Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 25-31 octubre
Nueva oleada de phishing utiliza solicitudes OAuth para comprometer cuentas Microsoft
Según reportes de investigadores de seguridad, incluyendo Unit 42, se ha detectado una nueva oleada de ciberataques que está empleando la técnica de phishing de autenticación OAuth para comprometer cuentas de Microsoft (incluyendo cuentas corporativas y de negocio).
Este método de ataque funciona engañando a los usuarios para que, a través de correos electrónicos que imitan plataformas de inversión o empresariales, otorguen permisos a una aplicación maliciosa mediante una pantalla de autorización de OAuth que parece legítima. Al dar el consentimiento, los actores de amenazas obtienen tokens de acceso OAuth válidos que les permiten tomar el control total de la cuenta (correo, archivos, contactos) y, crucialmente, burlar la autenticación multifactor (MFA) y la protección por contraseña, facilitando el movimiento lateral en redes corporativas y el robo de datos sensibles.
La principal recomendación de seguridad es que los usuarios nunca accedan a enlaces de correos inesperados que soliciten autorización y que las organizaciones implementen herramientas para monitorear el uso inusual de tokens OAuth, además de reforzar la formación para abordar este tipo de ataque.
LockBit 5.0 ataca sistemas Windows, Linux y ESXi en ataques continuos
Check Point Research confirmó el resurgimiento del grupo de ransomware LockBit tras su interrupción a principios de 2024 (Operación Cronos), reestableciendo su modelo de Ransomware-as-a-Service (RaaS) y reclamando docenas de nuevas víctimas desde septiembre de 2025.
El regreso está liderado por la nueva variante LockBit 5.0 (designado internamente como "ChuongDong") y LockBit Black, ambas diseñadas con soporte multiplataforma para atacar entornos Windows, Linux y ESXi con mayor evasión y cifrado más rápido, demostrando una rápida reactivación de su red de afiliados. Las campañas de ataque se han extendido por Europa Occidental, las Américas y Asia, apuntando a organizaciones de todos los sectores y exigiendo un rescate con un plazo de 30 días.
Las recomendaciones de seguridad incluyen utilizar soluciones avanzadas de prevención de amenazas en la red y en los endpoints, a fin de detectar y bloquear la ejecución de ransomware antes de que comience el cifrado.
Nueva técnica EDR-Redir permite deshabilitar antivirus y EDR
Zero Salarium ha revelado una nueva técnica de evasión de seguridad llamada EDR-Redir que permite a un atacante deshabilitar o interferir con soluciones EDR y antivirus como Windows Defender, Elastic Defend y Sophos Intercept X. El método, que no requiere privilegios de kernel y puede combinarse con ataques Bring Your Own Vulnerable Driver (BYOVD), se basa en la explotación de dos drivers de Windows: Bind Filter (bindflt.sys) y Cloud Filter (cldflt.sys). EDR-Redir utiliza el bind link para redirigir la carpeta ejecutable del EDR a una ubicación controlada por el atacante (logrado contra Elastic Defend y Sophos), permitiendo la inyección de DLLs o la prevención de la ejecución del EDR.
Alternativamente, contra Windows Defender, el atacante puede abusar de la Cloud Files API para registrar de forma incompleta la carpeta de Defender como una raíz de sincronización, haciendo que la carpeta parezca "corrupta" e impidiendo la ejecución de los servicios incluso después de un reinicio. Esto podría llevar a la neutralización total de las defensas del endpoint.
Zero Salarium ha publicado EDR-Redir para demostración, recomendando que los desarrolladores de EDR refuercen la protección de sus carpetas clave.
BlueNoroff amplía tácticas de infiltración con campañas GhostCall y GhostHire
El grupo BlueNoroff, vinculado a Corea del Norte y también identificado como APT38 o Sapphire Sleet, ha implementado nuevas técnicas de intrusión dirigidas a ejecutivos y desarrolladores del sector Web3. La campaña GhostCall utiliza ingeniería social avanzada a través de Telegram y sitios falsos que imitan la interfaz de Zoom para comprometer sistemas macOS, empleando el malware ZoomClutch para la exfiltración de credenciales y posterior infección mediante AppleScript malicioso.
Paralelamente, GhostHire simula procesos de reclutamiento técnico, distribuyendo código malicioso mediante repositorios GitHub o archivos ZIP durante falsas evaluaciones. Ambas operaciones integran cadenas multicomponente con infostealers y keyloggers capaces de sustraer credenciales de wallets, API keys, datos de Keychain y tokens de mensajería.
Falla de DNS y configuración en Azure provoca interrupción global en servicios de Microsoft
Microsoft enfrenta una interrupción global derivada de un fallo en su infraestructura DNS y en la configuración del servicio Azure Front Door (AFD), afectando la disponibilidad de Microsoft Azure, Microsoft 365, Intune y Exchange. El incidente inició alrededor de las 16:00 UTC, causando errores de autenticación y degradación de servicios críticos utilizados por organizaciones de sectores como salud y transporte, incluyendo el sistema ferroviario neerlandés.
Microsoft confirmó que una modificación inadvertida en la configuración de AFD provocó la pérdida de disponibilidad y aplicó un bloqueo de cambios junto con la restauración del último estado funcional conocido. Como mitigación temporal, la compañía recomendó redirigir el tráfico mediante Azure Traffic Manager y el uso de interfaces programáticas (PowerShell, CLI) ante la caída del portal.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
