Publicado: 29/07/2025

¡El Hacknews llega oficialmente en Beehiiv! 🎉 Con los mejores hackeos, malware que piensa solo, plugins que se esconden para atacarte y apps “seguras” que exponen tu cara.

Spoiler: Y un reto que ayudará a tu equipo a ser IA First (hasta los NO técnicos).

Recibes un correo con un archivo ZIP que parece oficial. Lo abres… y activas sin saberlo LameHug, un malware que genera sus propios comandos en tiempo real usando inteligencia artificial.

Desarrollado en Python y vinculado al grupo ruso APT28, este malware usa la API de Hugging Face para conectarse con el modelo Qwen2.5-Coder-32B-Instruct. ¿El truco? No necesita cargas nuevas: el modelo decide cómo actuar según el contexto.

Apunta a sectores de seguridad y defensa en Ucrania, pero la técnica marca un precedente preocupante.

Si tu equipo gestiona sistemas críticos, toma esto en serio. Refuerza filtros, bloquea .pif y monitorea procesos dinámicos.

Tu sitio en WordPress sigue funcionando con normalidad… pero en el fondo, alguien ya tiene acceso total como administrador. Investigadores de Sucuri descubrieron una campaña que instala puertas traseras en el directorio mu-plugins, una zona que no se muestra en el panel de plugins y que se ejecuta automáticamente.

El malware carga código malicioso desde una URL oculta, crea un nuevo administrador (officialwp), cambia contraseñas de cuentas clave y se oculta en archivos como pricing-table-3.php. Incluso si lo borras, se reinstala.

Si gestionas un sitio en WordPress, revisa tus carpetas manualmente, valida tus usuarios con permisos elevados y activa autenticación de dos factores.

Usas una app para protegerte mientras citas en línea… y resulta que esa misma app expuso tu información. Eso pasó con Tea Dating Advice, una app para mujeres que ayuda a verificar antecedentes de hombres, fue vulnerada. El ataque expuso 72.000 imágenes, incluyendo fotos de usuarias con su ID, y 59.000 publicaciones y mensajes antiguos.

¿Lo grave? La app prometía eliminar esas imágenes y evitar capturas, pero ahora esos datos están en manos equivocadas. Si usas apps similares, revisa qué información compartes y cómo protegen tus datos. La seguridad también es parte de una cita segura.

La inteligencia artificial ya no es solo para equipos técnicos. Hoy, cualquier persona puede aprender a usarla para tomar mejores decisiones, automatizar tareas y trabajar con más foco.

Esta semana el reto es tomar este curso gratuito de Lab10: 👉 https://lab10.ai/talleres

Cuantas más personas entiendan la IA, más evoluciona tu empresa o tu área ¿Aceptas el reto?

¿La inteligencia artificial ya es parte de tus operaciones… pero, ¿estás gestionando sus riesgos?

La ISO 42001 del 2023 es la primera norma internacional que establece cómo implementar un Sistema de Gestión de Inteligencia Artificial (SGIA) y te ayuda a operar IA de forma segura, responsable y escalable.

En este webinar te contamos por qué esta norma va a marcar un antes y un después en cómo las empresas desarrollan y despliegan inteligencia artificial, y qué debes tener en cuenta si ya estás trabajando con modelos en producción.

Inscribirme: https://lu.ma/eot2jzx5

Publicado: 22/07/2025

🚨Este es un Hacknews especial... Desde la próxima semana, nos vemos en nuestra nueva plataforma: hacknews.hackmetrix.com 🎉

¡Nos vamos a Beehiiv! Una nueva casa para que leas y compartas Hacknews más fácil. Y no, no tienes que hacer nada 😉

Tu empresa usa SharePoint para compartir archivos y documentos internos. Todo parece normal… pero un atacante ya está accediendo a carpetas privadas sin levantar sospechas.

Un nuevo informe revela una campaña masiva en la que se comprometen cuentas de Microsoft 365, se automatizan búsquedas de archivos confidenciales en SharePoint y OneDrive, y se exfiltran datos sin tocar endpoints.

Este método no requiere malware. Solo acceso inicial y scripts bien diseñados. Si usas SharePoint en tu empresa, revisa accesos, monitorea actividad anormal y aplica políticas de seguridad más estrictas en documentos internos.

Sí… otra vez hay que actualizar Google. Y no es paranoia: es prevención. Google acaba de lanzar una actualización urgente para corregir CVE-2025-6670, una vulnerabilidad crítica que ya está siendo explotada activamente.

Navegas como siempre… hasta que una página web activa un exploit que toma el control de tu navegador. Afecta a usuarios de Windows, macOS y Linux. Si usas Chrome (o navegadores basados en Chromium como Edge o Brave), debes actualizar hoy mismo.

Ve a Configuración > Ayuda > Acerca de Google Chrome y asegúrate de estar en la última versión.

Estás trabajando, recibes un mensaje por Teams de un contacto que parece legítimo. Dice que revises un archivo… y cuando haces clic, descargaste malware. Investigadores han detectado una campaña activa en la que cibercriminales aprovechan cuentas comprometidas en Teams para distribuir archivos maliciosos directamente dentro de entornos corporativos.

La técnica elude filtros tradicionales, porque el archivo llega desde un entorno "de confianza". Si tu empresa usa Teams, educa a tu equipo: los mensajes internos también pueden ser peligrosos. Usa protección avanzada para archivos adjuntos y verifica remitentes antes de abrir cualquier documento.

La próxima semana nos mudamos a una nueva casa: 👉 hacknews.hackmetrix.com

¿Por qué el cambio? Porque queremos que leer (y compartir) Hacknews sea aún mejor para ti y tu equipo. ¿Qué mejoras trae Beehiiv?

Tranqui, no tienes que suscribirte de nuevo, nosotros hacemos la mudanza.

Solo asegúrate de seguir abriendo los correos 😎.

¡Nos vemos desde Beehiiv!

Publicado: 15/07/2025

🚨 Esta semana en Hacknews: Malware sin rastro, apps bancarias que roban y entrevistas con IA que excluyen. Comparte esto con tu equipo antes de que sea tarde.

Recibes un archivo VBE por correo,lo abres, no pasa nada… o eso crees. En realidad, acabas de activar Masslogger, un malware sin archivos que opera desde el registro del sistema y evade la mayoría de los antivirus tradicionales.

Este keylogger roba credenciales de correo, VPNs y navegadores. ¿La novedad? Usa scripts incrustados y carga su código malicioso directamente en memoria, sin dejar rastro en el disco. Revisa políticas de ejecución de scripts, bloquea archivos VBE y monitorea el comportamiento del sistema, no solo los archivos.

Descargas una app desde Google Play para escanear documentos o hacer transferencias… pero termina siendo un caballo de Troya. Anatsa, un troyano bancario para Android, volvió con fuerza y ya infectó a usuarios en EE.UU., Reino Unido, Alemania y más.

Este malware captura lo que escribes, controla tu pantalla y realiza transacciones desde tu cuenta bancaria sin que te des cuenta. Y sí, lo hace incluso con autenticación multifactor. Si manejas apps o cuentas bancarias desde tu móvil, instala solo desde fuentes oficiales, revisa los permisos que das y desinstala lo que no uses.

Te postulas a un trabajo en línea y una IA te hace una entrevista por chat. Parece práctico, pero según un reportaje de Wired, el sistema ParadoxAI —usado por empresas como McDonald’s— podría estar reproduciendo sesgos al filtrar candidatos automáticamente.

El problema no es solo tecnológico, es ético, sin supervisión humana, estas decisiones pueden excluir a personas por razones de edad, raza o contexto socioeconómico, sin transparencia ni apelación posible. Si tu empresa usa IA en procesos de selección, asegúrate de revisar los modelos, auditar sus resultados y mantener siempre una revisión humana.

Sesiones abiertas, puertas abiertas: el riesgo de no cerrar a tiempo

Cierras la pestaña, apagas el computador… pero tu sesión sigue activa. Un atacante que obtiene acceso físico o remoto podría tomar el control sin necesidad de credenciales.

Este riesgo, conocido como expiración insuficiente de sesión, ocurre cuando una aplicación no termina correctamente las sesiones tras cerrar sesión, pasar cierto tiempo o cambiar contraseñas. ¿El resultado? Accesos prolongados y no autorizados.

En Hackmetrix te ayudamos a detectar este tipo de fallos antes de que un atacante lo haga. 📖 Lee el artículo completo acá

Una imagen vale más que mil intentos: con solo 8 caracteres numéricos, un hacker puede romper tu contraseña en 6 minutos. ¿Usas algo así?

Este gráfico de Hive Systems muestra cuánto se tarda en descifrar contraseñas según su complejidad. ¿La lección? Las combinaciones simples son pan comido para los atacantes (incluso con bcrypt).

Publicado: 08/07/2025

🚨 Esta semana en Hacknews: Apps falsas desde Google, phishing con PDFs que suenan “reales” y extensiones maliciosas en tu editor de código. Spoiler: las marcas conocidas ya no son garantía.

Actualiza, educa a tu equipo y comparte este Hacknews antes de que alguien más haga clic donde no debe.

Buscas Luma o ChatGPT en Google, haces clic en el primer resultado… y descargas malware. Una campaña de envenenamiento SEO ya afectó a más de 8,500 personas, usando páginas falsas que distribuyen troyanos como Oyster/Broomstick.

El truco: posicionan sitios falsos que imitan descargas de apps populares como DeepSeek, Zoom, Teams o Google Drive. Si tu equipo descarga software desde buscadores, revisa el origen, Solo usa fuentes oficiales, monitorea las instalaciones y los inicios de sesión. En Hackmetrix puedes hacer este monitoreo en el módulo de activos y tener un mejor control.

Te llega un PDF con el logo de Microsoft, DocuSign o PayPal. Parece legítimo, pero trae un número de teléfono falso. Llamas, y un atacante se hace pasar por soporte para engañarte. Esta táctica, llamada TOAD, usa archivos PDF para iniciar el fraude.

Te convencen por teléfono de entregar datos o instalar malware, usan flujos reales: guiones, música de espera y números falsos, si es toda una empresa de ciberatacantes. Por eso, tu y tu equipo no pueden confiar solo en la marca, documentarse sobre los phishing modernos y realizar simulaciones personalizadas de phishing de forma periódica.

Instalas una extensión “verificada” en VS Code… y resulta ser maliciosa.

Investigadores descubrieron que atacantes pueden falsificar el ícono de verificación, engañando a los usuarios.

Copian los identificadores de extensiones legítimas para burlar el proceso. Una vez instalada, puede ejecutar comandos o robar datos. Si usas IDEs como VS Code o IntelliJ, revisa qué instalas, ve a las páginas oficiales, pues el ícono no siempre dice la verdad.

Radar nació con un objetivo claro: ser una fintech segura desde el día uno. Mientras otros postergan la seguridad, ellos apostaron por construir su SGSI desde cero y certificarse en ISO 27001 desde el arranque.

👉 ¡Así convirtió Radar la seguridad en su mejor carta de presentación!

📖 Lee la historia completa acá: https://blog.hackmetrix.com/iso-27001-desde-el-primer-dia-ventaja-competitiva-de-radar

¿Imagen real o hecha por IA?

¿Puedes distinguir una imagen auténtica de una generada por inteligencia artificial? Pon a prueba tu vista con este reto visual de Xataka:

👉Haz clic aquí y adivina las 20 imágenes

¿Cuántas acertaste? ¡Responde este Hacknews y cuéntanos!

Publicado: 01/07/2025

🚨 Esta semana en Hacknews, Chrome bajo ataque, malware en sitios falsos, phishing a bancos en Colombia y fallos silenciosos en transacciones web.

Sí, todo suena grave. Porque lo es. Actualiza, revisa tus flujos críticos… y pasa este Hacknews a tu equipo.

Navegas como siempre y sin darte cuenta, una página activa una falla crítica en Chrome. Se trata de CVE-2025-6554, una vulnerabilidad tipo type confusion en el motor V8 que permite a atacantes ejecutar código en tu sistema.

Google confirmó que ya está siendo explotada activamente. Por eso lanzó una actualización de emergencia para usuarios de Windows, macOS y Linux. Si usas Chrome (o navegadores basados en Chromium como Edge o Brave), actualiza hoy, ve a Configuración > Ayuda > Acerca de Google Chrome y asegúrate de tener la última versión.

Buscas WPS Office o DeepSeek, encuentras una web que parece oficial… y sin darte cuenta, instalas un rootkit y un troyano de acceso remoto. Así está operando Silver Fox, un grupo vinculado a China que clona sitios populares para distribuir malware de forma silenciosa.

Los archivos maliciosos usan técnicas como DLL sideloading y se ejecutan sin levantar sospechas. El objetivo: espionaje a usuarios de habla china y persistencia en los sistemas infectados. Si tu equipo descarga software de fuentes no verificadas, esta es una alerta urgente. Verifica siempre la URL, usa antivirus con análisis en tiempo real y limita instalaciones manuales.

Te llega un correo que parece de tu banco o entidad estatal. Das clic en el adjunto o en el enlace… y se ejecuta malware que toma el control de tu equipo. Así opera Blind Eagle (APT-C-36), un grupo que apunta directamente a empresas e instituciones colombianas.

Están usando el servicio ruso Proton66 para alojar páginas falsas y distribuir troyanos como AsyncRAT y Remcos. Las campañas están activas y apuntan al robo de credenciales, acceso remoto y espionaje financiero. Si operas en Colombia o manejas infraestructura bancaria, refuerza tus filtros de correo, bloquea dominios maliciosos y capacita a tu equipo frente a phishing.

Un atacante realiza múltiples solicitudes al mismo tiempo y logra duplicar una transacción, retirar fondos de más o acceder a beneficios que no le corresponden. Todo esto es posible por una condición de carrera: una falla lógica en la sincronización de procesos concurrentes.

En una prueba reciente, se demostró cómo, con solo 40 solicitudes simultáneas usando herramientas como Turbo Intruder, es posible explotar este tipo de vulnerabilidad en sistemas mal diseñados.

👉 En Hackmetrix te ayudamos a identificar este tipo de vulnerabilidades con ejercicios de ethical hacking.

📖 Lee el artículo completo acá: Condiciones de carrera: El riesgo oculto en transacciones Web

El 56% de las empresas chilenas que sufrieron un ataque de ransomware… pagaron el rescate. Sí, en serio.

Más de medio millón de dólares por no estar preparadas. Así que esta semana, el reto es simple (pero importante): ¿Tu empresa está lista para enfrentar un ataque de ransomware?

📋 Revísalo con tu equipo:

— ¿Tienen backups listos y probados?

— ¿Saben cómo responder si todo se cifra?

— ¿Tienen entrenamientos o simulacros reales?

👉 Si no sabes por dónde empezar, escríbenos. En Hackmetrix te ayudamos a simular, entrenar y cerrar brechas críticas. Responde este Hacknews y te ayudamos a evaluarlo.