Italia bloquea presuntos ciberataques rusos antes de los Juegos Olímpicos de Invierno

Las autoridades italianas han confirmado que han frustrado una serie de ciberataques dirigidos contra infraestructuras gubernamentales y sitios web relacionados con los Juegos Olímpicos en los días previos a la celebración de los Juegos Olímpicos de Invierno. El Ministro de Asuntos Exteriores, Antonio Tajani, declaró que los ataques eran de origen ruso e incluían intentos de interrumpir los sistemas del Ministerio de Asuntos Exteriores italiano, el sitio de una embajada en Washington D.C. y plataformas en línea relacionadas con los Juegos y los hoteles de Cortina d'Ampezzo.

El momento ha suscitado preocupación, ya que los Juegos Olímpicos de Invierno comenzarán a finales de esta semana y Rusia no puede competir como nación debido a la guerra en curso en Ucrania. Sólo un número limitado de atletas rusos puede participar bajo bandera neutral.

El incidente también pone de relieve la creciente tensión geopolítica en torno a la ciberseguridad. En Estados Unidos, los recientes comentarios del presidente Donald Trump sugiriendo que Rusia no es vista como una gran amenaza cibernética han suscitado las críticas de los expertos. Mientras tanto, los funcionarios estadounidenses han seguido advirtiendo públicamente de los riesgos cibernéticos de China e Irán, lo que subraya las diferentes percepciones de las amenazas en un momento delicado para los acontecimientos mundiales.

Grupos de ransomware aprovechan un fallo crítico de VMware ESXi

CISA ha confirmado que grupos de ransomware están explotando activamente CVE-2025-22225, una vulnerabilidad de alta gravedad de VMware ESXi que permite a los atacantes escapar del aislamiento de la máquina virtual y obtener el control del hipervisor subyacente. El fallo, parcheado por Broadcom en marzo de 2025, está clasificado como Importante con una puntuación CVSS de 8,2 y permite escrituras arbitrarias en el kernel desde el proceso VMX.

La vulnerabilidad fue revelada junto con otros dos zero-days, CVE-2025-22224 y CVE-2025-22226, que los atacantes están encadenando para lograr el escape completo de la VM. CISA añadió CVE-2025-22225 a su catálogo de vulnerabilidades explotadas conocidas, lo que obliga a los organismos federales estadounidenses a aplicar parches en virtud del BOD 22-01.

Información reciente vincula el fallo a campañas activas de ransomware dirigidas a hipervisores empresariales, a menudo tras un acceso inicial a nivel de administrador. Con decenas de miles de instancias ESXi expuestas aún sin parchear, se insta a las organizaciones a que apliquen las actualizaciones inmediatamente, restrinjan los privilegios administrativos y vigilen los indicadores de peligro para reducir el riesgo de cifrado generalizado y robo de datos.

30 años de cárcel para un operador de incógnito de un mercado de estupefacientes en la web oscura

Un taiwanés ha sido condenado a 30 años de cárcel por dirigir Incognito Market, uno de los mayores mercados de estupefacientes en línea del mundo, que facilitó más de 105 millones de dólares en ventas de drogas ilegales en todo el mundo. Rui-Siang Lin, de 24 años, también conocido como Pharoah, se declaró culpable de blanqueo de capitales y de múltiples cargos de conspiración para el tráfico de drogas tras su detención en mayo de 2024.

Los fiscales estadounidenses describieron Incognito Market como una vasta empresa criminal, que albergaba a más de 1.800 vendedores, más de 400.000 cuentas de clientes y cientos de miles de transacciones. La plataforma permitió la venta de más de una tonelada de estupefacientes, entre ellos metanfetamina, cocaína, anfetaminas y MDMA, con algunas sustancias mezcladas con fentanilo.

La juez Colleen McMahon lo calificó como el caso de drogas más grave al que se había enfrentado en casi tres décadas, describiendo la operación como un negocio que convirtió a Lin en un capo mundial de la droga. Finalmente, las fuerzas de seguridad desmantelaron el mercado confiscando los servidores clave utilizados para las transacciones, la protección DDoS y los pagos en criptomoneda, poniendo fin a la operación en marzo de 2024.

El phishing impulsado por la IA aumenta a una escala sin precedentes

Según los investigadores, los filtros de seguridad bloquearon un correo electrónico malicioso cada 19 segundos, más del doble que el año anterior. Este aumento se debe a la incorporación de inteligencia artificial en las operaciones de phishing, lo que permite generar, adaptar y desplegar campañas a gran escala.

Las últimas investigaciones muestran que los atacantes están utilizando la IA para producir correos electrónicos casi perfectos en los idiomas locales y para ejecutar campañas polimórficas altamente personalizadas que cambian constantemente de apariencia. Tres cuartas partes de las URL de phishing eran únicas, lo que ayuda a los ataques a eludir la detección tradicional. Cabe destacar que el 18% de los correos electrónicos de phishing no contenían enlaces ni archivos adjuntos, lo que pone de manifiesto el continuo crecimiento de los ataques al correo electrónico de las empresas.

El informe también registró un aumento del 105% en el uso de herramientas de acceso remoto y del 204% en los correos electrónicos de phishing con malware. Dado que los atacantes abusan del software legítimo y la infraestructura cambia con rapidez, los investigadores advierten de que el análisis posterior a la entrega y la validación humana son ahora fundamentales para identificar las amenazas que eluden las defensas basadas en el perímetro.

Un fallo de inyección SQL afecta a miles de sitios de WordPress

Más de 40.000 sitios web de WordPress se han visto expuestos a riesgos tras el descubrimiento de una vulnerabilidad de inyección SQL en el popular plugin Quiz and Survey Master. El fallo afectaba a las versiones 10.3.1 y anteriores y podía ser aprovechado por cualquier usuario autenticado con acceso a nivel de suscriptor o superior, lo que ampliaba considerablemente la superficie potencial de ataque.

El problema tenía su origen en una función de la API REST utilizada para recuperar datos de preguntas de un cuestionario. Se asumía incorrectamente que un parámetro de la solicitud, is linking, era numérico y se insertaba directamente en una consulta a la base de datos sin la validación o el saneamiento adecuados. Esto permitía a un usuario malintencionado inyectar comandos SQL adicionales, permitiendo potencialmente el acceso no autorizado a las bases de datos del sitio.

La vulnerabilidad, rastreada como CVE-2025-67987, fue revelada de forma responsable y ya ha sido corregida en la versión 10.3.2 del complemento. El parche refuerza el manejo estricto de enteros del parámetro afectado, impidiendo la entrada de datos maliciosos. Aunque no hay indicios de explotación activa, el incidente pone de relieve los riesgos existentes en los plugins de uso generalizado y la importancia de aplicar a tiempo parches y prácticas de codificación seguras.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngaseen contactopara averiguar cómo puede proteger a su organización.

El resumen de información sobre amenazas ha sido elaborado por Integrity360 resumiendo las noticias sobre amenazas tal y como las observamos, actualizadas en la fecha de publicación. No debe considerarse asesoramiento jurídico, de consultoría ni de ningún otro tipo. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.