1. Principales Vulnerabilidades y Filtraciones de la semana

2. Vulnerabilidad de suplantación en el Explorador de Archivos de Microsoft Windows

3. El 41% de los inicios de sesión utilizan credenciales robadas

Principales Vulnerabilidades y Filtraciones de la semana

💥Apache Tomcat bajo ataque. Actualiza YA! (Noticia)

Se está explotando activamente la vulnerabilidad CVE-2025-24813 sólo 30 horas después de la divulgación. En un aviso publicado la semana pasada, los responsables del proyecto afirmaron que la vulnerabilidad se había resuelto en las versiones 9.0.99, 10.1.35 y 11.0.3 de Tomcat.

💥Vulnerabilidades de VMware explotadas activamente para eludir controles de seguridad e implantar ransomware (Noticia)

Las vulnerabilidades CVE-2025-22224 (CVSS 9.3), CVE-2025-22225 (CVSS 8.2) y CVE-2025-22226 (CVSS 7.1) permiten a los atacantes escapar de la contención de máquinas virtuales (VM), secuestrar hipervisores y desplegar ransomware en clusters enteros.

💥CISA advierte de la vulnerabilidad de elusión de autenticación de Fortinet FortiOS (Noticia)

La vulnerabilidad CVE-2025-24472 «Authentication Bypass Using an Alternate Path or Channel» que afecta a FortiOS y FortiProxy puede permitir a un atacante remoto obtener privilegios de superadministrador a través de peticiones proxy CSF falsificadas», afirma el comunicado de Fortinet.

💥WhatsApp ha parcheado una vulnerabilidad de día cero utilizada para instalar el programa espía Graphite de Paragon (Noticia)

El 31 de enero, tras mitigar el exploit zero-click desplegado en estos ataques, WhatsApp notificó a unos 90 usuarios de Android de más de dos docenas de países, incluidos periodistas y activistas italianos, que habían sido atacados con el spyware Paragon para recopilar datos sensibles e interceptar sus comunicaciones privadas.

💥26 millones de dispositivos infectados con malware infostealer para robar 2.3 millones de tarjetas bancarias (Noticia)

Se estima que de esos 26 millones de infectados, se recopiló información acerca de 2.3 millones de tarjetas bancarias. Los dispositivos pueden ser infectados mediante la ejecución de software que parece una aplicación legítima pero realmente esta infectada con este malware.

Vulnerabilidad de suplantación en el Explorador de Archivos de Microsoft Windows (CVE-2025-24071)

Cuando un archivo .library-ms especialmente diseñado que contiene una ruta SMB se comprime dentro de un archivo RAR/ZIP y posteriormente se extrae, el Explorador de Windows analiza automáticamente su contenido gracias a su mecanismo integrado de indexación y vista previa.

Este comportamiento se debe a que el Explorador de Windows procesa automáticamente ciertos tipos de archivo tras la extracción para generar vistas previas, miniaturas o metadatos de índice, incluso si el usuario nunca abre ni hace clic en el archivo explícitamente.

El formato de archivo .library-ms se basa en XML y el Explorador de Windows lo utiliza para definir las ubicaciones de búsqueda y de bibliotecas. Tras la extracción, el servicio de indexación y el mecanismo de análisis de archivos integrado de Explorer analizan inmediatamente el contenido del archivo .library-ms para mostrar los iconos, miniaturas o metadatos correspondientes.

Si el archivo proporcionado es manipulado y contiene una etiqueta <simpleLocation> que apunta directamente a un servidor SMB controlado por el atacante, Explorador de Windows intenta resolver automáticamente esta ruta SMB (por ejemplo, \\192.168.1.116) para recopilar metadatos e información del archivo de índice. Esta acción activa un protocolo de enlace de autenticación NTLM implícito desde el sistema de la víctima al servidor SMB controlado por el atacante. En consecuencia, el hash NTLMv2 de la víctima se envía sin interacción explícita del usuario.

Noticia (Segu-Info) | Detalle Técnico | PoC

El 41% de los inicios de sesión utilizan credenciales robadas

Un análisis reciente de Cloudflare reveló que el 41% de los inicios de sesión exitosos en sitios web protegidos por sus mecanismos de seguridad se realizaron con credenciales robadas, lo que pone de relieve la alarmante magnitud de la reutilización de contraseñas.

Entre septiembre y noviembre de 2024, especialistas en ciberseguridad examinaron el tráfico de usuarios y bots, así como el impacto de las filtraciones de datos en los sistemas de gestión de contenido (CMS). Sus hallazgos indicaron que las credenciales filtradas no solo ponen en peligro a los usuarios individuales, sino que también comprometen importantes plataformas como WordPress, Joomla y Drupal. Cabe destacar que el 76% de los intentos de inicio de sesión con credenciales comprometidas en sitios de WordPress tuvieron éxito, y casi la mitad de ellos fueron ejecutados por bots automatizados.

A pesar de la creciente concienciación sobre las amenazas a la ciberseguridad, la reutilización de contraseñas sigue siendo un problema frecuente. Un estudio de Forbes reveló que, en promedio, los usuarios usan la misma contraseña en al menos cuatro cuentas diferentes.

Para protegerse de estas amenazas, los usuarios deben adoptar contraseñas únicas y complejas para cada cuenta y habilitar la autenticación multifactor (MFA) siempre que sea posible. Los administradores de sitios web, a su vez, deben implementar sistemas de detección de credenciales comprometidas, imponer limitaciones más estrictas a los intentos de inicio de sesión y mejorar proactivamente su infraestructura de seguridad.

Noticia | Análisis

Ver historial de Publicaciones