incibeb

Subscribe to canal de noticias incibeb
Actualizado: hace 5 horas 21 segs

Campaña de ataque utiliza instaladores falsos para distribuir variante Sainbox RAT

Mar, 05/08/2025 - 10:39
Campaña de ataque utiliza instaladores falsos para distribuir variante Sainbox RAT 05/08/2025 Mar, 05/08/2025 - 10:39

El 26 de junio de 2025, la empresa de ciberseguridad Netskope publicó una investigación en la que da a conocer una nueva campaña de phishing que utiliza instaladores falsos de herramientas de software populares como WPS Office, Sogou y DeepSeek. Basándose en las tácticas, técnicas y procedimientos empleados, la campaña parece haber sido orquestada por el grupo de amenazas Silver Fox, con sede en China. Además, la investigación indica que la selección de objetivos apuntaba a usuarios de habla china.

Según Netskope, los sitios web falsos observados en esta campaña imitan los sitios oficiales de software legítimo. Sin embargo, cuando el usuario descarga los instaladores falsos, el archivo se obtiene desde una URL diferente.

Haciéndose pasar por software legítimo, los instaladores contienen la ejecución de un troyano de acceso remoto (RAT) y un rootkit. En esta campaña, concretamente despliegan una variante de Gh0stRAT llamada Sainbox RAT y el denominado como rootkit Hidden, basado en código fuente abierto. Sainbox RAT permite a los atacantes ejecutar payloads en los sistemas de las víctimas para robar información y realizar otras acciones maliciosas. El rootkit Hidden oculta estos payloads, impidiendo la terminación de procesos y evitando la detección de los mismos por parte de las víctimas.

Referencias Etiquetas
Categorías: Noticias

Filtración de datos de Chain IQ afecta a grandes bancos y compañías de Suiza

Jue, 31/07/2025 - 11:52
Filtración de datos de Chain IQ afecta a grandes bancos y compañías de Suiza 17/06/2025 Jue, 31/07/2025 - 11:52

Chain IQ, gran empresa dedicada a servicios de adquisición y compra indirecta, fue objeto de un ciberataque que afecta a los datos de otras 19 empresas. Entre las empresas afectadas, medios de comunicación destacan nombres como UBS, Pictet, Manor, Implenia, KPMG o Mizuho.

El ataque fue reivindicado el 11 de junio de 2025 por el grupo de ransomware Worldleaks, que publicó la vulneración de los sistemas de Chain IQ en su sitio web de filtraciones basado en Tor. Se anunció el robo de unos 910 GB de datos y más de 1,9 millones de archivos. La información robada está relacionada con las compras de algunos clientes que contratan los servicios de Chain IQ. La propia empresa afirmó que los atacantes consiguieron extraer datos que contenían detalles de contacto empresarial de empleados de clientes seleccionados, incluidos los números de teléfono de los empleados.

Después de la publicación de los datos, Chain IQ notificó a las autoridades policiales y comenzó a revisar todos sus sistemas, reforzando las medidas de protección y cortando el acceso de los atacantes al entorno afectado. De hecho, también se consiguió restaurar software introducido por los atacantes durante el ataque para su posterior análisis. Para el mantenimiento de la seguridad de sus sistemas, Chain IQ está colaborando con las empresas InfoGuard y Kyndryl.

Referencias Etiquetas
Categorías: Noticias

El fabricante sueco de camiones Scania investiga un ciberataque

Mié, 30/07/2025 - 15:01
El fabricante sueco de camiones Scania investiga un ciberataque 17/06/2025 Mié, 30/07/2025 - 15:01

El 12 de junio de 2025, el actor de amenazas, bajo el seudónimo “hensi”, publicó haber vulnerado el dominio insurance.scania.com de Scania, fabricante sueco de camiones pesados y autobuses, así como otros motores industriales. El actor habría robado supuestamente 34.000 archivos, que ha estado ofreciendo para su venta en un foro de ciberdelincuencia.

Scania confirmó a los medios que el subdominio insurance de su sitio web está asociado a los servicios de seguro de vehículos de Scania y que este servicio fue comprometido en el incidente. Además, la compañía señaló que este sitio es operado por un socio externo de TI. El sitio web afectado ha sido desconectado como resultado del incidente.

Scania detectó una intrusión al sitio web el 28 y 29 de mayo, utilizando credenciales previamente robadas a su socio externo mediante un malware del tipo infostealer. Las credenciales comprometidas dieron al atacante acceso al sistema de reclamaciones de seguros desde el cual consiguió descargar documentos sobre las propias reclamaciones. Al poco tiempo, el actor intentó extorsionar a la empresa antes de ofrecer la venta de la información robada. Se enviaron correos electrónicos a varios empleados de Scania, amenazando con filtrar los datos en línea a menos que se cumplieran sus demandas.

Actualmente se sigue investigando qué tipo de información se ha visto comprometida exactamente y cuántas personas se han visto afectadas por el incidente.

Referencias Etiquetas
Categorías: Noticias

Ciberataque paraliza la distribución de productos de alimentación de United Natural Foods

Mar, 29/07/2025 - 14:35
Ciberataque paraliza la distribución de productos de alimentación de United Natural Foods 09/06/2025 Mar, 29/07/2025 - 14:35

United Natural Foods (UNFI), el mayor distribuidor de productos de alimentación de Estados Unidos y Canadá, especializado en productos naturales, orgánicos y especializados, así como en alimentos convencionales, se ha visto obligado a cerrar algunos de sus sistemas tras detectar un reciente ciberataque ocurrido el 5 de junio de 2025.

El día 9, UNFI publicó una notificación diciendo que el ciberataque afectó a pedidos de sus clientes y causó interrupciones temporales en las operaciones comerciales. Esta publicación se produjo después de que, en foros y redes sociales, los usuarios alertaran que los sistemas de la empresa no funcionaban y que a los empleados les estaban cancelando turnos de trabajo.

Desde que el descubrimiento de la brecha de seguridad, UNFI ha notificado a las autoridades policiales pertinentes y ha contratado a expertos externos en ciberseguridad para la investigación del incidente. UNFI también ha tomado medidas para tratar de mantener la continuidad del servicio al cliente, aplicando medidas provisionales hasta que se restablezcan los sistemas afectados.

Unas semanas después, el 26 de junio, UNFI ha notificado que ya ha restablecido sus sistemas esenciales y ha puesto en línea los sistemas de pedidos y facturación en línea afectados por un ciberataque.

Hasta el momento, UNFI aún no ha revelado la naturaleza del ataque ni si algún grupo de ciberdelincuencia ha reivindicado la autoría de la brecha. Aun así, la empresa no prevé enviar ningún comunicado a los consumidores, ya que la empresa ha declarado que no se ha visto afectada la seguridad de la información personal de clientes o empleados.

Referencias Etiquetas
Categorías: Noticias

Descubiertas instalaciones nucleares rusas expuestas en Internet

Vie, 25/07/2025 - 10:59
Descubiertas instalaciones nucleares rusas expuestas en Internet 28/05/2025 Vie, 25/07/2025 - 10:59

Una investigación reciente publicada el 28 de mayo de 2025, revela que Rusia ha estado llevando a cabo una modernización a gran escala de su infraestructura de misiles nucleares durante varios años. El medio alemán Der Spiegel y el grupo danés Danwatch, descubrieron documentos clasificados filtrados que mostraban planes arquitectónicos, diseños internos y registros de adquisiciones para nuevas instalaciones militares. Los documentos también incluyen imágenes satelitales de silos nucleares que respaldan sus afirmaciones.

Aunque la investigación no especifica hasta qué punto los trabajos de construcción siguen fielmente los planos, los expertos vinculados a la investigación calificaron la filtración como una “gran violación de la seguridad” para Rusia y podría hacer que las nuevas grandes bases de armas nucleares sean vulnerables a un ataque. Según la publicación de Danwatch, se obtuvieron más de dos millones de documentos relacionados con contratos militares rusos, que se analizaron en colaboración con Der Spiegel.

En diciembre de 2020, el Parlamento ruso aprobó una nueva ley que debía endurecer las normas de contratación pública para el ejército, después de que las autoridades descubrieran que los secretos militares se compartían con demasiada frecuencia en las licitaciones. Por esas fechas, el Ministerio de Defensa ruso también creó una nueva base de datos de licitaciones para compras militares que estaría cerrada al público y sólo disponible para empresas rusas autorizadas. Sin embargo, los funcionarios de las empresas rusas de construcción militar han seguido compartiendo documentos sensibles en la base de datos pública. Danwatch y Der Spiegel recopilaron esa información sensible de las bases estratégicas de armas nucleares hasta verano de 2024. Para ello utilizaron diversas técnicas digitales, incluyendo una red de servidores situados en Rusia, Kazajstán y Bielorrusia.

Referencias Etiquetas
Categorías: Noticias

El sistema de correo electrónico del Washington Post ha sido comprometido

Jue, 24/07/2025 - 13:50
El sistema de correo electrónico del Washington Post ha sido comprometido 15/06/2025 Jue, 24/07/2025 - 13:50

El 12 de junio de 2025, el periódico Washington Post, uno de los periódicos más influyentes de Estados Unidos, detectó que las cuentas de correo de varios de sus periodistas habían sido comprometidas en un ciberataque dirigido. Estas cuentas utilizaban el servicio de mensajería de Microsoft Exchange.

El incidente se descubrió el jueves 12 de junio por la noche y, en ese momento, el periódico inició una investigación del incidente. Como primera medida de precaución, todos los empleados restablecieron sus contraseñas al día siguiente, aunque se estima que la intrusión no ha tenido ningún impacto en otros sistemas o en sus clientes.

Según The Wall Street Journal, el domingo 15 de junio, el editor ejecutivo Matt Murray, envió un memorándum interno a los empleados, informándoles de que había ocurrido una posible intrusión no autorizada en su sistema de correo electrónico. El memorándum también informaba que las cuentas de Microsoft de un número limitado de periodistas estaban afectadas. Fuentes internas dijeron que el ataque iba dirigido a periodistas que escriben sobre temas de seguridad nacional y política económica, así como a algunos que escriben sobre China.

Hasta el momento, Washington Post no ha compartido públicamente ningún detalle sobre el ataque.

Referencias Etiquetas
Categorías: Noticias

INTERPOL desarticula red de malware infostealer en Asia

Mié, 23/07/2025 - 13:49
INTERPOL desarticula red de malware infostealer en Asia 11/06/2025 Mié, 23/07/2025 - 13:49

Durante la llamada operación Secure realizada entre enero a abril de 2025, más de 20.000 direcciones IP o dominios maliciosos vinculados a 69 variantes de infostealers han sido desmantelados en una operación coordinada por INTERPOL contra infraestructuras de ciberdelincuentes. Agencias de orden público de 26 países de Asia (principalmente sudeste asiático), trabajaron en conjunto para encontrar servidores, geolocalizar redes físicas y llevar a cabo desmantelamientos selectivos.

Los países participantes informaron de la incautación de 41 servidores y más de 100 GB de datos, así como de la detención de 32 sospechosos relacionados con actividades cibernéticas ilegales.

La policía vietnamita detuvo a 18 sospechosos, incautando dispositivos en sus domicilios y lugares de trabajo, más de 10.000 euros en efectivo, tarjetas SIM y documentos de registro de empresas. Las autoridades de Sri Lanka llevaron a cabo redadas domiciliarias que condujeron a la detención de 12 personas y a la identificación de 31 víctimas. La Policía de Hong Kong analizó más de 1.700 datos facilitados por INTERPOL e identificó 117 servidores de mando y control alojados en 89 proveedores de servicios de Internet. Estos servidores eran utilizados por los ciberdelincuentes como centros neurálgicos para lanzar y gestionar campañas maliciosas de phishing, fraudes en línea y estafas a través de las redes sociales.

Antes de la operación, INTERPOL cooperó con entidades de ciberseguridad como Group-IB, Kaspersky y Trend Micro para elaborar informes sobre actividades cibernéticas maliciosas, compartiendo información de equipos informáticos de toda Asia. Este trabajo coordinado dio lugar al cierre del 79% de las direcciones IP sospechosas identificadas.

Referencias Etiquetas
Categorías: Noticias

Descubierta página web para fans de Star Wars utilizada como plataforma de espionaje de la CIA

Jue, 17/07/2025 - 14:14
Descubierta página web para fans de Star Wars utilizada como plataforma de espionaje de la CIA 26/05/2025 Jue, 17/07/2025 - 14:14

La Agencia Central de Inteligencia de Estados Unidos (CIA) creó una red secreta de sitios web, incluyendo uno dedicado a la saga de películas Star Wars, para comunicarse con sus informantes en el extranjero. Esta infraestructura clandestina fue descubierta entre 2010 y 2013 por servicios de contrainteligencia de países como Irán y China, lo que llevó a la detención y ejecución de varios de sus colaboradores en esos países.

En un reporte reciente, el investigador en ciberseguridad Ciro Santilli, muestra cómo, utilizando herramientas gratuitas como Wayback Machine y viewdns.info, logró mapear gran parte de dominios y direcciones IP de esta red. Santilli comenzó su investigación a partir de un reportaje de 2022 de la agencia de noticias Reuters, que revelaba errores técnicos en los sitios ocultos, como direcciones IP secuenciales que facilitaban su rastreo. También se basó en información de la organización Citizen Lab, que había identificado 885 páginas vinculadas a la CIA, aunque esa lista nunca fue publicada. Su análisis permitió detectar portales temáticos que iban desde deportes extremos hasta música, muchos dirigidos a países enemigos de Estados Unidos, pero también a aliados como Alemania, Francia, España, Perú y Brasil.

Santilli señala que su trabajo tiene como objetivo documentar estos hechos desde una perspectiva crítica, con énfasis en la transparencia pública y el debate ético sobre las operaciones secretas de inteligencia. Los hallazgos ofrecen una visión del alcance global de las actividades de espionaje digital de la CIA, y los riesgos humanos y estratégicos asociados.

Referencias Etiquetas
Categorías: Noticias

Desactivado sitio web AVCheck utilizado como herramienta contra la detección de malware

Mié, 16/07/2025 - 12:49
Desactivado sitio web AVCheck utilizado como herramienta contra la detección de malware 30/05/2025 Mié, 16/07/2025 - 12:49

Una operación internacional entre varias agencias de seguridad ha desmantelado el servicio AVCheck, utilizado por los ciberdelincuentes para comprobar si sus programas maliciosos son detectados por los antivirus comerciales antes de distribuirlos. El dominio oficial del servicio, avcheck.net, muestra ahora una imagen de incautación con los escudos del Departamento de Justicia de Estados Unidos, el FBI, el Servicio Secreto estadounidense y la Policía holandesa (Politie).

Según el comunicado publicado por Politie, AVCheck era uno de los servicios contraantivirus (CAV) más utilizados del mundo por los ciberdelincuentes para evaluar la evasión de sus programas maliciosos. Los servicios CAV permiten a los desarrolladores de malware comprobar si este será detectado por programas antivirus, lo que permitiría a los delincuentes acceder a las redes de sus víctimas sin ser detectados.

Los investigadores también vinculan a los administradores de AVCheck con los servicios de criptografía Cryptor.biz y Crypt.guru. El primero ha sido incautado por las autoridades, mientras que el segundo está fuera de línea. Los ciberdelincuentes utilizaban los servicios de cifrado para ofuscar su malware, lo probaban en AVCheck u otros servicios CAV similares para ver si era indetectable y, sólo entonces, desplegarlo contra sus objetivos.

Referencias Etiquetas
Categorías: Noticias

Desmantelada infraestructura de ransomware en una nueva fase de la operación Endgame

Mar, 15/07/2025 - 13:47
Desmantelada infraestructura de ransomware en una nueva fase de la operación Endgame 23/05/2025 Mar, 15/07/2025 - 13:47

Del 19 al 22 de mayo de 2025, las autoridades policiales ligadas a la operación Endgame, desmantelaron 300 servidores y neutralizaron 650 dominios utilizados para lanzar ataques de ransomware, y se dictaron órdenes de detención internacionales contra 20 objetivos que lideraban la cadena de ataques. También, durante esa misma semana se incautaron 3,5 millones de euros en criptomonedas, con lo que se estima que el total incautado durante la operación ascendió a unos 21,2 millones de euros.

La operación Endgame es una campaña internacional llevada a cabo de manera conjunta por varias agencias de policía alrededor del mundo contra servicios e infraestructuras de ransomware y otros malware relacionados. Junto con socios y empresas de Ciberseguridad del sector privado, las autoridades coordinadas por Europol y Eurojust atacaron múltiples activos dedicados a la ciberdelincuencia, incluidos Bumblebee, Lactrodectus, Qakbot, DanaBot, Trickbot y Warmcookie.

Estas distribuciones de malware se ofrecen con frecuencia como servicio a otros ciberdelincuentes y se utilizan para acceder a las redes de las víctimas objeto de ataques de ransomware. Además, tienen la capacidad de secuestrar sesiones bancarias, robar datos e historiales de navegación y proporcionar acceso remoto a sistemas comprometidos, lo cual, permite acciones como registrar pulsaciones de teclas o grabar en video las actividades de los usuarios.

Referencias Etiquetas
Categorías: Noticias

Desarticulación de la red de cibercrimen del infostealer Lumma

Jue, 10/07/2025 - 14:11
Desarticulación de la red de cibercrimen del infostealer Lumma 21/05/2025 Jue, 10/07/2025 - 14:11

Europol y Microsoft llevaron a cabo una operación conjunta para desmantelar Lumma, considerado el infostealer más extendido en los últimos años. Entre marzo y mayo de 2025, Microsoft detectó más de 394.000 equipos infectados por Lumma. En una acción coordinada con Europol, la Unidad de Delitos Digitales (DCU) de Microsoft y otros socios internacionales como el Departamento de Justicia de Estados Unidos y el Centro de Control del Cibercrimen de Japón, se interrumpió la infraestructura técnica de Lumma, bloqueando sus comunicaciones con las víctimas. Además, se incautaron y redirigieron más de 1.300 dominios vinculados al malware hacia sumideros DNS de Microsoft.

Lumma es una herramienta que permitía a los ciberdelincuentes recopilar datos confidenciales de dispositivos comprometidos a gran escala. Las credenciales robadas, los datos financieros y la información personal se recopilaban y vendían a través de un mercado especializado, lo que convertía a Lumma en una herramienta central para el robo de identidades y el fraude en todo el mundo. Este mercado de Lumma funcionaba como un centro de compraventa de malware, proporcionando a los delincuentes un acceso rápido a funcionalidades avanzadas de robo de datos.

Europol desempeñó el rol de coordinador mediante el intercambio de inteligencia entre países europeos, apoyándose en las investigaciones de Microsoft y facilitando una respuesta rápida. La operación también incluyó el cierre del panel de control del malware en Estados Unidos, con el que los ciberdelincuentes gestionaban los equipos infectados y la suspensión de infraestructura con base en Japón, debilitando significativamente la red criminal detrás de Lumma.

Referencias Etiquetas
Categorías: Noticias

Investigadores descubren nuevos fallos en las CPU de Intel que permiten fugas de memoria y ataques Spectre v2

Mié, 09/07/2025 - 14:54
Investigadores descubren nuevos fallos en las CPU de Intel que permiten fugas de memoria y ataques Spectre v2 13/05/2025 Mié, 09/07/2025 - 14:54

El grupo de ciberseguridad VUSec, de la Universidad VU Ámsterdam, ha revelado un nuevo ataque denominado Spectre v2, una variante del malware Spectre enfocada específicamente en sistemas Linux que utilizan procesadores Intel. VUSec presentó su exploit nativo de Spectre v2 contra el kernel de Linux, que lograba una fuga de memoria en los procesadores de Intel más recientes. A pesar de las múltiples mitigaciones introducidas desde 2018, cuando se descubrieron las vulnerabilidades Spectre y Meltdown, los investigadores han demostrado que todavía existen vías para explotarlas.

La vulnerabilidad Spectre explota un mecanismo común en los procesadores actuales llamado ejecución especulativa, que permite predecir y ejecutar instrucciones antes de que se confirmen, con el objetivo de mejorar el rendimiento. Estas ejecuciones especulativas se cancelan si la predicción resulta incorrecta y pueden dejar rastros en la memoria caché, los cuales pueden ser medidos y analizados por un atacante. De esta forma, es posible interceptar el flujo de control de los procesos y extraer información sensible, como claves de cifrado, contraseñas o datos del sistema operativo, sin necesidad de privilegios elevados que permitan el acceso a esa información.

En el caso particular de Spectre v2, también conocido como Branch Target Injection (BTI), el atacante engaña al procesador para que salte especulativamente hacia código específico que filtra datos. Esta variante afecta especialmente a sistemas que compartan CPU, como entornos en la nube y virtualización, ya que es capaz de ejecutar procesos entre diferentes sistemas operativos o contenedores.

Por su parte, los fabricantes han lanzado parches de seguridad a nivel de hardware y software. Aun así, los investigadores siguen encontrando métodos para evadir esas mitigaciones como, por ejemplo, otro grupo de investigación de la Universidad de Zurich, que consiguió explotar la vulnerabilidad CVE-2024-45332 implementando condiciones de carrera en el procesador.

Referencias Etiquetas
Categorías: Noticias

Estudiante de 19 años se declara culpable por el hackeo masivo a PowerSchool y extorsión millonaria

Mar, 08/07/2025 - 17:53
Estudiante de 19 años se declara culpable por el hackeo masivo a PowerSchool y extorsión millonaria 20/05/2025 Mar, 08/07/2025 - 17:53

Matthew D. Lane, estudiante universitario de Massachusetts de 19 años, se declaró culpable de cargos federales por haber liderado un ciberataque masivo contra PowerSchool, una plataforma educativa ampliamente utilizada en EE.UU. y Canadá. Entre abril y mayo de 2024, Lane utilizó credenciales robadas para acceder ilegalmente a un proveedor de almacenamiento en la nube que presta servicios a sistemas escolares en Estados Unidos y Canadá. Con ello, consiguió transferir datos confidenciales de más de 60 millones de estudiantes y 10 millones de profesores a un servidor en Ucrania.

El actor exigió un rescate de 2.85 millones de dólares en Bitcoin para no divulgar la información robada, que incluía datos personales, números de seguridad social y detalles médicos. Además de la filtración de PowerSchool, Lane también se enfrenta a cargos por el intento de extorsión a la empresa de telecomunicaciones estadounidense AT&T, en el que exigió un rescate de 200.000 dólares y amenazó a ejecutivos de la empresa si no accedían al pago.

Los cargos presentados contra Lane, incluyen conspiración para la extorsión cibernética, extorsión, acceso no autorizado a sistemas protegidos y robo de identidad. Cada cargo relacionado con fraude informático podría resultar en hasta cinco años de prisión, libertad supervisada y sanciones financieras sustanciales, mientras que el cargo de robo de identidad conlleva una pena de prisión consecutiva de dos años.

El caso ha generado gran preocupación en el sector educativo y tecnológico, y las autoridades están reforzando la ciberseguridad en plataformas educativas. Lane será sentenciado próximamente y continúa bajo presunción de inocencia hasta la aceptación oficial de su declaración de culpabilidad.

Referencias Etiquetas
Categorías: Noticias

Robo de datos y estafa a Coinbase mediante el soborno a sus empleados

Jue, 03/07/2025 - 13:04
Robo de datos y estafa a Coinbase mediante el soborno a sus empleados 15/05/2025 Jue, 03/07/2025 - 13:04

El 15 de mayo, un informe presentado por Coinbase, plataforma para el comercio de criptomonedas, notificó que casi 70.000 de sus usuarios se vieron afectados por una filtración de datos que estaba ocurriendo desde diciembre de 2024. Entre la información comprometida, se filtraron fotos de pasaportes, documentos de identidad oficiales, nombres, fechas de nacimiento, los cuatro últimos dígitos del número de la Seguridad Social, números de cuentas bancarias e información sobre cuentas, incluidos saldos e historial de transacciones.

Los delincuentes sobornaron a los agentes de atención al cliente y soporte de Coinbase en el extranjero, presuntamente en India. Se llegó a convencer a un pequeño grupo de estas personas que trabajaban con información privilegiada para obtener acceso a la base de datos de la empresa. Su objetivo era recopilar una lista de clientes con los que pudieran ponerse en contacto, suplantando la identidad de la compañía para convencer a las víctimas de transferir sus fondos. Después, intentaron extorsionar a Coinbase por 20 millones de dólares. Sin embargo, la entidad decidió hacer pública la situación que estaba sufriendo.

Como respuesta, Coinbase ha implementado nuevas medidas de seguridad, incluido el rastreo de fondos robados, la vigilancia de retiradas de activos sospechosos y la oferta de una recompensa de 20 millones de dólares por información sobre los responsables. La empresa estima que los costos de mitigación oscilarán entre 180 y 400 millones de dólares.

Referencias Etiquetas
Categorías: Noticias

Israel detiene a sospechoso buscado por EEUU por hackeo de Nomad Bridge

Mié, 02/07/2025 - 14:30
Israel detiene a sospechoso buscado por EEUU por hackeo de Nomad Bridge 06/05/2025 Mié, 02/07/2025 - 14:30

Alexander Gurevich, un ciudadano con doble nacionalidad estadounidense-israelí, ha sido arrestado en Jerusalén por la policía israelí por su presunta participación en el hackeo de Nomad Bridge, ocurrido en agosto de 2022, donde se robaron alrededor de 190 millones de dólares en criptomonedas. Además, las autoridades han iniciado los procedimientos legales, para extraditar a Gurevich a Estados Unidos.

El ataque a Nomad Bridge sucedió debido a la explotación de una vulnerabilidad introducida en una actualización del smart contract Replica, que debía verificar las comprobaciones de los mensajes antes de liberar cualquier fondo, pero el error de configuración permitía aceptar cualquier mensaje con un hash raíz correcto, aunque la mencionada comprobación anterior no fuera válida. Este error desencadenó un saqueo masivo por parte de cientos de atacantes que simplemente copiaron y pegaron un formato específico de transacción. Como resultado, se extrajeron más de 190 millones de dólares en varios tokens de criptomonedas.

Aunque se estima que Gurevich no ha desarrollado el código del exploit, las autoridades creen que habría tenido un rol central en el lavado de los fondos robados. Sus billeteras recibieron activos robados pocas horas después del ataque inicial, lo que sugiere coordinación con los primeros atacantes. Supuestamente se utilizaron técnicas como el “chain-hopping”, para mover los tokens robados a través de varias cadenas de bloques, se ocultó el origen de los fondos y se realizó la conversión a otras criptomonedas usadas para aumentar la privacidad del usuario. También se emplearon cuentas offshore para ocultar el origen de los fondos y convertirlos en dinero efectivo.

A pesar estos esfuerzos para ocultar las transacciones, el análisis de la cadena de bloques permitió rastrear la actividad y vincularla con Gurevich, lo que derivó en su arresto. Además, se descubrió que Gurevich se puso en contacto con el CTO de Nomad Bridge después del ataque, confesando haber estado buscando debilidades en la plataforma y exigiendo una recompensa de 500.000 dólares, lo que refuerza su implicación directa en los hechos.

Referencias Etiquetas
Categorías: Noticias

Vulnerabilidad en aplicación de citas revela información personal y de ubicación de sus usuarios

Mar, 01/07/2025 - 16:26
Vulnerabilidad en aplicación de citas revela información personal y de ubicación de sus usuarios 02/05/2025 Mar, 01/07/2025 - 16:26

La aplicación de citas Raw, lanzada en 2023 y con más de 500.000 descargas en Android, sufrió una grave filtración de datos que expuso públicamente información sensible de sus usuarios. Esta información incluía nombres de usuario, fechas de nacimiento, preferencias sexuales y datos de ubicación con una precisión de unos pocos metros. La filtración fue descubierta por TechCrunch realizando unas pruebas sencillas de funcionamiento sobre la aplicación, revelando que los datos se podían acceder fácilmente desde un navegador web sin autenticación previa.

Raw se promociona como una app que ofrece interacciones más genuinas, pidiendo a los usuarios subir selfies diarios. La compañía también anunció recientemente un dispositivo portátil llamado “Raw Ring”, diseñado para rastrear signos vitales de la pareja y detectar posibles infidelidades mediante inteligencia artificial. La aplicación, a pesar de afirmar en su sitio web y en sus políticas que sus servicios utilizan cifrado de extremo a extremo, TechCrunch no encontró evidencia de esta seguridad al analizar el tráfico de red de la app. En cambio, descubrió que los datos se transmitían sin ningún tipo de cifrado.

La vulnerabilidad, conocida como IDOR (referencia directa a objetos insegura), es un tipo de fallo que permite acceder o modificar datos de otros usuarios sin autorización adecuada. Al cambiar un identificador numérico en la dirección de la API, era posible ver la información privada de cualquier usuario.

Después de ser contactada por TechCrunch, la compañía corrigió rápidamente el problema y afirmó haber implementado medidas adicionales de seguridad. Sin embargo, su cofundadora confirmó que no se había realizado una auditoría de seguridad externa y evitó comprometerse a notificar directamente a los usuarios afectados. La empresa informó que presentará un informe ante las autoridades de protección de datos, pero no respondió a preguntas sobre posibles cambios en su política de privacidad.

Referencias Etiquetas
Categorías: Noticias