Entradas de blog etiquetadas con ' #digitalsecurity ' Rss

El problema de los registros de seguridad modernos

La mayoría de los equipos de seguridad cuentan con acceso a grandes cantidades de datos. Sin embargo, obtener información útil a partir de esos registros suele implicar:

• Conocer SQL y lenguales de consulta especializados.
• Entender múltiples esquemas de datos.
• Ajustar consultas manualmente.
• Correlacionar información entre diferentes fuentes.
• Invertir tiempo valioso en tareas repetitivas.

En un escenario donde cada minuto cuenta durante una investigación, estas limitaciones pueden retrasar significativamente la deteccion y la respuesta ante amenazas.

La IA cambia las reglas del juego

La incorporación de inteligencia artificial al análisis de registros permite que los analistas interactúen con los datos utilizando lenguaje natural.

En lugar de escribir consultas complejas, ahora es posible formular preguntas como:

• "Muestrame los intentos de inicio de sesión fallidos de las últimas 24 horas."
• "¿Qué ususarios registraron múltiples fallos de autenticación?"
• "¿Qué dispositivos se comunicaron con dominios maliciosos conocidos?"

La plataforma interpreta la intención de la consulta, genera automáticamente las búsquedas necesarias y presenta los resultados de forma clara y comprensible.

El resultado es simple pero poderoso: los analistas pasan menos tiempo construyendo consultas y más tiempo investigando amenazas.

De la pregunta a la respuesta en minutos

Uno de los mayores beneficios de la búsqueda de registros impulsada por IA es la reducción drástica en los tiempos de investigación.

Tradicionalmente, una consulta compleja podía requerir múltiples iteraciones antes de obtener resultados útiles. Con inteligencia artificial, los investigadores pueden:

• Obtener respuestas inmediatas.
• Refinar busquedas mediante conversaciones naturales.
• Profundizar en los hallazgos sin cambiar de herramienta.
• Visualizar las consultas generadas para validación técnica.

Esta capacidad resulta especialmente valiosa durante investigaciones activas, donde la velocidad puede marcar la diferencia entre contener una amenaza o permitir que se propague.

Democratizando el acceso a la inteligencia de seguridad

No todos los miembros de un equipo de seguridad son expertos en bases de datos o análisis avanzado de registros.

La búsqueda impulsada por IA elimina esa barrera técnica y permite que más profesionales participen activamente en las investigaciones.

• Esto genera beneficios importantes:
• Menor dependencia de especialistas.
• Reducción de cuellos de botella operativos.
• Mayor colaboración entre equipos.
• Incremento de la productividad general del SOC.

La información deja de estar reservada para unos pocos expertos y se vuelve accesible para toda la organización.

Seguridad sin comprometer la privacidad

Uno de los principales desafíos de las plataformas modernas es mantener la separación segura de datos entre diferentes clientes y entornos.

Los modelos más avanzados incorporan mecanismos de seguridad multinivel, incluyendo:

• Seguridad a nivel de fila (Row-Level Security).
• Aislamiento completo entre organizaciones.
• Controles estrictos de acceso.
• Validación continua de consultas.
• Registro completo para auditoría y cumplimiento.

Esto permite aprovechar el poder de la inteligencia artificial sin comprometer la confidencialidad de la información.

Servicio XDR Endpoint Security

Servicio XDR para una computadora o servidor por 12 meses. Recopila telemetría de seguridad en tiempo real para identificar, correlacionar e investigar amenazas avanzadas que evaden soluciones tradicionales.

Comprar ahora

* Suscripción anual

PCCOM Mayorista

Lleva tu ciberseguridad al siguiente nivel

www.pccommayorista.com

Contactar ahora

¿Cuál es la amenaza?

Dirty Frag ataca a las principales distribuciones de Linux, incluyendo Ubuntu, RHEL, Fedora, CentOS Stream, AlmaLinux, openSUSE Tumbleweed y sistemas derivados de Debian. La amenaza encadena dos fallos lógicos independientes del kernel: CVE-2026-43284 en xfrm-ESP y CVE-2026-43500 en RxRPC. Esta encadenación permite escrituras controladas de 4 y 8 bytes directamente en la caché de páginas del kernel. Estas escrituras permiten una escalada de privilegios de root determinista en el primer intento.

Dirty Frag combina una escritura en el kernel basada en ESP con una escritura basada en RxRPC que no requiere espacios de nombres de usuario. Esta combinación elude las medidas de seguridad específicas de cada distribución, incluidas las restricciones de espacios de nombres de usuario de AppArmor y las limitaciones de los módulos predeterminados. Dado que ambas vulnerabilidades son errores lógicos, no condiciones de carrera, el exploit se ejecuta con éxito de forma fiable. Sigue siendo efectivo incluso cuando se aplican medidas de mitigación previas para Copy Fail. Si no se cumplen los requisitos previos, el exploit falla silenciosamente. Este comportamiento convierte a Dirty Frag en una amenaza local altamente fiable y de amplia aplicación.

¿Por qué es digno de mención?

Dado que Dirty Frag se basa en fallos lógicos deterministas del kernel, y no en exploits de condiciones de carrera, permite un éxito silencioso en el primer intento y dificulta su detección. Esta amenaza proporciona una escalada de privilegios universal y fiable en Linux, sin parches disponibles y con uso activo de la herramienta. La prueba de concepto pública permite obtener acceso de administrador a casi todas las principales distribuciones de Linux mediante un único binario. Dado que la mitigación actual se basa en cambios de configuración manuales disruptivos, plantea preocupaciones más amplias sobre la seguridad a largo plazo de las rutas de código del kernel de Linux.

Servicio XDR Endpoint Security

Servicio XDR para una computadora o servidor por 12 meses. Recopila telemetría de seguridad en tiempo real para identificar, correlacionar e investigar amenazas avanzadas que evaden soluciones tradicionales.

Comprar ahora

* Suscripción anual

PCCOM Mayorista

Lleva tu ciberseguridad al siguiente nivel

www.pccommayorista.com

Contactar ahora

💣 No es un bug más. Es ejecución remota de código.

La vulnerabilidad CVE-2026-3854 (CVSS 8.7) permite algo especialmente peligroso:

• Ejecutar código arbitrario en el servidor
• Sin necesidad de acceso complejo
• Aprovechando un flujo completamente legítimo

El problema está en cómo GitHub procesa los datos enviados durante un git push.

Los inputs del usuario no se sanitizan correctamente, lo que permite manipular encabezados internos e inyectar comandos maliciosos disfrazados de metadatos.

En otras palabras:

⚠️ El verdadero riesgo: no lo vas a ver venir

Esto no es un ataque ruidoso, no rompe nada a simple vista y no genera alertas evidentes de inmediato.

Pero por dentro puede estar ocurriendo esto:

• Acceso a repositorios privados
• Robo de propiedad intelectual
• Movimiento lateral dentro de la infraestructura
• Compromiso total del servidor

Servicio XDR Endpoint Security

Servicio XDR para una computadora o servidor por 12 meses. Recopila telemetría de seguridad en tiempo real para identificar, correlacionar e investigar amenazas avanzadas que evaden soluciones tradicionales.

Comprar ahora

* Suscripción anual

Una campaña de phishing utiliza una página de seguridad de una cuenta de Google falsificada para distribuir una aplicación web progresiva (PWA) maliciosa. La aplicación está diseñada para robar contraseñas de un solo uso, recopilar direcciones de monederos de criptomonedas y convertir los navegadores de las víctimas en servidores proxy para el tráfico de los atacantes.

¿Cuál es la amenaza?

El sitio falso de seguridad de Google forma parte de un esquema de phishing que imita páginas legítimas de verificación de cuentas de Google. Las víctimas son redirigidas a él mediante enlaces que parecen genuinos, a menudo enviados por correo electrónico, anuncios o sitios web comprometidos.

En lugar de presentar un formulario típico de phishing, los atacantes activan la instalación de una PWA directamente en el navegador de la víctima, simulando la interfaz de una aplicación confiable. Sus atributos clave incluyen:

• Ventanas emergentes engañosas de alerta de seguridad
• Indicaciones para volver a verificar o iniciar sesión
• Ventanas que imitan los diálogos nativos del sistema
• Recopilación de credenciales de usuario en tiempo real

A diferencia de los sitios de phishing estándar, la PWA puede permanecer activa incluso después de cerrar el navegador, lo que dificulta su detección.

¿Por qué es digno de mención?

Esta campaña combina ingeniería social con funcionalidades de PWA para que la página de seguridad falsa de Google parezca legítima. Los atacantes utilizan el dominio "google-prism[.]com" y guían a las víctimas a través de un proceso de cuatro pasos que solicita permisos confidenciales y, finalmente, instala la PWA maliciosa.

Una vez instalada, la aplicación puede extraer contactos, ubicación GPS y datos del portapapeles, además de funcionar como proxy de red y escáner de puertos interno. También aprovecha la API WebOTP para capturar códigos de verificación SMS y utiliza notificaciones push para atraer a las víctimas a la aplicación y continuar robando datos.

Una aplicación de Android relacionada, disfrazada de actualización de seguridad urgente, solicita 33 permisos de alto riesgo, como SMS, registros de llamadas, acceso al micrófono y servicios de accesibilidad. Estos permisos facilitan el robo de datos y posibles fraudes financieros. Los usuarios deben tener cuidado con las solicitudes de seguridad no solicitadas y acceder únicamente a las herramientas de la cuenta de Google directamente en myaccount.google.com.

¿Cuál es la exposición o riesgo?

Esta campaña de phishing expone a las víctimas a riesgos significativos, como el robo total de cuentas y pérdidas financieras. Aunque muchos usuarios confían en la autenticación multifactor (MFA), los atacantes la eluden mediante intercepción en tiempo real: la página falsa solicita a las víctimas sus credenciales y códigos de verificación, que se transmiten inmediatamente a los atacantes. A continuación, inician sesión y capturan tokens de sesión válidos antes de que caduquen. Este enfoque de intermediario (AiTM) permite a los delincuentes autenticarse simultáneamente con la víctima, lo que debilita eficazmente las protecciones de la MFA.

La mayoría de las víctimas informan que no sintieron nada sospechoso, pero hay señales de advertencia sutiles: alertas de seguridad inesperadas, solicitudes para instalar una aplicación web como parte de la “verificación”, páginas de inicio de sesión que no están alojadas en dominios oficiales de Google, ventanas emergentes que se comportan como aplicaciones independientes y URL o redirecciones ligeramente alteradas.

Recomendaciones

1. No confíe en ventanas emergentes ni correos electrónicos que le soliciten que “verifique” o “asegura” su cuenta.
2. Escriba manualmente myaccount.google.com o utilice la aplicación de Google; nunca haga clic en los enlaces de seguridad en mensajes o anuncios.
3. No acepte los mensajes “Instalar aplicación” o “Agregar a la pantalla de inicio” a menos que haya iniciado el proceso en un sitio confiable.
4. Verifique la configuración del navegador (Chrome/Edge > Aplicaciones/Aplicaciones instaladas) y elimine cualquier PWA desconocida.
5. Instale aplicaciones de Google o relacionadas con la seguridad únicamente desde Google Play Store y las listas oficiales de desarrolladores.
6. Utilice una aplicación de autenticación (por ejemplo, Google Authenticator, Authy) en lugar de SMS para reducir el riesgo de abuso de WebOTP.

Autenticación de Próxima Generación

MFA está completamente integrado con la plataforma TrustLayer, consolidando la seguridad de correo electrónico, web y aplicaciones en la nube. Gestione políticas, visualice datos y genere informes desde un único portal centralizado.