Asociación Valenciana de Informática Sanitaria
incibeb
Hackean una copia de la aplicación de mensajería Signal que usan asesores de Donald Trump
El 4 de mayo de 2025, un hacker anónimo reportó a los medios que había logrado acceder a datos sensibles de miembros del gobierno de Estados Unidos en TeleMessage, una aplicación de mensajería instantánea israelí que actúa como extensión de Signal. La puerta de entrada a este incidente fue la publicación de unas fotografías que mostraban al ex asesor de seguridad nacional Mike Waltz utilizando TeleMessage.
Aunque la aplicación Signal implementa cifrado de extremo a extremo para las comunicaciones, TeleMessage almacena copias de los mensajes ya descifrados, lo que abrió la puerta a esta brecha de seguridad. El atacante indica que logró entrar en el sistema con relativa facilidad y que obtuvo acceso a chats archivados, aunque también asegura que su intención era únicamente evaluar la seguridad del software. Entre la información comprometida, se accedió a nombres, datos de contacto, contraseñas del panel de control y otras informaciones sensibles. Las capturas de pantalla filtradas por el hacker muestran que instituciones como Aduanas y Protección Fronteriza (CBP), la empresa de criptomonedas Coinbase y otras entidades financieras estaban vinculadas a los datos expuestos.
El problema central radica en que TeleMessage interfiere en el cifrado seguro que ofrece Signal al añadir un tercer actor en la comunicación. Este sistema almacena los mensajes en servidores externos después de haber sido descifrados, en un intento de cumplir con normativas gubernamentales sobre la conservación de comunicaciones. Sin embargo, al no aplicar cifrado robusto a estas copias, se convierten en un objetivo fácil para ciberdelincuentes.
Así pues, el hacker pudo demostrar que esos archivos no estaban debidamente protegidos y señala los riesgos de usar herramientas que alteran la seguridad de aplicaciones diseñadas para mantener la privacidad de las comunicaciones.
Referencias- 05/05/2025 elespanol.com Nuevo golpe a la seguridad estadounidense: hackean una copia de Signal que usan asesores de Donald Trump
- 04/05/2025 404media.co The Signal Clone the Trump Admin Uses Was Hacked
- 10/05/2025 wired.com How the Signal Knockoff App TeleMessage Got Hacked in 20 Minutes
- 05/05/2025 reuters.com Tech site 404 Media says Signal-like app used by Trump adviser was hacked
Presunto ciberataque de China a la Republica Checa
El 28 de mayo de 2025, la República Checa ha realizado una acusación formal con motivo del presunto ataque realizado por el grupo de ciberespionaje chino “APT31”. Estos habrían realizado una campaña intrusiva contra el Ministerio de exteriores checo, filtrando información sensible desde el año 2022.
Según los servicios de inteligencia checos, APT31 logro introducirse durante meses en el sistema accediendo a correos electrónicos diplomáticos no clasificados. Aparentemente, no se han comprometido redes más sensibles, pero sí se hace especial mención a la sofisticación del incidente y la persistencia del mismo, por lo que se ha catalogado como una amenaza directa a la integridad institucional de la Republica Checa.
Esta sería la primera vez que un grupo miembro de la Unión Europea (UE) tomará la decisión de responsabilizar abiertamente a un actor estatal de un incidente de seguridad de esta magnitud.
El impacto de este incidente no solo radica en la información sensible que aparentemente se ha robado, si no en que se ha realizado en el momento en el que la Republica Checa se encuentra al frente del Consejo de la UE y las discordancias entre Bruselas y Pekín por la influencia tecnológica, comercial y geopolítica.
Por otro lado, la UE está “dispuesta a imponer costes” a China como respuesta al ciberataque. "Este ataque es una violación inaceptable de las normas internacionales. La UE no tolerará acciones cibernéticas hostiles, y nos solidarizamos con la República Checa", declaró el miércoles por la tarde la responsable de Política Exterior del bloque.
El grupo APT31, también llamado como “Zirconium”, es un grupo vinculado al Ministerio de Seguridad del Estado chino, con sede en Wuhan. Este grupo ha llegado a realizar ataques contra instituciones gubernamentales de Estados Unidos y Europa, así como contra empresas del sector tecnológico y campañas electorales, como la del entonces candidato Joe Biden en 2020.
Referencias- 28/05/2025 mzv.gov.cz Statement by the Government of the Czech Republic
- 28/05/2025 securityweek.com Czech Government Condemns Chinese Hack on Critical Infrastructure
- 28/05/2025 asahi.com Czech Republic accuses China of ‘malicious cyber campaign’ against its foreign ministry
- 28/05/2025 europapress.es China rechaza las "infundadas acusaciones" de República Checa sobre ciberataques al Ministerio de Exteriores
- 28/05/2025 elperiodico.com La República Checa acusa a China de lanzar un ciberataque contra su gobierno
- 29/05/2025 mundiario.com Europa responde al ciberataque chino a la Republica Checa: ¿una nueva era de confrontación digital?
Brecha de datos en la plataforma Oracle Cloud
El 25 de marzo de 2025, el actor de amenazas Rose87168 publicó en un foro de ciberincidentes datos confidenciales robados de clientes de Oracle Cloud, afirmando poseer millones de registros vinculados a más de 140.000 usuarios de Oracle Cloud, incluidas credenciales cifradas. El hacker publicó 10.000 registros de clientes, un archivo que muestra el acceso a Oracle Cloud, credenciales de usuario y un vídeo interno como prueba.
El actor, activo desde enero de 2025, ha exigido pagos a las empresas afectadas para eliminar los datos de la filtración. En un principio, intentó extorsionar a Oracle por 20 millones de dólares, pero más tarde ofreció los datos robados para su venta o a cambio de supuestos exploits de día cero.
Oracle ha negado las afirmaciones del actor de la amenaza, afirmando que no hubo violación de seguridad de Oracle Cloud y que las credenciales filtradas no estaban relacionadas. La compañía aseguró que ningún dato de clientes se vio comprometido. Sin embargo, varios medios informaron de que varias empresas les han confirmado que los datos filtrados de Oracle son auténticos e incluyen nombres LDAP, correos electrónicos y otros registros. De hecho, la firma de ciberseguridad Cloudsek, señaló que existía una versión vulnerable de Oracle Fusion Middleware ejecutándose en el servidor comprometido. Oracle ha desconectado el servidor desde entonces.
Por otro lado, mientras el FBI y CrowdStrike están investigando el incidente, se ha detectado que Oracle ha estado notificando en privado a sus clientes de una brecha que afecta a nombres de usuario, claves de acceso y contraseñas cifradas. Investigadores afirman que Oracle solo ha enviado notificaciones verbales de la filtración a sus clientes de la nube, sin comunicación escrita.
Referencias- 24/03/2025 computerworld.es Oracle niega una brecha masiva de datos en su infraestructura ‘cloud’
- 21/03/2025 kippl01.com Oracle asegura que no hubo brecha de seguridad tras las afirmaciones de un hacker sobre 6 millones de registros robados
- 03/04/2025 bleepingcomputer.com Oracle privately confirms Cloud breach to customers
- 21/03/2025 bleepingcomputer.com Oracle denies breach after hacker claims theft of 6 million data records
Operación SyncHole: Ciberataque de Lazarus a empresas de Corea del Sur
El grupo hacker Lazarus de Corea del Norte ha atacado a varias empresas de Corea del Sur a través de una campaña denominada Operación SyncHole, que tuvo lugar entre noviembre de 2024 y febrero de 2025. El actor de la amenaza combinó una estrategia de “ataque de abrevadero” con la implementación de un exploit de una vulnerabilidad en el cliente de transferencia de archivos, que es obligatorio en Corea del Sur para completar ciertas tareas financieras y administrativas.
Esta campaña ha sido reportada por el equipo de inteligencia de amenazas de Kaspersky. En este reporte, se explica que las víctimas eran redirigidas desde sitios web de medios de comunicación comprometidos hasta sitios de falsos proveedores de software, donde el malware se introducía con un archivo ejecutable a través de un JavaScript malicioso. Kaspersky observó múltiples cadenas de infección en seis víctimas confirmadas, con varias diferencias en fases anteriores y posteriores del ataque, y siendo sólo la infección inicial el punto en común. Basándose en estas tácticas y en las muestras de malware detectadas en la operación SyncHole, se ha comprobado que Lazarus está evolucionando hacia herramientas ligeras y modulares que son más sigilosas y configurables.
Durante el análisis del ataque, los investigadores también encontraron un fallo de día cero no explotado (KVE-2024-0014) en versiones específicas de una plataforma de compartición de ficheros denominada “Innorix Agent”, la cual permitía la descarga arbitraria de archivos. El problema de seguridad se notificó a través de la Agencia Coreana de Internet y Seguridad (KrCERT), y el proveedor publicó actualizaciones para el software explotado.
Referencias- 26/04/2025 ciberninjas.com Ciberataque de Lazarus a Empresas de Corea del Sur, denominado Operación SyncHole
- 24/04/2025 bleepingcomputer.com Lazarus hackers breach six companies in watering hole attacks
- 24/04/2025 kaspersky.com Kaspersky uncovers new Lazarus-led cyberattacks targeting South Korean supply chains
- 24/04/2025 thehackernews.com Lazarus Hits 6 South Korean Firms via Cross EX, Innorix Flaws and ThreatNeedle Malware
EE.UU. y Canadá colaboran para desbaratar la estafa del “phishing de aprobación” de la blockchain Ethereum
Analistas del Servicio Secreto de Estados Unidos colaboraron con funcionarios canadienses de la Comisión de Valores de la Columbia Británica (BCSC) en la Operación Avalancha para combatir las estafas de “phishing de aprobación” en la blockchain de Ethereum.
En esta operación participaron reguladores de valores, múltiples agencias policiales canadienses y plataformas de comercio de criptomonedas con el objetivo de encontrar carteras comprometidas en la blockchain de Ethereum. Entre las plataformas participantes se encontraban Netcoins, Ndax, Coinbase, Wealthsimple, Shakepay, Kraken y Coinsquare. El objetivo de la operación era desbaratar el fraude y recuperar los activos robados, con un drenaje estimado de 4,3 millones de dólares de los monederos afectados.
El “phishing de aprobación” es una estafa en la que se engaña a las víctimas para que concedan acceso a su criptocartera en la blockchain de Ethereum. Una vez concedida la aprobación, el estafador obtiene acceso y puede retirar fondos sin el conocimiento del propietario. Esto suele formar parte de una estafa mayor conocida como “estafa sentimental”, que consiste en que los estafadores se ganan la confianza de sus víctimas potenciales y las manipulan para que transfieran fondos para invertir en proyectos falsos de criptomoneda.
Por su parte, las autoridades han advertido a los propietarios de esas carteras comprometidas que han sido víctimas de este tipo de estafa. Asimismo, se anima a las víctimas de estafas con criptomonedas a denunciar el fraude a las fuerzas de seguridad locales y a los organismos pertinentes.
Referencias- 16/04/2025 diariobitcoin.com Servicio Secreto de EEUU y Canadá frenan millonaria estafa de phishing en Ethereum
- 16/04/2025 bcsc.bc.ca BCSC disruption of overseas crypto fraud alerts nearly 100 Canadian victims
- 17/04/2025 secretservice.gov U.S. Secret Service Analysts Work with Canadian Officials to Disrupt Ethereum Blockchain “Approval Phishing” Scam
- 17/04/2025 criptofacil.com Megaoperativo desmantela estafa millonaria con criptomonedas en Estados Unidos y Canadá
SuperCard X: malware de Android que utiliza NFC para robar tarjetas de crédito
En un reciente informe del equipo de Inteligencia de Amenazas de Cleafy, se ha descubierto una nueva variante de malware conocida como SuperCard X, la cual realiza un ataque sobre la comunicación de campo cercano (NFC) para ejecutar transacciones no autorizadas en sistemas de punto de venta (TPV) y cajeros automáticos. Este malware está basado en Android y ha sido identificado como parte de una campaña de fraude dirigida a Italia.
El malware SuperCard X se aprovecha de la tecnología NFC, permitiendo al atacante interceptar y retransmitir comunicaciones NFC desde dispositivos comprometidos. Para ello, el atacante engaña a las víctimas mediante tácticas de ingeniería social a través de SMS y llamadas telefónicas para que descarguen una aplicación maliciosa que captura los datos de la tarjeta de pago cuando ésta se encuentra cerca del dispositivo infectado. Estos datos se transmiten en tiempo real a través de una infraestructura de mando y control (C&C) a un dispositivo controlado por el atacante, lo que permite el cobro fraudulento inmediato. Además, la comunicación, utiliza el protocolo HTTP con TLS para cifrar y autenticar las conexiones, evitando accesos no autorizados a la infraestructura C&C.
Una de las características más destacables de SuperCard X es su baja tasa de detección por parte de soluciones y herramientas antivirus. Esto se debe a que el malware se centra en la captura de datos NFC, lo que permite al atacante acceder a los fondos robados de forma instantánea y potencialmente fuera de los canales de fraude tradicionales que suelen implicar transferencias bancarias.
Referencias- 21/04/2025 bitlifemedia.com Así funciona ‘SuperCard X’, el malware invisible que vacía tus cuentas con un toque NFC
- 19/04/2025 bleepingcomputer.com New Android malware steals your credit cards for NFC relay attacks
- 19/04/2025 gbhackers.com New Android SuperCard X Malware Uses NFC-Relay Technique for POS & ATM Transactions
- 18/04/2025 cleafy.com SuperCard X: exposing a Chinese-speaker MaaS for NFC Relay fraud operation
Filtración de datos sobre instituciones marroquíes aumenta las tensiones políticas con Argelia
El 8 de abril de 2025, el actor de amenazas Jabaroot, publicó en BreachForums datos confidenciales extraídos de la Tesorería Nacional de la Seguridad Social (CNSS) de Marruecos. El conjunto de datos filtrados incluye más de 53.000 archivos que contienen registros detallados de casi medio millón de empresas y cerca de 2 millones de empleados. Los documentos incluyen datos como afiliación a empresas, números de identificación de los empleados, salarios e información de contacto. Además, la mayoría de los datos parecen haber quedado expuestos en texto claro en servidores comprometidos.
Según las declaraciones realizadas por el actor Jabaroot, la filtración de CNSS parece estar motivada como una respuesta política. Jabaroot afirma que el ataque se llevó a cabo como represalia a otro ataque anterior a la cuenta de X (antiguo Twitter) del Servicio de Prensa Argelino, un suceso atribuido a actores de amenazas afiliados a Marruecos. En ese incidente, la cuenta fue rebautizada como “Sahara Marocain”, en referencia a la larga disputa geopolítica entre Marruecos y Argelia por la región del Sáhara Occidental. Esa cuenta de X fue suspendida posteriormente tras una amplia cobertura mediática.
Poco después de anunciar la filtración de CNSS, Jabaroot compartió contenido adicional en Telegram, incluida una captura de pantalla que supuestamente mostraba un defacement sobre el sitio web del Ministerio de Trabajo marroquí. El actor declaró que este nuevo ataque formaba parte de una campaña más grande con la intención de responder a otros incidentes que habían sido realizado por grupos de hackers marroquíes contra instituciones argelinas.
Esta actividad subraya cómo los ciberataques se utilizan cada vez más como herramientas de mensajería política, difuminando las líneas entre el hacktivismo y las represalias alineadas con ciertos Estados en un contexto regional. Las relaciones entre Marruecos y Argelia se han mantenido tensas y enfrentadas en los últimos años, marcadas por el agravamiento de las disputas políticas y territoriales. En agosto de 2021, Argelia rompió sus relaciones diplomáticas con Marruecos, lo que provocó el cierre del espacio aéreo, la interrupción de gasoductos y la imposición de visados a los ciudadanos marroquíes.
Referencias- 09/04/2025 larazon.es Hackers argelinos realizan un ataque sin precedentes a instituciones marroquíes
- 10/04/2025 elconfidencial.com El holding real de Mohamed VI, golpeado por el mayor ciberataque en Marruecos desde 2014
- 11/04/2025 therecord.media Morocco investigates major data breach allegedly by Algerian hackers
- 09/04/2025 le360.ma Une cyberattaque revendiquée par des hackers algériens met à nu la vulnérabilité de la CNSS
Acceso no autorizado a los emails de altos cargos del regulador bancario de EE.UU.
Un grupo de hackers ha accedido a información sensible tras penetrar en el sistema de correo electrónico utilizado por la Oficina del Interventor de la Moneda (OCC) de Estados Unidos. La OCC notificó el martes 8 de abril al Congreso un incidente grave de seguridad que se anunció por primera vez en febrero. Esta agencia es una oficina independiente dentro del Departamento del Tesoro que regula todos los bancos estadounidenses, las asociaciones federales de ahorro y las sucursales de bancos extranjeros.
La OCC descubrió que el acceso no autorizado a los correos electrónicos de varios de sus ejecutivos y empleados incluía información muy sensible relativa a la situación bancaria de las instituciones financieras reguladas por el Gobierno federal, utilizada en sus exámenes y procesos de supervisión. Los hackers, aún sin identificar, tuvieron acceso a las cuentas de correo electrónico de unos 100 altos funcionarios y más de 150.000 correos electrónicos que datan de junio de 2023.
Para gestionar el incidente, la OCC contrató a expertos en ciberseguridad de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA). La primera detección del incidente fue el 11 de febrero, cuando se vieron interacciones inusuales entre una cuenta administrativa del sistema en su entorno de automatización de oficinas y los buzones de correo de los usuarios de la OCC. Ante este descubrimiento, al día siguiente se aislaron los sistemas afectados, se desactivaron las cuentas de los usuarios comprometidos y se bloqueó el acceso no autorizado.
Referencias- 13/04/2025 escudodigital.com Hackers acceden a los emails de un centenar de reguladores bancarios de EE.UU.
- 08/04/2025 occ.gov OCC Notifies Congress of Incident Involving Email System
- 09/04/2025 therecord.media US banking regulator reports on ‘major’ cyber incident involving senior officials’ emails
- 09/04/2025 cyberscoop.com Treasury bureau notifies Congress that email hack was a ‘major’ cybersecurity incident
- 09/04/2025 nextgov.com Treasury regulatory office reports ‘major information security incident’
El servicio de correos británico Royal Mail sufre filtración de datos
El 2 de abril de 2025, el actor conocido como GHNA, ha publicado en el foro cibercriminal BreachForums 144 GB de datos robados de Royal Mail Group. En la publicación se adjuntaron 293 carpetas y 16.549 archivos para descargar gratuitamente. Entre los datos anunciados, se incluye información personal de clientes, documentos confidenciales, grabaciones de vídeo de reuniones internas de Zoom, ubicación de entregas, bases de datos, listas de correo, entre otra información sensible.
El origen de la filtración ha sido a través del proveedor de servicios externo Spectos GmbH, empresa dedicada a la monitorización y logística del servicio de correos. Al igual que había ocurrido con la filtración de Samsung del 30 de marzo, GHNA accedió a la infraestructura de Spectos utilizando las credenciales robadas a un empleado en 2021, después de ser infectado con el infostealer Racoon. La información de inicio de sesión y credenciales de esta cuenta no se actualizaron, lo que provocó que el ciberdelincuente pudiera extraer la información.
Según la investigación realizada por HudsonRock, plataforma dedicada al análisis de la ciberseguridad de infostealers, la filtración de Royal Mail Group, pone de manifiesto los riesgos en cascada de los ataques a la cadena de suministro. Las consecuencias de este incidente podrían incluir el robo de identidad, campañas de phishing y daños a la reputación. Por ejemplo, la filtración de listas de correo incrementa el riesgo de amenazas, ya que los atacantes pueden aprovechar la Inteligencia Artificial para realizar ataques de ingeniería social dirigidos.
Referencias- 02/04/2025 bleepingcomputer.com Royal Mail investigates data leak claims, no impact on operations
- 02/04/2025 infostealers.com Royal Mail Group Loses 144GB to Infostealers: Same Samsung Hacker, Same 2021 Infostealer Log
- 03/04/2025 bitdefender.com Royal Mail Investigating Alleged Security Breach Following Third-Party Cyber Attack
- 05/04/2025 escudodigital.com El Correos británico sufre una filtración de datos de 144 GB
Filtración de datos con más de 665.000 estudios médicos en Argentina
El grupo cibercriminal D0T CUM, ha puesto a la venta resultados de 665.128 estudios médicos extraídos del proveedor Informe Médico, el cual tienen contratado 30 clínicas, sanatorios y hospitales en Argentina. La publicación ha sido anunciada en foros de cibercriminales dedicados a comercializar con información sensible y filtraciones. Este incidente ha sido detectado el 4 de abril por Birmingham Cyber Arms LTD, plataforma dedicada en la inteligencia de amenazas de ciberseguridad.
Informe Médico, es una desarrolladora de sistemas de almacenamiento y distribución de imágenes médicas, además de proveer otras herramientas de gestión médica. Los estudios publicados corresponden a distintos tipos de datos médicos que van desde imágenes de radiografías, ecografías, tomografías, a pruebas en laboratorio de análisis generales y pruebas específicas, e incluso casos de estudios de carácter más íntimo. Todos estos estudios incluyen la información personal de los pacientes y profesionales involucrados.
Una vez realizado el robo de datos, el grupo cibercriminal ha tratado de extorsionar a las entidades afectadas, intentando sacar un beneficio económico a cambio de no publicar los datos sustraídos. Al tratarse de información médicas, estas pueden llegar a tener un gran valor en el mercado, ya que incluyen información privada de clientes. Estafadores dedicados a ataques de ingeniería social, como phishing o cualquier tipo de fraude, son los principales compradores de esta clase de información.
Referencias- 04/04/2025 clarin.com Hackean “Informe Médico”, un proveedor de software de Argentina y venden resultados de estudios de pacientes
- 06/04/2025 facundoquiroga.com Filtraron más de 665 mil estudios médicos tras un ciberataque a proveedor del sistema de salud
- 05/04/2025 sudoesteba.com Inseguridad informática: hackean más de 665 mil estudios médicos. Es la filtración de datos de salud más grande del país
- 04/04/2025 x.com Anuncio de la filtración por parte de Birmingham Cyber Arms LTD
Filtración de datos en Samsung roba hasta 270.000 registros de sus clientes
El 30 marzo de 2025, el gigante tecnológico Samsung ha sido víctima de una filtración de datos de sus clientes. Entre ella, se ha identificado información personal como nombres, direcciones postales y de correo electrónico, y también información sobre transacciones, números de pedido, URL de seguimiento, interacciones de soporte y la comunicación entre clientes y Samsung.
El autor de la filtración GHNA, ha publicado aproximadamente 270.000 registros de clientes supuestamente robados del sistema de tickets de soporte de Samsung Alemania. GHNA accedió a la infraestructura de este sistema utilizando las credenciales robadas a un empleado en 2021, después de ser infectado con el infostealer Racoon. La cuenta robada, pertenecía al servicio Spectos GmbH de Samsung, el cual es utilizado para monitorizar y mejorar la calidad del servicio de soporte.
Desde 2021, la información de inicio de sesión y credenciales de esta cuenta no se actualizaron. Este error de seguridad fue lo que provocó que se pudieran volcar 270.000 registros de clientes en Internet recientemente. De esta forma, los datos filtrados podrían utilizarse como parte de varios tipos de ataques, entre ellos, el phishing selectivo a clientes específicos, la apropiación de cuentas mediante la suplantación de la identidad del servicio de atención al cliente o fraudes como reclamaciones de garantía falsas.
Referencias- 03/04/2025 escudodigital.com Samsung sufre una filtración de datos de 270.000 registros de clientes
- 31/03/2025 forbes.com Infostealer Strikes Samsung — 270,000 Records Stolen
- 31/03/2025 securityweek.com Hacker Leaks Samsung Customer Data
- 30/03/2025 infostealers.com Samsung Tickets Data Leak: Infostealers Strike Again in Massive Free Dump
- 02/04/2025 esecurityplanet.com Hacker Leaks 270,000 Samsung Customer Records—Stolen Credentials Were Left Unchecked for Years
Desmantelado un call center en Alicante que ha podido estafar más de 2 millones de euros
La Policía Nacional ha desmantelado un call center en Alicante desde donde se realizaban diferentes tipos de fraudes como la extorsión del sicario y la estafa del hijo en apuros. Se han detenido 73 personas que formaban parte de la organización criminal, las cuales actuaban como captadores, extractores, “mulas” y “voces”.
En la operación policial se han realizado un total de 22 registros simultáneos en Valencia, Barcelona y Alicante, en los que se han intervenido alrededor de 250.000 euros, armas de fuego, machetes y se ha logrado el bloqueo de 129 cuentas bancarias, tres viviendas y más de 20 vehículos. Los agentes hallaron un call center que funcionaba 24 horas al día ubicado en una vivienda de la localidad de Benissa (Alicante) desde donde llevaban a cabo toda la actividad logística. Había multitud de teléfonos, dispositivos electrónicos y siete personas trabajando en el interior, entre ellos el líder de la organización.
El procedimiento de la extorsión del sicario consistía en publicar anuncios falsos en páginas de contactos difundiendo servicios sexuales de mujeres utilizando imágenes que obtenían de fuentes abiertas a través de Internet. Los anuncios contenían mensajes sensuales y atractivos para captar a clientes ofreciendo un número de teléfono de la supuesta chica. Una vez se establecía el primer contacto, conseguían el número de teléfono con el que posteriormente amenazaban a las víctimas con intimidaciones extremas a través del envío de imágenes muy violentas, exigiendo pagos tanto por transferencia como por sistemas de pago instantáneos.
Los investigadores de la Policía descubrieron que también estaban cometiendo la estafa del hijo en apuros de manera masiva. Con este método se hacían pasar por los hijos de las víctimas, a través de mensajería, simulando que escribían desde el teléfono de un amigo para solicitar dinero urgentemente al haber sufrido una emergencia ante la que estaban incomunicados.
Se estima que podrían existir más de 2.000 víctimas afectadas en base a las denuncias recibidas, y que los estafadores podrían haber obtenido más de 2 millones de euros.
Referencias- 26/03/2025 interior.gob.es La Policía Nacional desmantela un call center en Alicante desde donde se realizaban las estafas del “sicario” y del “hijo en apuros”
- 26/03/2025 elmundo.es La Policía desmantela un 'call center' que estafó a más de 2.000 personas con el 'timo del sicario' y del 'hijo en apuros'
- 26/03/2025 larazon.es La Policía desmantela un "call center" donde hacían estafas de "la extorsión del sicario"
Fuga de información en California Cryobank
California Cryobank (CCB), gran empresa de donación de esperma en Estados Unidos, ha notificado recientemente a sus clientes de que ha sufrido una filtración de datos que ha expuesto la información personal de los mismos. California Cryobank detectó evidencias de actividad sospechosa en su red que habían ocurrido el 20 de abril de 2024 y aisló los ordenadores de la red informática.
Este incidente fue detectado por la propia empresa el 4 de octubre de 2024. A partir de ahí, se realizó una investigación en la que sea ha descubierto que el ataque expuso diversos datos personales de miles de clientes, incluyendo nombres, cuentas bancarias y números de ruta, números de la Seguridad Social, números de carné de conducir, números de tarjetas de pago y/o información sobre seguros médicos. Por ello, la empresa notificó a sus clientes que se habría producido un acceso no autorizado que consiguió archivos sensibles almacenados en sus sistemas.
Después de este suceso, el 20 de marzo de 2025, se ha interpuesto una demanda que indica que Cryobank no protegió ni aseguró suficientemente la información personal y sanitaria de sus pacientes. Se alega negligencia, incumplimiento de contrato implícito y enriquecimiento injusto, así como infracciones de la Ley de Competencia Desleal de California y de la Ley de Confidencialidad de la Información Médica. Además, el demandante solicita la certificación colectiva para incluir a otras personas afectadas por la filtración de datos.
Referencias- 18/03/2025 bleepingcomputer.com Sperm donation giant California Cryobank warns of a data breach
- 21/03/2025 news.bloomberglaw.com California Sperm Bank Sued After Disclosing Patient Data Breach
- 19/03/2025 ciberninjas.com Banco de Esperma USA advierte de Brecha de Datos que expondría la Información Personal de sus Clientes
- 19/03/2025 gbhackers.com US Sperm Donor Giant California Cryobank Hit by Data Breach
- 14/03/2025 maine.gov Data breach notification from California Cryobank
T-Mobile acuerda un pago millonario a sus clientes por filtración de datos en EE.UU.
En agosto de 2021, un ataque sobre el operador de red móvil T-Mobile en Estados Unidos, logró comprometer los datos personales de más de 76 millones de clientes. Los datos vulnerados incluían los nombres, direcciones y números de la Seguridad Social de los clientes, entre otros.
Después de que se produjera el ciberataque, se interpuso una demanda colectiva sobre el incidente, en la que participan varias fiscalías y tribunales de EE. UU. La demanda afirma que la violación masiva de datos fue consecuencia directa de la falta de responsabilidad de T-Mobile y de su incumplimiento de las normas de ciberseguridad del sector. Además, se señala que ya se habían producido más incidentes de este tipo en años anteriores.
T-Mobile negó haber cometido delito alguno en la filtración de datos. Sin embargo, al año siguiente aceptó el pago de 350 millones de dólares para resolver la demanda colectiva sobre el incidente, y en 2024 acordó pagar una multa civil de 15,75 millones de dólares para resolver una investigación de la Comisión Federal de Comunicaciones (FCC) sobre esta y otras filtraciones de datos anteriores.
De los 350 millones de dólares que T-Mobile acordó pagar, empezará a llegar a los clientes e 1 de abril de 2025. De ese fondo, cada cliente que hubiera enviado la reclamación podría percibir hasta 25.000 dólares en función del nivel de daño causado.
Referencias- 14/03/2025 semana.com Escándalo en telefonía de Estados Unidos; ¿quiénes pueden cobrar hasta USD 25.000 por la filtración de datos?
- 07/01/2025 securityweek.com Washington Attorney General Sues T-Mobile Over 2021 Data Breach
- 06/01/2025 atg.wa.gov AG Ferguson files lawsuit against T-Mobile for massive data breach
- 12/03/2025 thehill.com T-Mobile customers to get payments up to $25K next month after data breach: Here’s who qualifies
- 01/04/2025 t-mobilesettlement.com T-Mobile Data Breach Settlement
Grupo de ransomware Akira elude EDR por medio de una cámara web
La empresa de ciberseguridad S-RM ha dado a conocer una nueva táctica de explotación utilizada por el grupo de hackers Akira. En ella se implementó un ransomware mediante una cámara web, y eludiendo el sistema de protección EDR (más conocido antiguamente como antivirus). El incidente fue analizado por la propia empresa S-RM, mientras monitorizaba la red privada de su cliente, víctima de este ataque.
En un primer paso, Akira había accedido al equipo servidor de la víctima por medio de la explotación del servicio de escritorio remoto de Windows. Una vez ganado el acceso, se descarga un archivo ZIP que contiene el binario con el ransomware. En ese momento, el EDR desplegado en el servidor detecta la descarga del archivo y pone en cuarentena el binario identificado como ransomware.
Anulado este primer intento, el atacante escanea la red interna y encuentra una cámara web que tiene un sistema Linux vulnerable y sin protección. De esta forma, obtiene acceso a la cámara y despliega el ransomware. Como este dispositivo no estaba siendo monitorizado, el equipo de seguridad de la organización víctima no se percató del aumento del tráfico malicioso desde la cámara web, lo cual permitió el cifrado de archivos en el servidor eludiendo la protección del EDR.
Debido a este este incidente, se deja constancia de los riesgos derivados de la falta de supervisión y mantenimiento de dispositivos IoT, y de la necesidad de aislar y segmentar las redes para dificultar que los atacantes tengan acceso a equipos más sensibles de la organización.
Referencias- 05/03/2025 s-rminform.com Camera off: Akira deploys ransomware via webcam
- 06/03/2025 bleepingcomputer.com Ransomware gang encrypted network from a webcam to bypass EDR
- 12/03/2025 blog.segu-info.com.ar Ransomware Akira cifró los datos desde una cámara web para evitar el EDR
- 10/03/2025 cybersecuritynews.com Akira Ransomware Attacking Windows Server via RDP & Evades EDR Using Webcam
Campaña de ataque UAC-0212 contra las infraestructuras críticas de Ucrania
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha notificado de una nueva campaña de ataque sobre sus infraestructuras críticas, basándose en un análisis propio sobre ataques dirigidos entre los meses de julio de 2024 a febrero de 2025. Este tipo de campaña se ha relacionado con conocidos grupos de hackers rusos como Sandworm, APT44, Seashell Blizzard. El objetivo principal de estos atacantes es comprometer los sistemas de información y comunicación de las infraestructuras críticas ucranianas.
El método más utilizado por los atacantes como puerta de entrada es establecer comunicación con las empresas, haciéndose pasar por potenciales clientes. Cuando adquieren cierto nivel de confianza con la empresa, envían supuesta “documentación técnica” mediante un enlace hacia un documento PDF. Por medio de este enlace, se explota la vulnerabilidad CVE-2024-38213, haciendo que la víctima descargue un archivo LNK oculto, omitiendo así los mecanismos de protección web de los sistemas Windows. Una vez ejecutado, este archivo activa un comando PowerShell que, mientras muestra el documento PDF, descarga e instala en secreto archivos ejecutables EXE/DLL maliciosos en el equipo víctima.
Para la implementación de estos ataques, CERT-UA ha identificado el uso de herramientas de explotación de software como SECONDBEST, EMPIREPAST, SPARK, CROOKBAG. También se destaca el uso de RSYNC, para poder recopilar información de forma persistente.
Referencias- 23/02/2025 cert.gov.ua Цільова активність UAC-0212 у відношенні розробників та постачальників рішень АСУТП з метою здійснення кібератак на об'єкти критичної інфраструктури України (CERT-UA#13702)
- 24/02/2025 gbhackers.com UAC-0212: Hackers Unleash Devastating Cyber Attack on Critical Infrastructure
- 28/02/2025 strikeready.com RU APT targeting Energy Infrastructure (Unknown unknowns, part 3)
- 24/02/2025 socprime.com UAC-0212 Attack Detection: Hackers Linked to UAC-0002 aka Sandworm APT Subcluster Launch Targeted Attacks Against the Ukrainian Critical Infrastructure
- 24/02/2025 sevenice.net Actividad dirigida UAC-0212
Tarlogic descubre comandos HCI sin documentar en el módulo ESP32 de Espressif
Investigadores de ciberseguridad de la empresa Tarlogic presentaron este pasado 6 de marzo en la conferencia RootedCON celebrada en Madrid, su solución para auditar dispositivos bluetooth. En este contexto, Tarlogic ha detectado 29 comandos no documentados por el fabricante Espressif en el módulo ESP32, un microcontrolador que permite la conexión wifi y bluetooth. El ESP32 es uno de los modelos más usados mundialmente en entornos de redes IoT (Internet de las cosas) y está presente en millones de dispositivos de gran consumo.
Este tipo de comandos específicos del fabricante, pueden utilizarse para leer/escribir memoria RAM y flash, así como para enviar algunos tipos de paquetes de bajo nivel que normalmente no se pueden enviar desde el propio Host, debido a las características propias de estos dispositivos bluetooth. La existencia de este tipo de comandos no presenta un riesgo para la seguridad por sí mismo, pero sí reflejan que existe una mala práctica por parte del fabricante, lo cual facilita que se comprometa la seguridad de estos dispositivos por parte de un actor malintencionado.
A pesar de que no existe riesgo alto, Espressif declaró que compartirá una actualización de software para permitir a los usuarios eliminar estos comandos de depuración.
El caso se ha registrado como la vulnerabilidad CVE-2025-27840.
Referencias- 06/03/2025 tarlogic.com Tarlogic detecta una funcionalidad oculta en el chip de consumo masivo ESP32 que permitiría infectar millones de dispositivos IoT
- 08/03/2025 bleepingcomputer.com Undocumented commands found in Bluetooth chip used by a billion devices
- 10/03/2025 espressif.com Espressif’s Response to Claimed Backdoor and Undocumented Commands in ESP32 Bluetooth Stack
- 09/03/2025 cheriot.org Why the alleged ESP32 backdoor couldn't happen here
- 09/03/2025 darkmentor.com The ESP32 "backdoor" that wasn't
La Agencia Espacial Polaca fuera de servicio tras un ciberataque
En un post publicado en X (Twitter) el domingo 2 de marzo de 2025, la Agencia Espacial Polaca (POLSA), miembro de la Agencia Espacial Europea, anunció que había desconectado su red de Internet y notificado a las autoridades pertinentes un incidente de ciberseguridad.
Una fuente anónima dentro de POLSA declaró que "el ataque parece estar relacionado con un compromiso interno del correo electrónico y que se está diciendo al personal que utilice los teléfonos para comunicarse en su lugar".
El ministro de digitalización de Polonia, Krzysztof Gawkowski, publicó que el ataque fue detectado por los servicios estatales de ciberseguridad, y que la recuperación de la agencia y la investigación posterior contarán con el apoyo de los equipos de respuesta a incidentes de seguridad informática CSIRT NASK y CSIRT MON.
Actualmente la web de POLSA ya se encuentra activa, sin embargo, se sigue investigando la causa del incidente y el grado de compromiso que hayan podido sufrir sus infraestructuras.
Referencias- 04/03/2025 eldebate.com Un ciberataque sobre la Agencia Espacial Polaca desata las dudas en el sector: “La situación está siendo analizada”
- 04/03/2025 bleepingcomputer.com Polish Space Agency offline as it recovers from cyberattack
- 03/03/2025 therecord.media Polish space agency investigates cyberattack on its systems
- 02/03/2025 x.com Publicación del ciberataque por parte del ministro Krzysztof Gawkowski
Informe Kaspersky: 2,3 millones de tarjetas bancarias filtradas en la Dark Web
Kaspersky estima que 2,3 millones de tarjetas bancarias fueron filtradas en la Dark Web entre 2023 y 2024, basándose en un análisis de los archivos de registro de distintos malware de robo de datos conocidos como infostealers. Este tipo de malware no solo roba información financiera, sino también credenciales, cookies y otros datos sensibles, que luego son recopilados y vendidos en la Dark Web.
Se calcula que, aproximadamente, una de cada catorce infecciones de infostealers, da lugar al robo de información de tarjetas de crédito, con casi 26 millones de dispositivos comprometidos por estos agentes maliciosos, de los cuales más de 9 millones solo en 2024.
Redline es el infostealer más extendido de los últimos años, con un 34% del total de infecciones analizadas. Sin embargo, en 2024, se ha detectado un aumento significativo de la variante Risepro. El objetivo principal de este último son los datos de tarjetas bancarias, contraseñas y monederos de criptomonedas, además puede estar propagándose bajo la apariencia de generadores de claves, cracks para diversos programas y mods de juegos.
Referencias- 04/03/2025 kaspersky.com Kaspersky alerta: hackers filtraron 2.3 millones de tarjetas bancarias en la Dark Web
- 04/03/2025 kaspersky.com The evolving threat landscape of infostealers
- 10/03/2025 revistaeyn.media Hackers filtraron 2,3 millones de tarjetas bancarias en la Dark Web
- 06/03/2025 itdigitalsecurity.es Más de 2 millones de tarjetas bancarias filtradas en dos años
