1. Principales Vulnerabilidades y Filtraciones de la semana

2. Nuevo OWASP Top10 2025

3. Lista de herramientas de IA promocionadas por actores maliciosos en foros clandestinos y sus capacidades

4. Estadísticas semanales

💥Google lanza una actualización de emergencia para Chrome que corrige múltiples vulnerabilidades críticas (Noticia)

Google ha publicado una actualización de emergencia para su navegador Chrome (versión 142) con el objetivo de corregir cinco vulnerabilidades de seguridad, tres de ellas calificadas como de alta gravedad. La más grave de las vulnerabilidades corregidas es CVE-2025-12725, localizada en WebGPU, la interfaz de procesamiento gráfico de Chrome.

💥Múltiples vulnerabilidades en productos de VMware (Noticia)

Broadcom ha publicado 16 notas de seguridad que afectan a productos de WMware con 313 vulnerabilidades: 10 de severidad alta, 80 altas, 166 medias y 56 bajas.

💥Vulnerabilidad de alta gravedad en Cisco ISE (CVE-2025-20343) permite ataques DoS no autenticados (Noticia)

Cisco ha publicado una actualización de seguridad para corregir una vulnerabilidad de alta gravedad (CVE-2025-20343, CVSS 8.6) que afecta a su Identity Services Engine (ISE). Podría permitir a atacantes remotos no autenticados provocar reinicios inesperados del sistema, lo que daría lugar a una condición de denegación de servicio (DoS).

💥Las actualizaciones de Windows de octubre activan la recuperación de BitLocker (Noticia)

Microsoft ha advertido de que algunos sistemas pueden arrancar en modo de recuperación de BitLocker tras instalar las actualizaciones de seguridad de Windows de octubre de 2025. El error afecta principalmente a los dispositivos Intel compatibles con Connected Standby, que permite que el PC permanezca conectado a la red mientras está en modo de bajo consumo.

Nuevo OWASP Top10 2025

OWASP presenta periódicamente un listado de las principales vulnerabilidades detectadas, acaba de publicar el de 2025. Es un documento de referencia para desarrolladores y equipos de seguridad información sobre las 10 principales vulnerabilidades encontradas. En la lista de los principales problemas para 2025, se han añadido dos categorías nuevas y se ha consolidado una. Se han esforzado en centrarse en la causa raíz, más que en los síntomas, en la medida de lo posible. Dada la complejidad de la ingeniería y la seguridad del software, resulta prácticamente imposible crear diez categorías sin cierto grado de superposición.

A01:2025 - Broken Access Control

Se mantiene como el riesgo de seguridad de aplicaciones más grave. Los datos aportados indican que, en promedio, el 3,73 % de las aplicaciones analizadas presentaban una o más de las 40 vulnerabilidades comunes (CWE) de esta categoría. Como se muestra en la línea discontinua de la figura anterior, la falsificación de solicitudes del lado del servidor (SSRF) se ha incluido en esta categoría.

A02:2025 - Security Misconfiguration

Ascendió del puesto n.° 5 en 2021 al n.° 2 en 2025. Las configuraciones incorrectas son más frecuentes en los datos de este ciclo. El 3,00 % de las aplicaciones analizadas presentaban una o más de las 16 vulnerabilidades comunes (CWE) de esta categoría. Esto no resulta sorprendente, ya que la ingeniería de software sigue incrementando la proporción del comportamiento de las aplicaciones que depende de las configuraciones

A03:2025 - Software Supply Chain Failures

Es una ampliación de A06:2021 - Componentes vulnerables y obsoletos, que abarca un espectro más amplio de vulnerabilidades que se producen dentro o a través de todo el ecosistema de dependencias de software, sistemas de compilación e infraestructura de distribución. Esta categoría fue votada abrumadoramente como una de las principales preocupaciones en la encuesta de la comunidad. Cuenta con 5 CWE y una presencia limitada en los datos recopilados, pero creemos que esto se debe a dificultades en las pruebas y esperamos que estas mejoren en este ámbito. Esta categoría presenta la menor cantidad de incidencias en los datos, pero también las puntuaciones promedio más altas de explotación e impacto de las CVE.

A04:2025 - Cryptographic Failures

desciende dos puestos, del n.° 2 al n.° 4, en la clasificación. Los datos aportados indican que, en promedio, el 3,80 % de las aplicaciones presentan una o más de las 32 CWE de esta categoría. Esta categoría suele provocar la exposición de datos confidenciales o la vulneración del sistema.

A05:2025 - Injection

baja dos puestos, del n.° 3 al n.° 5, en la clasificación, manteniendo su posición relativa a fallos criptográficos y diseño inseguro. La inyección de vulnerabilidades es una de las categorías más analizadas, con el mayor número de CVE asociadas a las 38 CWE de esta categoría. Incluye una variedad de problemas, desde Cross-site Scripting (alta frecuencia/bajo impacto) hasta vulnerabilidades de inyección SQL (baja frecuencia/alto impacto).

A06:2025 - Insecure Design

Baja dos puestos, del n.° 4 al n.° 6, en la clasificación, ya que la mala configuración de seguridad y las fallas en la cadena de suministro de software la superan. Esta categoría se introdujo en 2021 y hemos observado mejoras notables en el sector relacionadas con el modelado de amenazas y un mayor énfasis en el diseño seguro.

A07:2025 - Authentication Failures

Fallas de Autenticación mantiene su posición en el n.° 7 con un ligero cambio de nombre (anteriormente era «Fallas de Identificación y Autenticación») para reflejar con mayor precisión las 36 CWE (Excepciones Comunes de Error) en esta categoría. Esta categoría sigue siendo importante, pero el mayor uso de marcos estandarizados para la autenticación parece estar teniendo efectos beneficiosos en la incidencia de fallas de autenticación.

A08:2025 - Software or Data Integrity Failures

Continúa en el n.° 8 de la lista. Esta categoría se centra en la falta de mantenimiento de los límites de confianza y la verificación de la integridad del software, el código y los datos, a un nivel inferior al de las fallas en la cadena de suministro de software.

A09:2025 - Logging & Alerting Failures

mantiene su posición en el puesto n.° 9. Esta categoría ha cambiado ligeramente de nombre (anteriormente, «Fallos en el registro y la monitorización de la seguridad») para destacar la importancia de la funcionalidad de alertas necesaria para que se tomen las medidas adecuadas ante eventos de registro relevantes. Un buen registro sin alertas resulta de poca utilidad para identificar incidentes de seguridad. Esta categoría siempre estará infrarrepresentada en los datos y, de nuevo, fue elegida por los participantes de la encuesta de la comunidad para figurar en la lista.

A10:2025 - Mishandling of Exceptional Conditions

Es una nueva categoría para 2025. Esta categoría contiene 24 CWE (Experiencias de Error Común) centradas en la gestión inadecuada de errores, errores lógicos, fallos abiertos y otros escenarios relacionados derivados de condiciones anómalas que pueden experimentar los sistemas.

OWASP Top10

Lista de herramientas de IA promocionadas por actores maliciosos en foros clandestinos y sus capacidades

En 2024 y 2025, el panorama del cibercrimen ha cambiado drásticamente gracias a la irrupción de la inteligencia artificial en los foros clandestinos. Según el Google Threat Intelligence Group (GTIG), el mercado subterráneo de herramientas de IA ha madurado con rapidez, permitiendo que actores con poca capacidad técnica accedan a herramientas sofisticadas que antes estaban fuera de su alcance. Entre estas herramientas destacan plataformas como WormGPT, FraudGPT, Xanthorox AI y NYTHEON AI que ofrecen facilidades tales como generación de phishing altamente creíble, creación de malware, investigación de vulnerabilidades y funciones de ingeniería social totalmente empaquetadas.

La proliferación de estas herramientas ha transformado la escala y velocidad de los ataques. La capacidad de producir correos de phishing generados por IA aumentó los ataques de ingeniería social en más de un mil por ciento, según los analistas. Adicionalmente, el modelo de negocio de estas plataformas imita el de software legítimo: suscripciones escalonadas, soporte técnico, versiones gratuitas de prueba. En consecuencia, la barrera de entrada para el ciberdelito es cada vez más baja y las organizaciones deben prepararse para un entorno en el que incluso actores con pocos recursos pueden lanzar campañas altamente sofisticadas.

Artículo CyberSecurityNews

⚠️ 336 ciberataques en 45 países ⚠️

➡️​El actor de amenazas más activo la semana pasada fue NoName057(16), responsable de 56 ciberataque

➡️​USA es el país más afectado con 92 ciberataques.

➡️​El sector gubernamental, militar y de defensa es el más afectado, con un 21% de los incidentes y 71 ciberataques.

➡️​Ciberataques críticos estimados en 39 (11% del total).

➡️​Los datos comprometidos ascienden aproximadamente a 45 TB.

Datos de los amigos de Hackmanac

Ver historial de Publicaciones