En la semana del 11 al 17 de agosto de 2025, el panorama de la seguridad cibernética estuvo marcado por actualizaciones críticas de los principales proveedores y un aumento en las amenazas sofisticadas, subrayando la batalla continua contra las vulnerabilidades digitales.
Microsoft lanzó sus actualizaciones del martes del parche el 12 de agosto, abordando más de 90 vulnerabilidades, incluidas varias exploits de día cero en Windows y suites de oficina que podrían habilitar la ejecución de código remoto.
Esto se produjo en medio de informes de mayores campañas de phishing dirigidas a usuarios de Azure, con atacantes aprovechando señuelos generados por IA para violar los entornos en la nube.
Mientras tanto, Cisco emitió avisos de seguridad urgentes para su software iOS y NX-OS, parcheando fallas que podrían permitir ataques de denegación de servicio en la infraestructura de la red. La compañía también destacó un aumento en las amenazas de la cadena de suministro, luego de un intento de incumplimiento de alto perfil en las empresas de telecomunicaciones utilizando equipo de Cisco comprometido.
Fortinet fortificó sus firewalls FortiGate con actualizaciones que arreglan problemas de desbordamiento de búfer crítico, evitando posibles infiltraciones de ransomware. La semana vio incidentes cibernéticos notables, incluido un ataque masivo de DDoS contra instituciones financieras atribuidas a actores patrocinados por el estado, interrumpiendo los servicios en toda Europa.
Además, las nuevas variantes de ransomware de grupos como Lockbit se dirigen a los sectores de atención médica, explotando sistemas sin parpadear. Los expertos advierten sobre el aumento de las amenazas impulsadas por la IA, instando a las organizaciones a priorizar la gestión de parches y la inteligencia de amenazas. Este resumen destaca la necesidad de defensas vigilantes en un entorno de amenaza en evolución. (198 palabras)
Ciberata
Los hackers explotan la técnica ClickFix para comprometer las máquinas de Windows
Los atacantes cibernéticos están utilizando un método engañoso de ingeniería social llamado ClickFix para engañar a los usuarios para ejecutar comandos de PowerShell maliciosos. Esta táctica a menudo comienza con correos electrónicos de phishing o mensajes de error falsos, lo que lleva a la implementación de malware como HAVOC, que establece la persistencia y exfila los datos a través de los servicios en la nube. Las organizaciones deben monitorear la actividad de PowerShell y educar a los usuarios para evitar indicaciones sospechosas. Leer más
Darkbit ransomware se dirige a los servidores ESXi VMware
El grupo de piratería Darkbit está implementando ransomware personalizado contra entornos VMware ESXI, cifrando archivos con claves AES-128-CBC y RSA-2048. Los ataques se centran en archivos de disco de máquina virtual, interrumpiendo las operaciones comerciales, aunque los investigadores han descifrado a algunos encriptadores sin pago de rescate. Se recomienda a los usuarios de ESXI que apliquen parches y mejoren el monitoreo para una actividad de cifrado inusual. Leer más
CyberAttack llega a la Cámara de los Comunes de Canadá
Los actores de amenaza explotaron una reciente vulnerabilidad de Microsoft para violar la Cámara de los Comunes de Canadá el 9 de agosto de 2025, robando datos de empleados, incluidos nombres, títulos de trabajo y direcciones de correo electrónico. El incidente, bajo investigación del Centro Canadiense de Seguridad Cibernética, destaca los riesgos de phishing y suplantación. No se ha hecho una atribución, pero se alinea con las tendencias en las exploits dirigidas al gobierno.
Nuevos ataques de malware de leña Linux Sistemas
Una variante de la puerta trasera de leña, atribuida al grupo Gelsemium Apt, está dirigido a los sistemas Linux a través de shells web para la ejecución de comandos y la exfiltración de datos. Vinculado a la familia Project Wood, permite ejecutar el código arbitrario y la persistencia. Los administradores de Linux deben buscar indicadores de shell web y restringir el acceso de shell. Leer más
PhantomCard Android Malware utiliza NFC para el robo bancario
PhantomCard, un nuevo troyano de Android de ciberdelincuentes brasileños, explota NFC a los datos de la tarjeta de transmisión en tiempo real para transacciones fraudulentas. Distribuido a través de aplicaciones de seguridad falsas, actúa como una terminal de pago deshonesto, robando pines y habilitando el robo sin clonación de tarjetas físicas. Los usuarios deben evitar aplicaciones no verificadas y habilitar NFC solo cuando sea necesario. Leer más
Ataques de phishing abuse del control remoto de los equipos de Microsoft
Los atacantes están aprovechando la función de control remoto de los equipos de Microsoft en las campañas de phishing, solicitando acceso durante las reuniones para obtener el control del sistema no autorizado. Las víctimas son engañadas para otorgar permisos, lo que lleva al robo de datos o un mayor compromiso. Los usuarios de los equipos deben verificar las solicitudes y deshabilitar el control remoto en las políticas cuando sea posible. Leer más
La sofisticada campaña de phishing de Gmail evade defensas
Un nuevo ataque de phishing contra Gmail falsifica las alertas oficiales de Google, pasando cheques DKIM y usando sites.google.com para la recolección de credenciales. Mimina las citaciones o los avisos de seguridad para atraer clics, integrándose en hilos de correo electrónico legítimos. Los usuarios de Gmail deben analizar los detalles del remitente y evitar hacer clic en enlaces en alertas no solicitadas. Leer más
Vulnerabilidades
Vulnerabilidades de Ivanti Connect Secure, Policy Secure y ZTA
Ivanti ha parcheado cuatro vulnerabilidades en sus productos Connect Secure, Policy Secure y Cero Trust Access, incluidos dos problemas de alta severidad (CVE-2025-5456 y CVE-2025-5462) que podrían permitir que los atacantes remotos no autenticados causen la negación de servicio a través de los flujos de amortiguación. Los defectos de la severidad media implican la inyección de entidad externa XML y el manejo inadecuado del enlace simbólico. Los usuarios de la nube se actualizan automáticamente, pero los administradores locales necesitan parches manuales. Leer más
Día del parche de seguridad de SAP: 15 vulnerabilidades abordadas
El parche de agosto de 2025 de SAP aborda 15 fallas, con tres vulnerabilidades de inyección de código crítico (CVE 2025-42957, 2025-42950 y 2025-27429) en S/4HANA y transformación del paisaje, lo que permite la ejecución del código remoto con bajas privilegios. Otros temas incluyen derivaciones de autorización, XSS y Traversal de directorio a través de Netweaver y Business One. Priorizar actualizaciones para entornos empresariales de alto riesgo. Lea más
Microsoft Patch Martes: 107 Vulnerabilidades fijadas
La actualización de Microsoft en agosto de 2025 resuelve 107 problemas, incluidas 36 vulnerabilidades de ejecución de código remoto (10 críticos) en componentes como Windows Graphics, Office, Excel e Hyper-V. La elevación de las fallas de privilegios dominan con 40 parches, junto con la suplantación, la negación de servicio y los riesgos de divulgación de información. No se informaron días cero, pero se recomienda un parche rápido para los ecosistemas de Windows. Leer más
Vulnerabilidad crítica de Fortisiem explotada activamente
Un defecto de inyección de comando de OS severo (CVE-2025-25256) en Fortinet’s Fortisiem permite la ejecución de comandos remotos no autenticados a través del puerto 7900. Los exploits de prueba de concepto están en la naturaleza, sin indicadores claros de compromiso. Las versiones afectadas abarcan 5.4 a 7.3; Actualice inmediatamente o restringirá el acceso al puerto como una medida temporal. Leer más
Los piratas informáticos podrían obtener el control total de los dispositivos Android enraizados
Una vulnerabilidad en los dispositivos Android enraizados permite a los atacantes explotar un defecto específico, ganando potencialmente control y comprometiendo datos de usuarios. Esto afecta a millones de dispositivos, con exploits por primera vez a principios de 2025. Los usuarios enraizados deben revisar la seguridad del dispositivo de inmediato. Leer más
Vulnerabilidad de firewall de Cisco Secure
Esta falla en el cliente seguro de Cisco para Windows (con motor de postura de firewall seguro) permite a los atacantes locales autenticados realizar secuestro de DLL y ejecutar código arbitrario con privilegios del sistema a través de una validación insuficiente de IPC. Impacta versiones de hasta 5.1.7.80; Actualización a 5.1.8.1 o posterior. Leer más
Vulnerabilidad al motor de detección de Snort 3
Las vulnerabilidades en Snort 3 podrían permitir que los atacantes evadiran los sistemas de detección y compromiso, particularmente en las configuraciones de seguridad de red. Los parches son esenciales para los núcleos de Linux afectados y las herramientas relacionadas para evitar la escalada de privilegios. Leer más
Vulnerabilidad elástica EDR de 0 días
Un día cero en EDR elástico omite las protecciones, lo que permite la ejecución de malware y causa que se bloquea la pantalla azul de la muerte (BSOD). Descubierto el 17 de agosto de 2025, plantea riesgos para la seguridad de los puntos finales; Aplicar actualizaciones con urgencia. Leer más
Amenazas
El malware de Soupdealer evade la detección en ataques dirigidos
Se ha visto un nuevo cargador con sede en Java llamado Soupdealer en campañas de phishing que dirigen a los sistemas en Turquía. Este malware solo se activa en las máquinas de Windows con configuraciones de idiomas turcos y criterios de ubicación específicos, lo que le permite omitir todas las cajas de arena probadas, motores antivirus y soluciones EDR/XDR. Utiliza la ejecución de solo memoria y las herramientas de sistema legítimas para combinar, lo que la hace invisible para las defensas tradicionales. La campaña, observada a principios de agosto de 2025, destaca la necesidad de detección de comportamiento y seguridad múltiple. Leer más
Castleloader infecta cientos de señuelos de phishing
Castleloader, un cargador de malware modular activo desde principios de 2025, ha comprometido más de 400 dispositivos a través de Phishing de ClickFix con temática de CloudFlare y repositorios falsos de GitHub. Con una tasa de éxito de infección del 28.7% de 1,634 intentos para mayo de 2025, ofrece cargas útiles como STEALC, Redline y varias ratas, a menudo dirigidas a entidades gubernamentales de los Estados Unidos. Los ataques comienzan con mensajes de error falsos que engañan a los usuarios para que ejecutaran comandos de PowerShell maliciosos. Leer más
Los camaradas rizados apt despliega la puerta trasera personalizada
El grupo de camaradas rizados, un nuevo APT alineado con los intereses rusos, ha atacado a las organizaciones de Europa del Este desde mediados de 2014 utilizando una puerta trasera personalizada llamada Mucoragent. Emplean el secuestro de NGEN COM para persistencia, robando credenciales con herramientas como Mimikatz y exfiltrando datos a través de Curl.exe. Las víctimas incluyen los sectores gubernamental y de energía en Georgia y Moldavia, enfatizando el espionaje a largo plazo. Leer más
Vextrio usa captchas falsos y aplicaciones maliciosas
Los piratas informáticos de Vextrio están distribuyendo spam y estafas a través de páginas falsas de Captcha con imágenes de robot, junto con más de un millón de descargas de aplicaciones maliciosas en Google Play y la App Store. Aplicaciones bajo nombres como Hugmi y Spam Shield Pose como herramientas de citas o bloqueadores de spam, pero presionan anuncios, aplican suscripciones y datos de cosecha. La infraestructura compartida los vincula a operaciones de estafa más amplias que infringen marcas como Tinder. Leer más
El papel de IA en las amenazas y la destrucción cibernética
La IA está amplificando los riesgos cibernéticos, lo que permite a los delincuentes a escalar suplantación, reconocimiento, exploits de día cero y ataques de envenenamiento de datos. Por ejemplo, los LLM pueden automatizar el phishing con más del 95% de reducción de costos al tiempo que mantiene las tasas de éxito. Esto reduce las barreras para los atacantes, lo que potencialmente conduce a una destrucción generalizada en sectores como las finanzas a través de algoritmos manipulados. Leer más
Phishlets dedicados evitan la autenticación de Fido
Los actores de amenaza están utilizando Phishlets personalizados en AITM Frameworks para degradar la autenticación basada en FIDO, lo que obliga a los usuarios a métodos MFA menos seguros como códigos de aplicaciones. Al falsificar a los agentes de usuarios no respaldados, los atacantes interceptan credenciales y cookies de sesión, evitando las protecciones en sistemas como Microsoft Entra ID. Esta táctica emergente plantea riesgos de adversarios sofisticados. Leer más
SmartLoader extendido a través de reposos falsos de Github
SmartLoader se está distribuyendo a través de repositorios engañosos de GitHub que imitan los hacks de juegos y el software descifrado, lo que lleva a robos de información como Lumma Stealer y Rhadamanthys. El malware utiliza scripts de Lua ofuscados para la persistencia a través de tareas programadas e inyecta la carga útil en procesos de confianza. Los readmes generados por IA hacen que los repos sean legítimos, pero las pistas incluyen frases antinaturales y cargas útiles ocultas. Leer más
