Proxyware de Smart TV, error curl de 24 años, foros sobre delitos de IA y 13 historias más

Cloudflare se ha asociado con Google Chrome, Microsoft Edge y Mozilla Firefox para crear un protocolo de preservación de la privacidad que los sitios web pueden utilizar para separar el tráfico web deseable de las solicitudes de red no deseadas. Esto implica el uso de tokens de control de acceso privado (PACT), que permiten a los sitios web emitir tokens anónimos que afirman que una determinada sesión de navegación está siendo ejecutada por un humano. “El navegador de un usuario puede luego proporcionar estos tokens a otros sitios para demostrar que un humano está al tanto, reduciendo la necesidad de captchas molestos y torpes o de seguimiento invasivo”, dijo Cloudflare. “PACT está diseñado para que los sitios no puedan aprovecharlo para rastrear o identificar a los usuarios o su historial de navegación”.

AISLE dijo que descubrió seis vulnerabilidades en curl, que van desde “problemas clásicos de duración de la memoria hasta errores lógicos en cómo libcurl decide si una conexión, credencial o identidad de host sigue siendo válida”. Una de las vulnerabilidades notables es CVE-2026-8932, que permite a la biblioteca “reutilizar una conexión creada previamente incluso cuando se cambió alguna opción relacionada con la configuración mTLS que debería haber prohibido la reutilización”. AISLE la describió como la vulnerabilidad curl más antigua reportada hasta el momento, y agregó que se ha incluido en versiones desde la versión 7.7 de curl, que se lanzó el 22 de marzo de 2001. Las fallas identificadas se abordaron en la versión 8.21.0.

Se ha revelado una falla de seguridad crítica en versiones autohospedadas de Hoppscotch (CVE-2026-50160, puntuación CVSS: 10.0), una plataforma API de código abierto, que puede resultar en un compromiso total. Al agente de seguridad autónomo de IA de Offgrid Security, Kiro, se le atribuye el descubrimiento del error. “El punto final POST /v1/onboarding/config permite a un atacante no autenticado inyectar claves InfraConfig arbitrarias, incluidas JWT_SECRET y SESSION_SECRET, en la base de datos mediante una asignación masiva”, dijeron los mantenedores del proyecto. “Estas claves no se declaran en SaveOnboardingConfigRequest DTO, pero debido a que NestJS ValidationPipe no elimina propiedades adicionales, pasan a la capa de servicio, donde Object.entries(dto) itera todas las claves sin restricción”. Una explotación exitosa conduce a un compromiso total del servidor y a un acceso persistente que sobrevive al restablecimiento de contraseñas. OffGrid Security dijo a The Hacker News que se combinan cuatro debilidades independientes para permitir que un atacante no autenticado sobrescriba la clave de firma JWT en una sola solicitud HTTP, y el exploit no requiere credenciales. El problema se solucionó en la versión 2026.5.0 de hoppscotch-backend.

Un nuevo informe de Spur Intelligence ha revelado que más de un tercio de las aplicaciones de televisores inteligentes LG y Samsung que revisó contienen proxyware que puede transmitir tráfico de terceros a través de la conexión a Internet del propietario del televisor con el consentimiento de los usuarios. La compañía dijo que escaneó 6.038 aplicaciones en LG webOS y Samsung Tizen y encontró 2.058 que contenían software proxy residencial. Esto incluye relojes, salvapantallas, juegos, peceras y otras aplicaciones de baja utilidad. En LG webOS, el 42,5% de las aplicaciones llevaban dicho código. En Samsung Tizen, la tasa fue del 26,9%. En ambas plataformas, alcanzó el 34,1%. Bright Data, Massive y Oxylabs ocupan los tres principales proveedores de SDK para webOS y Tizen. “Los televisores inteligentes son servidores proxy casi ideales. Se ubican en la misma red doméstica que todo lo demás, pero no se sienten como computadoras, por lo que la gente rara vez los audita como si fueran computadoras”, dijo Spur. “No se nota ningún consumo de batería, ni facturas de telefonía móvil que se disparan, ni cambios de aplicaciones llenos de actividad sospechosa en segundo plano. Un televisor puede permanecer enchufado, conectado y en línea durante años mientras el usuario lo considera un mueble”. La firma de inteligencia de amenazas dijo que esta dinámica también cambia la ecuación del consentimiento, ya que es posible que los usuarios no se den cuenta de lo que realmente significa vender acceso a su dirección IP residencial. “Técnicamente, estas aplicaciones cumplen con la obtención de consentimiento en función de cómo informan al usuario”, dijo el CTO de Spur, Alastair Parr, a The Hacker News. “Sin embargo, a menudo no hay verificación de que el usuario sea mayor de edad o esté autorizado a dar su consentimiento en el dispositivo. La realidad es que es probable que haya muchos televisores inteligentes repartidos por espacios de oficinas y hogares residenciales, silenciosamente parte de estas redes, sin el conocimiento o consentimiento de los propietarios responsables”. La Política de abuso de dispositivos y sistemas de Amazon prohíbe explícitamente las aplicaciones que facilitan servicios de proxy para terceros. Roku también ha habilitado protecciones similares. Sin embargo, LG y Samsung aún deben aplicar una política equivalente.

Se ha observado que un corredor de acceso inicial (IAB) afiliado al ransomware Payouts King se hace pasar por personal de TI en ataques de ingeniería social realizados a través de Microsoft Teams para entregar una extensión maliciosa del navegador Microsoft Edge denominada Edgecution. “La técnica utiliza una extensión maliciosa del navegador Microsoft Edge que explota el protocolo de mensajería nativo de Chrome para interactuar con aplicaciones nativas del host más allá de los límites del entorno limitado del navegador”, dijo Zscaler ThreatLabz. “Al abusar de esta interfaz, los atacantes obtienen acceso directo al host, lo que les permite manipular el sistema de archivos local, iniciar procesos y ejecutar código arbitrario en el host comprometido”. El malware tiene dos componentes: una extensión del navegador Microsoft Edge llamada “Edge Monitoring Agent” que se dirige a un servidor de comando y control (C2) y transmite comandos basados ​​en host a una puerta trasera basada en Python, que puede recopilar información del sistema, enumerar procesos en ejecución, proporcionar acceso al sistema de archivos y ejecutar código Python y comandos de shell arbitrarios. La extensión será invisible para el usuario ya que se carga en un navegador Microsoft Edge sin cabeza. Mandiant, propiedad de Google, detalló en abril de 2026 una cadena de ataque similar que involucra una extensión basada en Chromium con nombre en código SNOWBELT.

La empresa de inteligencia competitiva Klue ha revelado que los extorsionadores de Icarus explotaron una credencial que data de 2022, que se utilizó como parte de un piloto limitado, para robar datos de Salesforce de sus clientes corporativos, incluidas varias empresas de ciberseguridad. En un comunicado compartido con TechCrunch, la compañía dijo que la credencial se “proporcionó originalmente a un tercero en 2022, para un piloto limitado”. Klue no compartió detalles sobre el propósito del piloto, la duración que duró o la identidad del tercero a quien la empresa le dio las credenciales. Tampoco está claro por qué la credencial no fue revocada de inmediato, suponiendo que el piloto hubiera concluido. Quedan dudas sobre cómo los atacantes lograron adquirir esta credencial heredada en primer lugar. Varias empresas se han presentado para confirmar que les han robado información limitada de Salesforce durante el ataque, incluidas 8×8, BeyondTrust, Gong, Jamf, HackerOne, Insurity, LastPass, OneTrust, Pendo, Recorded Future, Snyk, Sprout Social y Tanium.

NCC Group dijo que ha encontrado evidencia creciente de que los actores de los estados-nación aprovechan cada vez más herramientas y tácticas tradicionalmente asociadas con el cibercrimen con motivación financiera para disfrazar sus operaciones de espionaje y recopilación de inteligencia, desdibujando la línea entre los dos conjuntos de actividades. “Históricamente, las organizaciones podían establecer una distinción relativamente clara entre los ataques de ransomware impulsados ​​por ganancias financieras y las operaciones de los estados nacionales diseñadas para respaldar objetivos estratégicos. Esa distinción se está volviendo cada vez más difícil de hacer”, dijo Matt Hull, vicepresidente de ciberinteligencia y respuesta de NCC Group. “Lo que estamos viendo es una convergencia de actividades criminales y respaldadas por el Estado. Los actores de amenazas están compartiendo infraestructura, adoptando herramientas comunes y, en algunos casos, operando deliberadamente detrás de marcas de ransomware establecidas para ocultar la atribución y retrasar los esfuerzos de respuesta”.

Google dijo que está ampliando la alerta existente de “restablecimiento de contraseña de superadministrador” a una alerta más amplia de restablecimiento de contraseña de administrador en el Centro de alertas. “Anteriormente, esta regla solo activaba alertas cuando se cambiaba la contraseña de un superadministrador”, dijo la compañía. “Con esta actualización, la alerta ahora cubrirá los restablecimientos de contraseñas para todos los roles de administrador dentro de su organización. Esta actualización brinda a los administradores una mejor visibilidad y control sobre la seguridad de las cuentas privilegiadas de su organización. Monitorear los cambios de contraseña para todos los roles de administrador proporciona un mayor nivel de supervisión para responder más rápidamente a posibles compromisos de cuenta o cambios no autorizados”. El cambio se aplica a todos los clientes de Google Workspace.

Se ha observado una nueva campaña de ClickFix que engaña a los usuarios para que copien comandos maliciosos y los peguen en la aplicación Terminal que descarga y monta silenciosamente un archivo DMG malicioso. El archivo de imagen de disco contiene un ladrón de información autofirmado que puede recopilar la contraseña del sistema de un usuario, datos de navegadores web, billeteras, aplicaciones de mensajería y Keychain, exfiltrar los datos, configurar la persistencia de LaunchAgent y alterar las instalaciones de Ledger Live y Trezor Suite reemplazando componentes legítimos para secuestrar información de billeteras de criptomonedas. Se estima que el ladrón pertenece al linaje Atomic macOS Stealer (AMOS), en particular una variante llamada Odyssey, según la Unidad 42 de Palo Alto Networks. El desarrollo se produce cuando la compañía de ciberseguridad detalló otro ataque ClickFix de varios pasos que emplea técnicas como brandquatting para entregar un troyano multiplataforma con robo de credenciales de navegador, shell remoto, transmisión de pantalla en vivo, registrador de teclas, administrador de archivos y capacidades de túnel SSH.

Thalha Jubair, de 20 años, del este de Londres, y Owen Flowers, de 18, de Walsall, han sido condenados en el Reino Unido por orquestar un ciberataque a Transport for London (TfL) en 2024, que costó 38,2 millones de dólares en pérdidas. Los dos acusados, que eran miembros del colectivo criminal en línea conocido como Scattered Spider, fueron arrestados en septiembre pasado, pero se declararon inocentes de sus crímenes durante una comparecencia ante el tribunal en noviembre de 2025. Ahora su sentencia está programada para el 16 de julio de 2026. “Scattered Spider es un grupo criminal prolífico que se dedica a la extorsión de datos y otras actividades criminales, utilizando técnicas de ingeniería social y ataques de intercambio de SIM, para obtener credenciales, instalar herramientas de acceso remoto y/o evitar múltiples factores. autenticación”, dijo la Oficina Federal de Investigaciones (FBI) de Estados Unidos.

Abdellah Belmili (alias Dila Belmili o SPOX), un ciudadano argelino de 26 años, ha sido arrestado, acusado y extraditado de España a Estados Unidos acusado de conspiración para cometer fraude bancario. Se alega que SPOX actuó como administrador de un mercado de delitos cibernéticos (“www.market0day(.)com”) y creó kits de phishing que se utilizaron para comprometer a las principales instituciones financieras estadounidenses. “Entre septiembre y noviembre de 2020, Belmili anunció el mercado y facilitó parte de la atención al cliente en su canal personal de Telegram @SpoxCoder”, dijo el Departamento de Justicia de Estados Unidos. “A finales de diciembre de 2020, después de que varios clientes se quejaran de que no habían recibido sus compras de www.market0day(.)com, Belmili respondió que ya no era el administrador y que en su lugar había abierto un nuevo mercado: www.spoxy(.)us, anunciando el nuevo mercado: www.spoxy.us, anunciando el nuevo mercado como una ‘nueva tienda para SMS masivos’. ‘SMS masivos’ generalmente se refiere al envío de phishing u otros mensajes fraudulentos a través de mensajes de texto”. Se han identificado aproximadamente 5.600 víctimas estadounidenses e internacionales.

Una nueva campaña de phishing está abusando de las funciones de colaboración de Outlook Groups y Microsoft 365 para “hacer que la actividad maliciosa parezca rutinaria”, dijo Fortra. El ataque implica agregar objetivos a un grupo de Microsoft 365 controlado por el atacante y luego usar el buzón de correo del grupo, archivos compartidos o invitaciones de calendario falsas (también conocidas como CalPhishing) para facilitar el robo de credenciales, la captura de tokens o la entrega de malware. “La técnica desplaza las intenciones maliciosas de un único correo electrónico de phishing a un flujo de trabajo de productividad confiable”, dijo la compañía. “Un usuario puede ver lo que parece una adición normal a un grupo, una actualización interna, un recurso compartido o un elemento del calendario antes de ser empujado a realizar una acción”.

Un nuevo análisis de Sophos ha revelado que la IA se ha convertido en un tema candente en las comunidades clandestinas, mientras los actores de amenazas debaten su potencial para el desarrollo de malware y herramientas, mientras que algunos expresan su preocupación acerca de que la tecnología reduzca las oportunidades laborales. Esto incluye publicaciones que venden claves API para herramientas de IA generativa, soluciones publicitarias que pueden mejorar la ingeniería social, malware habilitado para IA (por ejemplo, ApexAI, Metatron y PolyEngine), discusiones sobre jailbreaks para modelos públicos de IA para evitar la censura y otras salvaguardas utilizando técnicas como encuadres de juegos de roles, indicaciones en varias etapas y manipulación contextual, y ofertas para contratar o asociarse con ingenieros rápidos. Los actores de amenazas también han discutido el uso de asistentes públicos de IA para actividades de intrusión, así como también han comercializado una herramienta llamada Leak Bazaar que afirma utilizar IA para clasificar y examinar montañas de datos robados antes de que puedan empaquetarse e intercambiarse con otros actores de amenazas. Sin embargo, no todos han adoptado la IA con los brazos abiertos, y algunos manifiestan escepticismo y preocupación sobre cómo el auge de la IA podría “remodelar los roles, los precios y las ventajas competitivas dentro de la economía del cibercrimen”.

Censys ha descubierto poco más de 8500 instancias de REDCap en todo el mundo hasta el 16 de junio de 2026, la mayoría de ellas ubicadas en EE. UU., Reino Unido, Alemania y Australia. REDCap, abreviatura de Research Electronic Data Capture, es una aplicación web utilizada por instituciones de investigación a nivel mundial para almacenar datos de ensayos clínicos, registros de participantes y otra información de investigación confidencial. La semana pasada, Google Threat Intelligence Group (GTIG) atribuyó una campaña de espionaje de más de un año contra instituciones de investigación académicas, médicas y militares de América del Norte a UNC6508, un actor del nexo con China. El conjunto de intrusión aprovechó los servidores REDCap con acceso a Internet como vector de acceso inicial para implementar una puerta trasera llamada INFINITERED para filtrar datos confidenciales. No se ha confirmado exactamente cómo se piratean estos servidores. El compromiso más antiguo conocido data de septiembre de 2023.

Un informe de Human Rights Watch ha revelado que una empresa de tecnología de vigilancia con sede en Bulgaria llamada Circles vendió sus herramientas a países que probablemente las utilizarían para la represión o para cometer graves violaciones de derechos humanos. Los documentos describen las licencias para exportar la tecnología de Circles a Azerbaiyán, Bahrein, Brasil, República Dominicana, El Salvador, Ghana, Guatemala, Israel, Jordania, Malasia, México, Marruecos, Panamá, Serbia y los Emiratos Árabes Unidos. Entre los clientes se incluyen servicios de inteligencia, cuerpos militares y policiales, gobiernos regionales y empresas privadas, dijo Human Rights Watch. Dicho esto, actualmente no se sabe si la tecnología realmente se exportó. “Sin embargo, la emisión de licencias demuestra una falla importante en la forma en que los gobiernos individuales implementan los controles de exportación de la UE para la tecnología de vigilancia”, dijo la organización sin fines de lucro. “Los controles tienen como objetivo limitar las exportaciones de tecnología de vigilancia a destinos donde existe la posibilidad de que se utilice para violar derechos y brindar transparencia sobre qué exportaciones se realizan”.

Una campaña que se hace pasar por marcas de software populares ha aprovechado la técnica Browser-in-the-Browser (BitB) para distribuir cargas maliciosas mediante un kit de phishing reutilizable. Utiliza una ventana emergente que se puede arrastrar con una URL falsa para mostrar una advertencia de actualización de software falsa. “La campaña utiliza ingeniería social para engañar a las víctimas para que descarguen y ejecuten manualmente un instalador malicioso (por ejemplo, una carga útil .exe)”, dijo la Unidad 42. “Las páginas simulan una carga de documentos detenida y presentan un error de software ‘desactualizado'”. A principios de este mes, Unit 42 reveló detalles de una segunda campaña BitB que involucra al menos 10 dominios únicos que se utilizó para robar credenciales de Microsoft 365 mediante una ventana emergente arrastrable con huellas dactilares del sistema operativo/navegador con una URL OAuth falsificada. En este ataque, a las víctimas que hacen clic en un botón de inicio de sesión de Microsoft se les presenta lo que parece ser una página de inicio de sesión estándar diseñada para recopilar credenciales.