¡Bienvenidos a nuestra edición semanal! Aquí encontrarás las noticias y tendencias más relevantes del mundo de la ciberseguridad, cuidadosamente seleccionadas y sintetizadas para mantenerte informado y preparado en un entorno de amenazas digitales en constante evolución.

📩 Hoy Recibes:

• 🗞️ Las noticias más relevantes en ciberseguridad: infiltración en logística vía herramientas de monitoreo remoto; APT28 oculta actividad con VMs Linux en Windows; explotación de Log4j/IIS para espionaje; GlassWorm en extensiones de VS Code (cadena de suministro); NuGet con sabotaje diferido a ICS y bases de datos; fallas en runc que habilitan escape de contenedores.

• ✍️ Análisis y Opinión: 🧩 Chollima y la economía del ataque: lo que la serie de Bitso revela sobre el nuevo modelo del adversario

Compartir

⚡ TL;DR – Ciberseguridad en 2 minutos, aquí tienes el resumen…

• 🔥 Riesgo inmediato: exploits críticos (Oracle/Redis/runc) y campañas activas (SonicWall, RondoDox, npm maliciosos) elevan la probabilidad de incidentes en producción.

• 🛡️ Ataques tácticos: adversarios usan VMs Linux dentro de Windows, typosquatting en NuGet y abuso de herramientas DFIR (Velociraptor) para automatizar reconocimiento y exfiltración.

• 🚨 Identidad y supply chain: robo de tokens OAuth, paquetes npm/nuget comprometidos y credenciales válidas siguen siendo la puerta de entrada favorita.

• ⚙️ Qué hacer ya: parchea Redis/runc/Oracle, revoca credenciales expuestas, fuerza MFA hardware donde sea crítico, segmenta redes y audita dependencias de software.

• 🎯 Estrategia: vuelve la defensa “antieconómica” —sube costo/tiempo y reduce recompensa— para que los atacantes busquen objetivos más fáciles.

🧭 Análisis y Opinión: 🧩 Chollima y la economía del ataque: lo que la serie de Bitso revela sobre el nuevo modelo del adversario

☕️ Noticias de la semana

1. 🐧 Hackers utilizan VMs de Linux para ocultarse en Windows

Recientemente se ha identificado una táctica en la que grupos de ciberdelincuentes rusos, específicamente el grupo APT28, están utilizando máquinas virtuales Linux para ocultar sus actividades dentro de sistemas Windows. Esta técnica implica la creación de entornos virtualizados que permiten a los atacantes evadir detección y realizar movimientos laterales sin levantar sospechas.

📌 Importante:

• Actores involucrados: APT28, un grupo conocido por su afiliación con el gobierno ruso.

• Técnicas utilizadas: Implementación de VMs de Linux sobre sistemas Windows para ejecutar acciones maliciosas ocultas.

• Riesgo de réplica: Potencia la evasión de controles de seguridad en infraestructuras corporativas mixtas.

🔒 ¿Cómo protegerse?

1. Implementar soluciones avanzadas de monitoreo que identifiquen la actividad anómala de máquinas virtuales dentro de entornos de usuario.

2. Configurar restricciones específicas y listas blancas para el uso de hipervisores y VMs en dispositivos corporativos.

3. Revisar y ajustar las configuraciones de auditoría de seguridad para detectar actividades inusuales en entornos de trabajo mixtos de Windows y Linux.

🔗 Fuente: Dark Reading

2. 🕵️‍♂️ Hackers chinos explotan vulnerabilidades heredadas para espionaje global

Un grupo de hackers respaldado por China ha estado utilizando vulnerabilidades conocidas, desde Log4j hasta IIS (Internet Information Services), para una campaña de espionaje global. Estas acciones permiten la infiltración en sistemas críticos, demostrando cómo fallas no resueltas pueden ser operadas como herramientas de inteligencia. Esto importa porque revela la persistencia de amenazas cibernéticas dirigidas a infraestructuras fundamentales y la urgencia de una gestión continua de vulnerabilidades, lo cual es relevante para empresas en México y América Latina que podrían ser vulnerables a ataques similares si no mantienen actualizados sus sistemas.

📌 Importante:

• Actores Involucrados: Hackers respaldados por China.

• Vulnerabilidades: Log4j (CVE-2021-44228) y fallas en IIS.

• Técnicas Utilizadas: Explotación de vulnerabilidades heredadas para acceso no autorizado y espionaje.

🔒 ¿Cómo protegerse?

1. Implementar actualizaciones críticas de seguridad: Priorizar parches en todos los sistemas, especialmente aquellos que utilizan Log4j y IIS, para cerrar puntos de entrada conocidos.

2. Monitorear tráfico de red y logs: Ampliar la vigilancia en actividades inusuales que puedan indicar explotación de vulnerabilidades conocidas.

3. Segmentación de red: Dividir y aislar redes críticas para limitar el movimiento lateral de atacantes en caso de infiltración.

🔗 Fuente: The Hacker News

3. 🔍 Descubren malware GlassWorm en extensiones de VS Code

Investigadores han identificado el malware GlassWorm infiltrado en tres extensiones populares de Visual Studio Code, utilizadas por miles de desarrolladores a nivel mundial. El malware permite la ejecución remota de código, comprometiendo significativamente la seguridad de los sistemas afectados. Este incidente es relevante para México y América Latina, ya que refleja la creciente amenaza que enfrenta la cadena de suministro de software, un vector crítico en entornos empresariales y de desarrollo.

📌 Importante:

• Involucrados: Desarrolladores usando Visual Studio Code.

• Vulnerabilidad: Ejecución remota de código a través de extensiones comprometidas.

• Impacto: Miles de instalaciones afectadas, riesgo para la integridad de toda la cadena de suministro de software.

🔒 ¿Cómo protegerse?

1. Revise y verifique las extensiones de VS Code instaladas y elimine las sospechosas o no verificadas.

2. Implemente controles de seguridad que auditen y limiten la ejecución de código no autorizado en entornos de desarrollo.

3. Establezca procesos de verificación y validación para todas las herramientas y extensiones utilizadas en su entorno de desarrollo.

🔗 Fuente: The Hacker News

5. 🕒 Sabotaje Programado en Sistemas Industriales

El equipo de investiación de amenazas Socket, descubrió nueve paquetes maliciosos en NuGet, lanzados por “shanhai666”, diseñados para despliegue diferido de cargas que afectan bases de datos y sistemas de control industrial. Estos paquetes, que incluyen a Sharp7Extend como el más peligroso, ejecutan sabotajes diferidos entre 2027 y 2028, pero con impactos inmediatos en PLCs que interrumpen procesos y fallan escrituras de datos. Sus técnicas sofisticadas, como el typosquatting y ejecución probabilística, complican su detección y atribución.

📌 Importante:

• Actores involucrados: Alias “shanhai666”, posiblemente de origen chino.

• Vulnerabilidades: Typosquatting en NuGet para SQL Server, PostgreSQL, SQLite y PLCs; ejecución diferida de sabotajes.

• Impacto: Corrupción de datos, detenciones de procesos críticos en ambientes de manufactura.

🔒 ¿Cómo protegerse?

1. Validación de Paquetes: Inspeccionar exhaustivamente todo paquete NuGet antes de su integración, centrándose en entidades publicadoras y comentarios sospechosos.

2. Monitorización Activa: Implementar alertas para detectar comportamientos anómalos en sistemas, especialmente escrituras fallidas y terminaciones inesperadas de procesos.

3. Segmentación de Redes: Aislar redes de control industrial y bases de datos del acceso directo a internet para limitar la explotación de estas vulnerabilidades.

🔗 Fuente: Security Affairs

6. 🐳 Vulnerabilidades en runc permiten escape de contenedores

Investigadores han descubierto vulnerabilidades críticas en runc, el runtime de contenedores usado en plataformas como Docker y Kubernetes. Estas fallas podrían ser explotadas para escapar de contenedores y comprometer la máquina huésped, poniendo en riesgo datos críticos y servicios de producción. La importancia de este descubrimiento radica en que runc es ampliamente utilizado en entornos de nube y DevOps, también en empresas de México y Latinoamérica que dependen de estas tecnologías para la transformación digital y la implementación de soluciones basadas en contenedores.

📌 Importante:

• Actores involucrados: Principalmente, atacantes maliciosos que buscan comprometer infraestructura de nube y DevOps.

• Vulnerabilidades: Se revelaron fallas críticas que permiten el escape de contenedores; aún no se han listado CVEs específicos.

• Impacto: Riesgo elevado en servidores y servicios en producción que utilizan runc sin parchear.

🔒 ¿Cómo protegerse?

1. Aplicar parches de seguridad: Asegúrese de actualizar runc a la última versión disponible para corregir estas vulnerabilidades críticas.

2. Monitorear actividades de contenedores: Implemente políticas de seguridad que detecten y prevengan movimientos laterales fuera del contenedor.

3. Segmentación de red: Limite el acceso de contenedores a servicios críticos en la red para minimizar el riesgo en caso de compromiso.

🔗 Fuente: Security Week

✍️ Análisis y Opinión - 🧩 Chollima y la economía del ataque: lo que la serie de Bitso revela sobre el nuevo modelo del adversario

Por si no te enteraste, las últimas semanas hemos tenido una de las publicaciones más interesantes del año en el mundo de la ciberseguridad latinoamericana: la serie “Interview with the Chollima”, publicada por Quetzal, la unidad de investigación de Bitso.

Más que una simple crónica, la serie es una radiografía profunda del adversario moderno —uno que ya no actúa por notoriedad, sino por eficiencia económica.
“Chollima” es el alias asociado a operaciones vinculadas con Corea del Norte, incluidas las atribuidas al grupo Lazarus por agencias internacionales.

Pero lo verdaderamente valioso de la serie no es su carga técnica, sino su capacidad para cambiar nuestra perspectiva.
Nos recuerda que la ciberseguridad no es un tablero de ajedrez, sino una economía: con incentivos, cadenas de suministro y flujos de efectivo.

Los atacantes no operan en el caos, sino con objetivos financieros claros, modelos de negocio sostenibles y una comprensión precisa de las asimetrías que las empresas aún no logran cerrar.
En ese contexto, entender cómo piensan —y cómo usan herramientas como la inteligencia artificial y los deepfakes para maximizar su ventaja— ya no es opcional: es una cuestión de supervivencia empresarial.

🎯 El modelo de ataque: negocio, no espectáculo

El hilo conductor de la serie confirma tres verdades incómodas.

1. El objetivo no es la fama, es el flujo.
   Robar rápido, mover fondos antes de que los gráficos on-chain delaten patrones y reciclar capital mediante rutas y servicios que dificultan la trazabilidad.

2. El acceso más barato sigue siendo humano.
   Ingenieros tentados con ofertas falsas, proveedores pequeños con controles disparejos y equipos remotos que normalizaron exceso de confianza en canales colaborativos.

3. La frontera entre crimen y Estado es difusa.
   Lo que para una empresa es “fraude”, para un actor sancionado puede ser “financiamiento”.
   Los reportes oficiales que atribuyen campañas a Lazarus y las sanciones selectivas muestran que estas operaciones se sostienen en economías con reglas distintas a las nuestras.
   El punto no es el morbo técnico: es el modelo de negocio que sostienen.

🤖 Deepfakes e IA: la palanca que multiplica el daño

Un capítulo que merece especial atención es el uso de IA generativa y deepfakes como herramienta operativa. No es ya un vector de laboratorio: es práctica corriente en operaciones sofisticadas. Algunas formas concretas en las que la IA está siendo usada por estos adversarios:

• Suplantación de identidad multimedia (deepfakes de voz y vídeo): llamadas “verificadas” a soporte, comandos firmados por ejecutivos con voz clonada, o videos falsos para presionar a equipos a ejecutar órdenes urgentes.

• Spear-phishing hiperpersonalizado: la IA genera mensajes que reproducen estilo, referencias y contexto profesional de la víctima —incluso mezclando datos públicos y privados— para eludir filtros y ganar confianza.

• Automatización de reconocimiento y explotación: herramientas que barren repositorios públicos y privados en busca de credenciales, endpoints expuestos y dependencias vulnerables; generadores de exploit que transforman CVEs antiguos en herramientas reutilizables en minutos.

• Prompt injections y manipulación de agentes: cuando las organizaciones usan copilotos o agentes automatizados (en chatbots, asistentes o navegadores IA), estos pueden ser inducidos a filtrar datos, ejecutar acciones no autorizadas o exfiltrar información mediante entradas maliciosas.

• Deepfake-assisted social engineering para cash-out: validaciones de identidad o llamadas a terceros (bancos, custodios, brokers) que aceptan la voz/firma “confirmada” y permiten movimientos de fondos sin controles suficientes.

La síntesis es clara: la IA no solo acelera la tarea técnica del atacante; expande su campo de acción hacia lo humano. Donde antes el fraude necesitaba sistemas de ingeniería social rudimentarios, hoy se diseña una narrativa completa —voz, imagen, contexto— en minutos que persuada a una persona a bajar la guardia.

🌎 La región ya no es espectadora

Para líderes en México y América Latina, el mensaje es directo: ya no somos periferia.
La combinación de nearshoring, talento técnico en expansión y un ecosistema fintech-cripto vibrante nos convierte, al mismo tiempo, en objetivo y pasarela.

No se trata de hipótesis.
El incidente de SPEI en 2018, con desvíos millonarios, demostró que la coordinación sigue siendo un punto débil; la realidad demuestra que un flujo financiero bien ejecutado sigue siendo la finalidad.

Conviene leer la serie Chollima no solo como una crónica, sino como un manual de costos de oportunidad del adversario.
Su ventaja radica en la asimetría:
opera con horarios extendidos, tolera el ensayo y error, y explota las lagunas entre seguridad, cumplimiento y negocio.
La respuesta no está en sumar más herramientas sueltas, sino en diseñar la organización para cerrar esa asimetría.

🧠 Estrategia: de proteger perímetros a proteger confianza

Si el adversario ve “cadenas de valor”, nosotros debemos aprender a ver “superficies de confianza”:
los puntos, personas y procesos donde otorgamos permisos sin verificar o asumimos que “todo está bien”.

El punto débil ya no es solo el firewall.
Es el desarrollador con acceso extendido, el pipeline CI/CD con llaves olvidadas, el proveedor de soporte remoto con privilegios activos fuera de horario, o la startup de datos con credenciales durmientes en la nube.

Vale la pena ensayar, desde la dirección, un simulacro tipo “incidente Chollima”.
En una semana, plantee el escenario:

¿Qué ocurre si se compromete a un ingeniero clave, se altera el repositorio principal y se intentan transferencias on-chain hacia destinos opacos?

Involucre a Legal, Cumplimiento/AML y Tesorería.
Hágalo en entornos controlados (tabletop), pero con protocolos reales.
Incluso si su empresa no opera activos digitales, pruebe si sus filtros detectan exposición indirecta por proveedores o socios.

⚙️ Acciones concretas: convertir la defensa en costo operativo del atacante

La defensa más práctica y efectiva para empresas medianas y PyMEs es transformar la relación coste/beneficio del atacante: hacer que nos atacar sea demasiado caro, lento o arriesgado para que valga la pena. (Explico la frase al final).

Guía táctica inmediata:

• Encarezca el movimiento lateral.
  FIDO2 obligatorio en repositorios, aislamiento de ambientes, rotación automática de secretos en CI/CD, y verificación de firmas en artefactos antes del despliegue.

• Reduzca permisos por diseño.
  Principio de menor privilegio aplicado estrictamente a bots, webhooks, integraciones y cuentas de servicio.

• Endurezca la verificación de identidad ante cambios críticos.
  Flujos de aprobación en múltiples pasos para transferencias, con validación humana independiente ante órdenes inusuales (y comprobaciones fuera de canal).

• Monitoreo y detección centrados en comportamiento.
  Analítica que corrobore patrones —por ejemplo, cambios en ritmo de commits, ejecuciones CI fuera de horario, o exfiltración de artefactos— más allá de alertas basadas en firmas.

• Protección contra deepfakes/social engineering.
  Procedimientos para validar órdenes sensibles: llamadas telefónicas de verificación mediante clave de seguridad, contacto preaprobado y ventanas de confirmación que requieran acción en persona cuando sea posible.

• Terceros: controles contractuales y técnicos.
  PAM con acceso just-in-time, reglas de revocación inmediata y auditoría forense periódica para proveedores con acceso privilegiado.

• Simulacros integrados (red/blue + compliance).
  Ensayos que incluyan intentos de deepfake, spear-phishing altamente personalizados y escenarios de cash-out para medir la reacción de tesorería y legal.

🔒 Reflexión: volvernos antieconómicos (qué significa y por qué importa)

¿De dónde sale la frase “volvernos antieconómicos”?
Viene de la lógica económica que guía al atacante: todo adversario racional pondera coste vs. beneficio. Si la recompensa esperada (fondos, datos, interrupción) no compensa el costo —en tiempo, riesgo de detección, esfuerzo operativo o probabilidad de pérdida del botín— el objetivo deja de ser atractivo. Esa es la misma lógica que mueve decisiones de negocio; podemos usarla en defensa.

¿Cómo se aplica en la práctica? (resumen operativo)

• Aumentar el costo del ataque: obligar a pasos adicionales (MFA hardware, aprobaciones fuera de canal, revisiones humanas) que consumen tiempo y recursos del atacante.

• Reducir la recompensa: minimizar el valor del objetivo (segmentación, cifrado de datos críticos, dividir balances y no centralizar treasury).

• Aumentar el riesgo de detección: monitoreo avanzado, telemetría y trampas (honeypots) que aumenten la probabilidad de que el atacante sea descubierto y sus ganancias sean confiscadas.

• Reducir la velocidad de ejecución: controles que retrasen la ejecución de acciones críticas (periodos de retardo, revisiones automáticas) para dar tiempo a la detección y respuesta.

Ejemplo sencillo: si un atacante necesita comprometer un repositorio, modificar código, obtener firmas y mover fondos, cada control adicional (firma FIDO2, verificación legal, retardo por 24h antes de transferencia, bloqueo automatizado si las transferencias superan umbral) convierte la operación en una secuencia más lenta, visible y arriesgada. En términos de retorno sobre inversión, el atacante preferirá objetivos con menos fricción.

En suma: no se trata de parecer inexpugnables, sino de dejar la ecuación económica a favor nuestro. Hacer que el esfuerzo, el riesgo y el coste temporal de atacarnos superen la recompensa potencial.

Chollima nos presta la mirada del adversario. Úsala para ajustar los márgenes, no solo los firewalls. Porque, al final, este juego no lo gana quien más alertas acumula, sino quien menos valor deja disponible en su superficie de confianza.

🔗 Fuentes consultadas:

• Bitso Quetzal – Interview with the Chollima (I–VI)

Gracias por leer nuestro resumen semanal. Recuerda, estamos aquí para ayudarte a navegar el complejo mundo de la ciberseguridad. No dudes en responder a este correo con tus preguntas o inquietudes.

¡Hasta la próxima semana! 🎯

Te invitamos a compartir esta publicación, visitar nuestro sitio web y conectar en redes sociales.