Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 14-20 junio
Detectados cinco nuevos fallos en la biblioteca libxml2
Investigadores de ciberseguridad han detectado cinco nuevos fallos en libxml2. Tres de ellos (CVE-2025-49794 y CVE-2025-49796, ambos CVSSv3 9.1; y CVE-2025-49795, CVSSv3 7.5) afectan específicamente al componente de validación Schematron, correspondiéndose con fallos use-after-free, de confusión de tipos y de desviación de puntero nulo, respectivamente.
Estas fallas podrían bloquear las aplicaciones que procesan documentos XML mal formados. Las dos vulnerabilidades restantes fueron registradas como CVE-2025-6021 (CVSSv3 7.5), un desbordamiento de enteros en la función xmlBuildQName que podría dar lugar a desbordamientos de búfer, y CVE-2025-6170 (CVSSv3 2.5), un desbordamiento de búfer basado en pila en el shell interactivo de xmllint que de código arbitrario.
Los responsables de libxml2 están considerando eliminar por completo el soporte de Schematron debido a la concentración de vulnerabilidades en este componente, por lo que por el momento no se habrían anunciado parches de seguridad, publicándose una corrección para el fallo CVE-2025-6021.
https://www.openwall.com/lists/oss-security/2025/06/16/6
Operación de phishing vincula al gobierno ruso con robo de contraseñas específicas de aplicaciones
Desde 2024, Citizen Lab ha observado una operación de ingeniería social vinculada a actores rusos que apunta a críticos del Kremlin y disidentes, empleando correos altamente personalizados para extraer contraseñas específicas de aplicaciones. Los atacantes envían emails que parecen venir de contactos conocidos e incluyen archivos PDF supuestamente cifrados, dirigiendo a las víctimas a páginas falsas pre‑llenadas para que ingresen credenciales y los tokens MFA asociados.
Se han identificado dos grupos principales: Coldriver, vinculado al FSB, y Coldwastrel, este último con técnicas similares. Entre las víctimas se hallan políticos exiliados, periodistas y ONG, especialmente con conexiones internacionales o redes activas en temas sensibles. La campaña es notable por su efectividad y bajo perfil tecnológico: sin malware avanzado ni exploits, solo confianza basada en ingeniería social sofisticada.
A la venta datos personales de toda la población de Paraguay
Un actor de amenazas ha puesto a la venta 7,4 millones de registros personales de ciudadanos paraguayos en la dark web, correspondientes a bases de datos de organismos estatales. Los datos, que afectarían a la totalidad de la población del país, incluyen nombres, género, dirección, fecha de nacimiento y número de cédula de identidad, entre otros.
Veeam corrige RCE crítica en Backup & Replication y vulnerabilidades adicionales
Veeam ha lanzado la versión 12.3.2 de Backup & Replication (y versión 6.3.2 del agente Windows), incluyendo parches para tres vulnerabilidades importantes. La más grave, CVE‑2025‑23121, permite ejecución remota de código en el servidor de backup por un usuario autenticado en el dominio (CVSSv3 9.9).
También se corrige CVE‑2025‑24286 (CVSSv3 7.2), un fallo que permite a operadores de backup modificar trabajos y ejecutar código arbitrario, y CVE‑2025‑24287 (CVSSv3 6.1), que permite a usuarios locales privilegiados cambiar el contenido de carpetas para ejecutar código con derechos elevados. Las versiones afectadas incluyen Backup & Replication 12.3.1 y anteriores, así como Agent for Windows 6.3.1 o anteriores.
Veeam recomienda actualizar urgentemente a 12.3.2 y 6.3.2 respectivamente para mitigar estos riesgos.
Análisis de Anubis, ransomware con wiper integrado
El grupo detrás del ransomware-as-a-service (RaaS) Anubis ha incorporado un módulo de wiper a su malware, diseñado para eliminar permanentemente los contenidos de los archivos afectados, impidiendo su recuperación incluso si se paga el rescate.
Según lo publicado por Trend Micro, esta función, activada mediante el parámetro ‘/WIPEMODE’, borra los datos dejando intactos los nombres y estructuras de archivos. Anubis fue detectado por primera vez en diciembre de 2024 y se hizo más activo en 2025, anunciando en febrero un programa de afiliados en el foro RAMP.
Su modelo de reparto ofrece hasta un 80% de las ganancias a los afiliados, lo que podría aumentar su volumen de ataques. Anubis emplea ECIES para cifrar archivos, que luego reciben la extensión ‘.anubis’, y lanza notas de rescate en HTML. Además, intenta sin éxito modificar el fondo de pantalla. El malware también elimina copias de sombra y detiene servicios para maximizar el daño. La campaña suele comenzar mediante correos de phishing.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
