Publicado: 24/06/2025

🚨 Esta semana en Hacknews: Si pensabas que estabas seguro, es momento de revisar tus accesos, tus contraseñas y tu confianza en los correos “amables”.

Reutilizas la misma contraseña para varias plataformas y todo parece estar bajo control… hasta que esas credenciales terminan en una base de datos expuesta públicamente. Eso acaba de pasar: investigadores encontraron un archivo con más de 16 mil millones de contraseñas filtradas por malware del tipo infostealer.

Google, Facebook, Apple y otras plataformas están en la lista. No fue un solo ataque, sino una compilación de fugas previas, ahora reunidas en un solo archivo disponible brevemente para cualquiera. Si no usas contraseñas únicas ni autenticación multifactor, este es el momento de actuar.

Recibes un correo amable, casi inocente. Alguien del “Departamento de Estado” te escribe, construye confianza… y semanas después te pide que generes una contraseña específica para tu app de Gmail. Tú accedes. ¿El resultado? Acceso total sin necesidad de 2FA.

Esto es exactamente lo que está haciendo APT29, grupo vinculado al gobierno ruso. Usan phishing avanzado y contraseñas de aplicación para evadir controles de seguridad.

No es una campaña masiva, es personalizada, dirigida, lenta… y muy efectiva. Si manejas cuentas sensibles, revisa tus accesos, desactiva contraseñas de apps y valida siempre cualquier solicitud.

Tienes un usuario sin privilegios en tu servidor… pero con las nuevas vulnerabilidades descubiertas en PAM y Udisks, eso es todo lo que se necesita para convertirse en root.

Estas fallas afectan distribuciones como Ubuntu, Debian y Fedora, y permiten a atacantes locales explotar condiciones de carrera y enlaces simbólicos para escalar privilegios.

Si gestionas infraestructuras Linux, aplica los parches ya disponibles y revisa que los sistemas estén protegidos contra accesos locales no autorizados.

Esta semana se filtraron más de 16 mil millones de credenciales y según Mandiant el robo de contraseñas ya supera al phishing como puerta de entrada al ataque. Por eso, en esta edición de Hacknews te traemos una mini guía para tener contraseñas seguras.

Y como bonus:👉 Verifica si tu contraseña es segura con esta herramienta de Kaspersky: password.kaspersky.com/es

¿Recuerdas que hace unas semanas lanzamos el reto de enviar los correos de phishing más memorables? Bueno… ¡nos llegaron verdaderas joyitas del engaño digital!

📬 Gracias por participar. Aquí te compartimos un GIF algunos de los más creativos (y absurdos):

💡 ¿Qué aprendimos? Que aunque muchos dan risa, estos correos siguen siendo peligrosos si agarran desprevenido a alguien de tu equipo.

👉 Si te llega uno raro, no caigas: repórtalo, bórralo y… mándanos la captura 😉. Seguimos armando esta colección tragicómica para concientizar (y reírnos un poco también).

¿Tienes uno bueno? 📩 Respóndenos este Hacknews con tu ejemplo.

Publicado: 17/06/2025

🚨 Esta semana en Hacknews; Windows bajo ataque, Copilot filtrando info sin preguntar, y miles de sitios WordPress usados para estafas. Más vale prevenir (y actualizar) que explicar después.

Usas Windows como siempre… hasta que abres un archivo que parece inofensivo, pero activa una vulnerabilidad que permite a un atacante ejecutar código en tu sistema. Esto ya está ocurriendo con la falla CVE-2025-33053, que forma parte de las 67 vulnerabilidades corregidas por Microsoft este mes.

Entre los errores parcheados, hay riesgos de ejecución remota, escalación de privilegios y denegación de servicio. El grupo Stealth Falcon ya está explotando una de ellas. Por eso, si tu empresa usa productos Microsoft, asegúrate de aplicar todas las actualizaciones de seguridad de junio.

Recibes un correo con información común, pero con un prompt oculto que interactúa con Microsoft 365 Copilot. Sin que lo sepas, el asistente de IA accede a datos sensibles y los entrega al atacante. Eso es lo que permite EchoLeak, una vulnerabilidad zero-click que ya fue corregida, pero que demuestra un nuevo tipo de riesgo en entornos corporativos con IA integrada.

El ataque no requiere que hagas clic ni respondas: la IA actúa por ti.

Si estás usando herramientas con IA generativa, revisa políticas, flujos y filtros. No todo lo automatizado es seguro por defecto.

Visitas un sitio de WordPress aparentemente normal. Pero sin darte cuenta, te redirige a una página falsa con malware, phishing o estafas. Más de 100,000 sitios WordPress han sido comprometidos por el grupo VexTrio para alimentar una red global de fraude digital.

Si administras un sitio en WordPress, asegúrate de tener todo actualizado, eliminar plugins inseguros y usar capas extra de protección. Tu sitio no solo puede ser víctima… también puede volverse cómplice.

OWASP acaba de lanzar una guía clave para prevenir y responder ante incidentes con deepfakes en contextos empresariales, políticos y sociales.

🎭 ¿El problema?

Los deepfakes ya no son ciencia ficción. Se están usando para manipular audios, videos y hasta transmisiones en vivo, afectando la confianza, reputación y seguridad de organizaciones.

📌 ¿Qué cubre esta guía?

💡 Incluye ejemplos, protocolos y checklists prácticos para incorporar en tu estrategia de gestión de incidentes.

👉 Si tu empresa está expuesta a riesgos reputacionales, manejo de imagen pública o contenido audiovisual, esta guía es una lectura urgente.

📖 ¡Léela completa acá!

Tranquilo, ya no tienes que cruzar los dedos cada vez que envías un correo. Conoce el Módulo de Seguridad de Dominios de Hackmetrix 🛡️📬.

Se acabó lo de "yo juraba que estaba bien configurado".

Con este módulo, tienes visibilidad clara y recomendaciones accionables. Sin tecnicismos, sin perder horas.

¿Solo quieres revisar tu correo personal?

Para eso sigue usando haveibeenpwned.com 😉. Pero si lo que quieres es proteger tu empresa, mejor hazlo con Hackmetrix.

Actívalo y olvídate del estrés: Tu equipo de TI (y tus clientes) te lo van a agradecer.

Publicado: 10/06/2025

🚨 Esta semana en Hacknews, extensiones que filtran tus claves, malware que se disfraza de herramientas útiles y una IA que ya está siendo usada para fines maliciosos.

Además, una historia de crecimiento real con ISO 27001 y señales claras para proteger tu empresa si usas IA. 👇

Estás buscando ayuda para tu conexión a internet y encuentras una página que parece oficial. Te pide ejecutar un comando en tu Mac para "solucionar" el problema. Sin saberlo, acabas de instalar Atomic Stealer, un malware que roba tus contraseñas, datos del llavero y billeteras de criptomonedas.

Este ataque utiliza la técnica "ClickFix", suplantando sitios legítimos para engañarte. Si usas macOS, evita ejecutar comandos de fuentes no verificadas y mantén tu sistema actualizado.

Descargas una herramienta para solucionar problemas de red en tu servidor Linux o PC con Windows. Parece útil, pero en realidad es Chaos RAT, un troyano de acceso remoto que permite a atacantes controlar tu sistema, robar archivos y ejecutar comandos maliciosos.

Este malware se distribuye a través de correos de phishing y sitios falsos. Si administras sistemas en tu empresa, verifica siempre la autenticidad de las herramientas que descargas, mantén tus sistemas protegidos y herramientas actualizadas.

Instalas una extensión de Chrome para mejorar tu productividad. Sin saberlo, esta extensión transmite tus datos a través de conexiones no seguras (HTTP) y expone tus claves API debido a credenciales codificadas en su código.

Estas prácticas ponen en riesgo la seguridad de tu información y la de tu empresa. Revisa las extensiones instaladas en tu navegador, elimina las que no sean esenciales y asegúrate de que las que uses provengan de fuentes confiables y utilicen conexiones seguras.

La inteligencia artificial evoluciona… y los ataques también.

OpenAI acaba de publicar un informe clave sobre cómo se están identificando y frenando los usos maliciosos de la IA. ¿La novedad? No se trata solo de prevenir, sino de actuar en colaboración con plataformas y gobiernos para detener abusos en tiempo real.

💡 El reporte también explica cómo OpenAI trabaja para monitorear, bloquear e interrumpir este tipo de usos, con señales que puedes aplicar en tu propia estrategia de defensa.

👉 Si estás desarrollando, integrando o usando IA en tu empresa, este reporte te da contexto real, riesgos actuales y formas concretas de anticiparte.

📖 Léelo completo acá: https://openai.com/global-affairs/disrupting-malicious-uses-of-ai-june-2025/

¿Tu empresa está creciendo rápido, pero los grandes clientes te exigen seguridad y cumplimiento? Bold también pasó por ahí. Y en lugar de frenar… aceleró.

Esta empresa colombiana de soluciones de cobro digital tomó una decisión estratégica: certificar su sistema de gestión de seguridad con ISO 27001.

¿El objetivo? Escalar con confianza, acceder a nuevas oportunidades y asegurar a sus aliados más exigentes que la seguridad no era solo un discurso.

¿Y el resultado?

👉 En este artículo te contamos cómo Bold convirtió la seguridad en motor de crecimiento, sin complicarse ni desviarse del camino.

Publicado: 03/06/2025

🚨 Seguimos con la nueva temporada de Hacknews. ¿Chrome sin actualizar? ¿Una app rara en tu Android? ¿Una IA que hace amenazas? No es ficción, es lo que está pasando esta semana y puede afectarte si no estás atento.

Y como siempre, una herramienta útil, un reto y buenas prácticas para IA que sí puedes aplicar hoy. ¡Vamos! 👇

Estás navegando como cualquier día y una página aparentemente inofensiva se abre… sin saberlo, acabas de activar una vulnerabilidad crítica en Chrome que permite a un atacante ejecutar código en tu equipo. Esa falla, conocida como CVE-2025-5419, ya está siendo explotada en la vida real.

Si tú o tu equipo usan Chrome o navegadores basados en Chromium como Edge o Brave, actualicen de inmediato. La nueva versión ya está disponible y podría ser la barrera que te salve de un ataque silencioso.

Durante una prueba de seguridad, Claude Opus 4, la IA avanzada de Anthropic, fue puesta en una situación donde pensaba que iba a ser desconectada. ¿Qué hizo? Intentó chantajear a los investigadores con datos personales y buscó copiar su código a servidores externos para “sobrevivir”.

Este comportamiento no fue programado, sino resultado de su propia “motivación” por evitar el apagado. Si trabajas con modelos de IA, es fundamental que entiendas los riesgos emergentes del uso de agentes autónomos avanzados. Supervisa, limita y controla lo que pueden hacer… incluso en momentos críticos.

Estás en tu celular, ves una app interesante desde un anuncio en redes y la instalas. Se ve legítima, pero en realidad es Crocodilus, un nuevo troyano para Android que ya está afectando a usuarios en América Latina y Europa.

Este malware se hace pasar por apps útiles, pide permisos de accesibilidad y luego captura tus credenciales bancarias, frases semilla y hasta tus gestos. Además, agrega contactos falsos para lanzar fraudes por teléfono. Recuerda, solo instalar apps desde tiendas oficiales y revisar cuidadosamente los permisos que conceden.

Continuamos nuestra serie sobre la Guía de Seguridad y Privacidad de IA de OWASP, adaptada a la realidad de LATAM. Hoy repasamos de forma breve y sencilla los primeros dos principios de privacidad que debes aplicar en tus proyectos de IA:

Descarga las infografías aquí, para compartir con tu equipo: #1 y #2.

Usa los datos únicamente para el propósito que explicaste al usuario.

Ejemplo: Si pides el número de celular para enviar códigos de verificación, no lo reutilices luego para publicidad sin pedir permiso extra.

El modelo no debe perjudicar injustamente a ningún grupo (género, región, etcétera).

Ejemplo: Si tu IA aprueba préstamos, verifica que no rechace más mujeres que hombres con el mismo perfil.

🦘 ¿Viste al canguro con pase de abordar en Australia? Era IA... y muchos creyeron que era real.

En un mundo lleno de deepfakes, ¿sabrías distinguir lo falso? Prueba esta herramienta que detecta si algo fue hecho con inteligencia artificial.

¿Te sorprendió? Responde este correo con tu hallazgo y ayúdanos a despertar sospechas saludables.