Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 1-7 noviembre
Actualización de emergencia corrige vulnerabilidades críticas en Google Chrome
Google ha publicado una actualización de seguridad de emergencia para Chrome (versiones 142.0.7444.134 y 142.0.7444.135) que corrige cinco vulnerabilidades de severidad alta y media en componentes centrales del navegador.
La falla más crítica, CVE-2025-12725, corresponde a un error de escritura fuera de límites en la implementación de WebGPU, con potencial de ejecución remota de código. Otras vulnerabilidades de alta severidad (CVE-2025-12726 y CVE-2025-12727) afectan los módulos Views y V8, relacionados con la renderización de interfaz y la ejecución de JavaScript, respectivamente.
Dos vulnerabilidades adicionales, CVE-2025-12728 y CVE-2025-12729, de severidad media, impactan el componente Omnibox. El despliegue inició el 5 de noviembre de 2025 para Windows, macOS, Linux y Android, mientras que iOS recibió la versión equivalente 142.0.7444.128.
Google restringirá temporalmente los detalles técnicos de los fallos hasta completar la distribución del parche. Se recomienda actualizar de forma inmediata para mitigar posibles explotaciones.
FIN7 mantiene acceso sigiloso mediante backdoor SSH en Windows
El grupo cibercriminal FIN7 (Savage Ladybug) continúa utilizando una infraestructura de backdoor basada en SSH para Windows, activa desde 2022 con mínimas modificaciones. Mediante un script install.bat y herramientas OpenSSH comprometidas, establecen túneles reverse SSH y SFTP que permiten acceso remoto persistente y exfiltración encubierta de datos.
Este método convierte equipos Windows en nodos controlables desde el exterior, evadiendo cortafuegos al iniciar conexiones salientes. Su uso de herramientas legítimas dificulta la detección por mecanismos tradicionales. FIN7 ha optado por mantener esta técnica estable y probada, realizando solo pequeños ajustes para eludir firmas de seguridad.
El cifrado SFTP permite robar información simulando tráfico legítimo. Se recomienda a las organizaciones reforzar el monitoreo de logs SSH, accesos anómalos y clientes no autorizados, además de aplicar segmentación y análisis conductual para detectar túneles inversos.
Android corrige vulnerabilidades críticas con el parche de seguridad de noviembre de 2025
Google publicó el boletín de seguridad de Android de noviembre de 2025, que corrige múltiples vulnerabilidades críticas que afectan a las versiones 13, 14, 15 y 16 del sistema. La más grave (CVE-2025-48593) permite ejecución remota de código (RCE) sin interacción del usuario, mientras que otra (CVE-2025-48581) posibilita elevación de privilegios (EoP) en Android 16. Los dispositivos con nivel de parche 2025-11-01 o posterior quedan protegidos frente a estos fallos.
Google lanzará los parches en el repositorio AOSP en las 48 horas posteriores a la publicación. Además, Google Play Protect sigue mitigando riesgos de explotación activa. No se reportaron vulnerabilidades nuevas en las actualizaciones Mainline del sistema.
Google recomienda a los fabricantes aplicar todas las correcciones y a los usuarios mantener sus dispositivos actualizados para reducir la exposición a ataques.
Google detecta una nueva fase en el uso de IA por parte de actores de amenaza
Google Threat Intelligence Group (GTIG) ha identificado un cambio significativo en 2025: los actores de amenaza han pasado de usar la inteligencia artificial para apoyo técnico a integrarla directamente en malware operativo. Familias como PROMPTFLUX y PROMPTSTEAL emplean Large Language Models (LLM) para generar código malicioso, reescribirse dinámicamente y evadir detección.
Estas capacidades marcan el inicio del “malware just-in-time”, capaz de modificar su comportamiento en ejecución. Actores estatales emplean IA generativa para todas las fases del ataque, desde el reconocimiento hasta la exfiltración, mientras que foros clandestinos venden herramientas basadas en IA para phishing y explotación. Algunos grupos, como APT28 o APT41, usan Gemini para desarrollar C2 o realizar investigaciones técnicas, valiéndose de ingeniería social para eludir las medidas de seguridad del modelo.
Google ha respondido desactivando cuentas maliciosas y reforzando los clasificadores de Gemini para impedir futuros abusos.
Campaña de robo de carga mediante instalación remota de RMM en empresas de transporte
Investigadores de Proofpoint han identificado una serie de campañas dirigidas a corredores de carga y transportistas, principalmente en Norteamérica, con el objetivo de instalar herramientas de administración remota (RMM) como ScreenConnect, SimpleHelp, PDQ Connect y LogMeIn Resolve.
Los ataques, activos desde enero de 2025, utilizan correos electrónicos con ingeniería social que suplantan comunicaciones legítimas de negociación de carga. Mediante enlaces maliciosos, los atacantes inducen a descargar instaladores .EXE o .MSI que permiten el control total de los sistemas comprometidos, facilitando el secuestro de cuentas y la manipulación de reservas de transporte.
Las intrusiones permiten redirigir mercancías, borrar notificaciones y suplantar a empresas legítimas para coordinar el robo físico de carga. Se ha observado el uso combinado de RMMs y ladrones de información como NetSupport, Lumma Stealer y DanaBot. Las actividades sugieren colaboración con grupos delictivos organizados con conocimiento interno del sector logístico.
Se recomienda restringir la instalación de RMMs no autorizados y bloquear archivos ejecutables en pasarelas de correo.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
