Bustos de SMS Blaster, fallas de OpenEMR, 600.000 hacks de Roblox y 25 historias más

Las autoridades canadienses arrestaron a tres hombres por operar un dispositivo emisor de SMS que se hace pasar por una torre celular para enviar mensajes de texto de phishing a teléfonos cercanos. Estas herramientas engañan a los dispositivos para que se conecten emitiendo señales que imitan una torre legítima. “Un emisor de SMS funciona imitando una torre celular legítima. Cuando los teléfonos cercanos se conectan a él, los usuarios reciben mensajes de texto fraudulentos que parecen provenir de organizaciones confiables”, dijeron las autoridades. “Estos mensajes a menudo incitan a los destinatarios a hacer clic en enlaces que conducen a sitios web falsos diseñados para capturar información personal, incluidas credenciales bancarias y contraseñas”. Los tres hombres enfrentan 44 cargos en relación con el crimen. Durante varios meses se conectaron unas decenas de miles de dispositivos al blaster, afirmó el funcionario. Esta es la primera vez que se detecta un emisor de SMS en el país.

Un nuevo ataque a la cadena de suministro ha aprovechado un paquete npm que se hace pasar por TanStack para enviar versiones maliciosas que filtran variables de entorno de las máquinas de los desarrolladores durante la instalación. El paquete, llamado tanstack, está diseñado para “robar silenciosamente archivos de variables de entorno, incluidos .env, .env.local y .env.production, de las máquinas de los desarrolladores en el momento de la instalación, exfiltrándolos a un punto final controlado por el atacante”, dijo Socket. El paquete malicioso lo mantiene un usuario llamado “sh20raj”. Se confirma que las versiones 2.0.4 a 2.0.7 son maliciosas.

En un nuevo análisis, LayerX descubrió que múltiples redes de extensiones de navegador recopilan datos de los usuarios y los revenden con fines de lucro. A diferencia de las extensiones maliciosas que ocultan su comportamiento ofreciendo algunas funciones inofensivas, las 80 extensiones identificadas informan explícitamente a los usuarios en su política de privacidad que recopilan y venden datos de los usuarios que instalan sus extensiones. “Una red de 24 extensiones de medios que están instaladas en 800.000 usuarios y recopilan datos de visualización e información demográfica en las principales plataformas de streaming como Netflix, Hulu, Disney+, Amazon Prime Video, HBO, Apple TV y otras”, dijo LayerX. “12 bloqueadores de anuncios independientes con una base instalada combinada de más de 5,5 millones de usuarios que venden abiertamente datos de usuarios. Casi otras 50 extensiones, con más de 100.000 usuarios en total, que recopilaban y revendían datos de navegación de los usuarios”.

Huntress ha revelado que actores de amenazas desconocidos utilizaron credenciales VPN robadas para acceder a una estación de trabajo Windows perteneciente a una organización no especificada a través de smbexec.py de Impacket, y colocaron una puerta trasera a nivel de SISTEMA usando el agente Komari, una herramienta de administración, monitoreo y control remoto basada en Go. El desarrollo marca el primer caso documentado públicamente de abuso de la herramienta en una intrusión en el mundo real. También ilustra cómo los malos actores recurren cada vez más a herramientas legítimas y disponibles públicamente para realizar ataques. “Komari no es una herramienta de telemetría de la que se puede abusar: es un canal de control bidireccional por diseño. El agente abre un WebSocket persistente en su servidor y acepta tres tipos de eventos de servidor a agente listos para usar: exec (ejecución de comandos arbitrarios a través de PowerShell/sh), terminal (shell inverso PTY interactivo en el navegador del operador) y ping (sondeo ICMP/TCP/HTTP)”, dijo Huntress. “Los tres están habilitados de forma predeterminada”. Mientras que otras herramientas como Velociraptor y SimpleHelp de las que han abusado los actores de amenazas suelen actuar como medios para un fin, Komari ofrece al operador ejecución de comandos arbitraria, un shell inverso PTY interactivo y sondeo de red de forma predeterminada, a través de un WebSocket con TLS.

Los actores de amenazas han detallado dos nuevos kits de phishing llamados Saiga 2FA y Phoenix System que se han vinculado a correos electrónicos y ataques de phishing por SMS. Según Barracuda, Saiga 2FA va más allá de las funciones tradicionales de adversario en el medio (AitM) al integrar herramientas como FM Scanner para extraer y analizar el contenido del buzón. “Saiga 2FA es un ejemplo de cómo los kits de phishing están evolucionando hacia plataformas a nivel de aplicación”, afirmó la compañía. “A diferencia de los kits de phishing tradicionales, Saiga integra infraestructura, automatización y capacidades posteriores al compromiso en un sistema unificado, respaldando campañas avanzadas y altamente específicas”. Phoenix System, por otro lado, ha estado vinculado a más de 2500 dominios de phishing desde enero de 2025, mientras se basa en filtrado basado en IP y geocercas para una orientación precisa. Se considera el sucesor del ahora desaparecido Mouse System. “Las campañas se entregan a través de SMS, aprovechando potencialmente estaciones base transceptoras (BTS) falsas para evitar el filtrado a nivel de operador y permitir que los actores de amenazas envíen mensajes que aparecen bajo las marcas de organizaciones confiables directamente a las víctimas”, dijo Group-IB. “Hasta ahora, la campaña se ha dirigido a más de 70 organizaciones de los sectores de servicios financieros, telecomunicaciones y logística a nivel mundial”.

Un nuevo análisis de Forescout encontró que 1,8 millones de servidores RDP y 1,6 millones de servidores VNC están expuestos en Internet. “China representa el 22% del RDP expuesto y el 70% de los servidores VNC expuestos; Estados Unidos representa el 20% y el 7%; Alemania representa el 8% y el 2%”, dijo la compañía. “De 91.000 servidores RDP y 29.000 servidores VNC asignados a industrias específicas, el comercio minorista, los servicios y la educación lideran la exposición a RDP; la educación, los servicios y la atención médica lideran VNC”. Es más, el 18 % de los servidores RDP expuestos ejecutan versiones de Windows al final de su vida útil, más de 19 000 servidores RDP siguen siendo vulnerables a BlueKeep (CVE-2019-0708) y casi 60 000 servidores VNC tienen la autenticación deshabilitada. Para empeorar las cosas, más de 670 servidores VNC expuestos tienen la autenticación deshabilitada y brindan acceso directo a los paneles de control OT/ICS.

Una campaña de influencia en línea vinculada a China intentó socavar las elecciones del 26 de abril para el parlamento tibetano en el exilio con poco impacto. La operación, parte de Spamouflage, una red de influencia de larga data vinculada a Beijing, ha utilizado un grupo de 90 perfiles de Facebook y 13 perfiles de Instagram para impulsar las críticas al gobierno tibetano en el exilio y sus líderes. “La red intenta abrir brechas dentro de la comunidad”, dijo DFRLab. “El objetivo es erosionar la confianza en el gobierno en el exilio, debilitar su voz internacional y generar dudas sobre si puede representar de manera creíble a los tibetanos sin el Dalai Lama. Sin embargo, prácticamente ninguna de estas publicaciones parece haber atraído ninguna participación orgánica, posiblemente porque todos los activos identificados son perfiles regulares de Facebook con alcance limitado y no páginas establecidas”.

Una vulnerabilidad sin parchear puede permitir una escalada de privilegios locales en sistemas Windows mediante el abuso de la arquitectura de llamada a procedimiento remoto (RPC) en el sistema operativo. Llamada PhantomRPC, la falla surge de una debilidad arquitectónica en la forma en que RPC maneja las conexiones a servicios no disponibles. Para explotar la falla, un atacante con acceso local limitado debe primero comprometer un servicio privilegiado que se ejecuta bajo la identidad del Servicio de red, implementar un servidor RPC falso con el mismo UUID de interfaz RPC y el mismo nombre de punto final expuesto (es decir, TermService), escuchar solicitudes específicas y luego hacerse pasar por el servicio objetivo para escalar sus privilegios a SISTEMA. Kaspersky, que identificó la debilidad, dijo que descubrió cuatro rutas de explotación de PhantomRPC que podrían conducir a una escalada de privilegios. Tras una divulgación responsable en septiembre de 2025, Microsoft optó por no abordar el problema, ya que requiere que un atacante primero comprometa la máquina por otros medios.

El ladrón de información conocido como Vidar (ahora en su segunda versión llamada Vidar Stealer 2.0) ha saltado a la cima del mercado de robo de información desde noviembre de 2025, luego de los desmantelamiento de Lumma y Rhadamanthys por parte de las fuerzas del orden. “Vidar aprovechó el caos generado para llegar a la cima del ecosistema de ladrones”, dijo Intrinsec. “Evaluamos que este aumento se debió al lanzamiento de la versión 2.0 del malware y a la colaboración con los canales de Telegram ‘Cloud'”. Lo anuncia un usuario llamado “Loadbaks” en foros clandestinos. Se han observado campañas recientes que distribuyen malware que utiliza enlaces falsos compartidos a través de videos de YouTube que promocionan software falso para dirigir a los usuarios a páginas de Mediafire, que se utilizan para entregar ejecutables responsables de descargar y ejecutar el recolector de credenciales de amplio espectro. Las credenciales robadas se monetizan rápidamente en mercados clandestinos como Russian Market.

Se han revelado treinta y ocho vulnerabilidades de seguridad críticas en OpenEMR, la plataforma de registros médicos electrónicos de código abierto más utilizada del mundo. Las vulnerabilidades, ahora parcheadas, varían en gravedad de media a crítica e incluyen comprobaciones de autorización faltantes o incorrectas, secuencias de comandos entre sitios (XSS), inyección de SQL, recorrido de ruta y caducidad de sesión insuficiente. Estos problemas, que incluyen dos designados como críticos (CVE-2026-24908 y CVE-2026-23627), podrían haber sido aprovechados para acceder y manipular datos de pacientes y proveedores, lo que representa un riesgo regulatorio y de salud grave para individuos e instituciones. “En los casos más graves, las vulnerabilidades de inyección SQL combinadas con privilegios modestos de la base de datos podrían haber llevado a un compromiso total de la base de datos, exfiltración de PHI a escala y ejecución remota de código en el servidor”, dijo AISLE. OpenEMR es utilizado por más de 100.000 proveedores médicos y atiende a más de 200 millones de pacientes en 34 idiomas.

Una operación policial coordinada en Suiza ha llevado al arresto de 10 presuntos miembros de la red criminal Black Axe, incluido el “jefe regional” de Black Axe para la región del sur de Europa. Según los informes, la mayoría de los detenidos son de origen nigeriano. Los sospechosos están acusados ​​de numerosos delitos, entre ellos estafas románticas, delitos de fraude cibernético que causaron daños por valor de millones de francos suizos y blanqueo de dinero. “La red criminal es conocida por su participación en una amplia gama de actividades delictivas, incluido el fraude cibernético, el tráfico de drogas, la trata de personas y la prostitución, el secuestro, el robo a mano armada y las prácticas espirituales fraudulentas”, dijo Europol.

En otro ataque más a la cadena de suministro de software, actores de amenazas desconocidos impulsaron una versión maliciosa del popular paquete de “datos elementales” en el Python Package Index (PyPI) para robar datos confidenciales de los desarrolladores y billeteras de criptomonedas. Según StepSecurity, la versión 0.23.3 de datos elementales se cargó en PyPI el 24 de abril de 2026 a las 10:20 p. m. UTC. El atacante abrió una solicitud de extracción con código malicioso y aprovechó una vulnerabilidad de inyección de script en uno de sus flujos de trabajo de GitHub Actions para publicarlo como versión 0.23.3. Específicamente, venía integrado con un archivo “elementary.pth” que permitía el robo de credenciales y secretos de desarrollador. “El atacante aprovechó una vulnerabilidad de inyección de script en uno de los flujos de trabajo de GitHub Actions del proyecto, luego usó el GITHUB_TOKEN del flujo de trabajo para falsificar un compromiso de lanzamiento firmado y enviar el proceso de publicación legítimo en su contra, sin siquiera tocar la rama maestra ni abrir una solicitud de extracción”, dijo la compañía. Los desarrolladores instaron a los usuarios que instalaron 0.23.3, o que extrajeron y ejecutaron su imagen de Docker, a asumir un compromiso y rotar cualquier credencial.

Evan Tangeman, de 22 años, de Newport Beach, California, fue sentenciado a 70 meses de prisión por lavar fondos robados en un robo masivo de criptomonedas de 230 millones de dólares como parte de un elaborado plan de ingeniería social. “Esta empresa criminal se construyó sobre una avaricia tan descarada que roza lo caricaturesco. Robaron millones, los gastaron en cuentas de clubes nocturnos por valor de medio millón de dólares, Lamborghinis y Rolex”, dijo la fiscal federal Jeanine Ferris Pirro. “Pero Evan Tangeman no solo lavó el dinero que alimentaba ese estilo de vida. Cuando sus cómplices fueron arrestados, tomó medidas para destruir la evidencia. Eso es conciencia de culpabilidad, y esta oficina y el tribunal lo han tratado en consecuencia”. Tangeman se declaró culpable en diciembre de 2025. La empresa criminal comenzó a más tardar en octubre de 2023 y continuó al menos hasta mayo de 2025.

Microsoft ha anunciado planes para comenzar a bloquear las conexiones TLS heredadas para clientes de correo electrónico POP e IMAP en Exchange Online a partir de julio de 2026. “Estamos planeando dejar de admitir por completo las versiones TLS heredadas (TLS 1.0 y TLS 1.1) para conexiones POP3 e IMAP4 a Exchange Online. Estas versiones TLS más antiguas han estado obsoletas en la industria durante algún tiempo y ya no se consideran seguras”, dijo la compañía. “Hace varios años, comenzamos a bloquear estas versiones anteriores, pero le permitimos usarlas al aceptarlas; ahora estamos eliminando el soporte para ellas por completo. Nuestra expectativa es que solo los clientes que hayan optado explícitamente por usar esos puntos finales heredados se vean afectados por la desaprobación”.

Los actores de amenazas están abusando del proceso de creación de cuentas de la plataforma de comercio en línea Robinhood para enviar correos electrónicos de phishing que eluden los filtros de spam. Los correos electrónicos, que se originan en “noreply@robinhood(.)com”, advierten sobre actividades sospechosas vinculadas a sus cuentas y los instan a hacer clic para completar una verificación de seguridad haciendo clic en un enlace que dirige a un sitio de phishing. “Este intento de phishing fue posible gracias a un abuso del flujo de creación de cuentas”, dijo Robinhood en una publicación de X. “No fue una violación de nuestros sistemas o cuentas de clientes, y la información personal y los fondos no se vieron afectados. Si recibió este correo electrónico, elimínelo y no haga clic en ningún enlace sospechoso. Si hizo clic en un enlace sospechoso o tiene alguna pregunta sobre su cuenta, contáctenos directamente desde la aplicación o el sitio web de Robinhood”. Los informes en Reddit indican que los atacantes crearon nuevas cuentas de Robinhood utilizando versiones modificadas de direcciones de Gmail existentes mediante el llamado “truco de puntos”. La técnica aprovecha el hecho de que Gmail ignora los puntos insertados o eliminados de un nombre de usuario, mientras que Robinhood trata cada variación como un usuario distinto, lo que permite a los atacantes crear una nueva cuenta que apunte a una cuenta existente.

La Comisión Federal de Comercio de EE. UU. (FTC) advirtió sobre un aumento masivo de las pérdidas por estafas en las redes sociales desde 2020, superando los 2.100 millones de dólares en 2025, incluidos 794 millones de dólares de estafas que comenzaron en Facebook, más que en cualquier otra plataforma. “En 2025, casi el 30% de las personas que informaron haber perdido dinero debido a una estafa dijeron que comenzó en las redes sociales, con pérdidas reportadas que alcanzaron la asombrosa cifra de $2.1 mil millones. Las estafas en las redes sociales produjeron muchas más pérdidas (un aumento ocho veces mayor desde 2020) que cualquier otro método de contacto utilizado por los estafadores para llegar a los consumidores”, dijo la FTC. “Las redes sociales crean un fácil acceso a miles de millones de personas de cualquier parte del mundo, lo que facilita el trabajo de un estafador a un costo muy bajo. Los estafadores pueden piratear la cuenta de un usuario, explotar lo que un usuario publica para descubrir cómo dirigirse a ellos, o comprar anuncios y utilizar las mismas herramientas utilizadas por empresas reales para dirigirse a personas por edad, intereses o hábitos de compra”.

KELA dijo que rastreó 2.860 millones de credenciales comprometidas en 2025 en todo el mundo. Estos incluían nombres de usuario, contraseñas, tokens de sesión, cookies encontradas en URL, listas de inicio de sesión y contraseña (ULP), repositorios de correo electrónico violados y mercados de delitos cibernéticos. Al menos 347 millones fueron obtenidos originalmente por ladrones de información encontrados en alrededor de 3,9 millones de máquinas infectadas.

Un análisis de 2,7 millones de envíos al servicio de preimpresión arXiv, que también pone a disposición las fuentes de LaTeX y otros archivos utilizados para crearlos, ha descubierto que incluyen archivos innecesarios, exponen metadatos incrustados en los archivos (nombres de usuario, direcciones de correo electrónico, detalles de hardware, información de GPS, versiones de software) y filtran contenido irrelevante en archivos como comentarios de código fuente. Esto incluye copias de seguridad, archivos .nfs ocultos, repositorios Git (incluidos historiales de edición) y archivos de configuración que contienen claves API. “Aparte de los archivos de plantilla no utilizados que suponen una carga de almacenamiento innecesaria para arXiv, descubrimos scripts, datos de investigación e incluso repositorios Git completos. Además, los comentarios en fuentes LaTeX revelan, por ejemplo, conversaciones de autores o tareas pendientes; para algunos de esos comentarios, estamos seguros de que los autores no tenían intención de divulgarlos públicamente. De manera alarmante, nuestros hallazgos también incluyen URL sin restricciones de acceso a otros recursos (por ejemplo, Google Docs), tokens de seguridad y claves privadas”, dice el estudio. Si bien arXiv recomienda arxiv_latex_cleaner de Google para limpiar el código LaTeX, los investigadores han lanzado una herramienta llamada ALC-NG para eliminar de manera integral archivos, metadatos y comentarios que no son necesarios para compilar un artículo de LaTeX.

La policía ucraniana arrestó a tres personas que piratearon más de 610.000 cuentas de juegos de Roblox y las vendieron con una ganancia de 225.000 dólares en sitios web rusos. Los sospechosos enfrentan hasta 15 años de prisión si son declarados culpables y han sido puestos en prisión preventiva mientras la investigación está en curso. El plan supuestamente fue ideado por un residente de Drohobych, provincia de Lviv, de 19 años, que conoció a sus cómplices, de 21 y 22 años, en foros de juego el año pasado. Desde octubre de 2025 hasta enero de 2026, se cree que los sospechosos accedieron a más de 600.000 cuentas de usuarios de Roblox.

Handala Hack, el actor de amenazas vinculado a Irán, ha atacado a las tropas estadounidenses en Bahréin en una campaña de influencia llevada a cabo a través de WhatsApp, según Stars and Stripes. Los mensajes, firmados por Handala y que contenían un enlace al sitio web del grupo, afirmaban que los miembros del servicio estaban bajo vigilancia y que pronto serían atacados con drones y misiles. “Nuestras unidades de misiles conocen plenamente sus identidades, y cada movimiento que realicen está bajo nuestra vigilancia. Muy pronto, serán el objetivo de nuestros drones Shahed y misiles Kheibar y Ghadeer”, decía el mensaje enviado el 28 de abril de 2026.

Los estados de EE. UU. impusieron 3.450 millones de dólares en multas relacionadas con la privacidad a empresas en 2025, un total mayor que los últimos cinco años combinados, según Gartner. “Los reguladores también están desviando sus esfuerzos de difundir la conciencia hacia la aplicación a gran escala”, dijo la compañía. “Esto se convertirá cada vez más en el estándar en 2026 y más allá”.

Anchor Hosting ha revelado que un complemento de WordPress llamado Quick Page/Post Redirect, que tiene más de 70.000 instalaciones, fue comprometido con una puerta trasera que permite inyectar código arbitrario en los sitios de los usuarios. Se ha descubierto que las versiones de complemento 5.2.1 y 5.2.2, lanzadas entre 2020 y 2021, incluyen un mecanismo encubierto de actualización automática que llega a un dominio de terceros, anadnet(.)com, para facilitar la ejecución de código arbitrario. Vale la pena señalar que la puerta trasera pasiva se activa solo para los usuarios que cerraron sesión para ocultar su actividad a los administradores del sitio. A partir del 16 de abril, el complemento se cerró temporalmente en espera de una revisión completa.

Los piratas informáticos están explotando dos vulnerabilidades de omisión de autenticación en Qinglong, una plataforma de gestión de tareas cronometradas de código abierto con más de 19.500 estrellas de GitHub, para implementar mineros de criptomonedas. Los dos fallos (CVE-2026-3965 y CVE-2026-4047) permiten omitir la autenticación, lo que da como resultado la ejecución remota de código. “Si bien estas vulnerabilidades se informaron formalmente el 27 de febrero, la explotación ya había estado en marcha durante semanas”, dijo Snyk. “A partir del 7 y 8 de febrero de 2026, los usuarios de Qinglong comenzaron a abrir problemas sobre un proceso oculto llamado .fullgc que consumía entre el 85 y el 100% de su CPU. Es posible que el nombre de archivo .fullgc haya sido elegido para mezclarse con procesos legítimos. En entornos Java/JVM, ‘Full GC’ (recolección completa de basura) es una fuente conocida de picos de CPU, lo que podría retrasar la investigación de un administrador”. Desde entonces, los problemas se abordaron en #PR 2941.

En una nueva actualización compartida esta semana, Checkmarx dijo que su investigación sobre el incidente de ciberseguridad reveló que el ataque TeamPCP que afectó al escáner Trivy es el “vector probable que permitió a los atacantes obtener credenciales y obtener acceso no autorizado a nuestros repositorios de GitHub”. Esto, a su vez, permitió a los atacantes interactuar con el entorno GitHub de Checkmarx y publicar código malicioso en ciertos artefactos. El desarrollo se produce cuando la compañía reconoció que los datos robados del repositorio de GitHub fueron publicados en la web oscura por un grupo de cibercrimen conocido como LAPSUS$.

El actor de amenazas norcoreano conocido como Famous Chollima ha sido atribuido al paquete npm llamado js-logger-pack que viene integrado con un ladrón de WebSocket que se activa mediante un gancho posterior a la instalación. “La carga útil es un agente WebSocket de larga duración que: instala la clave RSA del atacante en ~/.ssh/authorized_keys en Linux; extrae sesiones de tdata de Telegram Desktop; drena credenciales de 27 carteras criptográficas y navegadores de la familia Chromium; roba .npmrc, tokens de proveedores de nube e historial de shell; y ejecuta un registrador de teclas nativo en Windows, macOS y Linux con persistencia de inicio automático en los tres”, dijo SafeDep.