gadgetsgenial.es

Categoría: Seguridad

Noticias relacionadas con la seguridad informática y la privacidad de la información

  • Hackean Axios en npm para distribuir malware

    Otro ataque más a la cadena de suministro, hackean Axios en npm para distribuir malware

    Otro ataque más a la cadena de suministro

    La popular librería de JavaScript Axios, utilizada por millones de desarrolladores para enviar solicitudes HTTP entre aplicaciones y servicios web, fue comprometida en uno de los ataques a la cadena de suministro más graves registrados en el ecosistema npm.

    Con cerca de 100 millones de descargas semanales, el incidente encendió alarmas en toda la industria del software.

    Cómo ocurrió el ataque

    El ataque no explotó una vulnerabilidad del código de Axios. En cambio, los atacantes lograron secuestrar la cuenta de la persona responsable por mantener el proyecto y cambiar su correo por una bandeja anónima de ProtonMail.

    Desde ahí, los intrusos evitaron los controles automáticos del pipeline de GitHub Actions y publicaron manualmente versiones maliciosas en el registro de npm usando la línea de comando (CLI).

    En tan solo 39 minutos, se publicaron dos versiones comprometidas:

    • axios@1.14.1 (00:21 UTC)
    • axios@0.30.4 (01:00 UTC)

    Cualquier desarrollador que instaló estas versiones descargó malware sin saberlo.

    El caballo de Troya: un paquete falso llamado plain-crypto-js

    El ataque fue planeado minuciosamente. Los atacantes publicaron primero un paquete falso llamado plain-crypto-js para crear historial y credibilidad.

    18 horas después, lo actualizaron con código malicioso y lo añadieron como dependencia dentro de la versión comprometida de Axios.

    Su función real era actuar como puerta de entrada para un Remote Access Trojan (RAT).

    Tras la instalación, un script automático descargaba una segunda carga maliciosa adaptada al sistema operativo:

    • macOS: disfrazado como daemon del sistema
    • Windows: ejecución vía PowerShell
    • Linux: puerta trasera en Python

    Después de infectar el sistema, el malware eliminaba sus rastros para dificultar el análisis forense.

    Un ataque altamente sofisticado

    La firma de seguridad StepSecurity analizó el incidente y lo calificó como uno de los ataques más sofisticados contra npm.

    Según Ashish Kurmi, CTO y cofundador de la empresa:

    “No fue oportunista. Se prepararon tres cargas para distintos sistemas, se atacaron dos ramas en menos de una hora y todo fue diseñado para autodestruirse”.

    Este tipo de campañas confirma una tendencia preocupante: los atacantes están enfocándose directamente en la cadena de suministro del software.

    Riesgo crítico para desarrolladores y empresas

    Aunque npm eliminó rápidamente las versiones maliciosas, el daño potencial es enorme:

    • Equipos de desarrollo infectados
    • Pipelines CI/CD comprometidos
    • Posible filtración de credenciales y tokens
    • Riesgo de infiltración en entornos de producción

    Los expertos advierten que si instalaste esas versiones de Axios, debes asumir que tu sistema está comprometido.

    Qué hacer si tu proyecto fue afectado

    Las recomendaciones de seguridad son:

    1) Revertir versiones

    • Volver a una versión segura de Axios
    • Verificar la eliminación de la dependencia maliciosa

    2) Auditar pipelines

    • Revisar logs de CI/CD y despliegues recientes

    3) Rotar credenciales

    • Cambiar contraseñas, API keys y tokens

    4) Reconstruir entornos

    • Reinstalar máquinas y pipelines desde cero si es necesario

    Debido a la enorme presencia de Axios en el ecosistema global, las consecuencias de este ataque pueden perdurar.

  • El ataque a LiteLLM podría crear el mayor cartel de ransomware de la historia

    El ataque a LiteLLM podría crear el mayor cartel de ransomware de la historia
    El ataque a LiteLLM podría crear el mayor cartel de ransomware de la historia

    Un ejemplo más de ataque a la cadena de suministro de software

    La comunidad tecnológica enfrenta una crisis que parece sacada de una novela cyberpunk. Durante el último mes, una ola de ataques a la cadena de suministro ha golpeado proyectos de código abierto en GitHub, NPM y PyPI. El golpe más fuerte lo recibió LiteLLM, una popular librería de Python usada como puerta de enlace para conectar apps con modelos de IA de OpenAI, Anthropic, Google y Mistral.

    El 24 de marzo de 2026, esa infraestructura fue convertida en un arma. Durante tres horas, cualquiera que descargó la librería instaló sin saberlo malware diseñado para robar credenciales.

    Las consecuencias del ataque apenas empiezan a percibirse.

    Una trampa preparada durante cinco días

    El ataque no fue improvisado. Fue una operación sofisticada atribuida al grupo TeamPCP, que comenzó el 19 de marzo al comprometer Trivy, una herramienta de seguridad ampliamente usada para escanear código en busca de vulnerabilidades.

    Los atacantes sustituyeron versiones legítimas por versiones maliciosas y repitieron la estrategia el 23 de marzo con Checkmarx KICS. También registraron dominios falsos para evadir detección, como models.litellm.cloud.

    El golpe final llegó el 24 de marzo a las 10:39 AM:

    • El pipeline automatizado de LiteLLM ejecutó la versión comprometida de Trivy
    • El malware robó las claves secretas para publicar paquetes en PyPI
    • En solo 13 minutos se publicaron dos versiones infectadas: 1.82.7 y 1.82.8

    Qué hacía el malware

    El código malicioso operaba en tres fases:

    1. Extracción silenciosa: robaba claves SSH, contraseñas, tokens de Kubernetes, credenciales cloud y frases de recuperación de criptomonedas.
    2. Exfiltración: cifraba los datos y los enviaba a servidores de los atacantes.
    3. Persistencia: instalaba una puerta trasera disfrazada como “System Telemetry Service”.

    El error que salvó al ecosistema

    El ataque se descubrió por accidente. El investigador Callum McMahon detectó que su computadora se apagó tras instalar la actualización.

    Cuando la comunidad alertó en GitHub, los atacantes intentaron encubrirlo:

    • Publicaron 88 comentarios automáticos para ocultar advertencias
    • Cerraron el ticket usando una cuenta comprometida

    Pero el aviso ya había llegado a Hacker News. A las 1:38 PM, PyPI eliminó las versiones infectadas.

    Aun así, el daño estaba hecho.

    Proyectos importantes como DSPy, MLflow, CrewAI y OpenHands tuvieron que lanzar actualizaciones urgentes y recomendar a usuarios formatear equipos y rotar credenciales.

    La polémica sobre certificaciones de seguridad

    El incidente destapó otra controversia. El sitio de LiteLLM afirmaba contar con certificaciones SOC 2 e ISO 27001 mediante la firma Delve.

    Sin embargo, Delve negó públicamente esa relación.

    La investigación continúa con la firma de ciberseguridad Mandiant, pero el caso deja una lección clara, las certificaciones no protegen contra vulnerabilidades en dependencias open source.

    Hasta 300 GB de datos robados

    Los atacantes aseguran haber obtenido 300 GB de información sensible de hasta 500,000 sistemas infectados.

    Al verse superados por la cantidad de datos, decidieron algo sin precedentes, externalizar la extorsión.

    El nacimiento de un nuevo cartel de ransomware

    TeamPCP anunció una alianza con:

    • El foro criminal Breached (más de 300 mil usuarios)
    • El operador de ransomware Vect

    Su plan consiste en distribuir herramientas de ransomware a cualquiera que quiera participar.

    Esto rompe el modelo tradicional donde los grupos controlaban cuidadosamente a sus afiliados.

    Ahora, cualquiera con conexión a internet podría lanzar ataques.

    Expertos comparan esta estrategia con una “movilización masiva”: miles de atacantes sin coordinación ni reglas.

    Un escenario peor para las víctimas

    Este modelo descentralizado crea un riesgo sin precedentes:

    • Múltiples atacantes podrían extorsionar a la misma empresa
    • No habría garantía de recuperación de datos tras pagar rescates
    • Desaparece el “honor entre ladrones” del cibercrimen tradicional

    Un punto de inflexión para la seguridad del software

    Lo que comenzó como una dependencia comprometida en una librería de IA podría convertirse en la mayor operación de cibercrimen de la historia.

    La comunidad tecnológica y de ciberseguridad ya se prepara para una nueva ola de ataques que promete ser más caótica, impredecible y peligrosa que nunca.

  • Apple refuerza la seguridad en macOS Tahoe 26.4

    Apple refuerza la seguridad en macOS Tahoe 26.4 agregando alertas en la app Terminal
    Apple refuerza la seguridad en macOS Tahoe 26.4 agregando alertas en la app Terminal

    Añade una alerta en la app Terminal para alertar sobre comandos maliciosos

    Apple ha lanzado macOS Tahoe 26.4 con varias mejoras internas, pero una nueva función agregada discretamente está llamando especialmente la atención. En la app Terminal agregaron una nueva advertencia de seguridad que busca proteger a los usuarios de comandos potencialmente peligrosos.

    Una respuesta al crecimiento del ecosistema Mac

    Con la llegada del MacBook Neo y la incorporación de nuevos usuarios al ecosistema, Apple está reforzando sus medidas de seguridad.

    La app Terminal es una herramienta potente, utilizada principalmente por desarrolladores y usuarios avanzados. Sin embargo, también puede convertirse en un riesgo cuando se usa sin conocimiento, ya que estafadores suelen engañar a usuarios para ejecutar comandos que pueden:

    • Borrar archivos permanentemente
    • Modificar permisos del sistema
    • Comprometer la seguridad del equipo

    Así funciona la nueva alerta de seguridad

    La actualización de macOS Tahoe 26.4 ahora detecta texto potencialmente peligroso pegado en Terminal desde apps externas como Safari.

    Cuando esto ocurre, el sistema bloquea el pegado inicial y muestra un mensaje como:

    Posible malware, pegado bloqueado
    Tu Mac no ha sido dañada.
    Los estafadores suelen pedirte pegar texto en Terminal para dañar tu equipo o comprometer tu privacidad.

    Esta función fue detectada por usuarios en plataformas como Reddit y X, incluyendo al conocido entusiasta de Mac Mr. Macintosh.

    Pensado también para usuarios avanzados

    Uno de los puntos clave es que Apple ha implementado esta protección sin afectar demasiado a desarrolladores:

    • Permite omitir la advertencia y pegar el comando manualmente
    • No aparece en todos los casos, evitando interrupciones constantes
    • Funciona como una barrera inicial, especialmente para usuarios nuevos

    Aunque aún no está claro qué criterios exactos activan la alerta, todo indica que se enfoca en comandos sospechosos provenientes de fuentes externas.

    Un pequeño cambio con gran impacto

    Esta nueva función, aunque discreta, representa una mejora importante en la seguridad de macOS Tahoe 26.4.

    Esta nueva funcionalidad viene a reforzar una recomendación muy importante: si no sabes exactamente qué hace un comando en Terminal, lo mejor es no ejecutarlo.

    En un contexto donde los fraudes digitales son cada vez más sofisticados, este tipo de medidas pueden marcar la diferencia entre un sistema seguro y uno comprometido.

  • EE.UU. prohíbe los routers fabricados en el extranjero

    EE.UU. prohíbe los routers fabricados en el extranjero
    EE.UU. prohíbe los routers fabricados en el extranjero

    Esto puede tener un impacto en incluso fuera de EEUU

    Una decisión sin precedentes está sacudiendo el mercado tecnológico. La Federal Communications Commission (FCC) ha prohibido la importación y certificación de nuevos routers domésticos fabricados fuera de Estados Unidos, debido a posibles riesgos de seguridad nacional.

    La medida podría frenar la llegada de nuevos dispositivos Wi-Fi y encarecer significativamente los equipos en los próximos años.

    ¿Los estadounidenses deben preocuparse por su actual router?

    Por ahora, no.

    • Los routers ya comprados seguirán funcionando normalmente
    • Los modelos ya aprobados por la FCC podrán seguir vendiéndose
    • Incluso recibirán actualizaciones de seguridad hasta marzo de 2027

    El problema está en el futuro: el flujo de nuevos dispositivos prácticamente se detiene.

    La razón: seguridad nacional

    La decisión forma parte de una estrategia más amplia impulsada por la Casa Blanca en 2025 para reducir la dependencia tecnológica del extranjero.

    Las autoridades citan ataques recientes como los realizados por los siguientes grupos de hackers:

    • Volt Typhoon
    • Flax Typhoon
    • Salt Typhoon

    Estos incidentes habrían afectado infraestructuras críticas como energía, telecomunicaciones y agua.

    Según los reguladores, los routers fabricados en el extranjero podrían funcionar como un “caballo de Troya” para espionaje o ataques coordinados.

    Un golpe a toda la industria

    Aunque la medida parece dirigida a fabricantes chinos, en realidad afecta a casi todo el mercado.

    Marcas populares como:

    • Google (Nest WiFi)
    • Amazon (Eero)
    • Netgear

    fabrican sus dispositivos en Asia (Taiwán, Vietnam, entre otros), por lo que también quedan bajo la prohibición.

    Para vender nuevos modelos en EE.UU., las empresas deberán obtener permisos especiales del Departamento de Defensa o Seguridad Nacional y demostrar planes para fabricar dentro del país.

    El caso TP-Link y la guerra empresarial

    Uno de los focos del conflicto es TP-Link, que domina más del 65% del mercado estadounidense tras la pandemia.

    Competidores como Netgear han cuestionado su seguridad, mientras que TP-Link ha rechazado las acusaciones, calificándolas como una campaña de desprestigio.

    Expertos en ciberseguridad señalan que no hay evidencia de que TP-Link introduzca vulnerabilidades deliberadamente y que sus dispositivos no son más inseguros que los de la competencia.

    La paradoja de la seguridad

    El debate clave es si fabricar en EE.UU. realmente mejora la seguridad.

    Muchos expertos coinciden en que el problema no es el país de origen, sino:

    • Fallos en el firmware
    • Falta de actualizaciones
    • Dispositivos obsoletos

    De hecho, en ataques como Volt Typhoon, los hackers explotaron routers de empresas estadounidenses como Cisco y Netgear que ya no recibían soporte.

    Qué esperar en los próximos meses

    El impacto será inmediato:

    • Menos modelos nuevos en el mercado
    • Retrasos en tecnologías como Wi-Fi 7
    • Posibles aumentos de precio

    A largo plazo, el cambio a una manufactura local implicará mayores costos que probablemente se trasladarán a los consumidores.

    ¿Cuál será el impacto en México?

    En México es poca la gente que compra su propio router, porque la inmensa mayoría de la gente usa el que le entrega su proveedor de internet. Esos routers suelen ser routers chinos de ínfima calidad que los ISP compran al mayoreo a empresas como Huawei.

    Sin embargo, las tiendas de Telmex y la tienda en línea de Totalplay suelen ofrecer algunas opciones adicionales, (que tampoco son grandiosas). Estos productos también suelen ser chinos y no está muy claro si son importadas desde su país de origen o si pasan por EEUU.

    Debido a la escasez de opciones, se ha creado un pequeño mercado gris de importaciones de routers a través de Mercado Libre, eBay y Amazon, que es por el que llegan la mayoría de los routers más sofisticados. Este es el mercado que se puede ver más afectado, ya que si estos productos se dejan de vender en EEUU, prácticamente dejaremos de poder obtenerlos en México.

    Por lo tanto, para la mayoría de los usuarios, no habrá cambios. Solo aquellos que busquen routers caseros de calidad se verán afectados, porque ahora serán muy difíciles de conseguir.

    Un mercado en pausa

    La decisión de la Comisión Federal de Comunicaciones marca un punto de inflexión en la industria de redes domésticas.

    Mientras las empresas reorganizan sus cadenas de suministro y enfrentan posibles demandas legales, los usuarios podrían enfrentar un mercado más limitado y caro.

    En el fondo, la pregunta sigue abierta: ¿esta medida realmente hará que los routers Wi-Fi se vuelvan más seguros o solo complicará el acceso a mejores dispositivos?

  • Google usa Gemini para revolucionar la ciberseguridad

    Google usa Gemini para revolucionar la ciberseguridad analizando datos de la Dark Web
    Google usa Gemini para revolucionar la ciberseguridad analizando datos de la Dark Web

    Iluminando lo que pasa en la Dark Web

    El mayor problema de los equipos de ciberseguridad no es la falta de datos, sino el exceso de ruido. Las herramientas tradicionales generan hasta un 90% de falsos positivos, dificultando detectar amenazas reales a tiempo.

    Para cambiar esto, Google ha integrado capacidades avanzadas de inteligencia de la dark web en Google Threat Intelligence, impulsadas por su IA Gemini.

    El objetivo Google es pasar del monitoreo basado en palabras clave a un análisis contextual profundo y automatizado.

    De millones de amenazas a inteligencia accionable

    Los agentes de Gemini analizan diariamente entre 8 y 10 millones de publicaciones en la dark web, con una precisión interna cercana al 98%.

    El sistema identifica:

    • Venta de accesos iniciales (initial access brokers)
    • Filtraciones de datos
    • Amenazas internas
    • Conversaciones relevantes de ciberdelincuentes

    Y reduce ese enorme volumen a alertas realmente críticas para cada organización.

    Cómo funciona: perfilado automático y análisis contextual

    Al activar el monitoreo, la plataforma crea automáticamente un perfil detallado de la organización usando inteligencia de fuentes abiertas:

    • Estructura empresarial
    • Tecnologías utilizadas
    • Marcas y activos
    • Ejecutivos clave

    Esto permite que la IA entienda el contexto específico de cada empresa y detecte amenazas dirigidas, incluso cuando no se menciona explícitamente su nombre.

    Además, el sistema incluye citas de las fuentes, mejorando la transparencia del análisis.

    Detectar amenazas invisibles para herramientas tradicionales

    Uno de los mayores avances está en identificar ataques ambiguos.

    Por ejemplo, en foros clandestinos, los atacantes suelen describir objetivos sin nombrarlos directamente:

    • “Empresa europea de retail con $15 mil millones en ingresos”
    • “Banco norteamericano con 50,000 empleados”

    Las herramientas tradicionales no detectan estos casos. Pero Gemini utiliza comparaciones vectoriales para cruzar esos datos con el perfil de la empresa y determinar si coincide.

    El resultado es sorprendente, alertas de alta prioridad antes de que el ataque se concrete.

    IA + humanos: la combinación clave

    El sistema no funciona de forma aislada. Está respaldado por expertos del Google Threat Intelligence Group, que monitorean más de 600 grupos de amenazas.

    Esta combinación permite:

    • Evaluar mejor la gravedad de ataques
    • Entender el contexto de los actores maliciosos
    • Reducir errores en la interpretación

    Nuevos agentes de IA para automatizar la respuesta

    Google también está llevando la automatización más allá del análisis.

    En Google Security Operations, parte de GCP, nuevos agentes de IA (en fase preview) pueden:

    • Investigar alertas automáticamente
    • Recopilar evidencia
    • Emitir conclusiones con explicaciones

    Además, el soporte para servidores MCP permite crear agentes personalizados sin necesidad de infraestructura propia compleja.

    Seguridad y privacidad bajo control

    Ante posibles preocupaciones, Google asegura que:

    • Se utilizan principalmente datos públicos
    • El usuario controla qué información comparte
    • El sistema mantiene transparencia en sus fuentes

    El futuro de la ciberseguridad ya está aquí

    Con Gemini, Google redefine cómo se analiza la dark web.

    La combinación de:

    • Escala masiva
    • Contexto organizacional
    • Automatización inteligente

    marca un cambio de paradigma. La IA ya no solo detecta amenazas, sino que permite anticiparlas.

    En un entorno donde los ataques evolucionan constantemente, esta ventaja puede ser decisiva para mantenerse un paso adelante de los ciberdelincuentes.

  • VoidStealer, el malware que roba datos de Chrome usando un truco invisible

    VoidStealer, el malware que roba datos de Chrome haciéndose pasar por un debugger
    VoidStealer, el malware que roba datos de Chrome haciéndose pasar por un debugger

    El truco, hacerse pasar por un debugger (depurador de código)

    Una nueva amenaza está elevando el nivel en la ciberseguridad. Se trata de VoidStealer, un sofisticado malware capaz de robar contraseñas, cookies y tokens directamente desde Google Chrome utilizando una técnica sigilosa que evita los métodos tradicionales de detección.

    A diferencia de otros ataques, este infostealer (ladrón de información) no inyecta código ni necesita escalar privilegios. En su lugar, se hace pasar por un depurador legítimo para extraer la clave maestra de cifrado directamente desde la memoria del navegador.

    Qué es VoidStealer y por qué es peligroso

    Detectado por investigadores de Gen Threat Labs (empresa matriz de Norton, Avast y Avira), VoidStealer opera bajo el modelo Malware-as-a-Service (MaaS), lo que facilita su distribución entre ciberdelincuentes.

    Su objetivo es acceder a información sensible almacenada en navegadores como Chrome o Edge (o cualquier otro navegador basado en Chromium) sin levantar sospechas.

    El objetivo de VoidStealer, romper la protección ABE de Chrome

    En 2024, Google introdujo Application-Bound Encryption (ABE) en Chrome 127 para proteger datos sensibles en Windows.

    Este sistema mantiene cifrada la clave maestra (v20_master_key) en el disco y solo permite descifrarla a través de un servicio que contara con privilegios elevados.

    Hasta ahora, esto obligaba a los atacantes a usar técnicas complejas como:

    • Inyección de código
    • Escalada de privilegios

    Pero VoidStealer logra evitar completamente estas barreras.

    El truco consiste en disfrazarse de «debugger»

    El avance clave llegó con la versión 2.0 del malware en marzo de 2026, basada en un proyecto open source llamado ElevationKatz.

    La técnica explota un momento crítico, cuando Chrome descifra temporalmente la clave en memoria al iniciar.

    Cómo funciona el ataque

    1. Inicio oculto: el malware lanza una instancia oculta de Chrome o Edge
    2. Modo depuración: se adjunta al proceso como si fuera un debugger legítimo
    3. Escaneo de memoria: busca el punto exacto donde se descifra la clave
    4. Breakpoints por hardware: configura interrupciones a nivel CPU (invisibles para antivirus)
    5. Extracción: captura la clave en texto, directamente desde memoria

    Con esta clave, el atacante puede descifrar instantáneamente todos los datos protegidos del navegador.

    Por qué VoidStealer es tan difícil de detectar

    El mayor problema de VoidStealer es que se trata de un ataque muy sigiloso. Evita señales clásicas de malware, lo que complica su detección.

    Sin embargo, hay indicadores clave:

    • Aplicaciones que se conectan como depuradores a navegadores
    • Lectura no autorizada de memoria de Chrome o Edge
    • Navegadores ejecutándose en segundo plano o fuera de pantalla

    Según Gen Threat Labs, estas anomalías pueden ser la mejor pista para identificar la amenaza.

    Un nuevo estándar en malware de robo de información

    VoidStealer marca un antes y un después en los ataques dirigidos a navegadores. Al demostrar que ABE puede ser vulnerado sin técnicas invasivas, abre la puerta a una nueva generación de malware más peligroso.

    Dado que su base técnica proviene de herramientas públicas, es muy probable que otros grupos adopten rápidamente este enfoque.

    Qué significa para los usuarios

    Este tipo de ataques confirma una tendencia clara: los ciberdelincuentes están apostando por técnicas cada vez más invisibles.

    Para mitigar riesgos:

    • Por el momento evita usar Chrome, hasta que salga una actualización
    • Mantén siempre tu navegador y sistema actualizados
    • Evita descargar software de fuentes desconocidas
    • Utiliza soluciones de seguridad avanzadas
    • Presta atención a comportamientos anómalos del sistema

    La batalla entre desarrolladores y atacantes continúa, pero amenazas como VoidStealer demuestran que el juego se está volviendo cada vez más sofisticado.

  • Agencias de inteligencia de EEUU compran datos privados de ciudadanos

    Agencias de inteligencia de EEUU compran datos privados de ciudadanos aprovechando un vacío legal
    Agencias de inteligencia de EEUU compran datos privados de ciudadanos aprovechando un vacío legal

    Se aprovechan de un vacío legal

    Las agencias de inteligencia de Estados Unidos vuelven a estar en el centro de la polémica tras revelarse que compran información privada de ciudadanos a empresas intermediarias de datos. Durante la reciente audiencia anual de amenazas globales del Senado, líderes del FBI y de la Agencia de Inteligencia de Defensa (DIA) confirmaron esta práctica, que expertos en privacidad consideran una forma de eludir la Constitución.

    El uso de datos comerciales bajo escrutinio

    El debate se centra en si estas compras incluyen datos altamente sensibles, como la ubicación de los ciudadanos. En 2023, el entonces director del FBI, Christopher Wray, declaró que la agencia había adquirido este tipo de información en el pasado para un proyecto piloto, pero aseguró que ya no lo hacía.

    Sin embargo, el actual director del FBI, Kash Patel, evitó comprometerse públicamente a no comprar datos de localización. Ante preguntas del senador Ron Wyden, Patel afirmó que el FBI adquiere “información disponible comercialmente” en cumplimiento de la ley, destacando su valor para generar inteligencia. El director de la DIA, James Adams, confirmó que su agencia también utiliza este tipo de datos.

    Wyden interpretó estas declaraciones como una confirmación implícita: según el senador, el FBI sigue comprando datos de ubicación de ciudadanos, aunque la agencia evita reconocerlo de forma directa.

    El “vacío legal” de los intermediarios de datos

    En el centro de la controversia está el llamado “data broker loophole” (vacío legal de los intermediarios de datos). En 2018, el Tribunal Supremo de EE. UU. amplió la protección de la Cuarta Enmienda para incluir los registros de ubicación recopilados por operadores móviles, lo que obliga al gobierno a obtener una orden judicial para acceder a ellos.

    No obstante, si esos mismos datos son recopilados y vendidos por empresas privadas, las agencias pueden comprarlos legalmente sin necesidad de autorización judicial. Este mecanismo permite, en la práctica, sortear las garantías constitucionales.

    Wyden calificó esta práctica como una “maniobra escandalosa” para eludir la Cuarta Enmienda, y advirtió que el uso de inteligencia artificial para analizar grandes volúmenes de datos personales agrava aún más los riesgos.

    Propuesta de reforma legislativa

    Como respuesta, Wyden y un grupo bipartidista han presentado la Government Surveillance Reform Act. Esta iniciativa busca cerrar definitivamente este vacío legal, obligando a las agencias federales a obtener una orden judicial antes de comprar datos a empresas privadas.

    Además, la propuesta incluye reformas a la controvertida Sección 702 de la ley FISA, que regula la vigilancia de inteligencia extranjera.

    Un problema estructural del mercado de datos

    Más allá del debate político, este caso pone de relieve un problema mayor: el enorme y poco regulado mercado de datos personales en EEUU. Dado que la compraventa de esta información es legal, las agencias gubernamentales actúan simplemente como clientes más dentro de un negocio altamente lucrativo.

    Hasta que Estados Unidos no implemente una legislación federal de privacidad más estricta, similar al Reglamento General de Protección de Datos (GDPR) europeo, este mercado seguirá siendo un área gris legal y una poderosa herramienta para la vigilancia interna.

    Este asunto debe servir de recordatorio para los países latinoamericanos de la importancia de legislar cuanto antes sobre este asunto para proteger la privacidad de los ciudadanos. Sin embargo, no nos debemos hacer muchas ilusiones. En México, la obligatoriedad de registrar su número de teléfono celular y la incapacidad de las empresas de proteger los datos de los usuarios hacen temer lo peor.

  • “DarkSword” roba datos de iPhones no actualizados, sin dejar rastro

    “DarkSword” roba datos de iPhones no actualizados, sin dejar rastro
    “DarkSword” roba datos de iPhones no actualizados, sin dejar rastro

    Por qué es necesario actualizar iOS ahora

    Si has estado posponiendo la actualización del sistema operativo de tu iPhone, una nueva y grave amenaza de ciberseguridad podría hacerte cambiar de opinión. Investigadores de seguridad del Grupo de Inteligencia de Amenazas de Google, junto con las firmas Lookout e iVerify, han descubierto una sofisticada campaña de hacking denominada “DarkSword”.

    Este exploit pone en riesgo a cerca de una cuarta parte de todos los iPhone activos, potencialmente hasta 270 millones de dispositivos, con solo visitar una página web maliciosa.

    DarkSword es un malware muy sofisticado

    Dirigido a dispositivos que ejecutan versiones de iOS 18 (específicamente entre iOS 18.4 y 18.7), DarkSword es un ataque altamente avanzado y “sin archivos” (fileless). A diferencia del spyware tradicional que permanece en el dispositivo y puede ser detectado, DarkSword “golpea y desaparece”. El ataque se inicia en el momento en que el usuario carga un iframe malicioso dentro de una página web en Safari.

    A partir de ahí, encadena seis vulnerabilidades distintas, afectando componentes clave como JavaScriptCore, el cargador del sistema dyld y la capa gráfica ANGLE, para escapar del sandbox del navegador de iOS. Una vez que obtiene control a nivel del kernel, los atacantes consiguen acceso casi total al dispositivo.

    Esto les permite extraer de forma encubierta todo tipo de datos:

    • Mensajes de texto
    • Contactos
    • Contraseñas
    • Archivos de iCloud
    • Fotos
    • Registros de llamadas
    • Historial de ubicación.

    Además, el exploit está diseñado específicamente para robar carteras de criptomonedas e incluso puede activar el micrófono y la cámara del dispositivo.

    Lo más preocupante es que, una vez recopilados los datos, el malware elimina cualquier rastro de su actividad, desapareciendo antes de que los sistemas de seguridad puedan detectarlo.

    Aunque encadenar tantas vulnerabilidades suele requerir recursos de nivel estatal, DarkSword no permaneció exclusivo de sus creadores por mucho tiempo. Su origen podría estar vinculado a otra herramienta llamada Coruna, presuntamente desarrollada para el gobierno de Estados Unidos. Sin embargo, el código fuente de DarkSword terminó filtrado públicamente, con comentarios en inglés, lo que permitió su rápida propagación.

    Desde entonces, distintos grupos de hackers lo han reutilizado y adaptado para sus propias campañas. Google rastreó actividad de DarkSword desde al menos noviembre de 2025.

    • En Arabia Saudita, los ataques se distribuían mediante enlaces falsos relacionados con Snapchat.
    • En Turquía y Malasia, se vinculó a campañas asociadas a PARS Defense.
    • En Ucrania, incluso se comprometieron sitios web legítimos, permitiendo infecciones sin que los usuarios hicieran nada sospechoso.

    A pesar de la sofisticación de este ataque, algunos de los métodos de distribución eran relativamente rudimentarios, lo que demuestra la rapidez con la que este tipo de herramientas puede propagarse antes de ser completamente comprendido por la comunidad de ciberseguridad.

    Afortunadamente, Apple ya ha tomado medidas contundentes para neutralizar la amenaza. Tras recibir el informe de Google a finales de 2025, la compañía corrigió progresivamente las vulnerabilidades. En febrero de 2026 culminó la tarea con el lanzamiento de iOS 26.3 . Además, Apple publicó recientemente una actualización de emergencia para dispositivos más antiguos que no pueden actualizarse a iOS 26.

    Aunque los dispositivos completamente actualizados ya no están expuestos a DarkSword, este caso subraya un problema recurrente. Las actualizaciones corrigen vulnerabilidades específicas, pero no eliminan el mercado global que continuamente busca nuevas formas de explotación.

    Cómo proteger tu iPhone

    Para mantener tu dispositivo y tus datos seguros frente a DarkSword y amenazas similares, los expertos recomiendan:

    • Actualiza de inmediato: Mantener el iPhone actualizado es la defensa más efectiva. Si tu dispositivo es compatible con iOS 26.3 o una versión posterior, instálala cuanto antes.
    • Evita enlaces desconocidos: No abras links sospechosos, especialmente los que llegan por SMS o correo electrónico y simulan servicios conocidos.
    • Navega en sitios confiables: Ten precaución con páginas desconocidas, ya que el exploit puede estar oculto en sitios aparentemente legítimos.
    • Reinicia el dispositivo regularmente: Esto puede interrumpir ciertos tipos de spyware que operan en memoria.
    • Restablece el dispositivo si sospechas un ataque: Si crees que tu iPhone ha sido comprometido, lo más seguro es borrar todo el contenido y restaurarlo desde una copia limpia.

  • Tragedia en el Metro de la CDMX: Explosión de un celular provocó caída mortal

    Explosión de un celular provocó caída mortal
    Explosión de un celular provocó caída mortal

    Una tragedia sacudió al Metro de la Ciudad de México la tarde del 11 de marzo, cuando un hombre de aproximadamente 40 años murió tras caer desde unos 30 metros de altura dentro de la estación Estación Camarones, en la alcaldía Azcapotzalco.

    Lo que inicialmente parecía un accidente ha tomado un giro inesperado. Las autoridades investigan si la explosión de su teléfono celular pudo haber provocado la caída.

    Qué ocurrió en la estación

    El incidente ocurrió en el lado oriente de la estación, en dirección a El Rosario.

    Según reportes preliminares y testimonios recabados en el lugar:

    • El hombre se encontraba en la parte superior de las escaleras
    • La batería de su teléfono presuntamente explotó
    • La detonación lo habría sorprendido o lesionado
    • Perdió el equilibrio y cayó al vacío hasta el andén

    Equipos de emergencia y elementos de la Secretaría de Seguridad Ciudadana de la Ciudad de México acudieron al lugar junto con paramédicos.

    En la zona fue encontrado un teléfono parcialmente quemado, lo que reforzó la hipótesis inicial. Sin embargo, cuando los servicios médicos llegaron, la víctima ya no presentaba signos vitales debido a la gravedad del impacto.

    La investigación está ahora en manos de la Fiscalía General de Justicia de la Ciudad de México, que abrió una carpeta para determinar la causa exacta del incidente.

    ¿Por qué puede explotar un celular?

    Aunque es poco frecuente, los expertos advierten que los teléfonos pueden incendiarse o explotar debido a fallas en las baterías de ion de litio.

    Estas baterías concentran gran cantidad de energía en un espacio muy pequeño, lo que puede provocar fallas térmicas si ocurre algún problema interno.

    Entre las causas más comunes se encuentran:

    • Sobrecalentamiento, por ejemplo al dejar el dispositivo al sol o dentro de un automóvil
    • Uso intensivo mientras se carga
    • Cargadores o cables de baja calidad
    • Daños físicos en la batería

    Cuando ocurre una falla térmica, la temperatura puede elevarse rápidamente y provocar:

    • Incendios
    • Explosiones de la carcasa
    • Proyección de fragmentos de vidrio, metal o plástico

    Estas situaciones pueden causar quemaduras graves o lesiones oculares, además de provocar reacciones de sobresalto que podrían generar accidentes.

    Investigación en curso

    Las autoridades continúan analizando evidencias para confirmar si la explosión del teléfono fue realmente el detonante del accidente en la estación Camarones o si se trató de otro tipo de incidente.

    Mientras tanto, el suceso ha reavivado el debate sobre la seguridad de las baterías de dispositivos móviles, que aunque raros, pueden tener consecuencias graves en determinadas circunstancias.

  • Cómo unos hackers usaron Cloudflare para ocultar su campaña de phishing

    Cómo unos hackers usaron Cloudflare para ocultar su campaña de phishing contra MS Office 365
    Cómo unos hackers usaron Cloudflare para ocultar su campaña de phishing contra MS Office 365

    El camuflaje perfecto

    Las plataformas de infraestructura web que ofrecen seguridad y distribución de contenido son esenciales para el internet moderno. Sin embargo, un nuevo informe revela un problema creciente: los ciberdelincuentes están aprovechando esas mismas herramientas defensivas para ocultar ataques sofisticados.

    Investigadores de DomainTools descubrieron una campaña avanzada de phishing dirigida a robar credenciales corporativas de Microsoft 365. Lo que hace especialmente peligrosa esta operación es que los atacantes se escondían detrás de la infraestructura de Cloudflare, permitiendo que los sitios maliciosos evadieran sistemas automáticos de detección.

    Primera capa: usar la verificación “No soy un robot”

    La campaña utilizaba como primera línea de defensa una herramienta legítima de Cloudflare llamada Cloudflare Turnstile.

    Turnstile es un sistema moderno que reemplaza a los tradicionales CAPTCHA y verifica si el visitante es humano o un bot.

    Los atacantes colocaron esta verificación al entrar al sitio fraudulento. Esto tenía un efecto importante:

    • Los escáneres automáticos de seguridad quedaban bloqueados
    • Para los sistemas de detección, el sitio parecía inofensivo
    • Los usuarios reales, en cambio, pasaban el filtro y llegaban a la página de phishing

    De esta manera, los sitios podían permanecer activos sin ser detectados durante más tiempo.

    Filtrado agresivo en tiempo real

    Mientras el visitante completaba la verificación, el sitio realizaba múltiples comprobaciones en segundo plano.

    Primero consultaba el servicio api.ipify.org para obtener la dirección IP del visitante. Después la comparaba con listas negras integradas en el propio código.

    Entre las IP bloqueadas estaban rangos pertenecientes a empresas de ciberseguridad y grandes proveedores cloud, como:

    • Palo Alto Networks
    • FireEye
    • Amazon Web Services
    • Google

    Además, el sitio inspeccionaba el User-Agent del navegador. Si detectaba rastreadores conocidos como Googlebot o Bingbot mostraba inmediatamente un falso error “404 Not Found”.

    Este sistema impedía que motores de búsqueda o herramientas de análisis detectaran el contenido malicioso.

    Código oculto mediante una máquina virtual personalizada

    Incluso si un investigador lograba superar los filtros anteriores, el código malicioso estaba diseñado para ser extremadamente difícil de analizar.

    La lógica que robaba las credenciales no estaba escrita como JavaScript convencional. En su lugar, los atacantes crearon una máquina virtual personalizada que ejecutaba instrucciones codificadas en tiempo real.

    Esto tenía varias ventajas para los criminales:

    • El código era difícil de leer o analizar estáticamente
    • La dirección del servidor de control (C2) solo aparecía durante la ejecución
    • Los sistemas de análisis automático no podían identificar el comportamiento malicioso

    Además, si el sistema detectaba que estaba siendo analizado, la página cambiaba su comportamiento y redirigía a un sitio legítimo como Google, ocultando completamente su actividad.

    Cuando un usuario legítimo pasaba todos los filtros, el sistema generaba una URL personalizada para capturar sus credenciales de Microsoft 365.

    El error que reveló toda la operación

    A pesar de la sofisticación técnica, los investigadores lograron desmantelar el esquema debido a un simple error operativo.

    Los atacantes reutilizaron la misma clave de sitio (sitekey) de Cloudflare Turnstile en toda su red de páginas de phishing.

    Al analizar esa clave única mediante herramientas de inteligencia de internet como Shodan, Censys o URLScan, los investigadores pudieron identificar todo el conjunto de dominios maliciosos asociados a la campaña.

    Esto permitió detectar nuevos dominios incluso antes de que fueran utilizados en ataques activos.

    Un desafío creciente para la seguridad en internet

    Este caso ilustra un problema cada vez más frecuente, a saber que los delincuentes utilizan infraestructuras legítimas para ocultar actividades maliciosas.

    Servicios como Cloudflare son fundamentales para proteger millones de sitios web, pero también pueden ofrecer una capa adicional de anonimato y de protección para actores maliciosos.

    El incidente plantea una cuestión clave para el futuro de la seguridad digital: hasta qué punto los proveedores de infraestructura deben asumir mayor responsabilidad en verificar a sus clientes y detectar abusos de sus plataformas.

    A medida que los ciberdelincuentes continúan adaptándose y utilizando herramientas legítimas como escudo, la industria de la ciberseguridad deberá evolucionar para evitar que las defensas del internet moderno se conviertan en armas para atacarlo.