Reino Unido presenta el Proyecto de Ley de Ciberseguridad y Resiliencia

El Reino Unido ha presentado el Proyecto de Ley de Ciberseguridad y Resiliencia, una reforma importante diseñada para reforzar la seguridad nacional y proteger los servicios esenciales frente al aumento de las amenazas cibernéticas. La legislación elevará los estándares de ciberseguridad en sectores como salud, energía, agua y transporte, garantizando que interrupciones como citas canceladas en el NHS o fallos en la cadena de suministro sean mucho menos probables.

Por primera vez, los proveedores de servicios gestionados medianos y grandes que ofrezcan soporte informático, ciberseguridad o servicios de asistencia a organismos públicos y empresas estarán regulados, obligándolos a informar incidentes significativos en plazos estrictos y mantener planes de respuesta sólidos. Los reguladores también tendrán nuevos poderes para designar proveedores críticos y aplicar sanciones más severas por fallos graves.

El proyecto incluye a los centros de datos y establece salvaguardas para sistemas de energía inteligente, reflejando la creciente importancia de la infraestructura digital. Con un coste medio superior a £190.000 por incidente grave, el gobierno sostiene que estas reformas son esenciales para mejorar la resiliencia nacional y reducir el riesgo económico.

Microsoft publica parches para 63 vulnerabilidades, incluida una zero-day en el Kernel de Windows

Microsoft ha lanzado correcciones para 63 vulnerabilidades recién identificadas en sus productos, incluida una zero-day en el Kernel de Windows que ya está siendo explotada en ataques reales. Cuatro vulnerabilidades se califican como Críticas y 59 como Importantes, abarcando problemas que van desde escaladas de privilegios hasta ejecución remota de código y divulgación de información.

La más grave es CVE-2025-62215, una vulnerabilidad de escalada de privilegios causada por una condición de carrera en el Kernel de Windows. Los atacantes con acceso de bajo nivel pueden explotar el error para obtener privilegios de SISTEMA mediante la activación repetida de una corrupción de memoria “double free”, tomando el control del dispositivo afectado. Microsoft descubrió la falla internamente, pero los detalles sobre la explotación activa son limitados.

Otros parches corrigen desbordamientos de búfer de alta gravedad en el componente gráfico de Microsoft y en la interfaz gráfica del Subsistema de Linux para Windows, ambos con potencial para ejecución remota de código. Una vulnerabilidad separada en Kerberos, denominada CheckSum, permite a los atacantes suplantar usuarios y comprometer dominios completos de Active Directory. Se insta a las organizaciones que usan AD con delegación Kerberos habilitada a priorizar las actualizaciones.

DanaBot reaparece con nueva infraestructura seis meses después del desmantelamiento por la Operación Endgame

El troyano bancario DanaBot ha reaparecido con una nueva versión apenas medio año después de que su infraestructura fuera interrumpida por fuerzas internacionales. Los investigadores han identificado una variante reconstruida, versión 669, que ahora utiliza dominios de comando y control basados en Tor y nodos de conexión inversa para evadir la detección y recuperar su capacidad operativa.

DanaBot comenzó como un troyano bancario basado en Delphi distribuido mediante phishing y malvertising, evolucionando luego en un ladrón de información modular y cargador que apunta a credenciales almacenadas en navegadores y monederos de criptomonedas. A pesar del golpe de la Operación Endgame en mayo, los operadores detrás de DanaBot nunca fueron completamente desmantelados, lo que permitió el regreso del malware con infraestructura actualizada y actividad renovada.

Zscaler también ha vinculado varias carteras de criptomonedas en BTC, ETH, LTC y TRX a campañas recientes de DanaBot, subrayando la motivación financiera detrás de su persistencia. Las rutas de infección siguen incluyendo correos maliciosos, envenenamiento SEO y malvertising, con algunos ataques que sirven como puerta de entrada al ransomware.

Se recomienda a las organizaciones actualizar sus herramientas de seguridad y bloquear los nuevos IoCs publicados por Zscaler para reducir la exposición a esta amenaza resurgente.

Latinoamérica se convierte en la región más atacada mientras las amenazas globales siguen en aumento

Nuevas investigaciones muestran que Latinoamérica ha superado a África como la región más atacada por ciberataques. En octubre, las organizaciones latinoamericanas enfrentaron un promedio de 2.966 ataques por semana, un aumento del 16% interanual. África le siguió con 2.782 ataques semanales, pero registró una reducción general del 15%, atribuida a mayores inversiones en ciberseguridad en el continente, especialmente en gestión de riesgos externos y defensas mejoradas contra DDoS.

A nivel global, las organizaciones sufrieron un promedio de 1.938 ataques por semana, un aumento del 5% interanual. Norteamérica experimentó el mayor incremento, con un aumento del 18% impulsado principalmente por el ransomware, que registró 801 incidentes públicos en octubre. Qilin, Akira y Sinobi representaron casi el 40% de los casos.

El informe también destaca riesgos crecientes de exposición de datos vinculados al uso empresarial de GenAI, con una de cada 44 solicitudes conteniendo información sensible de alto riesgo. La educación siguió siendo la industria más atacada a nivel mundial, mientras que la hostelería experimentó un aumento pronunciado del 40% a medida que se acerca la temporada alta.

La emisora neerlandesa RTV Noord sufre un ciberataque

La emisora de televisión y radio neerlandesa RTV Noord sufrió una grave interrupción por un ciberataque que inutilizó sus sistemas digitales y obligó a los presentadores a improvisar en directo. El incidente, descubierto el 6 de noviembre, dejó al equipo del programa matutino “De Ochtendploeg” sin acceso a computadoras, obligándolos a recurrir a CDs e incluso discos de vinilo para mantener la programación.

Aunque la emisora no ha revelado la naturaleza del ataque, confirmó que los intrusos dejaron un mensaje en su red, lo que sugiere fuertemente ransomware. Dada la magnitud de la interrupción y casos similares recientes, la probabilidad de una demanda de rescate o amenaza de filtración de datos es alta.

El impacto es especialmente grave porque RTV Noord también actúa como emisora oficial de emergencias para la región de Groningen, lo que significa que cualquier interrupción podría obstaculizar la entrega de información pública crítica. Los sistemas internos quedaron tan afectados que la redacción solo podía ser contactada vía WhatsApp.

El ataque se produce en un contexto en el que los grupos de ransomware apuntan cada vez más a emisoras para obtener la máxima ventaja, con la emisora española KISS-FM también reclamada por Rhysida el mismo día.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.