Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 6-12 diciembre
Google corrige vulnerabilidad 0-day en LibANGLE explotada activamente
Google ha publicado actualizaciones de emergencia para Chrome que mitigan una vulnerabilidad 0-day de alta severidad en la biblioteca LibANGLE, identificada como un desbordamiento de búfer en el renderer Metal debido a un dimensionamiento incorrecto de memoria.
El fallo permite corrupción de memoria, fugas de información y potencial ejecución arbitraria de código. La corrección está disponible en la versión 143.0.7499.x para Windows, macOS y Linux, aunque su despliegue global puede demorarse. El proveedor mantiene detalles restringidos hasta que la mayoría de usuarios apliquen el parche.
Este incidente eleva a ocho las vulnerabilidades 0-day explotadas y corregidas por Google en 2025, que incluyen fallos previos en V8, mecanismos de sandbox escape y exploits utilizados en operaciones de espionaje y secuestro de cuentas. Se recomienda verificar y aplicar la actualización de Chrome de forma inmediata.
Actualización de seguridad de Microsoft corrige 57 vulnerabilidades, incluidas tres 0-days
Microsoft ha publicado el Patch Tuesday de diciembre de 2025 con 57 vulnerabilidades corregidas, entre ellas una 0-day explotada activamente y dos fallos divulgados públicamente. El lote incluye 28 fallas de elevación de privilegios, 19 de ejecución remota de código, cuatro de divulgación de información, tres de denegación de servicio y dos de suplantación.
La 0-day explotada, CVE-2025-62221 (CVSSv3 7.8 según fabricante), afecta al controlador Windows Cloud Files Mini Filter Driver y permite elevación local a privilegios SYSTEM mediante un use-after-free. Las vulnerabilidades divulgadas públicamente incluyen CVE-2025-64671 (CVSSv3 8.4 según fabricante), que habilita ejecución de comandos locales en Copilot para JetBrains mediante inyección de comandos a través de archivos no confiables o servidores MCP, y CVE-2025-54100 (CVSSv3 7.8 según fabricante), un fallo en PowerShell que permite ejecutar código cuando Invoke-WebRequest procesa contenido web malicioso.
Microsoft ha incorporado medidas adicionales, como advertencias de seguridad al usar Invoke-WebRequest, y atribuye los descubrimientos a múltiples investigadores externos y equipos internos de seguridad.
Exposición de infraestructura operativa de LockBit 5.0
El investigador Rakesh Krishnan ha identificado la infraestructura clave de LockBit 5.0, vinculando la dirección IP 205.185.116.233 y el dominio karma0.xyz con su sitio de filtraciones más reciente. El servidor, alojado en AS53667 (PONYNET/FranTech), muestra una página de protección DDoS rotulada como “LOCKBITS.5.0”, confirmando su función operativa.
El dominio, registrado el 12 de abril de 2025 con privacidad de Namecheap y DNS de Cloudflare, mantiene estado clientTransferProhibited, indicando medidas de retención de control. Escaneos del host revelan múltiples servicios expuestos, incluidos FTP (21), HTTP (80/5000/47001), WinRM (5985), un servidor de ficheros (49666) y, especialmente, RDP en el puerto 3389, considerado un vector crítico de acceso remoto no autorizado.
Esta filtración coincide con la reactivación de LockBit 5.0, que incorpora soporte para Windows/Linux/ESXi, extensiones aleatorias, evasión geográfica y cifrado acelerado mediante XChaCha20. La exposición confirma deficiencias recurrentes de OPSEC en el grupo. Se recomienda bloquear de forma inmediata el dominio y la IP, además de monitorizar actividad asociada.
Storm-0249 adopta tácticas avanzadas para facilitar operaciones de ransomware
ReliaQuest ha identificado un cambio táctico en Storm-0249, actor inicialmente dedicado al brokerage de accesos, hacia técnicas más sigilosas orientadas a preparar intrusiones para afiliados de ransomware.
El grupo emplea spoofing de dominios, carga lateral de DLL y ejecución fileless en PowerShell, incluyendo la táctica ClickFix para inducir a víctimas a ejecutar comandos maliciosos vía Run.
El procedimiento descarga un script desde un dominio que imita a Microsoft y ejecuta un MSI con privilegios de SYSTEM, que despliega una DLL troyanizada de SentinelOne para su posterior sideloading. Bajo procesos legítimos, el actor ejecuta utilidades nativas como reg.exe y findstr.exe para extraer identificadores como MachineGuid, utilizados por familias como LockBit y ALPHV para vincular claves de cifrado a sistemas concretos.
El uso de técnicas living-off-the-land y procesos firmados reduce la detectabilidad y evidencia un desplazamiento desde campañas masivas hacia ataques de precisión orientados a facilitar operaciones de ransomware.
Fortinet corrige fallos que comprometen autenticación y gestión de credenciales
Fortinet lanzó parches de seguridad para corregir dos vulnerabilidades críticas que afectan a FortiOS, FortiWeb, FortiProxy y FortiSwitchManager. Identificadas como CVE-2025-59718 y CVE-2025-59719 (CVSSv3 9.8 según fabricante), ambas vulnerabilidades permiten eludir la autenticación SSO de FortiCloud mediante mensajes SAML manipulados debido a una validación criptográfica deficiente.
Aunque la función FortiCloud SSO no está activada por defecto, se habilita automáticamente cuando el dispositivo se registra en FortiCare, salvo que el administrador desactive manualmente la opción correspondiente. Fortinet recomienda desactivar temporalmente el inicio de sesión SSO en FortiCloud hasta aplicar los parches de seguridad.
Además, la empresa corrigió otras vulnerabilidades; CVE-2025-59808 (CVSSv3 6.8 según Fortinet), que permite restablecer contraseñas sin solicitar la contraseña actual si un atacante ya accedió a la cuenta, y CVE-2025-64471 (CVSSv3 7.5), que posibilita autenticarse usando un hash en lugar de la contraseña.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
