS siguen aumentando en complejidad. Para mantenerse a la vanguardia, las empresas deben:

• Supervise el comportamiento del tráfico continuamente
• Adapte dinámicamente las reglas de limitación de velocidad y detección de bots
• Audite periódicamente los registros para detectar actividades inusuales
• Asegúrese de que los puntos finales sensibles tengan protecciones en capas

El enfoque de SafeLine se alinea perfectamente con estas necesidades, proporcionando una capa de seguridad flexible basada en datos que crece con su negocio SaaS.

Para aquellos interesados ​​en explorar la tecnología de primera mano, visite el Repositorio SafeLine GitHub o experimentar el Demostración en vivo. O simplemente puedes ir directamente a instalar ¡Pruébalo y pruébalo gratis para siempre!

La Fundación Shadowserver ha reveló que más de 900 instancias de Sangoma FreePBX aún permanecen infectadas con web shells como parte de ataques que explotaron una vulnerabilidad de inyección de comandos a partir de diciembre de 2025.

De estos, 401 instancias están ubicados en Estados Unidos, seguidos por 51 en Brasil, 43 en Canadá, 40 en Alemania y 36 en Francia.

La entidad sin fines de lucro dijo que los compromisos probablemente se logren mediante la explotación de CVE-2025-64328 (puntaje CVSS: 8.6), una falla de seguridad de alta gravedad que podría permitir la inyección de comandos posteriores a la autenticación.

«El impacto es que cualquier usuario con acceso al panel de administración de FreePBX podría aprovechar esta vulnerabilidad para ejecutar comandos de shell arbitrarios en el host subyacente», FreePBX dicho en un aviso sobre la falla en noviembre de 2025. «Un atacante podría aprovechar esto para obtener acceso remoto al sistema como usuario de asterisco».

La vulnerabilidad afecta a las versiones de FreePBX superiores a la 17.0.2.36 inclusive. Se resolvió en la versión 17.0.3. Como mitigaciones, se recomienda agregar controles de seguridad para garantizar que solo los usuarios autorizados tengan acceso al Panel de control del administrador (ACP) de FreePBX, restringir el acceso desde redes hostiles al ACP y actualizar el módulo de almacén de archivos a la última versión.

Desde entonces, la vulnerabilidad ha sido objeto de explotación activa en la naturaleza, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) a principios de este mes.

Fuente: La Fundación Shadowserver

En un informe publicado a finales del mes pasado, Fortinet FortiGuard Labs reveló que el actor de amenazas detrás de la operación de fraude cibernético con nombre en código INJ3CTOR3 ha estado explotando CVE-2025-64328 desde principios de diciembre de 2025 para entregar un shell web con nombre en código EncystPHP.

«Al aprovechar los contextos administrativos de Elastix y FreePBX, el shell web opera con privilegios elevados, lo que permite la ejecución de comandos arbitrarios en el host comprometido e inicia la actividad de llamadas salientes a través del entorno PBX», señaló la compañía de ciberseguridad.

Se recomienda a los usuarios de FreePBX que actualicen sus implementaciones de FreePBX a la última versión lo antes posible para contrarrestar las amenazas activas.