Publicado: 29/04/2025

¡Llegó el Hacknews! Esta semana trae desde ataques silenciosos usando servicios en la nube hasta nuevas técnicas de phishing impulsadas por inteligencia artificial y cómo puedes protegerte

Si todavía no has hecho el Test de Phishing gratuito de Hackmetrix, este es tu momento 🎁.

Descargas un archivo desde un enlace de Google Drive que parece legítimo, todo funciona bien... hasta que, en el fondo, tu sistema empieza a ser controlado por atacantes. Así están operando hackers norcoreanos, aprovechando servicios de almacenamiento en la nube confiables para distribuir malware como "LightlessCan". Tu red, tus documentos y tu infraestructura quedan vulnerables ante un ataque que se esconde detrás de una simple descarga.

Para protegerte refuerza las políticas de acceso a la nube, utiliza soluciones de seguridad que inspeccionen archivos en servicios cloud, limita quién puede descargar archivos externos y capacita a tu equipo para reconocer actividades sospechosas, incluso si vienen de fuentes aparentemente seguras.

Te llega un correo de tu jefe pidiéndote información urgente sobre un proyecto. Es creíble, es perfecto… pero no es tu jefe. Es Darcula, una plataforma de phishing que ahora usa IA generativa para escribir mensajes personalizados que parecen completamente reales. El peligro es claro: un solo clic, y el acceso a tus sistemas puede quedar comprometido.

Implementa entrenamientos de phishing, refuerza los filtros de correo con soluciones avanzadas de análisis de comportamiento, activa autenticación multifactor (MFA) en todos los accesos críticos.

Tu servidor Windows funciona sin problemas visibles, pero un script oculto de PowerShell podría estar filtrando información o abriendo puertas traseras sin ser detectado. Así operan los "Power Parasites", incrustándose como procesos legítimos para evadir antivirus y monitoreo básico.

Estos ataques permiten a los atacantes espiar o controlar sistemas por meses sin levantar sospechas, dejando tu infraestructura vulnerable. Para protegerte, monitorea la actividad de PowerShell, configura alertas para ejecuciones no autorizadas y usa herramientas de monitoreo de endpoints para detectar comportamientos anómalos en tiempo real.

Todo parece normal en tu red, pero algunos paquetes de datos están conectándote silenciosamente a servidores maliciosos. Esto es "RackStatic": una red oculta que soporta phishing, malware y control remoto de sistemas sin ser fácilmente detectada.

Si no supervisas el tráfico saliente, podrías estar siendo parte involuntaria de operaciones criminales. ¿Cómo protegerte? Audita tu tráfico de red, utiliza inteligencia de amenazas actualizada y bloquea conexiones a dominios sospechosos antes de que se conviertan en un problema mayor.

Así como esta semana nos regala un respiro con el jueves festivo, también llega una buena noticia en medio de tantas amenazas digitales. WhatsApp lanzó nuevas funciones de privacidad que te permiten ocultar tu estado de conexión en chats específicos, bloquear conversaciones con biometría y proteger notificaciones sensibles.

Si usas WhatsApp en tu empresa para comunicarte o atender clientes, estas mejoras te ayudarán a proteger mejor tu información crítica. ¿Cómo aprovecharlo? Activa el bloqueo biométrico, ajusta la visibilidad de tu estado y configura las notificaciones para minimizar filtraciones accidentales y claro actualiza la App a la última versión.

Tienes una empresa en crecimiento, y todo parece ir sobre ruedas: ventas, nuevos clientes, expansión... pero en medio de este éxito, pequeños errores de seguridad pasan desapercibidos. Contraseñas débiles, servidores mal configurados, falta de actualizaciones... Todo parece inofensivo, hasta que un atacante lo aprovecha y compromete tu información crítica o la de tus clientes.

¿Qué ocurrió? Caíste en vulnerabilidades comunes que afectan a muchísimas empresas y que pueden poner en jaque tu operación si no las atiendes a tiempo.

Conoce más sobre las vulnerabilidades más comunes en las empresas y aprende cómo proteger tu organización desde hoy.

Publicado: 22/04/2025

¡Llegó el especial de phishing en Hacknews! Esta semana te traemos un regalo: un test gratuito creado por Hackmetrix para poner a prueba qué tan listo estás para detectar amenazas... además de mostrarte cómo el phishing se está volviendo más inteligente cada día.

¿Seguro que no caerías en un correo falso? Vamos a comprobarlo

Muchos decimos lo mismo: "¿Yo caer en phishing? Jamás". Creemos que esas trampas son tan obvias que solo atrapan a los despistados... pero la realidad es otra. Ahora no es el "hacker ruso" pidiéndote dinero, ahora son mensajes que parecen de tu banco, tu jefe o hasta de tu propia empresa.

En Hackmetrix lanzamos un test de phishing gratuito para ver qué tan preparado estás de verdad. ¿Detectarías un correo falso a tiempo o serías otra estadística más de "yo pensé que era real"?

¡Haz el test y reta a tu equipo! 💪🏽

No, no es el título de una película, es una nueva amenaza real. Morphing Meerkat es un kit de phishing diseñado para hacer los ataques mucho más efectivos. Pero, ¿qué es un kit de phishing? Básicamente, es una "caja de herramientas" que viene lista para que cualquier atacante pueda lanzar campañas de phishing sin necesidad de ser un experto. Incluye plantillas de correos falsos, páginas web clonadas y hasta instrucciones para capturar datos como contraseñas o tarjetas de crédito.

Lo que hace especial (y peligroso) a Morphing Meerkat es que cambia dinámicamente la apariencia de los correos electrónicos. Así, un mismo ataque se ve diferente para cada usuario, evadiendo filtros de seguridad automáticos y confundiendo incluso a los ojos humanos más entrenados.

Con este tipo de amenazas, confiar solo en “si el correo se ve raro” ya no es suficiente. Necesitas entrenar a tu equipo para reconocer otros signos de alerta, usar soluciones de seguridad avanzadas y, sobre todo, pensar dos veces antes de hacer clic en cualquier enlace sospechoso.

Por supuesto que la IA es tu mejor amiga, pero no solo para ti, también para los criminales pues un nuevo servicio impulsado por IA, llamado Gamma, les está facilitando la vida. Gamma permite a los atacantes crear infraestructuras maliciosas en la nube, como sitios falsos que imitan a empresas reales (incluyendo Microsoft), para lanzar campañas de phishing y robar credenciales. Y lo peor: todo lo hacen en cuestión de minutos, gracias a la automatización.

Esto significa que los ataques son cada vez más rápidos, personalizados y difíciles de detectar. Para protegerte, mantente alerta a correos sospechosos, activa autenticación multifactor en tus cuentas, verifica siempre las URLs antes de ingresar datos y en cada correo pasa el mouse por por encima de cada hipervínculo o botón y abajo a la izquierda en tu browser verás la URL a la que lleva antes de dar clic.

Imagínate recibir un correo que parece venir de tu agencia tributaria, con tu nombre completo, detalles fiscales correctos y un mensaje urgente para "actualizar tu información". Suena legítimo, ¿no? Pues no. Hoy, los atacantes están usando inteligencia artificial para perfeccionar estafas fiscales, creando correos y mensajes que parecen totalmente reales, es como un phishing con esteroides .

Si manejas información fiscal de tu empresa o tuya, necesitas estar alerta. No hagas clic en enlaces de correos que no esperabas, revisa directamente en los sitios oficiales cualquier trámite que debas hacer o ve directamente a sus oficinas. La IA no solo está cambiando el mundo para bien, también está haciendo a los criminales más peligrosos.

Supongamos que entras a un formulario online pensando que es tu banco o tu plataforma de trabajo. Escribes tu correo y tu contraseña, y al instante el sitio "valida" la información diciéndote que todo está bien. Eso debería sonar raro, pero en nuevas campañas de phishing, los atacantes usan validaciones en tiempo real para hacerte confiar y entregarlo todo sin sospechar.

Así que para protegerte siempre revisa que las páginas web donde ingresas tus datos sean seguras (busca el candado en la URL), desconfía de enlaces que te lleguen por correo o SMS, revisa si tiene el dominio de la empresa en el URL y si tienes dudas, contacta directamente a la empresa antes de llenar cualquier formulario.

¿Sabías que ahora programar puede ser como seguir el “vibe” del momento? 🎶💻

Ahora es posible gracias al fenómeno del vibe coding, una nueva forma de programar donde la IA te sugiere el código y tú solo sigues el flujo, sin complicarte demasiado.

Impulsado por Andrej Karpathy, cofundador de OpenAI, esta tendencia permite que programadores se enfoquen más en la creatividad y menos en los detalles técnicos, aceptando sugerencias automáticas de herramientas como Cursor o GitHub Copilot.

Ideal para quienes quieren crear rápido prototipos de apps o juegos, el vibe coding democratiza el desarrollo de software, aunque todavía no es lo más recomendable para proyectos grandes o muy críticos.

¿Listo para dejarte llevar por el “vibe” de la programación?

Publicado: 15/04/2025

¡Llegó el Hacknews con nuevos hackeos! Y si creías que tener doble autenticación te hacía intocable, o que el malware vivía solo en computadoras viejas, este Hacknews va a abrirte los ojos (y tal vez hacerte revisar tu DNS).

Una nueva oleada de correos basura invadió miles de cuentas esta semana, ¿será la tuya una de ellas? y esto no fue obra de cualquier bot, fue AkiraBot, una botnet potenciada por inteligencia artificial que está revolucionando el mundo del cibercrimen. A diferencia del spam tradicional, este bot es capaz de adaptarse, evitar filtros de seguridad y colarse en sistemas con una precisión alarmante.

Empresas de todos los tamaños están recibiendo correos maliciosos disfrazados de comunicaciones legítimas, exponiendo tanto a empleados como a clientes a fraudes, robo de credenciales y malware. Si tu negocio depende del correo electrónico para operar, necesitas soluciones más avanzadas que simples filtros y por supuesto preparar a tu equipo.

Recibes un correo de seguridad que parece legítimo, haces clic en un enlace que te lleva a una página idéntica a la de Google o Microsoft, ingresas tu usuario, tu contraseña… y también recibes tu código 2FA. Pero.. sin notarlo, en segundos, los atacantes tienen acceso completo a tu cuenta.

Así están operando cibercriminales con técnicas avanzadas como el Adversary-in-the-Middle, logrando eludir la autenticación de dos factores en servicios ampliamente utilizados. Si confías ciegamente en el 2FA como única barrera, es hora de reforzar tu seguridad, puedes usar llaves físicas de autenticación, activar alertas de acceso sospechoso y capacita a tu equipo para detectar sitios falsos antes de que sea demasiado tarde.

Imagina que una empresa dejó sin uso un subdominio antiguo... y los atacantes lo reclamaron como suyo. Usando una técnica conocida como dangling DNS ¿y para qué? para redirigir a los usuarios hacia un sitio malicioso que parecía legítimo, robando datos y exponiendo a la empresa a pérdidas y daño reputacional.

Este tipo de error es más común de lo que crees, pues al migrar servicios o cambiar infraestructura en la nube, muchas empresas olvidan limpiar registros DNS antiguos. Esto deja la puerta abierta para que los cibercriminales se apoderen de esos dominios y los usen como trampas. Si tu organización ha hecho cambios recientes o usa múltiples subdominios, es urgente auditar tus configuraciones DNS y eliminar cualquier entrada huérfana.

Descargas una app que parece útil o divertida, das algunos permisos sin pensarlo… y en segundo plano, un malware como SpyNote o BadBazaar empieza a acceder a tu cámara, tus mensajes, tu ubicación y hasta tus llamadas.

Así operan hoy las nuevas oleadas de spyware móvil dirigidas a usuarios de Android en todo el mundo. Si usas tu teléfono para trabajar, conectarte a sistemas corporativos o manejar datos sensibles, no te la juegues: instala solo desde tiendas oficiales, revisa los permisos de tus apps y considera una solución MDM si tu empresa permite el uso de dispositivos personales. Tú eres la primera línea de defensa.

Abres WhatsApp en tu computador, revisas un mensaje más… y sin darte cuenta, ese contenido desencadena un ataque que permite al hacker ejecutar código malicioso en tu equipo, comprometiendo toda tu información.

Así de crítica fue la vulnerabilidad encontrada en la versión de escritorio de WhatsApp para Windows. Si usas esta app en tu entorno laboral, ya sea para coordinar tareas o atender clientes, no lo ignores: actualiza ahora mismo a la última versión, limita el uso de apps personales en dispositivos de trabajo y asegúrate de tener protección activa en todos tus endpoints.

Gracias a la tecnología FlexiVol, desarrollada por la Universidad Pública de Navarra, ahora puedes interactuar con imágenes 3D flotantes ¡sin gafas ni dispositivos especiales!

Esta pantalla volumétrica permite mover, girar e incluso sentir los hologramas, abriendo un mundo de posibilidades para la educación, museos y mucho más.

¿Listo para experimentar el futuro con solo extender la mano?

Publicado: 08/04/2025

Si pensabas que el SAT, la DIAN o el SII eran intensos en temporada de impuestos, ¡espera a ver lo que trae este Hacknews!💸

PDFs con códigos QR que te roban las credenciales, archivos que se comparten solos (y con el criminal incluido), bases de datos minando sin permiso… y sí, ahora Gmail cifra como se debe. Por cierto, si aún no respondes nuestra mini encuesta para mejorar el Hacknews, ¡este es tu momento!

👉 Responde para hacer el Hacknews más épico

Te llega un correo del SAT, DIAN o SII sobre una devolución de impuestos con un PDF adjunto. Dentro, un código QR te lleva a una página que parece de Microsoft 365 o DocuSign. Lo escaneas, descargas el archivo… y sin notarlo tu equipo está infectado con malware diseñado para robar tus credenciales y acceder a tu red.

Microsoft ha identificado campañas de phishing masivas que usan archivos PDF y códigos QR para distribuir troyanos como Remcos, GuLoader, AHKBot y BRc4. Los correos, sin cuerpo y con archivos adjuntos, están dirigidos a miles de organizaciones, especialmente en sectores como TI, consultoría e ingeniería.

El grupo Storm-0249 estaría detrás de muchos de estos ataques, usando plataformas de phishing como servicio para automatizar y escalar la amenaza. Para protegerte activa autenticación de doble factor, bloquea dominios sospechosos y capacita a tu equipo.

Aquí también tenemos buenas noticias. Ahora Google habilitó el cifrado de extremo a extremo (E2EE) para usuarios de Gmail Enterprise, permitiendo enviar correos totalmente encriptados, incluyendo archivos adjuntos. Ni Google ni terceros pueden acceder al contenido, solo el remitente y el destinatario.

Pensado para empresas que manejan información sensible, el cifrado se puede activar desde la consola de administración de Google Workspace y aplicarse manualmente al redactar el correo. Esto mejora la privacidad, reduce riesgos de filtración y ayuda a cumplir regulaciones como ISO 27001 o HIPAA. Una capa extra de seguridad, ahora al alcance de tu bandeja de entrada.

Un empleado en una cafetería se conecta al Wi-Fi público y activa Quick Share (como el AirDrop para Android) para enviar un informe desde su celular. Sin saberlo, un atacante en la misma red detecta su dispositivo y le envía un archivo malicioso sin que lo note. En segundos, el equipo queda comprometido.

Este escenario fue posible por una vulnerabilidad crítica en Quick Share, la función de Google para compartir archivos entre Android y Chromebook. Permitía a atacantes enviar archivos no autorizados sin interacción del usuario, aprovechando redes compartidas como oficinas o cafeterías.

Google lanzó un parche de emergencia, y si usas Android o Chromebook, es urgente ¡actualizar ahora!. También desactiva la opción “Visible para todos” y limita su uso en espacios públicos.

Tu base de datos PostgreSQL está expuesta a internet y sin autenticación. Un atacante entra, no para robar datos, sino para convertirla en una mina de criptomonedas. Sin que lo notes, tu infraestructura consume más recursos y tus costos en la nube se disparan.

El equipo de Wiz descubrió una campaña activa donde cibercriminales aprovechan instancias de PostgreSQL mal configuradas para ejecutar malware de criptominería. Usan comandos válidos para cargar un contenedor Docker que empieza a minar Monero (XMR) silenciosamente.

Aunque no hay robo de información directa, los efectos son claros, sobrecarga del sistema, lentitud, facturas infladas y riesgo de ataques mayores. ¿Qué hacer? Evita el acceso público, usa autenticación segura, monitorea tu sistema y actualiza tus configuraciones.

Imagina que tu nombre está en una carpeta de investigación y sin aviso, esa información termina filtrada en internet. Eso podría estar pasando ahora mismo en México o al menos a las seis fiscalías estatales que fueron hackeadas, y los atacantes accedieron a bases de datos con información confidencial sobre investigaciones, procesos judiciales y datos personales de funcionarios y ciudadanos.

El ataque representa una amenaza seria para la seguridad nacional ya que los archivos comprometidos incluyen documentos internos, correos oficiales y datos que podrían poner en riesgo la vida de personas protegidas por el sistema judicial. Además del impacto legal, este tipo de filtraciones daña la confianza en las instituciones y muestra la urgencia de reforzar la ciberseguridad en las instituciones públicas.

Kawasaki presentó a Corleo, un impresionante robot cuadrúpedo que parece sacado de una película de ciencia ficción. Diseñado para recorrer terrenos difíciles como nieve o barro, este “caballo robótico” usa inteligencia artificial, motores eléctricos y sensores para moverse con equilibrio y precisión.

¿Es este el futuro de la movilidad?

Publicado: 02/04/2025

¡El Hacknews llega con hackeos tan creativos como las pelis del Studio Ghibli! 🎬 un troyano que se disfraza mejor que el Castillo Ambulante, códigos de verificación que llegan al cibercriminal antes que a ti… y sí, hasta hackearon al experto que nos dice si fuimos hackeados.

Por cierto, tenemos una misión especial para ti (tranqui, sin trampas). Si aún no has respondido, ¡este es tu momento!

👉 Responde esta mini encuesta para mejorar el Hacknews

Ahora sí, prepárate… porque estas historias no son de ficción.

Si alguna vez usaste Have I Been Pwned para saber si tus contraseñas fueron filtradas, te sorprenderá saber que su creador, Troy Hunt, fue víctima de un ataque de phishing. Un correo falso, supuestamente de Mailchimp, le avisaba de una queja por spam, hizo clic, ingresó sus credenciales y, en segundos, los atacantes accedieron a su cuenta y robaron los datos de más de 16.000 suscriptores.

El incidente muestra que nadie está completamente a salvo y que la ingeniería social sigue siendo una de las técnicas más efectivas. Así que para protegerte, verifica siempre la autenticidad de los correos, usa autenticación multifactor y considera métodos más seguros que las contraseñas tradicionales. Porque si a él le pasó.. ¿cómo vas a prevenir que te pase a ti?

Descargas una app que parece legítima, Al abrirla, te pide permisos “normales” como accesibilidad y todo parece funcionar bien. Pero en segundo plano, sin saberlo, te están robando. Esto hace Crocodilus, un nuevo troyano para Android que se disfraza de apps populares como Chrome, y al obtener permisos clave, puede registrar lo que escribes, capturar pantallas, interceptar tus credenciales bancarias y robar datos de tus wallets de criptomonedas.

El malware está diseñado para evadir detección, lo que lo hace especialmente peligroso. Para protegerte, descarga solo desde tiendas oficiales, revisa cuidadosamente los permisos que concedes y mantén tus dispositivos actualizados.

Estás por iniciar sesión en tu cuenta de Mercado Libre, Google o Apple, esperas el SMS con el código de verificación, pero alguien más ya lo recibió antes que tú. Eso ocurrió cuando Sondeos Global, proveedor de servicios SMS en Argentina, Chile y Uruguay, fue hackeado el 24 de marzo.

Los atacantes accedieron a sus servidores y capturaron más de 30.000 mensajes SMS en tiempo real, incluyendo códigos de autenticación de un solo uso (OTP) utilizados para la verificación en dos pasos. El riesgo es grave ya que las cuentas personales y empresariales pueden ser vulneradas sin que el usuario lo sepa. Si tu empresa sigue usando SMS como segundo factor de autenticación, es momento de repensarlo o generar otras estrategias más robustas.

Estás contratando en remoto. Recibes un CV sólido, el perfil de LinkedIn es impecable, la experiencia encaja perfecto y, en la videollamada, todo parece normal. Hasta que algo no cuadra… y descubres que no estás hablando con una persona real, sino con un deepfake.

Eso le pasó a Vidoc Security Lab, una startup de solo seis personas que estuvo a punto de contratar a un candidato falso creado con inteligencia artificial. Lo detectaron por inconsistencias en su historia y, en otro intento, cuando el candidato se negó a una simple prueba en cámara: “pon tu mano frente a tu cara”.

Lo inquietante es que no eran una gran empresa ni un blanco evidente. ¿Por qué intentar infiltrarlos? Todo apunta a un actor más sofisticado que un simple estafador. Si contratas en remoto, tómalo en serio: graba entrevistas, verifica identidades y no te fíes solo del CV. Podrías terminar contratando a una IA sin darte cuenta.

Un estudiante entra al portal de pagos de su universidad, modifica el monto de su deuda en mil dólares… y nadie lo nota, hasta que es demasiado tarde. Esto pasó en la Universidad Andrés Bello de Chile (UNAB), donde varios estudiantes fueron suspendidos tras alterar sus registros financieros al vulnerar el sistema interno.

Si crees que esto solo pasa en universidades, piénsalo dos veces, pues este tipo de ataques demuestra lo fácil que puede ser manipular sistemas mal protegidos, incluso desde dentro. Si gestionas plataformas de pago o portales con información crítica, asegúrate de implementar autenticación robusta, monitoreo constante y validaciones de integridad de datos. No subestimes el riesgo interno, un usuario con conocimientos básicos y malas intenciones puede hacer mucho daño si tu sistema no está bien blindado.

Ahora puedes hacerlo con la nueva función de ChatGPT que genera imágenes desde texto gracias a DALL·E 3. Solo describe lo que imaginas y la IA lo convierte en una ilustración sorprendente… ¡y ahora también puedes editar partes específicas de la imagen directamente en la conversación! ¿Listo para dar vida a tus ideas?