Vertical Bit

Vertical Bit Información de contacto, mapa y direcciones, formulario de contacto, horario de apertura, servicios, puntuaciones, fotos, videos y anuncios de Vertical Bit, Sitio web de noticias y medios de comunicación, Tijuana Centro.

🐍 PyPI invalida tokens robados en el ataque de supply chain GhostActionLa Python Software Foundation (PSF) confirmó que ...
18/09/2025

🐍 PyPI invalida tokens robados en el ataque de supply chain GhostAction

La Python Software Foundation (PSF) confirmó que los atacantes del GhostAction robaron miles de tokens de publicación de paquetes, pero no llegaron a usarlos para subir malware a PyPI. Aun así, todos los tokens comprometidos fueron invalidados ✅.

📌 Detalles del incidente:
• Detectado el 5 de septiembre 2025 gracias a investigadores de GitGuardian.
• Workflows maliciosos en GitHub Actions (ej. FastUUID) intentaron exfiltrar tokens de PyPI a servidores externos.
• El aviso inicial cayó en la carpeta de spam, lo que retrasó la respuesta hasta el 10 de septiembre.
• GitGuardian abrió issues en más de 570 repositorios afectados y notificó a los equipos de seguridad de GitHub, npm y PyPI.

🔐 Impacto estimado (GitGuardian):
• +33,000 secretos comprometidos 😱
• Incluyendo tokens de PyPI, npm, DockerHub, GitHub, Cloudflare, además de claves AWS y credenciales de bases de datos.
• Algunos SDKs completos de compañías quedaron expuestos, con workflows alterados en proyectos de Python, Rust, JavaScript y Go simultáneamente.

🛠️ Respuesta de PyPI:
• Invalidados todos los tokens expuestos.
• Contacto directo con mantenedores para ayudarles a asegurar sus cuentas.
• Recomendación de usar Trusted Publishers con GitHub Actions, reemplazando tokens de larga duración por tokens de vida corta.

💡 Lecciones para DevSecOps y desarrolladores:
• Nunca almacenar secretos de larga duración en repositorios ni workflows.
• Migrar a tokens efímeros y servicios de secret management.
• Revisar historial de seguridad en PyPI y GitHub para detectar actividad sospechosa.
• Recordar que los ataques a la cadena de suministro de software son cada vez más comunes (ej: s1ngularity en agosto, que afectó a Nx y miles de repositorios).

🔗 Fuente: Python Software Foundation + GitGuardian + BleepingComputer

⚠️ El eslabón más débil de tu cadena de suministro puede estar en un workflow mal configurado. Refuerza DevSecOps hoy.

🚨 WatchGuard alerta sobre vulnerabilidad crítica en Firebox firewallsLa compañía WatchGuard lanzó actualizaciones de seg...
18/09/2025

🚨 WatchGuard alerta sobre vulnerabilidad crítica en Firebox firewalls

La compañía WatchGuard lanzó actualizaciones de seguridad para corregir la vulnerabilidad CVE-2025-9242, un fallo crítico de ejecución remota de código (RCE) ⚠️.

📌 Detalles clave:
• Tipo: Out-of-bounds write en el proceso iked de Fireware OS.
• Impacto: Permite a un atacante no autenticado ejecutar código malicioso.
• Afecta a: Fireware OS 11.x (EoL), 12.x y 2025.1.
• Versiones parchadas:
🔹 12.3.1_Update3 (B722811)
🔹 12.5.13
🔹 12.11.4
🔹 2025.1.1

🛡️ Condiciones de explotación:
• Firewalls configurados con VPN IKEv2 (usuarios móviles o BOVPN).
• Incluso si se borraron configuraciones vulnerables, el riesgo persiste si aún existe un túnel BOVPN hacia un peer estático.

📋 Modelos vulnerables incluyen:
• Serie T: T15, T20, T25, T35, T40, T45, T55, T70, T80, T85, T115-W, T125, T125-W, T145, T145-W, T185
• Serie M: M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800
• Firebox Cloud, Firebox NV5, FireboxV

⚙️ Workaround temporal (si no puedes parchear de inmediato):
1. Deshabilitar BOVPN con dynamic peer.
2. Crear nuevas políticas de firewall.
3. Desactivar políticas por defecto que manejan tráfico VPN.
📄 Guía oficial de mitigación de WatchGuard

🔍 No se ha detectado explotación activa aún, pero firewalls son un objetivo atractivo:
• El ransomware Akira sigue explotando vulnerabilidades críticas en firewalls SonicWall.
• En 2022, CISA ordenó a agencias federales parchear fallos en Firebox y XTM.

🔗 Fuente: WatchGuard + BleepingComputer

⚠️ Los firewalls son la primera línea de defensa. Un firewall sin parche es un firewall abierto.

🚨 Google corrige el sexto zero-day de Chrome explotado este 2025Google lanzó una actualización de emergencia para correg...
18/09/2025

🚨 Google corrige el sexto zero-day de Chrome explotado este 2025

Google lanzó una actualización de emergencia para corregir la vulnerabilidad CVE-2025-10585, un zero-day de alta severidad explotado activamente en ataques ⚠️.

📌 Detalles clave:
• Vulnerabilidad: Type confusion en el motor V8 de JavaScript.
• Detectada por: Google TAG (Threat Analysis Group).
• Afecta a: Chrome en Windows, macOS y Linux.
• Versiones parchadas:
• 140.0.7339.185/.186 (Windows/Mac)
• 140.0.7339.185 (Linux)

🕵️‍♂️ Google TAG suele reportar estos bugs cuando son usados en campañas de spyware dirigidas, contra periodistas, opositores políticos y activistas.

⚙️ Cómo actualizar ahora mismo:
1. Abre Chrome.
2. Menú ⋮ → Ayuda → Información de Google Chrome.
3. Deja que se descargue la actualización.
4. Haz clic en Reiniciar para aplicar el parche.

📊 Este es el sexto zero-day de Chrome explotado en 2025:
• CVE-2025-2783 (marzo) – Escape de sandbox.
• CVE-2025-4664 (mayo) – Secuestro de cuentas.
• CVE-2025-5419 (junio) – Lectura/escritura fuera de límites en V8.
• CVE-2025-6558 (julio) – Escape de sandbox.
• Otros dos en marzo y mayo.

💡 En 2024, Google parchó 10 zero-days más, muchos demostrados en competiciones como Pwn2Own.

🔗 Fuente: Google TAG + BleepingComputer

⚠️ Si usas Chrome, la mejor defensa es simple: actualiza ya. Un navegador sin parches es un blanco fácil.

🚨 ShinyHunters roba 1.5 mil millones de registros de Salesforce usando tokens Drift comprometidosEl grupo de extorsión S...
18/09/2025

🚨 ShinyHunters roba 1.5 mil millones de registros de Salesforce usando tokens Drift comprometidos

El grupo de extorsión ShinyHunters, junto con aliados de Lapsus$ y Scattered Spider (ahora autodenominados Scattered Lapsus$ Hunters), asegura haber robado más de 1.5 mil millones de registros de 760 compañías al explotar tokens OAuth de Salesloft Drift.

📌 Cómo ocurrió:
• En marzo 2025, los atacantes comprometieron el repositorio privado de GitHub de Salesloft.
• Usaron la herramienta TruffleHog para encontrar secretos en el código fuente.
• Descubrieron tokens OAuth de Drift y Drift Email, con los que accedieron a instancias de Salesforce.

📊 Datos robados (aprox.):
• 579M de Contactos
• 250M de Cuentas
• 171M de Oportunidades
• 459M de Casos de soporte
• 60M de Usuarios

El riesgo es crítico:
Los Casos de soporte pueden contener credenciales, tokens y claves de acceso a entornos como AWS, Snowflake o servicios corporativos, facilitando movimientos laterales.

🏢 Empresas afectadas incluyen: Google, Cloudflare, Zscaler, Palo Alto Networks, Tenable, CyberArk, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, Elastic, BeyondTrust… y muchas más.

🕵️‍♂️ Google Threat Intelligence (Mandiant) confirmó que los atacantes buscaban credenciales sensibles entre los datos robados para pivotar hacia otros entornos.
El FBI ya emitió una alerta con IOCs de los grupos UNC6040 y UNC6395.

🔐 Recomendaciones de seguridad para Salesforce y SaaS:
1. Habilitar MFA obligatorio en todos los usuarios.
2. Aplicar principio de mínimo privilegio en accesos.
3. Revisar apps conectadas vía OAuth y revocar las no autorizadas.
4. Auditar tokens activos y reforzar monitoreo de logs.

⚠️ Aunque los atacantes dicen que se “retirarán”, investigadores reportan que desde julio ya apuntan a instituciones financieras.

🔗 Fuente: BleepingComputer + Google Threat Intel + FBI

💡 Las integraciones SaaS son un punto ciego si no se gestionan bien. OAuth comprometido = brecha masiva.

🚨 SonicWall pide a clientes restablecer credenciales tras brecha de seguridadLa compañía de ciberseguridad SonicWall ha ...
18/09/2025

🚨 SonicWall pide a clientes restablecer credenciales tras brecha de seguridad

La compañía de ciberseguridad SonicWall ha confirmado una brecha que expuso archivos de respaldo de configuración de firewalls almacenados en cuentas de MySonicWall, y advierte que esto podría facilitar la explotación de dispositivos comprometidos 🔓.

📍 ¿Qué ocurrió?
• Atacantes accedieron a configuraciones de firewalls vía servicio de respaldo en la nube.
• Los archivos contenían credenciales cifradas, pero también tokens, claves API, secretos compartidos y configuraciones sensibles.
• La intrusión afectó menos del 5% de los dispositivos SonicWall instalados.

🧠 Aunque las contraseñas estaban cifradas, la información expuesta podría ser usada para facilitar accesos indebidos, movimientos laterales y ataques dirigidos.

🛑 Recomendaciones urgentes de SonicWall:
1. 🔐 Restablecer todas las credenciales:
• Usuarios
• Cuentas VPN
• Servicios remotos
• Tokens API
• Claves de cifrado
2. 🛡️ Restringir servicios desde la WAN antes de realizar cambios.
3. 📋 Seguir el checklist oficial para actualizar también:
• Integraciones con ISP
• Proveedores de correo, DNS dinámico
• Servidores LDAP / RADIUS
• Peers de VPN IPsec

🔍 SonicWall publicó un boletín de credenciales esenciales para guiar este proceso.

❗ Este incidente NO fue un ransomware, sino una campaña de fuerza bruta dirigida a cuentas con respaldos en la nube, explotando vulnerabilidades previas como CVE-2024-40766 (en SSLVPN).

💬 SonicWall declaró:

“No tenemos evidencia de que los archivos hayan sido filtrados públicamente. Pero actualizar claves y monitorear accesos es crucial para proteger los entornos afectados.”

🔗 Fuente: SonicWall + BleepingComputer + ACSC + Rapid7

🔐 Una configuración expuesta es tan peligrosa como una puerta sin llave. Refuerza tus firewalls hoy.

📅 Microsoft Office 2016 y 2019 llegarán al fin de soporte el 14 de octubreMicrosoft ha recordado que Office 2016 y Offic...
17/09/2025

📅 Microsoft Office 2016 y 2019 llegarán al fin de soporte el 14 de octubre

Microsoft ha recordado que Office 2016 y Office 2019, junto con Visio y Project de esas versiones, dejarán de recibir soporte extendido en menos de 30 días, es decir, a partir del 14 de octubre de 2025.

🧾 ¿Qué significa esto?
• No más actualizaciones de seguridad 🔐
• No más soporte técnico 📞
• Mayor riesgo de problemas de compatibilidad y cumplimiento ❌

🕰️ Fechas clave:
• Office 2016: fin de soporte mainstream desde octubre 2020
• Office 2019: fin de soporte mainstream desde octubre 2023
• Soporte extendido: finaliza el 14 de octubre 2025 para ambas versiones

🛠️ Opciones para migrar:
1. Microsoft 365 Apps (basado en suscripción y con actualizaciones continuas)
2. Office 2024 (versión perpetua para pymes y uso personal, sin suscripción)
3. Office LTSC 2024 (versión de soporte a largo plazo, ideal para ambientes sin conexión a internet, hospitales, sistemas industriales, etc.)

📌 Ambos productos 2024 tendrán soporte hasta octubre 2029

💬 Microsoft advierte:

“Las aplicaciones seguirán funcionando, pero usar software sin soporte puede traer riesgos de seguridad, cumplimiento y rendimiento.”

🔁 Si estás migrando también desde Windows 10, Exchange 2016 o 2019, es el momento perfecto para alinear tus actualizaciones.

🔗 Fuente: Microsoft Message Center + Product Lifecycle

💡 El riesgo no está en que Office 2016 deje de funcionar, sino en que ya no estará protegido.

🛑 Microsoft y Cloudflare desmantelan RaccoonO365, una red masiva de Phishing-as-a-ServiceEn una operación conjunta, Micr...
17/09/2025

🛑 Microsoft y Cloudflare desmantelan RaccoonO365, una red masiva de Phishing-as-a-Service

En una operación conjunta, Microsoft y Cloudflare desarticularon RaccoonO365, una plataforma de Phishing-as-a-Service (PhaaS) que facilitó el robo de más de 5,000 credenciales de Microsoft 365 en 94 países 🌍.

🎯 ¿Qué es RaccoonO365?
Una herramienta usada por ciberdelincuentes para:
• Lanzar campañas masivas de phishing contra cuentas de M365
• Utilizar técnicas como CAPTCHA falsos y evasión anti-bot
• Robar datos de OneDrive, SharePoint, Outlook y más

🚨 Casos destacados:
• En abril 2025, más de 2,300 organizaciones en EE.UU. fueron atacadas con campañas fiscales falsas.
• También se vieron afectadas más de 20 instituciones de salud, lo que puso en riesgo servicios críticos como análisis de laboratorio, atención a pacientes y privacidad médica.

💸 Este servicio criminal se ofrecía en Telegram:
• +840 miembros
• Suscripciones desde $355 hasta $999 USD por 30/90 días
• Pagos en Bitcoin y USDT (TRC20, BEP20, Polygon)

🔍 Investigación y hallazgos:
• Microsoft DCU identificó al operador como Joshua Ogundipe, programador con base en Nigeria.
• Se le atribuye gran parte del código del kit de phishing.
• Colaboraba con actores de habla rusa, según Cloudflare.
• Un error de OPSEC (exposición de una wallet cripto) facilitó la atribución.
• Ya se presentó denuncia ante autoridades internacionales.

🌐 RaccoonO365 no solo permitía el robo de credenciales. Su objetivo final era:
• Fraudes financieros
• Acceso inicial a redes corporativas
• Extorsión y ransomware

📣 Como dijo el equipo legal de Microsoft:

“Estos ataques pueden causar la cancelación de servicios médicos, la pérdida de resultados de laboratorio y afectar directamente la vida de las personas.”

🔗 Fuente: Microsoft DCU + Cloudflare + BleepingComputer

⚠️ Microsoft eliminará WMIC tras la actualización a Windows 11 25H2Microsoft anunció que el comando WMIC (Windows Manage...
16/09/2025

⚠️ Microsoft eliminará WMIC tras la actualización a Windows 11 25H2

Microsoft anunció que el comando WMIC (Windows Management Instrumentation Command-line) será removido definitivamente a partir de Windows 11 versión 25H2 y posteriores.

🧾 ¿Qué es WMIC?
Es una herramienta legacy de línea de comandos para interactuar con WMI (Windows Management Instrumentation). Durante años fue clave para tareas administrativas como:
• Consultar información de hardware/software
• Ejecutar procesos remotos
• Obtener logs o detalles del sistema

🧪 Sin embargo…
Microsoft ya había descontinuado WMIC en:
• Windows Server 2012 (deprecado en 2016)
• Windows 10 21H1 (deprecado en 2021)
• Convertido en Feature on Demand en Windows 11 22H2
• Anunciado su retiro total desde enero 2024

🛠️ ¿Qué hacer ahora?
Microsoft recomienda migrar a:
• PowerShell con Get-WmiObject o Get-CimInstance
• Alternativas como:
🔹 WMI COM API
🔹 Bibliotecas .NET
🔹 Scripts en Python, C #, etc.

📌 Importante:
Esto NO afecta a WMI, solo a la herramienta WMIC.
Si tus scripts, playbooks o procesos aún dependen de WMIC:
📌 Actualízalos cuanto antes.

📄 Microsoft también publicó una guía para facilitar la transición.

🔗 Fuente: Microsoft + Message Center + BleepingComputer

💡 Menos legacy, más eficiencia. La automatización moderna empieza por actualizar tus herramientas.

🚨 Jaguar Land Rover extiende su paro de producción tras ciberataqueLa reconocida automotriz Jaguar Land Rover (JLR) ha a...
16/09/2025

🚨 Jaguar Land Rover extiende su paro de producción tras ciberataque

La reconocida automotriz Jaguar Land Rover (JLR) ha anunciado que su producción permanecerá detenida una semana más debido al impacto de un ciberataque severo ocurrido a finales de agosto.

🏭 La compañía, propiedad de Tata Motors India, produce más de 400,000 vehículos al año y genera ingresos superiores a $38 mil millones de dólares. Emplea a más de 39,000 personas en todo el mundo.

🛑 ¿Qué ocurrió?
• El 2 de septiembre, JLR confirmó el ataque cibernético, señalando interrupciones significativas en sus operaciones.
• Se instruyó al personal a no presentarse a trabajar mientras se investigaban los daños.
• El 16 de septiembre, se informó que el reinicio controlado de operaciones tomará más tiempo, extendiendo el paro hasta el miércoles 24 de septiembre.

💾 ¿Hubo robo de datos?
Sí. La compañía confirmó que se exfiltró información confidencial desde sus sistemas, aunque no ha detallado el alcance ni a qué clientes podría afectar.

🕵️‍♂️ ¿Quién está detrás?
Un grupo que se hace llamar “Scattered Lapsus$ Hunters” se atribuyó el ataque:
• Compartieron capturas del sistema SAP interno de JLR.
• Afirmaron haber instalado ransomware.
• Están vinculados a grupos conocidos como Lapsus$, ShinyHunters y Scattered Spider.

💬 Este mismo grupo ha sido relacionado recientemente con:
• Robo de datos desde Salesforce
• Ataques contra empresas como Google, Cloudflare, Palo Alto Networks, Tenable y Proofpoint usando tokens OAuth comprometidos y técnicas de ingeniería social.

🔐 Lecciones clave para CISOs y líderes de TI:
• El ransomware ya no siempre se anuncia. Puede haber ataques sin nota, sin grupo “famoso”, pero con consecuencias devastadoras.
• La continuidad operativa está directamente ligada a la ciberseguridad.
• Preparar un plan de respuesta a incidentes que incluya comunicación, paros operativos y manejo de reputación es vital hoy más que nunca.

🔗 Fuente: JLR + BleepingComputer

⚠️ Los autos dejaron de moverse, pero los atacantes no. La industria automotriz también es un objetivo.

16/09/2025

🍏 Apple lanza parches de seguridad para iPhones y iPads antiguos ante ataques sofisticados

Apple ha liberado actualizaciones críticas de seguridad para modelos antiguos de iPhone y iPad, solucionando una vulnerabilidad 0-day (CVE-2025-43300) que fue explotada activamente en ataques altamente dirigidos y sofisticados.

📌 ¿Qué vulnerabilidad se parcheó?
• Un “out-of-bounds write” en el framework Image I/O, usado para procesar imágenes.
• Permite a atacantes ejecutar código al manipular una imagen maliciosa.
• Ya había sido parchada en versiones recientes (iOS 18.6.2 / macOS Sequoia 15.6.1), y ahora se retroaplica a versiones más antiguas.

🛠️ Nuevas versiones protegidas:
• iOS / iPadOS 15.8.5 y 16.7.12

📱 Modelos afectados (entre otros):
• iPhone 6s, 7, 8, SE (1ra gen), X
• iPad Air 2, iPad mini 4, iPad Pro 1ra gen
• iPod Touch 7ª gen

🕵️‍♂️ Este 0-day fue usado en ataques avanzados con spyware, donde también se encadenó una falla en WhatsApp (CVE-2025-55177) y otra en dispositivos Samsung con Android, según investigaciones de Amnesty International.

📊 Este sería el sexto 0-day que Apple corrige en 2025 con evidencia de explotación activa:
• CVE-2025-24085 (Enero)
• CVE-2025-24200 / 24201 (Febrero / Marzo)
• CVE-2025-31200 / 31201 (Abril)
• CVE-2025-43300 (Agosto / Septiembre)

🔐 Recomendación:
• Actualizar inmediatamente cualquier dispositivo Apple compatible con estas versiones.
• Monitorear posibles indicadores de compromiso si el equipo fue usado en contextos sensibles o de alto perfil.

🔗 Fuente: Apple + BleepingComputer + ACLU + Amnesty Security Lab

📣 La edad del dispositivo no debe ser excusa para no estar protegido. Apple lo sabe. ¿Y tú?

🕵️‍♂️ Nuevo ataque FileFix usa esteganografía para instalar malware StealCUna campaña de ingeniería social está suplanta...
16/09/2025

🕵️‍♂️ Nuevo ataque FileFix usa esteganografía para instalar malware StealC

Una campaña de ingeniería social está suplantando a Meta con supuestos avisos de suspensión de cuenta para engañar a usuarios y lograr que instalen sin saberlo el malware StealC, especializado en robar credenciales, criptomonedas y más.

🔍 ¿Qué es FileFix?
Es una evolución de los ataques ClickFix, donde el atacante convence al usuario de copiar y pegar comandos maliciosos, pero esta vez en la barra de direcciones del Explorador de Archivos, haciéndolos pasar por rutas de archivos inofensivos.

🚨 Así funciona la campaña:
1. Usuario recibe un sitio falso de “soporte de Meta”, que advierte que su cuenta será suspendida en 7 días.
2. Se les pide copiar una ruta a un supuesto “reporte de incidente” y pegarla en el Explorador.
3. Lo que realmente copian es un comando PowerShell oculto, con espacios cuidadosamente añadidos para mostrar solo la ruta visualmente.
4. Ese comando descarga una imagen .jpg desde Bitbucket que oculta en su interior scripts y ejecutables cifrados.

🧬 Técnicas utilizadas:
• Esteganografía: El código malicioso está oculto en una imagen aparentemente inofensiva.
• Evasión de detección: Se omite el símbolo # típico de ClickFix, eludiendo muchos sistemas de defensa que buscan ese patrón.

💀 ¿Qué roba StealC?
• 🔐 Cookies y contraseñas de navegadores (Chrome, Firefox, Opera…)
• 💬 Credenciales de apps de mensajería (Discord, Telegram, Tox…)
• 🪙 Wallets cripto (Bitcoin, Ethereum, Exodus…)
• ☁️ Credenciales en la nube (AWS, Azure)
• 🛡️ Apps de VPN y gaming (ProtonVPN, Battle.net, Ubisoft)
• 🖼️ Captura de pantalla del escritorio activo

🎓 Recomendación urgente para equipos de TI y seguridad:
• Capacitar a los usuarios sobre riesgos de copiar comandos desde páginas web.
• Bloquear ejecución de PowerShell para usuarios no administradores.
• Monitorear uso inusual del Explorador de Archivos como terminal.
• Implementar seguridad en capas (EDR + políticas restrictivas).

🔗 Fuente: Acronis + BleepingComputer

⚠️ La ingeniería social evoluciona. No basta con saber qué es el phishing. Hay que conocer sus nuevas formas.

Dirección

Tijuana Centro

Página web

Notificaciones

Sé el primero en enterarse y déjanos enviarle un correo electrónico cuando Vertical Bit publique noticias y promociones. Su dirección de correo electrónico no se utilizará para ningún otro fin, y puede darse de baja en cualquier momento.

Atajos

Compartir

Categoría