Investigadores de seguridad han identificado una sofisticada campaña de software malicioso. Esta campaña emplea pantallas de verificación CAPTCHA falsas para la instalación encubierta de una puerta trasera basada en NodeJS. Este ataque, integrado en la campaña más amplia de KongTuke, se aprovecha de sitios web comprometidos para la distribución de código JavaScript malicioso. Este código…
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha incorporado la vulnerabilidad crítica CVE-2024-38475, que impacta al servidor HTTP Apache, a su listado de vulnerabilidades explotadas conocidas (KEV). Esta vulnerabilidad faculta a los atacantes para direccionar URLs hacia ubicaciones no deseadas dentro del sistema de archivos, lo que podría resultar en la ejecución de…
Microsoft ha confirmado que su Protocolo de Escritorio Remoto (RDP) permite el acceso a equipos con Windows mediante credenciales de inicio de sesión que han sido previamente modificadas o revocadas. La compañía ha declarado que no tiene previsto alterar esta funcionalidad, describiéndola como una decisión de diseño deliberada y no como una vulnerabilidad de seguridad….
El primer Día Mundial de la Clave de Acceso marca la transición del tradicional Día Mundial de la Contraseña, con Microsoft uniéndose a la Alianza FIDO para celebrar que más de 15 mil millones de cuentas en línea ahora tienen la capacidad de autenticarse sin contraseñas mediante claves de acceso. Este cambio trascendental representa un…
Expertos en seguridad informática han dado a conocer una vulnerabilidad crítica presente en Ruby on Rails que posibilita a actores maliciosos soslayar las medidas de protección contra ataques de falsificación de solicitudes entre sitios (CSRF). La deficiencia, divulgada el 26 de abril de 2025, impacta a todas las versiones vigentes de este reconocido framework web,…
Investigadores de ciberseguridad han descubierto una técnica sofisticada para eludir la autenticación multifactor (MFA) resistente al phishing de Microsoft. Esta vulnerabilidad se aprovecha del flujo de autenticación del código de dispositivo y de los tokens de actualización primarios (PRT). Este método permite a los atacantes registrar claves de Windows Hello para empresas, estableciendo así un…
Se ha descubierto una vulnerabilidad reciente en la función de administración de acceso al registro (RAM) de Docker Desktop que afecta a usuarios de macOS. Esta falla expone a los usuarios a la extracción no autorizada de imágenes, lo que compromete los controles de seguridad fundamentales de los contenedores. Identificada como CVE-2025-4095, esta vulnerabilidad permite…
Mozilla ha lanzado la versión 138 de Firefox, una actualización de seguridad crucial que corrige diversas vulnerabilidades de alta gravedad. Esta nueva versión también incorpora funcionalidades muy esperadas por los usuarios, incluyendo un sistema de gestión de perfiles optimizado. La actualización, implementada el 29 de abril de 2025, responde a la identificación por parte de…
Una grave vulnerabilidad de seguridad identificada en Riva de NVIDIA, una plataforma de inteligencia artificial para servicios de voz y traducción, ha generado una exposición de entornos de nube a accesos y usos no autorizados. Investigadores de Trend Micro descubrieron dos fallos, catalogados como CVE-2025-23242 y CVE-2025-23243, originados por configuraciones incorrectas que dejaron expuestos a…
Microsoft ha anunciado que la función de parches para Windows Server 2025, disponible en versión preliminar desde 2024, requerirá una suscripción de pago a partir del 1 de julio de 2025. Este anuncio, realizado por Janine Patrick, directora de marketing de productos de Windows Server, y Artem Pronichkin, director sénior de programas, representa un cambio…
