Blog
Arrancamos con esta noticia de 404 media, que nos cuenta que se encontraron más de 40.000 cámaras no aseguradas que están expuestas a Internet en todo el mundo.
Esto incluye cámaras de vigilancia en transporte, hospitales, cajeros automáticos e incluso monitores de bebés y comederos de aves. Si todo tipo de cámaras en los dispositivos menos pensados.
Además de las cámaras accesibles en sí, que no es tanto una novedad para cualquiera que conozca shodan, encontraron que en la Dark Web se vende el acceso a estas cámaras en distintos foros.
Obviamente esto es un recordatorio de como cada vez tenemos más cámaras en todos lados, con los beneficios de seguridad pero también con los problemas a la seguridad y privacidad que esto genera cuando el acceso no está debidamente controlado.
Si tenés cámaras en tu casa o empresa, lo básico que tenés que hacer asegurarte que el acceso sea a través de usuario y contraseña al menos, y que los usuarios por defecto de estos dispositivos no estén activos ni con las contraseñas con defecto.
Mientras tanto, en Estados Unidos, se filtró un memorando de la cámara de representantes donde se prohíbe el uso de Whatsapp en los dispositivos de esta cámara.
Según el memorando "la oficina de ciberseguridad ha considerado que whatsapp representa un alto riesgo para los usuarios debido a la falta de transparencia en cómo protege los datos de los usuarios, la ausencia de cifrado de datos almacenados y los posibles riegos de seguridad relacionados con su uso".
Si no es bueno para el gobierno de Estados Unidos, siendo Whatsapp una empresa de ese país, no es bueno para nadie realmente.
En el memorando se recomienda utilizar otras herramientas como Teams, Wickr, Signal, iMessage y FaceTime. Aunque realmente para información crítica no deberíamos confiar en ninguno de estos servicios. Cuál es la solución? Depende del modelado de amenazas de cada uno, pero sería razonable en organizaciones de cierto tamaño que las comunicaciones internas se realicen en plataformas 100% bajo el control de la organización.
La justificación de esta medida es que se han realizado muchos ataques a personas a través de esta aplicación, pero la realidad es que se ataca mediante whatsapp por su masividad, no necesariamente porque sea menos segura que otras aplicaciones. ¿Quién huebiera imaginado que iba a estar "defendiendo" a Whatsapp? Bueno, cosas más raras se han visto.
Por otro lado, la policía arrestó a 4 de los administradores de breach forums. Se creía que estos hackers serían rusos o que al menos estaban en algún territorio de habla rusa, pero en realidad se trataba de franceses de veinte años, que fueron arrestados el lunes pasado por la brigada de lucha contra el cibercrimen de la prefectura de París.
Cabe recordar que el FBI había atrapado a Pompompurin en marzo de 2023 cuando comenzaron los problemas para breached. Después de este arresto fue que tomó control del sitio un grupo de 5 franceses, uno de los cuales era "Intelbroker" quien fue arrestado el pasado Febrero.
A partir de ese arresto, el resto de los administradores dieron de baja las operaciones del sitio en Abril, aunque no fue suficiente para que no los encontraran.
La semana pasada tuvimos el nuevo ataque de denegación de servicio más grande de la historia hasta el momento. Otra vez de la mano de Cloudflare, quien declaró que lo bloqueó en forma autónoma.
Este nuevo ataque fue de 7.3 Tbps, generando 37.4 TB en 45 segundos contra un proveedor de servicios de hosting.
El ataque fue multi vectorial, lo que significa que utilizó diversas técnicas en el mismo ataque. Utilizaron diversas técnicas a nivel de distintos protocolos como UDP, NTP, amplificaciones y utilizaron ataques desde la red Mirai, aunque el 99.996% del tráfico fue UDP.
El país desde donde vino la mayor porción de tráfico fue Brasil con un 10,5%, mientras que otros países involucrados fueron Vietnam, Taiwan, China, Indonesia, Ucrania, Ecuador, Tailandia, Estados Unidos y Arabia Saudita.
Obviamente que para protegerse de este tipo de ataques hay pocas cosas que se pueden hacer, una es limitar el acceso geográfico a tus servicios, si es viable para el negocio, y por otro lado contar con algún tipo de servicio de protección como los de cloudflare o simlares.
Y siguiendo con ataques detectados, tenemos el caso del actor de amenazas norcoreano BlueNoroff que habría atacado a un empleado de una empresa de Web3, a traveś de llamadas de zoom falsas, haciéndose pasar por ejecutivos de la empresa con tecnología deepfake.
El objetivo del engaño era que se instalara malware en su computadora con Apple con macOS.
El contacto inicial fue por Telegram, donde le enviaban un link a Calendly para concretar una cita por Google Meet, pero el link al meet llevaba a una página falsa de Zoom.
Todos los detalles técnicos de la infección y como el actor intenta tomar control del equipo y exfiltrar información están en el artículo original.
Y tenemos más noticias relacionadas con ataques, crypto y la web3 y es el caso de CoinMarketCap, un sitio de información sobre precios de criptomonedas, que fue hackeado para robar criptomonedas de usuarios del sitio mediante un popup falso que pedía a los usuarios que conectaran sus billeteras al sitio. Cuando los usuarios conectaban su billetera, les robaban sus criptomonedas.
Este es un nuevo ataque que podríamos clasificar como a la cadena de suministros, ya que no se concretó directamente sobre CoinMarketCap sino a través de una API que el sitio usaba para mostrar una imagen. Los atacantes lograron modificar la respuesta recibida por el sitio para generar el comportamiento malicioso.
Desde el punto de vista de los usuarios, es importante estar siempre atento a este tipo de cambios no anunciados en los sitios o plataformas que utilizamos, principalmente cuando se trata de aplicaciones que tienen que ver con el ámbito financiero.
Por otro lado, desde el punto de vista de las aplicaciones, es cada vez más crítico tener en cuenta los riesgos asociados a las terceras partes y los ataques a la cadena de suministros, porque tu seguridad es tan buena, como la del peor de tus proveedores.
Ahora pasando a las noticias de vulnerabilidades, tenemos una nueva vulnerabilidad en WinRAR. Es una vulnerabilidad de severidad alta, 7.8 de CVSS y se trata de un error de directory traversal que puede llevar a la ejecución remota de código.
La explotación de esta vulnerabilidad es a través de un archivo RAR especialmente diseñado que al ser abierto por el usuario puede ejecutar código arbitrario.
La vulnerabilidad está solucionada por lo que se recomienda actualizar WinRAR lo antes posible.
Los que no tienen actualización disponible, o posible, son los millones de impresoras Brother que tienen una vulnerabilidad crítica de 9.8.
En realidad se trata de 8 vulnerabilidades encontradas, que afectan a 748 modelos de impresoras, escáneres y etiquetadoras Brother, pero hay una de las 8 que es crítica y no puede ser parcheada. En concreto esta vulnerabilidad permite a un atacante generar la contraseña de administrador por defecto. Esta contraseña se genera a partir de datos del propio dispositivo, por lo que si el atacante cuenta con esa información (que se puede obtener mediante otras debilidades) puede generar la clave de administrador.
Posiblemente esta forma de generar la contraseña esté "hardcodeada" en el propio hardware de los dispositivos, por lo que no es parcheable por firmware e incluso requiere de cambios en el proceso de producción de los equipos para que deje de ser introducida en los equipos nuevos que salen de fábrica.
En estos casos, como en muchos de aplicaciones legacy que tienen software vulnerable que no se puede actualizar, siempre es bueno evaluar medidas de mitigación alternativas, como el aislamiento de los dispositivos en la red, limitar especialmente el acceso e implementar soluciones de protección y monitoreo externas como un IDS o IPS.
Otros que no se salvaron esta semana fueron los muchachos de IBM que reportaron una vulnerabilidad en IBM i, el sistema operativo para los Power Systems. La vulnerabilidad en cuestión permite a un usuario elevar privilegios y tiene un puntaje de 8.8 en CVSS.
IBM ya publicó un parche para esta vulnerabilidad, que ya puede ser instalado en los sistemas que lo soportan.
Siempre dicen que nunca echaron a nadie por comprar IBM, pero esta podría ser la primera vez si no actualizas a tiempo.
Para terminar, nos vamos con la noticia poco esperada de que China estaría utilizando a su ejército de hackers estatales para atacar a su supuesto aliado, Rusia, para robar secretos de la guerra con Ucrania.
Esto es algo detectado desde que empezó la guerra de Rusia con Ucrania, donde actores relacionados con el Gobierno Chino atacaron empresas y agencias de gobierno de Rusia, en búsqueda de secretos militares.
Así que, aunque se muestren como aliados, amigos y se comprometan a no atacarse entre sí, parece que como dice el dicho, en el amor y en la (ciber) guerra todo se vale, al menos para China.
40,000 Cameras, From Bird Feeders to Baby Monitors, Exposed to the Internet
https://www.404media.co/cameras-exposed-to-the-internet-report/
WhatsApp está prohibido en los dispositivos de la Cámara de Representantes de EE.UU., según un memorando
https://ojocibernetico.com/2025/06/23/whatsapp-esta-prohibido-en-los-dispositivos-de-la-camara-de-representantes-de-ee-uu-segun-un-memorando/
La police interpelle cinq hackers français de haut vol, derrière un célèbre forum de vol de données
https://www.leparisien.fr/high-tech/la-police-interpelle-cinq-hackers-francais-de-haut-vol-derriere-un-celebre-forum-de-vol-de-donnees-25-06-2025-QJTPFTDPQZAP7B25MF24YLHU6E.php
Massive 7.3 Tbps DDoS Attack Delivers 37.4 TB in 45 Seconds, Targeting Hosting Provider
https://thehackernews.com/2025/06/massive-73-tbps-ddos-attack-delivers.html
BlueNoroff Deepfake Zoom Scam Hits Crypto Employee with macOS Backdoor Malware
https://thehackernews.com/2025/06/bluenoroff-deepfake-zoom-scam-hits.html
CoinMarketCap briefly hacked to drain crypto wallets via fake Web3 popup
https://www.bleepingcomputer.com/news/security/coinmarketcap-briefly-hacked-to-drain-crypto-wallets-via-fake-web3-popup/
CVE-2025-6218: WinRAR Directory Traversal Bug Opens the Door to Remote Code Execution
https://securityonline.info/cve-2025-6218-winrar-directory-traversal-bug-opens-the-door-to-remote-code-execution/
Millions of Brother Printers Hit by Critical, Unpatchable Bug
https://www.darkreading.com/endpoint-security/millions-brother-printers-critical-unpatchable-bug
CVE-2025-36004: IBM i Vulnerability Allows Privilege Escalation
https://securityonline.info/cve-2025-36004-ibm-i-vulnerability-allows-privilege-escalation/
China Unleashes Hackers Against Its Friend Russia, Seeking War Secrets
https://www.nytimes.com/2025/06/19/world/europe/china-hackers-russia-war-ukraine.html
