Vulnerabilidad en plugin de WordPress expone datos sensibles

Se ha descubierto una grave vulnerabilidad en el popular plugin Anti-Malware Security and Brute-Force Firewall para WordPress, instalado en más de 100.000 sitios. Identificada como CVE-2025-11705, la falla permite a usuarios autenticados con nivel de suscriptor leer cualquier archivo en el servidor, incluidos archivos sensibles como wp-config.php, exponiendo credenciales de base de datos, hashes de contraseñas y claves de autenticación.

El problema, reportado por investigadores a Wordfence, afecta a las versiones 4.23.81 y anteriores, y se debe a la falta de verificación de capacidades en la función AJAX de escaneo. La versión corregida, 4.23.83, fue lanzada el 15 de octubre e incluye validación adecuada de usuarios.

Aunque Wordfence no ha detectado explotación activa, cualquier sitio que permita registros o suscripciones está en riesgo. Se recomienda encarecidamente a los administradores actualizar de inmediato.

Hacktivistas violan sistemas críticos en Canadá

El Centro Canadiense de Ciberseguridad ha emitido una alerta tras la violación de múltiples sistemas de infraestructura crítica por parte de hacktivistas, quienes manipularon controles industriales en incidentes que pudieron haber generado condiciones peligrosas. Los ataques afectaron una planta de tratamiento de agua, una empresa de petróleo y gas, y una operación agrícola, alterando presión, temperatura y valores de monitoreo.

Las autoridades creen que las intrusiones fueron oportunistas, destinadas a generar miedo, atraer atención mediática y socavar la confianza pública. Estos incidentes reflejan preocupaciones similares a nivel global, como los intentos recientes de hackers vinculados a Rusia contra sistemas industriales en EE. UU.

El Centro recomienda eliminar el acceso directo a Internet, aplicar autenticación multifactor, realizar pruebas de penetración y mantener el firmware actualizado.

Microsoft resuelve interrupción global de DNS tras fallo similar en AWS

Microsoft ha solucionado una importante interrupción de DNS que afectó temporalmente a Azure, Microsoft 365 y servicios relacionados a nivel mundial. Comenzando alrededor de las 16:00 UTC, la falla provocó problemas de inicio de sesión y conexión, impidiendo el acceso a redes corporativas, el portal de Azure, Intune y el centro de administración de Exchange.

La interrupción afectó a decenas de miles de organizaciones, incluidos proveedores de salud y el sistema ferroviario neerlandés. Microsoft confirmó problemas con Azure Front Door CDN y recomendó usar métodos programáticos como PowerShell y CLI hasta que se restableciera el servicio.

El incidente ocurrió poco después de una falla similar en AWS (Amazon Web Services) que afectó a millones de plataformas en línea. Microsoft ha restaurado la funcionalidad redirigiendo el tráfico y continúa investigando la causa raíz para fortalecer la resiliencia del servicio.

Atroposia: Malware-as-a-Service que genera preocupación

Investigadores de seguridad de Varonis han descubierto una nueva plataforma malware-as-a-service (MaaS) llamada Atroposia, que ofrece a los ciberdelincuentes un potente troyano de acceso remoto (RAT) por solo $200 al mes. Este kit modular permite acceso persistente y sigiloso a sistemas infectados, con funciones avanzadas como sesiones de escritorio remoto ocultas, control del sistema de archivos, robo de credenciales y secuestro de DNS.

La comunicación cifrada de Atroposia y su capacidad para eludir el Control de Cuentas de Usuario (UAC) de Windows lo hacen especialmente peligroso. Su escáner de vulnerabilidades integrado puede identificar debilidades explotables en entornos corporativos.

Varonis advierte que Atroposia se suma a una creciente lista de herramientas plug-and-play como SpamGPT y MatrixPDF, reduciendo la barrera técnica para atacantes con poca experiencia.

Herodotus y GhostGrab apuntan a usuarios Android en todo el mundo

Dos nuevas amenazas para Android, Herodotus y GhostGrab, están emergiendo dentro del ecosistema malware-as-a-service (MaaS).

Herodotus, descubierto por ThreatFabric, es un troyano bancario que apunta a Italia y Brasil. Simula el comportamiento humano para evadir la detección biométrica antifraude y abusa de los servicios de accesibilidad de Android para tomar control del dispositivo, robar credenciales e interceptar códigos 2FA. Su característica distintiva es la introducción de retrasos aleatorios en las acciones remotas, haciendo que parezcan humanas para evitar la detección.

GhostGrab, identificado por CYFIRMA, es una amenaza híbrida que apunta a usuarios en India. Combina el robo de credenciales bancarias con minería encubierta de Monero, generando un flujo de ingresos doble para los atacantes. Distribuido mediante apps financieras falsas, solicita permisos de alto riesgo para robar datos sensibles, incluidos PIN de cajeros automáticos y documentos gubernamentales.

Ambas amenazas reflejan la creciente sofisticación del malware para Android.

Consejo de seguridad: evita instalar apps fuera de tiendas oficiales, revisa los permisos y usa solo fuentes confiables como Google Play.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.