Business
News
![[Webinar] Encuentre y elimine identidades no humanas huérfanas en su entorno – CYBERDEFENSA.MX](https://cybercolombia.co/wp-content/uploads/2026/04/bi.jpg)
![[Webinar] Cómo cerrar las brechas de identidad en 2026 antes de que la IA aproveche el riesgo empresarial – CYBERDEFENSA.MX](https://cybercolombia.co/wp-content/uploads/2026/04/cerby.jpg)
![[Webinar] Deja de adivinar. Aprenda a validar sus defensas contra ataques reales – CYBERDEFENSA.MX](https://cybercolombia.co/wp-content/uploads/2026/03/filigram.jpg)
Trending
Articles
Editor
Choice
Recent
Posts
El CIO federal es cauteloso con respecto a Mythos de Anthropic a pesar del lanzamiento planificado
El director de información federal, Greg Barbaccia, dijo el martes que el gobierno se está acercando al modelo Mythos de Anthropic con expectativas mesuradas, reconociendo tanto su potencial para fortalecer las defensas cibernéticas federales como las importantes incertidumbres que quedan sobre cómo se comportaría en condiciones del mundo real.
Barbaccia dijo que su exposición directa a Mythos se ha limitado a evaluaciones y pruebas comparativas, y que ninguna agencia federal lo ha implementado todavía. Si bien dice que la Oficina del Director Nacional Cibernético está coordinando el enfoque del gobierno, su evaluación más amplia de hacia dónde se dirige la ciberseguridad asistida por IA fue directa.
«Pronto llegaremos a un mundo en el que la defensa de la IA podrá alcanzarnos», dijo Barbaccia a CyberScoop el martes en la Foro federal de Workdayproducido por Scoop News Group. «Debemos llegar a un punto en el que los robots encuentren a los robots».
A principios de este mes, Barbaccia envió un correo electrónico a las agencias del gabinete para informarles que la Oficina de Gestión y Presupuesto ha comenzado a sentar las bases para una implementación controlada del modelo en las agencias federales.
Su encuadre refleja una visión de que las mismas capacidades que hacen de Mythos una amenaza ofensiva potencial son precisamente las que lo hacen valioso como herramienta defensiva. Anthropic ha dicho que el modelo identificó miles de vulnerabilidades de alta gravedad previamente desconocidas en los principales sistemas operativos y navegadores web durante las pruebas, muchas de ellas con décadas de antigüedad. La pregunta para los equipos de seguridad federales no es si esas capacidades son reales, sino si se trasladan de los entornos de laboratorio controlados a las redes complejas y defendidas que las agencias gubernamentales realmente manejan.
Barbaccia fue sincero sobre esa brecha.
«Creo que mejorará el nivel de las personas y hará que un operador ofensivo de ciberseguridad novato sea más eficiente», dijo a CyberScoop. «Pero aún no se sabe qué tan efectivo será contra las condiciones del mundo real, es decir, una red protegida por defensores humanos que tiene alertas y cosas así. Las evaluaciones que he visto han sido aprendizajes de laboratorio».
Esa distinción es importante para los equipos de seguridad federales que sopesan cómo pensar en el modelo. Encontrar una vulnerabilidad y explotarla con éxito en un entorno defendido son problemas diferentes. Barbaccia señaló el catálogo CVE, la lista actualizada del gobierno de fallas de software conocidas, como un área donde la velocidad del modelo podría tener valor práctico. Un analista humano trabajando en ese catálogo tomaría un tiempo considerable. Un modelo como Mythos podría atravesarlo mucho más rápido. Pero la velocidad por sí sola no determina si una vulnerabilidad representa una amenaza real.
«Existe una diferencia entre algo que es explotable en una ventana de 4 nanosegundos durante un arranque de BIOS y cuál es la realidad de que eso sea explotado en el mundo real», dijo. «Tenemos que entender, de la misma manera que se podría proteger toda la superficie de amenazas, ¿dónde están las joyas de la corona? Y cómo proteger algo y asegurarse de que la protección que está implementando valga la pena para lo que está protegiendo».
Ese tipo de pensamiento es familiar para los defensores de las redes federales, quienes operan bajo limitaciones de recursos y deben evaluar qué vulnerabilidades abordar primero. Lo que Mythos potencialmente cambia es la velocidad a la que se puede realizar esa clasificación y la profundidad con la que se pueden identificar las vulnerabilidades antes de que un adversario las encuentre.
Barbaccia dijo que el Consejo de CIO, que coordina la política tecnológica entre agencias civiles, aún se encuentra en las primeras etapas de comprensión de lo que el modelo podría significar para los entornos de seguridad empresarial. «Todo el mundo tiene curiosidad por saber mucho más», dijo.
Las agencias han intentado por su cuenta obtener acceso al modelo de Anthropic. El Departamento del Tesoro ha solicitado acceso, según informes. CISA, la agencia responsable de asegurar, monitorear y defender las redes de agencias civiles, no se le ha concedido acceso.
La LofyGang brasileña resurge después de tres años con la campaña Minecraft LofyStealer – CYBERDEFENSA.MX
Un grupo de cibercrimen de origen brasileño ha resurgido después de más de tres años para orquestar una campaña que apunta a los jugadores de Minecraft con un nuevo ladrón llamado LofyStealer (también conocido como GrabBot).
«El malware se disfraza como un hack de Minecraft llamado ‘Slinky’», afirma la empresa de ciberseguridad ZenoX, con sede en Brasil. dicho en un informe técnico. «Utiliza el ícono oficial del juego para inducir la ejecución voluntaria, explotando la confianza de los usuarios jóvenes en la escena de los juegos».
La actividad se ha atribuido con gran confianza a un actor de amenazas conocido como LofyGang, al que se observó aprovechando paquetes con errores tipográficos en el registro npm para impulsar malware ladrón en 2022, específicamente con la intención de desviar datos de tarjetas de crédito y cuentas de usuario asociadas con Discord Nitro, juegos y servicios de transmisión.
El grupo, que se cree que está activo desde finales de 2021, anuncia sus herramientas y servicios en plataformas como GitHub y YouTube, al tiempo que contribuye a una comunidad de hackers clandestina bajo el alias DyPolarLofy para filtrar miles de cuentas de Disney+ y Minecraft.
«Minecraft ha sido un objetivo de LofyGang desde 2022», dijo a The Hacker News Acassio Silva, cofundador y jefe de inteligencia de amenazas de ZenoX. «Filtraron miles de cuentas de Minecraft bajo el alias DyPolarLofy en Cracked.io. La campaña actual persigue a los jugadores de Minecraft directamente a través de un hack falso ‘Slinky’».
El ataque comienza con un hack de Minecraft que, cuando se inicia, activa la ejecución de un cargador de JavaScript que es en última instancia responsable de la implementación de LofyStealer («chromelevator.exe») en hosts comprometidos y lo ejecuta directamente en la memoria con el objetivo de recopilar una amplia gama de datos confidenciales que abarcan múltiples navegadores web, incluidos Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox y Avast Browser.
Los datos capturados, que incluyen cookies, contraseñas, tokens, tarjetas y números de cuentas bancarias internacionales (IBAN), se extraen a un servidor de comando y control (C2) ubicado en 24.152.36.[.]241.
«Históricamente, el vector principal del grupo fue la cadena de suministro de JavaScript: typosquatting de paquetes NPM, starjacking (referencias fraudulentas a repositorios legítimos de GitHub para inflar la credibilidad) y cargas útiles integradas en subdependencias para evadir la detección», dijo ZenoX.
«La atención se centró en el robo de tokens de Discord, la modificación del cliente de Discord para la interceptación de tarjetas de crédito y la exfiltración a través de webhooks que abusan de servicios legítimos (Discord, Repl.it, Glitch, GitHub y Heroku) como C2».
El último desarrollo marca un alejamiento del oficio observado anteriormente y un cambio hacia un modelo de malware como servicio (MaaS) con niveles gratuitos y premium, junto con un constructor personalizado llamado Slinky Cracked que se utiliza como vehículo de entrega para el malware ladrón.
La divulgación se produce cuando los actores de amenazas abusan cada vez más de la confianza asociada con una plataforma como GitHub para alojar repositorios falsos que actúan como señuelos para familias de malware como SmartLoader, StealC Stealer y Vidar Stealer. Los usuarios desprevenidos son dirigidos a estos repositorios mediante técnicas como el envenenamiento de SEO.
En algunos casos, se ha descubierto que los atacantes propagan Vidar 2.0 a través de publicaciones de Reddit que anuncian trucos falsos del juego Counter-Strike 2, redirigiendo a las víctimas a un sitio web malicioso que entrega un archivo ZIP que contiene el malware.
«Esta campaña de robo de información destaca un desafío de seguridad continuo en el que se abusa de plataformas ampliamente confiables para distribuir cargas útiles maliciosas», Acronis dicho en un análisis publicado el mes pasado. «Al aprovechar la confianza social y los canales de descarga comunes, los actores de amenazas a menudo pueden eludir las soluciones de seguridad tradicionales».
Los hallazgos se suman a una lista cada vez mayor de campañas que han aprovechado GitHub en los últimos meses:
- Dirigirse a los desarrolladores directamente dentro de GitHub, utilizando alertas de seguridad falsas de Microsoft Visual Studio Code (VS Code) publicadas a través de Discusiones para engañar a los usuarios para que instalen malware haciendo clic en un enlace. «Debido a que las Discusiones de GitHub activan notificaciones por correo electrónico para los participantes y observadores, estas publicaciones también se envían directamente a las bandejas de entrada de los desarrolladores», Socket dicho. «Esto extiende el alcance de la campaña más allá del propio GitHub y hace que las alertas parezcan más legítimas».
- Apuntando a los sistemas judiciales de Argentina usar correos electrónicos de phishing para distribuir un archivo ZIP comprimido que utiliza un script por lotes intermedio para recuperar un troyano de acceso remoto (RAT) alojado en GitHub.
- Creando Cuentas GitHub y aplicaciones OAuthseguido de abrir un problema que menciona a un desarrollador objetivo, lo que activa una notificación por correo electrónico que, a su vez, lo engaña para que autorice la aplicación OAuth, lo que permite efectivamente al atacante obtener sus tokens de acceso. Los problemas tienen como objetivo inducir una falsa sensación de urgencia, advirtiendo a los usuarios sobre intentos de acceso inusuales.
- Usar repositorios fraudulentos de GitHub para distribuir instaladores de scripts por lotes maliciosos que se hacen pasar por software de seguridad y TI legítimo, lo que lleva a la implementación del descargador TookPS, que luego inicia una cadena de infección de varias etapas para establecer un acceso remoto persistente utilizando túneles inversos SSH y RAT como MineBridge RAT (también conocido como TeviRAT). La actividad ha sido atribuida a Bergantín de la grieta (también conocido como FIN11, Graceful Spider y TA505).
- Usar repositorios de GitHub falsificados que se hacen pasar por herramientas de inteligencia artificial, trucos de juegos, scripts de Roblox, rastreadores de ubicación de números de teléfono y crackers de VPN para distribuir Cargas útiles de LuaJIT que funciona como un troyano genérico como parte de una campaña denominada TroyDen’s Lure Factory.
«La amplitud de la fábrica de señuelos (trucos de juegos, herramientas de desarrollo, rastreadores de teléfonos, scripts de Roblox, crackers de VPN) sugiere un actor que optimiza el volumen entre audiencias en lugar de apuntar con precisión», dijo Netskope.
«Los defensores deben tratar cualquier descarga alojada en GitHub que combine un intérprete renombrado con un archivo de datos opaco como un candidato de clasificación de alta prioridad, independientemente de cuán legítimo parezca el repositorio circundante».
Los investigadores descubren un fallo crítico en GitHub CVE-2026-3854 RCE que se puede explotar mediante un solo Git Push – CYBERDEFENSA.MX
Investigadores de ciberseguridad han revelado detalles de una vulnerabilidad de seguridad crítica que afecta a GitHub.com y GitHub Enterprise Server y que podría permitir a un usuario autenticado obtener la ejecución remota de código con un solo comando «git push».
El defecto, rastreado como CVE-2026-3854 (Puntuación CVSS: 8,7), es un caso de inyección de comandos que podría permitir a un atacante con acceso push a un repositorio lograr la ejecución remota de código en la instancia.
«Durante una operación de git push, los valores de las opciones de inserción proporcionados por el usuario no se desinfectaron adecuadamente antes de incluirlos en los encabezados de servicio internos», según un Aviso de GitHub por la vulnerabilidad. «Debido a que el formato del encabezado interno utiliza un carácter delimitador que también podría aparecer en la entrada del usuario, un atacante podría inyectar campos de metadatos adicionales a través de valores de opciones de inserción diseñados».
A la empresa de seguridad en la nube Wiz, propiedad de Google, se le atribuye el mérito de descubrir e informar el problema el 4 de marzo de 2026, y GitHub validó e implementó una solución en GitHub.com en dos horas.
La vulnerabilidad también se solucionó en las versiones 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 o posteriores de GitHub Enterprise Server. No hay evidencia de que el problema haya sido explotado alguna vez en un contexto malicioso.
Según GitHub, el problema afecta a GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud con residencia de datos, GitHub Enterprise Cloud con usuarios administrados empresariales y GitHub Enterprise Server.
En esencia, el problema surge del hecho de que los usuarios opciones de inserción de git no se desinfectan adecuadamente antes de que los valores se incorporaran al encabezado interno X-Stat. Debido a que el formato de metadatos internos se basa en un punto y coma como carácter delimitador que también podría aparecer en la entrada del usuario, un mal actor podría aprovechar este descuido para inyectar comandos arbitrarios y ejecutarlos.
«Al encadenar varios valores inyectados, los investigadores demostraron que un atacante podría anular el entorno en el que se procesó el envío, evitar las protecciones de espacio aislado que normalmente limitan la ejecución del enlace y, en última instancia, ejecutar comandos arbitrarios en el servidor», dijo el director de seguridad de la información de GitHub, Alexis Wales. dicho.
Wiz, en un anuncio coordinado, señaló que el problema es «notablemente fácil» de explotar y agregó que permite la ejecución remota de código en nodos de almacenamiento compartido. Alrededor del 88% de los casos son actualmente vulnerables al problema en el momento de su divulgación pública. La cadena de ejecución remota de código encadena tres inyecciones:
- Inyectar una no producción rieles_env valor para omitir la zona de pruebas
- Inyectar dir_ganchos_personalizados para controlar para redirigir el directorio de gancho
- Inyectar repo_pre_receive_hooks con una entrada de gancho diseñada que activa el recorrido de la ruta para ejecutar comandos arbitrarios como usuario de git
«Con la ejecución de código sin espacio aislado como usuario de git, teníamos control total sobre la instancia de GHES, incluido el acceso de lectura/escritura al sistema de archivos y la visibilidad de la configuración del servicio interno», dijo el investigador de seguridad de Wiz, Sagi Tzadik. dicho.
En cuanto a GitHub.com, un indicador de modo empresarial, que está configurado en «verdadero» para GitHub Enterprise Server, tiene por defecto «falso», lo que deja inactiva la ruta de los enlaces personalizados. Pero dado que este indicador también se pasa en el encabezado X-Stat, es igualmente inyectable usando el mismo mecanismo, lo que resulta en la ejecución de código también en GitHub.com.
Para empeorar las cosas, dada la arquitectura multiinquilino de GitHub y su infraestructura backend compartida, la compañía señaló que obtener la ejecución de código en GitHub.com permitía la exposición entre inquilinos, lo que permitía efectivamente a un atacante leer millones de repositorios en el nodo de almacenamiento compartido, independientemente de la organización o el usuario.
A la luz de la gravedad de CVE-2026-3854, se recomienda a los usuarios que apliquen la actualización inmediatamente para una protección óptima.
«Un solo comando git push fue suficiente para explotar una falla en el protocolo interno de GitHub y lograr la ejecución del código en la infraestructura backend», dijo Wiz. «Cuando varios servicios escritos en diferentes idiomas pasan datos a través de un protocolo interno compartido, las suposiciones que cada servicio hace sobre esos datos se convierten en una superficie de ataque crítica».
«Alentamos a los equipos que crean arquitecturas multiservicio a auditar cómo fluye la entrada controlada por el usuario a través de protocolos internos, especialmente cuando la configuración crítica para la seguridad se deriva de formatos de datos compartidos».