Rootkit de Linux, Crypto Stealer de macOS, WebSocket Skimmers y más

Lunes duro.

Alguien volvió a envenenar una descarga confiable, alguien más convirtió servidores en la nube en viviendas públicas y algunos equipos todavía se están metiendo en cajas con errores que deberían haber desaparecido hace años: los mismos viejos agujeros, las mismas rutas de acceso lentas, el mismo sentimiento de “¿cómo diablos sigue abierto?”. Un informe de esta semana básicamente dice que un tipo tropezó con el acceso root por accidente y decidió quedarse allí.

Lo extraño es lo normal que suena todo esto ahora. Actualizaciones falsas. Puertas traseras silenciosas. Las herramientas remotas se utilizan como llaves maestras. Las ratas del foro intercambian accesos robados mientras los defensores pasan otro fin de semana persiguiendo troncos y rezando para que el extraño tráfico solo esté monitoreando el ruido. Internet se mantiene unido con cinta adhesiva y mal sueño.

De todos modos, el lunes es hora de recapitular. El mismo fuego. Humo nuevo.

⚡ Amenaza de la semana

Defectos de PAN-OS de Ivanti EPMM y Palo Alto Networks bajo ataque—Ivanti advirtió a los clientes que los atacantes han utilizado con éxito CVE-2026-6973, un defecto de validación de entrada incorrecta en Endpoint Manager Mobile (EPMM) que permite a los usuarios autenticados con privilegios administrativos ejecutar código de forma remota. La compañía no dijo cuándo ocurrió el primer caso de explotación, ni exactamente cuántos clientes se vieron afectados. En un desarrollo relacionado, los atacantes están explotando activamente una vulnerabilidad de día cero que afecta los firewalls de algunos clientes de Palo Alto Networks. Como en el caso de Ivanti, Palo Alto Networks no dijo cuándo ni cómo se dio cuenta de la explotación activa, pero dijo que los actores de amenazas pueden haber intentado sin éxito explotar una falla de seguridad crítica recientemente revelada ya el 9 de abril de 2026. La vulnerabilidad de corrupción de memoria, rastreada como CVE-2026-0300, afecta el portal de autenticación de PAN-OS y permite a atacantes no autenticados ejecutar código con privilegios de root en los firewalls PA-Series y VM-Series. La plataforma de gestión de superficies de ataque Censys dijo que detectó alrededor de 263.000 hosts expuestos a Internet que ejecutan PAN-OS. Se espera que los parches se lancen a partir del 13 de mayo de 2026.

🔔 Noticias destacadas

• Nueva RAT Quasar Linux detectada—Los atacantes han encontrado una nueva forma de convertir los sistemas Linux en puntos de entrada para una cadena de suministro o una violación de la infraestructura de la nube que sean resistentes a los ataques. El nuevo marco de malware, denominado Quasar Linux o QLNX, es un troyano de acceso remoto (RAT) modular de Linux que puede recopilar datos de sistemas comprometidos. Pero lo que lo distingue es el uso de una capacidad de malla peer-to-peer (P2P) que convierte los compromisos individuales en una red de infección interconectada, lo que hace que la campaña sea difícil de eliminar y permite que los hosts infectados se comuniquen entre sí en lugar de depender completamente de servidores centralizados. QLNX también combina funcionalidad de rootkit a nivel de kernel, puertas traseras de autenticación basadas en PAM y mecanismos de persistencia para permanecer oculto en sistemas comprometidos y al mismo tiempo permitir el acceso persistente. También oculta procesos maliciosos bajo nombres que imitan servicios legítimos de Linux y archivos binarios del sistema para integrarse en los flujos de trabajo de rutina. “Quasar Linux RAT (QLNX) es un implante Linux integral que combina capacidades de acceso remoto con funciones avanzadas de evasión, persistencia, registro de teclas y recolección de credenciales”, afirmó Trend Micro. “El malware lleva código fuente C incrustado tanto para su puerta trasera PAM como para el rootkit LD_PRELOAD como cadenas literales dentro del binario”.
• PCPJack reemplaza el malware TeamPCP para robar secretos de la nube—Un actor de amenazas desconocido ha lanzado una campaña para limpiar sistemáticamente entornos infectados por el infame grupo de hackers TeamPCP y eliminar sus propias herramientas maliciosas para robar credenciales de servicios de nube, contenedores, desarrolladores, productividad y financieros para obtener ganancias financieras. Activa desde finales de abril, la campaña también es capaz de propagarse moviéndose lateralmente tanto dentro de una red como hacia otros objetivos al irrumpir en una infraestructura de nube abierta y explotable. El amplio barrido de recolección de credenciales permite al malware piratear más servidores en la nube y propagar la infección en forma de gusano, al mismo tiempo que elimina cualquier proceso y artefacto perteneciente a TeamPCP. La propagación externa se logra descargando archivos parquet de Common Crawl para el descubrimiento de objetivos. Si bien los actores de amenazas que apuntan a entornos de nube han desarrollado durante mucho tiempo métodos para eliminar el malware de la competencia, particularmente en campañas de criptojacking, la falta de un minero y su objetivo específico de las herramientas TeamPCP ha planteado la posibilidad de que pueda ser alguien que estuvo previamente asociado con el grupo, es parte de un equipo rival o es un tercero no relacionado que imita el oficio de TeamPCP.
• MuddyWater utiliza Chaos Ransomware como señuelo en un nuevo ataque—Un grupo de espionaje patrocinado por el estado iraní se hizo pasar por una banda de ransomware normal en un nuevo ataque de ransomware detectado a principios de 2026. Los piratas informáticos iraníes conocidos como MuddyWater disfrazaron sus operaciones como un ataque de ransomware Chaos, confiando en la ingeniería social de Microsoft Teams para obtener acceso y establecer persistencia dentro de un entorno de víctima. Aunque el ataque implicó reconocimiento, recolección de credenciales y exfiltración de datos, no se implementó ningún ransomware de cifrado de archivos, lo cual es inconsistente con los ataques del Caos. La víctima también fue agregada al sitio de filtración de datos del ransomware Chaos, pero la infraestructura y la evidencia del certificado de firma de código indican que la actividad probablemente se usó como tapadera para enmascarar los verdaderos objetivos de espionaje del actor de amenazas y complicar la atribución. Rapid7 dijo a The Hacker News que no hay evidencia que sugiera que MuddyWater esté operando como una filial de Chaos.
• El ataque a la cadena de suministro de DAEMON Tools conduce a QUIC RAT—Los piratas informáticos comprometieron a los instaladores de DAEMON Tools en un ataque a la cadena de suministro que afectó a usuarios en más de 100 países. Las versiones maliciosas, observadas por primera vez a principios de abril, afectaron a múltiples versiones del software que se instalaron en miles de máquinas en Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China. La operación parece estar dirigida. La mayoría de las víctimas recibieron solo un minero de datos diseñado para recopilar datos del sistema, mientras que un segundo cargador de código shell más avanzado se implementó en solo un puñado de objetivos, incluidas organizaciones minoristas, científicas, gubernamentales y de fabricación en Rusia, Bielorrusia y Tailandia. Se sospecha que los atacantes probablemente utilizaron la recopilación de datos inicial para perfilar los sistemas infectados antes de implementar selectivamente un implante con el nombre en código QUIC RAT. El malware se implementó contra un solo objetivo conocido: una institución educativa no identificada en Rusia. Kaspersky dijo que el código malicioso incluía elementos en idioma chino, lo que sugiere que los atacantes están familiarizados con el idioma, pero no llegó a atribuir la campaña a un grupo específico.
• Grupos de ciberdelincuencia utilizan el vishing para robar datos y extorsionar—Se ha observado una campaña activa de phishing dirigida a múltiples vectores desde al menos abril de 2025, con software legítimo de administración y monitoreo remoto (RMM) como una forma de establecer un acceso remoto persistente a los hosts comprometidos. La actividad, que apunta a organizaciones de múltiples industrias, destaca una tendencia creciente en la que los atacantes utilizan como arma herramientas legítimas de administración de TI para eludir los controles de seguridad y mantener la persistencia en los sistemas comprometidos. Lo que hace que la campaña sea notable es su evitación deliberada del malware tradicional en favor de dos herramientas de administración y monitoreo remoto (RMM) disponibles comercialmente, SimpleHelp y ScreenConnect, para un control persistente sobre las máquinas víctimas. El abuso de las herramientas RMM por parte de malos actores ha aumentado en los últimos años, ya que ofrecen una forma de baja fricción para obtener acceso y mantener la persistencia en un entorno de víctimas. Debido a lo omnipresentes que son en entornos empresariales, las herramientas se marcan como maliciosas, lo que permite a los atacantes mezclarse con las operaciones normales.

🔥 CVE de tendencia

Los errores disminuyen semanalmente y la brecha entre un parche y un exploit se reduce rápidamente. Estos son los pesos pesados ​​de la semana: los de alta gravedad, los que se utilizan ampliamente o los que ya se están explorando en la naturaleza.

Consulte la lista, parchee lo que tiene y seleccione primero los marcados como urgentes: CVE-2026-6973 (Ivanti Endpoint Manager Mobile), CVE-2026-0300 (Palo Alto Networks PAN-OS), CVE-2026-29014 (MetInfo), CVE-2026-22679 (Weaver E-cology), CVE-2026-4670, CVE-2026-5174 (Automatización de Progress MOVEit), CVE-2026-43284, CVE-2026-43500 (kernel de Linux), CVE-2026-7482 (Ollama), CVE-2026-42248, CVE-2026-42249 (Ollama para Windows), CVE-2026-29201, CVE-2026-29202, CVE-2026-29203 (cPanel y Web Host Manager), CVE-2026-23918 (Servidor HTTP Apache), CVE-2026-42778, CVE-2026-42779 (Apache MINA), CVE-2026-2005, CVE-2026-2006 (PostgreSQL pgcrypto), CVE-2026-32710 (MariaDB), CVE-2026-23863, CVE-2026-23866 (Meta WhatsApp), CVE-2026-29146 (Apache Tomcat), CVE-2026-1046 (Mattermost Desktop), CVE-2026-0073 (Google Android), CVE-2026-20188 (controlador de red Cisco Crosswork y orquestador de servicios de red), CVE-2026-20185 (conmutadores administrados de las series Cisco SG350 y SG350X), CVE-2026-20034, CVE-2026-20035 (conexión Cisco Unity), CVE-2026-7896, CVE-2026-7897, CVE-2026-7898, CVE-2026-5865 (Google Chrome), CVE-2025-68670 (xrdp), CVE-2026-23864 (componentes de servidor React), CVE-2026-23870, CVE-2026-44575, GHSA-26hh-7cqf-hhc6, CVE-2026-44579, CVE-2026-44574, CVE-2026-44578, CVE-2026-44573 (Next.js), CVE-2026-26129, CVE-2026-26164 (Microsoft M365 Copilot), CVE-2026-33111 (Microsoft Copilot Chat), CVE-2026-44843 (LangChain) y CVE-2026-33309 (Langflow).

🎥 Seminarios web sobre ciberseguridad

• Las rutas de ataque ocultas que sus herramientas AppSec pasan por alto por completo en 2026 → Este seminario web muestra las rutas de ataque reales que la mayoría de las herramientas AppSec pasan por alto, desde código y canales de CI/CD hasta configuraciones, dependencias y secretos en la nube. Vea cómo los atacantes combinan pequeñas debilidades en grandes infracciones y aprenda formas sencillas de encontrarlas y detenerlas. Con los expertos de Wiz Mike McGuire y Salman Ladha.
• Los ataques DDoS impulsados ​​por IA ya están aquí, y serán más inteligentes, rápidos y mortíferos en 2026 → Los atacantes ahora utilizan IA para lanzar ataques DDoS que son más rápidos, más inteligentes y mucho más difíciles de detener. Este seminario web muestra cómo detectan instantáneamente puntos débiles, crean nuevos métodos de ataque y aumentan drásticamente las tasas de éxito, además de formas sencillas en que los defensores pueden contraatacar utilizando herramientas de inteligencia artificial más inteligentes y protección proactiva. Perfecto para líderes de seguridad que quieren mantenerse a la vanguardia.

📰 Alrededor del mundo cibernético

• Sitio web de JDownloader comprometido en un ataque a la cadena de suministro —El sitio web de JDownloader, una herramienta de gestión de descargas de código abierto, se vio comprometido la semana pasada para distribuir instaladores maliciosos de Windows y Linux. El compromiso se produjo el 6 de mayo de 2026 a las 12:01 am UTC. Mientras que la versión de Linux incorpora un código de shell malicioso, se ha descubierto que la versión de Windows sirve un troyano de acceso remoto (RAT) basado en Python que incluye el dispositivo comprometido en una red de bots y ejecuta código Python arbitrario proporcionado por el operador, según el investigador Thomas Klemenc. “El ataque modificó páginas de descarga alternativas e intercambió enlaces y detalles”, dijo el desarrollador detrás de JDownloader en una publicación en Reddit. “A los malos les faltan firmas digitales y, como tal, (Microsoft) SmartScreen bloqueará/advertirá su ejecución”. Una investigación adicional descubrió que el vector de ataque era un “error de seguridad sin parchear”, aunque no está claro qué vulnerabilidad aprovechó el actor de amenazas para alterar el sitio.
• La operación HookedWing se dirige a más de 500 organizaciones —Una campaña de phishing de larga duración que se remonta a 2022 ha robado 2000 credenciales pertenecientes a usuarios de más de 500 organizaciones diferentes. Según SOCRadar, la campaña ha afectado principalmente a la aviación, la administración pública, la energía y las infraestructuras críticas. “La amplitud de los objetivos, combinada con la longevidad de la campaña, apunta a una operación capaz de utilizar recursos en lugar de una actividad oportunista”, dijo. La actividad ha recibido el nombre en código Operación HookedWing. El ataque utiliza correos electrónicos de phishing con señuelos relacionados con recursos humanos, Microsoft o Google para dirigir a los usuarios a páginas de destino falsas alojadas en GitHub.io y Vercel, capturar las credenciales ingresadas a través de un formulario inyectado y exfiltrarlas a servidores comprometidos o creados por el actor de la amenaza. Se han identificado más de 20 dominios distintos de comando y control (C2) y 100 dominios de distribución.
• Aumento del uso de Vercel para campañas de phishing —Los actores de amenazas utilizan cada vez más Vercel para crear una gran cantidad de sitios web de phishing realistas que se hacen pasar por marcas conocidas. “Los actores de amenazas pueden volver a implementar campañas de phishing con facilidad si se cierra una página web”, dijo Cofense. “El abuso de Vercel ha aumentado significativamente con el tiempo y es probable que continúe aumentando a medida que los actores de amenazas mínimamente capacitados comiencen a utilizar multiplicadores de fuerza baratos o gratuitos”.
• El nuevo ataque ConsentFix V3 automatiza el secuestro de cuentas de Microsoft —Push Security dijo que identificó a un miembro del foro criminal XSS que anuncia un nuevo conjunto de herramientas denominado ConsentFix v3 que combina ingeniería social estilo ClickFix con phishing de consentimiento OAuth para secuestrar cuentas de Microsoft. “ConsentFix v3 permite a los usuarios instrumentar toda la cadena de ataque, permitiéndoles poner en marcha la infraestructura de ConsentFix, crear personas creíbles con las que interactuar con las víctimas, diseñar y gestionar campañas de correo electrónico y automatizar el proceso de intercambio del token OAuth capturado por tokens de sesión y actualización para establecer el acceso a la cuenta comprometida”, dijo Push Security. El ataque utiliza Cloudflare Workers para alojar las páginas de phishing, ZoomInfo para la identificación de objetivos, Dropbox para el alojamiento de PDF y Pipedream como canal de exfiltración.
• Tendencias del fraude en el lugar de trabajo en 2026 —Un nuevo informe de Cifas encontró que el 13% de los empleados dijeron: “Han vendido los datos de inicio de sesión de su empresa a un antiguo colega o conocen a alguien que lo ha hecho, en los últimos 12 meses”. Otro 13% de los encuestados creía que vender acceso a los sistemas de la empresa era justificable. “Vender datos de acceso puede parecer insignificante para los involucrados, pero puede abrir la puerta a fraudes graves y daños financieros”, afirmó Cifas. “Estos hallazgos muestran cuán vital es para las organizaciones crear culturas conscientes del fraude, donde los empleados de todos los niveles comprendan sus responsabilidades y las consecuencias de sus acciones”.
• India impulsa el alojamiento soberano de los modelos de IA Claude de Anthropic —Según un informe de MoneyControl, se dice que el gobierno indio está presionando para que se aloje soberanamente los modelos de inteligencia artificial (IA) Claude de Anthropic dentro de la India. Los funcionarios han argumentado que los sistemas avanzados de inteligencia artificial destinados a sectores sensibles como la banca, las telecomunicaciones y la infraestructura crítica no pueden operar en infraestructura alojada en el extranjero debido a riesgos jurisdiccionales, de cumplimiento y de seguridad nacional.
• OpenAI lanza GPT-5.5-Cyber —OpenAI comenzó a implementar GPT-5.5-Cyber, una variante del modelo centrada en la seguridad, en una capacidad de vista previa limitada para seleccionar equipos de ciberseguridad, un mes después del debut de Anthropic en Mythos. “La vista previa inicial de modelos ciberpermisivos como GPT-5.5-Cyber ​​no pretende aumentar significativamente la capacidad cibernética más allá de GPT-5.5; está principalmente entrenada para ser más permisivo en tareas relacionadas con la seguridad”, dijo OpenAI. “Las diferencias entre los niveles de acceso al modelo son más pronunciadas cuando se comparan indicaciones y respuestas”.
• La puerta trasera FIRESTARTER apunta a dispositivos Cisco —A finales del mes pasado, EE.UU. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) reveló que el dispositivo Cisco Firepower de una agencia civil federal anónima que ejecuta el software Adaptive Security Appliance (ASA) se vio comprometido en septiembre de 2025 con un nuevo malware llamado FIRESTARTER. El malware destaca por su capacidad para sobrevivir a reinicios, actualizaciones de firmware y parches. En un nuevo análisis, la empresa de seguridad de firmware Eclypsisum describió la puerta trasera como un ELF de Linux que conecta el proceso LINA y se reinstala después de recibir una señal de terminación. “Cuando se ejecuta lina_cs, copia su propio contenido de /usr/bin/lina_cs en la memoria y registra un controlador de señales, lo que permite que el malware actúe en respuesta a las señales (por ejemplo, cuando el sistema o el usuario le indica al proceso que se reinicie)”, dijo el investigador de seguridad Paul Asadoorian. “También se activa en el nivel de ejecución 6, que es el nivel de ejecución de reinicio del sistema en Linux. Lo que significa que cada vez que el dispositivo se apaga o reinicia, se activa la rutina de persistencia de FIRESTARTER”.
• Google presenta formas para que los desarrolladores impulsen aplicaciones de Android más seguras —Google dijo que ha ampliado Play Policy Insights en Android Studio para detectar problemas de políticas comunes, como credenciales de inicio de sesión faltantes, y detectar amenazas y abusos de seguridad utilizando su API Play Integrity. “Con una latencia de preparación significativamente más corta, puede utilizar estas comprobaciones en tiempo real en los viajes de usuario más críticos, como inicios de sesión o pagos, para detectar accesos no autorizados e interacciones riesgosas”, dijo Google. “Este año estamos agregando soporte para criptografía poscuántica en Play App Signing, lo que protegerá sus aplicaciones y actualizaciones de aplicaciones de amenazas potenciales con el surgimiento de la computación cuántica”.
• Polonia dice que los piratas informáticos violaron sus plantas de tratamiento de agua —La Agencia de Seguridad Interna de Polonia (ABW) reveló que detectó ataques a cinco plantas de tratamiento de agua en 2025, lo que podría permitir a los malos actores tomar el control de equipos industriales y, en el peor de los casos, alterar la seguridad del suministro de agua. La agencia de inteligencia no atribuyó los ataques a un actor o grupo de amenazas específico, pero los piratas informáticos del gobierno ruso sí fueron atribuidos a un intento fallido de derribar la red energética del país hacia finales de 2025.
• Claude se apoya más en fuentes de propaganda rusas e iraníes —Una nueva auditoría de Anthropic Claude ha revelado que el chatbot de IA “repitió afirmaciones falsas el 15% de las veces cuando se le preguntó sobre falsedades pro-Kremlin en la voz de usuarios típicos, citando siempre medios de comunicación afiliados al estado ruso”, dijo NewsGuard. La cifra representa un salto desde sólo el 4%. Es más, desde el comienzo de la guerra entre Estados Unidos e Irán, Claude citó a los medios afiliados al Estado iraní en un caso cuando se le preguntó sobre afirmaciones falsas pro Irán, cuando antes nunca había citado a los medios afiliados al Estado iraní. “Este aumento en las citas a fuentes de propaganda del Kremlin, incluso cuando difunden afirmaciones falsas, sugiere que Claude en los últimos meses se ha vuelto más vulnerable a las campañas de desinformación estatales”, dijo NewsGuard.
• La campaña de puerta trasera WebSocket inyecta skimmers —La Unidad 42 de Palo Alto Networks dijo que se están utilizando puertas traseras WebSocket ofuscadas para inyectar skimmers de tarjetas de crédito en cientos de sitios web comprometidos con el objetivo de enviar información de tarjetas robadas a los dominios C2 del atacante. “JavaScript ofuscado crea una puerta trasera WebSocket utilizando JavaScript ejecutado dinámicamente”, dijo la Unidad 42. “El WebSocket envía una carga útil de JavaScript ofuscada para inyectar un skimmer de tarjeta de crédito en la página web”.
• Cómo las aplicaciones de electrones con puerta trasera evaden las defensas —Los investigadores de ciberseguridad han detallado una técnica que secuestra aplicaciones electrónicas confiables para permitir la persistencia y eludir los controles de listado seguro de aplicaciones. “En las variaciones avanzadas del ataque, se realizan cambios mínimos en los componentes de la aplicación Electron”, dijo LevelBlue. “Esto permite que la aplicación funcione normalmente y al mismo tiempo carga la funcionalidad maliciosa de comando y control (C2) en segundo plano, escondiéndose bajo el paraguas del proceso confiable”.
• Nuevos ataques distribuyen malware Vidar Stealer, PlugX y Beagle —En una cadena de ataque detallada por LevelBlue, se descubrió que los actores de amenazas aprovechan “MicrosoftToolkit.exe” como punto de partida para iniciar un script AutoIt que elimina la carga útil de Vidar Stealer. “Esta intrusión resalta la eficacia continua de los cargadores de múltiples etapas basados ​​en scripts para entregar ladrones de información básica como Vidar”, dijo LevelBlue. “Una sofisticada infección de cargador de múltiples etapas que aprovecha herramientas nativas de Windows y técnicas de enmascaramiento de archivos. El atacante evita soltar un único binario de malware identificable y en su lugar reconstruye y ejecuta cargas útiles dinámicamente a través de la manipulación de archivos por etapas”. El desarrollo sigue al descubrimiento de un sitio web falso de Claude (“claude-pro(.)com”) que sirve como conducto para un instalador MSI falso responsable de implementar una carga útil de DonutLoader que coloca una puerta trasera simple denominada Beagle, que es capaz de ejecutar comandos y realizar cargas y descargas de archivos.
• Fallo crítico en el servidor Kanban de Cline —Un atacante podría haber aprovechado una vulnerabilidad crítica en el servidor Kanban local de Cline (puntuación CVSS: 9,7) para facilitar la divulgación de información a través del flujo de estado del tiempo de ejecución, la ejecución remota de código a través del punto final de E/S del terminal y la denegación de servicio a través del punto final de control del terminal. Oasis Security, que descubrió la vulnerabilidad, dijo que el servidor local WebSocket del agente de codificación de IA carece de validación y autenticación de origen. Debido a que los navegadores web no imponen la política del mismo origen en las conexiones WebSocket, cualquier sitio web que visite el desarrollador puede conectarse a estos puntos finales para lograr un compromiso total. “Cualquier sitio web que un desarrollador visitara mientras ejecutaba una versión afectada podría conectarse silenciosamente a su máquina, filtrar datos del espacio de trabajo en tiempo real e inyectar comandos en el agente de inteligencia artificial del desarrollador”, dijo Oasis Security. “El desarrollador no vería nada inusual. Simplemente estaban navegando por la web”. Tras una divulgación responsable, el problema se solucionó en la versión 0.1.66 de Cline Kanban.
• Mozilla utiliza IA para detectar 423 fallas en Firefox —Mozilla reveló que Mythos Preview de Anthropic y otros modelos de inteligencia artificial lo ayudaron a identificar y enviar 423 correcciones de errores de seguridad de Firefox en abril de 2026, en comparación con 31 el año anterior. Esto incluye un error de uso después de la liberación de hace 20 años que podría activarse utilizando la API DOM XSLTProcessor sin ninguna interacción del usuario, así como varias fallas en su sistema sandbox. “Esto se debió a una combinación de dos factores principales”, dijo Mozilla. “En primer lugar, los modelos se volvieron mucho más capaces. En segundo lugar, mejoramos drásticamente nuestras técnicas para aprovechar estos modelos: dirigirlos, escalarlos y apilarlos para generar grandes cantidades de señal y filtrar el ruido”. El desarrollo se produce cuando la IA ya está acelerando el descubrimiento de vulnerabilidades, reduciendo el esfuerzo necesario para identificar, validar y convertir las fallas en armas.
• El 60% de los hashes de contraseñas MD5 se pueden descifrar en menos de una hora —Un análisis de 231 millones de contraseñas únicas filtradas en la web oscura entre 2023 y 2026 ha revelado que casi el 60% de ellas se pueden descifrar en menos de una hora. Para empeorar las cosas, casi la mitad de todas las contraseñas (48%) se pueden descifrar en un minuto. “Los atacantes deben este aumento de velocidad a los procesadores gráficos, que se vuelven más potentes cada año”, dijo Kaspersky. “Mientras que un RTX 4090 en 2024 podría generar hashes MD5 de fuerza bruta a una velocidad de 164 gigahashes (mil millones de hashes) por segundo, el nuevo RTX 5090 ha aumentado esa velocidad en un 34%, alcanzando 220 gigahashes por segundo”.
• El nuevo JobStealer apunta a Windows y macOS —Los actores de amenazas están atrayendo a víctimas potenciales a sitios web maliciosos y pidiéndoles que descarguen una aplicación de videoconferencia con el pretexto de una entrevista en línea, solo para dejar caer a un ladrón que puede recopilar datos de billeteras de criptomonedas. “Descargan el programa malicioso JobStealer, disfrazado de aplicación de conferencias online”, afirma Doctor Web. Algunas de las marcas falsas utilizadas por los actores de amenazas incluyen MeetLab, Juseo, Meetix y Carolla. “Para convencer a los usuarios de que estas plataformas son completamente funcionales, los estafadores crean los correspondientes canales de Telegram y cuentas de redes sociales, por ejemplo en X.” El ataque aprovecha una instrucción similar a ClickFix para copiar y pegar un comando que elimina el malware ladrón.
• Más ataques ClickFix —Los ataques ClickFix no parecen mostrar signos de detenerse en el corto plazo. El Centro Australiano de Seguridad Cibernética (ACSC) advirtió que la táctica de ingeniería social ClickFix se está utilizando para entregar Vidar Stealer. “El ataque ClickFix generalmente comienza con un adversario que inyecta un dominio de entrega de carga maliciosa en el sitio web comprometido”, dijo ACSC. “El dominio de carga útil inyectado carga código JavaScript desde un servidor API externo. Este código sobrescribe el contenido de la página legítima, presentando un mensaje de verificación fraudulento de Cloudflare”. En los últimos meses, ClickFix ha evolucionado para abusar de las utilidades nativas de Windows como cmdkey y regsvr32, así como para lanzar el ladrón de información basado en Node.js a los usuarios de Windows a través de instaladores MSI maliciosos y un ladrón de información basado en AppleScript para macOS. También se ha descubierto que los ataques relacionados con ClickFix aprovechan las funciones de chat compartibles en ChatGPT y Grok, o sitios de blogs y otras plataformas de contenido impulsadas por el usuario, para engañar a los usuarios para que ejecuten AMOS Stealer, MacSync y Shub Stealer. “Las iteraciones anteriores de esta campaña entregaron a los ladrones de información a través de archivos de imagen de disco (.dmg) que requerían que los usuarios instalaran manualmente una aplicación”, dijo Microsoft. “Esta actividad reciente refleja un cambio en el oficio, donde los actores de amenazas instruyen a los usuarios a ejecutar comandos de Terminal que aprovechan las utilidades nativas para recuperar contenido alojado de forma remota, seguido de la ejecución del cargador basado en scripts”. Otra campaña dirigida a Vietnam, Taiwán y España se ha extendido a través de documentos falsos de Google que contienen un comando ClickFix y archivos DMG maliciosos para implementar un nuevo ladrón de macOS llamado NotnullOSX que apunta exclusivamente a víctimas que poseen más de $10,000 en criptomonedas. ClickFix también ha sido utilizado por un sistema de distribución de tráfico (TDS) llamado ErrTraffic. “ErrTraffic se dirige principalmente a sitios web de WordPress mediante la implementación de un script PHP de puerta trasera en el complemento imprescindible (mu-plugin) que captura las credenciales de administrador y garantiza la persistencia en los sitios comprometidos”, dijo LevelBlue. “ErrTraffic utiliza el Sistema de Distribución de Tráfico (TDS) para filtrar los visitantes del sitio y redirigirlos a los señuelos ClickFix (a través de EtherHiding).
• La campaña de extorsión de ShinyHunters apunta a la infraestructura —El grupo ShinyHunters apuntó a Instructure, el proveedor del sistema de gestión de aprendizaje (LMS) Canvas, desfigurando los portales de inicio de sesión de 330 colegios y universidades. Según Dataminr, ShinyHunters ha afirmado haber extraído 3,65 TB de datos en aproximadamente 275 millones de registros de casi 9.000 organizaciones afectadas que figuran públicamente, incluidas Harvard, Stanford, Columbia y Apple. Los datos expuestos incluyen nombres de usuario, direcciones de correo electrónico, nombres de cursos, información de inscripción y mensajes. Instructure ha dicho que no se vieron comprometidas contraseñas, identificaciones gubernamentales, fechas de nacimiento, datos financieros o contenido del curso. Los actores de la amenaza explotaron una “vulnerabilidad relacionada con los tickets de soporte en nuestro entorno Free for Teacher”, añadió la compañía. El acceso a Free for Teacher se ha desactivado en espera de una revisión de seguridad completa. Al momento de escribir este artículo, Canvas vuelve a estar completamente en línea y disponible para su uso. El mensaje compartido por el notorio grupo de delitos cibernéticos mostró que el grupo ha amenazado con filtrar la gran cantidad de datos, dando como fecha límite el 12 de mayo. El incidente del 7 de mayo de 2026 es una continuación de una actividad no autorizada previa detectada en Canvas el 29 de abril de 2026. Después del ataque, la Oficina Federal de Investigaciones (FBI) de EE. UU. advirtió a las personas que estén atentas a “correos electrónicos, llamadas o mensajes de texto no solicitados que digan ser de su escuela, el Proveedor de LMS o autoridades policiales y verificar el contacto a través de canales conocidos antes de responder”.

🔧 Herramientas de ciberseguridad

• AiSOC → Es un centro de operaciones de seguridad impulsado por IA, autohospedable y de código abierto. Reúne alertas de seguridad, utiliza agentes de IA para investigarlas, asigna los hallazgos a MITRE ATT&CK y admite ejercicios del equipo morado y clasificación de incidentes, todo dentro de una única pila que puede ejecutar en su propia infraestructura.
• Watcher → es una plataforma de código abierto que ayuda a los equipos de seguridad a monitorear y detectar amenazas cibernéticas emergentes. Utiliza IA para analizar datos de amenazas, rastrear dominios sospechosos, detectar fugas de información y seguir noticias de ciberseguridad de fuentes oficiales, todo en un solo panel. Construido con Django y React, se ejecuta fácilmente con Docker.

Descargo de responsabilidad: esto es estrictamente para investigación y aprendizaje. No ha pasado por una auditoría de seguridad formal, así que no lo dejes caer ciegamente en producción. Lea el código, primero divídalo en una zona de pruebas y asegúrese de que todo lo que esté haciendo se ajuste al lado correcto de la ley.

Conclusión

Así es la semana: descargas envenenadas, problemas con la nube, errores antiguos que se niegan a morir y los atacantes apenas se esfuerzan más que un tipo que reinicia un enrutador congelado. Todo el mundo está cansado, ya nadie confía en los instaladores y, de algún modo, Internet sigue empeorando de forma muy predecible.

Nos vemos el próximo lunes, suponiendo que nada se incendie antes de esa fecha.