Ciberseguridad preventiva para empresas

viernes, 19 de septiembre de 2025

Ejecución de código arbitrario en productos de TP-Link

Importancia: 4 - Alta

📌 Recursos Afectados

Archer AX10: V1/V1.2/V2/V2.6/V3/V3.6 con firmware anterior a la versión 1.2.1.
Archer AX1500: V1/V1.20/V1.26/V1.60/V1.80/V2.60/V3.6 con firmware anterior a la versión 1.3.11.

🛑 Descripción

TP-Link ha publicado una vulnerabilidad de severidad alta que podría permitir a un atacante ejecutar código arbitrario de forma remota a través del binario CWMP en los dispositivos de las series AX10 y AX1500.

Esto significa que, bajo ciertas condiciones, un ciberdelincuente podría tomar control parcial del router y comprometer la seguridad de la red interna.

✅ Solución

Actualizar inmediatamente a las versiones seguras:

Archer AX10 V3.6: firmware 1.2.1 o superior.
Archer AX1500 V3.6: firmware 1.3.12 o superior.

🔎 Detalle técnico

El fallo afecta a la función CWMP (CPE WAN Management Protocol), que aunque viene deshabilitada por defecto, puede estar activa en algunos dispositivos.
Si está habilitada, un atacante con acceso válido a la red podría aprovechar un ataque Man-in-the-Middle (MITM) para interceptar las comunicaciones del router y ejecutar código remoto en el dispositivo.

En la práctica, el riesgo es limitado, ya que:

El atacante debe estar dentro de la red local.
Deben cumplirse condiciones específicas para explotar la falla.

Sin embargo, si el CWMP está activo, el dispositivo podría quedar completamente comprometido, abriendo la puerta a espionaje, robo de información o incluso la inclusión del router en una botnet.

🔐 Recomendación de Ciberseguridad Digital
Mantener el firmware siempre actualizado y deshabilitar funciones no utilizadas (como CWMP) es clave para reducir la superficie de ataque. Además, recomendamos a empresas y usuarios particulares realizar auditorías periódicas de sus dispositivos de red para identificar configuraciones inseguras antes de que sean explotadas.

📧 Contacto: info@ciberseguridaddigital.com
🌍 Página web: www.ciberseguridaddigital.com
🌎 Aplicable a España, Sudamérica y el resto del mundo.

La DGT no está enviando correos ni SMS para notificar multas de tráfico

⚠️ Importancia: 4 – Alta

En los últimos días se ha detectado una campaña de phishing que suplanta a la Dirección General de Tráfico (DGT) mediante correos electrónicos y mensajes de texto (SMS).

Los atacantes notifican a las víctimas sobre una supuesta multa pendiente de pago e incluyen un enlace fraudulento que dirige a una web falsa con apariencia idéntica al portal oficial de la DGT. Allí se solicita a los usuarios datos personales, bancarios y credenciales de sus tarjetas de crédito.

La estafa añade presión a la víctima mediante amenazas de incremento en el importe si no se paga en un plazo máximo de 30 días, reforzando la sensación de urgencia para inducir al error.

Cómo identificar la estafa

Algunos indicadores que permiten reconocer el fraude:

📧 Dirección del remitente no corresponde a dominios oficiales de la DGT.
⚠️ Correos con maquetación irregular y saludos genéricos.
⏱️ Sensación de urgencia (plazos cortos o amenazas de recargo).
🔗 Enlace fraudulento que redirige a una web falsa con logotipos y apariencia de la DGT.
🕑 En la página falsa aparecen fechas y horas desfasadas en la esquina superior derecha.
💳 Solicitud de introducir datos personales, bancarios, PIN de tarjeta y códigos inexistentes.

Flujo de la estafa

El usuario recibe un correo/SMS sobre una multa pendiente.
Al pulsar en el enlace, accede a una página web clonada de la DGT.
Se solicitan datos personales, bancarios y credenciales.
El sistema simula una validación con un código SMS que nunca llega.
Finalmente, se pide introducir el PIN de la tarjeta.
Tras enviar los datos, la víctima es redirigida a la página oficial de la DGT, pero los ciberdelincuentes ya habrán obtenido toda la información sensible.

Recomendaciones de seguridad

🔹 Si recibiste el correo o SMS pero no entraste al enlace:

No pulses en el enlace.
Bloquea al remitente y elimina el mensaje.
Reporta el incidente al buzón de ciberseguridad.

🔹 Si accediste al enlace y diste tus datos:

📞 Contacta inmediatamente con tu banco para bloquear tarjetas y movimientos sospechosos.
📂 Guarda todas las evidencias (capturas, enlaces, SMS). Puedes usar servicios de testigos online para validar la prueba.
🚔 Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
🔍 Haz egosurfing regularmente para comprobar si tu información circula en la red.

Lo que debes saber

La DGT nunca comunica sanciones por correo electrónico o SMS. Las notificaciones oficiales solo se realizan:

📬 Por correo postal en el domicilio del titular.
📑 A través del Tablón Edictal si no se puede localizar al usuario.
🌐 Mediante la Dirección Electrónica Vial (DEV) si está activada.

👉 Cualquier mensaje que llegue por otros medios y que solicite pagos online debe considerarse fraudulento.

✍️ Ciberseguridad Digital
Protegemos tu información en España, Suramérica y el mundo entero.
📧 info@ciberseguridaddigital.com
🌍 www.ciberseguridaddigital.com
📱 WhatsApp: 3222128861

Múltiples campañas de phishing y smishing suplantando a la Agencia Tributaria (AEAT)

📅 Fecha: 18 de septiembre de 2025
⚠️ Importancia: 4 – Alta

La noticia

El INICBE ha detectado recientemente una serie de campañas de phishing y smishing que suplantan a la Agencia Estatal de Administración Tributaria (AEAT). Los ciberdelincuentes utilizan correos electrónicos y SMS para engañar a los contribuyentes, solicitando sus datos personales y bancarios bajo falsas excusas relacionadas con deudas tributarias, incidencias fiscales o supuestos reembolsos de impuestos.

Los mensajes, en apariencia legítimos y bien maquetados, incluyen un enlace fraudulento que redirige a una web falsa diseñada para robar credenciales de acceso, información financiera y, en algunos casos, imágenes del DNI de las víctimas.

Ejemplos de asuntos identificados en las campañas

📩 [AEAT] Notificación Oficial: Reembolso de Impuestos Aprobados
📩 Obligación tributaria vencida #XXXXX
📩 Notificación Oficial – Agencia Tributaria

En los correos y SMS fraudulentos se observa que el remitente no corresponde al dominio oficial de la AEAT (agenciatributaria.gob.es). Además, algunos mensajes incluyen errores ortográficos o de formato, lo que puede servir como indicio de estafa.

Riesgos principales

Robo de datos bancarios → acceso a cuentas corrientes, tarjetas y transferencias fraudulentas.
Suplantación de identidad → uso del DNI robado para contratar servicios o realizar fraudes a nombre de la víctima.
Fraude fiscal → acceso indebido a información tributaria sensible.
Difusión masiva → al tratarse de SMS y correos, el alcance del ataque es muy alto.

Recomendaciones según el escenario

🔹 Si recibiste el correo/SMS pero no accediste al enlace:

No pulses en el enlace.
Elimina el mensaje inmediatamente.
Bloquea al remitente.
Reporta el incidente al buzón de ciberseguridad correspondiente.

🔹 Si accediste al enlace y diste datos personales o bancarios:

📞 Contacta de inmediato con tu banco para bloquear movimientos no autorizados.
📞 Llama a la Línea de Ayuda en Ciberseguridad para orientación especializada.
📄 Si compartiste imagen de tu DNI → solicita un nuevo documento en tu oficina de expedición.
📂 Guarda todas las evidencias (capturas, enlaces, mensajes) y utiliza servicios de testigo online para certificarlas.
🚔 Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
🔍 Practica egosurfing (buscar tu nombre en Google, redes sociales, etc.) durante varios meses para verificar si tu información aparece filtrada.

Conclusión

El uso de campañas de phishing y smishing para suplantar a la AEAT no es nuevo, pero su nivel de sofisticación y alcance en este 2025 refuerza la necesidad de que los contribuyentes sean extremadamente cautelosos ante cualquier comunicación digital relacionada con impuestos.

👉 Recuerda: la Agencia Tributaria nunca solicitará datos sensibles ni enviará enlaces externos por correo electrónico o SMS. Toda gestión debe hacerse siempre desde el portal oficial: www.agenciatributaria.gob.es.

Filtración Masiva de Credenciales de la DIAN: En línea 2.516 nombres de usuario y contraseñas

📅 Fecha: 12 de septiembre de 2025

Un archivo con lo que serían credenciales de acceso a los sistemas de la DIAN (Dirección de Impuestos y Aduanas Nacionales de Colombia) fue publicado en foros de venta clandestina de datos. La filtración incluye nombres de usuario, contraseñas en texto plano y tokens de sesión activos, lo que representa una amenaza directa para la seguridad fiscal de miles de contribuyentes.

El equipo de MuchoHacker.lol fue el primero en identificar la muestra. El archivo, de aproximadamente 2.500 registros y 350 KB de tamaño, incluye datos extremadamente sensibles como:

Credenciales de autenticación (usuario/contraseña).
Tokens de sesión activos (jsessionid).
Endpoints administrativos.
Direcciones de correo electrónico.
Números de documento de identidad.

Riesgos identificados

La filtración afecta principalmente el portal Muisca (muisca.dian.gov.co), plataforma central para la gestión de impuestos, facturación electrónica y trámites aduaneros en Colombia.

Los riesgos más graves son:

Acceso no autorizado a cuentas tributarias: los atacantes podrían consultar o modificar historiales fiscales completos.
Trámites fraudulentos: presentación de declaraciones falsas, alteración de facturas electrónicas o suplantación de empresas.
Robo de identidad: con números de documento y correos asociados, se facilita el phishing dirigido.
Ataques masivos: la reutilización de contraseñas como “Dian123”, “Jean123”* o “Sol123” muestra la debilidad de las prácticas de seguridad entre usuarios.

El hallazgo más alarmante es que el 92% de las contraseñas se encuentran en texto plano, mientras que solo un 8% presenta un hashing básico con Base64, lo que evidencia un manejo inadecuado de la información sensible.

Segmentación de la información filtrada

Usuarios individuales (85%): credenciales asociadas a cédulas o correos personales.
Credenciales corporativas (8%): accesos a cuentas de empresas, incluyendo correos de facturación electrónica.
Tokens de sesión activos (5%): acceso directo a cuentas sin necesidad de contraseña.

Ejemplo de riesgo: contraseñas como “Guapi2020” fueron reutilizadas 148 veces, lo que multiplica las posibilidades de ataques automatizados.

Respuesta institucional

De acuerdo con el reporte, MuchoHacker.lol intentó contactar a la DIAN antes de publicar los hallazgos. Aunque recibieron un correo de la oficina de comunicaciones, no hubo una respuesta oficial ni confirmación sobre la autenticidad de los datos filtrados.

Esta falta de reacción inmediata aumenta la incertidumbre y expone a los contribuyentes al riesgo de que su información fiscal sea explotada sin control.

Conclusión

Si bien aún no existe confirmación oficial por parte de la DIAN, la filtración —en caso de ser verídica— constituye uno de los incidentes de seguridad más graves de los últimos años en Colombia. La exposición de contraseñas en texto plano, junto con tokens de sesión activos, pone en riesgo no solo a usuarios individuales, sino también a empresas y a la propia infraestructura tributaria nacional.

Se recomienda a los posibles afectados:

Cambiar inmediatamente las contraseñas de acceso al portal Muisca.
No reutilizar contraseñas entre diferentes servicios.
Activar mecanismos adicionales de seguridad (cuando estén disponibles).
Estar alerta frente a intentos de phishing o suplantación.

Este caso pone de manifiesto la urgencia de que las entidades públicas adopten estándares más estrictos de ciberseguridad, incluyendo almacenamiento seguro de contraseñas, detección temprana de incidentes y comunicación clara con los ciudadanos.

✍️ Ciberseguridad Digital
Protegemos tu información en España, Suramérica y el mundo entero.
📧 info@ciberseguridaddigital.com
🌍 www.ciberseguridaddigital.com

lunes, 8 de septiembre de 2025

Ejecución de código arbitrario en productos de TP-Link

📅 Fecha: 08/09/2025
🔒 Importancia: 4 – Alta

Recursos Afectados

AX10 V1/V1.2/V2/V2.6/V3/V3.6: versiones de firmware anteriores a la 1.2.1.
AX1500 V1/V1.20/V1.26/V1.60/V1.80/V2.60/V3.6: versiones de firmware anteriores a la 1.3.11.

Descripción

TP-Link ha publicado una vulnerabilidad de severidad alta que podría permitir a un atacante ejecutar código arbitrario de forma remota a través del binario CWMP en los dispositivos de las series AX10 y AX1500.

Este fallo afecta principalmente a routers domésticos y de pequeñas oficinas, lo que lo convierte en un riesgo real para millones de usuarios a nivel global.

Detalle Técnico

El problema radica en la función CWMP (CPE WAN Management Protocol), que normalmente está deshabilitada por defecto. Sin embargo, si se encuentra activa, un atacante con acceso válido podría realizar un ataque Man-in-the-Middle (MITM), interceptar comunicaciones legítimas y, finalmente, inyectar código malicioso que se ejecute directamente en el router.

Aunque el riesgo práctico está limitado porque requiere que el atacante ya se encuentre dentro de la red y que se cumplan varias condiciones específicas, si el CWMP está habilitado el impacto puede ser grave:

Compromiso total del dispositivo (control remoto).
Posible espionaje de tráfico de red.
Puerta de entrada a otros dispositivos conectados a la red.

Solución

TP-Link ha publicado actualizaciones críticas de firmware que deben aplicarse de inmediato:

Archer AX10 V3.6: actualizar a firmware 1.2.1 o superior.
Archer AX1500 V3.6: actualizar a firmware 1.3.12 o superior.

Además, se recomienda:

Verificar que CWMP se encuentre deshabilitado si no es estrictamente necesario.
Mantener el firmware actualizado.
Monitorear conexiones inusuales en la red local.

Conclusión

Este caso es un recordatorio claro de que incluso los routers de uso doméstico o empresarial básico son objetivos de ataques avanzados. Un fallo aparentemente limitado, bajo las condiciones correctas, puede convertirse en un vector de acceso crítico para cibercriminales.

La ciberseguridad preventiva –como actualizaciones regulares, monitoreo activo y segmentación de red– sigue siendo la clave para reducir riesgos en entornos tanto personales como corporativos.

✍️ Ciberseguridad Digital
Protegemos tu información en España, Suramérica y el mundo entero.
📧 info@ciberseguridaddigital.com
🌍 www.ciberseguridaddigital.com

miércoles, 3 de septiembre de 2025

Caso PromptLock: el primer ransomware impulsado por IA

📌 Resumen ejecutivo para directivos

El ransomware PromptLock marca un antes y un después en el cibercrimen: es el primero en aprovechar inteligencia artificial generativa para crear ataques en tiempo real. A diferencia de otros virus, PromptLock no contiene un código fijo, sino que genera dinámicamente scripts maliciosos cada vez que se ejecuta, lo que lo convierte en un enemigo mucho más difícil de detectar.

Esto significa que en el futuro los delincuentes podrán crear ransomware más sofisticado, adaptable y multiplataforma (funciona en Windows, Linux y macOS) sin necesidad de tener grandes conocimientos técnicos. Para las empresas, el riesgo es claro: los ataques serán más frecuentes, más avanzados y más difíciles de detener con defensas tradicionales.

La lección de este hallazgo es que debemos reforzar la seguridad proactiva: copias de seguridad aisladas, monitoreo en tiempo real, detección basada en comportamiento y capacitación continua a equipos internos.

🔍 Análisis técnico detallado

Identificación: PromptLock fue descubierto por ESET el 25 de agosto de 2025 en muestras subidas a VirusTotal desde EE. UU.

Lenguaje: Golang.
Motor de IA: se conecta a través de proxy al modelo gpt-oss:20b vía API de Ollama.
Generación dinámica: crea scripts en Lua que pueden buscar archivos, extraer información y cifrar datos.
Multiplataforma: funciona en Windows, Linux y macOS sin necesidad de grandes cambios.
Algoritmo de cifrado: utiliza SPECK 128 bits, poco común en ransomware, lo que dificulta la respuesta inmediata.

Estrategias de evasión:

Cada ejecución puede producir un script distinto, lo que reduce la eficacia de soluciones basadas en firmas.
Implementa cifrado AES-256-GCM con envoltura RSA para ocultar el tráfico, complicando el análisis forense.

Estado actual:

Aún es un prototipo (proof of concept), pero ya posee capacidad de cifrado real.
Podría evolucionar hacia funciones de exfiltración de datos y destrucción en fases posteriores.
Existe el riesgo de que su código filtrado sea utilizado por grupos criminales.

⚠️ Riesgos principales para empresas

Mayor dificultad de detección: al no tener firma fija, los antivirus convencionales no son suficientes.
Ransomware adaptativo: los ataques podrán personalizarse en tiempo real según la víctima.
Exposición multiplataforma: servidores, PCs y entornos híbridos pueden ser atacados sin distinción.
Uso de IA accesible: actores con pocos conocimientos técnicos pueden reutilizar el modelo para fines maliciosos.

🛡️ Recomendaciones de mitigación

Adoptar soluciones de seguridad basadas en comportamiento y no solo en firmas.
Implementar copias de seguridad offline y cifradas con pruebas regulares de recuperación.
Actualizar sistemas y software de forma continua.
Limitar el acceso de usuarios y aplicar el principio de mínimo privilegio.
Monitorizar activamente el uso de modelos de IA en entornos corporativos.
Establecer protocolos de respuesta a incidentes claros frente a ransomware.

✅ Conclusión

PromptLock no es todavía una amenaza masiva, pero representa una advertencia clara del futuro del cibercrimen. La combinación entre inteligencia artificial y ransomware marcará un nuevo paradigma de ataques: más rápidos, más dinámicos y más difíciles de contener.

Las empresas deben prepararse desde ahora con medidas preventivas avanzadas y con auditorías de seguridad periódicas que evalúen su verdadera capacidad de respuesta.

Ciberseguridad Digital — protección, auditoría externa y soluciones de seguridad para empresas.
Ámbito: España, Suramérica y el mundo entero.
🌐 Web: www.ciberseguridaddigital.com
📧 Email: info@ciberseguridaddigital.com
📱 WhatsApp: +57 3222128861

¿Necesita una auditoría externa? Contáctenos o escríbanos por WhatsApp 3222128861.

jueves, 28 de agosto de 2025

🚨 Alerta: Nueva estafa en correos de Gmail aprovecha la IA de Google

📌 ¿Cómo funciona el fraude?

Los estafadores envían un correo aparentemente normal.
Dentro del mensaje insertan un código oculto en color blanco (invisible para el usuario).
Este código es interpretado por Gemini, la IA integrada en Gmail.
Gmail genera un aviso automático falso:

“Tu contraseña de Google ha sido comprometida, llama a este número de soporte”.
El número pertenece a los delincuentes, que manipulan al usuario para robar datos o dinero.

⚠️ ¿Por qué es peligrosa?

Parece un aviso legítimo de Google → genera confianza.
El número puede ser de tarificación especial (pago por minuto).
Los delincuentes buscan robar:
- Contraseñas y credenciales de acceso
- Datos bancarios y personales
- Instalar malware en el dispositivo
Ya se detectó en Finlandia, pero puede expandirse a nivel global.

🛡️ Cómo protegerse

✅ No llames a números de teléfono que aparezcan en correos sospechosos.
✅ Verifica siempre en la web oficial de Google antes de actuar.
✅ Activa la verificación en dos pasos (2FA) en tu cuenta de Gmail.
✅ Nunca compartas datos personales o bancarios por teléfono.
✅ Mantén tu dispositivo y apps siempre actualizados.

👉 Esta estafa es un ejemplo de cómo los atacantes ya están engañando a las inteligencias artificiales para hacer más creíbles sus trampas.