Se advierte a los pasajeros del Ferrocarril del Noroeste de Londres de Londres del Reino Unido que se vigilan después de que los ciberdelincuentes accedieron a los datos de contacto del Viajero y cierta información sobre viajes anteriores. Se accedió a los datos de la contraseña durante el ataque cibernético, y los horarios de los trenes y la venta de entradas no se han visto afectados. Sin embargo, eso no significa que no haya riesgos en absoluto. Por esa razón, LNer advierte a los clientes que sigan «cautelosos con las comunicaciones no solicitadas, especialmente aquellos que solicitan información personal». Ese es un buen consejo de LNER, porque en los ciberdelincuentes y los estafadores pasados han usado los datos personales que han podido acceder como un stepping -stone para recopilar más información, lo que, que, cuando se combina, podría llevar a los datos más graves. Cliente de LNer, sería trivial para contactar al pasajero que afirma ser de LNer. Los estafadores podrían sugerir que están ofreciendo una compensación a un pasajero inconveniente por un tren tardío, o incluso por la violación de datos real, y les piden que visiten un enlace para iniciar sesión en su cuenta o ingresen su información de pago. De esta manera, un ciberdelincuente podría recopilar relativamente fácilmente la información esencial para cometer un ataque inicial que su ataque inicial no pudo al no pudo. Sin embargo, ha dicho a los clientes que «siempre es una buena práctica mantener una contraseña segura y cambiar las contraseñas regularmente». Desafortunadamente no estoy de acuerdo con el consejo de cambiar las contraseñas regularmente. Creo que es una buena idea tener una contraseña fuerte y única que no está utilizando en ningún otro lugar de Internet. Idealmente, debe almacenarlo en un administrador de contraseñas segura, lo que significará que no tiene que confiar en su memoria, un desafío difícil cuando puede tener cientos de contraseñas diferentes. Pero decirle a las personas que cambien sus contraseñas regularmente, puede llevar a las personas que realmente eligen contraseñas más débiles o más predecibles. Imagine, por ejemplo, si su lugar de trabajo exigiera que haya cambiado su contraseña de inicio de sesión el primer día de cada mes. ¿No hay una mayor posibilidad de que las personas opten por algo débil como «contraseña1», «contraseña2», «contraseña3» o «contraseñajan», «contraseña», «contraseña»? Mejor tener una contraseña sólida y única que diría, y solo cambiarlo cuando existe la necesidad de cambiarlo. están en su lugar para evitar que vuelva a ocurrir una violación tan similar. No puedo evitar sentir lástima no solo por los clientes de Lner, sino también en sí mismo. Después de todo, es su marca la que ha sido empañada por la violación de datos, a pesar de que no parece que ocurra en sus sistemas informáticos, sino más bien en la TI de un proveedor no identificado. los rieles.
Categoría: Ciberseguridad Página 5 de 106
sep 12, 2025Ravie Lakshmananvulnerabilidad / seguridad móvil Samsung ha lanzado sus actualizaciones de seguridad mensuales para Android, incluida una solución para una vulnerabilidad de seguridad que, según él, ha sido explotada en ataques de día cero. La vulnerabilidad, CVE-2025-21043 (puntaje CVSS: 8.8), se refiere a una escritura fuera de los límites que podría dar como resultado una ejecución de código arbitraria. «Los fuera de los límites escriben en libimageCodec.quram.so antes de SMR SEP-2025 La versión 1 permite a los atacantes remotos ejecutar código arbitrario», dijo Samsung en un aviso. «El parche solucionó la implementación incorrecta». Según un informe 2020 de Google Project Zero, libimageCodec.quram.so es una biblioteca de análisis de imágenes de código cerrado desarrollada por Quramsoft que implementa soporte para varios formatos de imagen. El problema con calificación crítica, según el gigante electrónico de Corea del Sur, afecta a las versiones de Android 13, 14, 15 y 16. La vulnerabilidad fue divulgada de manera privada a la compañía el 13 de agosto de 2025. Samsung no compartió ningún detalle sobre cómo la vulnerabilidad está siendo explotada en ataques y quién puede estar detrás de estos esfuerzos. Sin embargo, reconoció que «una exploit para este problema ha existido en la naturaleza». El desarrollo se produce poco después de que Google dijo que resolvió dos fallas de seguridad en Android (CVE-2025-38352 y CVE-2025-48543) que, según dijo, se han explotado en ataques dirigidos.
Las redes sociales nos conectan con amigos, tendencias y noticias en tiempo real, pero también abre la puerta a los estafadores que buscan explotar la confianza y la curiosidad. Desde obsequios falsos hasta estafas de suplantación, los estafadores usan tácticas sofisticadas para engañar a los usuarios para que entreguen información personal, dinero o acceso a sus cuentas. Incluso los usuarios más expertos en Internet pueden ser víctimas de estos esquemas engañosos. Por eso es crucial reconocer las banderas rojas antes de que sea demasiado tarde. Ya sea que se trate de un DM de un «amigo» en problemas, un acuerdo que parece demasiado bueno para ser verdad, o una solicitud repentina para verificar su cuenta, los estafadores se aprovechan de la urgencia y la emoción de atraerlo. Aquí hay un vistazo a algunas de las estafas de redes sociales más comunes, y cómo puede mantener un paso por adelantado para protegerse y sus cuentas. Estafas de romance: relaciones falsas en línea donde los estafadores manipulan a las víctimas para que envíen dinero. Estafas de phishing: mensajes o enlaces fraudulentos diseñados para robar credenciales de inicio de sesión. Regalos y concursos falsos: los estafadores posan como marcas o celebridades, pidiendo información personal a cambio de premios que no existen. Estrabas de trabajo: comentarios de trabajo falsos que requieren tarifas iniciales o datos personales. Estafas de inversión: esquemas fraudulentos que prometen grandes rendimientos con poco riesgo, a menudo involucrando criptomonedas. Estrabas de suplantación: estafadores clones perfiles de familiares, amigos o empresas para solicitar dinero o datos personales. Estafas de compras en línea: tiendas de comercio electrónico falsas que recopilan pagos sin entregar productos. Estafas de caridad: recaudadores de fondos falsos diseñados para explotar la generosidad durante las crisis. Ofertas demasiado buenas para ser verdaderas: ofertas poco realistas que requieren pagos iniciales o información personal. La forma en que los estafadores operan en los estafadores de redes sociales usan diversas tácticas para atraer a los usuarios desprevenidos a sus esquemas, incluidos: Perfiles falsos: los estafadores crean cuentas falsas, a veces suplantando a personas reales, para generar confianza. Enlaces maliciosos: envían mensajes que contienen enlaces dañinos que instalan malware o roban datos. Manipulación emocional: jugar con el miedo, el amor o la urgencia, convencen a las víctimas de que actúen sin pensar. Oportunidades de inversión falsas: atraen a las víctimas con promesas de riqueza fácil a través de esquemas financieros falsos. Trucos de ingeniería social: elaboran mensajes diseñados para recopilar información personal a través de cuestionarios, encuestas o solicitudes directas. Las señales de que estás tratando con un estafador de redes sociales que reconoce estas banderas rojas pueden ayudarte a mantenerte a salvo: errores de gramática y ortografía deficientes: muchos estafadores usan frases antinaturales o formato extraño. Perfiles nuevos con pocos amigos o publicaciones: la falta de contenido personal es un signo de una cuenta falsa. Solicitudes de amistad duplicados: si recibe una solicitud de alguien con quien ya está conectado, puede ser una estafa de suplantación. Mensajes no solicitados que contienen enlaces: evite hacer clic en enlaces en mensajes inesperados, ya que pueden conducir a sitios de phishing. Solicitudes de dinero a través de métodos no rastreables: los estafadores a menudo solicitan el pago a través de tarjetas de regalo, transferencias bancarias o criptomonedas. Ofertas increíbles o ofertas por tiempo limitado: si una oferta parece demasiado buena para ser verdad, probablemente lo sea. Solicitudes para mover la conversación fuera de la plataforma: los estafadores pueden presionar para comunicarse por correo electrónico, whatsapp o mensaje de texto para evitar la detección. Cómo protegerse de las estafas de las redes sociales Siga estas precauciones para reducir su riesgo de ser víctima: piense antes de hacer clic: no interactúe con enlaces o archivos adjuntos sospechosos. Verifique las identidades: contacte a las personas a través de medios de confianza antes de enviar cualquier dinero o información. Habilite la configuración de privacidad: limite lo que los extraños pueden ver en su perfil. Utilice contraseñas fuertes y únicas: habilite la autenticación de dos factores (2FA) en sus cuentas. Sea escéptico con los extraños en línea: si alguien que no conoce se acerca inesperadamente, cuestiona sus intenciones. Informar y bloquear cuentas sospechosas: las plataformas de redes sociales tienen herramientas para informar fraude. Monitoree sus cuentas para la actividad no autorizada: manténgase atento a cualquier signo de compromiso. Qué hacer si ha sido estafado si sospecha que ha sido víctima de una estafa en las redes sociales, tome medidas inmediatas: asegure sus cuentas: cambie las contraseñas y habilite 2FA para evitar mayores infracciones. Informe la estafa: notifique a la plataforma de redes sociales e informa fraude a autoridades como la FTC. Póngase en contacto con su banco: si envió dinero, informe a su institución financiera para que intente una reversión. Escanee su dispositivo en busca de malware: ejecute software antivirus como McAfee para detectar y eliminar cualquier amenaza potencial. Monitoree sus cuentas financieras: busque transacciones no autorizadas y considere colocar alertas de fraude. Las estafas de las redes sociales se están volviendo más sofisticadas, pero puede protegerse al mantenerse informado y cauteloso. Siempre verifique los mensajes, sea escéptico de las ofertas demasiado buenas para ser verdaderas y use fuertes medidas de seguridad para salvaguardar sus cuentas. Al reconocer estas estafas temprano, puede evitar la pérdida financiera y mantener su información personal segura en línea. McAfee ayuda a protegerlo de las amenazas en línea con herramientas de seguridad avanzadas, incluida la monitorización de identidad, las características de navegación seguras y la protección de malware en tiempo real. Manténgase un paso por delante de los estafadores con soluciones de seguridad cibernética de confianza. Presentación de protección y privacidad de robo de identidad McAfee+ para su vida digital. Descargue McAfee+ ahora \ x3cimg Height = «1» Width = «1» Style = «Display: None» src = «https://www.facebook.com/tr?id=766537420057144&ev=pageview&noScript=1″/> \ x3c/noscript> ‘);
Cyber Essentials (CE) es la línea de base respaldada por el gobierno del Reino Unido para detener los ataques comunes de origen internet. Viene en dos niveles: Cyber Essentials (autoevaluación, señalización de la junta) y Cyber Essentials Plus (los mismos controles, más pruebas independientes) y la certificación se renuevan anualmente. En un estudio comprendido por el gobierno, el 99% de las vulnerabilidades de origen de Internet se mitigaron cuando los controles CE estaban en su lugar, mientras que ninguno se mitigó sin ellos. La mayoría de las organizaciones también informan una mayor confianza de que los controles protegen contra amenazas comunes y reducen el riesgo. Si vende al sector público del Reino Unido, CE también acorta la persecución en papel. El 48% de los compradores informan ahorros de tiempo en la diligencia debida del proveedor cuando un postor posee CE, aumentando al 59% con CE Plus. Lo que Cyber Essentials cubre CE se centra en cinco áreas de control técnico que detienen la gran mayoría de los ataques de productos básicos. El estándar actual es v3.2 (sauce). Puede descargarlo directamente de los requisitos NCSC: Cyber Essentials para la infraestructura de TI v3.2 (PDF) y la página IASME para el último conjunto de preguntas y recursos. Firewalls: Configure para bloquear las conexiones entrantes no autenticadas de forma predeterminada, restringir/aprobar reglas, proteger las interfaces de administración (p. Ej. Los dispositivos utilizados en redes no confiables deben habilitar un firewall de software. Configuración segura: eliminar/deshabilitar cuentas y servicios innecesarios; cambiar los valores predeterminados; deshabilitar automáticamente; Haga cumplir el bloqueo del dispositivo y la autenticación adecuada. Control de acceso al usuario: use credenciales únicas, elimine las cuentas de inmediato, separe el administrador del uso estándar y siempre use MFA para servicios en la nube. Protección de malware: Implemente anti -malware (mantenido actualizado por guía de proveedores, escaneo sobre el acceso, bloqueo web) o aplicaciones de la lista. Gestión de actualizaciones de seguridad: mantenga el software con licencia/compatible. Habilite automáticamente las compras siempre que sea posible, y aplique actualizaciones de seguridad dentro de los 14 días cuando es crítico/alto (o cuando no se especifique la gravedad). Eliminar o aislar software no compatible. ¿Por qué importa y realmente funciona? Muchas organizaciones dicen que la construcción de la higiene práctica forzada, como instituir la ventana de parche de 14 días, en las operaciones cotidianas. Pero más allá de los beneficios operativos, el impacto medible es significativo. La evaluación de impacto del gobierno del gobierno confirma la efectividad de CE: Reducción del riesgo: 99% de mitigación de vulnerabilidades que originan Internet cuando los controles están en su lugar: el 82% cree que los controles protegen contra las amenazas comunes; El 80% dice que ayudan a mitigar las ventajas de la cadena de suministro de riesgos organizacionales: CE se usa ampliamente para la garantía de proveedores. Poco menos de la mitad de los usuarios (48%) ahorran tiempo en la diligencia debida cuando un postor tiene CE, aumentando al 59% para CE Plus certificado sin el dolor de cabeza El proceso de certificación sigue estos pasos clave: elija su nivel: CE (autoevaluación con firma de la Junta) o CE Plus (los mismos controles más las pruebas independientes) alcance correctamente: Acuerde el límite, incluidos los servicios en la nube. En CE, incluso cuando un proveedor implementa un control, usted es responsable de asegurarlo. MFA siempre debe usarse para servicios en la nube. Recopile evidencia a medida que avanza: listas de parches y activos de documentos, aprobaciones de reglas de firewall, configuración de MFA, separación de cuentas de administración y configuración anti -Malware/Listing Listing. Renovar anualmente: manténgase al día con el estándar (actualmente v3.2 «sauce») y mantenga su certificación. Para una orientación adicional, los líderes pueden hacer referencia al conjunto de herramientas de la junta del NCSC y a la guía de pequeñas empresas. La forma en que Heimdal ayuda con CE y facilita las auditorías, su objetivo es doble: cumpla con cada requisito y pruebe limpiamente. Heimdal ayuda en ambos frentes con un modelo de implementación de un agente, visibilidad unificada y SOC administrado las 24/7. Firewalls: mientras que los dispositivos límite permanecen en el alcance, los puntos finales aún necesitan protección en redes no confiables. Heimdal agrega el bloqueo DNS -Llayer y la telemetría de punto final que puede surgir durante la evaluación. Configuración segura: use la gestión de elevación y delegación de privilegios (PEDM) para hacer cumplir el menor privilegio y la gestión de parches y activos (PAM) para eliminar el software vulnerable/no utilizado y endurecer las líneas de base a escala. Control de acceso al usuario: Haga cumplir la segregación de la actividad administrativa con PEDM y política. CE requiere MFA para el acceso a la nube: documente esto a través de su patrimonio SaaS y capture la prueba en su paquete de auditoría. Protección de malware: implementa NGAV + XTP con escaneo y bloqueo web en acceso. Si elige permitir la lista, combínelo con control de aplicación / confianza cero. Gestión de actualizaciones de seguridad: PAM automatiza el sistema operativo y parches de terceros contra su SLA de 14 días e inventarios no respaldados software. Evidencia e informes: si prefiere centralizar la evidencia, la plataforma de Heimdal proporciona informes que le ayudan a demostrar el estado de control (por ejemplo, SLAS de parche, postura de punto final, bloques DNS). Para los postores del sector público se rige por PPN 014, que reemplazó la PPN 23/09 en febrero de 2025 para todas las adquisiciones. Básicamente dice «incluye CE/CE Plus donde tiene sentido para el nivel de riesgo». Use CE como señal de calificación: es ampliamente reconocida y acelera la diligencia debida para todos. La evaluación de impacto del gobierno confirma esos ahorros de tiempo del 48%/59% que mencionamos anteriormente. Lo que CE no hace (y por qué está bien) CE eleva el piso, no el techo. No detendrá a los piratas informáticos de estado-nación o ataques seleccionados sofisticados. Piense en ello como su base: luego capa de detección, respuesta, copias de seguridad y planificación de incidentes en función de su perfil de riesgo real. El NCSC lo llama un estándar mínimo por una buena razón. ¿Listo para comenzar? El enfoque de un agente de Heimdal cubre NGAV + XTP, DNS Security, PAM y PEDM, brindándole una amplia cobertura de CE con menos piezas móviles y evidencia de auditoría centralizada: PEDM y control de aplicaciones
Los actores de amenazas están utilizando tácticas novedosas de la tierra (LOTL) para evadir mejor la detección, según el informe de amenazas del segundo trimestre de HP Wolf 2025. Estas tácticas incluyen el uso creciente de múltiples binarios poco comunes en una sola campaña y usos novedosos de los archivos de imágenes, lo que dificulta que los equipos de seguridad distinguen entre actividad maliciosa y legítima. Alex Holland, un investigador principal de amenazas en HP Security Lab, explicó: «Estamos viendo más encadenamiento de las herramientas de vida y el uso de tipos de archivos menos obvios, como las imágenes, para evadir la detección. Tomemos los shells inverso como un ejemplo, no tiene que soltar un troyano de acceso remoto totalmente completo (RAT) cuando un script de peso simple y liviano logro el mismo efecto simple, rápido y rápido bajo el radar de los radares básicos. El malware de Xworm ejecutado a través de MSBuild en un incidente observado, los atacantes encadenaron múltiples herramientas LOTL, incluidas las menos conocidas, para entregar malware Xworm, una rata que contiene capacidades para el robo de datos y el control remoto. En particular, la carga útil final se ocultó en los píxeles de una imagen descargada de un sitio web de confianza, decodificada a través de PowerShell y ejecutada a través de MSBuild. El ataque comenzó con los atacantes que distribuyen archivos HTML HTML compilados (.ChM) maliciosos como archivos adjuntos de correo electrónico, disfrazados de documentación del proyecto, algo que los usuarios a menudo requieren cuando necesitan ayuda para usar aplicaciones de Windows. Los archivos maliciosos no contenían documentación, solo scripts maliciosos diseñados para iniciar una infección en varias etapas. El script incrustado utiliza varios binarios LOTL de Windows para evadir la detección y ejecutar la carga útil. Esto incluye el uso de extrac32.exe para copiar el ejecutable legítimo de Windows Script Host (cscript.exe) desde System32 al directorio de usuario público. La campaña dejó caer un archivo VBScript en el directorio público, con PowerShell utilizado para ejecutar el script. El archivo por lotes, también ejecutado a través de PowerShell, descargó un archivo JavaScript en el directorio ProgramData y lo ejecuta utilizando el script nativo de Windows intérprete. El script PowerShell luego descargó una imagen de un sitio de administración de activos digitales llamado tagbox. Como se confiaba en el dominio de este sitio web y el archivo es una imagen válida, evita la mayoría de los filtros de seguridad. Sin embargo, esta imagen contenía datos ocultos, que se cargan en un objeto de mapa de bits. Esto establece una secuencia de eventos que descarga, decodifica y ejecuta la carga útil final, Xworm, en el proceso legítimo de MSBuild. PDF señora para entregar malware El informe HP Wolf, publicado el 12 de septiembre, también destacó los usos novedosos de los archivos de gráficos vectoriales escalables (SVG) para entregar malware. Los SVG contienen instrucciones de texto en forma de lenguaje de marcado extensible (XML) para dibujar imágenes reestrizables basadas en vectores en una computadora. Los archivos proporcionan una variedad de ventajas para los actores de amenazas, incluido el hecho de que abren en el navegador predeterminado en las computadoras de Windows y se pueden usar para dibujar una gama de formas y gráficos, lo que permite la suplantación de múltiples entidades. También se comportan típicamente como documentos HTML, permitiendo a los atacantes abusar de las tecnologías web estándar, como integrar JavaScript o hacer referencia a recursos externos alojados en servidores controlados por los atacantes. En nuevos incidentes observados en el segundo trimestre, los atacantes distribuyeron archivos SVG extremadamente pequeños que no eran maliciosos por su cuenta. Cuando se abrió en un navegador, el SVG mostró una imitación convincente de una interfaz de lector de Adobe Acrobat, completa con una animación de carga de documentos falso y una barra de carga que se llena gradualmente. Esto le dio a la víctima la impresión de una aplicación web legítima. Una vez que se completó la carga falsa, se le pidió al usuario que recuperara el supuesto involucrado. Sin embargo, hacer clic en el botón Descargar activó una solicitud de fondo a una URL externa, que sirvió un archivo zip. Este archivo zip contenía un archivo JavaScript ofuscado a través de la sustitución de cadenas, otorgando a los atacantes control básico sobre el sistema infectado. Los atacantes también utilizaron geofencing para restringir las descargas a regiones específicas, una táctica diseñada para evadir el análisis automatizado y la detección de retrasos. Lumma Stealer se propagó a través de IMG Archives Lumma Stealer surgió como una de las familias de malware más activas observadas por los investigadores en el segundo trimestre de 2025. En una campaña notable, el Infente de Infente de Infente La imagen de disco contenía un archivo de aplicación HTML (HTA) disfrazado de factura. Si un usuario intenta inspeccionar el archivo en un editor de texto, el script integrado está oculto detrás de largas secuencias de espacios en blanco para evadir el análisis casual. Cuando se ejecuta, el script compiló y ejecutó un comando PowerShell, que luego descargó un ejecutable de una URL predefinida. Este ejecutable era un instalador de Windows construido con el sistema de instalación de scriptable NullSoft (NSIS), una herramienta de código abierto para crear instaladores. Ejecuta un script de instalación personalizado, que crea varias claves de registro que hacen referencia a varias rutas de archivos e intentan abrir numerosos archivos inexistentes, probablemente destinados a engañar a los analistas. Finalmente, el instalador de NSIS lanzó otro comando PowerShell, que ejecutó un archivo abandonado en la carpeta Local AppData. PowerShell corrió dos shellcodes, que después de varias etapas de desempaquetado, desplegaron y ejecutaron Lumma Stealer. Los investigadores señalaron que a pesar del derribo de la policía de la infraestructura de robador de Lumma en mayo de 2025, las campañas continuaron en junio y los operadores han comenzado a reconstruir su infraestructura.
Como los malos actores a menudo simplemente valla a través de las puertas delanteras digitales de las empresas con una llave, aquí le mostramos cómo mantener su propia puerta cerrada el 11 de septiembre de 2025 •, 5 min. ¿Lea por qué derribar una puerta y colocar la alarma de la casa cuando tenga una llave y un código para entrar en silencio? Esta es la justificación detrás de una tendencia en la seguridad cibernética donde los adversarios buscan cada vez más robar contraseñas, e incluso tokens de autenticación y cookies de sesión para evitar códigos de MFA para que puedan acceder a las redes disfrazando como usuarios legítimos. Según Verizon, el «uso de credenciales robadas» ha sido uno de los métodos más populares para obtener acceso inicial en los últimos años. El uso de credenciales robadas apareció en un tercio (32%) de las violaciones de datos el año pasado, señala su informe. Sin embargo, si bien hay varias formas en que los actores de amenaza pueden obtener credenciales, también hay muchas oportunidades para detenerlos. Por qué las credenciales son de la zona cero para los ataques cibernéticos según una estimación, más de 3.200 millones de credenciales fueron robadas de las empresas globales en 2024, un aumento anual del 33%. Con el acceso que estos proporcionan a las cuentas corporativas, los actores de amenaza pueden deslizarse efectivamente a las sombras mientras traman su próximo movimiento. Esto podría implicar algunas formas más avanzadas de explotación penal, por ejemplo: realizar el reconocimiento de la red: buscar datos, activos y permisos de usuario para ir después de los próximos privilegios de escalada, por ejemplo, a través de la explotación de vulnerabilidad, para que se muevan lateralmente para alcanzar esos datos de alto valor de los datos/sistemas que establecen comunicaciones con el que trabajan con un servidor de mando de mando adicionales, y los datos de los sistemas de alto valor, y el servidor, y los sistemas de los sistemas se encuentran de manera acuática y el servidor, y los datos de los Sistemas de Working y Exfiltates, y el servidor, y los sistemas de los Sistemas se transfieren y se transfieran a través de los datos de los Sistemas de Working y Exfiltre. Pasos, un adversario también podría llevar a cabo un ransomware de gran éxito y otras campañas. Cómo obtienen contraseñas Los actores de amenaza han desarrollado varias formas de comprometer las credenciales corporativas de sus empleados o, en algunos casos, incluso sus códigos de MFA. Incluyen: phishing: correos electrónicos o mensajes de texto falsificados para aparecer como si se enviara desde una fuente oficial (es decir, el departamento de TI o un proveedor de tecnología). Se alentará al destinatario a hacer clic en un enlace malicioso que lo lleva a una página de inicio de sesión falsa (es decir, Microsoft). Vishing: una variación sobre el tema de phishing, pero esta vez una víctima recibe una llamada telefónica del actor de amenaza. Pueden hacerse pasar por el servicio de ayuda de TI y solicitar a la víctima entrega una contraseña o inscribir un nuevo dispositivo MFA como parte de alguna historia ficticia. O podrían llamar al servicio de asistencia que afirma ser un ejecutivo o empleado que necesita un restablecimiento de contraseña urgente para hacer su trabajo. Infentes de infantes: malware diseñado para recolectar credenciales y cookies de sesión de la computadora/dispositivo de la víctima. Puede llegar a través de un enlace/archivo adjunto de phishing malicioso, un sitio web comprometido, una aplicación móvil atrapada en bobina, una estafa de redes sociales o incluso un mod no oficial de juegos. Se cree que los infantes de infantes fueron responsables del 75% de las credenciales comprometidas el año pasado. Ataques de fuerza bruta: estos incluyen el relleno de credenciales, donde los adversarios intentan combos de nombre/contraseña anteriormente violados en sitios y aplicaciones corporativas. La pulverización de contraseñas, mientras tanto, aprovecha las contraseñas de uso común en diferentes sitios. Los bots automatizados los ayudan a hacerlo a escala, hasta que uno finalmente funcione. Incumplimientos de terceros: los adversarios comprometen un proveedor o socio que almacena credenciales para sus clientes, como un MSP o un proveedor SaaS. O compran trova de «combos» de inicio de sesión ya violados para usar en ataques posteriores. Bypass MFA: las técnicas incluyen intercambio de SIM, bombardeos indicadores de MFA que abruman el objetivo con notificaciones push para causar «fatiga de alerta» y provocar una aprobación push, y ataques adversarios en el medio (AITM) donde los atacantes se insertan entre un usuario y un servicio legítimo de autenticación para interformar con la sesión de la sesión de MFA. Los últimos años han estado inundados de los ejemplos del mundo real del compromiso de contraseña que conduce a incidentes de seguridad importantes. Incluyen: Cambiar la atención médica: en uno de los ataques cibernéticos más importantes de 2024, el grupo de ransomware ALPHV (BlackCat) Cambio paralizado Healthcare, un importante proveedor de tecnología de salud estadounidense. La pandilla aprovechó un conjunto de credenciales robadas para acceder de forma remota a un servidor que no tenía la autenticación multifactorial (MFA) activada. Luego intensifican sus privilegios y se movieron lateralmente dentro de los sistemas y desplegaron ransomware, lo que finalmente condujo a una interrupción sin precedentes del sistema de salud y el robo de datos confidenciales sobre millones de estadounidenses. Snowflake: el actor de amenaza de motivación financiera UNC5537 obtuvo acceso a las instancias de la base de datos de clientes de Snowflake de múltiples clientes. Cientos de millones de clientes aguas abajo se vieron afectados por esta campaña masiva de extorsión de robo de datos. Se cree que el actor de amenazas accedió a sus entornos a través de credenciales previamente robadas a través de malware infestador. Mantenga los ojos bien abiertos, lo cual hace que sea más importante que nunca proteger las contraseñas de sus empleados, hacer que los inicios de sesión sean más seguros y monitorear el entorno de TI más de cerca por los signos reveladores de una violación. Gran parte de esto se puede lograr siguiendo un enfoque de confianza cero basado en el principio: nunca confíe, siempre verifique. Significa adoptar la autenticación basada en el riesgo en el «perímetro» y luego en varias etapas dentro de una red segmentada. Los usuarios y dispositivos deben evaluarse y calificarse en función de su perfil de riesgo, que se puede calcular desde el tiempo y la ubicación del inicio de sesión, el tipo de dispositivo y el comportamiento de la sesión. Para reforzar la protección de su organización contra el acceso no autorizado y garantizar el cumplimiento de las regulaciones, la autenticación multifactor (MFA) sólida en roca también es una línea de defensa no negociable. Debe complementar este enfoque con programas actualizados de capacitación y conciencia para los empleados, incluidas las simulaciones del mundo real utilizando las últimas técnicas de ingeniería social. Las políticas y herramientas estrictas que evitan que los usuarios visiten sitios arriesgados (donde los infantes de infantes pueden acechar) también son importantes, al igual que el software de seguridad en todos los servidores, puntos finales y otros dispositivos, y herramientas de monitoreo continuo para detectar un comportamiento sospechoso. Este último lo ayudará a detectar adversarios que pueden estar dentro de su red cortesía de una credencial comprometida. De hecho, las organizaciones también deben tener una forma de reducir el daño que puede hacer una cuenta comprometida, por ejemplo, siguiendo el principio de menor privilegio. Finalmente, Dark Web Monitoring puede ayudarlo a verificar si alguna credencial de empresa está a la venta en el cibercrimen underground. En términos más generales, considere solicitar la ayuda de un tercero experto a través de un servicio de detección y respuesta administrada (MDR). Especialmente si su empresa tiene poco recursos. Además del menor costo total de propiedad, un proveedor de MDR de buena reputación aporta experiencia en materia, monitoreo y caza de amenazas las 24 horas, y el acceso a analistas que entienden los matices de las intrusiones basadas en credenciales y también pueden acelerar la respuesta de incidentes si se detectan cuentas comprometidas.
Los investigadores de ciberseguridad han descubierto una nueva cepa de ransomware denominado HybridPetya que se asemeja al notorio malware Petya/Notpetya, al tiempo que incorpora la capacidad de evitar el mecanismo de arranque seguro en sistemas de interfaz de firmware extensible unificados (UEFI) utilizando una vulnerabilidad ahora cortada que se describe este año. La compañía de ciberseguridad eslovaco, ESET, dijo que las muestras se cargaron en la plataforma Virustotal en febrero de 2025. «HybridPetya cifra la tabla de archivos maestros, que contiene metadatos importantes sobre todos los archivos en particiones conformadas con NTFS», dijo el investigador de seguridad Martin Smolár. «A diferencia del Petya/Notpetya original, HybridPetya puede comprometer los sistemas modernos basados en UEFI al instalar una aplicación EFI maliciosa en la partición del sistema EFI». En otras palabras, la aplicación UEFI implementada es el componente central que se encarga de encriptar el archivo de la tabla de archivos maestros (MFT), que contiene metadatos relacionados con todos los archivos en la partición formatizada por NTFS. HybridPetya viene con dos componentes principales: un botín y un instalador, con el primero apareciendo en dos versiones distintas. El BootKit, que implementa el instalador, es el principal responsable de cargar su configuración y verificar su estado de cifrado. Puede tener tres valores diferentes – 0 – Listo para el cifrado 1 – ya encriptado y 2 – Ransom pagado, disco descifrado si el valor se establece en 0, procede establecer el indicador en 1 y cifra el archivo \ efi \ Microsoft \ Boot \ Verify con el Algorith de cifrado Salsa20 utilizando la clave y no especificada en la configuración. También crea un archivo llamado «\ Efi \ Microsoft \ Boot \ Counter» en la partición del sistema EFI antes de iniciar el proceso de cifrado de disco de todas las particiones formatadas en NTFS. El archivo se utiliza para realizar un seguimiento de los grupos de disco ya cifrados. Además, el Bootkit actualiza el mensaje FALSO CHKDSK que se muestra en la pantalla de la víctima con información sobre el estado de cifrado actual, mientras que la víctima se engaña al pensar que el sistema está reparando errores de disco. Si el Bootkit detecta que el disco ya está encriptado (es decir, el indicador está configurado en 1), sirve una nota de rescate a la víctima, exigiéndoles que envíen $ 1,000 en bitcoin a la dirección de billetera especificada (34UNKKSGZZVF5AYBJKUA2YYYYZW89ZLWXU2). La billetera está actualmente vacía, aunque ha recibido $ 183.32 entre febrero y mayo de 2025. La pantalla Ransom Note también proporciona una opción para que la víctima ingrese la clave de engaño comprada desde el operador después de realizar el pago, después de la cual el Bootkit verifica la clave e intenta descifrar el archivo «EFI \ Microsoft \ Boot \ Verify». En caso de que se ingrese la clave correcta, el valor del indicador se establece en 2 y inicia el paso de descifrado leyendo el contenido del archivo «\ Efi \ Microsoft \ Boot \ contador». «El descifrado se detiene cuando el número de grupos descifrados es igual al valor del contador», dijo Smolár. «Durante el proceso de descifrado de MFT, el BootKit muestra el estado del proceso de descifrado actual». La fase de descifrado también implica que el BootKit que recupere los cargadores de arranque legítimos – «\ Efi \ Boot \ Bootx64.efi» y «\ Efi \ Microsoft \ Boot \ Bootmgfw.efi» – de las copias de seguridad previamente creadas durante el proceso de instalación. Una vez que se completa este paso, se le solicita a la víctima que reinicie su máquina Windows. Vale la pena señalar que los cambios en el cargador de arranque iniciados por el instalador durante la implementación del componente de Bootkit de UEFI desencadenan un bloqueo del sistema (también conocido como pantalla azul de muerte o BSOD) y asegura que el binario Bootkit se ejecute una vez que el dispositivo se enciende. Se ha encontrado que las variantes seleccionadas de HybridPetya, ESET, se han encontrado para explotar CVE -2024‑7344 (puntaje CVSS: 6.7), una vulnerabilidad de ejecución de código remoto en la aplicación HowYar Reloader UEFI («Reloader.efi», renombrado en el Artifact en el Artifact como «\ Efi \ Microsoft \ Bootmgfw.efi») que puede dar como resultado un arte de arranque en el arte. La variante también incluye un archivo especialmente elaborado llamado «Cloak.dat», que se puede cargar a través de reloader.efi y contiene el binario de Bootkit xored. Desde entonces, Microsoft ha revocado el antiguo y vulnerable binario como parte de su actualización del martes de parche para la actualización de enero de 2025. «Cuando el binario reloader.efi (implementado como bootmgfw.efi) se ejecuta durante el arranque, busca la presencia del archivo Cloak.dat en la partición del sistema EFI, y carga la aplicación UEFI integrada desde el archivo de una manera muy insegura, completamente insegura cualquier verificación de integridad, pasando por el arranque de UEFI», dijo Eset. Otro aspecto en el que hybridPetya y NotPetya difieren es que, a diferencia de las capacidades destructivas de este último, el artefacto recién identificado permite a los actores de amenaza reconstruir la clave de descifrado de las claves de instalación personal de la víctima. Los datos de telemetría de ESET no indican evidencia de que se use HybridPetya en la naturaleza. La compañía de ciberseguridad también señaló el reciente descubrimiento de una prueba de concepto de UEFI Petya (POC) por parte del investigador de seguridad Aleksandra «Hasherezade» Doniec, y agregó que es posible que pueda haber «alguna relación entre los dos casos». Sin embargo, no descarta la posibilidad de que HybridPetya también sea un POC. «HybridPetya ahora es al menos el cuarto ejemplo públicamente conocido de un Bootkit UEFI real o de prueba de concepto con la funcionalidad de bypass de arranque segura de UEFI, uniendo BlackLotus (explotando CVE-2022‑21894), bootkitty (explotando logofail) y el hyper-v retroceso (explotando CVE-2020-26200),» Said. «Esto muestra que las derivaciones seguras de arranque no son solo posibles: se están volviendo más comunes y atractivos tanto para los investigadores como para los atacantes».
El panorama de las amenazas en línea dirigidas a los niños se ha convertido en una compleja red de peligros que se extiende mucho más allá de las simples estafas. Una nueva investigación de McAfee revela que los padres ahora clasifican el acoso cibernético como su mayor preocupación, con casi una de cada cuatro familias (22%) que informan que su hijo ya ha sido blanco de alguna forma de amenaza en línea. Los riesgos aumentan dramáticamente durante los años de la escuela intermedia y alcanzan su punto máximo alrededor de los 13 años, precisamente cuando los niños obtienen independencia digital, pero pueden carecer del conocimiento y las herramientas para protegerse. Los hallazgos pintan una imagen preocupante de la infancia digital, donde los peligros tradicionales como el ciberacoso persisten junto con las amenazas emergentes como los profundos profundos generados por IA, la tecnología de «desnuda» y las tácticas de manipulación sofisticadas que pueden devastar la salud y la seguridad mental de los jóvenes. El ciberacoso es la principal preocupación de los padres, el ciberacoso y el acoso son devastadores para las experiencias digitales de los jóvenes. La investigación muestra que el 43% de los niños que han encontrado amenazas en línea experimentaron ciberacoso, lo que lo convierte en la amenaza más común que enfrentan las familias. El impacto afecta desproporcionadamente a las niñas, con más de la mitad de las niñas específicas (51%) experimentando acoso cibernético en comparación con el 39% de los niños. La vulnerabilidad máxima ocurre durante la adolescencia temprana, con el 62% de las niñas específicas y el 52% de los niños específicos de 13 a 15 años enfrentando acoso en línea. Para los padres de hijas adolescentes de entre 13 y 15 años, el acoso cibernético se ubica como la principal preocupación para el 17% de las familias, lo que refleja el impacto del mundo real que estos ataques digitales tienen en el bienestar de los jóvenes. El contenido generado por IA crea nuevos peligros. La aparición de herramientas de manipulación con IA ha introducido riesgos sin precedentes para la seguridad en línea de los niños. Casi uno de cada cinco niños específicos (19%) se ha enfrentado a Deepfake y «Nudify» el uso indebido de la aplicación, con tasas que se duplicaron al 38% entre las niñas de entre 13 y 15 años. Estas estadísticas se vuelven aún más alarmantes al considerar que el 18% de los padres enumeran los profundos profundos generados por IA y la tecnología desnudosa entre sus tres preocupaciones principales, aumentando a uno de cada tres padres (33%) menores de 35 años. El panorama más amplio de la exposición al contenido generado por IA es generalizada, con implicaciones significativas sobre la forma en que los niños entienden la verdad y la autenticidad en línea. La investigación subraya el desafío que enfrentan los padres para preparar a sus hijos para navegar en un entorno donde se pueden crear y distribuir falsificaciones sofisticadas con relativa facilidad. «Las amenazas en línea de hoy no son riesgos abstractos: las familias se enfrentan todos los días», dijo Abhishek Karnik, jefe de investigación de amenazas de McAfee. «Las principales preocupaciones de los padres son el contenido perjudicial, particularmente los defensores cibernéticos y generados por la IA, se enfrentan a la salud mental, la autoimagen y la seguridad de sus hijos. Por eso es fundamental emparejar la protección en línea con IA con IA con las conversaciones abiertas y continuas sobre lo que los niños en línea. La creciente brecha de confianza a medida que las amenazas digitales se vuelven más sofisticadas, los padres se encuentran cada vez más superados por la tecnología y las habilidades técnicas de sus hijos. La investigación revela que casi la mitad de los padres (48%) admiten que su hijo sabe más sobre la tecnología que ellos, mientras que el 42% dice que es difícil mantenerse al día con el ritmo de los riesgos en evolución. Esta disparidad del conocimiento crea vulnerabilidades reales en las estrategias familiares de seguridad digital. Solo el 34% de los padres se sienten muy seguros de que su hijo puede distinguir entre contenido real y falso en línea, particularmente cuando se trata de material generado por IA o información errónea. La crisis de confianza se profundiza a medida que los niños envejecen y obtienen más independencia en línea, precisamente cuando las amenazas se vuelven más complejas y potencialmente dañinas. Los hábitos de monitoreo de las familias reflejan estos crecientes desafíos. Mientras que los padres se identifican a altas horas de la noche (56%) y después de la escuela (41%) como los momentos en que los niños enfrentan los mayores riesgos en línea, las prácticas de monitoreo no se alinean con estas ventanas de peligro. Solo alrededor de un tercio de los padres (33%) verifican los dispositivos diariamente, y el 41% los revisa semanalmente, creando brechas significativas en la supervisión durante los períodos de alto riesgo. Los patrones relacionados con la edad revelan vulnerabilidades críticas La investigación descubre patrones preocupantes en cómo los comportamientos de seguridad en línea cambian a medida que los niños maduran. Mientras que el 95% de los padres informan que discuten la seguridad en línea con sus hijos, la frecuencia y la efectividad de estas conversaciones disminuyen a medida que los niños entran en sus años de adolescencia. Las discusiones de seguridad regulares caen del 63% con los niños más pequeños a solo el 54% con los adolescentes, incluso cuando las amenazas se vuelven más graves y complejas. El monitoreo diario de dispositivos muestra una disminución aún más nítida, caída de solo un 20% para niños de entre 16 y 18 años y cayendo tan bajo como 6-9% para niñas de 17 a 18 años. Esta reducción en la supervisión ocurre precisamente cuando los adolescentes mayores enfrentan riesgos elevados de chantaje, «estafación» y otras amenazas sofisticadas. La investigación muestra que más de la mitad de los niños dirigidos de 16 a 18 años (53%) han experimentado amenazas para liberar contenido falso o real, que representa una de las formas más dañinas psicológicamente dañinas de explotación en línea. Las plataformas de juego en línea de juego y explotación financiera se han convertido en vectores significativos para la explotación, particularmente dirigidos a los niños. La investigación muestra que el 30% de los niños que han sido atacados con estafas o manipulación de juegos en línea experimentados, con la tasa subiendo al 43% entre los niños dirigidos de 13 a 15 años. Estas plataformas a menudo combinan la interacción social con los incentivos financieros, creando oportunidades para que los malos actores manipulen a los usuarios jóvenes a través de amistades falsas, recompensas falsas y tácticas de presión. Las consecuencias del mundo real se extienden más allá de las pantallas El impacto emocional y social de las amenazas en línea crea efectos duraderos que se extienden bien en la vida fuera de línea de los niños. Entre las familias cuyos hijos han sido atacados, las consecuencias llegan mucho más allá de la vergüenza o frustración momentánea. La investigación muestra que el 42% de las familias afectadas informan que sus hijos experimentaron ansiedad, se sintieron inseguras o se avergonzaban después de los incidentes en línea. Las ramificaciones sociales son igualmente significativas, con el 37% de las familias que se ocupan de problemas que se extendieron en el rendimiento o las amistades escolares. Quizás la mayoría preocupante, el 31% de los niños afectados se retiraron de la tecnología por completo después de experiencias negativas, lo que potencialmente limita su capacidad para desarrollar habilidades saludables de alfabetización digital y participar plenamente en un mundo cada vez más conectado. La gravedad de estos impactos ha llevado a muchas familias a buscar apoyo profesional, con un 26% que requiere terapia o asesoramiento para ayudar a sus hijos a hacer frente a los daños en línea. Esta estadística subraya que las amenazas digitales pueden crear un trauma que requiere el mismo nivel de intervención profesional que los peligros fuera de línea. La creación de confianza a través de acuerdos tecnológicos que crean una base para el diálogo abierto sobre la seguridad digital comienza con el establecimiento de expectativas y límites claros. El compromiso de tecnología familiar de McAfee ofrece a los padres un marco estructurado para iniciar estas conversaciones cruciales con sus hijos sobre el uso responsable del dispositivo. Actualmente, pocas familias han implementado acuerdos formales sobre el uso de la tecnología, lo que representa una oportunidad significativa para mejorar la seguridad digital a través del establecimiento de reglas colaborativas. Una comprensión tecnológica sirve como algo más que un conjunto de reglas, se convierte en una herramienta de colaboración que ayuda a los padres y los niños a discutir el razonamiento detrás de las prácticas seguras en línea. Al involucrar a los niños en la creación de estos acuerdos, las familias pueden abordar las preocupaciones apropiadas para la edad al tiempo que crea confianza y comprensión. El proceso naturalmente abre puertas a conversaciones sobre las amenazas identificadas en la investigación, desde depredadores y acoso cibernético hasta intentos de contenido y manipulación generados por IA. Estos acuerdos funcionan mejor cuando evolucionan junto con la madurez digital de los niños. Lo que comienza como límites básicos de tiempo de pantalla para los niños más pequeños puede expandirse para incluir discusiones sobre las interacciones en las redes sociales, compartir información personal y reconocer contenido sospechoso a medida que ingresan a sus años de adolescencia. La clave es hacer que la tecnología comprometa un documento vivo que se adapta a nuevas plataformas, amenazas emergentes y cambiando las circunstancias familiares. La protección avanzada a través de la detección de IA mientras las conversaciones y los acuerdos forman la base de la seguridad digital, el panorama de amenazas de hoy en día requiere soluciones tecnológicas que puedan seguir el ritmo de los riesgos en rápida evolución. El detector de estafas de McAfee representa una capa adicional crucial de defensa, utilizando inteligencia artificial para identificar y marcar enlaces sospechosos, contenido manipulado y amenazas potenciales antes de que puedan causar daño. El enfoque impulsado por la IA de la herramienta es particularmente valioso dados los hallazgos de la investigación sobre los medios manipulados y el contenido de Deepfake. Con el contenido generado por IA convirtiéndose en armas utilizadas contra niños, especialmente adolescentes, la detección automatizada se vuelve esencial para captar amenazas que podrían evitar la supervisión de los padres y el desarrollo de las habilidades de alfabetización digital en desarrollo de los niños. Para los padres que se sienten abrumados por el ritmo del cambio tecnológico, el 42% informa que lucha por mantenerse al día con el panorama de riesgos, el detector de estafas proporciona protección de grado profesional sin requerir un amplio conocimiento técnico. Ofrece a las familias una forma de mantener la seguridad al tiempo que fomenta la confianza y la comunicación que la investigación muestra es esencial para la seguridad digital a largo plazo. La tecnología es especialmente crucial durante los períodos de alto riesgo identificados en la investigación. Dado que el 56% de los padres reconocen que las horas nocturnas presentan el mayor peligro, y el monitoreo disminuye naturalmente durante estos tiempos, las herramientas de protección automatizadas pueden proporcionar una vigilancia continua cuando la supervisión humana es más difícil de mantener. Un camino a seguir para las familias, la investigación revela que abordar las amenazas en línea requiere un enfoque integral que combina tecnología, comunicación y educación continua. Los padres necesitan herramientas y estrategias prácticas que puedan evolucionar con el panorama de amenazas y la independencia digital en desarrollo de sus hijos. La protección efectiva comienza con el emparejamiento de controles parentales con conversaciones regulares y sin juicio sobre contenido dañino, coerción e intimidación, asegurando que los niños sepan que pueden buscar ayuda sin temor a castigo o restricciones. Enseñar a los niños a «confiar pero verificar» al verificar las fuentes y pedir ayuda cuando algo se siente sospechoso se vuelve especialmente importante ya que el contenido generado por la IA hace que el engaño sea cada vez más sofisticado. Mantener los dispositivos seguros con configuraciones de seguridad actualizadas y herramientas de protección con IA como el detector de estafas de McAfee ayuda a crear múltiples capas de defensa contra las amenazas en evolución. Estas salvaguardas tecnológicas funcionan mejor cuando se combinan con acuerdos familiares que establecen expectativas claras para el comportamiento en línea y los registros regulares que mantienen la comunicación abierta a medida que los niños maduran. Metodología de investigación Este análisis integral se basa en una encuesta en línea realizada en agosto de 2025 de aproximadamente 4,300 padres o tutores de niños menores de 18 años en Australia, Francia, Alemania, India, Japón, Reino Unido y Estados Unidos. La investigación proporciona información crucial sobre el estado actual de la seguridad en línea de los niños y los desafíos que enfrentan las familias para proteger a sus nativos digitales de amenazas cada vez más sofisticadas. Los datos revelan que los padres de hoy están navegando por desafíos sin precedentes para proteger a sus hijos en línea, con una vulnerabilidad máxima durante los años de la escuela intermedia, cuando la independencia digital recopila con el desarrollo del juicio y el conocimiento incompleto de los riesgos en línea. Si bien las amenazas pueden ser evolucionadas y complejas, la investigación muestra que las familias informadas y proactivas que combinan herramientas tecnológicas con comunicación abierta están mejor posicionadas para ayudar a sus hijos a desarrollar las habilidades necesarias para navegar con seguridad en el mundo digital. \ x3cimg height = «1» width = «1» style = «Display: None» src = «https://www.facebook.com/tr?id=766537420057144&ev=pageview&noScript=1″/> \ x3c/noscript> ‘);
En mayo de 2025, la Unión Europea recaudó sanciones financieras a los propietarios de Stark Industries Solutions Ltd., un proveedor de alojamiento a prueba de balas que se materializó dos semanas antes de que Rusia invadiera Ucrania y rápidamente se convirtiera en una fuente principal de ataques cibernéticos y campañas de desinformación vinculados al Kremlin. Pero los nuevos hallazgos muestran que esas sanciones han hecho poco para evitar que Stark simplemente cambie y transfiera sus activos a otras entidades corporativas controladas por sus proveedores de alojamiento originales. Imagen: Shutterstock. Materializando solo dos semanas antes de que Rusia invadiera Ucrania en 2022, Stark Industries Solutions se convirtió en una fuente frecuente de ataques masivos de DDoS, proxy en idioma ruso y servicios VPN, malware vinculado a grupos de piratería respaldados por Rusia y noticias falsas. Los ISP como Stark se llaman proveedores «a prueba de balas» cuando cultivan una reputación de ignorar cualquier queja de abuso o consultas policiales sobre la actividad en sus redes. En mayo de 2025, la Unión Europea sancionó uno de los dos conductos principales de Stark a la Internet más grande, el alojamiento de PQ con sede en Moldavia, así como los propietarios de moldavos de la compañía, Yuri e Ivan Neculiti. La comisión de la UE dijo que los hermanos Neculiti y el alojamiento de PQ estaban vinculados a los esfuerzos de guerra híbridos de Rusia. Pero un nuevo informe de Future grabado encuentra que justo antes de que se anunciaran las sanciones, Stark renombró al[.]Alojamiento, bajo el control de los titios de trabajo de la entidad holandesa BV (AS209847) el 24 de junio de 2025. Según los informes, los hermanos Neculiti se pusieron un aviso aproximadamente 12 días antes de que se anunciaran las sanciones, cuando Moldovan y la UE informaron sobre la próxima inclusión de los hermanos Neculiti en el paquete de sanciones. En respuesta, los hermanos Neculiti trasladaron gran parte del considerable espacio de direcciones de Stark y otros recursos a una nueva compañía en Moldavia llamada PQ Hosting Plus SRL, una entidad, según los informes, conectada a los hermanos Neculiti gracias a la reutilización de un número de teléfono del alojamiento original de PQ. «Aunque la mayoría de la infraestructura asociada sigue siendo atribuible a las industrias Stark, estos cambios probablemente reflejan un intento de ofuscar la propiedad y mantener los servicios de alojamiento bajo nuevas entidades legales y de red», observó Future. Ni el informe futuro registrado ni las sanciones de mayo de 2025 de la UE mencionaron un segundo pilar crítico de la red de Stark que Krebsonsecurity identificó en un perfil de mayo de 2024 en el notorio Hoster a prueba de balas: el proveedor de alojamiento con sede en los Países Bajos Mirhosting. Mirhosting es operado por Andrey Nesterenko, de 38 años, cuyo sitio web personal dice que es un pianista de concierto consumado que comenzó a actuar públicamente a una edad temprana. Domaindools dice Mirhosting[.]Com está registrado en el Sr. Nesterenko y en Innovation IT Solutions Corp, que enumera direcciones en Londres y en la ciudad natal de Nesterenko de Nizhny Novgorod, Rusia. Crédito de la imagen: correctiv.org. Según el libro Inside Cyber Warfare de Jeffrey Carr, Innovation It Solutions Corp. fue responsable de organizar stopgeorgia[.]Ru, un sitio web hacktivista para organizar ataques cibernéticos contra Georgia que aparecieron al mismo tiempo que las fuerzas rusas invadieron la antigua nación soviética en 2008. Ese conflicto se pensó que era la primera guerra jamás peleada en la que se peleó un notable ciberataque y un compromiso militar real se produjo simultáneamente. El Sr. Nesterenko no respondió a las solicitudes de comentarios. En mayo de 2024, el Sr. Nesterenko dijo que no podía verificar si Stopgeorgia era alguna vez un cliente porque no mantenían los registros hasta tan lejos. Pero sostuvo que Stark Industries Solutions era simplemente un cliente de muchos, y afirmó que Mirhosting no había recibido ninguna queja procesable sobre el abuso en Stark. Sin embargo, parece que Mirhosting es una vez más el nuevo hogar de Stark Industries, y que los empleados de Mirhosting están administrando tanto[.]Alojamiento y titios de trabajo: los principales beneficiarios de los activos de Stark. Una copia de los documentos de incorporación para los titulares de trabajo obtenidos de la Cámara de Comercio holandesa muestra que los titios de trabajo también hacen negocios bajo los nombres inadaptados de medios y alojamiento (considerando la conexión histórica de Stark con los sitios web de desinformación rusos, «Misfits Media» está un poco en la nariz). Un documento de incorporación para los titulares de trabajo de la Cámara de Comercio de los Países Bajos. El documento de incorporación dice que la compañía fue formada en 2019 por un y.zinad@worktitans.nl. Esa dirección de correo electrónico corresponde a una cuenta de LinkedIn para un Youssef Zinad, quien dice que sus sitios web personales son titios de trabajo[.]NL y solución personalizada[.]NL. El perfil también vincula a un sitio web (Etripleasims Dot NL) que LinkedIn actualmente bloquea como malicioso. Todos estos sitios web están o fueron alojados en Mirhosting. Aunque el perfil de LinkedIn del Sr. Zinad no menciona ningún empleo en Mirhosting, prácticamente todas sus publicaciones de LinkedIn durante el año pasado han sido repostados de anuncios para los servicios de Mirhosting. El perfil de LinkedIn del Sr. Zinad está lleno de publicaciones para los servicios de Mirhosting. Una búsqueda en Google para Youssef Zinad revela múltiples sitios web de seguimiento de inicio que lo enumeran como el fundador del[.]Hosting, que Censys.io encuentra es organizado por PQ Hosting Plus Srl El documento de la Cámara de Comercio holandesa dice que el único accionista de los titales de trabajo es una compañía en Almere, Países Bajos llamado Fezzy BV ¿Quién dirige Fezzy? El número de teléfono que figura en una búsqueda en Google para Fezzy BV – 31651079755 – también se utilizó para registrar un perfil de Facebook para un Youssef Zinad de la misma ciudad, según el servicio de seguimiento de incumplimiento Constella Intelligence. En una serie de intercambios de correo electrónico previos a la inmersión profunda de Krebsonsecurity en mayo de 2024 en Stark, el Sr. Nesterenko incluyó al Sr. Zinad en el hilo de mensajes (yousef@mirhosting.com), refiriéndose a él como parte del equipo legal de la compañía. El sitio web holandés Stagemarkt[.]NL enumera a Youssef Zinad como un contacto oficial para las oficinas de Mirhosting en Almere. El Sr. Zinad no respondió a las solicitudes de comentarios. Dado lo anterior, es difícil discutir con el informe futuro registrado sobre el cambio de marca de Stark, que concluyó que «la sanción de la UE a las industrias Stark era en gran medida ineficaz, ya que la infraestructura afiliada permanecía operativa y los servicios se restablecieron rápidamente bajo una nueva marca, sin una disgusto significativo o duradero». URL de publicación original: https://krebsonsecurity.com/2025/09/bulletproof–sost-stark-industries-evades-eu-sancions/category & tags: A Little Sunshine, las últimas advertencias, Ne’er-well News, la guerra de Rusia en Ukraine, Andrey Nesterenko, As209847, Doma-Well, Ivan, Ivania, Ivania en Ukraine, Andrey Nesterenko, As209847, Doma-Well, ivan. Neculiti, Mirhosting, Misfits Media, PQ Hosting, PQ Hosting Plus SRL, Future Recorded, Stark Industries Solutions Ltd, Worktitans bv, WT Hosting, Youssef Zinad, Yuri Neculiti-A Little Sunshine, Last Warnings, Ne’er-Do-Well News, War Russia On Ukraine, yreyy yreyy Nesterenko, AS209847, Doma -Domaintols, Ivan Neculiti, Mirhosting, Misfits Media, PQ Hosting, PQ Hosting Plus SRL, Future registrado, Stark Industries Solutions Ltd, Worktitans bv, WT Hosting, Youssef Zinad, Yuri Neculiti
Configuración del Centro de identidad de Amazon en una cuenta de AWS dedicada para las suscripciones de desarrolladores de IA ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~. El código.. AI Automatización. El código.🔒 Historias relacionadas: CyberSecurity | Pruebas de penetración💻 Contenido gratuito en trabajos en ciberseguridad | ✉️ Regístrese en la lista de correo electrónico ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~. En mi última publicación. Última publicación tengo razones para no usar AWS Identity Center en toda mi organización y recibí algunos errores en mi navegador debido a las regiones bloqueadas cuando inicialmente lo configuré. Modifiqué la configuración de MFA para requerir MFA en cada inicio de sesión y tener que agregar MFA de inmediato.