El resumen semanal de noticias sobre ciberseguridad de SecurityWeek ofrece una visión general concisa de los acontecimientos importantes que quizás no reciban una cobertura independiente completa, pero que siguen siendo relevantes para el panorama general de amenazas.
Este resumen seleccionado destaca las noticias clave sobre divulgaciones de vulnerabilidades, métodos de ataque emergentes, actualizaciones de políticas, informes de la industria y otros eventos relevantes para ayudar a los lectores a mantener un conocimiento integral del entorno de ciberseguridad en constante evolución.
Estos son los momentos más destacados de esta semana:
Las bases de datos del chatbot de IA de Sears Home Services quedaron desprotegidas.
El investigador de ciberseguridad Jeremiah Fowler descubrió tres bases de datos desprotegidas y sin cifrar que exponían casi 3,7 millones de registros de atención al cliente de Sears Home Services, incluyendo los registros de su chatbot de IA, Samantha. Los datos filtrados incluían más de 54 000 registros completos de chat, casi 1,4 millones de grabaciones de audio de llamadas de clientes y más de 200 000 registros en hojas de cálculo, junto con datos personales como nombres, direcciones, números de teléfono e información sobre citas de servicio. Fowler notificó a Transformco, la empresa matriz de Sears, y las bases de datos fueron protegidas poco después.
Se han detectado nueve vulnerabilidades en dispositivos KVM.
Los estafadores utilizan cuentas falsas de GitHub para robar criptomonedas a los desarrolladores de OpenClaw.
Los atacantes crearon cuentas falsas de GitHub , abrieron hilos de discusión en repositorios controlados por ellos y etiquetaron a decenas de desarrolladores, afirmando que habían ganado tokens CLAW por valor de 5000 dólares canjeables a través de un sitio web vinculado. Este sitio resultó ser un clon casi idéntico de openclaw.ai, con un botón para vaciar la billetera que decía «Conecta tu billetera». Las cuentas falsas se crearon pocos días antes del lanzamiento de la campaña y se eliminaron a las pocas horas de su publicación. Hasta el momento, no se han reportado víctimas confirmadas, según Ox Security.
Vulnerabilidades de Claude Day
Oasis Security descubrió tres vulnerabilidades en Claude que, al combinarse en un ataque denominado Claudy Day , permiten a un atacante secuestrar silenciosamente la sesión de chat de un usuario y extraer datos confidenciales con un solo clic. El ataque consiste en insertar instrucciones ocultas en una URL de claude.ai manipulada, redirigirla a claude.com para que parezca legítima y, posteriormente, mostrarla como un anuncio de Google. Esto significa que la víctima solo necesita hacer clic en lo que parece un resultado de búsqueda normal. Anthropic ha corregido la vulnerabilidad de inyección de mensajes tras su divulgación responsable, pero las soluciones para las dos vulnerabilidades restantes aún están en desarrollo.
El malware utiliza software de seguridad como tapadera para buscar documentos de misiles.
Investigadores de Symantec y Carbon Black han descubierto un nuevo y sigiloso programa de robo de información llamado Speagle , que se aprovecha de Cobra DocGuard (una plataforma de cifrado de documentos de la empresa china EsafeNet). El malware solo se activa en equipos con Cobra DocGuard instalado, recopilando el historial de navegación, datos de autocompletado e información del sistema. Al menos una variante busca específicamente archivos que hagan referencia a misiles balísticos chinos. Los investigadores han atribuido la campaña a un actor de amenazas previamente desconocido al que han denominado Runningcrab, y creen que probablemente se trate de un grupo patrocinado por un Estado o de un contratista, aunque se desconoce el método exacto de infección.
Grupo de ransomware The Gentlemen
Group-IB publicó un análisis detallado de The Gentlemen , un grupo de ransomware como servicio de aproximadamente 20 miembros que salió a la luz después de que uno de sus operadores acusara públicamente al grupo de ransomware Qilin de retener 48.000 dólares en comisiones de afiliados impagadas. El grupo obtiene acceso principalmente a través de CVE-2024-55591 , una vulnerabilidad crítica de omisión de autenticación de FortiOS/FortiProxy, y mantiene una base de datos de alrededor de 14.700 dispositivos FortiGate ya comprometidos. Una vez dentro de una red, utilizan la técnica de «traiga su propio controlador vulnerable» (BYOVD) para desactivar las herramientas de seguridad a nivel del kernel antes de cifrar y extraer los datos de la víctima.
El regulador financiero del Reino Unido establece nuevas normas para la notificación de incidentes cibernéticos.
La FCA ha finalizado las nuevas normas que obligan a las entidades financieras a notificar los ciberataques graves en un plazo de 24 horas desde que se determine que cumplen los umbrales de notificación. Los proveedores de servicios de pago se enfrentan a un plazo aún más ajustado de cuatro horas. El regulador señaló la creciente preocupación por la frecuencia y la sofisticación de los ataques al sector financiero, indicando que en 2025 más del 40 % de los ciberataques notificados a la FCA involucraron a terceros, lo que motivó la imposición de nuevos requisitos a las entidades para que mantengan y presenten anualmente un registro de sus acuerdos importantes con terceros. Las normas entrarán en vigor en marzo de 2027.
La Operación Alice desmantela 373.000 dominios de la web oscura.
Una operación internacional de 10 días, liderada por las autoridades alemanas y con el apoyo de Europol, desmanteló más de 373.000 dominios de la web oscura gestionados por un hombre de 35 años afincado en China, que operaba una extensa red de plataformas fraudulentas desde al menos 2021. Los sitios anunciaban material de abuso infantil y servicios de ciberdelincuencia, pero no entregaban nada tras el pago de las víctimas, lo que le reportó al operador unos 345.000 euros de aproximadamente 10.000 personas. En la operación participaron autoridades de 23 países, que han identificado a 440 clientes cuyas compras están siendo investigadas.
Google añade medidas de seguridad resistentes a las estafas al proceso de instalación lateral de Android.
Google ha detallado un nuevo proceso avanzado para Android que permite a los usuarios instalar aplicaciones de desarrolladores no verificados, incorporando obstáculos específicos para protegerse contra las estafas de ingeniería social. El proceso requiere activar el modo desarrollador, confirmar que nadie está guiando al usuario, reiniciar el dispositivo para interrumpir cualquier acceso remoto activo y esperar un día completo antes de completar la verificación biométrica o mediante PIN. Estos pasos están diseñados específicamente para evitar la sensación de urgencia artificial que utilizan los estafadores. Esta función se implementará en agosto.