1. Principales Vulnerabilidades y Filtraciones de la semana

2. Precaución con las suplantaciones durante la campaña de Renta

3. Microsoft exigirá a todos los dominios la implementación de SPF, DKIM y DMARC

4. Vuelve el ransomware HelloKitty, que ataca entornos Windows, Linux y ESXi

5. Balance de ciberataques de la semana

Principales Vulnerabilidades y Filtraciones de la semana

💥Cambio de contraseña no verificada en FortiSwitch de Fortinet (El día de la marmota)(Noticia)

La vulnerabilidad de cambio de contraseña no verificada en la GUI de Fortinet FortiSwitch puede permitir que un atacante remoto, no autenticado, que cambie las contraseñas de administrador a través de una solicitud especialmente diseñada.

💥Actualizaciones de seguridad de Microsoft (Noticia)

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 8 de abril, consta de 126 vulnerabilidades (con CVE asignado), calificadas 100 como altas y 26 como medias.

💥Vulnerabilidad RCE crítica en Ivanti Connect Secure, Policy Secure y ZTA Gateways (Noticia)

La vulnerabilidad (CVE-2025-22457, con CVSS 9.0) fue parcheada discretamente en febrero, etiquetada erróneamente como «error de producto». No se menciona la ejecución remota de código, no hay indicios de que se trate de un día cero explotado activamente por agentes de amenazas chinos (según Mandiant). Si se leían las notas del parche en aquel momento, no se veía ninguna razón para alarmarse o programar un mantenimiento urgente.

💥Hackers argelinos realizan un ataque sin precedentes a instituciones marroquíes (Noticia)

Las tensiones entre Argelia y Marruecos están entrando en el terreno de la ciberguerra. El grupo de hackers argelino JabaRoot DZ ha asumido la responsabilidad de una serie de intrusiones sin precedentes en los sistemas informáticos de varias instituciones marroquíes, con filtraciones masivas de datos sensibles.

Precaución con las suplantaciones durante la campaña de Renta

Ya hemos detectado varias campañas de phishing suplantando a Hacienda (AEAT). Existen varias versiones del correo que utilizan los ciberdelincuentes como pretexto para intentar esta estafa, como puede ser, el reembolso de impuestos, una notificación, etc. Por lo general estos mensajes suelen estar acompañados de un enlace que dirige a un sitio web fraudulento, donde se solicitan los diferentes datos personales y/o bancarios a la víctima.

Estos correos que reciben las víctimas contienen un enlace que, si el usuario pulsa sobre él, accederá a un sitio web fraudulento con la apariencia del sitio oficial de la AEAT, con el logo, colores y diseño que simulen el del sitio legítimo. La página dispone de un formulario en el que, conforme se vaya completando, se irán solicitando diferentes datos personales y, finalmente, bancarios.

No se descarta que los estafadores puedan estar utilizando también otros medios como puede ser el smishing, que consiste en mandar estas mismas notificaciones que hemos mencionado anteriormente, pero en este caso, a través de mensajes de texto.

Es preciso que se conciencie al personal administrativo y de departamentos económicos / financieros para que permanezcan atentos y sepan como actuar llegado el caso.

Información | Consejos | Alerta

Microsoft exigirá a todos los dominios la implementación de SPF, DKIM y DMARC

A partir del 5 de mayo de 2025, Microsoft exigirá que los dominios que envíen más de 5.000 correos diarios a sus servicios de correo electrónico (como Outlook.com, Hotmail.com y Live.com) implementen correctamente los protocolos de autenticación SPF, DKIM y DMARC. Esta medida se alinea con los pasos previamente tomados por Google y Yahoo, y marca una evolución hacia un ecosistema de correo electrónico más seguro y confiable, donde la autenticación es clave para la entrega efectiva de mensajes.

Aunque el requisito se centra en emisores de alto volumen, expertos destacan que todas las organizaciones deberían adoptar estas prácticas, independientemente de la cantidad de correos enviados. Configurar adecuadamente SPF, DKIM y DMARC no solo mejora la entregabilidad, sino que también protege la reputación del dominio y refuerza la confianza de los destinatarios. Una política mínima de DMARC en p=none es un buen inicio, pero se recomienda avanzar hacia políticas más estrictas como quarantine o reject para prevenir ataques de suplantación (phishing).

Aún existen algunas áreas de incertidumbre —como la definición exacta del umbral de 5.000 correos o si se incluyen cuentas empresariales de Microsoft 365— el mensaje general es claro: Microsoft se suma decididamente al esfuerzo global por combatir la suplantación de identidad y mejorar la seguridad del correo electrónico. Adoptar estos estándares ya no es una opción técnica, sino una necesidad estratégica para proteger la comunicación digital de las organizaciones.

Noticia | Boletín

Vuelve el ransomware HelloKitty, que ataca entornos Windows, Linux y ESXi

El ransomware HelloKitty ha resurgido con nuevas variantes que atacan sistemas Windows, Linux y entornos virtualizados ESXi, marcando una evolución significativa desde su aparición inicial en 2020 como derivado de DeathRansom. Actualmente, utiliza una combinación de cifrado más avanzada: emplea una semilla de 32 bytes generada a partir del timestamp de la CPU para aplicar Salsa20 y luego AES, protegiendo la clave con una clave pública RSA-2048 cuya huella SHA-256 sirve como identificador de la víctima. Algunas variantes también incorporan claves públicas NTRU, mostrando adaptabilidad ante entornos criptográficos modernos.

A nivel operativo, el grupo ha ampliado su presencia geográfica. Aunque inicialmente se pensaba que operaban desde Ucrania, los análisis recientes apuntan a una posible conexión con China, debido a evidencias como archivos internos en chino, uso de servicios como QQ y SkyCN, y cargas iniciales de muestras desde IPs chinas (como CHINANET). Esta mezcla de elementos podría ser parte de una estrategia deliberada para ocultar su verdadero origen o reflejar una operación multinacional. Desde 2021, también se han observado muestras orientadas a entornos ESXi, evidenciando una intención clara de expandir vectores de ataque.

Análisis Técnico

Balance de ciberataques de la semana

Martes 2 - Martes 08 de abril de 2025

⚠530 ciberataques en 49 países ⚠️

➡El actor de amenazas más activo la semana pasada fue NoName057(16), responsable de 83 ciberataques.

➡️ Israel y USA son los paises más afectado con un 34.35% de los incidentes, con 91 ciberataques cada uno.

➡️El sector gubernamental, militar y de defensa es el más afectado, con un 26.1% de los incidentes y 138 ciberataques.

➡️Ciberataques críticos estimados en 27 (5,1% del total).

➡️Los datos comprometidos ascienden aproximadamente a 35 TB.

Datos de los amigos de Hackmanac

Ver historial de Publicaciones