Blog
Arrancamos con una noticia que no habíamos tocado en los últimos resúmenes, pero que tiene un impacto muy grande en España, y es el bloqueo de sitios web en forma indiscriminada por culpa de La Liga (la organización que está detrás del fútbol español) y su bloqueo a sitios de piratería que utilizan servicios como Cloudflare.
A modo de resúmen, a partir de una resolución judicial se autorizó a La Liga (un privado) a solicitar en forma indiscriminada el bloqueo de URLs e IPs de sitios que ellos consideran que afectan sus derechos de propiedad intelectual. ¿El problema? Que muchos de esos sitios utilizan sistemas CDN como CloudFlare o Vercel y la única forma de bloquearlos es bloquear a todo el CDN, lo que implica que se bloquean miles de sitios web legítimos cada vez que se juega un partido de fútbol.
Si bien es real que muchos sitios ilegales utilizan servicios de CDN, en mi opinión eso no justifica de ninguna manera que se pueda bloquear todo el servicio con los efectos que tiene sobre la ciudadanía en general y sobre las empresas que están hosteadas en esos CDN.
Peor aún, los bloqueos los hace de forma indiscriminada un privado, porque cree que si no hubiera piratería ganaría más dinero. La realidad es que el fútbol como entretenimiento está en caída, por la sencilla razón de que tiene mucha más competencia en Internet. La mayoría de las personas que ven los partidos de La Liga en esos sitios no van a ir a comprar una suscripción por no poder acceder, sino que van a mirar otra cosa.
Además, según lo reportado por los usuarios, los bloqueos duran más que los partidos, es decir, se terminan los partidos pero el resto de sitios sigue bloqueado.
Me parece indignante que se utilice la justicia de un país, por parte de un privado para poner sus "derechos" por encima de los derechos de acceso a la información del resto de la ciudadanía. Encima de una organización como La Liga, con lo turbio y opaco que es el ambiente del fútbol en general.
Para los que nos vean desde españa, cloudflare tiene una VPN gratuita con la que deberían poder acceder a cualquier contenido sin restricciones.
Y más allá del caso particular, es importante tener en cuenta como los distintos proveedores de tecnología que utilizamos pueden tener efectos no planificados en las operaciones de nuestras organizaciones. Es un caso extraño, poco común, pero que ocurre al fin de un incidente de disponibilidad por la cadena de suministros, en este caso por un bloqueo totalmente injustificado pero avalado por la justicia de un país.
Y hablando de problemas de seguridad y gobiernos de países, tenemos una nueva noticia proveniente de Estados Unidos, como no podía ser de otra manera relacionada con el DOGE de nuestro amigo Elon Musk.
Según informa Brian Krebs, un arquitecto de seguridad denunció que empleados del DOGE tranfirieron varios GB de datos sensibles de la agencia usando cuentas con poco tiempo de vida par evitar dejar registros en la red.
Además, dice que los grandes flujos de datos hacia el exterior coinciden con varios intentos de acceso bloqueados desde direcciones de red Rusas que intentaron usar credenciales válidas para una cuenta recientemente creada.
Al parecer se habría solicitado la creación de cuentas para empleados del DOGE por fuera de los procedimientos habituales, con los más altos niveles de acceso y que no generaran logs. Básicamente una bomba de tiempo lista para estarllar.
Más allá de los entretelones políticos y empresariales, porque al parecer todo esto surge a partir de reclamos laborales a empresas como SpaceX, de Elon Musk, desde el punto de vista de la ciberseguridad, lo que hicieron ya no es una mala práctica sino que es negligencia pura y dura, sino simple y llana malicia.
Para evitar este tipo de inconvenientes hay que tener procedimientos claros, nadie puede escapar nunca a los registros para saber que es lo que está ocurriendo en nuestra infraestructura y tenemos que tener canales y procedimientos internos de denuncia para prevenir casos de actores maliciosos internos.
Por otro lado, Google decidió empezar a escanear las fotos de los usuarios de android con SafetyCore.
Si bien Google habría dicho que no iba a empezar a escanear nada aún, y era solo un framework, ahora llegó el momento de utilizar este framework y la primer aplicación es Google Messages.
En teoría, este framework permitiría escanear por contenido no deseado y sería controlado por los usuarios, pero en la práctica es de código cerrado y no sabemos realmente como funciona o que es lo que está haciendo.
Los adultos podemos elegir si habilitar o no SafetyCore, pero existe el riesgo de que se vuelva a instalar con las actualizaciones de Google Play.
El problema no es el escaneo en sí, es que, otra vez, vemos funciones supuestamente de protección para los usuarios que podrían ser utilizadas de forma maliciosa por las empresas o por atacantes para acceder a la información privada y sensible de los usuarios.
Como siempre, aunque no es fácil, tenemos que estar al tanto de lo que hacen nuestros dispositivos y saber que información ponemos y donde, porque aunque digan lo contrario, la seguridad real de los usuarios no es una prioridad para las grandes empresas.
Y yéndonos a temas más técnicos, se reporta un reciente ataque de phishing que ha explotado una vulnerabilidad en la autenticación de correos mediante DKIM para suplantar a Google y engañar a sus usuarios con falsas notificaciones de citaciones legales.
A modo de resúmen (pueden ir a leer todos los detalles técnicos a la fuente), los atacantes capturaron un correo legítimo de Google con una firma DKIM válida y lo reenviaron a nuevas víctimas sin modificar su contenido, por eso se dice que es un ataque de "replay". Además utilizaron Google Sites para alojar las páginas de phishing que imitaban portales de soporte de Google, aumentando la credibilidad del engaño.
Esto es un recordatorio de que no podemos confiar ciegamente en ninguna herramienta, en este caso en las herramientas de autenticación de correo electrónico. También nos recuerda lo importante de capacitar a los usuarios, no solo en los temas técnicos de como detectar correos falsos (que en este caso podrían no haber sido efectivos) sino también en cuales son las técnicas psicológicas utilizadas y en que, por ejemplo, se debería sospechar de los correos no esperados sobre temas sensibles.
PHP tiene una nueva vulnerabilidad crítica, quien lo hubiera imaginado. Se descubrió una nueva vulnerabilidad crítica en la función extract() de PHP que permite a los atacantes ejecutar código arbitrario al explotar errores en la gestión de memoria.
Esta vulnerabilidad ya ha sido corregida en las últimas versiones de PHP, así que si usan PHP en cualquier aplicación (desarrollada por ustedes o por un tercero) actualicen lo antes posible. También hay recomendaciones para los desarrolladores sobre revisar el uso de la función extract(), en especial con datos controlados por el usuario como la variable $\_POST etc.
Más allá de la vulnerabilidad en particular, es importante cuando desarrollamos software tener en cuenta la seguridad del mismo en todo su proceso de desarrollo, sí, desde los requerimientos, para reducir las posibilidades de que este tipo de vulnerabilidades nos afecten.
Volvió a aparecer el actor de amenazas norcoreano Lazarus, con un compromiso de al menos 6 empresas de Corea del Sur mediante ataques "watering hole".
Esto ocurrió entre noviembre de 2024 y febrero de 2025 afectando empresas de software, tecnología, finanzas, manufactura de semiconductores y telecomunicaciones.
La táctica empleada fue un ataque de tipo "watering hole", es decir, que comprometieron sitios legítimos para atacar a los usuarios de estos sitios. En este caso comprometieron portales de medios surcoreaons con scripts maliciosos que analizaban a los visitantes y redirigían a los objetivos válidos hacia dominios maliciosos.
Debido a que se trata de un actor avanzado, las técnicas de infección son muchas y variadas, seguramente adaptándose a cada caso en particular.
Esto nos recuerda la importancia de tener una estrategia de seguridad en capas, es decir, no alcanza solo con una medida de seguridad sino que tiene que ser un enfoque más amplio, que incluya cosas como la concientización de los usuarios, la protección de la infraestructura, aplicaciones y endpoints así como protecciones específicas a nivel de acceso a Internet y correo electrónico, entre otros.
Por otro lado, tenemos el caso del rootkit "curing" que explota io_uring para evadir herramientas de seguridad en Linux.
Este es un nuevo desarrollo de los investigadores de ciberseguridad de ARMO y se trata de una prueba de concepto que utilia la interfaz de entrada y salida asíncrona de Linux para evadir las herramientas tradicionales de detección basadas en llamadas al sistema.
Todo se basa en el aprovechamiento del io_uring de Linux que permite realizar operaciones de E/S sin invocar llamadas al sistema convencionales. En ese sentido, Google ha reconocido los riesgos asociados al io_uring y ha limitado su uso en Android y ChromeOS
Creo que en este caso vemos una innovación en el kernel de Linux que no fue lo suficientemente pensada desde el punto de vista de la seguridad, por lo que se han creado nuevos vectores de ataque en forma inadvertida.
Para el desarrollo de nuestras propias aplicaciones, como decíamos antes, hay que tener este tipo de situaciones en cuenta, para intentar reducirlas lo más posible.
Y si usas Linux, revisá si tus herramientas de seguridad tienen visibilidad sobre este tipo de técnicas y si es necesario realizá las configuraciones correspondientes.
Para terminar, tenemos la noticia de que hackers rusos están explotando flujos de OAuth 2.0 para secuestrar cuentas de Microsoft 365.
Esto viene ocurriendo desde marzo de 2025, o sea que es bien reciente y han atacado a empleados de organizaciones relacionadas con Ucrania y derechos humanos. Los atacantes se hacne pasar por funcionarios europeos y contactan a las víctimas a través de plataformas de mensajería como WhatsApp o Signal, solicitando códigos de autorización de Microsoft bajo pretextos falsos, como unirse a reuniones privadas.
Si, lo mismo que le pasa a tu abuela cuando le roban el WhatsApp.
En algunos casos avanzan para registrar un nuevo dispositivo en Microsoft Entra ID, consolidando el acceso no autorizado.
Parece un poco repetitivo, pero volvemos a ver la importancia de la concientización, además de los distintos controles técnicos que podemos implementar.
Esta semana hay fútbol casi todos los días y eso significa una cosa: bloqueos constantes de internet por parte de LaLiga
https://www.xataka.com/servicios/esta-semana-hay-futbol-casi-todos-dias-eso-significa-cosa-bloqueos-constantes-internet-parte-laliga
Whistleblower: DOGE Siphoned NLRB Case Data
https://krebsonsecurity.com/2025/04/whistleblower-doge-siphoned-nlrb-case-data/
Google Starts Scanning Your Photos—3 Billion Users Must Now Decide
https://www.forbes.com/sites/zakdoffman/2025/04/24/google-starts-scanning-your-photos-3-billion-users-must-now-decide/
Google Spoofed Via DKIM Replay Attack: A Technical Breakdown
https://easydmarc.com/blog/google-spoofed-via-dkim-replay-attack-a-technical-breakdown/
Critical Flaw in PHP’s extract() Function Enables Arbitrary Code Execution
https://gbhackers.com/critical-flaw-in-phps-extract-function/
Lazarus hackers breach six companies in watering hole attacks
https://www.bleepingcomputer.com/news/security/lazarus-hackers-breach-six-companies-in-watering-hole-attacks/
Linux io_uring PoC Rootkit Bypasses System Call-Based Threat Detection Tools
https://thehackernews.com/2025/04/linux-iouring-poc-rootkit-bypasses.html
Hackers abuse OAuth 2.0 workflows to hijack Microsoft 365 accounts
https://www.bleepingcomputer.com/news/security/hackers-abuse-oauth-20-workflows-to-hijack-microsoft-365-accounts/
