martes, 23 de septiembre de 2025

Un ciberataque interrumpe las operaciones en aeropuertos europeos, incluidos Heathrow y Bruselas

⚠️ Importancia: 5 – Crítica
🎯 Recursos Afectados: Sistemas de facturación y embarque en aeropuertos europeos (Heathrow, Bruselas, Berlín).

📌 Descripción

Un ciberataque contra Collins Aerospace, proveedor de sistemas de facturación y embarque para aerolíneas a nivel mundial, provocó la interrupción de operaciones en varios de los aeropuertos más importantes de Europa. Entre los más afectados se encuentran:

Heathrow (Londres) – el aeropuerto con mayor tráfico en Europa.
Bruselas.
Berlín.

El incidente obligó a suspender los procesos electrónicos de check-in y depósito de equipaje, dejando únicamente disponible el registro manual de pasajeros.

🛑 Detalle técnico

RTX, empresa matriz de Collins Aerospace, confirmó que se trató de una interrupción cibernética en su software.
El ataque impactó específicamente en el check-in electrónico y sistemas automatizados de embarque.
Según el aeropuerto de Bruselas, el incidente ocurrió en la noche del viernes, provocando:
- 10 vuelos cancelados.
- Retrasos promedio de 1 hora en salidas.
Los aeropuertos afectados publicaron avisos instando a los pasajeros a verificar con sus aerolíneas antes de desplazarse.

✈️ Impacto en aerolíneas y aeropuertos

Delta Air Lines: habilitó soluciones alternativas y espera un impacto mínimo.
EasyJet: no reporta afectaciones.
Ryanair e IAG (propietaria de British Airways): aún no han respondido a solicitudes de información.
Francfort y Zúrich: confirmaron que sus operaciones no fueron afectadas.

La ministra de Transporte del Reino Unido, Heidi Alexander, aseguró que recibe actualizaciones constantes sobre la situación.

✅ Solución y medidas en curso

Se ha implementado facturación manual como contingencia.
Collins Aerospace trabaja en la restauración completa de sus sistemas.
Las autoridades recomiendan a los pasajeros afectados mantener contacto directo con sus aerolíneas antes de presentarse en los aeropuertos.

🔐 Recomendación de Ciberseguridad Digital

Este incidente refleja cómo los ciberataques a proveedores críticos generan un efecto en cadena que impacta no solo a las empresas atacadas, sino también a millones de usuarios finales.

Las infraestructuras críticas de transporte son un objetivo frecuente de los atacantes.
Es fundamental contar con planes de continuidad de negocio (BCP) y procedimientos de contingencia (como facturación manual).
La dependencia de un único proveedor incrementa el riesgo sistémico en sectores como aviación, energía y salud.

📧 Contacto: info@ciberseguridaddigital.com
🌍 Web: www.ciberseguridaddigital.com
🌎 Servicios aplicables en España, Sudamérica y el resto del mundo.

viernes, 19 de septiembre de 2025

Múltiples vulnerabilidades en productos de D-Link que han alcanzado su vida útil

⚠️ Importancia: 5 – Crítica

🎯 Recursos Afectados: Todas las versiones de DIR-412 y DSL-7740C.

📌 Descripción

D-Link ha publicado dos avisos de seguridad en los que reconoce la existencia de una vulnerabilidad de severidad crítica junto con otras ocho adicionales aún sin clasificar en dispositivos que ya han alcanzado su fin de vida útil (EoL) o fin de soporte (EoS).

La vulnerabilidad crítica podría permitir la ejecución remota de comandos arbitrarios, otorgando al atacante el control total del dispositivo sin necesidad de autenticación.

🛑 Detalle técnico

El fallo principal afecta a diversos routers de la marca D-Link (como DIR-110, DIR-600, DIR-615, entre otros). La causa está en una función interna llamada service.cgi, que procesa órdenes del sistema pero no valida correctamente los parámetros que recibe.

Un atacante remoto puede enviar una petición HTTP POST manipulada con el parámetro:


EVENT=CHECKFW

Dentro de este campo se pueden ocultar comandos maliciosos, que son ejecutados directamente con privilegios de administrador en el router.

➡️ En la práctica, esto significa que cualquier persona en Internet podría tomar el control total del router vulnerable, instalar malware, redirigir tráfico o espiar comunicaciones.

✅ Solución

Dado que los dispositivos afectados ya han alcanzado su ciclo de vida (EoL/EoS), no recibirán parches de seguridad.

La única solución recomendada es:

Retirar y reemplazar los equipos vulnerables por dispositivos actualizados y con soporte activo.
En entornos donde no sea posible la sustitución inmediata, se recomienda aislar el router de la red pública, deshabilitar servicios innecesarios y considerar el uso de un firewall externo como medida temporal.

🔐 Recomendación de Ciberseguridad Digital

El uso de dispositivos sin soporte representa un riesgo crítico para la infraestructura de cualquier organización o usuario doméstico. Mantener hardware actualizado es esencial para garantizar la seguridad de las comunicaciones y evitar que los atacantes utilicen estos equipos como punto de entrada para comprometer toda la red.

📧 Contacto: info@ciberseguridaddigital.com
🌍 Página web: www.ciberseguridaddigital.com
🌎 Aplicable a España, Sudamérica y el resto del mundo.

Fraude masivo suplantando a Lidl con falsos descuentos online

Se ha detectado una campaña masiva de fraude digital en la que ciberdelincuentes utilizan la marca Lidl como gancho para atraer a usuarios desprevenidos. Los atacantes publican anuncios falsos en buscadores y redes sociales ofreciendo productos a precios extremadamente bajos.

Una vez que el usuario accede al enlace, es redirigido a una página web fraudulenta con apariencia similar a la oficial de Lidl, donde se le solicita información personal y bancaria para completar la supuesta compra.

En este caso real documentado, un consumidor fue estafado tras facilitar sus datos en una de estas páginas falsas, perdiendo el dinero invertido y comprometiendo la seguridad de su información financiera.

🛑 Impacto

Usuarios afectados: Todos los que accedan a los anuncios fraudulentos y realicen compras en la página falsa.
Riesgos principales:
- Pérdida económica directa.
- Robo de datos personales y bancarios.
- Posible reutilización de la información para otros fraudes o suplantaciones futuras.

✅ Recomendaciones

Desconfía de precios excesivamente bajos: si la oferta parece demasiado buena para ser real, probablemente sea un fraude.
Verifica siempre la URL: Lidl solo vende a través de sus canales oficiales.
Evita hacer clic en anuncios sospechosos en buscadores y redes sociales.
Activa notificaciones de seguridad en tu banco para detectar movimientos sospechosos a tiempo.
Denuncia el fraude en caso de haber caído, aportando capturas y evidencias a las autoridades.

💰 Cripto robos y estafas digitales: lo que debes saber antes de invertir en criptomonedas

📌 Descripción

El auge de las criptomonedas ha traído consigo un incremento de las estafas digitales orientadas a inversores novatos o desprevenidos. Los ciberdelincuentes se aprovechan de la falta de regulación y del desconocimiento general para engañar a las víctimas con promesas de ganancias rápidas.

🛑 Estafas más comunes

Plataformas falsas de inversión que desaparecen tras recibir depósitos.
Esquemas Ponzi o piramidales disfrazados de fondos de inversión en cripto.
Phishing en exchanges para robar credenciales de acceso.
Aplicaciones fraudulentas que imitan billeteras digitales legítimas.

✅ Recomendaciones

Infórmate antes de invertir: consulta fuentes confiables y revisa la reputación de las plataformas.
Activa la autenticación multifactor (MFA) en todos tus servicios de criptomonedas.
Nunca confíes en “chollos” o rentabilidades garantizadas, son el principal gancho de los estafadores.
Mantén tus claves privadas seguras y jamás las compartas.
Utiliza wallets frías (offline) para guardar grandes cantidades de criptoactivos.

🔐 Recomendación de Ciberseguridad Digital
En un entorno cada vez más digitalizado, la prevención y la información son las mejores herramientas frente a fraudes y estafas. Tanto en compras online como en inversiones en criptomonedas, la prudencia y la verificación de fuentes son esenciales para proteger tu dinero y tu identidad digital.

📧 Contacto: info@ciberseguridaddigital.com
🌍 Página web: www.ciberseguridaddigital.com
🌎 Aplicable a España, Sudamérica y el resto del mundo.

Ejecución de código arbitrario en productos de TP-Link

Importancia: 4 - Alta

📌 Recursos Afectados

Archer AX10: V1/V1.2/V2/V2.6/V3/V3.6 con firmware anterior a la versión 1.2.1.
Archer AX1500: V1/V1.20/V1.26/V1.60/V1.80/V2.60/V3.6 con firmware anterior a la versión 1.3.11.

🛑 Descripción

TP-Link ha publicado una vulnerabilidad de severidad alta que podría permitir a un atacante ejecutar código arbitrario de forma remota a través del binario CWMP en los dispositivos de las series AX10 y AX1500.

Esto significa que, bajo ciertas condiciones, un ciberdelincuente podría tomar control parcial del router y comprometer la seguridad de la red interna.

✅ Solución

Actualizar inmediatamente a las versiones seguras:

Archer AX10 V3.6: firmware 1.2.1 o superior.
Archer AX1500 V3.6: firmware 1.3.12 o superior.

🔎 Detalle técnico

El fallo afecta a la función CWMP (CPE WAN Management Protocol), que aunque viene deshabilitada por defecto, puede estar activa en algunos dispositivos.
Si está habilitada, un atacante con acceso válido a la red podría aprovechar un ataque Man-in-the-Middle (MITM) para interceptar las comunicaciones del router y ejecutar código remoto en el dispositivo.

En la práctica, el riesgo es limitado, ya que:

El atacante debe estar dentro de la red local.
Deben cumplirse condiciones específicas para explotar la falla.

Sin embargo, si el CWMP está activo, el dispositivo podría quedar completamente comprometido, abriendo la puerta a espionaje, robo de información o incluso la inclusión del router en una botnet.

🔐 Recomendación de Ciberseguridad Digital
Mantener el firmware siempre actualizado y deshabilitar funciones no utilizadas (como CWMP) es clave para reducir la superficie de ataque. Además, recomendamos a empresas y usuarios particulares realizar auditorías periódicas de sus dispositivos de red para identificar configuraciones inseguras antes de que sean explotadas.

📧 Contacto: info@ciberseguridaddigital.com
🌍 Página web: www.ciberseguridaddigital.com
🌎 Aplicable a España, Sudamérica y el resto del mundo.

La DGT no está enviando correos ni SMS para notificar multas de tráfico

⚠️ Importancia: 4 – Alta

En los últimos días se ha detectado una campaña de phishing que suplanta a la Dirección General de Tráfico (DGT) mediante correos electrónicos y mensajes de texto (SMS).

Los atacantes notifican a las víctimas sobre una supuesta multa pendiente de pago e incluyen un enlace fraudulento que dirige a una web falsa con apariencia idéntica al portal oficial de la DGT. Allí se solicita a los usuarios datos personales, bancarios y credenciales de sus tarjetas de crédito.

La estafa añade presión a la víctima mediante amenazas de incremento en el importe si no se paga en un plazo máximo de 30 días, reforzando la sensación de urgencia para inducir al error.

Cómo identificar la estafa

Algunos indicadores que permiten reconocer el fraude:

📧 Dirección del remitente no corresponde a dominios oficiales de la DGT.
⚠️ Correos con maquetación irregular y saludos genéricos.
⏱️ Sensación de urgencia (plazos cortos o amenazas de recargo).
🔗 Enlace fraudulento que redirige a una web falsa con logotipos y apariencia de la DGT.
🕑 En la página falsa aparecen fechas y horas desfasadas en la esquina superior derecha.
💳 Solicitud de introducir datos personales, bancarios, PIN de tarjeta y códigos inexistentes.

Flujo de la estafa

El usuario recibe un correo/SMS sobre una multa pendiente.
Al pulsar en el enlace, accede a una página web clonada de la DGT.
Se solicitan datos personales, bancarios y credenciales.
El sistema simula una validación con un código SMS que nunca llega.
Finalmente, se pide introducir el PIN de la tarjeta.
Tras enviar los datos, la víctima es redirigida a la página oficial de la DGT, pero los ciberdelincuentes ya habrán obtenido toda la información sensible.

Recomendaciones de seguridad

🔹 Si recibiste el correo o SMS pero no entraste al enlace:

No pulses en el enlace.
Bloquea al remitente y elimina el mensaje.
Reporta el incidente al buzón de ciberseguridad.

🔹 Si accediste al enlace y diste tus datos:

📞 Contacta inmediatamente con tu banco para bloquear tarjetas y movimientos sospechosos.
📂 Guarda todas las evidencias (capturas, enlaces, SMS). Puedes usar servicios de testigos online para validar la prueba.
🚔 Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
🔍 Haz egosurfing regularmente para comprobar si tu información circula en la red.

Lo que debes saber

La DGT nunca comunica sanciones por correo electrónico o SMS. Las notificaciones oficiales solo se realizan:

📬 Por correo postal en el domicilio del titular.
📑 A través del Tablón Edictal si no se puede localizar al usuario.
🌐 Mediante la Dirección Electrónica Vial (DEV) si está activada.

👉 Cualquier mensaje que llegue por otros medios y que solicite pagos online debe considerarse fraudulento.

✍️ Ciberseguridad Digital
Protegemos tu información en España, Suramérica y el mundo entero.
📧 info@ciberseguridaddigital.com
🌍 www.ciberseguridaddigital.com
📱 WhatsApp: 3222128861

Múltiples campañas de phishing y smishing suplantando a la Agencia Tributaria (AEAT)

📅 Fecha: 18 de septiembre de 2025
⚠️ Importancia: 4 – Alta

La noticia

El INICBE ha detectado recientemente una serie de campañas de phishing y smishing que suplantan a la Agencia Estatal de Administración Tributaria (AEAT). Los ciberdelincuentes utilizan correos electrónicos y SMS para engañar a los contribuyentes, solicitando sus datos personales y bancarios bajo falsas excusas relacionadas con deudas tributarias, incidencias fiscales o supuestos reembolsos de impuestos.

Los mensajes, en apariencia legítimos y bien maquetados, incluyen un enlace fraudulento que redirige a una web falsa diseñada para robar credenciales de acceso, información financiera y, en algunos casos, imágenes del DNI de las víctimas.

Ejemplos de asuntos identificados en las campañas

📩 [AEAT] Notificación Oficial: Reembolso de Impuestos Aprobados
📩 Obligación tributaria vencida #XXXXX
📩 Notificación Oficial – Agencia Tributaria

En los correos y SMS fraudulentos se observa que el remitente no corresponde al dominio oficial de la AEAT (agenciatributaria.gob.es). Además, algunos mensajes incluyen errores ortográficos o de formato, lo que puede servir como indicio de estafa.

Riesgos principales

Robo de datos bancarios → acceso a cuentas corrientes, tarjetas y transferencias fraudulentas.
Suplantación de identidad → uso del DNI robado para contratar servicios o realizar fraudes a nombre de la víctima.
Fraude fiscal → acceso indebido a información tributaria sensible.
Difusión masiva → al tratarse de SMS y correos, el alcance del ataque es muy alto.

Recomendaciones según el escenario

🔹 Si recibiste el correo/SMS pero no accediste al enlace:

No pulses en el enlace.
Elimina el mensaje inmediatamente.
Bloquea al remitente.
Reporta el incidente al buzón de ciberseguridad correspondiente.

🔹 Si accediste al enlace y diste datos personales o bancarios:

📞 Contacta de inmediato con tu banco para bloquear movimientos no autorizados.
📞 Llama a la Línea de Ayuda en Ciberseguridad para orientación especializada.
📄 Si compartiste imagen de tu DNI → solicita un nuevo documento en tu oficina de expedición.
📂 Guarda todas las evidencias (capturas, enlaces, mensajes) y utiliza servicios de testigo online para certificarlas.
🚔 Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
🔍 Practica egosurfing (buscar tu nombre en Google, redes sociales, etc.) durante varios meses para verificar si tu información aparece filtrada.

Conclusión

El uso de campañas de phishing y smishing para suplantar a la AEAT no es nuevo, pero su nivel de sofisticación y alcance en este 2025 refuerza la necesidad de que los contribuyentes sean extremadamente cautelosos ante cualquier comunicación digital relacionada con impuestos.

👉 Recuerda: la Agencia Tributaria nunca solicitará datos sensibles ni enviará enlaces externos por correo electrónico o SMS. Toda gestión debe hacerse siempre desde el portal oficial: www.agenciatributaria.gob.es.

Filtración Masiva de Credenciales de la DIAN: En línea 2.516 nombres de usuario y contraseñas

📅 Fecha: 12 de septiembre de 2025

Un archivo con lo que serían credenciales de acceso a los sistemas de la DIAN (Dirección de Impuestos y Aduanas Nacionales de Colombia) fue publicado en foros de venta clandestina de datos. La filtración incluye nombres de usuario, contraseñas en texto plano y tokens de sesión activos, lo que representa una amenaza directa para la seguridad fiscal de miles de contribuyentes.

El equipo de MuchoHacker.lol fue el primero en identificar la muestra. El archivo, de aproximadamente 2.500 registros y 350 KB de tamaño, incluye datos extremadamente sensibles como:

Credenciales de autenticación (usuario/contraseña).
Tokens de sesión activos (jsessionid).
Endpoints administrativos.
Direcciones de correo electrónico.
Números de documento de identidad.

Riesgos identificados

La filtración afecta principalmente el portal Muisca (muisca.dian.gov.co), plataforma central para la gestión de impuestos, facturación electrónica y trámites aduaneros en Colombia.

Los riesgos más graves son:

Acceso no autorizado a cuentas tributarias: los atacantes podrían consultar o modificar historiales fiscales completos.
Trámites fraudulentos: presentación de declaraciones falsas, alteración de facturas electrónicas o suplantación de empresas.
Robo de identidad: con números de documento y correos asociados, se facilita el phishing dirigido.
Ataques masivos: la reutilización de contraseñas como “Dian123”, “Jean123”* o “Sol123” muestra la debilidad de las prácticas de seguridad entre usuarios.

El hallazgo más alarmante es que el 92% de las contraseñas se encuentran en texto plano, mientras que solo un 8% presenta un hashing básico con Base64, lo que evidencia un manejo inadecuado de la información sensible.

Segmentación de la información filtrada

Usuarios individuales (85%): credenciales asociadas a cédulas o correos personales.
Credenciales corporativas (8%): accesos a cuentas de empresas, incluyendo correos de facturación electrónica.
Tokens de sesión activos (5%): acceso directo a cuentas sin necesidad de contraseña.

Ejemplo de riesgo: contraseñas como “Guapi2020” fueron reutilizadas 148 veces, lo que multiplica las posibilidades de ataques automatizados.

Respuesta institucional

De acuerdo con el reporte, MuchoHacker.lol intentó contactar a la DIAN antes de publicar los hallazgos. Aunque recibieron un correo de la oficina de comunicaciones, no hubo una respuesta oficial ni confirmación sobre la autenticidad de los datos filtrados.

Esta falta de reacción inmediata aumenta la incertidumbre y expone a los contribuyentes al riesgo de que su información fiscal sea explotada sin control.

Conclusión

Si bien aún no existe confirmación oficial por parte de la DIAN, la filtración —en caso de ser verídica— constituye uno de los incidentes de seguridad más graves de los últimos años en Colombia. La exposición de contraseñas en texto plano, junto con tokens de sesión activos, pone en riesgo no solo a usuarios individuales, sino también a empresas y a la propia infraestructura tributaria nacional.

Se recomienda a los posibles afectados:

Cambiar inmediatamente las contraseñas de acceso al portal Muisca.
No reutilizar contraseñas entre diferentes servicios.
Activar mecanismos adicionales de seguridad (cuando estén disponibles).
Estar alerta frente a intentos de phishing o suplantación.

Este caso pone de manifiesto la urgencia de que las entidades públicas adopten estándares más estrictos de ciberseguridad, incluyendo almacenamiento seguro de contraseñas, detección temprana de incidentes y comunicación clara con los ciudadanos.

✍️ Ciberseguridad Digital
Protegemos tu información en España, Suramérica y el mundo entero.
📧 info@ciberseguridaddigital.com
🌍 www.ciberseguridaddigital.com