La agencia federal encargada de analizar las vulnerabilidades de seguridad está abrumada mientras ella y otras autoridades luchan por seguir el ritmo de una avalancha de defectos que crece cada año. El Instituto Nacional de Estándares y Tecnología anunció el miércoles que ha capitulado ante ese diluvio y redujo las prioridades para su Base de Datos Nacional de Vulnerabilidad.

NIST dijo que solo dará prioridad al análisis de CVE que aparecen en la Agencia de Seguridad de Infraestructura y Ciberseguridad. catálogo de vulnerabilidades explotadas conocidassoftware utilizado en el gobierno federal y software crítico definido en Orden Ejecutiva 14028.

El objetivo de la agencia federal con el cambio es lograr la sostenibilidad a largo plazo y estabilizar el programa NVD, que ha enfrentado desafíos anteriores, en particular una falta de financiamiento a principios de 2024 que obligó al NIST a dejar de proporcionar metadatos clave para muchas vulnerabilidades en la base de datos temporalmente.

La agencia aún no ha eliminado una acumulación de CVE no enriquecidos que se acumularon durante esa pausa y crecieron desde entonces.

El NIST dijo que analizó casi 42.000 vulnerabilidades el año pasado, y agregó que los envíos de CVE aumentaron un 263% entre 2020 y 2025. «No esperamos que esta tendencia disminuya pronto. Los envíos durante los primeros tres meses de 2026 son casi un tercio más altos que en el mismo período del año pasado», dijo la agencia en una publicación de blog anunciando el cambio.

De hecho, las vulnerabilidades están aumentando en todos los ámbitos. Por ejemplo, Microsoft abordó 165 vulnerabilidades el martes, su segundo mayor lote mensual de defectos registrado.

El NIST dijo que los CVE que no se ajusten a sus criterios más estrictos seguirán figurando en el NVD, pero no se enriquecerán automáticamente con detalles adicionales.

«Esto nos permitirá centrarnos en los CVE con mayor potencial de impacto generalizado», dijo la agencia. «Si bien los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sistémico que aquellos en las categorías priorizadas».

Los investigadores y cazadores de amenazas que analizan vulnerabilidades para las autoridades de numeración CVE (CNA) y los proveedores que publican sus propias evaluaciones ven el nuevo enfoque del NIST como inevitable.

«Tenían que hacer algo. El NIST estaba lamentablemente atrasado en la clasificación de CVE y probablemente nunca se habría puesto al día», dijo a CyberScoop Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro.

«No estoy seguro de si fue una tarea hercúlea o sísifo, pero de cualquier manera, estaban destinados al fracaso según su sistema anterior. Este cambio les permite priorizar su trabajo», añadió.

El nuevo enfoque del NIST afectará a la comunidad de investigación de vulnerabilidad en general, pero también pondrá a más empresas y organizaciones privadas en condiciones de ganar más autoridad a medida que los defensores busquen más fuentes alternativas.

Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, dijo anteriormente a CyberScoop que la priorización sigue siendo un problema, ya que demasiados defensores prestan atención a vulnerabilidades que no merecen su tiempo.

De las más de 40.000 vulnerabilidades recientemente publicadas que VulnCheck catalogó el año pasado, sólo el 1% de esos defectos, sólo 422, fueron explotados en estado salvaje.

El NIST también está tratando de reducir otros esfuerzos engañosos con su nuevo enfoque, apoyándose aún más en las CNA. Los CVE que se presenten con una clasificación de gravedad ya no recibirán una puntuación CVSS separada del NIST, dijo la agencia.

Si bien la agencia sigue siendo la autoridad máxima que proporciona un catálogo de evaluaciones de vulnerabilidad respaldado por el gobierno, reconoció que estos cambios afectarán a sus usuarios.

«Este enfoque basado en el riesgo es necesario para gestionar el aumento actual de presentaciones de CVE mientras trabajamos para alinear nuestros esfuerzos con las necesidades de la comunidad NVD», dijo la agencia. «Al hacer evolucionar el NVD para hacer frente a los desafíos actuales, podemos garantizar que la base de datos siga siendo una fuente de información confiable, sostenible y disponible públicamente sobre las vulnerabilidades de ciberseguridad».

Se ha observado que los actores de amenazas utilizan n8n, una popular plataforma de automatización de flujo de trabajo de inteligencia artificial (IA), para facilitar campañas de phishing sofisticadas y entregar cargas útiles maliciosas o dispositivos de huellas dactilares mediante el envío de correos electrónicos automatizados.

«Al aprovechar la infraestructura confiable, estos atacantes evitan los filtros de seguridad tradicionales y convierten las herramientas de productividad en vehículos de entrega para un acceso remoto persistente», afirman los investigadores de Cisco Talos, Sean Gallagher y Omid Mirzaei. dicho en un análisis publicado hoy.

N8n es una plataforma de automatización del flujo de trabajo que permite a los usuarios conectar varias aplicaciones web, API y servicios de modelos de IA para sincronizar datos, crear sistemas agentes y ejecutar tareas repetitivas basadas en reglas.

Los usuarios pueden registrarse para obtener una cuenta de desarrollador sin costo adicional para aprovechar un servicio administrado alojado en la nube y ejecutar flujos de trabajo de automatización sin tener que configurar su propia infraestructura. Sin embargo, al hacerlo, se crea un dominio personalizado único que sigue el formato: .app.n8n.cloud: desde donde un usuario puede acceder a sus aplicaciones.

La plataforma también admite la capacidad de crear webhooks para recibir datos de aplicaciones y servicios cuando se activan ciertos eventos. Esto hace posible iniciar un flujo de trabajo después de recibir ciertos datos. Los datos, en este caso, se envían a través de una URL de webhook única.

Según Cisco Talos, son estos webhooks expuestos a URL los que utilizan el mismo *.app.n8n[.]subdominio de la nube: del que se ha abusado en ataques de phishing desde octubre de 2025.

«Un webhook, a menudo denominado ‘API inversa’, permite que una aplicación proporcione información en tiempo real a otra. Estas URL registran una aplicación como un ‘oyente’ para recibir datos, que pueden incluir contenido HTML extraído mediante programación», explicó Talos.

«Cuando la URL recibe una solicitud, se activan los siguientes pasos del flujo de trabajo, devolviendo resultados como un flujo de datos HTTP a la aplicación solicitante. Si se accede a la URL por correo electrónico, el navegador del destinatario actúa como la aplicación receptora y procesa la salida como una página web».

Lo que hace que esto sea significativo es que abre una nueva puerta para que los actores de amenazas propaguen malware mientras mantienen una apariencia de legitimidad al dar la impresión de que se originan en un dominio confiable.

Los actores de amenazas no perdieron el tiempo aprovechando el comportamiento para configurar URL de webhook n8n para la entrega de malware y la toma de huellas digitales del dispositivo. Se dice que el volumen de mensajes de correo electrónico que contienen estas URL en marzo de 2026 fue aproximadamente un 686% mayor que en enero de 2025.

En una campaña observada por Talos, se descubrió que los actores de amenazas incrustaban un enlace de webhook alojado en n8n en correos electrónicos que afirmaban ser un documento compartido. Al hacer clic en el enlace, el usuario accede a una página web que muestra un CAPTCHA que, al finalizar, activa la descarga de una carga útil maliciosa desde un host externo.

«Debido a que todo el proceso está encapsulado dentro del JavaScript del documento HTML, al navegador le parece que la descarga proviene del dominio n8n», señalaron los investigadores.

El objetivo final del ataque es entregar un ejecutable o un instalador MSI que sirva como conducto para versiones modificadas de herramientas legítimas de administración y monitoreo remoto (RMM) como Datto e ITarian Endpoint Management, y utilizarlas para establecer persistencia mediante el establecimiento de una conexión a un servidor de comando y control (C2).

Un segundo caso frecuente se refiere al abuso de n8n para la toma de huellas dactilares. Específicamente, esto implica incrustar en los correos electrónicos una imagen invisible o un píxel de seguimiento alojado en una URL de webhook n8n. Tan pronto como la misiva digital se abre a través de un cliente de correo electrónico, envía automáticamente una solicitud HTTP GET a la URL n8n junto con parámetros de seguimiento, como la dirección de correo electrónico de la víctima, lo que permite a los atacantes identificarla.

«Los mismos flujos de trabajo diseñados para ahorrar horas de trabajo manual a los desarrolladores ahora se están reutilizando para automatizar la entrega de malware y dispositivos de huellas digitales debido a su flexibilidad, facilidad de integración y automatización perfecta», dijo Talos. «A medida que continuamos aprovechando el poder de la automatización de código bajo, es responsabilidad de los equipos de seguridad garantizar que estas plataformas y herramientas sigan siendo activos y no pasivos».

Microsoft lanzó el martes actualizaciones para abordar un récord 169 fallos de seguridad en toda su cartera de productos, incluida una vulnerabilidad que ha sido explotada activamente en la naturaleza.

De estas 169 vulnerabilidades, 157 están clasificadas como importantes, ocho están clasificadas como críticas, tres están clasificadas como moderadas y una está clasificada como de gravedad baja. Noventa y tres de las fallas se clasifican como escalada de privilegios, seguidas de 21 vulnerabilidades de divulgación de información, 21 de ejecución remota de código, 14 de omisión de funciones de seguridad, 10 de suplantación de identidad y nueve de denegación de servicio.

También se incluyen entre las 169 fallas cuatro CVE no emitidos por Microsoft que afectan a AMD (CVE-2023-20585), Node.js (CVE-2026-21637), Windows Secure Boot (CVE-2026-25250) y Git para Windows (CVE-2026-32631). Las actualizaciones se suman a 78 vulnerabilidades que se han solucionado en su navegador Edge basado en Chromium desde la actualización que se lanzó el mes pasado.

El lanzamiento lo convierte en el segundo martes de parches más grande de la historia, un poco por debajo del récord establecido en octubre de 2025, cuando Microsoft solucionó 183 fallas de seguridad masivas. «A este ritmo, 2026 está en camino de afirmar que más de 1000 CVE Patch Tuesday al año es la norma», dijo Satnam Narang, ingeniero senior de investigación de Tenable.

«No sólo eso, sino que los errores de elevación de privilegios continúan dominando el ciclo del martes de parches durante los últimos ocho meses, representando un récord del 57% de todos los CVE parcheados en abril, mientras que las vulnerabilidades de ejecución remota de código (RCE) han caído a sólo el 12%, empatadas con las vulnerabilidades de divulgación de información este mes».

La vulnerabilidad que ha sido objeto de explotación activa es CVE-2026-32201 (Puntuación CVSS: 6,5), una vulnerabilidad de suplantación de identidad que afecta a Microsoft SharePoint Server.

«La validación de entrada inadecuada en Microsoft Office SharePoint permite que un atacante no autorizado realice suplantación de identidad en una red», dijo Microsoft en un aviso. «Un atacante que explotara con éxito la vulnerabilidad podría ver información confidencial (Confidencialidad), realizar cambios en la información revelada (Integridad), pero no puede limitar el acceso al recurso (Disponibilidad)».

Aunque la vulnerabilidad se descubrió internamente, actualmente no se sabe cómo se está explotando, quién puede estar detrás de la actividad y la escala de dichos esfuerzos.

«Esta vulnerabilidad de día cero en Microsoft SharePoint Server es causada por una validación de entrada incorrecta, lo que permite a los atacantes falsificar contenidos o interfaces confiables a través de una red», dijo Mike Walters, presidente y cofundador de Action1.

«Al explotar esta falla, un atacante puede manipular cómo se presenta la información a los usuarios, potencialmente engañándolos para que confíen en contenido malicioso. Si bien el impacto directo sobre los datos es limitado, la capacidad de engañar a los usuarios hace que esta sea una herramienta poderosa para ataques más amplios».

La explotación activa de CVE-2026-32201 ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar a las vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) remedien la deficiencia antes del 28 de abril de 2026.

Otra vulnerabilidad a destacar es una falla de escalada de privilegios en Microsoft Defender (CVE-2026-33825puntuación CVSS: 7,8), que se marcó como de conocimiento público en el momento de su publicación. Según Redmond, la vulnerabilidad podría permitir a un atacante autorizado elevar los privilegios localmente aprovechando la falta de controles de acceso granular adecuados de Defender.

Microsoft señaló que no se requiere ninguna acción del usuario para instalar la actualización para CVE-2026-33825, ya que la plataforma se actualiza con frecuencia de forma predeterminada. Los sistemas que han desactivado Microsoft Defender no se encuentran en un estado explotable.

Una de las vulnerabilidades más graves es un caso de ejecución remota de código que afecta las extensiones del servicio de intercambio de claves de Internet (IKE) de Windows. CVE-2026-33824el defecto de seguridad tiene una puntuación CVSS de 9,8 sobre 10,0.

«La explotación requiere que un atacante envíe paquetes especialmente diseñados a una máquina Windows con IKE v2 habilitado, lo que podría permitir la ejecución remota de código», dijo Adam Barnett, ingeniero de software líder en Rapid7, en un comunicado.

«Las vulnerabilidades que conducen a RCE no autenticado contra activos modernos de Windows son relativamente raras, o veríamos más vulnerabilidades que se pueden propagar a través de Internet. Sin embargo, dado que IKE proporciona servicios de negociación de túneles seguros, por ejemplo, para VPN, está necesariamente expuesto a redes que no son de confianza y es accesible en un contexto de autorización previa».

Walters señaló que la falla de seguridad representa una seria amenaza para los entornos empresariales, particularmente aquellos que dependen de VPN o IPsec para comunicaciones seguras. La explotación exitosa de la vulnerabilidad podría comprometer completamente el sistema, permitiendo a los delincuentes robar datos confidenciales, interrumpir operaciones o moverse lateralmente a través de la red.

«La falta de interacción requerida por parte del usuario hace que esto sea especialmente peligroso para los sistemas conectados a Internet. Su baja complejidad de ataque y su impacto total en el sistema lo convierten en un candidato ideal para una rápida militarización», añadió Walters. «Los sistemas conectados a Internet que ejecutan servicios IKEv2 están particularmente en riesgo, y retrasar la implementación de parches aumenta la exposición a posibles ataques generalizados».

OpenAI presentado el martes GPT-5.4-Cibernéticouna variante de su último modelo estrella, GPT‑5.4que está optimizado específicamente para casos de uso de ciberseguridad defensiva, días después de que su rival Anthropic presentara su propio modelo de frontera, Mythos.

«El uso progresivo de la IA acelera a los defensores (los responsables de mantener seguros los sistemas, los datos y los usuarios) permitiéndoles encontrar y solucionar problemas más rápidamente en la infraestructura digital en la que todos confían», OpenAI dicho.

Junto con el anuncio, la compañía de inteligencia artificial (IA) dijo que está aumentando su acceso confiable para cibernética (TAC) programa a miles de defensores individuales autenticados y cientos de equipos responsables de proteger el software crítico.

Los sistemas de IA son inherentemente de doble uso, ya que los malos actores pueden reutilizar las tecnologías desarrolladas para aplicaciones legítimas en su propio beneficio y lograr objetivos maliciosos. Un área central de preocupación es que los adversarios podrían invertir los modelos ajustados para la defensa del software para detectar y explotar vulnerabilidades en software ampliamente utilizado antes de que puedan ser parcheados, exponiendo a los usuarios a riesgos significativos.

OpenAI dijo que el objetivo es democratizar el acceso a sus modelos y al mismo tiempo minimizar dicho uso indebido, así como fortalecer sus salvaguardias mediante una implementación deliberada e iterativa. La idea es permitir un uso responsable a escala, dar a los defensores una ventaja y, al mismo tiempo, reforzar las barreras contra las fugas y las inyecciones rápidas de los adversarios a medida que las capacidades del modelo se vuelven más avanzadas.

«A medida que avanzan las capacidades del modelo, nuestro enfoque es escalar la ciberdefensa al mismo tiempo: ampliar el acceso para los defensores legítimos mientras continuamos fortaleciendo las salvaguardas», agregó la compañía.

El fabricante de ChatGPT, que lanzó Codex Security como una forma de encontrar, validar y proponer soluciones para vulnerabilidades, reveló que el agente de seguridad de aplicaciones impulsado por IA ha contribuido a más de 3000 vulnerabilidades críticas y altamente reparadas.

El lanzamiento limitado de OpenAI sigue a la vista previa de Mythos de Anthropic, un modelo de frontera que se está implementando de manera controlada como parte del Proyecto. ala de cristal. El modelo, dijo la compañía, encontró «miles» de vulnerabilidades en sistemas operativos, navegadores web y otro software.

«El ecosistema más fuerte es aquel que identifica, valida y soluciona continuamente problemas de seguridad a medida que se escribe el software», dijo OpenAI. «Al integrar modelos de codificación avanzados y capacidades de agencia en los flujos de trabajo de los desarrolladores, podemos brindarles comentarios inmediatos y prácticos mientras construyen, cambiando la seguridad de auditorías episódicas e inventarios de errores estáticos a una reducción de riesgos continua y tangible».

La Agencia de Seguridad de Infraestructura y Ciberseguridad ha informado a los participantes del programa de Becas por Servicio del gobierno federal que ha cancelado los programas de pasantías de verano de este año debido a los problemas de financiación actuales en el Departamento de Seguridad Nacional.

Los correos electrónicos de CISA obtenidos por CyberScoop informaron recientemente a los solicitantes que la agencia no incorporará a ningún pasante de CyberCorps: Beca para Servicio este verano debido a los impactos de la interrupción de los fondos federales y la situación administrativa actual en el DHS. Para algunos solicitantes, los representantes de la agencia reconocieron que las cancelaciones representan un segundo año consecutivo de esfuerzos de colocación interrumpidos.

La Fundación Nacional de Ciencias (NSF) dirige y gestiona el programa, en coordinación con la Oficina de Gestión de Personal (OPM) y el DHS. El programa cubre la matrícula y proporciona estipendios para estudiantes especializados en ciberseguridad e inteligencia artificial. A cambio, los graduados deben realizar una pasantía y posteriormente trabajar en el servicio federal por un período igual a la duración de su beca.

Un funcionario de la OPM dijo a CyberScoop que la agencia está “en contacto activo con todas las agencias del gabinete federal sobre este tema y confiamos en que colocaremos a casi todos los participantes elegibles de la Beca para el Servicio dentro de los próximos dos meses”.

Un portavoz de la NSF declinó hacer comentarios. CISA no respondió a la solicitud de comentarios de CyberScoop.

El cierre repentino de las carteras de agencias pone de relieve cómo los solicitantes de empleo federales se encuentran actualmente atravesando un entorno de contratación paralizado, exacerbado por la agitación presupuestaria en el DHS y las reducciones de fuerza laboral propuestas bajo la administración Trump. El presupuesto fiscal de 2027 de la Casa Blanca recortaría el presupuesto de CISA en $707 millonessegún un resumen publicado a principios de este mes, lo que reduciría profundamente una agencia que ya recibió un gran golpe en el primer año del presidente Donald Trump.

Las fuentes dijeron a CyberScoop el martes que CISA se ha estado comunicando con solicitantes de pasantías que habían participado en una feria laboral virtual celebrada en febrero, donde se les dijo que la agencia tendría 100 puestos de pasantías disponibles. Sin embargo, se advirtió a los solicitantes que la agencia no podría contratar a nadie hasta que recibiera fondos.

Los participantes del programa expresaron su pesar a CyberScoop en noviembre pasado por haber participado en una iniciativa que los vincula a un empleador que actualmente no puede contratarlos. Según se informa, los administradores del programa han aconsejado a los estudiantes que sean creativos en su búsqueda de empleo, una directiva que causó frustración entre los participantes que dependen de los canales de colocación federales estándar.

En respuesta a la creciente acumulación de graduados no colocados, la OPM anunció planes para colaborar con la Fundación Nacional de Ciencias en un aplazamiento masivo. El director de la OPM, Scott Kupor, declaró que el aplazamiento se implementará una vez que se resuelva el cierre del gobierno, lo que brindará a los graduados tiempo adicional para asegurar puestos calificados.

El colapso estructural del proyecto CyberCorps presenta desafíos a largo plazo para la capacidad del gobierno federal de reclutar talento técnico. Se estima que Estados Unidos enfrenta actualmente 500.000 puestos vacantes en ciberseguridad. Históricamente, el programa de becas fue visto como un mecanismo confiable para evitar la competencia salarial del sector privado y asegurar talentos al comienzo de su carrera para el gobierno federal.

legisladores Actualmente están luchando por las facturas. eso pondría fin al cierre del DHS.

Tim Starks contribuyó a esta historia.

Investigadores de ciberseguridad han desenmascarado un novedoso esquema de fraude publicitario que aprovecha técnicas de envenenamiento de motores de búsqueda (SEO) y contenido generado por inteligencia artificial (IA) para introducir noticias engañosas en el sitio web de Google. Descubre el feed y engañar a los usuarios para que habiliten notificaciones persistentes en el navegador que conducen a scareware y estafas financieras.

La campaña, que se ha descubierto que se dirige a los feeds de contenido personalizados de los usuarios de Android y Chrome, lleva el nombre en código pushpaganda por el equipo de investigación e inteligencia sobre amenazas Satori de HUMAN.

«Esta operación, llamada así por las notificaciones automáticas centrales para el esquema, genera tráfico orgánico no válido desde dispositivos móviles reales al engañar a los usuarios para que se suscriban y activen notificaciones que presentan mensajes alarmantes», investigadores Louisa Abel, Vikas Parthasarathy, João Santos y Adam Sell dicho en un informe compartido con The Hacker News.

En su punto máximo, alrededor de 240 millones de solicitudes de oferta se asociaron con 113 dominios vinculados a la campaña durante un período de siete días. La amenaza, aunque se observó que apuntaba a la India, desde entonces se ha expandido a otras regiones como Estados Unidos, Australia, Canadá, Sudáfrica y el Reino Unido.

Los hallazgos demuestran cómo los actores de amenazas abusan de la IA para secuestrar superficies de descubrimiento confiables y convertirlas en vehículos de entrega de scareware, deepfakes y fraude financiero, dijo Gavin Reid, director de seguridad de la información de HUMAN. Desde entonces, Google ha implementado una solución para solucionar el problema del spam.

Todo el plan depende de que los estafadores atraigan a usuarios desprevenidos a través de Google Discover para engañarlos y hacerles visitar noticias engañosas llenas de contenido generado por IA. Una vez que un usuario llega a uno de los dominios controlados por el actor, se le obliga a habilitar notificaciones automáticas que generan estafas y amenazas legales falsas.

Específicamente, una vez que se hace clic en las notificaciones de scareware, se redirige a los usuarios a sitios adicionales operados por los actores de la amenaza, lo que genera tráfico orgánico a los anuncios integrados en esos sitios y les permite generar ingresos ilícitos.

Esta no es la primera vez que los actores de amenazas utilizan las notificaciones automáticas como arma para redirigir a sitios web sospechosos. En septiembre de 2025, Infoblox arrojó luz sobre un actor de amenazas conocido como Vane Viper que se ha involucrado en un abuso sistemático de notificaciones automáticas para publicar anuncios y facilitar campañas de ingeniería social al estilo ClickFix.

«Las amenazas basadas en malware que involucran notificaciones automáticas, tanto para plataformas web como móviles, no son una amenaza novedosa, especialmente si se considera la forma en que crean una sensación de urgencia», dijo a The Hacker News Lindsay Kaye, vicepresidenta de inteligencia de amenazas de HUMAN Security. «En muchos casos, los usuarios hacen clic rápidamente, ya sea para hacer que desaparezcan o para obtener más información, lo que los convierte en una herramienta eficaz en el arsenal de un autor de malware».

La divulgación también se produce poco más de un mes después de que HUMAN identificara una colección de más de 3.000 dominios y 63 aplicaciones de Android que, según dijo, constituía uno de los mercados de lavado de fraude publicitario más grandes jamás descubierto. Apodado Low5 por su uso de sitios de noticias y juegos basados ​​en HTML5, se ha descubierto que la operación monetiza los dominios como sitios de retiro de dinero para sofisticados esquemas de fraude, incluido BADBOX 2.0.

«La operación alcanzó un máximo de aproximadamente 2 mil millones de solicitudes de ofertas por día y puede haber operado en hasta 40 millones de dispositivos en todo el mundo», dijo la compañía. dicho. «Las aplicaciones asociadas con Low5 incluyen un código que indica a los dispositivos de los usuarios que visiten uno de los dominios conectados con el esquema y hagan clic en los anuncios que se encuentran allí».

Los sitios de retiro de efectivo, también llamados sitios fantasma, se utilizan para realizar fraudes basados ​​en contenido, donde los atacantes utilizan sitios y aplicaciones falsos para vender espacio a anunciantes que pueden asumir que sus anuncios serán vistos por humanos. Las aplicaciones de Android en cuestión se eliminaron de Google Play Store.

«Una capa de monetización compartida que abarca más de 3000 dominios permite que múltiples actores de amenazas se conecten a la misma infraestructura, creando un sistema de lavado distribuido que aumenta la resistencia a las amenazas, complica la atribución y permite una replicación rápida», añadió HUMAN.

«Una conclusión clave de esta investigación es que la infraestructura de monetización puede sobrevivir incluso después de que se cierre una campaña de fraude específica. Si se elimina una aplicación o red de dispositivo malicioso, otros actores aún pueden reutilizar los mismos dominios de retiro. Low5 refuerza la necesidad de una inteligencia de amenazas continua y agresiva y experiencia en detección para buscar dominios de retiro y marcarlos antes de la oferta».

Google ha anunciado la integración de un analizador de sistema de nombres de dominio (DNS) basado en Rust en el firmware del módem como parte de sus esfuerzos continuos para reforzar la seguridad de los dispositivos Pixel e impulsar el código seguro para la memoria a un nivel más básico.

«El nuevo analizador de DNS basado en Rust reduce significativamente nuestro riesgo de seguridad al mitigar toda una clase de vulnerabilidades en un área de riesgo, al mismo tiempo que sienta las bases para una adopción más amplia de código seguro para la memoria en otras áreas», dijo Jiacheng Lu, ingeniero de software que forma parte del equipo Google Pixel. dicho.

El aumento de seguridad a través de la integración de Rust está disponible para dispositivos Pixel 10, lo que lo convierte en el primer dispositivo Pixel en integrar un lenguaje seguro para la memoria en su módem.

La medida se basa en una serie de iniciativas que el gigante tecnológico ha tomado para proteger el módem de banda base celular contra la explotación. A finales de 2023, destacó el papel que desempeñan los desinfectantes de Clang como Overflow Sanitizer (IntSan) y BoundsSanitizer (BoundSan) para detectar comportamientos indefinidos durante la ejecución del programa.

Un año después, también detalló las diversas medidas de seguridad integradas en el firmware del módem para combatir los exploits 2G y los ataques de banda base que aprovechan las vulnerabilidades de seguridad de la memoria, como los desbordamientos del búfer, para lograr la ejecución remota de código.

Estos avances en seguridad se han complementado con la adopción constante de Rust por parte de Google en Android y firmware de bajo nivel. En noviembre de 2025, la compañía reveló que la cantidad de vulnerabilidades de seguridad de la memoria cayó por debajo del 20% del total de vulnerabilidades descubiertas en el sistema operativo móvil el año pasado.

Google dijo que optó por el protocolo DNS para su implementación de Rust debido al hecho de que sustenta las comunicaciones celulares modernas y que las vulnerabilidades en el sistema pueden exponer a los usuarios a ataques maliciosos cuando se diseña en un lenguaje que no es seguro para la memoria, lo que resulta en accesos a la memoria fuera de límites, como en el caso de CVE-2024-27227.

«Con la evolución de la tecnología celular, las comunicaciones celulares modernas han migrado a redes de datos digitales; en consecuencia, incluso las operaciones básicas como el desvío de llamadas dependen de los servicios DNS», añadió. «La implementación del analizador DNS en Rust ofrece valor al disminuir las superficies de ataque asociadas con la inseguridad de la memoria».

Para ello, Google ha elegido la opción «nogal-proto«caja, un Cliente, servidor y solucionador DNS basado en Rustpara implementar el protocolo y modificarlo para que sea compatible con entornos integrados y sin sistema operativo. Otro componente importante de este cambio es el uso de una herramienta personalizada llamada «roer carga«para resolver y mantener fácilmente más de 30 dependencias introducidas por la caja.

La compañía de Internet también señaló que la caja DNS Rust no está optimizada para su uso en sistemas con memoria limitada, y que una posible optimización del tamaño del código podría lograrse agregando indicadores de características adicionales para garantizar la modularidad y compilar selectivamente solo la funcionalidad requerida.

«Para el analizador de DNS, declaramos la API de análisis de respuesta de DNS en C y luego implementamos la misma API en Rust», dijo Google. «La función Rust devuelve un número entero que representa el código de error. Las respuestas DNS recibidas en la respuesta DNS deben actualizarse a estructuras de datos en memoria que están acopladas con la implementación C original; por lo tanto, utilizamos funciones C existentes para hacerlo. Las funciones C existentes se envían desde la implementación Rust».

OpenAI actualizó sus certificados de seguridad y exige que todos los usuarios de macOS actualicen a las últimas versiones después de determinar que sus productos, junto con muchos otros, eran afectado por una cadena de suministro generalizada ataque que infectó brevemente una popular biblioteca de código abierto a finales de marzo, dijo la compañía en una publicación de blog el viernes.

El proveedor de inteligencia artificial dijo que «no encontró evidencia de que se haya accedido a los datos de los usuarios de OpenAI, de que nuestros sistemas o propiedad intelectual hayan estado comprometidos, o de que nuestro software haya sido alterado».

Sin embargo, debido a que un flujo de trabajo de GitHub que la empresa utiliza para firmar certificados para aplicaciones macOS descargó y ejecutó una versión maliciosa de Axios, la empresa está tratando el certificado que pronto desaparecerá como comprometido.

Un grupo de hackers norcoreano inyectó malware en dos versiones de Axios después de que comprometió la computadora del mantenedor principal a través de ingeniería social y se hizo cargo de sus cuentas de npm y GitHub. Jason Saayman, el principal responsable de mantenimiento de Axios, dijo que las versiones maliciosas del software estuvieron activas durante unas tres horas antes de eliminarlas.

Google Threat Intelligence Group, que rastrea el grupo de amenazas como UNC1069, dijo que el impacto del ataque fue amplio con efectos dominó potencialmente exponiendo otros paquetes populares. Las bibliotecas de JavaScript fluyen hacia el software dependiente a través de más de 100 millones y 83 millones de descargas semanales.

El ataque se descubrió pocas semanas después de que UNC6780, también conocido como TeamPCP, comprometiera una serie de otras herramientas de código abierto, incluido Trivy, lo que resultó en agresivos intentos de extorsión.

OpenAI insiste en que el malware que infectó a Axios no afectó directamente a su certificado, que está diseñado para ayudar a los clientes a confirmar que están descargando software legítimo.

«El certificado de firma presente en este flujo de trabajo probablemente no fue filtrado con éxito por la carga útil maliciosa debido al momento de ejecución de la carga útil, la inyección del certificado en el trabajo, la secuenciación del trabajo en sí y otros factores atenuantes», dijo la compañía en la publicación del blog. «Sin embargo, por precaución, estamos tratando el certificado como comprometido y lo estamos revocando y rotando».

Las versiones anteriores de las aplicaciones macOS de OpenAI pueden perder funcionalidad y ya no serán compatibles cuando el certificado se revoque por completo el 8 de mayo, dijo la compañía.

OpenAI, que contrató a una empresa externa de análisis forense digital y respuesta a incidentes para ayudar en su investigación y respuesta, identificó la causa principal del problema de seguridad en una mala configuración en su flujo de trabajo de GitHub. La compañía dijo que corrigió ese error y trabajó con Apple para garantizar que las aplicaciones fraudulentas que se hacen pasar por OpenAI no puedan usar el certificado afectado.

La ventana de 30 días está diseñada para minimizar las interrupciones para los usuarios, pero OpenAI dijo que acelerará el plazo de revocación si identifica alguna actividad maliciosa. La compañía no respondió de inmediato a una solicitud de comentarios.

El grupo de hackers norcoreano rastreado como APT37 (también conocido como ScarCruft) ha sido atribuido a una nueva campaña de ingeniería social de múltiples etapas en la que actores de amenazas se acercaron a objetivos en Facebook y los agregaron como amigos en la plataforma de redes sociales, convirtiendo el ejercicio de creación de confianza en un canal de entrega para un troyano de acceso remoto llamado RokRAT.

«El actor de amenazas utilizó dos cuentas de Facebook con su ubicación establecida en Pyongyang y Pyongsong, Corea del Norte, para identificar y examinar objetivos», dijo el Centro de Seguridad Genians (GSC) dicho en un desglose técnico de la campaña. «Después de generar confianza a través de solicitudes de amistad, el actor trasladó la conversación a Messenger y utilizó temas específicos para atraer objetivos como parte de la etapa inicial de ingeniería social del ataque».

Un elemento central del ataque es el uso de lo que el GSC describe como pretexto, una táctica en la que los actores de la amenaza pretenden engañar a los usuarios desprevenidos para que instalen un visor de PDF dedicado, alegando que el software era necesario para abrir documentos militares cifrados. El visor de PDF utilizado en la cadena de infección es una versión manipulada de Wondershare PDFelement que, cuando se inicia, desencadena la ejecución de un código shell incrustado que permite a los atacantes obtener un punto de apoyo inicial.

Otro aspecto importante de la campaña es que utiliza infraestructura legítima pero comprometida para comando y control (C2), utilizando como arma el sitio web asociado con el brazo de Seúl de un servicio de información inmobiliaria japonés para emitir comandos y cargas útiles maliciosas. Es más, la carga útil toma la forma de una imagen JPG aparentemente inofensiva para entregar RokRAT.

«Esto se considera una estrategia altamente evasiva que combina la manipulación de software legítimo, el abuso de un sitio web legítimo y el enmascaramiento de extensiones de archivos», dijo el GSC.

En la secuencia de ataque detallada por la compañía de ciberseguridad de Corea del Sur, se descubrió que los actores de amenazas crearon dos cuentas de Facebook, «richardmichael0828» y «johnsonsophia0414», ambas creadas el 10 de noviembre de 2025, y entregaron un archivo ZIP después de mover la conversación a Telegram, con el archivo que contiene la versión troyanizada de Wondershare PDFelement junto con cuatro documentos PDF y un archivo de texto que contiene instrucciones para instalar el programa para ver los archivos PDF.

El código shell cifrado ejecutado después del lanzamiento del instalador manipulado le permite establecer comunicación con el servidor C2 («japanroom[.]com») y descargue una carga útil de segunda etapa, una imagen JPG («1288247428101.jpg») que luego se utiliza para la carga útil final de RokRAT.

El malware, por su parte, abusa de Zoho WorkDrive como C2, una táctica también detallada por Zscaler ThreatLabz en febrero de 2026 como parte de una campaña con nombre en código Ruby Jumper, lo que le permite capturar capturas de pantalla, permitir la ejecución remota de comandos a través de «cmd.exe», recopilar información del host, realizar reconocimiento del sistema y evadir la detección de programas de seguridad como 360 Total Security de Qihoo, mientras disfraza el tráfico malicioso.

«Su funcionalidad principal se ha mantenido relativamente estable y se ha reutilizado repetidamente en múltiples operaciones a lo largo del tiempo», dijo el GSC. «Esto muestra que RokRAT se ha centrado menos en cambiar su funcionalidad principal y más en evolucionar su cadena de entrega, ejecución y evasión».

La inteligencia nacional húngara, la policía nacional de El Salvador y varios departamentos de policía y de aplicación de la ley de Estados Unidos han sido atribuidos al uso de un sistema de vigilancia de geolocalización global basado en publicidad llamado Webloc.

La herramienta fue desarrollada por la empresa israelí Cobwebs Technologies y ahora la vende su sucesor Penlink después de la dos empresas se fusionaron en julio de 2023según un informe publicado por el Laboratorio Ciudadano. Penlink, fundada en 1986, es un proveedor de «software de análisis y recolección de evidencia digital y comunicaciones de misión crítica» para agencias policiales en los EE. UU. y en todo el mundo.

Los clientes estadounidenses de Webloc incluyen el Servicio de Inmigración y Control de Aduanas (ICE), el ejército de EE. UU., el Departamento de Seguridad Pública de Texas, el DHS de Virginia Occidental, los fiscales de distrito de Nueva York y varios departamentos de policía en Los Ángeles, Dallas, Baltimore, Tucson, Durham y en ciudades y condados más pequeños como la ciudad de Elk Grove y el condado de Pinal.

«Webloc se vende como un producto complementario a las redes sociales y al sistema de inteligencia web. Enredos«, dijeron los investigadores de Citizen Lab Wolfie Christl, Astrid Perry, Luis Fernando García, Siena Anstis y Ron Deibert. «Webloc brinda acceso a un flujo constantemente actualizado de registros de hasta 500 millones de dispositivos móviles en todo el mundo que contienen identificadores de dispositivos, coordenadas de ubicación y datos de perfil recopilados de aplicaciones móviles y publicidad digital».

El sistema de vigilancia basado en publicidad, en pocas palabras, hace uso de datos adquiridos desde aplicaciones móviles y publicidad digital analizar los comportamientos y movimientos de cientos de millones de personas. Fue anunciado oficialmente por Cobwebs Technologies en octubre de 2020. describiendo es como un «plataforma de inteligencia de ubicación de vanguardia que recopila y analiza datos web fusionados con puntos de datos geoespaciales, utilizando mapas interactivos en capas para conectar el mundo digital con datos físicos».

Los usuarios de la herramienta pueden utilizarla para monitorear la ubicación, los movimientos y las características personales de poblaciones enteras hasta hace tres años. Según la información disponible En el sitio web de Penlink, Webloc se puede utilizar para «investigar e interpretar datos basados ​​en la ubicación para respaldar sus casos». Webloc también tiene la capacidad de inferir la ubicación a partir de direcciones IP e identificar a las personas detrás de los dispositivos recopilando sus direcciones particulares y lugares de trabajo.

Curiosamente, Cobwebs Technologies estuvo entre los siete cibermercenarios que Meta desplazó de la plataforma en diciembre de 2021 por operar alrededor de 200 cuentas para realizar reconocimientos de objetivos e incluso participar en ingeniería social para unirse a comunidades y foros cerrados y engañar a las personas para que revelen información personal.

El gigante de las redes sociales reveló en ese momento que había identificado clientes de Cobwebs Technologies en Bangladesh, Hong Kong, Estados Unidos, Nueva Zelanda, México, Arabia Saudita y Polonia. «Además de los ataques relacionados con actividades policiales, también observamos ataques frecuentes contra activistas, políticos de oposición y funcionarios gubernamentales en Hong Kong y México», señaló Meta.

Informes de 404 Medios, Forbesy Observador de Texas tener reveló que Webloc se puede utilizar para rastrear teléfonos sin orden judicial, con una aviso de adquisiciones destacando la «capacidad de la herramienta para automatizar y monitorear continuamente identificaciones únicas de publicidad móvil, direcciones IP geolocalizadas y análisis de dispositivos conectados».

Un análisis de registros corporativos y otra información pública ha revelado que Cobwebs Technologies comparte enlaces con el proveedor israelí de software espía Quadream a través de Omri Timianker, fundador y ex presidente de Cobwebs Technologies, quien ahora supervisa las operaciones internacionales de Penlink. Se sospecha que la empresa cerró sus operaciones en 2023.

Hasta 219 servidores activos asociados con Implementaciones de productos Cobwebs se han identificado, la mayoría de los cuales están ubicados en los EE. UU. (126), los Países Bajos (32), Singapur (17), Alemania (8), Hong Kong (8) y el Reino Unido (7). También se han detectado posibles servidores de productos en varios países de África, Asia y Europa.

En respuesta al informe, Penlink dijo que los hallazgos «parecen depender de información inexacta o de un malentendido sobre cómo operamos, incluidas prácticas en las que Penlink no participa después de nuestra adquisición de Cobwebs Technologies en 2023». También dijo que cumple con las leyes de privacidad estatales de EE. UU.

«Nuestra investigación muestra que la vigilancia basada en publicidad intrusiva y legalmente cuestionable (es decir, sin una orden judicial o supervisión adecuada) está siendo utilizada por agencias militares, de inteligencia y de aplicación de la ley, hasta unidades de policía locales en varios países de todo el mundo», dijo Citizen Lab.