Novedades de ciberseguridad
Netskope Threat Labs descubrió una extensa operación de phishing que involucraba a 260 dominios que alojaban aproximadamente 5000 archivos PDF maliciosos. Estos documentos, disfrazados de recursos legítimos, emplean mensajes CAPTCHA falsos para redirigir a las víctimas a sitios de phishing diseñados para recopilar detalles de tarjetas de crédito e información personal. La campaña, activa desde…
Un análisis exhaustivo del conjunto de datos Common Crawl, una piedra angular de los datos de entrenamiento para grandes modelos de lenguaje (LLM) como DeepSeek, ha descubierto 11,908 claves API activas, contraseñas y credenciales integradas en páginas web de acceso público. Los secretos filtrados, que se autentican exitosamente con servicios que van desde AWS hasta…
La Open Source Security Foundation (OpenSSF) ha lanzado Open Source Project Security Baseline (OSPS Baseline), un marco escalonado diseñado para estandarizar las prácticas de seguridad para Linux y otros proyectos de código abierto. Esta iniciativa, alineada con regulaciones globales de ciberseguridad como la Ley de Resiliencia Cibernética (CRA) de la UE y el Marco de…
Microsoft ha solucionado un problema importante que afecta a los usuarios de Outlook clásico en dispositivos que ejecutan Windows 11, versión 24H2. Después de instalar actualizaciones recientes de Windows, incluida la actualización de vista previa no relacionada con la seguridad de enero de 2025 (KB5050094) y la actualización del 11 de febrero de 2025 (KB5051987),…
Cisco Systems ha emitido un aviso de seguridad crítico que aborda una vulnerabilidad de inyección de comandos en sus conmutadores Nexus de las series 3000 y 9000 que funcionan en modo NX-OS independiente. Designada como CVE-2025-20161, la falla permite a atacantes locales autenticados con privilegios administrativos ejecutar comandos arbitrarios en el sistema operativo subyacente con…
Have I Been Pwned (HIBP) ha incorporado 284 millones de direcciones de correo electrónico comprometidas por malware que roba información en su servicio de notificación de infracciones. Los datos se originan a partir de un corpus de 1,5 TB de registros de ladrones denominado “ALIEN TXTBASE”, lo que marca una de las incorporaciones de conjuntos…
Ha surgido una sofisticada campaña de phishing dirigida a los usuarios de Amazon Prime, que aprovecha notificaciones de renovación falsificadas para recopilar credenciales de inicio de sesión, detalles de pago y datos de verificación personal. Descubierto por el Centro de Defensa contra Phishing (PDC) de Cofense el 18 de febrero de 2025, el ataque emplea…
Las vulnerabilidades críticas en la herramienta de sincronización de archivos Rsync permiten a los atacantes ejecutar código arbitrario en servidores vulnerables, filtrar datos confidenciales y eludir controles de seguridad críticos. Las vulnerabilidades afectan a la versión 3.2.7 y anteriores de Rsync, y los exploits de prueba de concepto ya demuestran capacidades de ejecución remota de…
Una vulnerabilidad de seguridad crítica en el complemento Essential Addons para Elementor, instalado en más de 2 millones de sitios web de WordPress, ha expuesto los sitios a ataques de inyección de scripts a través de parámetros de URL maliciosos. La falla, rastreada como CVE-2025-24752 y con una puntuación de 7.1 (Alta) en la escala…
Una campaña coordinada que involucró al menos 16 extensiones maliciosas de Chrome infectó a más de 3,2 millones de usuarios en todo el mundo, aprovechando las vulnerabilidades de seguridad del navegador para ejecutar fraude publicitario y manipulación de optimización de motores de búsqueda. Descubiertas por GitLab Threat Intelligence en febrero de 2025, estas extensiones, que…
