Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 4-11 abril
Microsoft corrige una 0-day activamente explotada en su Patch Tuesday de abril
Microsoft ha lanzado su Patch Tuesday correspondiente a abril de 2025, en el que se han solucionado un total de 134 vulnerabilidades, incluyendo un fallo de seguridad 0-day que estaba siendo activamente explotado. Entre los fallos corregidos, destacan once vulnerabilidades críticas relacionadas con ejecución remota de código.
El desglose de errores incluye 49 vulnerabilidades de elevación de privilegios, 31 de ejecución remota de código, 17 de divulgación de información, 14 de denegación de servicio, 9 de bypass de funciones de seguridad y 3 de suplantación de identidad. En concreto, la vulnerabilidad 0-day identificada como CVE-2025-29824 (CVSSv3 7.8 según Microsoft) afecta al controlador de Windows Common Log File System (CLFS) y permite a atacantes locales obtener privilegios de SYSTEM.
Microsoft confirmó que esta vulnerabilidad fue utilizada por el grupo de ransomware RansomEXX para escalar privilegios en sistemas comprometidos. Por el momento, los parches solo están disponibles para Windows 11 y Windows Server, quedando pendientes las actualizaciones para Windows 10. Microsoft ha indicado que estas estarán disponibles próximamente.
Análisis de NeptuneRAT
CYFIRMA ha publicado un análisis sobre la nueva versión de NeptuneRAT, un troyano de acceso remoto (RAT) desarrollado en Visual Basic .NET que representa una amenaza significativa para los usuarios de Windows. Creado por ABOLHB y RINO, miembros del grupo Freemasonry, este malware se distribuye a través de plataformas como GitHub, Telegram y YouTube, donde se promociona como el “RAT más avanzado”, atrayendo tanto a principiantes como a actores maliciosos experimentados.
Entre sus funcionalidades destacan la extracción de credenciales de más de 270 aplicaciones, la alteración de direcciones de monederos de criptomonedas copiadas en el portapapeles, la capacidad de desplegar ransomware mediante módulos internos como Ransomware.dll, y la monitorización en tiempo real del escritorio de la víctima. Además, puede deshabilitar software antivirus y manipular el registro del sistema para garantizar su persistencia. NeptuneRAT utiliza técnicas avanzadas de ofuscación, como el uso de caracteres árabes y emojis en su código, para dificultar su análisis y detección.
Aunque sus desarrolladores aseguran que se trata de una versión gratuita destinada a fines educativos y éticos, insinúan la existencia de una versión más avanzada disponible tras un pago.
La evolución del cibercrimen ruso: sofisticación, resiliencia y nuevas amenazas globales
Un nuevo informe de Trend Micro analiza la evolución del ecosistema cibercriminal de habla rusa, destacándolo como el más sofisticado y resiliente del panorama global. Este panorama se caracteriza por el uso de herramientas avanzadas, estrictas normas internas, mercados especializados y una cultura que favorece la colaboración entre actores maliciosos.
Con raíces en una formación técnica sólida y una alta tolerancia al riesgo, estos grupos han ampliado sus operaciones a sectores como IoT, telecomunicaciones y Web3, aprovechando datos biométricos, redes sociales y deepfakes para estafas masivas. Asimismo, a pesar de que algunos foros prohíben hablar de ransomware, sus servicios asociados continúan activos. También se observa una creciente convergencia entre crimen físico y digital, y una participación mayor de actores alineados con intereses geopolíticos.
Las tensiones derivadas de conflictos geopolíticos han modificado objetivos y alianzas, llegando incluso a dirigir sus ataques. El informe destaca la necesidad de adoptar marcos de gestión de exposición al riesgo (CREM) basados en inteligencia estratégica para anticiparse a estas amenazas.
Parcheado un fallo RCE en WhatsApp Desktop para Windows
Facebook ha publicado y corregido una vulnerabilidad identificada en WhatsApp Desktop para Windows. El fallo, rastreado como CVE-2025-30401 (CVSSv3 de 6.7 de acuerdo con CISA), permitiría a los atacantes aprovechar metadatos de archivo no coincidentes para ejecutar código arbitrario (RCE) en sistemas vulnerables.
La falla surge de un problema de suplantación de identidad en la forma en que WhatsApp gestiona los archivos adjuntos. La aplicación muestra los archivos adjuntos entrantes en función de su tipo MIME pero selecciona el gestor de apertura de archivos en función de la extensión del nombre del archivo adjunto. Este desajuste podría aprovecharse para crear un archivo aparentemente inofensivo pero que ejecute código malicioso al abrirlo. El fallo afecta a WhatsApp Desktop para Windows en todas las versiones anteriores a 2.2450.6.
Los usuarios que utilizan WhatsApp para móviles o macOS no se encontrarían afectados. Se recomienda actualizar a la versión 2.2450.6 o posteriores para mitigar el fallo, además de evitar abrir archivos adjuntos de fuentes no fiables o sospechosas.
Cadena de suministro comprometida en GitHub Actions por token robado
Palo Alto Networks ha revelado una compleja cadena de ataques que comprometió proyectos en GitHub Actions mediante un token de acceso personal (PAT) robado en diciembre de 2024. El ataque comenzó cuando un actor malicioso obtuvo acceso al token de un mantenedor del proyecto SpotBugs tras enviar un pull request malicioso que explotaba el trigger pull_request_target.
En marzo de 2025, los atacantes usaron el token para otorgar acceso a un usuario falso al repositorio, permitiéndole introducir un workflow malicioso que exfiltraba datos cifrados. Esto afectó también al mantenedor de Reviewdog, cuya PAT permitió comprometer el repositorio reviewdog/action-setup, alterando la etiqueta v1 con código malicioso.
El ataque se propagó a otros proyectos, incluyendo tj-actions/eslint-changed-files y tj-actions/changed-files, usados por miles de repositorios. Uno de los objetivos principales fue un proyecto open source de Coinbase, aunque el ataque se amplió tras fallar inicialmente. Se estima que unos 160.000 proyectos utilizaban la acción comprometida, aunque sólo se filtraron datos de 218 repositorios.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
