Content 

01. News Bites
  • Estafa global masiva de inversión utiliza sitios de noticias falsas para atacar a usuarios en más de 50 países
  • Nuevo grupo de ransomware 'BERT' ataca máquinas virtuales para causar máxima disrupción
  • Microsoft Patch Tuesday julio 2025: se corrigen 137 fallos de seguridad
  • Trabajadores del Reino Unido temen hablar tras sufrir ciberataques, según nueva investigación
  • Presunto grupo APT indio ataca a un ministerio europeo con malware personalizado


02. Conclusion

Quick News Bites

Estafa global masiva de inversión utiliza sitios de noticias falsas para atacar a usuarios en más de 50 países


Una gran estafa de inversión en línea está engañando a usuarios de todo el mundo a través de sitios de noticias falsas diseñados para imitar a medios de confianza como CNN, BBC y CNBC. Estas páginas, conocidas como Baiting News Sites (BNS), están creadas para parecer legítimas y presentan historias manipuladas que falsamente afirman el respaldo de celebridades, bancos centrales o marcas financieras para promocionar esquemas de “ingresos pasivos”.
Los estafadores dirigen tráfico a estos sitios fraudulentos mediante anuncios patrocinados en plataformas como Google y Meta, a menudo con titulares sensacionalistas y símbolos nacionales para aumentar la credibilidad. Al hacer clic en estos anuncios, los usuarios son redirigidos a artículos falsos que luego los llevan a plataformas fraudulentas como Trap10, Solara Vynex o Eclipse Earn.
Una vez registrados, comienza un proceso de seguimiento cuidadosamente planeado: agentes que suenan profesionales se ponen en contacto, solicitan verificación de identidad e impulsan depósitos en criptomonedas. Estos sitios simulan ganancias para mantener la ilusión y presionar a las víctimas a reinvertir. Además de las pérdidas económicas, se recolectan datos personales para phishing y robo de identidad.
Esta estafa sofisticada en múltiples fases pone de manifiesto el creciente riesgo global de las campañas BNS.

Nuevo grupo de ransomware 'BERT' ataca máquinas virtuales para causar máxima disrupción


Un grupo de ransomware recientemente identificado, llamado BERT, está generando gran preocupación en el mundo de la ciberseguridad por su capacidad avanzada para forzar la detención de máquinas virtuales VMware ESXi antes de cifrar los datos. Detectado por primera vez en abril de 2025, el grupo se ha expandido rápidamente por Asia, Europa y Estados Unidos.
BERT—también conocido como Water Pombero—utiliza una variante de Linux capaz de detectar y apagar máquinas virtuales que se ejecutan en hosts ESXi, dificultando enormemente los esfuerzos de recuperación. Este enfoque impide que las organizaciones puedan migrar o hacer copias de seguridad durante un ataque activo.
El malware admite hasta 50 hilos simultáneos, optimizando velocidad e impacto en entornos virtualizados a gran escala. BERT también ataca sistemas Windows y Linux mediante cargadores basados en PowerShell que desactivan las defensas de seguridad antes de desplegar la carga útil, normalmente desde infraestructura rusa.
Las tácticas del grupo reflejan elementos del infame ransomware REvil y se han utilizado contra sectores sanitarios, tecnológicos y de eventos. Los expertos aconsejan segmentar las redes, aislar los hipervisores y mantener copias de seguridad inmutables.

Microsoft Patch Tuesday julio 2025: se corrigen 137 fallos de seguridad


El Patch Tuesday de Microsoft de julio 2025 aborda un total de 137 vulnerabilidades, incluida una zero-day divulgada públicamente en SQL Server y 14 fallos críticos, en su mayoría relacionados con la ejecución remota de código (RCE).
La vulnerabilidad zero-day, CVE-2025-49719, podría permitir acceso no autenticado a la memoria de SQL Server. Se insta a los administradores a instalar la última versión de SQL Server y los drivers OLE DB para mitigar el riesgo.
También se corrigieron fallos críticos de RCE en Microsoft Office, SharePoint y Hyper-V, incluidos exploits basados en documentos que se activan al previsualizar un archivo. Destaca la CVE-2025-49704 de SharePoint, que puede explotarse remotamente con credenciales válidas.
AMD también ha revelado dos nuevas vulnerabilidades de canal lateral. Además, Fortinet, Cisco, Google, SAP e Ivanti publicaron actualizaciones.
Con 53 vulnerabilidades de escalado de privilegios, 41 de RCE y 18 de divulgación de información resueltas, los equipos de TI deben priorizar las actualizaciones. Microsoft recomienda encarecidamente revisar y aplicar parches de inmediato para reducir el riesgo de explotación.

Trabajadores del Reino Unido temen hablar tras sufrir ciberataques, según nueva investigación


Un nuevo informe ha revelado que el 39% de los empleados de oficina en el Reino Unido no informarían de un posible ciberataque a su equipo de TI o ciberseguridad, incluso si creyeran haber sido comprometidos. A pesar de que el 79% afirma sentirse seguro al identificar amenazas cibernéticas, el miedo a ser culpados o meterse en problemas mantiene a muchos en silencio.
La vergüenza y el deseo de no “causar molestias” figuran entre las razones principales para no reportar los incidentes. Algunos empleados (11%) incluso admiten que preferirían solucionar el problema ellos mismos antes que informar al equipo de TI.
Aunque los trabajadores británicos tienen mayor conocimiento del ransomware que sus homólogos en Francia y Alemania, el silencio sigue siendo un riesgo considerable. Datos de IBM indican que las brechas que duran más de 200 días cuestan un 34% más, subrayando la importancia de actuar a tiempo.
Los datos del gobierno británico refuerzan esta preocupación: en 2024, la mitad de las empresas del Reino Unido y un tercio de las organizaciones benéficas sufrieron incidentes cibernéticos.

Presunto grupo APT indio ataca a un ministerio europeo con malware personalizado


Investigadores de ciberseguridad de Trellix han atribuido una campaña de espionaje dirigida contra un ministerio de asuntos exteriores europeo al grupo DoNot Team—una APT sospechosa de tener vínculos con la India. También conocido como APT-C-35 o Viceroy Tiger, este grupo opera desde 2016 y ha apuntado habitualmente a gobiernos del sur de Asia, ONG y entidades de defensa.
El ataque reciente utilizó correos de spear-phishing que se hacían pasar por funcionarios de defensa para engañar a los destinatarios y hacerles descargar un archivo RAR malicioso. En su interior se encontraba LoptikMod, un troyano de acceso remoto personalizado capaz de establecer persistencia, exfiltrar datos y evadir la detección mediante técnicas anti-VM y de ofuscación.
Aunque el servidor de comando y control ya está inactivo, esta campaña representa una evolución en las capacidades de DoNot, marcando el primer uso conocido de LoptikMod contra un gobierno europeo.
Los investigadores de Trellix destacan este caso como una transición de ataques oportunistas a una recopilación deliberada de inteligencia diplomática, lo que podría indicar una ampliación de los objetivos estratégicos. Anteriores víctimas incluyeron entidades en Reino Unido y Noruega, pero este ataque supone una escalada significativa en la táctica del grupo.

Closing Summary

Si está preocupado por alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué pasos debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto con nosotros para descubrir cómo puede proteger su organización.

Disclaimer

El Resumen de Inteligencia sobre Amenazas fue elaborado por Integrity360 y resume las noticias sobre amenazas tal como las observamos, vigentes a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría ni de ningún otro tipo. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no asume ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no coincidir necesariamente con las de Integrity360.