GCCVIEWS

Etiqueta: vulnerabilidades

  • El crimen cripto se hace mayor: deepfakes, Corea del Norte y la IA al servicio del robo

    El crimen cripto se hace mayor: deepfakes, Corea del Norte y la IA al servicio del robo

    El ecosistema de las criptomonedas vive uno de sus mejores momentos en términos de precio y adopción institucional. Y, como suele ocurrir cuando hay dinero en movimiento, también vive uno de sus peores momentos en términos de seguridad. La industria ya ha perdido más de 600 millones de dólares debido a hacks en lo que va de 2026, y la firma de ciberseguridad blockchain CertiK advierte que lo peor podría estar por venir. El diagnóstico de sus investigadores es claro y preocupante: el crimen cripto es cada vez mayor: phishing, los deepfakes, los ataques a la cadena de suministro y las vulnerabilidades entre cadenas serán los grandes vectores de los hackeos más dañinos del año.

    El fantasma de Bybit sigue presente

    Para entender la magnitud del problema conviene recordar lo ocurrido en febrero de 2025. El 21 de ese mes, hackers norcoreanos robaron 1.500 millones de dólares en criptomonedas del exchange Bybit, con sede en Dubái, en aproximadamente 30 minutos. No fue una hazaña técnica de ciencia ficción: no rompieron ningún cifrado ni forzaron ninguna clave privada por la fuerza. Los atacantes comprometieron la computadora portátil de un solo desarrollador de un proveedor de billeteras de terceros, esperaron pacientemente durante semanas y atacaron cuando los empleados de Bybit estaban aprobando lo que parecía una transferencia interna rutinaria.

    Ese es el patrón que define la nueva era del crimen cripto: no asaltar la caja fuerte, sino infiltrarse en quien tiene la llave. CertiK señalaba en diciembre de 2025 que las violaciones de la cadena de suministro surgieron como la amenaza más dañina del año, contabilizando 1.450 millones de dólares en pérdidas en solo dos incidentes.

    Corea del Norte, S.A.

    Detrás de los ataques más sofisticados aparece, una y otra vez, el mismo actor: el régimen de Pyongyang. Entre enero de 2024 y septiembre de 2025, actores norcoreanos orquestaron robos de criptomonedas por un total de al menos 2.800 millones de dólares, a través de grupos de hackers respaldados por el Estado. No se trata de ciberdelincuentes oportunistas: es una industria estatal del robo, sofisticada y financiada, cuyos beneficios sirven para eludir sanciones internacionales y financiar el programa de armamento de Kim Jong-un.

    El grupo Lazarus opera con un modelo industrializado: compromiso de accesos internos, uso de credenciales legítimas y dispersión rápida de los fondos para dificultar su rastreo. Una vez robados los activos, los fondos son lavados a través de una extensa red de banqueros clandestinos y brokers OTC que operan a través de diferentes cadenas, jurisdicciones y rieles de pago. En el caso Bybit, en menos de un mes habían convertido más del 86% del ETH robado en Bitcoin a través de múltiples plataformas intermediarias.

    La IA: arma de doble filo

    El elemento más inquietante del panorama actual es la irrupción de la inteligencia artificial en el arsenal de los atacantes. Según Natalie Newson, investigadora senior de CertiK, ahora existen deepfakes más convincentes, agentes de ataque autónomos e «inteligencia artificial agéntica» capaz de escanear contratos inteligentes en busca de errores, redactar código de explotación y ejecutar ataques a velocidad de máquina.

    En abril pasado quedó documentado un ejemplo concreto: un actor de amenazas conocido como «Jinkusu» estaba vendiendo herramientas diseñadas para eludir los controles KYC en bancos y plataformas cripto, utilizando deepfakes y manipulación de voz. Y la billetera Zerion reveló que hackers norcoreanos usaron IA en un ataque de ingeniería social de largo alcance para infiltrarse en sus sistemas.

    Pero la IA no solo ataca: también puede defender. Los reguladores están respondiendo: el Departamento del Tesoro de EE.UU., a través de la Oficina de Ciberseguridad y Protección de Infraestructura Crítica, anunció en abril que amplía su programa de identificación de amenazas para incluir a empresas de activos digitales.

    Lo que puede hacer el inversor

    Ante este panorama, los consejos de CertiK suenan casi domésticos, pero son esenciales: verificar siempre la autenticidad de las URL y los contratos inteligentes antes de firmar cualquier transacción, y no mantener activos en reposo dentro de exchanges. Usar billeteras frías permite mantener seguros los activos que no se utilizan con regularidad y firmar transacciones sin exponer nunca las claves privadas.

    El mercado cripto madura. Sus atacantes también. La diferencia es que los segundos no necesitan reguladores, auditorías ni transparencia para innovar. Esa asimetría es, hoy por hoy, el mayor riesgo del ecosistema.

  • Vulnerabilidad crítica en Linux: desafíos para la seguridad de código abierto

    Linux
    El pingüino Tux es la mascota de Linux, un sistema operativo que nació en 1991. Wikimedia Commons

    Hace apenas un mes saltaba la noticia de la aparición de una vulnerabilidad crítica en sistemas Linux que ponía en riesgo la seguridad de millones de ordenadores en Internet.

    Nos referimos a un sistema operativo de código abierto (open source), lo que quiere decir que su código fuente está disponible de manera pública. Esto permite que cualquier persona pueda estudiar su código, modificarlo e, incluso, distribuirlo. Normalmente, nos acostumbramos a trabajar sobre una distribución (como Debian, Ubuntu, Fedora, Red Hat…), que es una especie de “adaptación” de Linux. Todas las adaptaciones comparten la misma base: el núcleo o kernel de Linux.

    Linux mag / Wikimedia Commons
    Linus Torvalds, principal autor del kernel de Linux. CC BY

    A diferencia de los sistemas operativos propietarios como Windows o macOS, donde el código fuente es un secreto guardado por las empresas que los desarrollan, Linux se basa en la colaboración y la transparencia. Esta característica fundamental ha sido tanto su mayor fortaleza como su mayor desafío en términos de seguridad.

    La transparencia del código abierto permite una auditoría constante por parte de una amplia comunidad de desarrolladores, lo que garantiza su calidad y la detección rápida de posibles vulnerabilidades.

    Sin embargo, esta misma transparencia también puede ser aprovechada por usuarios malintencionados para intentar insertar código malicioso, como ha sucedido recientemente con el kernel de Linux.

    Descubierta una puerta trasera

    El kernel de Linux, software que constituye la parte fundamental de cualquier sistema operativo, actúa como intermediario entre el hardware y el software, garantizando estabilidad, seguridad y eficiencia. Sus componentes, como el administrador de memoria y el gestor de procesos, optimizan el uso de recursos y la ejecución de aplicaciones.

    Uno de estos componentes es XZ Utils (anteriormente conocido como LZMA Utils), una colección de utilidades de compresión y descompresión de datos diseñadas para sistemas Linux, que utilizan el algoritmo de compresión XZ/LZMA.

    Un desarrollador de Microsoft, Andrés Freund, notó que los inicios de sesión eran más lentos de lo habitual: 500 ms más lentos. Estos fallos le hicieron sospechar y seguir buscando hasta encontrar el error.

    El código malicioso se encontraba en versiones beta de distribuciones Linux muy populares, como Red Hat o Debian. Aparentemente, estas versiones no se estarían utilizando en entornos de producción reales. Tras este hallazgo, tanto Red Hat como Debian emitieron comunicados de alerta sobre el peligro potencial.

    El pasado 23 de febrero, se introdujo código ofuscado en el repositorio de XZ Utils, que se comportaba como una puerta trasera (secuencia especial del código de programación mediante la cual se pueden evitar los sistemas de seguridad del algoritmo para acceder al sistema).

    Comunicado de Andres Freund en la red social Mastodon, el 29 de marzo de 2024, informando de su descubrimiento.

    Al día siguiente, en una actualización, el script de instalación se volvía malicioso al insertarse en funciones utilizadas del servicio de conexión remota SSH o Secure Shell, un protocolo cuya principal función es el acceso remoto a un servidor por medio de un canal seguro en el que toda la información está cifrada..

    El desarrollador JiaT75 fue responsable de estos cambios. Tras haber colaborado altruistamente con el proyecto XZ Utils durante varios años, aprovechó la confianza generada en la comunidad open source para realizar estas acciones sin levantar sospechas.

    Infiltrado con malas intenciones

    Si investigamos un poco sobre este usuario, podemos ver que comenzó con su perfil de GitHub el 26 de enero del 2021. Participó con otros proyectos durante más de un año antes de empezar a colaborar en el repositorio de XZ Utils. No fue hasta mayo del 2022 cuando se pueden apreciar sus primeras aportaciones.

    La identidad real de JiaT75 ha suscitado preocupantes teorías, incluida la posibilidad de que no sea un cracker aislado, sino parte de un grupo respaldado por algún gobierno.

    Este grupo habría construido cuidadosamente un perfil como desarrollador de código abierto hasta convertirse en mantenedor del proyecto XZ Utils, solo para utilizar su posición para infiltrarse en millones de máquinas a través de la puerta trasera.

    En cualquier caso, aunque no hay pruebas concluyentes que respalden esta hipótesis, la complejidad y la meticulosidad del ataque sugieren la participación de actores con recursos y conocimientos significativos en el ámbito de la ciberseguridad, el desarrollo de software y los proyectos open source. El cóctel perfecto para lograr su cometido.

    Una comunidad que colabora frente a las amenazas

    La infiltración de un desarrollador y la inserción gradual de código a lo largo del tiempo ha sorprendido a todos y ha dejado al descubierto una realidad preocupante: es la primera vez que se introduce código malicioso en Linux de esta manera.

    Esta novedad plantea distintas preguntas sobre la seguridad del ecosistema de código abierto y la forma en que se abordan los riesgos emergentes.

    Mapa conceptual del software libre.
    VARGUX / Wikimedia Commons, CC BY

    ¿Cómo se pueden prevenir estos ataques en el futuro? La respuesta requiere una evaluación detallada de los procesos de desarrollo. Se necesitan medidas más rigurosas de supervisión y validación del código para detectar vulnerabilidades antes de que afecten a los usuarios finales.

    Este incidente nos recuerda los desafíos constantes que enfrenta la seguridad de la información en la era digital. El movimiento del software libre ha transformado nuestra forma de utilizar la tecnología, en la que destaca la colaboración global y una actitud proactiva para proteger nuestras infraestructuras digitales de amenazas cada vez más sofisticadas.The Conversation

    Álvaro Núñez – Romero Casado, Docente en Máster de Seguridad Informática, UNIR – Universidad Internacional de La Rioja

    Este artículo fue publicado originalmente en The Conversation. Lea el original.

  • Uso de Hacking Ético para prevenir las vulnerabilidades en su empresa

    Con la irrupción del Covid 19, el aumento a las violaciones de datos y los ataques cibernéticos se han incrementado; sin embargo, han dejado de ser un evento mediático, a menos que sean a poderosos bancos o instituciones. Un tema preocupante es que cada vez se vuelven más sofisticados y constantes. Con el uso masificado de las tecnologías emergentes como el Internet de las cosas, a las que la mayoría no les presta atención, el problema se intensifica, dado que les brinda a los piratas informáticos nuevos mecanismos y vehículos para el ataque.

    De ahí que las empresas (y las personas también) deben procurar mantenerse al día con las motivaciones y tácticas cibercriminales que cambian constantemente. Aún cuando debido a la rápida implementación del teletrabajo, muchas compañías están optando por migrar grandes volúmenes de datos y aplicaciones a la nube,  en la rapidez empujada por el Covid, muchos errores se han cometido, como el dejar atrás porciones de información desprotegida que los hackers pueden explotar.

    ¿Qué pasos deben seguir las empresas para evitar ataques cibernéticos? Una de las mejores formas de evaluar una amenaza de intrusión es contar con profesionales independientes de seguridad informática que busquen penetrar en sus sistemas. Estos “hackers éticos” emplean las mismas herramientas y técnicas que los intrusos, pero con el propósito de evaluar la seguridad de los sistemas de las compañías contratantes e informar a los propietarios sobre las vulnerabilidades encontradas, junto con los reportes y las instrucciones de cómo remediarlas.

    El hacker ético está legalmente autorizado a explotar las redes de seguridad y mejorar los sistemas, reparando las vulnerabilidades detectadas durante las pruebas. También está obligado a revelar todas las vulnerabilidades descubiertas. Esta autorización es muy rígida, que blinda legalmente tanto a los hackers éticos como a las empresas. Es una decisión difícil para quien autoriza un acceso extraño a sus sistemas, pero al menos hay que agradecer que existen estas soluciones de mercado que permiten estar un poco más protegidas a las organizaciones y por ende, sus activos más valiosos, que son los datos.

    Si bien puede parecer una mala idea el hacer uso de piratas informáticos para ayudar a planificar y probar ciberdefensas, es importante saber que su experiencia, idéntica a quienes intrusan sistemas en forma no autorizada, puede ser muy valiosa.

    Los hackers éticos pueden desempeñar un papel fundamental para ayudar a los equipos de seguridad a considerar cada vector de ataque posible, y así proteger las aplicaciones. El proceso debe ser planificado con antelación, los aspectos técnicos, de gestión y estratégicos deben ser sumamente cuidados, y llevar a cabo las etapas en un marco de control y supervisión constante.

    Existen varias maneras de reclutar hackers éticos, el método más común es un esquema de “recompensa por vulnerabilidad” que opera bajo términos y condiciones estrictas contractuales. De esta manera, cualquier hacker ético puede buscar y enviar vulnerabilidades descubiertas y con ello ganar una recompensa dineraria. Uno de estos servicios más conocidos y que recomendamos, es HackTrophy, que es un servicio destinado a probar la seguridad de las plataformas de Internet, lanzada en Marzo de 2017.

    Para los clientes, se les ofrece la posibilidad de que sus sistemas sean probados por un programa de «recompensa de errores», en que expertos informáticos de todo el mundo pueden participar. Estos expertos intentarán encontrar vulnerabilidades en los sistemas registrados. El principal beneficio para los clientes es la experiencia de multitud de expertos globales, que son hackers que están registrados en el programa y buscan debilidades de seguridad en la aplicación sometida. De esta forma, el cliente puede encargarse de la seguridad de sus sistemas, beneficiándose en ambos métodos, ofensivos y preventivos. La motivacion para los hackers éticos participantes no solo es el prestigio sino también el dinero del premio, que se paga por cada una de las vulnerabilidades de seguridad encontradas para el primer hacker que lo descubrió.

    Datos para tomar en cuenta: Los piratas informáticos atacan hasta 37,000 páginas web todos los días; hay un 86% de posibilidades de que su sitio web contenga una vulnerabilidad crítica que pueda causar la pérdida de datos confidenciales; el costo de reparar el daño causado por un ataque de piratería asciende a entre 35,000  y  9,5 millones de dólares. Siempre en el mejor de los casos y que el ataque no sea tan feroz que implique la pérdida de su compañía.

    Según Hackerone 2019, la comunidad de hackers éticos se ha duplicado año tras año. El año pasado, se repartieron cerca de USD 80 millones en recompensas. El informe también estima que los piratas informáticos éticos que más ganan pueden lograr hasta cuarenta veces el salario medio anual de un ingeniero de software.

    Diversas empresas optan por contratar de manera directa a piratas informáticos externos, algunos de ellos incluso con historial de actividad criminal, quienes sólo tienen en abundancia la experiencia práctica. Al final del día, un hacker es un hacker, la única diferencia es lo que hacen los éticos y los delincuentes una vez que encuentran un error o vulnerabilidad.

    Si desea conocer más sobre hacking ético, no dude en consultarnos. Este asesoramiento es gratuito, online y en tiempo real, por un máximo de 30 minutos por sesión. Las sesiones son en idioma inglés.

    Para concretar su cita, escríbanos a info@goethalsconsulting.com o llamar al 6679-2750/6676-9280.