Blog
Arrancamos con Google que reveló 97 vulnerabilidades de día cero explotadas en 2024, más de la mitad usadas en ataques de spyware.
Según un informe de Google Threat Analysis Group (TAG) y Mandiant, en 2024 se identificaron 97 vulnerabilidades de día cero explotadas activamente, lo que representa un aumento del 50% respecto al año anterior. Más del 60% de los exploits estuvieron relacionados con la instalación de spyware, especialmente contra dispositivos móviles de Apple, Google y Samsung. También se destacó el uso de estos exploits en ataques dirigidos a empleados gubernamentales, de ONGs y del sector tecnológico.
El negocio del spyware crece porque las grandes tecnológicas y los gobiernos, en el fondo, lo toleran. Básicamente porque son parte del mismo negocio, ya sabemos que los grandes compradores de spyware son los propios gobiernos. Entre fantasmas no se van a pisar las sábanas.
Empresas y usuarios debemos asumir que nuestros dispositivos móviles son ahora objetivos prioritarios, no secundarios. Por este motivo, es crucial fortalecer la seguridad móvil al mismo nivel que la de los sistemas tradicionales.
Actualizar sistemas y aplicaciones de inmediato no es opcional. Cada día que pasa sin aplicar un parche de seguridad puede ser una ventana abierta para los atacantes.
Así que andá a actualizar tus dispositivos ya mismo.
Y hablando de revelaciones, el FBI reveló una lista de 42.000 dominios usados en campañas de phishing de LabHost.
El FBI compartió públicamente una lista de más de 42.000 dominios utilizados en campañas de phishing operadas a través de la plataforma criminal LabHost, recientemente desmantelada. LabHost ofrecía servicios de "phishing como servicio" (PhaaS), permitiendo a ciberdelincuentes lanzar ataques de suplantación de identidad a gran escala sin necesidad de conocimientos técnicos avanzados. Esta colaboración internacional también apunta a facilitar el bloqueo de estos dominios por parte de empresas de ciberseguridad y proveedores de servicios de internet.
Si no estás tomandote la ciberseguridad en serio, y pensás que es algo que solo le pasa "a empresas más grandes" o "a gente más importante", estás muy equivocado. Ya sabemos que el negocio del cibercrimen ya es eso, un negocio, con estructuras complejas tanto a nivel comercial como organizacional.
A partir de estas revelaciones, las empresas tienen que implementar soluciones de filtrado de DNS y correo electrónico que permitan bloquear dinámicamente listas negras actualizadas, como la publicada por el FBI.
Independientemente de eso, la capacitación constante de empleados para detectar phishing sigue siendo esencial: las técnicas se industrializan, pero la defensa humana sigue siendo la última barrera.
Por otro lado, microsoft juega a los tres chiflados con una vulnerabilidad. Sacaron un parche para una vulnerabilidad de tipo symlink, pero la solución introdujo otra vulnerabilidad de tipo symlink. Larry, Curly y Moe estarían orgullosos.
Microsoft lanzó una actualización para corregir la vulnerabilidad CVE-2025-21204, relacionada con la manipulación de archivos mediante symlinks (enlaces simbólicos). Sin embargo, investigadores descubrieron que el parche no solo fue insuficiente, sino que también introdujo una nueva vulnerabilidad de symlink, diferente de la original pero explotable de manera similar. El problema radica en la falta de validaciones adecuadas en el control de rutas de archivo, una falla clásica que persiste incluso en entornos altamente auditados.
Cuando las empresas como Microsoft se apuran a "parchear para las métricas" en lugar de corregir a fondo, el remedio puede terminar siendo más peligroso que la enfermedad.
Es importante no confiar ciegamente en los parches de seguridad recién lanzados: es fundamental aplicar políticas de prueba de actualizaciones en entornos controlados antes de su despliegue masivo.
A nivel de desarrollo de software, el control exhaustivo de entradas y validaciones de rutas debe ser obligatorio en cualquier desarrollo seguro, especialmente para aplicaciones que manejan archivos a bajo nivel.
En este caso les tengo que recomendar actualizar, pero actualizar la actualización.
Y siguiendo con vulnerabilidades, detectan explotación activa de la vulnerabilidad CVE-2025-31324 en sistemas SAP.
Investigadores de Onapsis advirtieron sobre ataques activos que explotan esta vulnerabilidad en sistemas SAP. Esta falla permite a actores maliciosos ejecutar código de forma remota en instancias SAP configuradas de manera vulnerable, afectando potencialmente operaciones críticas de negocio. La explotación puede comprometer bases de datos, flujos financieros y secretos corporativos sin necesidad de autenticación previa, lo que eleva el riesgo para las organizaciones que dependen de SAP para su gestión empresarial.
Las empresas que implementan soluciones críticas como SAP sin un monitoreo de seguridad especializado están jugando a la ruleta rusa con su información más sensible. Más aún teniendo en cuenta que SAP es una herramienta muy costosa, por lo que quienes la usan son empresas grandes que deberían tener presupuesto y destinarlo también a la ciberseguridad.
Estas organizaciones que utilizan SAP deben mantener procesos de hardening y monitoreo continuo específicamente orientados a proteger sus aplicaciones empresariales. No basta con proteger el perímetro general.
Y en general, ante vulnerabilidades críticas conocidas, y explotadas, la respuesta debe ser inmediata: aplicar parches, verificar configuraciones seguras y auditar posibles accesos indebidos recientes.
Entrando en la sección noticias bizarras de la semana, tenemos el caso del CEO de una empresa de ciberseguridad que fue atrapado plantando malware en un hospital de Oklahoma.
Jeffrey Bowie, CEO de una empresa de ciberseguridad, fue descubierto instalando malware en el sistema de un hospital de Oklahoma. Al parecer habría ingresado diciendo que tenía un familiar enfermo, luego recorrió las instalaciones y terminó accediendo a equipos que estaban marcados para ser utilizados solo por el personal e instaló software malicioso que realizaba capturas de pantalla cada 20 segundos y las enviaba a un servidor de comando y control.
Cabe destacar que según lo informado, la empresa de Bowie sería proveedor del hospital, justamente en temas de ciberseguridad.
Bowie fue arrestado y esta siendo investigado, pero en forma bastante bizarra hace ciertas declaraciones sin sentido sobre lo ocurrido, diciendo que hizo eso porque tuvo problemas de salud y problemas psicológicos, además de decir que temía por la seguridad de sus propios datos como paciente.
Nada coherente y que sinceramente creo que le juega en contra para su defensa legal, pero bueno.
En este sentido es importante que las organizaciones realicen evaluaciones de antecedentes rigurosas no solo a sus empleados, sino también a los proveedores externos y nunca otorgar privilegios amplios sin un esquema estricto de control, auditoría y separación de funciones, incluso a proveedores “de confianza”.
Para terminar, tenemos el chiste de la semana, se acuerdan de la publicidad anti-piratería de la época de los 2000 que decía "no robarías un auto, no robarías una cartera" etc.?
Era una publicidad que se pasaba en algunos medios y que cuando alquilabas una película muchas veces te obligaba a verlo antes de ver la película. Para los generación z, cuando no existía netflix o youtube, ibas a un lugar físico donde te alquilaban las películas físicas en DVD (antes en VHS), la veías en tu casa y después la devolvías.
Bueno, se descubrió que esa publicidad usaba una fuente en forma no autorizada según la licencia, básicamente en forma pirata, o como les gusta decir a ellos, se robaron la fuente.
Ah, y parece que también la música la habrían usado sin permiso.
En fin, la hipotenusa.
Referencias:
Google: 97 vulnerabilidades de día cero explotadas en 2024, más del 50% en ataques de spyware
https://ojocibernetico.com/2025/04/29/google-97-vulnerabilidades-de-dia-cero-explotadas-en-2024-mas-del-50-en-ataques-de-spyware/
FBI shares massive list of 42,000 LabHost phishing domains
https://www.bleepingcomputer.com/news/security/fbi-shares-massive-list-of-42-000-labhost-phishing-domains/
Microsoft’s patch for CVE-2025–21204 symlink vulnerability introduces another symlink vulnerability
https://doublepulsar.com/microsofts-patch-for-cve-2025-21204-symlink-vulnerability-introduces-another-symlink-vulnerability-9ea085537741
SAP NetWeaver Flaw Lets Hackers Take Full Control: CVE-2025-31324 Explained
https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/
Cybersecurity CEO caught planting malware at Oklahoma hospital
https://www.paubox.com/blog/cybersecurity-ceo-caught-planting-malware-at-oklahoma-hospital
Anti-piratería pirateando fuentes
https://x.com/vxunderground/status/1917780140895133984
