¡Bienvenidos a nuestra edición semanal! Después de dejarte descansar del newsletter, nos encontramos de vuelta y te contamos la experiencia del DEFCON 33 que vivimos este año del 7 al 10 de agosto en Las Vegas.

📩 Hoy Recibes:

• 🗞️ Las noticias más importantes de la semana: fuga del código fuente del troyano ERMAC 3.0, vulnerabilidad crítica en FortiWeb, ataques a IA con “Man-in-the-Prompt”, evasión de EDR por parte de Crypto24, alerta por fin de soporte de Windows 10 y nueva amenaza DDoS vía HTTP/2.

• ✍️ Análisis y Opinión - Defensa Autónoma y Pensamiento Crítico: Lo que la inteligencia colectiva en DEFCON revela sobre el futuro de la ciberseguridad empresarial

Compartir

⚡ TL;DR – Ciberseguridad en Minutos…Si solo tienes 2 minutos, aquí tienes el resumen

• ☠️ ERMAC 3.0 filtrado: El código del troyano bancario para Android fue revelado, abriendo la puerta a nuevas variantes. Alto riesgo para apps financieras en LATAM.

• 🧱 FortiWeb en riesgo: Se publicó un exploit que permite bypass de autenticación en dispositivos ampliamente usados. Actualizar y segmentar red es urgente.

• 🧠 "Man-in-the-Prompt": Nuevo ataque apunta a IAs como ChatGPT mediante extensiones de navegador. Exfiltración y manipulación sin que el usuario lo note.

• 🦠 Crypto24 evade EDR: Ransomware sofisticado burla herramientas avanzadas. Urge combinar EDR con inteligencia de amenazas y segmentación.

• 🪦 Windows 10 se despide: Fin del soporte en octubre 2025. Sin parches, los sistemas quedan expuestos. Migrar ya es prioridad.

• 🌐 MadeYouReset (HTTP/2): Nueva vulnerabilidad permite DDoS masivos. Requiere mitigación activa y monitoreo en servidores web.

• 🔍 Análisis y Opinión desde DEFCON 33: El AI Cyber Challenge marcó el futuro: defensa autónoma con IA, pero sin pensamiento crítico, la automatización puede ser una trampa. En LATAM necesitamos equipos que no solo usen tecnología, sino que la comprendan profundamente.

☕️ Noticias de la semana

1. 🚨 Fuga de Código del Troyano Bancario ERMAC 3.0: Una Amenaza Expansiva

Investigadores de Hunt.io han obtenido el código fuente completo del troyano de banca para Android ERMAC 3.0, destacando su evolución desde versiones previas como Cerberus y Hook (ERMAC 2.0). ERMAC 3.0 se dirige a más de 700 aplicaciones de banca, compras y criptomonedas, utilizando inyecciones de formularios y robo de datos para capturar información sensible. La revelación de su código fuente ha permitido a los investigadores identificar debilidades explotables, lo que es crucial para interrumpir futuras campañas maliciosas. Este incidente es relevante para América Latina, ya que la naturaleza versátil y replicable de ERMAC 3.0 puede motivar ataques similares en la región.

📌 Importante:

• Actores involucrados: ERMAC 3.0 es manejado por DukeEugene, asociado con el malware móvil BlackRock.

• Vulnerabilidades: Uso de secretos codificados, tokens estáticos y credenciales débiles.

• Impacto: Amenaza activa como plataforma MaaS, focalizada en aplicaciones financieras para móvil, especialmente bancarias y de criptomonedas.

🔒 ¿Cómo protegerse?

1. Implementar permisos seguros en aplicaciones Android, como FLAG_SECURE, para prevenir técnicas de superposición que capturan credenciales.

2. Mantener una vigilancia activa sobre servidores C2 y de exfiltración vinculados a ERMAC, bloqueando aplicaciones que utilicen IPs o dominios identificados del troyano.

3. Realizar evaluaciones de seguridad exhaustivas para detectar configuraciones de seguridad débiles que puedan ser explotadas por inyecciones de formularios.

🔗 Fuente: SecurityAffairs

2. 🚨 Vulnerabilidad crítica en FortiWeb: Explotación inminente

Un investigador de ciberseguridad ha anunciado la liberación de un exploit que permite un bypass completo de autenticación en dispositivos FortiWeb. Fortinet, el fabricante de estos dispositivos, utiliza FortiWeb para proteger aplicaciones web y mitigar riesgos de seguridad. La vulnerabilidad crítica está asociada con el CVE pendiente de definición y podría ser explotada para obtener control no autorizado sobre estos sistemas. Esto importa porque los dispositivos FortiWeb son ampliamente utilizados en el ámbito corporativo para proteger infraestructuras web, por lo que una explotación masiva podría comprometer datos sensibles. Para México y América Latina, donde el uso de soluciones Fortinet está extendido, el riesgo de replicación de este ataque representa una amenaza significativa para la ciberseguridad regional.

📌 Importante:

• Actor: Un investigador independiente planea publicar el exploit.

• Vulnerabilidad: Bypass completo de autenticación en FortiWeb.

• Impacto: Riesgo de acceso no autorizado y posible extracción de datos críticos.

🔒 ¿Cómo protegerse?

1. Aplicar de inmediato las actualizaciones de seguridad provistas por Fortinet tan pronto como estén disponibles para tapar la vulnerabilidad.

2. Implementar controles de acceso adicionales y monitoreo de tráfico en los dispositivos FortiWeb para detectar accesos inusuales.

3. Considerar la segmentación adecuada de la red para limitar el alcance de un posible compromiso si ocurre la explotación.

🔗 Fuente: BleepingComputer

3. 🛡️ Un Nuevo Riesgo para las IA: "Man-in-the-Prompt"

Recientemente, se ha identificado una amenaza potencial para herramientas avanzadas de inteligencia artificial como ChatGPT y Gemini, denominada "Man-in-the-Prompt". Este ataque permite comprometer las interacciones con modelos generativos de IA mediante el uso de extensiones de navegador simples, sin necesidad de técnicas sofisticadas. El ataque explota la vulnerabilidad del campo de entrada de texto en el navegador para interceptar y alterar las solicitudes enviadas a las IAs, permitiendo robar información o manipular respuestas sin que el usuario lo note.

¿Por qué importa esto para las empresas en México y América Latina? Debido a la alta penetración de tecnologías de inteligencia artificial en estas regiones y el uso intensivo de extensiones de navegador, las empresas enfrentan un riesgo significativo de exposición y deben considerar esta amenaza emergente en sus políticas de seguridad.

📌 Importante:

• Actores involucrados: Extensiones de navegador maliciosas.

• Herramientas afectadas: ChatGPT, Gemini, Copilot, Claude y otras IAs principales.

• Impacto: Robo de datos sensibles, manipulación de respuestas y evasión de controles de seguridad.

🔒 ¿Cómo protegerse?

1. Monitorear y controlar activamente las extensiones de navegador en dispositivos corporativos, limitando permisos y desinstalando las no esenciales.

2. Implementar soluciones de seguridad en tiempo de ejecución que monitoricen la integridad del DOM y detecten alteraciones en los campos de entrada.

3. Aislar las herramientas de IA de los datos sensibles, minimizando el riesgo de exfiltración de información.

🔗 Fuente: SecurityAffairs

4. 🛡️ Crypto24 Ransomware elude soluciones EDR

Recientemente, se ha observado una nueva ola de ataques por parte del ransomware Crypto24 que logra evadir eficazmente las soluciones de detección y respuesta en endpoints (EDR). El grupo criminal detrás de este ransomware ha afinado sus técnicas para sortear los controles de seguridad comunes, afectando principalmente a empresas en sectores críticos. El impacto principal reside en el soborno de las medidas de seguridad avanzadas, lo que resalta la necesidad de revaluar y reforzar las estrategias de defensa. Esta situación importa porque ilustra la rapidez con la que los cibercriminales adaptan sus métodos, un riesgo también presente para empresas de México y América Latina, quienes podrían ser objetivos atractivos por sus similares infraestructuras de seguridad.

📌 Importante:

• Los ataques están siendo perpetrados por un grupo sofisticado que se especializa en ransomware.

• Las vulnerabilidades explotadas permiten eludir soluciones EDR previamente consideradas seguras.

• Sectores críticos están afectados, con un enfoque en la continuidad operativa comprometida.

🔒 ¿Cómo protegerse?

1. Realizar evaluaciones exhaustivas de las soluciones EDR en uso y considerar integraciones con tecnologías complementarias como XDR (detección y respuesta extendida).

2. Implementar monitoreo continuo utilizando inteligencia de amenazas para identificar patrones anómalos que podrían indicar un ataque inminente.

3. Asegurar la segmentación de la red para minimizar el alcance de un potencial movimiento lateral dentro de la infraestructura afectada.

🔗 Fuente: Dark Reading

5. ⌛ Fin del soporte para Windows 10 se acerca

Microsoft ha recordado a sus usuarios que el soporte para Windows 10 finalizará en dos meses. Esta retirada implica que no se generarán más actualizaciones de seguridad para esta versión del sistema operativo, dejando a los dispositivos vulnerables a futuras amenazas cibernéticas. Esto es crucial ya que cualquier sistema no actualizado se convierte en un blanco fácil para atacantes. En Latinoamérica, muchas empresas aún ejecutan esta versión de Windows, aumentando el riesgo potencial si no migran a sistemas más actuales.

📌 Importante:

• Microsoft ha establecido octubre de 2025 como fecha de fin de soporte para Windows 10.

• Sin actualizaciones, las vulnerabilidades futuras no serán corregidas, exponiendo a las organizaciones.

• Los sectores más afectados incluirán aquellos sin un plan de migración, particularmente en pequeñas y medianas empresas.

🔒 ¿Cómo protegerse?

1. Planificar e implementar la migración a Windows 11 u otra alternativa que garantice soporte continuo y actualizaciones de seguridad.

2. Realizar un inventario de todos los dispositivos y sistemas operativos en uso para identificar cuáles están ejecutando Windows 10 y priorizar su actualización.

3. Mantener vigilados los anuncios de Microsoft referentes a parches o soluciones post-soporte para aquellos sistemas que no puedan migrar inmediatamente.

🔗 Fuente: Bleeping Computer

6. 🖥️ Nueva vulnerabilidad "MadeYouReset" en HTTP/2 permite ataques DDoS masivos

Recientemente se ha descubierto una vulnerabilidad en el protocolo HTTP/2, denominada "MadeYouReset", que está siendo utilizada en ataques de Denegación de Servicio (DDoS) a gran escala. Estos ataques provocan el colapso de los servidores al enviar una alta cantidad de mensajes que explotan esta debilidad, forzando reinicios repetidos del sistema. Firmas de seguridad han detectado actividad maliciosa relacionada con esta falla, que aún está siendo investigada. Importante para las organizaciones en México y América Latina debido al uso extendido de tecnologías basadas en HTTP/2, lo que presenta un riesgo potencial de ataques similares en la región.

📌 Importante:

• Involucra la vulnerabilidad en el protocolo HTTP/2.

• Explotación de tipo Denegación de Servicio (DDoS).

• Amenaza emergente con capacidad de réplica global.

🔒 ¿Cómo protegerse?

1. Implementar actualizaciones y parches específicos para servidores HTTP/2 tan pronto como estén disponibles.

2. Configurar sistemas de mitigación de DDoS que puedan identificar y bloquear patrones anómalos de tráfico.

3. Mantener una vigilancia constante sobre los consejos y actualizaciones de seguridad de los proveedores de tecnología utilizados.

🔗 Fuente: The Hacker News

✍️ Análisis y Opinión - Defensa Autónoma y Pensamiento Crítico: Lo que la inteligencia colectiva en DEFCON revela sobre el futuro de la ciberseguridad empresarial

Después del viaje a DEFCON 33 finalmente llegó el momento de sentarse, repasar notas, herramientas, ideas y sobre todo reflexionar. Como cada edición, DEFCON volvió a ser un recordatorio de que la ciberseguridad no se trata únicamente de herramientas ni exploits, sino de cultura, colaboración y pensamiento crítico. Es el lugar donde los entusiastas se vuelven expertos, los expertos se vuelven comunidad, y la comunidad —cuando se conecta con propósito— transforma toda una industria.

Una de las experiencias más emocionantes fue presenciar el avance del AI Cyber Challenge impulsado por DARPA. Más de cien equipos compitieron utilizando inteligencia artificial para detectar y corregir vulnerabilidades en software de código abierto en tiempo real. Algunos equipos lograron generar y validar parches automáticamente, antes de que un atacante pudiera explotarlos. Este tipo de ejercicios marcan un punto de inflexión: no es una visión futurista, es una defensa autónoma que ya está aquí.

Sin embargo, con la automatización viene una advertencia que se repitió en varias sesiones de alto nivel: la ilusión de seguridad es tan peligrosa como la ausencia de protección. Automatizar sin comprender el modelo, sin auditar sus decisiones, sin analizar los sesgos o el contexto, puede ser una receta para el desastre. La defensa basada en IA no sustituye la supervisión humana. La complementa, pero exige nuevos niveles de entendimiento, control y pensamiento crítico.

En diversas villas, incluyendo las dedicadas a seguridad en entornos OT y simulación de adversarios, quedó claro que la superficie de ataque crece no solo con más dispositivos, sino con más confianza ciega. Desde el código heredado hasta las dependencias externas, cada componente necesita ser revisado con una lupa nueva. ¿Estamos preparados para desconfiar incluso de nuestras herramientas favoritas?

Una de las iniciativas más inspiradoras de este año fue la consolidación de la Hacker Village en español. Es apenas su segundo año, pero ya representa una oportunidad única para que más personas de habla hispana lleven sus investigaciones, desarrollos y talento a una de las conferencias más influyentes del planeta. La brecha del idioma sigue siendo real, pero espacios como este la achican con cada edición. Si eres de los que ha soñado con participar en DEFCON pero no te has animado, 2026 puede ser tu año.

Para empresas y líderes de seguridad, asistir a DEFCON —o al menos observar sus lecciones— es cada vez más una inversión estratégica. Las ideas que ahí se presentan anticipan lo que llegará a los equipos de red teaming, a las consolas de monitoreo y a las mesas de crisis en los próximos años. La inteligencia artificial no es solo una amenaza, también es una herramienta poderosa en manos de quienes saben usarla con criterio.

En Latinoamérica, donde aún existe una fuerte dependencia tecnológica y una brecha de talento especializado, es fundamental comenzar a formar equipos capaces no solo de operar herramientas modernas, sino de entenderlas profundamente. La automatización no reemplaza la estrategia; la potencia.

DEFCON deja, como siempre, más preguntas que respuestas. Pero quizás esa es la mejor lección: en ciberseguridad, como en la vida, las respuestas fáciles suelen ser las menos confiables. Lo que necesitamos es capacidad de análisis, cultura de prueba y error, y sobre todo, voluntad de pensar más allá del hype.

Y si te preguntas si deberías ir: sí, definitivamente sí.

Gracias por leer nuestro resumen semanal. Recuerda, estamos aquí para ayudarte a navegar el complejo mundo de la ciberseguridad. No dudes en responder a este correo con tus preguntas o inquietudes.

¡Hasta la próxima semana! 🎯

Te invitamos a compartir esta publicación, visitar nuestro sitio web y conectar en redes sociales.