El presidente Donald Trump firmó un orden ejecutiva El martes eso pretende limitar la votación por correo, aunque los críticos dicen que es casi seguro que la medida será impugnada en los tribunales por motivos constitucionales.

La orden ordena al secretario de Seguridad Nacional, al director de los Servicios de Inmigración y Ciudadanía de Estados Unidos y al comisionado de la Administración de la Seguridad Social compilar listas de votantes estadounidenses para cada estado, incluido su supuesto estatus de ciudadanía.

Para construir las listas, las agencias se basarían en la controvertida base de datos de Verificación Sistémica de Derechos de Extranjeros que el DHS ha estado construyendo bajo la administración Trump, así como en los registros federales de ciudadanía y naturalización del Seguro Social y.

Esas listas luego se transmitirían a los estados, la mayoría de los cuales ya han rechazado esfuerzos anteriores de la administración Trump para recopilar datos de votantes o dictar listas de registro de votantes. La orden de la Casa Blanca instruye al Departamento de Justicia a priorizar la investigación y el enjuiciamiento de funcionarios estatales y locales o cualquier otra persona involucrada en la administración de elecciones federales que emitan boletas federales a personas que no son elegibles para votar en una elección federal.

La orden también ordena al director general de correos que emita nuevas regulaciones propuestas que requieran que las boletas por correo se envíen en sobres especiales que incluyan códigos de barras para su seguimiento. Fundamentalmente, pregunta a los estados con anticipación si tienen la intención de presentar una lista de votantes elegibles para votar por correo e intenta hacer valer la autoridad para negar el envío de boletas a los estados que no participan. También afirma que el fiscal general tiene derecho a retener fondos federales de los estados que no cumplan.

Los esfuerzos anteriores de la administración Trump para hacer valer agresivamente la autoridad del poder ejecutivo sobre las elecciones han sido rechazados por los tribunales, y los jueces señalaron que la Constitución de los Estados Unidos faculta explícitamente a los estados y al Congreso para fijar el momento, la forma y el lugar de las elecciones.

La orden justifica la participación de la Casa Blanca al afirmar que tiene “un deber inevitable” según el Artículo II de la Constitución de mantener la confianza en los resultados electorales evitando violaciones del derecho penal. Pero numerosas auditorías, investigaciones y recuentos postelectorales han confirmado consistentemente durante décadas que el voto criminal de no ciudadanos es infinitamente raro en las elecciones estadounidenses, y para el pequeño número que lo hizo, la mayoría resultan ser accidentes o errores administrativos de décadas de antigüedad.

Las críticas de funcionarios electorales, expertos y demócratas en el Congreso no se hicieron esperar.

El secretario de Estado de Minnesota, Steve Simon, que se ha resistido a las demandas del Departamento de Justicia de entregar datos de los votantes estatales, predijo que la orden “correrá la misma suerte” que órdenes ejecutivas anteriores al ser revocada por los tribunales. Otros secretarios de Estado han emitido declaraciones similares rechazando la constitucionalidad de la orden.

«Nuestra oficina ha ayudado a detener sus acciones antes y ahora estamos explorando nuestras opciones legales para evitar que esta nueva orden entre en vigor», dijo Simon en un comunicado a CyberScoop.

También se mostró desconcertado por el voto por correo, calificándolo de una forma segura, confiable y conveniente para que los ciudadanos ejerzan su derecho al voto. Los funcionarios electorales locales “siguen cada boleta” enviada por correo y cuentan con una variedad de controles y salvaguardas para garantizar que se envíen únicamente a los votantes elegibles y que los votantes solo puedan emitir un voto.

“Los votantes ausentes que opten por votar por correo deben proporcionar un número de identificación coincidente, firmar el sobre con su firma y hacer que un testigo firme el sobre de su boleta antes de devolverla”, dijo Simon. «Toda esa información es rastreada digitalmente por los administradores electorales. Los votantes pueden rastrear el estado de su boleta utilizando nuestra herramienta de seguimiento de boletas en línea. Cualquier intento de registrarse o emitir un voto mientras no son elegibles se remite para investigación y posible procesamiento».

El senador Alex Padilla, demócrata por California, calificó la orden como un “abuso de poder flagrante e inconstitucional” y dijo que esperaba demandas “inmediatas” que cuestionaran su legalidad.

“El Presidente y el Departamento de Seguridad Nacional no tienen autoridad para controlar las elecciones federales ni ordenar al Servicio Postal independiente que socave el voto por correo y en ausencia del que dependieron casi 50 millones de estadounidenses en 2024”, dijo Padilla en un comunicado. «Una década de mentiras sobre el fraude electoral no cambia la Constitución».

David Becker, director ejecutivo del Centro para la Innovación e Investigación Electoral, dijo que los últimos mandatos de la administración están tan lejos de los límites constitucionales del poder ejecutivo que casi con seguridad serán detenidos mediante demandas.

«Algunos pueden asustarse por esto, pero, sinceramente, es muy gracioso», escribió Becker en Bluesky. «Es claramente inconstitucional, será bloqueado de inmediato y lo único que logrará es enriquecer a los abogados liberales. También podría firmar una orden ejecutiva que prohíba la gravedad».

Sin embargo, si bien los tribunales inferiores han anulado sistemáticamente órdenes y demandas anteriores de la Casa Blanca, los expertos electorales han expresado su preocupación de que la mayoría conservadora de la Corte Suprema, que ha chocado con los tribunales inferiores por la autoridad constitucional de la administración Trump, pareciera receptiva a la posición de la administración en un argumento oral reciente.

Alexandra Chandler, directora del programa Elecciones Libres y Justas de la organización sin fines de lucro Protect Democracy, dijo en un comunicado que la orden de la Casa Blanca “se parece más a un intento de anulación ejecutiva” de la autoridad estatal sobre las elecciones.

“Con la intención de resolver un problema que existe sólo en la falsa retórica de la administración Trump y su suerte política, el [order] «Es un ejemplo clásico de su manual para engañar al pueblo estadounidense e interrumpir el proceso electoral para negar cualquier resultado futuro que no les convenga», dijo Chandler.

Los actores de amenazas con vínculos con Irán irrumpieron con éxito en la cuenta de correo electrónico personal de Kash Patel, director de la Oficina Federal de Investigaciones (FBI) de Estados Unidos, y filtraron un alijo de fotografías y otros documentos a Internet.

Handala Hack Team, que llevó a cabo la violación, dijo en su sitio web que Patel «ahora encontrará su nombre entre la lista de víctimas pirateadas con éxito». En una declaración compartida con Reuters, el FBI confirmado Los correos electrónicos de Patel habían sido atacados y señalaron que se habían tomado las medidas necesarias para «mitigar los riesgos potenciales asociados con esta actividad».

La agencia también dijo que los datos publicados eran «de naturaleza histórica y no involucran información gubernamental». La filtración incluye correos electrónicos de 2010 y 2019 supuestamente enviados por Patel.

Se considera que Handala Hack es una persona hacktivista pro-iraní y pro-palestina adoptada por el Ministerio de Inteligencia y Seguridad de Irán (MOÍS). La comunidad de ciberseguridad lo rastrea bajo los apodos Banished Kitten, Cobalt Mystique, Red Sandstorm y Void Manticore, y el grupo también opera otra persona llamada Homeland Justice para apuntar a entidades albanesas desde mediados de 2022.

Una tercera persona vinculada al adversario afiliado a MOIS es Karma, que se dice que probablemente fue reemplazado por completo por Handala Hack desde finales de 2023.

Los datos recopilados por StealthMole han reveló que la presencia en línea de Handala se extiende más allá de las plataformas de mensajería y foros sobre delitos cibernéticos como BreachForums para dar a conocer sus actividades, manteniendo una infraestructura en capas que incluye dominios web superficiales, servicios alojados en Tor y plataformas externas de alojamiento de archivos como MEGA.

«Handala se ha dirigido constantemente a proveedores de servicios y TI en un esfuerzo por obtener credenciales, confiando en gran medida en cuentas VPN comprometidas para el acceso inicial», Check Point dicho en un informe publicado este mes. «A lo largo de los últimos meses, identificamos cientos de intentos de inicio de sesión y de fuerza bruta contra la infraestructura VPN organizacional vinculada a la infraestructura asociada a Handala».

Se sabe que los ataques montados por el grupo de proxy aprovechan RDP para el movimiento lateral e inician operaciones destructivas al eliminar familias de malware de limpieza como Handala Wiper y Handala PowerShell Wiper a través de scripts de inicio de sesión de Política de grupo. También se utilizan utilidades legítimas de cifrado de discos como VeraCrypt para complicar los esfuerzos de recuperación.

«A diferencia de los grupos cibercriminales motivados financieramente, la actividad asociada a Handala históricamente ha enfatizado la disrupción, el impacto psicológico y las señales geopolíticas», Flashpoint dicho. «Las operaciones atribuidas a la persona con frecuencia se alinean con períodos de elevada tensión geopolítica y, a menudo, apuntan a organizaciones con valor simbólico o estratégico».

El desarrollo viene en el contexto de la Conflicto Estados Unidos-Israel-Iránlo que llevó a Irán a lanzar una ciberofensiva de represalia contra objetivos occidentales. En particular, Handala Hack crédito reclamado por paralizar las redes del proveedor de servicios y dispositivos médicos Stryker al eliminar una gran cantidad de datos de la empresa y borrar miles de dispositivos de los empleados. El ataque es el primero confirmado Operación destructiva de limpieza dirigida a una empresa estadounidense Fortune 500.

En una actualización publicada en su sitio web esta semana, Stryker dicho «El incidente está contenido», y agregó que «reaccionó rápidamente no sólo para recuperar el acceso sino también para eliminar a la parte no autorizada de nuestro entorno» desmantelando los mecanismos de persistencia instalados. El incumplimiento, afirmó, fue confinado a su entorno interno de Microsoft.

Se ha descubierto que los actores de amenazas utilizan un archivo malicioso para ejecutar comandos que les permitieron ocultar sus acciones. Sin embargo, el archivo no posee ninguna capacidad para propagarse a través de la red, señaló Stryker.

Unidad 42 de Palo Alto Networks dicho El vector principal de las recientes operaciones destructivas de Handala Hack probablemente implica la «explotación de la identidad mediante phishing y acceso administrativo». a través de Microsoft Intune.» Hudson Rock tiene encontró evidencia de que las credenciales comprometidas asociadas con la infraestructura de Microsoft obtenidas a través de malware de robo de información pueden haberse utilizado para llevar a cabo el ataque.

A raíz de la infracción, ambos microsoft y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han publicado una guía sobre cómo fortalecer los dominios de Windows y fortalecer Intune para defenderse contra ataques similares. Esto incluye utilizar el principio de privilegio mínimo, aplicar la autenticación multifactor (MFA) resistente al phishing y habilitar la aprobación de múltiples administradores en Intune para cambios sensibles.

Flashpoint ha caracterizado el ataque a Stryker como un cambio peligroso en las amenazas a la cadena de suministro, ya que la actividad cibernética vinculada al estado dirigida a proveedores críticos y de logística puede tener impactos en cascada en todo el ecosistema de atención médica.

La filtración de Handala Hack de los correos electrónicos personales de Patel se produce en respuesta a una operación autorizada por el tribunal que condujo a la incautación de cuatro dominios operados por MOIS desde 2022 como parte de un esfuerzo por interrumpir sus actividades maliciosas en el ciberespacio. El gobierno de Estados Unidos también ofreciendo una recompensa de 10 millones de dólares para obtener información sobre los miembros del grupo. Los nombres de los dominios incautados se enumeran a continuación:

• justiciapatria[.]organización
• hackear handala[.]a
• karmabelow80[.]organización
• handala-redwanted[.]a

«Los dominios incautados […] fueron utilizados por el MOIS para promover intentos de operaciones psicológicas dirigidas a adversarios del régimen al reclamar crédito por actividades de piratería, publicar datos confidenciales robados durante dichos ataques y pedir el asesinato de periodistas, disidentes del régimen y personas israelíes», dijo el Departamento de Justicia de EE.UU. (DoJ) dicho.

Esto incluía los nombres y la información confidencial de aproximadamente 190 personas asociadas o empleadas por las Fuerzas de Defensa de Israel (FDI) y/o el gobierno israelí, y 851 GB de datos confidenciales de miembros de la comunidad judía jasídica Sanzer. Además, una dirección de correo electrónico vinculada al grupo («handala_team@outlook[.]com») supuestamente se utilizó para enviar amenazas de muerte a disidentes y periodistas iraníes que viven en Estados Unidos y otros lugares.

En un aviso separado, el FBI reveló que Handala Hack y otros actores cibernéticos de MOIS han empleado tácticas de ingeniería social para interactuar con posibles víctimas en aplicaciones de mensajería social para entregar malware de Windows capaz de permitir el acceso remoto persistente utilizando un bot de Telegram al enmascarar la carga útil de la primera etapa como programas de uso común como Pictory, KeePass, Telegram o WhatsApp.

El uso de Telegram (u otros servicios legítimos) como C2 es una táctica común de los actores de amenazas para ocultar la actividad maliciosa entre el tráfico normal de la red y reducir significativamente la probabilidad de detección. Los artefactos de malware relacionados encontrados en dispositivos comprometidos han revelado capacidades adicionales para grabar audio y pantalla mientras una sesión de Zoom estaba activa. Los ataques han tenido como objetivo a disidentes, grupos de oposición y periodistas, según el FBI.

«Los ciberactores de MOIS son responsables de utilizar Telegram como infraestructura de comando y control (C2) para impulsar malware dirigido a disidentes iraníes, periodistas opuestos a Irán y otros grupos de oposición en todo el mundo», dijo la oficina. dicho. «Este malware resultó en la recopilación de inteligencia, fugas de datos y daños a la reputación de las partes objetivo».

Handala Hack tiene desde que resurgió en un dominio clearnet diferente, «handala-team[.]», donde describió las incautaciones de dominio como «intentos desesperados de Estados Unidos y sus aliados para silenciar la voz de Handala».

El conflicto en curso también tiene provocó nuevas advertencias que corre el riesgo de convertir a los operadores del sector de infraestructura crítica en objetivos lucrativos, incluso cuando ha desencadenado un aumento en ataques DDoS, desfiguraciones del sitio weby operaciones de pirateo y filtración contra Israel y Organizaciones occidentales. Las entidades hacktivistas también han comprometido en operaciones psicológicas y de influencia con el objetivo de sembrar miedo y confusión entre las poblaciones objetivo.

En las últimas semanas, se ha observado que un grupo cibercriminal relativamente nuevo llamado Nasir Security tiene como objetivo el sector energético en Medio Oriente. «El grupo está atacando a los proveedores de la cadena de suministro involucrados en ingeniería, seguridad y construcción», Resecurity dicho. «Los ataques a la cadena de suministro atribuidos a Nasir Security probablemente sean llevados a cabo por cibermercenarios o individuos contratados o patrocinados por Irán o sus representantes».

«La actividad cibernética vinculada a este conflicto se está volviendo cada vez más descentralizada y destructiva», dijo en un comunicado Kathryn Raines, líder del equipo de inteligencia de amenazas cibernéticas de National Security Solutions en Flashpoint.

«Grupos como Handala y Fatimion están apuntando a organizaciones del sector privado con ataques diseñados para borrar datos, interrumpir servicios e introducir incertidumbre tanto para las empresas como para el público. Al mismo tiempo, estamos viendo un mayor uso de herramientas administrativas legítimas en estas operaciones cibernéticas, lo que hace que sea mucho más difícil de detectar para los controles de seguridad tradicionales».

Eso no es todo. Los actores vinculados a MOIS se han involucrado cada vez más con el ecosistema de delitos cibernéticos para respaldar sus objetivos y brindar cobertura a su actividad maliciosa. Esto incluye la integración por parte de Handala del ladrón Rhadamanthys en sus operaciones y el uso por parte de MuddyWater de la botnet Tsundere (también conocida como Dindoor) y Fakeset, el último de los cuales es un descargador utilizado para entregar CastleLoader.

«Dicho compromiso ofrece una doble ventaja: mejora las capacidades operativas a través del acceso a herramientas criminales maduras y a una infraestructura resistente, al tiempo que complica la atribución y contribuye a la confusión recurrente en torno a la actividad de amenaza iraní», Check Point dicho.

«El uso de tales herramientas ha creado una confusión significativa, lo que lleva a atribuciones erróneas y pivotamientos defectuosos, y a agrupar actividades que no están necesariamente relacionadas. Esto demuestra que el uso de software criminal puede ser efectivo para la ofuscación y resalta la necesidad de extrema precaución al analizar grupos superpuestos».

El phishing basado en voz, una forma de ingeniería social en la que los atacantes llaman a los empleados o al servicio de asistencia de TI con falsos pretextos en un intento de obtener acceso a las redes de las víctimas, aumentó en 2025, dijo Mandiant el lunes en su informe anual M-Trends.

Estos puntos de intrusión, que han sido un sello distintivo de los ataques atribuidos a miembros del colectivo de delitos cibernéticos The Com, incluidas ramas como Scattered Spider, representaron el 11% de todos los incidentes que Mandiant investigó el año pasado.

Las vulnerabilidades explotadas siguieron siendo el principal vector de acceso inicial por sexto año consecutivo, dando a los atacantes un punto de apoyo en el 32% de todos los incidentes el año pasado, dijo la compañía. Sin embargo, el aumento del phishing de voz marca un cambio preocupante en las tácticas, especialmente en ataques a gran escala con impactos radicales.

«Este tipo de ataque de ingeniería social es extremadamente poderoso. Consume más tiempo, obviamente requiere habilidades y habilidades de suplantación que los actores de la amenaza deben tener, especialmente cuando se comunican con su servicio de asistencia de TI», dijo a CyberScoop Jurgen Kutscher, vicepresidente de Mandiant. «Hemos visto claramente que varios actores de amenazas son muy especializados y tienen mucho éxito con este tipo de ataque».

El phishing basado en voz fue la raíz de múltiples ataques a los que Mandiant respondió el año pasado, incluidas campañas dirigidas a clientes de Salesforce atribuidas a grupos de amenazas que Google Threat Intelligence Group rastrea como UNC6040 y UNC6240.

Este cambio global en los ataques se vio más claramente en la fuerte caída del phishing basado en correo electrónico. Durante años, el phishing ha sido un método popular porque es barato y requiere poca habilidad técnica. Funciona de manera muy similar a la publicidad de gran volumen: una estrategia de rociar y orar centrada en llegar a la mayor cantidad de personas posible en lugar de una orientación específica.

Según Mandiant, el phishing por correo electrónico ya no es uno de los principales vectores de acceso inicial. La empresa de respuesta a incidentes dijo que solo fue responsable del 6% de las intrusiones el año pasado, frente al 14% en 2024 y el 22% en 2022.

«Cuanto mayor sea la inversión, mayor debe ser el pago», dijo Kutscher. “[Interactive phishing] requiere una cantidad significativa de tiempo e inversión. Entonces, como atacante, debes hacer eso cuando creas que hay un retorno significativo”.

Es difícil defenderse de estas técnicas porque están diseñadas para explotar los instintos humanos y eludir muchos controles de seguridad. «Siempre hemos dicho que, lamentablemente, el ser humano tiende a ser el eslabón más débil», dijo Kutscher.

Por supuesto, la ingeniería social no fue la única forma en que los atacantes obtuvieron acceso a las redes de las víctimas el año pasado. Los defectos explotados siguen siendo un problema persistente.

Las tres principales vulnerabilidades que Mandiant observó como vector de acceso inicial en 2025 incluyen CVE-2025-31324 en SAP NetWeaver, CVE-2025-61882 en Oracle E-Business Suite y CVE-2025-53770 en Microsoft SharePoint.

Los atacantes de diversos orígenes y objetivos explotaron las tres vulnerabilidades en masa y como días cero.

Mandiant registró 500.000 horas combinadas de investigaciones de respuesta a incidentes a nivel mundial el año pasado, frente a 450.000 horas en 2024.

Las empresas de tecnología fueron las más atacadas en 2025, representando el 17% de todos los incidentes. Las siguientes industrias más afectadas incluyeron finanzas con un 14,6%, servicios comerciales y profesionales con un 13,3% y atención médica con un 11,9%.