Minery Report @MineryReport

Infiltración de APT chinos en redes de telefonía móvil: Espionaje profundo en la infraestructura troncal. LEER MÁS ☛☞ A finales de abril de 2026, un análisis de Hackers Arise expone intrusiones de APT vinculados a China dentro de operadores móviles y redes de telecomunicaciones globales. La campaña busca acceso persistente para operaciones SIGINT y control estratégico de infraestructuras críticas. ● Vectores y objetivos - Infraestructura troncal: foco en plataformas bare-metal, Kubernetes y funciones de red. - Explotación de CVEs: ataques contra Ivanti, Cisco, Fortinet, VMware, Palo Alto y Apache Struts. - Robo de telemetría: extracción de llamadas, metadatos y perfiles de suscriptores sensibles. ● Arsenal técnico - Implantes kernel y TinyShell: persistencia invisible. - HTTPS camuflado: activación mediante patrones ocultos en tráfico legítimo. - CrossC2: reconocimiento y movimiento lateral en redes del operador. - Puertos no estándar: evasión de monitorización tradicional. ● Actores implicados - Salt Typhoon: operaciones silenciosas en operadores occidentales. - Liminal Panda: espionaje en redes ligadas a la Ruta de la Seda. ⚠ Resumen Estratégico: En 2026, las telecomunicaciones son objetivo prioritario de la ciberguerra. Estas intrusiones buscan permanencia y espionaje silencioso, no destrucción inmediata. La defensa debe centrarse en threat hunting, auditoría de virtualización y endurecimiento de routers y plataformas de red. #ChineseAPT #TelecomSecurity #SaltTyphoon #SIGINT #Ciberseguridad2026 #InfoSec

keyboard_arrow_left Previous keyboard_arrow_right Next

Hitachi convertirá buques retirados en centros de datos para IA. LEER MÁS ☛☞ Hitachi ha anunciado un proyecto revolucionario para dar una segunda vida a grandes embarcaciones fuera de servicio. La multinacional japonesa planea transformar estos buques en centros de datos flotantes de alta densidad, diseñados para cubrir la enorme demanda de procesamiento de Inteligencia Artificial (IA). ● Innovación en Infraestructura y Refrigeración - Refrigeración por Agua de Mar: Al estar en el océano, estos centros aprovechan el agua para sistemas de refrigeración líquida eficientes, eliminando el gasto energético de aires acondicionados tradicionales. - Movilidad Estratégica: Los buques pueden ser remolcados a zonas costeras con alta demanda de datos o cercanas a energía renovable marina. - Reducción de Latencia: Al situarse cerca de núcleos urbanos costeros, permiten un procesamiento en el “borde” (Edge Computing) más rápido. ● Sostenibilidad y Economía Circular - Reutilización de Estructuras: En lugar de construir nuevos edificios, Hitachi aprovecha la estructura de los buques, reduciendo la huella de carbono. - Independencia de Suelo: Evita ocupar terrenos en ciudades densas y reduce conflictos por recursos hídricos. - Ciclo de Vida Extendido: Convierte el desguace en una oportunidad tecnológica alineada con la economía circular. ● Desafíos Técnicos y de Seguridad - Protección contra Corrosión: Uso de recubrimientos y sistemas de sellado para proteger el hardware del ambiente marino. - Seguridad Física y Digital: Sistemas de vigilancia autónoma y conexiones de fibra submarina protegidas. - Estabilidad: Sistemas de anclaje avanzados para evitar vibraciones que afecten a los servidores. ⚠ Resumen Estratégico para la Dirección: Hitachi impulsa la infraestructura líquida. La IA demanda energía y espacio; llevar centros de datos al mar aporta refrigeración, espacio y movilidad. Para empresas tecnológicas, abre oportunidades de escalado sostenible, aunque añade retos en entornos hostiles. #Hitachi #IA #DataCenters #Sostenibilidad #EconomíaCircular #CloudComputing #Innovación2026 #TechNews #Infraestructura #BlueEconomy

keyboard_arrow_left Previous keyboard_arrow_right Next

Cómo proteger las copias de seguridad contra el ransomware: Guía para usuarios domésticos. LEER MÁS ☛☞ Ante el aumento de ataques de ransomware que no solo cifran tus archivos personales, sino que buscan y destruyen específicamente tus copias de seguridad, Kaspersky España ha publicado una guía estratégica. El objetivo es garantizar que, en caso de desastre, el usuario siempre tenga un "salvavidas" inalcanzable para los ciberdelincuentes. ● La Regla de Oro 3-2-1 - 3 Copias: Mantener al menos tres copias de tus datos (el original y dos respaldos). - 2 Soportes Diferentes: Almacenar las copias en medios distintos (por ejemplo, un disco duro externo y la nube). - 1 Copia Offline: Es vital que al menos una de las copias esté físicamente desconectada de internet y del ordenador (almacenamiento en frío). ● Estrategias de Defensa para el Respaldo - Desconexión Física: El error más común es dejar el disco duro de copia conectado permanentemente por USB. Si el ransomware infecta el PC, cifrará también el disco externo. Hay que conectarlo, copiar y expulsar inmediatamente. - Inmutabilidad en la Nube: Utilizar servicios de almacenamiento que ofrezcan "versionado" o "snapshots". Esto permite volver a una versión anterior del archivo antes de que fuera cifrado por el malware. - Cuentas Separadas: Si usas un NAS (almacenamiento en red), la cuenta que realiza la copia de seguridad no debe ser la misma que usas para el día a día. Usa credenciales exclusivas y desactiva protocolos obsoletos como SMBv1. ● Medidas Complementarias de Seguridad - Cifrado de la Copia: Protege tus propios respaldos con contraseña. Si un atacante roba el disco físico o accede a tu nube, no podrá leer tus fotos o documentos privados. - Software de Protección Activa: Utilizar soluciones de seguridad que incluyan módulos específicos de "Protección de Archivos" que bloqueen procesos desconocidos que intenten modificar masivamente extensiones de archivos. - Pruebas de Restauración: Una copia de seguridad que no funciona es peor que no tener nada. Verifica periódicamente que los archivos del respaldo se pueden abrir correctamente. ⚠ Resumen Estratégico para el Usuario: el ransomware ya no es una amenaza que solo afecta a grandes empresas. Los atacantes saben que los usuarios domésticos guardan toda su vida digital (fotos, criptomonedas, documentos) sin protección profesional. La copia de seguridad es tu última línea de defensa, pero si está conectada al PC mientras te infectas, el atacante te quitará también esa opción. La desconexión física es la única medida 100% efectiva contra el cifrado remoto. #Ransomware #Ciberseguridad2026 #Backup #Kaspersky #InfoSec #ProteccionDeDatos #321Rule #SeguridadDomestica #CloudSecurity #DataRecovery

keyboard_arrow_left Previous keyboard_arrow_right Next

Robo de cookies de sesión: “Enseñaste tu identificación y te la robaron”. LEER MÁS ☛☞ El secuestro de sesiones mediante robo de cookies. A medida que el MFA se vuelve estándar, los atacantes dejan de adivinar contraseñas para robar el “pase de acceso” ya validado en el navegador. ● ¿Cómo funciona el robo de cookies (Session Hijacking)? - El concepto del “ID”: Al iniciar sesión, el servidor entrega una cookie de sesión. Mientras esté en el navegador, asume que eres tú sin pedir contraseña ni MFA. - Malware Infostealer: Método común: infectar el equipo con malware (como Lumma o RedLine) que extrae cookies activas del navegador. - Ataques AiTM: Páginas de login falsas actúan como puente, capturando la cookie en tiempo real tras validar credenciales y MFA. ● Por qué el MFA ya no es suficiente - Elusión del MFA: El robo ocurre tras completar el MFA. El atacante solo necesita la cookie válida. - Mercado de Cookies: En la Dark Web se venden logs con cookies activas para acceder a cuentas sin alertas. ● Medidas de protección y mitigación - Device Bound Cookies: Vincular cookies al hardware para impedir su reutilización en otros equipos. - Sesiones más cortas: Forzar expiración rápida o reautenticación en acciones críticas. - EDR/XDR: Detectar accesos no autorizados a perfiles de navegador. ⚠ Resumen Estratégico: El MFA por sí solo ya no basta. El robo de sesiones es el vector dominante. La prioridad es Zero Trust: evaluar acceso continuamente según contexto y comportamiento, no solo por una cookie potencialmente robada. #SessionHijacking #CookieTheft #Ciberseguridad2026 #InfoSec #MFA #ZeroTrust #Infostealer #CyberCrime #IdentityTheft #TheHackerNews

keyboard_arrow_left Previous keyboard_arrow_right Next

Ha finalizado el ejercicio de ciberdefensa #LockedShields organizado por la OTAN. 🛡️ Desde Minery Report hemos tenido el placer de participar y aportar nuestra experiencia junto al Mando Conjunto del Ciberespacio (MCCE). ¡Un orgullo sumar en la defensa internacional! 👇 #Ciberseguridad #OTAN #MCCE #MineryReport #Ciberdefensa

La semana pasada asistimos a los V Premios CEO de @larazon_es. Es un orgullo que nuestro compañero Miguel Ángel (@r_delosllanos ) recibiera el galardón al 'CEO del año en Ciberseguridad'. Un reconocimiento que, como él mismo destacó, es mérito de toda la plantilla. 🏆

Hoy recojo un reconocimiento a CEO del año por parte de La Razón, es un reconocimiento que recojo yo, pero no es mío, es de todos mis compañeros de @MineryReport sois grandes!

Detección de dispositivos Bluetooth maliciosos. LEER MÁS ☛☞ En un entorno donde herramientas de bajo coste (ESP32, Flipper Zero) permiten ataques físicos discretos, su identificación es clave para equipos DFIR. ● Vectores de ataque - Ataques HID: periféricos falsos inyectan comandos. - Relay/MitM: interceptación de comunicaciones. - Rogue devices: balizas o sniffers para rastreo, DoS o monitorización. ● Herramientas clave - Kismet: detección y captura de dispositivos. - Ubertooth One: análisis de tráfico BLE. - hcitool / btmon: monitorización en Linux. - Wireshark: análisis profundo de protocolos. ● Metodología forense - Identificación: MAC y RSSI para localizar dispositivos. - Comportamiento: escaneos o emparejamientos anómalos. - Correlación: cruzar señales con accesos físicos. ⚠ Resumen Estratégico: El perímetro incluye el entorno físico. Dispositivos Bluetooth maliciosos no necesitan red para comprometer sistemas. Es clave limitar su uso, escanear RF y formar al personal. #BluetoothSecurity #InfoSec #Ciberseguridad #DFIR

keyboard_arrow_left Previous keyboard_arrow_right Next

🚨 RESUMEN CIBERSEMANA – Escalada en IA, supply-chain y exposición masiva de datos Semana marcada por ataques a plataformas críticas, compromiso de herramientas de desarrollo, explotación de IA y creciente impacto físico. ● Ciberincidentes Brechas relevantes en servicios clave: Vercel sufrió acceso no autorizado, Udemy filtró 1,4M de registros y ANTS expuso 19M identidades. Rituals comprometió datos de clientes. El supply-chain sigue crítico: Bitwarden CLI en npm y Docker de Checkmarx fueron manipulados. También se investiga acceso a sistemas de IA como Mythos. El impacto físico escala: Francia reporta secuestros ligados a criptomonedas y Bitcoin Depot sufrió un robo masivo (50.903 BTC). ● Ciberguerra y operaciones estatales Aumenta la ofensiva en ciberespacio. DeepSeek V4 busca independencia tecnológica y OpenAI invierte en infraestructura. La IA entra en defensa: tensiones por uso militar de modelos como Mythos y protagonismo creciente de infraestructura crítica (cables submarinos). China avanza en descubrimiento de vulnerabilidades con IA, intensificando la carrera cibernética. ● Malware y Ransomware Mayor evasión y automatización: uso extendido de BYOVD y plataformas legítimas como C2. Campañas automatizadas (npm) y ataques dirigidos (Lazarus en macOS). Ingeniería social más sofisticada y nuevas botnets/backdoors refuerzan la amenaza. ● Vulnerabilidades críticas Aumento de fallos graves: IA detecta múltiples zero-days. Exposición en sistemas clave: Ollama, PackageKit, ASUSTOR, Atlassian, CrowdStrike, Qualcomm y Fortinet. Los agentes de IA introducen nuevos riesgos como la inyección de prompts. ⚠ Tendencias clave - IA como vector y objetivo. - Supply-chain sigue siendo crítica. - Credenciales dominan el acceso inicial. - Mayor impacto físico del cibercrimen. - Cloud y desarrollo como nuevo perímetro.

Fin al acoso comercial: El prefijo 400 será obligatorio a partir de octubre. LEER MÁS ☛☞ La Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales ha confirmado una medida largamente esperada para combatir el spam telefónico: a partir de octubre, todas las llamadas de naturaleza comercial deberán identificarse obligatoriamente con el prefijo 400. Esta resolución no solo facilita la identificación del emisor, sino que cambia la infraestructura técnica de las comunicaciones comerciales en España para reforzar la seguridad del usuario. ● Claves de la nueva normativa - Identificación Inmediata: El prefijo 400 permitirá distinguir visualmente una llamada comercial en la pantalla de tu móvil, dándote la potestad de decidir si contestar o ignorar la llamada antes de descolgar. - Bloqueo Automático: Los operadores de telecomunicaciones tienen la instrucción de bloquear cualquier llamada comercial que no utilice esta numeración asignada. Si no cumple, la llamada simplemente no llegará a tu dispositivo. - Unidireccionalidad: Estos números serán unidireccionales. Esto es un avance clave contra el fraude, ya que elimina el riesgo de los ataques asociados a la "devolución de llamada" (donde se intentaba que el usuario llamara a un número premium tras una llamada perdida). ● Regulación de la Atención al Cliente La medida incluye una segunda resolución que pone orden en los rangos de numeración para servicios de postventa y soporte: - Números Cortos: Específicamente atribuidos para esta función. - Rangos Gratuitos: Numeraciones 800 y 900. - Números Geográficos: Permitidos como alternativa estándar. ● ¿Qué hacer ante incumplimientos? Si recibes llamadas comerciales que no cumplen con este nuevo formato a partir de octubre, el sistema de protección sigue vigente: - Oficina de Atención al Usuario de Telecomunicaciones: Para presentar reclamaciones. - Denuncia ante la CNMC (Comisión Nacional de los Mercados y la Competencia): Para reportar irregularidades persistentes. ⚠ Resumen Estratégico para el Ciudadano: Esta normativa es el pilar central del nuevo Plan contra las estafas telefónicas y SMS, un frente donde ya se han neutralizado más de 192 millones de llamadas y 17 millones de SMS fraudulentos. Para el usuario, octubre marca el fin de la "incertidumbre" al recibir una llamada desconocida. La recomendación es clara: si el número no empieza por 400 y es comercial, es una llamada ilícita y, como tal, el sistema debe bloquearla. #Teleco #SpamTelefonico #Prefijo400 #Consumo #SeguridadDigital #CNMC #DerechosDelConsumidor #España2026 #InfoSec

keyboard_arrow_left Previous keyboard_arrow_right Next

Inteligencia de Señales (SIGINT): Cómo el régimen iraní detecta y rastrea usuarios de Starlink. LEER MÁS ☛☞ Este 22 de abril de 2026, el sitio Hackers Arise ha publicado un análisis sobre cómo el régimen iraní puede identificar y geolocalizar usuarios de Starlink mediante SIGINT, pese al cifrado de las comunicaciones. ● La “firma” electrónica - Terminales activos: emiten señales RF constantes hacia satélites LEO. - Frecuencias identificables: operan en banda Ku, detectables por monitoreo de espectro. - Haz direccional: genera una firma electromagnética rastreable. ● Metodología de rastreo - Triangulación: sensores permiten ubicar el terminal con alta precisión. - Unidades móviles: detectan emisiones y localizan edificio o habitación. - Análisis de patrón: distingue dispositivos fijos para priorizar acciones. ● Falsa sensación de seguridad Cifrado ≠ ocultación: protege datos, no la ubicación. - Riesgo físico: el terminal actúa como “faro” en entornos hostiles. ⚠ Resumen Estratégico: En 2026, la seguridad no es solo digital. En contextos de alta amenaza, la OPSEC es clave: cualquier tecnología RF puede ser geolocalizada. Comprender las emisiones es tan crítico como el cifrado. #SIGINT #Starlink #Iran #Ciberseguridad2026 #InfoSec

Análisis Forense Digital: Detección de dispositivos Bluetooth maliciosos. LEER MÁS ☛☞ Este 22 de abril de 2026, el portal Hackers Arise ha publicado una guía sobre detección forense de dispositivos Bluetooth maliciosos. En un entorno donde herramientas de bajo coste (ESP32, Flipper Zero) permiten ataques físicos discretos, su identificación es clave para equipos DFIR. ● Vectores de ataque - Ataques HID: periféricos falsos inyectan comandos. - Relay/MitM: interceptación de comunicaciones. - Rogue devices: balizas o sniffers para rastreo, DoS o monitorización. ● Herramientas clave - Kismet: detección y captura de dispositivos. - Ubertooth One: análisis de tráfico BLE. - hcitool / btmon: monitorización en Linux. - Wireshark: análisis profundo de protocolos. ● Metodología forense - Identificación: MAC y RSSI para localizar dispositivos. - Comportamiento: escaneos o emparejamientos anómalos. - Correlación: cruzar señales con accesos físicos. ⚠ Resumen Estratégico: En 2026, el perímetro incluye el entorno físico. Dispositivos Bluetooth maliciosos no necesitan red para comprometer sistemas. Es clave limitar su uso, escanear RF y formar al personal. #BluetoothSecurity #DigitalForensics #InfoSec #Ciberseguridad2026 #DFIR

[1/2] 🚨 CIBER-RESUMEN SEMANA 13–19/04/26 – Fugas masivas, IA ofensiva y credenciales como arma. Semana marcada por filtraciones a gran escala, abuso de la cadena de suministro, espionaje impulsado por IA y el dominio absoluto de credenciales como vector de ataque. 🧨 Ciberincidentes ⚠️ Inditex alerta: Zara sufre ataque que afecta a bases de datos internas. ⚠️ OpenAI impactada por supply-chain de Axios (Corea del Norte) → revoca certificado macOS. ⚠️ Brecha en Basic-Fit expone datos bancarios de 200K clientes. ⚠️ Booking.com advierte posible uso indebido de datos de reservas. ⚠️ Desmantelado W3LLSTORE, gran mercado de phishing (FBI + Indonesia). ⚠️ Rockstar Games presuntamente vulnerado por ShinyHunters. ⚠️ Venta de datos de Helvetia / Caser Seguros con PII e IBAN. ⚠️ Filtración masiva en Interrail (cientos de miles de usuarios). ⚠️ Venta de 18M identidades verificadas (ANTS Francia). ⚠️ Filtración de correos de un Ayuntamiento español (>150K emails). ⚠️ Brecha en PicTools AI (31K registros). ⚠️ Compromiso de la Asociación de Empresas Eólicas (AEE). ⚠️ Filtración de +500K usuarios de Zadig & Voltaire. ⚠️ Kraken: empleados filtran datos de clientes → extorsión activa. ⚠️ Fuga interna en la Agencia de Protección de Datos (España) (error administrativo). ⚠️ Grinex pierde $13M tras ataque. ⚠️ HBX Group (España) afectada por ransomware Qilin. ⚠️ App de verificación de edad de la UE hackeable en <2 minutos. ⚠️ Venta de bases de datos de dominios .gob.es en Telegram. 🌍 Ciberguerra y operaciones estatales ⚠️ Francia prohíbe Windows para reducir dependencia tecnológica. ⚠️ APT28 explota routers SOHO para secuestro DNS. ⚠️ Suecia denuncia intento ruso de sabotaje contra planta térmica. ⚠️ EE.UU. crea el Destacamento 201 con talento de Silicon Valley. ⚠️ Anthropic advierte que Claude Mythos es “demasiado peligroso” para liberar. ⚠️ Mythos logra 73% de éxito en ataques autónomos (primer ataque corporativo completo). ⚠️ Programa GPT-5.4-Cyber (TAC) se amplía a defensores. ⚠️ Amazon Web Services apunta a competir con NVIDIA. ⚠️ LinkedIn acusado de compartir datos con empresas de seguridad israelíes. ⚠️ El Centro Nacional de Inteligencia certifica masivamente productos Huawei. ⚠️ Red norcoreana infiltra 100+ empresas Fortune 500 mediante falsos empleados IT. ⚠️ China acelera el desarrollo de chips 2 nm para IA.

[2/2] 🚨 CIBER-RESUMEN SEMANA 13–19/04/26 – Fugas masivas, IA ofensiva y credenciales como arma. Semana marcada por filtraciones a gran escala, abuso de la cadena de suministro, espionaje impulsado por IA y el dominio absoluto de credenciales como vector de ataque. 🦠 Malware y Ransomware ⚠️ Storm Stealer: robo de credenciales por suscripción (<1000$/mes). ⚠️ Suplantación del líder de la Linux Foundation en Slack para atacar devs. ⚠️ TailVNC combina Tailscale + VNC para acceso sigiloso. ⚠️ Código filtrado de Claude se usa para distribuir Vidar, PureLogs y GhostSocks. ⚠️ CastleRAT (MuddyWater) ataca sistemas SCADA/HMI. ⚠️ Malware Android Mirax infecta 220K cuentas vía anuncios. ⚠️ ViperTunnel (DragonForce) → backdoor en empresas. ⚠️ Campaña con señuelos de Adobe Reader instala ScreenConnect en memoria. ⚠️ Compra masiva de plugins WordPress → backdoor global. ⚠️ PHANTOMPULSE usa blockchain como C2 (empresas crypto). ⚠️ Abuso de QEMU para evadir detección en ransomware. ⚠️ ZionSiphon apunta a plantas de agua (OT). ⚠️ SpankRAT evade detección usando procesos de Explorer. 🛑 Vulnerabilidades críticas ⚠️ Explotan fallos en GitHub Copilot para extraer datos. ⚠️ Vulnerabilidad en Active Directory permite ejecución remota. ⚠️ Cisco ISE (CVSS 9.9): escalada total desde usuario de solo lectura. ⚠️ Fallos en VPN SSL de Synology → acceso a archivos. ⚠️ RedSun (0day Defender) convierte el AV en malware. ⚠️ nginx-ui (CVE-2026-33032) → takeover completo con 2 requests. ⚠️ Vulnerabilidad en BitLocker permite bypass de protección. ⚠️ Cockpit (CVE-2026-4631) → RCE sin autenticación. ⚠️ Fallos críticos en PHP Composer + Perforce. ⚠️ Vulnerabilidad en wolfSSL debilita firmas ECDSA. ⚠️ 9 fallos en KVM IP → root sin autenticación. ⚠️ Cisco Webex requiere intervención manual por fallo crítico. ⚠️ Posible 0day en ASUS AiCloud (RCE pre-auth).

MedicalNetworks CJ GmbH víctima del ransomware DragonForce. LEER MÁS ☛☞ Este 17 de abril de 2026, el grupo de ciberdelincuentes DragonForce ha incluido a la empresa alemana MedicalNetworks CJ GmbH en su portal de filtraciones de la Dark Web. La compañía, especializada en la gestión de redes de servicios médicos y soluciones digitales para el sector salud, se enfrenta ahora a una posible exposición masiva de datos clínicos y personales. ● Detalles del ataque y extorsión - Grupo Atacante: DragonForce es conocido por su agresividad y el uso de tácticas de "doble extorsión" (cifrado de archivos y robo de datos simultáneo). - Ultimátum: Los atacantes han publicado una entrada en su blog de la Dark Web, lo que suele indicar que las negociaciones de rescate han fallado o que la empresa se ha negado a pagar. - Evidencia del Robo: Como es habitual en este grupo, se han compartido muestras de documentos internos para demostrar la veracidad de la intrusión y presionar a la dirección de la compañía. ● Información potencialmente comprometida - Datos de Pacientes: Dada la naturaleza de MedicalNetworks, existe un riesgo crítico de que se hayan filtrado registros médicos electrónicos, historiales clínicos y datos de facturación de pacientes. - Información Corporativa: El grupo afirma tener acceso a contratos, acuerdos con aseguradoras, datos financieros de la empresa y correos electrónicos internos. - Datos de Empleados: También podrían verse afectados los expedientes del personal sanitario y administrativo que trabaja en la red gestionada por la firma alemana. ● Impacto en el sector salud alemán - Riesgo de Continuidad: Los ataques de DragonForce suelen provocar la paralización de sistemas críticos, lo que en el sector médico puede derivar en retrasos en citas, diagnósticos o acceso a recetas electrónicas. - Sanciones Legales: Bajo el GDPR (RGPD) y las leyes alemanas de protección de datos, MedicalNetworks se enfrenta a posibles multas millonarias si se demuestra que no implementó las medidas de seguridad adecuadas. - Reputación: Para una empresa que actúa como intermediaria en la salud de miles de personas, una brecha de este tipo supone un golpe devastador a la confianza de sus socios y pacientes. ⚠ Resumen Estratégico para la Dirección: En abril de 2026, el sector salud sigue siendo el objetivo predilecto del ransomware debido al valor de sus datos en el mercado negro y a la urgencia por recuperar el servicio. El ataque a MedicalNetworks subraya que no basta con proteger los hospitales; los proveedores de redes y servicios digitales son el eslabón más débil de la cadena. La prioridad absoluta debe ser la resiliencia del backup y la segmentación de redes para evitar que un ataque a la red administrativa acabe comprometiendo la base de datos de los pacientes. #DragonForce #MedicalNetworks #Ransomware #Ciberseguridad2026 #InfoSec #HealthTech #GDPR #DataBreach #DarkWeb #CyberAttack

Payload publica brechas de datos masivas: TFE, Oriental Sunlight, Marino y Franziskusschule afectados. LEER MÁS ☛☞ Este 17 de abril de 2026, el grupo Payload ha actualizado su portal en la Dark Web, anunciando el compromiso de cuatro organizaciones. La publicación indica fase de extorsión o exposición tras negarse a pagar. ● Organizaciones afectadas - TFE: datos logísticos, clientes y rutas, afectando la cadena de suministro. - Oriental Sunlight: planos técnicos, contratos y posibles datos de propiedad intelectual. - Marino: información personal de clientes, ventas y datos financieros. - Franziskusschule: datos de estudiantes, padres y empleados, el caso más sensible. ● Modus Operandi - Doble extorsión: cifrado + robo de datos. - Filtración selectiva: publicación de muestras para presionar. - Alcance global: ataques en Europa y Asia. ● Riesgos y Recomendaciones - Usuarios: alto riesgo de phishing y suplantación. - Empresas: obligación de notificar (GDPR en Alemania). - Terceros: revisar accesos y credenciales compartidas. ⚠ Resumen Estratégico: En 2026, educación y logística son objetivos prioritarios. El caso evidencia la necesidad de cifrado y monitorización de exfiltración (DLP) para mitigar el impacto. #Payload #DataBreach #DarkWeb #Ciberseguridad2026 #InfoSec

UAC-0247 expande su campaña de ciberespionaje en Ucrania: De clínicas a entidades gubernamentales. LEER MÁS ☛☞ Este 16 de abril de 2026, el CERT-UA ha revelado una campaña de ciberataques llevada a cabo por UAC-0247. La operación, intensificada entre marzo y abril, ha atacado tanto entidades gubernamentales como centros de salud para robar datos sensibles. ● Estrategia de Infección - Phishing Humanitario: correos que suplantan ayuda usando webs falsas o vulnerables. - Cadena de ejecución: descarga de archivos .LNK que activan HTA mientras se muestra un señuelo. - Inyección: el malware se oculta en procesos como RuntimeBroker.exe con cargas cifradas. ● Arsenal de Malware - AGINGFLY: control remoto total con ejecución dinámica difícil de detectar. - CHROMELEVATOR / ZAPIXDESK: robo de credenciales (navegadores y WhatsApp). - RAVENSHELL / SILENTLOOP: shells inversas con soporte vía Telegram. ● Objetivos y Movimiento - Personal de defensa: malware distribuido mediante herramienta falsa “BACHU”. - Reconocimiento: uso de RUSTSCAN y túneles con LIGOLO-NG y CHISEL. Criptominería: despliegue de XMRIG camuflado. ⚠ Resumen Estratégico: En 2026, salud y gobierno son objetivos equivalentes. El malware dinámico complica la detección. CERT-UA recomienda limitar LNK/HTA/JS y restringir herramientas como PowerShell o mshta. #UAC0247 #Ucrania #Ciberespionaje #Malware #CERTUA #Ciberseguridad2026 #InfoSec

“Hidden Passenger”: Cómo Taboola redirige sesiones bancarias autenticadas hacia Temu. LEER MÁS ☛☞ Este 16 de abril de 2026, una investigación publicada en The Hacker News revela una vulnerabilidad crítica de privacidad llamada “Hidden Passenger”. Un píxel de Taboola redirigió sesiones bancarias hacia Temu, eludiendo controles de seguridad. ● Mecánica del ataque - CSP engañado: el dominio de Taboola estaba en lista blanca. - Redirección 302: el navegador sigue automáticamente hacia Temu. - Cookies incluidas: con credenciales activas, permitiendo vincular sesión bancaria. ● Fallos de defensa - WAF: no detecta redirecciones del navegador. - Análisis estático: no prevé destinos dinámicos. - Confianza transitiva: el navegador hereda confianza tras el primer salto. ● Impacto legal - GDPR: falta de transparencia y posible transferencia ilegal de datos. - PCI DSS: exposición fuera de controles estándar. ⚠ Resumen Estratégico: En 2026, confiar en CSP no basta. Los píxeles de terceros pueden filtrar contexto de usuarios autenticados sin alertas. Es clave auditar comportamiento en runtime y tratar estas integraciones como críticas. #HiddenPassenger #Taboola #Temu #Privacidad #Ciberseguridad2026 #InfoSec

Robo de cookies de sesión: “Enseñaste tu identificación y te la robaron”. LEER MÁS ☛☞ Este 14 de abril de 2026, un análisis técnico de expertos publicado en The Hacker News profundiza en una de las amenazas más persistentes: el secuestro de sesiones mediante robo de cookies. A medida que el MFA se vuelve estándar, los atacantes dejan de adivinar contraseñas para robar el “pase de acceso” ya validado en el navegador. ● ¿Cómo funciona el robo de cookies (Session Hijacking)? - El concepto del “ID”: Al iniciar sesión, el servidor entrega una cookie de sesión. Mientras esté en el navegador, asume que eres tú sin pedir contraseña ni MFA. - Malware Infostealer: Método común: infectar el equipo con malware (como Lumma o RedLine) que extrae cookies activas del navegador. - Ataques AiTM: Páginas de login falsas actúan como puente, capturando la cookie en tiempo real tras validar credenciales y MFA. ● Por qué el MFA ya no es suficiente - Elusión del MFA: El robo ocurre tras completar el MFA. El atacante solo necesita la cookie válida. - Mercado de Cookies: En la Dark Web se venden logs con cookies activas para acceder a cuentas sin alertas. ● Medidas de protección y mitigación - Device Bound Cookies: Vincular cookies al hardware para impedir su reutilización en otros equipos. - Sesiones más cortas: Forzar expiración rápida o reautenticación en acciones críticas. - EDR/XDR: Detectar accesos no autorizados a perfiles de navegador. ⚠ Resumen Estratégico: En abril de 2026, el MFA por sí solo ya no basta. El robo de sesiones es el vector dominante. La prioridad es Zero Trust: evaluar acceso continuamente según contexto y comportamiento, no solo por una cookie potencialmente robada. #SessionHijacking #CookieTheft #Ciberseguridad2026 #InfoSec #MFA #ZeroTrust #Infostealer #CyberCrime #IdentityTheft #TheHackerNews

Kraken enfrenta extorsión tras acceso interno a 2,000 cuentas. LEER MÁS ☛☞ Este 13 de abril de 2026, Nick Percoco ha revelado que el exchange sufre un intento de extorsión. Un grupo criminal amenaza con publicar videos de sistemas internos con datos de clientes. Kraken afirma que no negociará ni pagará. ● Origen del Incidente: Amenaza Interna No fue un hackeo externo, sino una insider threat. Se detectaron dos accesos indebidos por personal de soporte (uno en 2025 y otro reciente). - Modus operandi: empleados capturaron fotos y videos de herramientas internas, exponiendo datos básicos. ● Alcance y Seguridad - Cuentas afectadas: unas 2.000 (0,02%). - Datos expuestos: nombres, direcciones y metadatos de soporte; sin credenciales ni claves. - Fondos seguros: sistemas críticos y trading no se vieron comprometidos. ● Respuesta de Kraken - Acción interna: empleados identificados, acceso revocado y despidos. - Clientes notificados: aviso directo para prevenir fraudes. - Acción legal: colaboración con autoridades para identificar a los responsables. ⚠ Resumen Estratégico: En 2026, el riesgo interno sigue siendo crítico. El caso refuerza la necesidad de controlar accesos, monitorizar empleados con privilegios y aplicar tolerancia cero ante extorsión. #Kraken #SeguridadBitcoin #InsiderThreat #Extorsion #Ciberseguridad2026 #InfoSec