Novedades

Un informe de la empresa surcoreana Genians revela cómo el grupo Kimsuky, vinculado al régimen de Pyongyang, está utilizando herramientas de inteligencia artificial para crear credenciales militares falsas y desarrollar campañas de phishing avanzadas.

En 2025, la inteligencia artificial (IA) ha dejado de ser solo una herramienta para la productividad o la innovación, convirtiéndose también en un arma ofensiva en manos de actores maliciosos. El grupo Kimsuky, conocido por sus operaciones de ciberespionaje y estrechamente vinculado al régimen de Corea del Norte, ha sido identificado como responsable de una nueva ola de ataques en la que la IA ocupa un papel central.

Según la firma de ciberseguridad surcoreana Genians, los atacantes han utilizado plataformas como ChatGPT para generar identificaciones militares falsas de Corea del Sur. Estos documentos deepfake se integraron en campañas de phishing que simulaban la procedencia de fuentes oficiales, aumentando así la credibilidad de los correos maliciosos que distribuían malware.

La IA como herramienta de infiltración

El uso de la inteligencia artificial por parte de Kimsuky no se limita a la generación de documentos falsos. Investigaciones adicionales apuntan a que el grupo recurrió también a otros modelos, como Claude (de Anthropic), para fabricar currículos falsos, construir perfiles digitales convincentes e incluso superar pruebas de codificación en procesos de selección. La finalidad: infiltrarse en compañías extranjeras y acceder a información sensible.

Los expertos advierten de que este tipo de prácticas demuestra la capacidad de los ciberatacantes para sortear filtros de seguridad en herramientas de IA, mediante técnicas de prompt engineering que disfrazan las solicitudes como inofensivas o educativas.

Implicaciones globales

El caso refleja una tendencia preocupante: la consolidación de la IA como multiplicador de amenazas cibernéticas, capaz de automatizar tareas, perfeccionar ataques y escalar campañas a gran velocidad. Para muchos especialistas, esta evolución marca el inicio de una nueva fase en la ciberseguridad, donde la frontera entre ataques humanos y automatizados se difumina.

Más información

• Times of India – ChatGPT misused by North Korean hackers: https://www.businessinsider.com/north-korea-china-hackers-infiltrate-companies-ai-resumes-military-id-2025-9
  
• Business Insider – North Korea hackers infiltrate firms with AI-generated resumes: https://www.businessinsider.com/north-korea-china-hackers-infiltrate-companies-ai-resumes-military-id-2025-9
  
• Infosecurity Magazine – AI-Forged Military IDs Used in North Korean Phishing Attack: https://www.infosecurity-magazine.com/news/ai-military-ids-north-korea/

La entrada Uso de IA en Corea del Norte para falsificar identidades militares y lanzar ataques se publicó primero en Una Al Día.

Se ha identificado una vulnerabilidad de desbordamiento de pila en el servicio FTP de la dashcam Audi UTR 2.0 que puede explotarse antes de autenticarse, provocando una denegación de servicio (DoS) del componente. El fallo ha sido catalogado como CVE-2025-45587. Fue reportado como parte de un análisis más amplio del dispositivo y quedó publicado el 13 de septiembre de 2025.

El fallo reside en la API de comandos de UTR 2.0 y se debe a controles de acceso inadecuados. Un atacante con presencia en la misma LAN/WLAN que la cámara puede autenticarse con credenciales débiles y lanzar comandos remotos expuestos por la propia aplicación de Audi, incluyendo: lectura de datos de usuario, restablecimiento de fábrica y disparo de un proceso de actualización de firmware hacia rutas como /sd/DSM_FW.muf. El escenario ha sido descrito por el investigador que publicó un informe con la enumeración de comandos y una línea temporal de divulgación responsable.

El error aparece al separar y almacenar el comando FTP y sus argumentos: si se envía un parámetro más grande que el tamaño del buffer, se produce un desbordamiento de pila. Aunque esto dificulta el control del flujo de ejecución sí permite bloquear el servicio.

El servicio vulnerable está expuesto en la red Wi-Fi del propio dispositivo; en las pruebas el equipo funcionaba como AP con la IP 192.168.1.1. El informe señala además que el entorno del UTR 2.0 expone varios puertos (entre ellos FTP y web).

El reporte de la vulnerabilidad consta de septiembre de 2024 según la cronología indicada en el informe:

• 1–19 sep 2024: Se reportan 5 vulnerabilidades (incluida ésta).
• 4 sep 2024 – 3 feb 2025: Intercambio con el fabricante.
• 20 feb 2025: Se lanza una versión actualizada del producto; se solicitan detalles de cambios.
• 14–17 mar 2025: Audi comparte una actualización de mejoras y planes.
• 13 jun 2025: Asignación de CVE completada.
• 13 sep 2025: Publicación del CVE. (Cronología completa en pág. 1).

Más información:

• Informe del investigador: https://2barbie.notion.site/2024-Audi-UTR-2-0-Report-1bff0be688c680cb8795efe78732f8b9
• NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-45587

La entrada Denegación de servicio pre-autenticación en el FTP de la dashcam Audi UTR 2.0 se publicó primero en Una Al Día.

En los últimos días han proliferado titulares que presentan esta filtración como “la mayor brecha de la historia”, insinuando incluso que Apple, Google o Facebook han sido comprometidas. 

La cifra impresiona — 30 bases de datos, 1,2 TB de registros y 16 mil millones de combinaciones —, pero el caso es más complejo de lo que parece a simple vista y admite dos lecturas enfrentadas: 

Visión “golpe monumental”

• 16 mil millones de credenciales listas para credential stuffing y phishing.
  
• Cuentas de Big Tech y de 29 gobiernos incluidas.
  
• La publicación de las bases sugiere una compilación deliberada para llamar la atención.
  

Visión “realidad incómoda”

Lo filtrado no es un “hack” único, sino la agregación de logs del malware infostealer (RedLine, Lumma, Raccoon, Vidar…) junto a credenciales antiguas de filtraciones de datos y ataques de credential stuffing. El formato es el clásico URL:usuario:contraseña; muchos registros incorporan cookies y tokens de sesión capaces de saltarse el MFA. 

• No hubo un ataque directo a los servicios: los datos proceden de infostealers instalados en equipos de usuarios finales.
  
• La cifra está inflada; hay duplicados y credenciales ya inválidas. Estudios de SpyCloud sitúan la tasa de repetición por encima del 60 %.
  
• Lo realmente valioso no son las contraseñas en texto claro, sino las cookies activas y los tokens JWT que permiten mantener sesiones activas.

Datos

MétricaValor aproximadoCredenciales totales en la recopilación16 000 MCredenciales fechadas entre 2020-202414 900 MIdentidades únicas añadidas a la base de SpyCloud en 202453,3 M MOrganizaciones víctimas de ransomware tras una infección de infostealer≈ 1 de cada 3

¿Es, entonces, el “robo del siglo”?

Estamos ante un síntoma, no ante un gran atraco puntual. Se trata de la economía industrial de los infostealers: mientras sigan existiendo equipos infectados que generen logs a gran escala y usuarios que reutilicen contraseñas, aparecerán nuevas “megafugas” con cifras impactantes, pero con un trasfondo técnico muy similar.

Recomendaciones 

1. Desinfectar los dispositivos antes de cambiar contraseñas; de lo contrario, el stealer volverá a capturarlas.
   
2. Adoptar MFA robustos (passkeys/FIDO2) y comprobar que el servicio invalida sesiones tras la rotación de credenciales.
   
3. Utilizar gestores de contraseñas para generar claves únicas y detectar duplicados.
   
4. Reducir la vida de las cookies y monitorizar inicios de sesión anómalos (IP, dispositivo, ubicación).
   
5. Establecer alertas de exposición en dominios corporativos mediante servicios de breach monitoring.
   

¿Cuánto tiempo tardarías en detectar que alguien mantiene abierta tu sesión mediante una cookie robada? ¿Y cuántos equipos de tu entorno podrían estar filtrando logs en este momento?

Más información

• BleepingComputer – No, the 16 billion credentials leak is not a new data breach
• Times of India — World’s largest data leak: 16 billion credentials exposed
• KELA — Understanding the Infostealer Epidemic in 2025
• SpyCloud — Annual Identity Exposure Report 2025

La entrada 16 mil millones de credenciales al descubierto: ¿el robo del siglo o un espejismo? se publicó primero en Una Al Día.

Investigación revela que múltiples repositorios muy populares, incluidos los de MITRE y Splunk, emplean configuraciones peligrosas en sus workflows de GitHub Actions, sobre todo al abusar del evento pull_request_target. Esta práctica concede a las pull requests de colaboradores externos acceso a los secretos del repositorio, lo que abre la puerta a ataques de cadena de suministro y robo de credenciales.

¿Cómo se materializa el riesgo?

1. pull_request_target + checkout de código no confiable: el workflow se ejecuta con permisos de la rama principal, pero compila código del fork atacante.
2. Acceso a GITHUB_TOKEN con permisos write: el payload puede modificar el repositorio, subir artefactos infectados o publicar nuevas versiones.
3. Exfiltración de secretos: API keys, credenciales de despliegue y tokens de publicación quedan expuestos mediante simples comandos echo $SECRET | curl ....

Los analistas demostraron la técnica sobre proyectos como MITRE Cyber Analytics Repository y Splunk Security Content, logrando la exfiltración de tokens con privilegios completos en segundos.

Impacto potencial

• Compromiso total del repositorio: modificación de código, releases y documentación.
• Ataques aguas abajo a organizaciones que consumen estos paquetes como dependencias.
• Facturación ilícita en servicios cloud si las claves robadas otorgan acceso a infraestructuras externas.

Recomendaciones

• Migrar al evento pull_request en lugar de pull_request_target para evitar que las pull requests de forks externos tengan acceso a los secretos del repositorio.
• Aplicar el principio de mínimos privilegios al GITHUB_TOKEN, configurando permissions: con solo los ámbitos estrictamente necesarios (por ejemplo, contents: read).
• Bloquear la ejecución de código procedente de forks añadiendo una condición en el workflow (if: github.event.pull_request.head.repo.fork == false) para impedir que Jobs privilegiados se lancen sobre código no confiable.
• Referenciar acciones mediante etiquetas o SHA inmutables —p. ej. actions/checkout@v4.1.2— y firmar las acciones propias para garantizar la integridad de la cadena de suministro.
• Auditar periódicamente los archivos de workflow con herramientas de seguridad de CI/CD como Scorecard, GHA-Guard o Sysdig zizmor, a fin de detectar permisos excesivos, uso de eventos riesgosos y secretos expuestos.

Más información

• CyberSecurityNews – Insecure GitHub Actions in Open Source Projects: MITRE and Splunk Expose Critical Vulnerabilities
• Sysdig TRT – Dangerous by default: Insecure GitHub Actions found in MITRE, Splunk and others
• GitHub Docs – Security hardening for GitHub Actions
  

La entrada Configuraciones inseguras de GitHub Actions ponen en riesgo proyectos open source se publicó primero en Una Al Día.

Investigadores de Qualys TRU han divulgado un combo de escalada local de privilegios que afecta a la mayoría de distribuciones Linux de escritorio y servidor. El ataque combina un error en la configuración de PAM de SUSE/openSUSE (CVE-2025-6018) con otro en libblockdev/udisks (CVE-2025-6019) para pasar de usuario sin privilegios a root. A esto se suma una tercera vulnerabilidad independiente en Linux-PAM (CVE-2025-6020) recién corregida en la versión 1.7.1.

¿En qué consiste el ataque? PasoVulnerabilidadResultado1CVE-2025-6018 — PAM allow_activeUn usuario que inicie sesión por SSH en openSUSE Leap 15 o SUSE Linux Enterprise 15 puede manipular ~/.pam_environment y engañar a polkit para obtener el rol allow_active (como si estuviera físicamente delante del equipo).2CVE-2025-6019 — udisks/libblockdevCualquier allow_active puede ejecutar acciones privilegiadas de udisks (por defecto en la mayoría de distros) y escalar a root.3(Opcional) CVE-2025-6020 — path traversal en pam_namespaceOtra vía para llegar a root en sistemas que usan directorios polinstanciados, solucionada en linux-pam 1.7.1.

Qualys mostró PoC en Ubuntu, Debian, Fedora y openSUSE, acortando la distancia entre un usuario autenticado y el control total del sistema.

Versiones afectadas y parches ComponenteDistribuciones expuestasVersión corregidaPAM allow_activeopenSUSE Leap 15.x, SLE 15 SP4/SP5Parche en repositorios SUSE (pam 1.3.0-155.71 o superior)udisks / libblockdevudisks 2.x instalado por defecto (Ubuntu, Debian, Fedora, Arch, openSUSE…)libblockdev 2.30 / udisks 2.10.2pam_namespaceCualquier distro con Linux-PAM ≤ 1.7.0 y pam_namespace activolinux-pam 1.7.1 Impacto potencial

• Obtención de privilegios de root a partir de cualquier cuenta local o sesión SSH.
• Manipulación de políticas polkit, montaje de dispositivos y cambios en configuraciones de seguridad.
• Uso del sistema comprometido como salto para implantar backdoors o pivotar lateralmente.

Recomendaciones

1. Actualizar a los paquetes que corrigen CVE-2025-6018/6019 y a linux-pam 1.7.1.
2. Mientras tanto, modificar la regla polkit org.freedesktop.udisks2.modify-device a auth_admin y desactivar udisksd si no es necesario.
3. Auditar ~/.pam_environment y limitar la variable user_readenv en /etc/pam.d/common-auth.
4. Revisar logs de polkit, auditd y udisksd en busca de llamadas inesperadas.
5. Aplicar la política de mínimos privilegios y usar MFA en accesos SSH para mitigar ataques locales.

Más información

• The Hacker News – New Linux Flaws Enable Full Root Access via PAM and Udisks Across Major Distributions
• Qualys TRU – Chained LPE: SUSE 15 PAM to Full Root via libblockdev & udisks
• Openwall – CVE-2025-6018 / 6019 advisory
• Linux – PAM 1.7.1 release notes
• BleepingComputer – New udisks flaw lets attackers get root on major Linux distros

La entrada Nuevo encadenamiento de vulnerabilidades en Linux permite salto de usuario a root en segundos se publicó primero en Una Al Día.