Novedades de ciberseguridad
Una sofisticada campaña de troyano bancario para Android que aprovechaba una aplicación de gestión de archivos maliciosa acumuló más de 220.000 descargas en Google Play Store antes de su eliminación. Apodado Anatsa (también conocido como TeaBot), el malware se dirige a instituciones financieras globales a través de un proceso de infección de varias etapas. Implementa…
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una alerta urgente el 4 de marzo de 2025, agregando tres vulnerabilidades críticas de VMware a su catálogo de vulnerabilidades explotadas conocidas (KEV) luego de una explotación en estado salvaje confirmada. Las vulnerabilidades CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226 permiten a atacantes con acceso…
Una falla de seguridad crítica en el ampliamente utilizado GiveWP: complemento de donación y plataforma de recaudación de fondos ha dejado a más de 10,000 sitios web de WordPress vulnerables a ataques de ejecución remota de código desde el 3 de marzo de 2025. Registrada como CVE-2025-0912, la vulnerabilidad permite a atacantes no autenticados secuestrar…
Cisco Systems ha revelado una vulnerabilidad de seguridad en su plataforma de comunicaciones unificadas Webex para BroadWorks que podría permitir a los atacantes interceptar credenciales confidenciales y datos de usuario bajo configuraciones específicas. La falla, rastreada como CSCwo20742 y clasificada como un problema de baja gravedad, afecta a las organizaciones que utilizan la versión 45.2…
La autenticación multifactor (MFA), considerada durante mucho tiempo la piedra angular de la defensa de la ciberseguridad, se enfrenta a una nueva y formidable amenaza: los ataques de “Pasar la cookie”. Hallazgos recientes revelados por Long Wall muestran que los actores de amenazas explotan las cookies de sesión del navegador para eludir MFA por completo,…
Netskope Threat Labs descubrió una extensa operación de phishing que involucraba a 260 dominios que alojaban aproximadamente 5000 archivos PDF maliciosos. Estos documentos, disfrazados de recursos legítimos, emplean mensajes CAPTCHA falsos para redirigir a las víctimas a sitios de phishing diseñados para recopilar detalles de tarjetas de crédito e información personal. La campaña, activa desde…
Un análisis exhaustivo del conjunto de datos Common Crawl, una piedra angular de los datos de entrenamiento para grandes modelos de lenguaje (LLM) como DeepSeek, ha descubierto 11,908 claves API activas, contraseñas y credenciales integradas en páginas web de acceso público. Los secretos filtrados, que se autentican exitosamente con servicios que van desde AWS hasta…
La Open Source Security Foundation (OpenSSF) ha lanzado Open Source Project Security Baseline (OSPS Baseline), un marco escalonado diseñado para estandarizar las prácticas de seguridad para Linux y otros proyectos de código abierto. Esta iniciativa, alineada con regulaciones globales de ciberseguridad como la Ley de Resiliencia Cibernética (CRA) de la UE y el Marco de…
Microsoft ha solucionado un problema importante que afecta a los usuarios de Outlook clásico en dispositivos que ejecutan Windows 11, versión 24H2. Después de instalar actualizaciones recientes de Windows, incluida la actualización de vista previa no relacionada con la seguridad de enero de 2025 (KB5050094) y la actualización del 11 de febrero de 2025 (KB5051987),…
Cisco Systems ha emitido un aviso de seguridad crítico que aborda una vulnerabilidad de inyección de comandos en sus conmutadores Nexus de las series 3000 y 9000 que funcionan en modo NX-OS independiente. Designada como CVE-2025-20161, la falla permite a atacantes locales autenticados con privilegios administrativos ejecutar comandos arbitrarios en el sistema operativo subyacente con…
