Un actor de amenaza ha revelado involuntariamente sus métodos y actividades diarias después de instalar el software de seguridad de Huntress en su propia máquina de operaciones. El incidente inusual dio a los analistas una notable examen interno sobre cómo los atacantes usan inteligencia artificial (IA), herramientas de investigación y automatización para refinar sus flujos de trabajo. Dentro de los flujos de trabajo del atacante según Huntress, el actor descubrió la compañía a través de un anuncio de Google mientras buscaba soluciones de seguridad. Después de comenzar una prueba gratuita y descargar el agente, sus actividades se registraron en detalle. Los investigadores pudieron confirmar la identidad del adversario a través de un nombre de máquina y un historial de navegador previamente conocido, que mostró un comportamiento de orientación activa. En el transcurso de tres meses, Huntress observó que el actor probaba múltiples herramientas de seguridad, adoptando plataformas de automatización de flujo de trabajo como Make.com e investigando las API de Telegram Bot para optimizar las operaciones. Los datos también revelaron un interés en los generadores de texto y hojas de cálculo impulsados por la IA para elaborar mensajes de phishing y administrar información robada. Lea más sobre la IA en cibercrimen: el NCSC del Reino Unido apoya la divulgación pública para las amenazas de bypass de salvaguardia de IA La inteligencia recopilada reveló varios comportamientos clave: el uso de los censes para buscar los servidores de los servidores activos de EvilGinX investigadores en servicios de representación residenciales como los servicios de bienes raíces de los bienes de bienes raíces en la relación de los mediaciones de los mensajes de los bienes inmuebles de los bienes de los bienes inmuebles. El actor también accedió a los foros web oscuros, como Styx Market, exploró repositorios de malware e intentó aprovechar el intercambio de tokens Roadtools para ataques relacionados con la identidad. Las lecciones para los analistas de ciberdigentes cibernéticos vincularon la infraestructura del adversario, alojado en el proveedor canadiense Virtuo, con al menos 2471 identidades comprometidas durante dos semanas. Muchos intentos fueron detenidos por detecciones existentes, incluida la creación de reglas de correo malicioso y las defensas de robo de tokens. «Este incidente nos dio información detallada sobre las actividades cotidianas de un actor de amenaza», explicaron los investigadores de Huntress. «Desde las herramientas que estaban interesadas, hasta las formas en que realizaron investigaciones y abordaron diferentes aspectos de los ataques». El caso destaca cómo los errores de los atacantes pueden proporcionar a los defensores una rara visión de la artesanía adversaria, ofreciendo lecciones valiosas para mejorar las estrategias de respuesta y la precisión de la detección.
Categoría: Ciberseguridad Página 10 de 106
El entrenamiento de concientización sobre la seguridad no tiene que ser un Snoozefest: los juegos y las historias pueden ayudar a inculcar hábitos ‘pegajosos’ que se activarán cuando un peligro esté cerca del 28 de marzo de 2025 •, 5 min. Lea Permítanme presionar esto con un intento de una historia: los ojos de Sarah se lanzaron a través de la línea de asunto del correo electrónico, que decía: «Urgente: pago necesario – Acción requerida». Eran las 4 pm un viernes, y el nombre del CEO miró desde el campo del remitente. El mensaje fue específico y al punto: «Hola Sarah, debemos realizar este pago antes del cierre de los negocios hoy, de lo contrario, incurriremos en un costo legal adicional. Consulte la información de pago adjunta. Esto tiene que ver con el Proyecto Phoenix y la fusión de la que hablé en la llamada de las ganancias la semana pasada. Estoy en las reuniones consecutivas con Legal y otros, por lo que no tengo tiempo para explicar más. Por favor, manejarlo. El momento fugaz, en realidad sintió que había visto un mensaje similar, probablemente en el entrenamiento de conciencia de ciberseguridad del año pasado. «¿Quién soy yo para cuestionar o admitir las instrucciones del CEO, de todos modos?», Pensó bajo presión. En esta época, esto no es difícil para cualquier estafa que valga la pena. Enormes dividendos para la estafa. Tedious. Dos tercios de las violaciones de los datos implican un error humano. ¿El entrenamiento mundano que probablemente falle en el momento en que la presión está? Cuestiones, la solución requiere que el cerebro «piratee». La gamificación puede ayudar a los elementos prestados de los videojuegos que naturalmente involucran al cerebro. El juego de seguridad de la organización (sin juego de palabras) implica aprovechar el poder de la narración de historias. Tejido en una historia apasionante que presenta amenazas como personajes, medidas de seguridad como herramientas y empleados como héroes, la formación de memoria y el recuerdo pueden aumentar significativamente. Los anclajes de memoria que persisten mucho después de que termine la capacitación. Debido a que ha encontrado escenarios similares en su atractivo entrenamiento de seguridad. El único cumplimiento: es hacer que los comportamientos de seguridad se mantengan y, de hecho, hacerlos casi tan instintivos como estremecer el fuego.
Nuevo criptoanálisis del protocolo Fiat-Shamir hace un par de meses, un nuevo artículo demostró algunos nuevos ataques contra la transformación Fiat-Shamir. Quanta publicó un buen artículo que explica los resultados. Este es un artículo bastante emocionante desde una perspectiva teórica, pero no veo que conduzca a ningún criptoanálisis práctico del mundo real. El hecho de que haya algunas circunstancias extrañas que resulten en inseguridades Fiat-Shamir no es nueva: se han publicado muchas docenas de documentos al respecto desde 1986. Lo que hace este nuevo resultado es extender este problema conocido a situaciones ligeramente menos extrañas (pero aún altamente artificiales). Pero es un asunto completamente diferente extender este tipo de ataques a situaciones «naturales». Sin embargo, lo que hace este resultado es imposible proporcionar pruebas generales de seguridad para Fiat-Shamir. Es el resultado más interesante en esta área de investigación y demuestra que todavía estamos lejos de comprender completamente cuál es la garantía de seguridad exacta proporcionada por la transformación Fiat-Shamir. Etiquetas: documentos académicos, criptoanálisis, hashes, protocolos publicados el 9 de septiembre de 2025 a las 7:02 am • 1 Comentarios Foto de la barra lateral de Bruce Schneier por Joe Macinnis.
En el episodio 67 de la AI Fix, Graham habla con una IA con una máquina de fax, Bill Gates dice que hay un trabajo que la IA nunca reemplazará, los delincuentes usan el código Claude para los ataques cibernéticos, Mark revela por qué GPT-5 fue mejor de lo que piensa, y un pájaro le da un nuevo significado a las palabras «almacenamiento en la nube». Además, Graham revela que los agentes de IA que navegan en la web son tan crédulos y felices como su pariente distante más crédulo, y Mark explica por qué la multitud en un reciente concierto de Will Smith incluyó a alguien que no estaba allí y un hombre cuyas manos se parecen a los pies. Todo esto y mucho más se discute en la última edición del podcast «The AI Fix» de Graham Cluley y Mark Stockley. Anfitriones: Graham Cluley: @Grahambluley.com @[email protected]Mark Stockley: @Ai-Fix-mark.bsky. Enlaces de episodios sociales: Apoye el programa: Puede ayudar al podcast diciéndole a sus amigos y colegas sobre «The AI Fix», y dejándonos una reseña sobre Apple Podcasts o Podchaser. Si desea admitir aún más el podcast y obtener acceso a episodios sin anuncios, ¡conviértase en un seguidor uniéndose a la fijación AI Plus! Síguenos: Siga el programa en Bluesky, o suscríbase de forma gratuita en su aplicación de podcasts favorita, como Apple Podcasts o Spotify, o visite nuestro sitio web para obtener más información. ¿Encontró este artículo interesante? Siga a Graham Cluley en LinkedIn, Bluesky o Mastodon para leer más del contenido exclusivo que publicamos.
Los actores de amenaza están abusando de las herramientas de clientes HTTP como Axios en conjunto con la función de envío directo de Microsoft para formar una «tubería de ataque altamente eficiente» en las recientes campañas de phishing, según nuevos hallazgos de Reliaquest. «La actividad del agente de usuarios de Axios aumentó el 241% de junio a agosto de 2025, eclipsando el crecimiento del 85% de todos los demás agentes de usuarios marcados combinados», dijo la compañía de seguridad cibernética en un informe compartido con Hacker News. «De 32 agentes de usuario marcados observados en este plazo, Axios representó el 24.44% de toda la actividad». El abuso de Axios fue marcado previamente por ProGoint en enero de 2025, detallando campañas que utilizan clientes HTTP para enviar solicitudes HTTP y recibir respuestas HTTP de los servidores web para realizar ataques de adquisición de cuentas (ATO) en entornos de Microsoft 365. Reliaquest le dijo a The Hacker News que no hay evidencia que sugiera que estas actividades estén relacionadas, y agregó que la herramienta se explota regularmente junto con los populares kits de phishing. «La utilidad de Axios significa que es casi seguro que se adopta por todo tipo de actores de amenazas, independientemente de los niveles o motivación de sofisticación», agregó la compañía. Del mismo modo, las campañas de phishing también se han observado cada vez más utilizando una característica legítima en Microsoft 365 (M365) llamado envío directo a usuarios de confianza falsos y distribuir mensajes de correo electrónico. Al amplificar el abuso de Axios a través del envío directo de Microsoft, el ataque tiene como objetivo armarse un método de entrega confiable para garantizar que sus mensajes pasen más allá de las puertas de enlace seguras y aterricen en las bandejas de entrada de los usuarios. De hecho, se ha encontrado que los ataques que emparejaron a Axios con Send directo logran una tasa de éxito del 70% en las recientes campañas, aumentando las campañas de no axios pasadas con «eficiencia incomparable». Se dice que la campaña observada por Reliaquest comenzó en julio de 2025, inicialmente destacando ejecutivos y gerentes en sectores de finanzas, atención médica y manufactura, antes de ampliar su enfoque para atacar a todos los usuarios. Llamando al enfoque que cambia el juego para los atacantes, la compañía señaló que la campaña no solo tiene éxito para evitar las defensas de seguridad tradicionales con una precisión mejorada, sino que también les permite montar las operaciones de phishing a una escala sin precedentes. En estos ataques, Axios se usa para interceptar, modificar y reproducir solicitudes HTTP, lo que permite capturar los tokens de sesión o los códigos de autenticación de factores múltiples (MFA) en tiempo real o explotar tokens SAS en flujos de trabajo de autenticación de Azure para obtener acceso a recursos sensibles. «Los atacantes usan este punto ciego para evitar MFA, tokens de sesión de secuestro y automatizar los flujos de trabajo de phishing», dijo Reliaquest. «La personalización ofrecida por Axios permite a los atacantes adaptar su actividad para imitar aún más los flujos de trabajo legítimos». Los mensajes de correo electrónico implican el uso de señuelos con temas de compensación para engañar a los destinatarios para que abran documentos PDF que contienen códigos QR maliciosos, que, cuando escanean, dirían a los usuarios que falsan páginas de inicio de sesión que imiten a Microsoft Outlook para facilitar el robo de credenciales. Como una capa adicional de evasión de defensa, algunas de estas páginas están alojadas en la infraestructura de Google Firebase para capitalizar la reputación de la plataforma de desarrollo de aplicaciones. Además de reducir la barrera técnica para ataques sofisticados, la prevalencia de Axios en las configuraciones empresariales y de desarrolladores también significa que ofrece a los atacantes una forma de combinarse con el tráfico regular y volar bajo el radar. Para mitigar el riesgo planteado por esta amenaza, se aconseja a las organizaciones que obtengan el envío directo y lo desactive si no se requiere, configure las políticas apropiadas contra la especie en las puertas de enlace de correo electrónico, capacite a los empleados para reconocer los correos electrónicos de phishing y bloquear los dominios sospechosos. «Axios amplifica el impacto de las campañas de phishing al cerrar la brecha entre el acceso inicial y la explotación a gran escala. Su capacidad para manipular los flujos de trabajo de autenticación y reproducir las solicitudes HTTP permite a los atacantes armarse las credenciales robadas de manera que son escalables y precisos». «Esto hace que Axios sea integral para el creciente éxito de las campañas de phishing de envío directo, que muestra cómo los atacantes están evolucionando más allá de las tácticas de phishing tradicionales para explotar los sistemas de autenticación y las API a un nivel que las defensas tradicionales están mal equipadas para manejar». El desarrollo se produce cuando Mimecast detalló una campaña de recolección de credenciales a gran escala dirigida a profesionales de la industria hotelera al hacerse pasar por plataformas de gestión de hoteles de confianza. «Esta operación de recolección de credenciales aprovecha la naturaleza rutinaria de las comunicaciones de reservas de hoteles», dijo la compañía. «La campaña emplea líneas de asunto urgentes y críticas de negocios diseñadas para provocar acciones inmediatas de los gerentes y el personal de los hoteles». Los hallazgos también siguen el descubrimiento de una campaña en curso que ha empleado una oferta naciente de phishing as-a-Service (PHAAS) llamada Salty 2FA para robar credenciales de inicio de sesión de Microsoft y Sidestep MFA simulando seis métodos diferentes: autenticación de SMS, aplicaciones de autenticador, llamadas telefónicas, notificaciones de respaldo, códigos de respaldo y hardware tokens. La cadena de ataque es notable por aprovechar servicios como AHA[.]IO para organizar páginas de destino iniciales que se disfrazan de notificaciones para compartir por correo electrónico para engañar a los destinatarios de correo electrónico y engañarlos para que hagan clic en enlaces falsos que redirigen a las páginas de cosecha de credenciales, pero no antes de completar una verificación de verificación de tendencia de CloudFlare para filtrar herramientas y lijados automatizados de seguridad. Las páginas de phishing también incluyen otras características avanzadas como geofencing y filtrado de IP para bloquear el tráfico de los rangos de direcciones IP de proveedores de seguridad conocidos y los proveedores de la nube, deshabilitar los atajos para iniciar herramientas de desarrolladores en navegadores web y asignar nuevos subdominios para cada sesión de víctimas. Al incorporar estas técnicas, el objetivo final es complicar los esfuerzos de análisis. Estos hallazgos ilustran cómo los ataques de phishing han madurado en las operaciones de grado empresarial, utilizando tácticas de evasión avanzadas y convencer a las simulaciones de MFA, al tiempo que explotan plataformas confiables e imitan portales corporativos para dificultar la distinción entre actividades reales y fraudulentas. «El kit de phishing implementa la funcionalidad de marca dinámica para mejorar la efectividad de la ingeniería social», dijo Ontinue. «El análisis técnico revela que la infraestructura maliciosa mantiene una base de datos de temas corporativos que personaliza automáticamente las interfaces de inicio de sesión fraudulentas basadas en dominios de correo electrónico de víctimas». «Salty2FA demuestra cómo los ciberdelincuentes ahora se acercan a la infraestructura con la misma planificación metódica que las empresas usan para sus propios sistemas. Lo que hace que esto sea particularmente preocupante es cómo estas técnicas difuminan la línea entre el tráfico legítimo y malicioso».
Las estafas son un gran negocio para los ciberdelincuentes, y se están volviendo más sofisticados que nunca. Según el Informe del Estado del Scamiverse 2025 de McAfee, la persona promedio encuentra 12 estafas por día, mientras que los estadounidenses ven más de 14 intentos de estafa diariamente, incluidos tres videos de Deepfake. Los estafadores están aprovechando las herramientas con IA para crear profundos hiperrealistas por tan solo $ 5 y 10 minutos, lo que dificulta la distinción entre lo real y lo que es falso. El impacto financiero es asombroso: el 87% de las víctimas de estafas pierden dinero, con un tercio que pierde más de $ 500, y casi una de cada diez perdió más de $ 5,000. Como padre, una de mis mayores preocupaciones es garantizar que mi familia no sea víctima de estas estafas en evolución. Entonces, aquí hay cinco formas clave de mantener a sus seres queridos a salvo en el escamiverso de hoy. 1. Siempre sea cautelosamente sospechoso y piense críticamente: canalice a su Sherlock Holmes interno que enseña a los niños (y adultos) a ser escépticos de lo que ven en línea es un primer paso crucial en la prevención de la estafa. Dado el surgimiento de los profundos y los fraudes generados por la IA, es esencial desarrollar una mentalidad de preguntas: «No todos son quienes dicen que están en línea». «Si algo es demasiado bueno para ser verdad, probablemente lo sea». «Si alguien le presiona por dinero, información o fotos, detenga toda la comunicación de inmediato». Con los profundos detectados que surgen diez veces a nivel mundial y un aumento del 1.740% solo en América del Norte, es más importante que nunca mostrar ejemplos de estafas en el mundo real para niños y adolescentes para que puedan reconocer los signos. 2. Verifique que sus buenos hábitos digitales de higiene cibernética puedan evitar muchas estafas antes de que ocurran. Sin embargo, el 35% de las víctimas de estafa dicen que caer en una estafa los causó angustia moderada a significativa, destacando la importancia de una higiene cibernética fuerte: actualizaciones de software: mantenga todos los dispositivos, incluidas las consolas de juegos, actualizadas. Los parches de seguridad arreglan las vulnerabilidades explotadas por los estafadores. Contraseñas: use contraseñas únicas para cada cuenta. Un administrador de contraseñas como TrueKey de McAfee simplifica este proceso. Búsqueda segura: evite sitios web no garantizados. Busque ‘HTTPS’ en la URL y considere McAfee+, que incluye protección de estafa, monitoreo de identidad y acceso a VPN ilimitado. Seguridad de la aplicación: descargue aplicaciones solo de mercados confiables como la tienda de aplicaciones o Google Play. Las aplicaciones de banca y finanzas falsas son tácticas de estafa comunes. Llamadas telefónicas: con estafas de clonación de voz a IA en aumento, nunca confíe en las llamadas no solicitadas, incluso si la voz suena familiar. 3. Tenga cuidado con lo que comparte los ciberdelincuentes usan el efecto mosaico, la información de información públicamente disponible, para cometer robo de identidad y fraude financiero. Aquí le mostramos cómo bloquear su huella digital: Apriete la configuración de privacidad: haga que todos los perfiles de redes sociales sean privados y apaguen el seguimiento de la ubicación en vivo. Tenga cuidado con las solicitudes de amistad aleatorias: muchos estafadores usan perfiles falsos para obtener acceso a datos personales. Retraso de publicar fotos de vacaciones: las estafas de IA prosperan en los datos en tiempo real. Publicar después del hecho hace que sea más difícil para los estafadores explotar su paradero. 4. Piense antes de vincular las estafas de phishing siguen siendo una de las tácticas de fraude más exitosas, a menudo engañando a las víctimas para que haga clic en enlaces maliciosos. Según McAfee, los tipos de estafas más comúnmente informados incluyen: avisos de entrega falsos (reclamos de un paquete perdido con un enlace malicioso). Estafas de verificación de la cuenta (reclamos falsos de que su banco o cuenta de PayPal necesita acción). Fraude de renovación de suscripción (intentos de phishing fingir ser empresas de Netflix, Amazon o antivirus). Para mantenerse a salvo: Pausa antes de hacer clic: Pasee sobre los enlaces para obtener una vista previa de su destino. Evite ingresar detalles a través de enlaces: escriba manualmente el sitio web en su navegador. Verifique con el remitente: si recibe un enlace sospechoso, llame al número oficial en lugar de responder al mensaje. 5. Manténgase actualizado Mantenerse informado es una de las mejores defensas contra las estafas. Con los usuarios de redes sociales compartiendo más de 500,000 profundos en 2023, la conciencia es clave. He aquí cómo mantenerse a la vanguardia: siga fuentes de confianza como el blog de McAfee, los sitios de noticias de ciberseguridad y las agencias de protección al consumidor. Educar a su familia: las noticias sobre las últimas estafas y cómo funcionan. Informe actividades sospechosas para evitar que otros se conviertan en víctimas. Ya sea que se trate de estafas de suplantación de defake, esquemas de inversión fraudulentos o textos de phishing, los estafadores están evolucionando rápidamente. Pero con conciencia, escepticismo y fuertes hábitos digitales, puede ayudar a garantizar que su familia se mantenga protegida del estafador cada vez mayor. Para obtener más consejos y soluciones de seguridad, consulte las herramientas de protección avanzadas de McAfee para mantenerse un paso por delante de los estafadores. Presentación de la protección y privacidad de robo de McAfee+ Identity para su vida digital Descargar McAfee+ ahora \ x3cimg Height = «1» Width = «1» style = «Display: None» src = «https://www.facebook.com/tr?id=766537420057144&ev=pageView&nisscript=1″/> \ x3c/niscript/’;
Fuente: Hackread.com – Autor: Waqas. El equipo Hunt de Akamai ha informado una nueva variante de malware dirigido a las API de Docker expuestas, expandiéndose en una campaña documentada por primera vez a principios de este verano. La tensión inicial, detallada por Trend Micro en junio de 2025, utilizó servicios de Docker mal configurados para instalar un criptominer entregado a través de un dominio TOR. En la última investigación de Akamai, que la compañía compartió con Hackread.com, basada en la actividad de honeypot de agosto, el malware muestra un objetivo diferente. En lugar de dejar caer un minero, bloquea el acceso externo a la API de Docker e instala herramientas para el control del sistema, lo que sugiere que los operadores se están preparando para algo más grande que la minería de criptomonedas. Según la publicación del blog de Akamai, los atacantes todavía están explotando las API de Docker expuestas para entrar, pero lo que hacen después de obtener acceso ha cambiado. En esta nueva variante, el malware gana acceso al sistema de archivos host, ejecuta un script codificado por Base64 e instala mecanismos de persistencia al tiempo que bloquea el puerto 2375 para mantener a otros atacantes fuera. Construyendo hacia una botnet desde allí, la infección derriba un gotero binario escrito en Go. El código incluye detalles inusuales, como un emoji de «usuario» que sugiere que puede haber sido construido con la ayuda de un modelo de idioma grande (LLM). Imagen a través de Akamai Además, los escaneos de cuentagotas para las API activas de Docker utilizando MassCan, luego intenta repetir el ciclo de infección entre otros servidores. Esto crea los inicios de una red autopropagante, un signo temprano de una creación de botnet. La actividad actual tiene como objetivo explotar las API de Docker, pero el código también contiene rutinas para el puerto de depuración remota de Telnet y Chrome. Esas características aún no están activas, aunque sugieren que los operadores pueden estar probando formas de expandir el alcance del malware en versiones futuras. El análisis de los competidores de Akamai también mostró que el malware es selectivo cuando se trata de la competencia. Comprueba los contenedores que ejecutan Ubuntu, que a menudo utilizan otros actores de amenaza para albergar criptominos. Al eliminarlos, los atacantes consolidan el control sobre los servidores comprometidos, reforzando la impresión de que esta campaña se trata de construir infraestructura en lugar de recolectar rendimientos rápidos. La investigación se basó en gran medida en Beelzebub, un proyecto de honeypot de código abierto que simula servicios de alta interacción. Al imitar las respuestas de API de Docker, Akamai pudo atraer a los atacantes para que revelen sus tácticas en un entorno controlado y publiquen indicadores de compromiso, incluidos dos dominios de cebolla, una dirección de webhook y archivos de hashes vinculados al malware. Los investigadores dicen que la campaña todavía se está desarrollando, y los atacantes ya están cambiando la forma en que usan API de Docker expuestas. Para los usuarios de Docker, mantener API fuera de la actividad pública y de monitoreo sigue siendo los pasos más efectivos para reducir el riesgo de compromiso. URL de publicación original: https://hackread.com/new-docker-malware-bloquing-rivals-sexposed-apis/category & tags: seguridad, malware, akamai, API, botnet, criptominación, ataque cibernético, ciberseguridad, acojas, micro de tendencia-seguridad, malware, AKAMAI, API, BOTNET, criptominación, cyberSE Ataque, ciberseguridad, Docker, Trend Micro
Los equipos de seguridad se han convertido en la primera y, en muchos casos, la última línea de defensa de ataque en la atmósfera actual de amenaza cibernética. Sin embargo, detrás de los elegantes paneles y la vigilancia las 24 horas, existe el problema humano que casi nunca verá en los titulares: el agotamiento. Mientras que generalmente se considera una preocupación de bienestar en el lugar de trabajo, el punto de discusión del agotamiento entre los profesionales de la seguridad ha trascendido para convertirse en un peligro de alta seguridad que las organizaciones no pueden descuidar más. El mundo de alta presión de las operaciones de seguridad ciberseguridad no tiene un horario de trabajo de nueve a cinco. Las alertas de seguridad no ingresan o salen, y tampoco los actores de amenazas. Los Centros de Operaciones de Seguridad (SOC) se han convertido en entornos de alto riesgo debido a la aparición de ransomware, campañas en estado-nación y ataques de cadena de suministro. Los expertos en seguridad se enfrentan a: el hecho de no prestar atención a todo el tiempo erosiona los sentidos: cientos de falsas alarmas al día. Estrés de guardia: trabajar en la respuesta a los accidentes en cualquier momento. Brecha de habilidad: a menudo un analista puede ser un asegurador, entrenador o auditor. Esto equivale a una tormenta ideal que conduce a la quemadura y la fatiga física y mental. Un informe reciente (ISC) 2 muestra que el 65 por ciento de los profesionales de la seguridad informan estar bajo estrés extremo que afecta negativamente su desempeño. Pero aquí está el resultado invisible: los defensores quemados dan a los sistemas menos un escudo. Por qué el agotamiento es igual a la seguridad de riesgos es una disciplina que prospera con precisión, alerta y toma de decisiones rápidas. El agotamiento erosiona los tres. La disminución de la precisión de la respuesta a los incidentes a medida que una persona se cansa, aumenta la probabilidad de cometer errores humanos. Cuando un analista se siente cansado, puede clasificar mal una alerta, ser lento para responder o perder indicadores importantes de compromiso. Los milisegundos son una mercancía en el agotamiento de la defensa cibernética se apoderan de los milisegundos. Defensa proactiva debilitada Hay más en la seguridad que responder a los ataques, también hay predicción. Los equipos quemados no tienen la capacidad cognitiva de ser proactivos, como la caza de amenazas, la gestión de parches y las mejoras estratégicas. Esta postura reactiva, a largo plazo, crea vulnerabilidades del sistema. El aumento del agotamiento del riesgo interno puede llevar a los trabajadores hacia la apatía e incluso dejar de fumar. Un empleado descontento puede eludir los procedimientos, cerrar voluntariamente los procedimientos de cumplimiento o ser un agente de un riesgo interno, de buena gana o involuntaria. Drenaje del talento y pérdida de conocimiento La brecha de habilidades de ciberseguridad ya existe en un nivel crítico. La intención ejerce una tensión en el desgaste a una tasa rápida, con la pérdida de conocimiento y el aumento de los costos de reclutamiento son el resultado. La onda exosomática? Los procesos de incorporación más largos y la mala posición de seguridad. Escenarios del mundo real: cuando Burnout rompe el escenario de defensa 1: La alerta perdida que costó a millones la recompensa en una compañía de servicios financieros de los Estados Unidos, un ataque de ransomware fue devastador. Según la investigación posterior al incidente, hubo un factor escalofriante en esta violación, la primera intrusión se detectó en su SIEM, pero la alerta se detectó como un falso positivo. ¿Por qué? El analista de SOC estuvo en un turno de 16 horas que trabajó un fin de semana de llamadas. La falta de sueño, las mentes opacas y el precio de tal negligencia ascendieron a una pérdida de 40 millones de dólares, y varias semanas de interrupciones. Escenario 2: Salud bajo asedio En 2022, una de las redes de salud más grandes de Europa se ha violado y se ha expuesto una cantidad sustancial de datos confidenciales del paciente. Los investigadores descubrieron que había semanas de retrasos en la instalación de parches críticos ya que el equipo de seguridad subestimó las actividades de mantenimiento bajo la prioridad de las alertas urgentes. El equipo estaba sobrecargado de trabajo y con poco personal, y se produjo una modalidad reactiva; Las estrategias preventivas se perdieron en las grietas. Ambos casos comparten un hilo común: limitaciones humanas bajo una presión implacable. Y en ciberseguridad, el error humano sigue siendo la principal causa de violaciones. La perspectiva del liderazgo de pensamiento: ir más allá de las organizaciones de soluciones de ayuda de banda puede reaccionar ante el agotamiento utilizando soluciones a corto plazo, como seminarios web de salud mental, cupones de café o un día libre adicional. Por un lado, estos esfuerzos son bastante superficiales. El agotamiento de seguridad no es un problema de bienestar, es un problema estratégico de gestión de riesgos. Así es como los futuros líderes de la marca pueden lidiar con él: 1. Incorporar el bienestar en la estrategia de seguridad tratar la resiliencia mental como resiliencia del sistema. Planeamos fallas y redundancias para acomodar esto, por lo que necesitamos planificar la sostenibilidad humana. Esto implica cambios competitivos de guardia, tiempo de apagado requerido y medidas que no simplemente explican la resolución real de un incidente dado, sino también en calidad postraumática a largo plazo. 2. Automatizar donde duele la mayoría de la fatiga es el asesino de alertas silenciosas. Automatice y elimine el trabajo servil a través de triaje impulsado por IA, detección automatizada de amenazas y SOAR automatizado (orquestación de seguridad, automatización y respuesta). Use máquinas para separar el ruido para permitir que los seres humanos se concentren en el análisis de alto valor. 3. Normalizar el agotamiento de la seguridad psicológica generalmente florece en una cultura laboral mediante el cual el reconocimiento de estar cansado se ve como un signo de debilidades. Los líderes de seguridad deben establecer entornos en los que los profesionales puedan hablar libremente incluso sin temor a ser criticados. La seguridad psicológica no es una habilidad blanda ni una necesidad suave para operar la defensa (es una necesidad difícil). 4. Repensar los KPI y las expectativas Cuando las métricas de éxito de su SOC ponen mayor énfasis en la velocidad sobre la sostenibilidad, está avivando los incendios del agotamiento. Mida la efectividad a través de un cuadro de puntuación equilibrado efectivo que incluye indicadores de salud del equipo, así como la medición operativa. 5. Invierte en el aprendizaje continuo y la variedad de rotación de roles resiste la monotonía, y el conocimiento se opone a la desconexión. Las responsabilidades cambiantes y el movimiento en el entrenamiento de habilidades pueden reducir el cansancio y mantener a los equipos frescos. El futuro de la seguridad depende de los humanos detrás de esto, la ironía se destaca: el personal de los activos digitales suda tanto para garantizar la seguridad de los activos, pero su bienestar es un punto de vulnerabilidad no garantizado. En un período en el que las amenazas cambian a diario, la resiliencia de su postura de seguridad no puede disociarse con la resiliencia de su gente. El agotamiento es un problema más allá de los recursos humanos; Es un problema de nivel CISO que afecta directamente la capacidad de su organización para prevenir, detectar y responder a los ataques. No es una cuestión de si el agotamiento es relevante para la seguridad, pero cuánto tiempo puede tolerar el agujero en beato que queda atrás.
Un posible desastre de la cadena de suministro de NPM se evitó en un tiempo récord después de que los atacantes se hicieron cargo de las credenciales de un desarrollador verificado. El 8 de septiembre, Josh Junon, un desarrollador con más de 1800 contribuciones de Github en el último año, confirmó en Bluesky su cuenta de NPM se vio comprometida. Junon había sido alertado por otros usuarios de que su cuenta había comenzado a publicar paquetes con puertas traseras en todos los paquetes populares en los que estaba involucrado el desarrollador. El desarrollador, comúnmente conocido como ‘Qix’, dijo que recibió un correo electrónico para restablecer su autenticación de dos factores (2FA) que parecía «muy legítima», pero que era maliciosa. Agregó que solo involucraba su cuenta de NPM y que estaba en contacto con NPM para resolver el problema. Paquetes de NPM comprometidos La cuenta de NPM ‘Qix’ comprometida publicó versiones maliciosas publicadas para docenas de paquetes Junon. Descargas) Error-EX (aproximadamente 47 millones de descargas semanales) Simple-swizzle aproximadamente 26 millones de descargas semanales) HA-ANSI (aproximadamente 12 millones de descargas semanales) La carga útil implantada en los paquetes maliciosos es una cortina criptográfica que roba fondos al intercambiar las direcciones de las billeteras en las solicitudes de redes de redes y directamente las transacciones cripto. La cadena de ataque de criptográfico explicó que este sofisticado malware se dirige a los usuarios de criptomonedas a través de dos vectores de ataque principales. Primero, verifica si hay una extensión de billetera (como Metamask) presente. Si no es así, lanza un ataque pasivo de intercambio de direcciones, interceptando todo el tráfico web secuestrando las funciones de Fetch y XMLHTTPREQUEST del navegador. El malware luego reemplaza las direcciones de criptografía legítimas con las controladas por los atacantes, utilizando el algoritmo de distancia de Levenshtein para elegir la dirección más visualmente similar, lo que hace que el intercambio sea casi indetectable a simple vista. Si se detecta una billetera, el malware aumenta al secuestro de transacciones activas. Intercepe las transacciones salientes (por ejemplo, ETH_SENDTRANSACTION) y modifica la dirección del destinatario en la memoria antes de que el usuario lo firme. La víctima ve una pantalla de confirmación de aspecto legítimo, pero si no verifican la dirección cuidadosamente, sus fondos se envían directamente al atacante. La cadena de ataque es sigilosa y automatizada, explotando tanto la percepción humana (a través de la falsificación de las direcciones) como las vulnerabilidades técnicas (a través de la manipulación de la API de la billetera). Al comprometer un paquete NPM confiable, el malware se propaga en silencio, infectando sitios web y robando fondos sin aumentar las sospechas inmediatas. Una de las direcciones de Ethereum primarias utilizadas en el ataque es 0xFC4A4858BAFEF54D1B1D7697BFB5C52F4C1666976. Las personas pueden ver su actividad en vivo en el sitio web de Ethereum-scanning Etherscan a Traxksome de los fondos robados. También se ha creado un listado de Github Gist. Todas las billeteras afectadas. Una crisis evitada que debería «celebrarse» cuatro horas después de que Junon confirmó el compromiso, compartió un mensaje de NPM diciendo que se habían eliminado todas las versiones de paquetes afectados. Si bien muchas personas comenzaron a llamar a este hack como el «mayor ataque de la cadena de suministro en la historia» en las redes sociales, muchas voces han desafiado esta narrativa. Josh Bressers, vicepresidente de Security At Anchore, dijo en LinkedIn: «Esto es lo que nadie parece estar hablando. Todo esto duró solo unas pocas horas. Es sorprendente cuán rápido puede responder el código abierto a cosas como esta. Todos trabajan juntos. La información se puede compartir. La cantidad de personas que ahora trabajan en esto no es solo más grande que su equipo de seguridad, es más grande que su compañía». Katie Paxton-Fear, una hacker ética que recientemente comenzó a trabajar como defensora de la seguridad del personal en Semgrep, publicó un video sobre LinkedIn enfatizando que se ha evitado una crisis importante. «Obviamente, cualquier violación de seguridad es mala, pero esta no es la principal violación de seguridad que las personas están haciendo que sea», dijo. Destacó que la pérdida total estimada solo ascendió a $ 20, gracias principalmente a la respuesta rápida de la comunidad de código abierto. «El malware se notó y la gente comenzó a hablar de ello en Github a solo los 15 minutos de los paquetes maliciosos en vivo. Algunos de los paquetes fueron retirados por los mantenedores solo una hora después del compromiso, y el resto de ellos por NPM en dos horas», explicó. Según Arda Büyükkaya, un analista senior de inteligencia de amenazas cibernéticas en ECLECTICIQ, la dirección de cripto de atacante muestra $ 66.52. Sin embargo, Paxton-Fear argumentó que este incidente es «una victoria que muestra que el modelo de código abierto funciona y que debería celebrarse». En otra publicación de LinkedIn, Melissa Biscoping, la directora de la investigación de seguridad de punto final en Tanium, fue más allá: «Si está en pánico sobre ese asunto de NPM, no lo hace. Existe una posibilidad prácticamente 0 de posibilidades de que se vea afectado por esto, y no debe quemar a sus equipos al elegir cada esquina de su infraestructura para la evidencia de estos paquetes comprometidos». Descargado y enviado a su software en esa ventana de tiempo son muy, muy pequeñas, casi 0. De todas las cosas que creo que deberías hacer que tu equipo se agote tarde, esta no es una de ellas «. Sin embargo, cómo mitigar esta amenaza, aquellos que aún piensan que pueden verse afectados pueden tomar medidas inmediatas para bloquear las dependencias vulnerables. Según Jan-David Stärk, ingeniero de software y líder del equipo en Hansalog, para versiones seguras a prueba de fuerza en un proyecto completo, los desarrolladores pueden usar anulaciones en su paquete.json, agregando lo siguiente a las versiones confiables de los paquetes comprometidos: {«nombre»: «su proyecto», «Versión»: «1.0.0», «anulada»:: «» CHALK «:» 5..3.0 «. «7.1.0», «Color-Convert»: «2.0.1», «Nombre de color»: «1.1.4», «IS-Core-Module»: «2.13.1», «Error-EX»: «1.3.2», «Has-Ansi»: «5.0.1»}} luego, los desarrolladores deberían limpiar su proyecto al deletear Node_Modules y Package-Lock.json, luego, Instal Archivo de bloqueo. Esto asegurará que no queden versiones maliciosas en su árbol de dependencia.
Seguridad empresarial La capacidad de su empresa para abordar la amenaza de ransomware de frente puede ser una ventaja competitiva 31 de marzo de 2025 •, 3 min. Lea «Todo el mundo tiene un plan hasta que se ponen perforados en la boca». El adagio de Mike Tyson (juego de palabras) suena demasiado para las organizaciones que se recuperan de un ataque de ransomware. En los últimos años, el ransomware ha demostrado ser capaz de poner de rodillas incluso un negocio próspero en cuestión de horas, y es seguro decir que continuará con organizaciones de chupas de todas las rayas, probando sus planes de ciber-come y contingencia de manera que pocas otras amenazas puedan igualar. No hay escasez de datos e incidentes reales para soportar esto. Según el Informe de Investigaciones de Investigaciones de Datos 2024 de Verizon, un tercio de todas las violaciones de datos involucran ransomware u otra técnica de extorsión. «El ransomware fue una amenaza principal entre el 92% de las industrias», dice el informe. Si esto suena desconcertante, es porque lo es. Las apuestas también son altas porque el ransomware también puede llegar a la parte posterior de un ataque de la cadena de suministro, como fue el caso del incidente de Kaseya en 2021 que explotó una vulnerabilidad en la plataforma de gestión de TI de la compañía para amplificar enormemente el alcance del ransomware en un número incalculable de organizaciones en todo el mundo. Malimas y maltratadas cuando se rompe la noticia de un ataque de ransomware, los titulares a menudo se centran en las dramáticas demandas de rescate y los acertijos éticos y legales sobre el pago. Sin embargo, lo que a menudo no capturan es el trauma organizacional y humano sufrido por las víctimas, doblemente cuando el incidente se ve agravado por la exfiltración de datos y las amenazas para hacer públicos los datos robados. Cuando los sistemas se oscurecen, las empresas no se detienen simplemente: hemorragen el dinero mientras observan las nuevas oportunidades escapar y la reputación de la marca sufre. Las heridas se profundizan exponencialmente a medida que los esfuerzos de recuperación frenética se extienden de horas a días, semanas y posiblemente incluso meses. La premisa brutalmente simple de ransomware, cifrado, los datos comerciales críticos y el pago de la demanda de su liberación, en realidad desmiente una compleja cascada de daño operativo, financiero y reputacional que se desarrolla a raíz del ataque. Una vez más, hay amplios datos para mostrar que un incidente exitoso de ransomware cuesta caro a las víctimas. El costo de IBM de un informe de violación de datos 2024, por ejemplo, pone el costo promedio de recuperación de tal ataque a cerca de US $ 5 millones. El ransomware de escarabajo también tiene como objetivo obstaculizar los esfuerzos de restauración que arrojan una organizaciones de línea de vida golpeadas por ransomware generalmente dependen de tres rutas de escape: restauración de copias de seguridad, recibir una herramienta de descifrado de investigadores de seguridad (como aquellos involucrados con la iniciativa de no más rescatado, que incluye ESET como miembro) o pagar el Ransom a cambio de un descryptor. Pero, ¿qué pasa si ninguna de estas opciones resulta ser viable? Primero, los atacantes a menudo apretan el tornillo de las víctimas al atacar también a sus sistemas de respaldo, corrompiéndelas o encriptándolas antes de desplegar ransomware en entornos de producción. En segundo lugar, las herramientas de descifrado de los investigadores se consideran mejor como una opción de último resort, ya que a menudo no puede igualar la urgencia de las necesidades de recuperación del negocio. ¿Qué hay de tirar la toalla y pagar el rescate? Dejando de lado las posibles dificultades legales y regulatorias, el pago garantiza exactamente nada y, a menudo, solo agrega insulto a las lesiones. Colonial Pipeline aprendió esto de la manera difícil cuando las herramientas de descifrado que se le proporcionaban a cambio de un pago de rescate de US $ 4.4 millones eran tan de mala calidad que los sistemas de restauración de las copias de seguridad resultó ser la única opción viable de todos modos. (Nota: El Departamento de Justicia de los Estados Unidos luego recuperó la mayor parte del rescate). La remediación de ransomware ESET trae un nuevo enfoque a este enigma, combinando efectivamente la prevención y la remediación en uno. Crea copias de seguridad de archivos específicos que están fuera del alcance de los malos actores durante un proceso que se activa cuando el riesgo está recto; es decir, una vez que se detecta un posible intento de ransomware. Dado que los atacantes también apuntan a las copias de seguridad de datos, este enfoque aborda el riesgo de confiar sin saberlo en copias de seguridad comprometidas. El refuerzo para el ransomware de impacto es un disruptor completo capaz de desentrañar las operaciones comerciales de subproceso por hilo y con velocidad alarmante. Dicho esto, las organizaciones con capacidades de prevención y recuperación probada y verdadera no solo sobrevivirán frente a los ataques de ransomware y otras amenazas, su capacidad para evitar tales golpes puede convertirse en su ventaja competitiva final. En el panorama digital siempre cambiante, el cambio es la única constante y la resiliencia depende de anticipar lo inesperado. El plan para lo desconocido como su negocio depende de ello, porque lo hace.