¡Bienvenidos a nuestra edición semanal! Aquí encontrarás las noticias y tendencias más relevantes del mundo de la ciberseguridad, cuidadosamente seleccionadas y sintetizadas para mantenerte informado y preparado en un entorno de amenazas digitales en constante evolución.

Hoy recibes:

• 🗞️ Las noticias más importantes de la semana: Filtraciones masivas, ataques de ransomware, vulnerabilidades críticas y botnets que afectan a plataformas clave

• 🇲🇽 Especial México: Filtraciones masivas y ciberataques que ponen en riesgo a ciudadanos y empresas en el país.

• ✍️ Análisis y opinión: 🚨 La Ciberseguridad en 2025: La IA y el Cibercrimen Juegan en la Misma Liga.

☕️ Noticias de la semana

Aquí tienes un resumen de las noticias de ciberseguridad más relevantes de la última semana:

1. 💥 Filtración de chats de Black Basta revela conflictos internos y tácticas de ataque

Los registros de chat filtrados del grupo de ransomware Black Basta han revelado conflictos internos y detalles sobre su modus operandi. Las conversaciones, que abarcan desde septiembre de 2023 hasta septiembre de 2024, muestran tensiones dentro del grupo, especialmente después de ataques a instituciones de salud. Miembros del grupo manifestaron preocupaciones éticas sobre el impacto en pacientes, lo que llevó a debates sobre la dirección de sus operaciones.

Además, los chats expusieron la explotación de vulnerabilidades conocidas en tecnologías ampliamente utilizadas, como productos de Microsoft, Citrix NetScaler y Atlassian Confluence, subrayando la importancia de la gestión proactiva de parches y la vigilancia constante en ciberseguridad.

📌 Importante:

• Black Basta enfrentó divisiones internas tras ataques a hospitales y organizaciones de salud.

• Filtraciones revelan tácticas y vulnerabilidades explotadas, incluyendo Microsoft, Citrix y Confluence.

• El ransomware sigue evolucionando, utilizando herramientas más sofisticadas para ataques dirigidos.

🔒 ¿Cómo protegerse?

1. Aplicar parches de seguridad en todos los sistemas y monitorear vulnerabilidades en productos de Microsoft, Citrix y Atlassian.

2. Implementar estrategias de segmentación de red para minimizar el impacto de un ataque de ransomware.

3. Capacitar al personal en la identificación de ataques de phishing y otras tácticas de ingeniería social.

4. Reforzar la protección de endpoints con soluciones avanzadas de detección y respuesta (EDR/XDR).

🔗 Fuente: Security Affairs

2. 🛡️ Más de 2,500 variantes del controlador Truesight.sys explotadas para eludir EDR y desplegar HiddenGh0st RAT

Una campaña de malware a gran escala ha sido descubierta aprovechando un controlador de Windows vulnerable asociado con la suite de productos de Adlice para eludir los esfuerzos de detección y entregar el malware Gh0st RAT.

📌 Importante:

• Técnica BYOVD: Los atacantes utilizan la técnica “Bring Your Own Vulnerable Driver” (BYOVD) para aprovechar controladores legítimos pero vulnerables y desactivar soluciones de seguridad en el sistema.

• Distribución masiva: Se han identificado más de 2,500 variantes distintas del controlador vulnerable truesight.sys en la plataforma VirusTotal, lo que indica una amplia distribución de esta amenaza.

• Objetivos principales: Aproximadamente el 75% de las víctimas se encuentran en China, con el resto concentrado en otras partes de Asia, principalmente Singapur y Taiwán.

🔐 ¿Cómo protegerse?

1. Actualizar controladores y software: Asegúrese de que todos los controladores y software en su sistema estén actualizados a las versiones más recientes para mitigar vulnerabilidades conocidas.

2. Implementar listas de bloqueo: Utilice mecanismos como la lista de controladores vulnerables de Microsoft para proteger el sistema contra controladores conocidos como vulnerables.

3. Monitoreo continuo: Implemente soluciones de seguridad que realicen un monitoreo continuo del sistema para detectar actividades sospechosas y posibles amenazas.

🔗 Fuente: HackerNews

3. 🔍 Dragos identifica nueve grupos de amenazas activos en operaciones de OT en 2024

El más reciente informe de Dragos, empresa especializada en ciberseguridad industrial, reveló que nueve grupos de amenazas han estado activos en infraestructuras de Tecnología Operativa (OT) durante 2024. Este análisis destaca la creciente sofisticación de los ataques dirigidos a sistemas de control industrial.

📌 Importante:

• Nuevos actores identificados: Dragos ha añadido dos nuevos grupos de amenazas a su lista:

• Bauxite: Vinculado a Irán, ha operado bajo el seudónimo de CyberAv3ngers, atacando sectores de energía, agua, alimentos y productos químicos en EE.UU., Europa, Australia y Medio Oriente.

• Graphite: Asociado a Rusia (APT28), ha centrado sus ataques en infraestructuras relacionadas con el conflicto en Ucrania.

• Cuatro de los nueve grupos tienen capacidades avanzadas dentro de la Fase 2 de la Cadena de Ciberataques ICS, lo que les permite desarrollar ataques altamente dirigidos contra sistemas industriales.

• El sector energético sigue siendo el más atacado, junto con manufactura, agua y transporte.

🔒 ¿Cómo protegerse?

1. Monitoreo continuo: Implementar sistemas de detección y respuesta en entornos OT.

2. Actualización de sistemas: Aplicar parches de seguridad en dispositivos y redes industriales.

3. Segmentación de redes: Separar las redes OT de las IT para limitar el alcance de intrusiones.

4. Capacitación del personal: Entrenar a empleados en la identificación de amenazas en entornos industriales.

🔗 Fuente: SecurityWeek

4. 🛡️ Mega-Botnet ataca cuentas de Microsoft 365 mediante ‘Password Spraying’ 

Un botnet compuesto por más de 130,000 dispositivos comprometidos está llevando a cabo un ataque masivo de ‘password spraying’ dirigido a cuentas de Microsoft 365, explotando una característica de autenticación básica que a menudo pasa desapercibida por los equipos de seguridad. 

📌 Importante:

• Explotación de inicios de sesión no interactivos: Los atacantes aprovechan los registros de inicio de sesión no interactivos, que son autenticaciones realizadas por aplicaciones o componentes del sistema sin la intervención directa del usuario, utilizando credenciales previamente establecidas.

• Evasión de detección: Debido a que estos inicios de sesión no requieren la participación activa del usuario, las actividades maliciosas pueden pasar inadvertidas, permitiendo a los atacantes realizar intentos masivos de ‘password spraying’ sin ser detectados.

🔒 ¿Cómo protegerse?

1. Monitoreo de inicios de sesión no interactivos: Implementar sistemas de vigilancia que registren y analicen este tipo de autenticaciones para identificar actividades sospechosas.

2. Deshabilitar autenticación básica: Si es posible, desactivar las funciones de autenticación básica que no sean necesarias para reducir la superficie de ataque.

3. Implementar autenticación multifactor (MFA): Reforzar la seguridad de las cuentas añadiendo capas adicionales de verificación para dificultar el acceso no autorizado.

4. Políticas de contraseñas robustas: Establecer requisitos estrictos para la creación de contraseñas y fomentar su actualización periódica para minimizar el riesgo de compromisos.

🔗 Fuente: Dark Reading

5. 🔑 12,000 claves API y credenciales filtradas en datasets de IA

Un análisis reciente de Truffle Security reveló que un conjunto de datos utilizado para entrenar modelos de inteligencia artificial (LLM) contenía casi 12,000 credenciales activas, incluyendo claves API, contraseñas y tokens de acceso. Entre las credenciales expuestas se encontraban claves raíz de Amazon Web Services (AWS), webhooks de Slack y claves API de Mailchimp, lo que representa un riesgo significativo para empresas y desarrolladores.

📌 Importante:

• El dataset comprometido provenía de Common Crawl, un enorme archivo de datos públicos web, que contenía información de 47.5 millones de hosts y 38.3 millones de dominios.

• Las credenciales filtradas aún estaban activas, permitiendo accesos no autorizados a servicios en la nube y plataformas empresariales.

• Repositorios de código público también fueron afectados, con credenciales que siguen siendo accesibles a través de motores de búsqueda e indexadores de IA como Microsoft Copilot.

🔒 ¿Cómo protegerse?

1. Evitar incluir credenciales en repositorios de código público, incluso de manera temporal.

2. Implementar herramientas de escaneo de seguridad para detectar secretos en el código antes de su publicación.

3. Rotar credenciales y claves API regularmente para mitigar el impacto de posibles filtraciones.

4. Configurar alertas de acceso inusual en servicios en la nube y plataformas SaaS.

🔗 Fuente: The Hacker News

[ESPECIAL] 🇲🇽 México en la Mira del Cibercrimen: Filtraciones Masivas y Ataques a Empresas

1. 🛑 Filtración Masiva: ‘La Base de Datos Más Grande de México’ en Venta en la Dark Web

Un actor del cibercrimen conocido como InjectionInferno ha puesto a la venta en la dark web una base de datos de 701 GB, denominada “La base de datos más grande de México”. Esta filtración incluye información electoral, bancaria, fiscal, telefónica, laboral, educativa y médica de millones de ciudadanos y empresas mexicanas, lo que podría derivar en fraudes financieros y manipulación política.

📌 Importante:

• Alcance de la filtración: La base contiene datos detallados que abarcan desde registros electorales del INE hasta historiales crediticios y registros fiscales del SAT.

• Riesgos asociados: La exposición de esta información sensible puede facilitar actividades delictivas como fraudes, robos de identidad y extorsiones.

🔗 Fuente: Publimetro México

2. 🚨 Ciberataque a Empresa de Nómina Compromete Datos Laborales en México

El grupo de cibercriminales LockBit 3.0 ha atacado a OSSC México, una empresa especializada en software de nómina y administración de recursos humanos. Los atacantes afirman haber extraído y cifrado 100 GB de información confidencial, incluyendo recibos de nómina, contratos de empleados y reportes internos de recursos humanos, poniendo en riesgo la privacidad y seguridad de numerosos trabajadores en el país.

📌 Importante:

• Datos comprometidos: Información financiera y personal de empleados, como salarios, deducciones, contratos laborales y documentos personales.

• Implicaciones: Los afectados podrían ser víctimas de fraudes financieros, robo de identidad y extorsión.

✍️ Análisis y opinión - 🚨 La Ciberseguridad en 2025: La IA y el Cibercrimen Juegan en la Misma Liga

🚨 La Ciberseguridad en 2025: La IA y el Cibercrimen Juegan en la Misma Liga

En 2025, la ciberseguridad ya no se trata solo de defenderse, sino de enfrentar a un cibercrimen cada vez más organizado, veloz y preciso.

Dos informes recientes –el CrowdStrike Global Threat Report 2025 y el LayerX GenAI Security Report 2025– nos pintan un panorama preocupante: los atacantes han dejado de ser llaneros solitarios y ahora operan como empresas bien estructuradas, utilizando la misma inteligencia artificial que promete revolucionar la seguridad… pero en su contra.

Las reglas del juego han cambiado. Ya no se trata de si te atacarán, sino cuándo y, más importante aún, qué tan rápido puedes reaccionar antes de que el daño sea irreversible.

⏳ 48 Minutos: El Tiempo que Tienes para Evitar el Desastre

Si sigues creyendo que un ciberataque toma días en desarrollarse, más vale que ajustes tu reloj: en 2025, el tiempo promedio para que un atacante se mueva lateralmente dentro de una red comprometida es de 48 minutos.

En algunos casos extremos, este tiempo se reduce a 51 segundos. Es decir, te das la vuelta a servir un café y ya tienen control de tu infraestructura.

Esto no es alarmismo, es la realidad. El tiempo de respuesta lo es todo. La detección temprana no es un lujo, es una necesidad operativa.

Las soluciones tradicionales basadas en reglas ya no alcanzan. La única manera de combatir la velocidad del adversario es con detección en tiempo real, automatización de respuesta y análisis de comportamiento avanzado.

🤖 IA Generativa: El As Bajo la Manga del Cibercrimen

Mientras las empresas todavía debaten cómo sacarle provecho a la GenAI (inteligencia artificial generativa), los ciberdelincuentes ya la convirtieron en su arma secreta.

Los datos del informe de LayerX lo dejan claro:

• El 89% del uso de IA en empresas es invisible para sus equipos de seguridad.

• El 71.6% de los accesos a GenAI se hacen con cuentas personales, lo que significa que las empresas no tienen control sobre lo que se comparte o analiza.

• 5.6% de las extensiones de navegador con IA son maliciosas y muchas tienen acceso a datos sensibles.

El problema no es la IA en sí, sino su uso descontrolado. El concepto de Shadow IT ha evolucionado a Shadow AI, con empleados usando herramientas como ChatGPT, Gemini o Claude sin regulaciones ni medidas de seguridad, exponiendo información sin darse cuenta.

Aquí no se trata de prohibir la IA, sino de establecer políticas claras de uso, monitorear su adopción y restringir accesos innecesarios. Porque, como dice el dicho, no es el hacha, sino el leñador.

🔓 El Cibercrimen ya no Necesita Malware: Robo de Credenciales en Auge

Uno de los datos más alarmantes del informe de CrowdStrike es que el 79% de las intrusiones en 2024 no requirieron malware.

Los atacantes han cambiado de estrategia: ya no intentan forzar la entrada, ahora simplemente consiguen credenciales legítimas y entran como si fueran usuarios normales.

¿Cómo lo logran?

1️⃣ Phishing con IA:

• Emails generados por GenAI que son prácticamente indistinguibles de los reales.

• Llamadas falsas (vishing) que han aumentado un 442% en el último año.

2️⃣ Compra de credenciales en la Dark Web:

• El negocio de los brokers de acceso ha crecido 50% año con año.

3️⃣ Ataques a identidades en la nube:

• El 35% de los incidentes en entornos cloud se deben al mal uso de cuentas legítimas.

No necesitan técnicas sofisticadas si pueden comprar las llaves de la empresa en un mercado clandestino.

Por eso, el Zero Trust ya no es solo una teoría, es una estrategia obligatoria.

🔮 ¿Cómo nos Preparamos para el 2025?

El panorama es claro: los ataques son más rápidos, inteligentes y difíciles de detectar. Pero eso no significa que las empresas estén condenadas.

Los informes nos dejan un mensaje contundente: las estrategias de seguridad deben evolucionar al mismo ritmo que las amenazas.

Aquí algunas claves imprescindibles:

✅ Automatización de detección y respuesta: La seguridad debe operar en tiempo real, no a reacción.

✅ Zero Trust aplicado a la IA: No confiar en ninguna herramienta sin controles claros y restricciones de acceso.

✅ Protección de credenciales: Todo acceso debe estar protegido con autenticación multifactor. Sin excepciones.

✅ Monitoreo de IA y extensiones de navegador: Si los empleados usan IA sin supervisión, la empresa está ciega ante posibles fugas de información.

✅ Análisis continuo de vulnerabilidades: Con más del 50% de las brechas relacionadas con accesos iniciales, reducir la exposición es clave.

El 2025 no es el futuro, ya está aquí. La diferencia entre una empresa resiliente y una empresa vulnerable no será su tamaño ni su presupuesto en seguridad, sino su capacidad de reacción.

La ciberseguridad ya no es solo una carrera contra los atacantes, es una carrera contra el tiempo. ⏳

Gracias por leer nuestro resumen semanal. Recuerda, estamos aquí para ayudarte a navegar el complejo mundo de la ciberseguridad. No dudes en responder a este correo con tus preguntas o inquietudes.

¡Hasta la próxima semana! 🚀

Te invitamos a compartir esta publicación, visitar nuestro sitio web y conectar en redes sociales.

www.purplesec.com

Compartir Newsletter Purple Security | Ciberseguridad