RadioCSIRT - Spanish Edition

Abrimos este resumen semanal con una alerta crítica sobre la explotación activa de una vulnerabilidad Zero-Day en Microsoft Office, CVE-2026-21509. Según el CERT-UA, el grupo vinculado a Rusia APT28 ha integrado este fallo en campañas de phishing dirigidas a administraciones ucranianas y a diversas naciones de la UE, utilizando una compleja cadena de infección que involucra WebDAV y el framework de post-explotación Covenant. En un golpe simultáneo a las cadenas de suministro de software, el mecanismo oficial de actualización de Notepad++ fue secuestrado por el actor estatal Violet Typhoon para distribuir malware. Mientras aumentan las amenazas contra las herramientas de productividad, Mozilla apuesta por la privacidad anunciando que Firefox 148 permitirá a los usuarios desactivar centralmente todas las funciones de inteligencia artificial generativa.El panorama de las infraestructuras sufrió fuertes presiones esta semana: la CISA emitió una directiva operativa vinculante que obliga a las agencias federales a retirar todos los equipos End-of-Life (EoL) en un plazo de 12 meses, citando su papel como puntos de entrada persistentes para ataques Edge. Mientras tanto, la botnet AISURU rompió récords globales al lanzar un ataque DDoS hipervolumétrico con un pico de 31,4 Tbps, alimentado por 2 millones de dispositivos Android comprometidos. En el frente regulatorio, la Comisión Europea advirtió a TikTok de posibles multas de hasta el 6% de su facturación global por violar la Ley de Servicios Digitales (DSA) mediante funciones "adictivas por diseño", mientras que las autoridades estadounidenses confiscaron con éxito importantes dominios de piratería operados desde Bulgaria.En cuanto a la ciber-extorsión, el grupo Scattered Lapsus ShinyHunters continúa desafiando los modelos tradicionales de ransomware al combinar el robo de datos con el acoso físico y la ingeniería social. En Alemania, las autoridades advirtieron sobre el robo de cuentas de Signal dirigido a perfiles de alto nivel mediante emparejamientos fraudulentos con códigos QR. Para contrarrestar la evolución de las amenazas, Microsoft presentó un nuevo escáner diseñado para detectar backdoors dentro de los Large Language Models (LLM), y el NCSC del Reino Unido proporcionó un análisis estratégico sobre el Cloud Security Posture Management (CSPM), subrayando que, aunque vitales, estas herramientas son solo una pieza del rompecabezas más amplio de la seguridad en la nube.FuentesSábado 31 de enero de 2026Clubic – https://www.clubic.com/actualite-598390-data-centers-ce-que-revele-la-premiere-reunion-a-bercy-sur-les-projets-en-cours-et-a-venir-en-france.htmlThe Record – https://therecord.media/bulgaria-piracy-sites-streaming-gaming-seized-usUnit 42 – https://unit42.paloaltonetworks.com/russian-cyberthreat-2026-winter-olympics/CERT Santé – https://cyberveille.esante.gouv.fr/alertes/grafana-cve-2026-21720-2026-01-29SANS ISC – https://isc.sans.edu/diary/rss/32668Domingo 1 de febrero de 2026Google TAG – https://blog.google/threat-analysis-group/tag-bulletin-q4-2025/CERT-FR – https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0102/BleepingComputer – https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/The Hacker News – https://thehackernews.com/2026/01/iran-linked-redkitten-cyber-campaign.htmlLunes 2 de febrero de 2026The Register – https://www.theregister.com/2026/02/02/russialinked_apt28_microsoft_office_bug/The Hacker News – https://thehackernews.com/2026/02/notepad-official-update-mechanism.htmlBleepingComputer – https://www.bleepingcomputer.com/news/software/mozilla-will-let-you-turn-off-all-firefox-ai-features/SANS ISC – https://isc.sans.edu/diary/rss/32674Martes 3 de febrero de 2026Zscaler ThreatLabz – https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-googleEFF – https://www.encryptitalready.org/Centro Canadiense de Ciberseguridad – https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-kubernetes-av26-078Miércoles 4 de febrero de 2026CERT-FR – https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-001/NCSC – https://www.ncsc.gov.uk/blog-post/cspm-silver-bullet-or-another-piece-in-the-cloud-puzzleThe Hacker News – https://thehackernews.com/2026/02/microsoft-develops-scanner-to-detect.htmlCISA – https://www.cisa.gov/news-events/alerts/2026/02/03/cisa-adds-four-known-exploited-vulnerabilities-catalogJueves 5 de febrero de 2026The Record – https://therecord.media/cisa-gives-federal-agencies-one-year-end-of-life-devicesThe Hacker News – https://thehackernews.com/2026/02/aisurukimwolf-botnet-launches-record.htmlThe Register – https://www.theregister.com/2026/02/05/asia_government_spies_hacked_37_critical_networks/BleepingComputer – https://www.bleepingcomputer.com/news/security/hackers-compromise-nginx-servers-to-redirect-user-traffic/Viernes 6 de febrero de 2026KrebsOnSecurity – https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/BleepingComputer – https://www.bleepingcomputer.com/news/security/european-commission-says-tiktok-facing-fine-over-addictive-design/BleepingComputer – https://www.bleepingcomputer.com/news/security/germany-warns-of-signal-account-hijacking-targeting-senior-figures/CISA – https://www.cisa.gov/news-events/alerts/2026/02/05/cisa-adds-two-known-exploited-vulnerabilities-catalogDon’t think, patch!Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web:https://www.radiocsirt.com/esNewsletter semanal:https://radiocsirtspanishedition.substack.com/

Abrimos este resumen semanal con un masivo Patch Tuesday de Microsoft, que corrigió 114 vulnerabilidades, incluidos tres días cero; notablemente, la CVE-2026-20805 está siendo explotada activamente. En cuanto a infraestructura, Cisco parcheó un día cero crítico en AsyncOS explotado por actores APT chinos, y AWS remedió la falla de cadena de suministro "CodeBreach" en las tuberías CI de su consola.En el ámbito de la privacidad y regulación, la CNIL francesa impuso una multa combinada de 48 millones de dólares a Free y Free Mobile por fallos de seguridad que afectaron a 24 millones de suscriptores. Mientras tanto, el gigante energético español Endesa reveló una brecha que expuso datos de 22 millones de clientes, y un incidente masivo de scraping afectó a 17,5 millones de usuarios de Instagram.En el panorama de amenazas, Check Point Research analizó "Sicarii", una nueva operación de ransomware que probablemente actúa como bandera falsa con mensajes ideológicos confusos. Las campañas físicas de "Quishing" (phishing con códigos QR) aumentan en Francia, y el infame foro de hacking BreachForums sufrió una filtración de su propia base de datos de usuarios. Finalmente, la cooperación estratégica se refuerza con el Reino Unido presentando su Plan de Acción Cibernética Gubernamental y Alemania asociándose con Israel para construir un sistema de defensa "Cúpula Cibernética" (Cyber Dome).Informes, Estudios y Estrategias Kaspersky Security Bulletin 2025 :https://www.kasbersky.com/about/press-releases/2025_kaspersky-financial-sector-faced-ai-blockchain-and-organized-crime-threats-in-2025 SecurityScorecard (via KnowBe4) :https://www.knowbe4.com/hubfs/Financial-Sector-Threats-The-Shifting-Landscape.pdf ENISA Threat Landscape 2025 :https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025FS-ISAC :https://www.fsisac.com/knowledge/annual-navigating-cyber-2025-report RESCO Courtage :https://www.resco-courtage.com/dora-reglementation-guide-complet-2025 NCSC UK :https://www.ncsc.gov.uk/blog-post/government-cyber-action-plan-strengthening-resilience-across-ukVulnerabilidades, Patch Tuesday y Avisos de Seguridad Microsoft Security Update Guide :https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-0628 CISA (CVE-2025-8110) :https://www.cisa.gov/news-events/alerts/2026/01/12/cisa-adds-one-known-exploited-vulnerability-catalogCISA (CVE-2026-20805) :https://www.cisa.gov/news-events/alerts/2026/01/13/cisa-adds-one-known-exploited-vulnerability-catalogCERT-FR (MISP) :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0030/ CERT-FR (VMware) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0029/CERT-FR (MariaDB) :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0028/ CERT-FR (NetApp) :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0027/ CERT-FR (Google Pixel) :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0026/Krebs on Security :https://krebsonsecurity.com/2026/01/patch-tuesday-january-2026-edition/ Cisco Talos Intelligence :https://blog.talosintelligence.com/microsoft-patch-tuesday-january-2026/CERT Santé :https://cyberveille.esante.gouv.fr/alertes/palo-alto-cve-2026-0227-2026-01-15 BleepingComputer (Cisco AsyncOS) :https://www.bleepingcomputer.com/news/security/cisco-finally-fixes-asyncos-zero-day-exploited-since-november/ CyberPress (AWS Console) :https://cyberpress.org/aws-console-supply-chain-attack-github-hijackingcyber/Fugas de Datos, Incidentes y Ataques BleepingComputer (BreachForums) :https://www.bleepingcomputer.com/news/security/breachforums-hacking-forum-database-leaked-exposing-324-000-accounts/ CyberPress (Instagram) :https://cyberpress.org/instagram-data-leak/ Cybersecurity Dive (SitusAMC) :https://www.cybersecuritydive.com/news/hackers-steal-sensitive-data-major-banking-industry-vendor-situsamc/ BleepingComputer (Endesa) :https://www.bleepingcomputer.com/news/security/spanish-energy-giant-endesa-discloses-data-breach-affecting-customers/ BleepingComputer (Pax8) :https://www.bleepingcomputer.com/news/security/cloud-marketplace-pax8-accidentally-exposes-data-on-1-800-msp-partners/ The Record (Policía de Anchorage) :https://therecord.media/anchorage-police-takes-servers-offline-after-third-party-attackInteligencia de Amenazas (APT, Ransomware, Phishing)Planet.fr (Estafa de Quishing) :https://www.planet.fr/societe-arnaque-a-la-fausse-carte-bancaire-par-courrier-le-mecanisme-du-quishing-qui-vise-vos-coordonnees.2992374.29336.html Check Point Research (Sicarii) :https://research.checkpoint.com/2026/sicarii-ransomware-truth-vs-myth/ Cisco Talos Intelligence (UAT-8837) :https://blog.talosintelligence.com/uat-8837/ Malwarebytes (Phishing LinkedIn) :https://www.malwarebytes.com/blog/news/2026/01/phishing-scammers-are-posting-fake-account-restricted-comments-on-linkedinRegulaciones, Sanciones y Cooperación Internacional The Record (Multa CNIL/Free) :https://therecord.media/france-data-regulator-fine Malwarebytes (Multa Datamasters) :https://www.malwarebytes.com/blog/news/2026/01/data-broker-fined-after-selling-alzheimers-patient-info-and-millions-of-sensitive-profiles The Record (Acuerdo Alemania-Israel) :https://therecord.media/germany-cyber-dome-israelInstitucional: Especial AMSN / Mónaco AMSN :https://amsn.gouv.mc/decouvrir-l-amsn/presentation CERT-MC :https://amsn.gouv.mc/cert-mc Gobierno del Príncipe (Directorio) :https://www.gouv.mc/Gouvernement-et-Institutions/Le-Gouvernement/Ministere-d-Etat/Agence-Monegasque-de-Securite-NumeriqueLégimonaco :https://legimonaco.mc/tnc/ordonnance/2015/12-23-5.664/ ANSSI / cyber.gouv.fr :https://cyber.gouv.fr/actualites/signature-dun-nouveau-programme-de-cooperation-entre-lagence-monegasque-de-securite Gobierno del Príncipe (Conferencia FIRST) :https://www.gouv.mc/Action-Gouvernementale/La-Securite/Actualites/L-Agence-Monegasque-de-Securite-Numerique-participe-a-la-36eme-conference-annuelle-du-Forum-of-Incident-Response-and-Security-TeamsDon’t think, patch!Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web:https://www.radiocsirt.com/esNewsletter semanal:https://radiocsirtspanishedition.substack.com/

Abrimos esta edición con una visión global del estado actual de la amenaza cibernética.El año dos mil veinticinco confirma un nivel de presión cibernética alto y persistente sobre las organizaciones, marcado por la convergencia de vulnerabilidades técnicas críticas, dependencias estructurales de proveedores y crecientes tensiones geopolíticas. Los análisis sectoriales destacan una expansión continua de las superficies de ataque, una explotación creciente de las cadenas de suministro digitales y una profesionalización sostenida de los actores maliciosos, tanto criminales como estatales.A continuación, abordamos un análisis en profundidad del sector financiero, que enfrenta una doble amenaza estructural.Los informes de Kaspersky, ENISA, FS-ISAC y KnowBe4 convergen en una conclusión clara: casi todas las principales instituciones financieras se han visto afectadas por incidentes que involucran a proveedores terceros. Esta exposición sistémica se acompaña de una intensificación de los ataques con motivación geopolítica y de operaciones APT dirigidas a infraestructuras bancarias internacionales, especialmente con fines de financiación estatal o recopilación de inteligencia.También repasamos varios incidentes documentados que ilustran esta dinámica.La compromisión del proveedor bancario SitusAMC pone de relieve los efectos en cascada de los ataques a la cadena de suministro.El ataque reivindicado por el grupo prorruso NoName057(16) contra La Poste se inscribe en una lógica de perturbación simbólica vinculada a las tensiones geopolíticas.Otros casos recientes recogidos por medios especializados confirman la exposición sostenida del sector financiero a ataques que combinan cibercrimen organizado y objetivos estatales.Por último, abordamos la respuesta regulatoria y organizativa frente a estas amenazas.El reglamento DORA constituye un paso estructurante para la resiliencia operativa del sector financiero europeo, pero la experiencia demuestra que la conformidad regulatoria por sí sola no basta frente a adversarios decididos. El control de las dependencias digitales, la visibilidad sobre terceras y cuartas partes y el refuerzo de las capacidades de detección y respuesta siguen siendo retos centrales para limitar impactos sistémicos.No se piensa. Se parchea.Fuentes y ReferenciasInformes Sectoriales y Análisis de AmenazasKaspersky Security Bulletin 2025 - Financial Sector https://www.kaspersky.com/about/press-releases/2025_kaspersky-financial-sector-faced-ai-blockchain-and-organized-crime-threats-in-2025ENISA Threat Landscape 2025 - Finance Sector https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025FS-ISAC - Navigating Cyber 2025 https://www.fsisac.com/knowledge/annual-navigating-cyber-2025-reportKnowBe4 - Financial Sector Threats: The Shifting Landscape https://www.knowbe4.com/hubfs/Financial-Sector-Threats-The-Shifting-Landscape.pdfIncidentes y Compromisiones DocumentadosCybersecurity Dive - SitusAMC Banking Vendor Breach https://www.cybersecuritydive.com/news/hackers-steal-sensitive-data-major-banking-industry-vendor-situsamc/The Record (Recorded Future) - NoName057(16) Attack on La Poste https://therecord.media/pro-russian-hackers-claim-attack-french-postal-service-la-posteAmerican Banker - Marquis Breach (Carter Pape) https://www.muckrack.com/carter-pape/articlesAtribución y Actores de Amenaza EstatalesSecurity Affairs - France Links APT28 to Government Attacks https://securityaffairs.com/171234/apt/france-links-russian-apt28-attacks.htmlCumplimiento y RegulaciónRESCO Courtage - Guía Completa DORA 2025 https://www.resco-courtage.com/dora-reglementation-guide-complet-2025L’Usine Digitale - Ciberataques 2025 y Lecciones Aprendidas https://www.usine-digitale.fr/article/les-cyberattaques-qui-ont-marque-l-annee-2025-et-les-lecons-a-en-tirer.htmlEstudios sobre Proveedores TercerosSecurityScorecard - Third-Party Breach Report 2024 Informe citado en el documento KnowBe4 Financial Sector Threats (datos sobre el 97% de bancos USA y 100% de los grupos financieros europeos afectados a través de proveedores)At-Bay - Cyber Insurance Claims Data 2025 Informe citado en el documento KnowBe4 Financial Sector Threats (datos sobre ransomware indirecto y fraude financiero post-phishing)Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web: https://www.radiocsirt.com/esNewsletter semanal: https://radiocsirtspanishedition.substack.com/

Abrimos este episodio con una vulnerabilidad crítica en n8n reportada por Security Online. La CVE-2025-68668, con una puntuación CVSS de 9.9, permite a un usuario autenticado escapar del sandbox de Python de la plataforma de automatización para ejecutar comandos del sistema arbitrarios, convirtiendo el Code Node en un vector de compromiso total del sistema host.CVEfeed.io señala un fallo de carga de DLL no controlada en AsusSoftwareManagerAgent. La CVE-2025-12793, evaluada en 8.5 en CVSS 4.0, explota una ruta de búsqueda no confiable que permite a un atacante local ejecutar código arbitrario mediante la manipulación de Namespaces de DLL.Clubic cubre la desaparición del dominio principal de Anna's Archive. El registro colocó annas-archive.org bajo estado serverHold dos semanas después de subir 300 terabytes de datos de Spotify, sugiriendo una acción legal del Public Interest Registry tras la demanda de OCLC por la extracción de 2,2 terabytes de datos de WorldCat.Phoronix informa de una situación crítica para el proyecto Debian: los tres miembros delegados del Data Protection Team dimitieron simultáneamente, dejando el proyecto sin un equipo activo para gestionar las obligaciones del RGPD. El líder del proyecto Andreas Tille ahora maneja este rol de forma ad-hoc mientras se esperan nuevos voluntarios.Finalmente, CERT-FR emitió el aviso CERTFR-2026-AVI-0004 concerniente a la CVE-2025-13699 que afecta múltiples ramas de MariaDB. El proveedor no ha especificado la naturaleza exacta del problema de seguridad, pero recomienda actualizar a las versiones 10.11.15, 10.6.24, 11.4.9 o 11.8.4.Fuentes: Security Online – n8n CVE-2025-68668: https://securityonline.info/n8n-sandbox-escape-how-cve-2025-68668-turns-workflows-into-weapons/CVEfeed.io – CVE-2025-12793 ASUS: https://cvefeed.io/vuln/detail/CVE-2025-12793Clubic – Dominio Anna's Archive: https://www.clubic.com/actualite-593797-le-site-qui-avait-pirate-spotify-perd-son-nom-de-domaine.htmlPhoronix – Debian Data Protection Team: https://www.phoronix.com/news/No-Debian-Data-Protection-TeamCERT-FR – Vulnerabilidad MariaDB: https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0004/Don’t think, patch!Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web:https://www.radiocsirt.com/esNewsletter semanal:https://radiocsirtspanishedition.substack.com/

Bienvenidos a su podcast diario de ciberseguridad.Abrimos esta edición con un análisis publicado por FIRST punto org el 29 de diciembre de 2025, presentando la revisión anual de las previsiones de vulnerabilidades para el año 2025. El artículo, escrito por Éireann Leverett, confirma la validación de las previsiones del proyecto Vuln4Cast con 49.183 CVEs publicadas al 29 de diciembre, situándose dentro del intervalo de confianza de 41.142 a 49.868 CVEs establecido en febrero de 2025. El MAPE del 1 coma 39 por ciento contra el límite superior demuestra una excelente precisión de los modelos de previsión.Las previsiones trimestrales para Q4 2025 también están validadas con 12.359 CVEs publicadas, dentro del intervalo de confianza de 11.815 a 14.129 CVEs. Esta precisión inferior al 5% demuestra que las previsiones trimestrales son suficientemente confiables para la planificación operacional de los equipos de gestión de parches, SOCs y CERTs.El artículo destaca la expansión del ecosistema de previsión de vulnerabilidades con CVEForecast punto org desarrollado por Jerry Gamblin en Cisco utilizando XGBoost, y la plataforma Vulnerability-Lookup de CIRCL Luxemburgo que añade seguimiento de avistamientos y estadísticas completas. Los desarrollos futuros se centrarán en la previsión de distribuciones por proveedor, vectores CVSS, CWEs y explotabilidad de vulnerabilidades. Las mejoras están en curso en seis áreas: análisis de causas raíz CWE, predicción de exploits, predicción de explotación, previsión CNA, previsión de vectores CVSS y predicción de puntuaciones CVSS.FIRST anuncia la conferencia VulnOptiCon 2026 en Luxemburgo, hospedada por CIRCL, para permitir a la comunidad compartir metodologías y hacer avanzar colectivamente la ciencia de la exposición y la seguridad predictiva.FuenteFIRST – Revisión anual de las previsiones de vulnerabilidades 2025: https://www.first.org/blog/20251229-Vulnerability-Forecast-ReviewDon’t think, patch!Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web: https://www.radiocsirt.com/esNewsletter semanal: https://radiocsirtspanishedition.substack.com/

Bienvenidos a su podcast diario de ciberseguridad.Abrimos esta edición con varios avisos de seguridad publicados por el CERT-FR sobre vulnerabilidades críticas que afectan a componentes clave del ecosistema Linux y de los entornos empresariales. Los boletines se refieren en particular a Ubuntu, Red Hat y productos IBM, expuestos a fallos que pueden permitir la escalada de privilegios, la ejecución de código arbitrario o la compromisión de la confidencialidad. Estas vulnerabilidades afectan a componentes ampliamente desplegados en infraestructuras de servidores y cloud, lo que subraya la necesidad de una gestión estricta de parches.A continuación, analizamos una vulnerabilidad que afecta al webmail Roundcube, identificada como CVE-2025-68461. Esta falla permite a un atacante remoto explotar los mecanismos de tratamiento de entradas para comprometer la seguridad de las sesiones o ejecutar código malicioso en el contexto del usuario objetivo. Dada la amplia adopción de Roundcube, esta vulnerabilidad representa un riesgo significativo para las organizaciones expuestas a Internet.Por último, revisamos una vulnerabilidad corregida por Microsoft, identificada como CVE-2025-13699. Esta falla afecta a un componente del sistema Windows y puede ser explotada para eludir mecanismos de seguridad u obtener privilegios elevados. Microsoft ha publicado las correcciones correspondientes y recomienda su aplicación inmediata.FuentesCERT-FR – Vulnerabilidades Ubuntu: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1139/CERT-FR – Vulnerabilidades Red Hat: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1141/CERT-FR – Vulnerabilidades productos IBM: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1137/Vulnerabilidad Roundcube – CVE-2025-68461: https://cyberveille.esante.gouv.fr/alertes/roundcube-cve-2025-68461-2025-12-26Microsoft – CVE-2025-13699: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-13699Don’t think, patch!Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web: https://www.radiocsirt.com/esNewsletter semanal: https://radiocsirtspanishedition.substack.com/

Bienvenidos a su podcast diario de ciberseguridad.Abrimos esta edición con un caso que combina cibercrimen y actividades de inteligencia en Europa del Este. En Georgia, el exjefe de contrainteligencia fue arrestado en el marco de una investigación sobre centros de estafa a gran escala. Las autoridades sospechan que facilitó o encubrió operaciones fraudulentas estructuradas con víctimas internacionales, poniendo de relieve una vez más la convergencia entre crimen organizado, corrupción y fraude digital.A continuación, analizamos una campaña de phishing dirigida a usuarios de criptomonedas mediante correos electrónicos falsos que suplantan a Grubhub. Los mensajes prometen multiplicar por diez la criptomoneda enviada. Los fondos son redirigidos inmediatamente a billeteras controladas por los atacantes, sin posibilidad de recuperación, lo que demuestra la eficacia persistente de la ingeniería social aplicada a los activos digitales.Por último, abordamos una operación atribuida a Evasive Panda, un actor vinculado a China, que llevó a cabo actividades de espionaje utilizando una infraestructura DNS comprometida. Los atacantes emplearon técnicas avanzadas de resolución DNS y redirección de tráfico para desplegar cargas maliciosas furtivas y evadir múltiples mecanismos de detección. Esta campaña ilustra la evolución continua de las TTP de los grupos APT en el ámbito del ciberespionaje estatal.FuentesArresto en Georgia – centros de estafa:https://therecord.media/republic-of-georgia-former-spy-chief-arrested-scam-centersPhishing de criptomonedas – correos falsos de Grubhub:https://www.bleepingcomputer.com/news/security/fake-grubhub-emails-promise-tenfold-return-on-sent-cryptocurrency/APT Evasive Panda – infraestructura DNS maliciosa:https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.htmlDon’t think, patch!Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web: https://www.radiocsirt.com/esNewsletter semanal: https://radiocsirtspanishedition.substack.com/

Bienvenidos a su podcast diario de ciberseguridad.Abrimos esta edición con una secuencia geopolítica que marca una nueva etapa de tensiones transatlánticas en torno a la regulación digital. Estados Unidos ha impuesto restricciones de visado a varias personalidades europeas implicadas en la regulación de plataformas tecnológicas, entre ellas Thierry Breton, ex comisario europeo. Washington justifica la decisión acusando a Europa de censura extraterritorial, especialmente en la aplicación del Digital Services Act. La Unión Europea condenó la medida y solicitó explicaciones formales, defendiendo su soberanía regulatoria.Analizamos a continuación CVE-2018-25154, una vulnerabilidad crítica de buffer overflow en GNU Barcode versión 0.99. El fallo en el mecanismo de codificación Code 93 permite la ejecución de código arbitrario mediante archivos de entrada manipulados. El score CVSS 3.1 es crítico con 9.8.Revisamos también CVE-2023-36525, una Blind SQL Injection no autenticada que afecta al plugin WordPress WPJobBoard hasta la versión 5.9.0, explotable de forma remota.En el apartado de cibercrimen, el FBI incautó la infraestructura web3adspanels.org, utilizada como backend para almacenar credenciales bancarias robadas procedentes de campañas de phishing orientadas a account takeover.A continuación, abordamos Urban VPN Proxy, una extensión VPN gratuita cuyas versiones recientes interceptan y exfiltran conversaciones con plataformas de IA, incluyendo metadatos de sesión.Por último, tratamos la explotación activa de CVE-2020-12812 en firewalls FortiGate, una vulnerabilidad antigua que sigue permitiendo el bypass de la autenticación de doble factor mediante LDAP.Fuentes:Regulación tecnológica y tensiones USA–UE: https://www.01net.com/actualites/pourquoi-les-etats-unis-sattaquent-a-thierry-breton-et-aux-autres-regulateurs-de-la-tech.htmlCVE-2018-25154 – Desbordamiento de búfer en GNU Barcode: https://cvefeed.io/vuln/detail/CVE-2018-25154CVE-2023-36525 – Inyección SQL ciega en WPJobBoard: https://cvefeed.io/vuln/detail/CVE-2023-36525Incautación del FBI – web3adspanels.org: https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.htmlRecopilación de datos de Urban VPN Proxy: https://boingboing.net/2025/12/19/this-free-vpn-is-a-massive-security-risk.htmlExplotación de la vulneración de 2FA en FortiGate: https://cyberpress.org/hackers-abuse-3-year-old-fortigate-flaw/Don’t think, patch!Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web: https://www.radiocsirt.com/esNewsletter semanal: https://radiocsirtspanishedition.substack.com/

Bienvenidos a su podcast diario de ciberseguridad.Una nueva iniciativa reúne a expertos voluntarios en ciberseguridad para reforzar la protección de los servicios de agua frente a amenazas crecientes. Profesionales de la comunidad DEF CON Franklin colaboran con operadores públicos para evaluar sistemas OT y mejorar la resiliencia de infraestructuras críticas.MongoDB ha emitido una advertencia urgente instando a los administradores a corregir de inmediato una grave vulnerabilidad de ejecución remota de código. La falla afecta a servidores Node.js y cuenta con exploits de prueba disponibles públicamente.Una campaña de compromiso masivo vinculada al malware PCPcat explotó vulnerabilidades críticas en Next.js y React, comprometiendo más de 59.000 servidores en menos de 48 horas y robando credenciales y claves SSH.En Francia, La Poste y La Banque Postale sufrieron importantes interrupciones tras un ataque DDoS durante las fiestas, afectando a varios servicios en línea sin evidencia de filtración de datos.Fuentes:Cyber Volunteers / Water Utility / MSSP : https://therecord.media/cyber-volunteer-water-utility-msspMongoDB – Severe RCE Patch Warning : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/PCPcat – React/Next.js Servers Breach : https://thecyberexpress.com/pcpcat-react-servers-nextjs-breach/La Poste – Outage After a Cyber Attack : https://securityaffairs.com/186064/security/la-poste-outage-after-a-cyber-attack.htmlDon’t think, patch!Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web: https://www.radiocsirt.com/esNewsletter semanal: https://radiocsirtspanishedition.substack.com/

Bienvenidos a su podcast diario de ciberseguridad.CISA ha incluido la CVE-2023-52163 en su catálogo KEV tras confirmar su explotación activa en grabadores Digiever DS-2105 Pro. El fallo permite evadir los controles de autorización. CISA urge a actualizar el firmware para prevenir el acceso no autorizado. Esta vulnerabilidad es un vector común para intrusiones en infraestructuras IoT y redes de vigilancia física.Genians Security Center detalla la campaña "Artemis" de APT37 contra Corea del Sur mediante documentos HWP. El ataque emplea objetos OLE y DLL side-loading vía VolumeId para desplegar el troyano RoKRAT. La campaña usa esteganografía y servicios de nube como Yandex y pCloud para el control C2. El uso de procesos legítimos para ejecutar el malware dificulta su detección por soluciones tradicionales.SoundCloud informa de una brecha que afecta a 26 millones de cuentas tras un acceso no autorizado a un panel secundario. Los datos expuestos incluyen correos y perfiles públicos, sin afectar a contraseñas. El incidente provocó ataques DDoS y problemas de conectividad VPN debido al endurecimiento de los controles de identidad implementados por la plataforma.Investigadores de Socket Security detectaron dos extensiones de Chrome, Phantom Shuttle, que roban credenciales en 170 dominios, incluidos AWS y GitHub. Las extensiones interceptan el tráfico mediante scripts PAC y actúan como Man-in-the-Middle. La información confidencial se envía en texto plano al servidor C2 phantomshuttle[.]space, comprometiendo tokens de sesión y claves API.Anna’s Archive publicó 300 terabytes de contenido de Spotify, incluyendo 86 millones de canciones. El scraping masivo se realizó mediante stream-ripping automatizado con cuentas de terceros durante meses. Spotify desactivó las cuentas implicadas y reforzó sus defensas para detectar patrones de reproducción anómalos y proteger los derechos de los creadores.Sources:CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalogAPT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dllSoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.htmlSpotify Scraping : https://therecord.media/spotify-disables-scraping-annasDon’t think, patch!Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web: https://www.radiocsirt.com/esNewsletter semanal: https://radiocsirtspanishedition.substack.com/

Bienvenidos a su podcast diario de ciberseguridad.Pornhub alerta a sus suscriptores Premium tras una exposición de datos el 8 de noviembre de 2025 mediante el proveedor de analytics Mixpanel. Los cibercriminales amenazan con contactar directamente a los usuarios afectados por email. Mixpanel disputa que los datos provengan de su incidente de seguridad del 8 de noviembre, indicando ninguna evidencia de exfiltración desde sus sistemas. Pornhub confirma que contraseñas, detalles de pago e información financiera no están comprometidos, limitándose la exposición a un conjunto restringido de eventos analíticos. Los atacantes explotan estos datos para campañas de sextortion dirigidas específicamente a usuarios Premium identificados.Intezer documenta una campaña del grupo Goffee dirigida a personal militar ruso y organizaciones de defensa. El ataque inicial identificado en octubre utiliza un archivo XLL malicioso subido desde Ucrania luego Rusia a VirusTotal, titulado "enemy's planned targets". El archivo despliega el backdoor EchoGather para recopilar información del sistema, ejecutar comandos y exfiltrar archivos hacia un servidor C2 disfrazado como sitio de entrega de comida. Los señuelos de phishing incluyen falsa invitación a concierto para oficiales militares superiores y carta imitando el Ministerio de Industria y Comercio ruso solicitando documentos de justificación tarifaria para contratos de defensa.CISA y NIST publican el borrador del Interagency Report 8597 sobre protección de tokens y aserciones de identidad contra falsificación, robo y uso malicioso. El documento aborda incidentes recientes en proveedores cloud principales que apuntan al robo, modificación o falsificación de tokens de identidad para acceder a recursos protegidos. El informe cubre controles IAM para sistemas que utilizan aserciones y tokens firmados digitalmente en decisiones de acceso. NIST solicita a los CSP aplicar principios Secure by Design, priorizando transparencia, configurabilidad e interoperabilidad. Las agencias federales deben comprender arquitectura y modelos de despliegue de sus CSP para alinear postura de riesgo y entorno de amenaza.Check Point Research ha documentado GachiLoader, un loader malware Node.js fuertemente ofuscado distribuido mediante YouTube Ghost Network. La campaña aprovecha 39 cuentas comprometidas difundiendo más de 100 vídeos dirigidos a usuarios de cheats para videojuegos, acumulando 220.000 visualizaciones desde diciembre de 2024. El malware implementa verificaciones anti-análisis que incluyen RAM mínima de 4 GB, 2 núcleos CPU y listas negras de usernames, hostnames y procesos en ejecución. GachiLoader desactiva Windows Defender y añade exclusiones para C:\Users, C:\ProgramData, C:\Windows y la extensión .sys. Se han observado dos variantes: la primera descarga Rhadamanthys desde servidores C2, mientras la segunda despliega Kidkadi.node utilizando técnica Vectored Overloading para interceptar llamadas del sistema y cargar PE malicioso.Fuentes: Pornhub sextortion: https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposure | Goffee APT: https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing | NIST/CISA tokens: https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-and | GachiLoader: https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/Don’t think, patch!Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web: https://www.radiocsirt.com/esNewsletter semanal: https://radiocsirtspanishedition.substack.com/

Bienvenidos a su podcast diario de ciberseguridad.La mayoría de los dominios recientemente registrados y aparcados están sirviendo contenido malicioso. Los análisis muestran un uso creciente de servicios de domain parking para alojar páginas de phishing, falsas actualizaciones de software y redirecciones hacia infraestructuras de estafa. Estos dominios se utilizan como infraestructura efímera para evadir controles de reputación y acelerar campañas de fraude y malware delivery.El grupo APT iraní Infy reaparece con una nueva campaña dirigida. Las operaciones se basan en spear-phishing con documentos maliciosos y señuelos de carácter político y diplomático. Las cargas incluyen backdoors actualizadas, mecanismos de persistencia mediante el registro de Windows y canales C2 HTTP(S) ofuscados, lo que indica una reactivación operativa estructurada.El NIST publica nuevas recomendaciones de seguridad para el uso de smart speakers en entornos de telemedicina domiciliaria. Los riesgos identificados incluyen la interceptación de tráfico de voz no cifrado, la exposición de datos sanitarios y el uso de estos dispositivos como puntos de pivot hacia sistemas hospitalarios. Las medidas recomendadas se centran en el cifrado de comunicaciones, la segmentación de red y el control estricto de accesos.Fuentes:Domain parking malicioso: https://krebsonsecurity.com/2025/12/most-parked-domains-now-serving-malicious-content/APT Infy: https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.htmlNIST smart speakers: https://www.nist.gov/news-events/news/2025/12/securing-smart-speakers-home-health-care-nist-offers-new-guidelinesDon’t think, patch!Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web: https://www.radiocsirt.com/esNewsletter semanal: https://radiocsirtspanishedition.substack.com/

Bienvenido a su podcast diario de ciberseguridad.Las autoridades francesas detuvieron a un individuo de 22 años tras el compromiso del sistema del Ministerio del Interior. La intrusión expuso cuentas de correo y documentos confidenciales incluyendo registros judiciales y bases de datos de personas buscadas. El ataque fue reivindicado en BreachForums. El sospechoso mantuvo persistencia en la red durante varios días. La Fiscalía de París acusó acceso no autorizado a sistemas estatales como grupo organizado, máximo diez años de prisión.WatchGuard publicó el advisory WGSA-2025-00027 abordando CVE-2025-14733, Out-of-bounds Write crítico en el proceso iked de Fireware OS, CVSS 9.3. Explotación activa confirmada habilita ejecución de código remoto no autenticado. Versiones afectadas 11.10.2 hasta 12.11.5 y 2025.1 hasta 2025.1.3. WatchGuard proporciona cuatro direcciones IP de actores de amenazas. Versiones parcheadas disponibles.Riot Games reveló cuatro CVE que afectan UEFI en placas base ASUS, Gigabyte, MSI, ASRock. El fallo de inicialización IOMMU habilita ataques DMA pre-arranque. Dispositivo PCIe malicioso con acceso físico puede modificar memoria del sistema antes de la carga del SO. Carnegie Mellon CERT/CC confirma amplio impacto. Actualizaciones de firmware disponibles.Cyderes documenta CountLoader 3.2 vía software crackeado, estableciendo persistencia imitando Google cada treinta minutos durante diez años. Nueve capacidades incluyendo propagación USB, desplegando ACR Stealer. Check Point reporta GachiLoader vía YouTube Ghost Network, cien videos, 220,000 vistas. Despliega Kidkadi con inyección PE Vectored Exception Handling, Rhadamanthys stealer como payload final.La CNIL impuso multa de un millón de euros contra Mobius Solutions por retención ilegal de 46 millones de registros Deezer post-terminación. Datos filtrados a darknet desde entorno de prueba no asegurado. CNIL confirma aplicación extraterritorial del RGPD.No lo piense demasiado. Parchee.Fuentes:Arresto Francia: https://therecord.media/france-interior-ministry-hack-arrestWatchGuard: https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00027UEFI: https://www.bleepingcomputer.com/news/security/new-uefi-flaw-enables-pre-boot-attacks-on-motherboards-from-gigabyte-msi-asus-asrock/Loaders: https://thehackernews.com/2025/12/cracked-software-and-youtube-videos.htmlCNIL: https://www.zdnet.fr/actualites/fuite-massive-sur-le-darknet-la-cnil-frappe-fort-contre-un-ancien-sous-traitant-de-deezer-487023.htmSus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web: https://www.radiocsirt.com/esNewsletter semanal: https://radiocsirtspanishedition.substack.com/

RadioCSIRT ofrece inteligencia clara y accionable sobre las ciberamenazas actuales: desde vulnerabilidades críticas y operaciones de APT hasta phishing, ransomware y exploits emergentes.Con la confianza de profesionales de la seguridad en diversos sectores, proporciona el conocimiento situacional necesario para proteger sistemas, datos y personas.Tras más de 500 episodios diarios en francés, RadioCSIRT ya está disponible en español, ofreciendo la misma precisión y profundidad operativa a una audiencia global.Centrado en las necesidades de los equipos CERT, CSIRT, CISO y SOC, cada boletín está diseñado para ayudar a los defensores a anticipar, detectar y responder a incidentes con confianza.Porque en ciberseguridad, el tiempo lo es todo.