< Back
several hackers in front of their screens, looking at a world map of attacks

Tags:

Threat intelligence
15 Enero 2026

Resumen semanal de los ciberataques 08-14 enero

Táctica convincente de comentarios y respuestas en LinkedIn utilizada en un nuevo ataque de phishing  

Se ha observado una nueva campaña de phishing en LinkedIn, en la que los estafadores inundan las publicaciones públicas con comentarios falsos que imitan de forma convincente las comunicaciones oficiales de LinkedIn. Los comentarios fraudulentos advierten a los usuarios de supuestas infracciones de la política o actividades sospechosas, alegando que el acceso a sus cuentas ha sido "restringido temporalmente" y instándoles a hacer clic en un enlace externo para resolver el problema. Los mensajes imitan fielmente la imagen de marca de LinkedIn, incluyendo el uso del logotipo de LinkedIn, un lenguaje que suena oficial y, en algunos casos, el propio acortador de URL lnkd.in de LinkedIn, lo que hace que los enlaces maliciosos sean más difíciles de distinguir de los legítimos. La actividad parece automatizada y se lleva a cabo mediante perfiles con temática de LinkedIn y páginas de empresas falsas que utilizan variaciones del nombre y la imagen de marca de LinkedIn. En los casos documentados, los usuarios que siguen los enlaces son redirigidos primero a páginas de phishing alojadas en dominios no relacionados que amplían la falsa notificación de restricción, y luego son redirigidos a sitios secundarios de phishing donde se recopilan sus credenciales. 


deVixor: un RAT bancario para Android en constante evolución con capacidades de ransomware 

deVixor es un troyano de acceso remoto (RAT) para Android, desarrollado activamente, que ha evolucionado hasta convertirse en una plataforma criminal polivalente que combina fraude bancario, robo de credenciales, ransomware y vigilancia persistente de dispositivos, con un claro enfoque en los usuarios iraníes. El malware se distribuye como archivos APK maliciosos a través de sitios web de phishing que se hacen pasar por empresas automovilísticas legítimas, donde se atrae a las víctimas con ofertas de vehículos con descuento y se las engaña para que instalen la aplicación. Activo desde octubre de 2025, el análisis de más de 700 muestras realizado por Cyble Research and Intelligence Lab indica una campaña a gran escala y en curso, respaldada por una infraestructura centralizada y frecuentes actualizaciones de funciones. 


"Boto Cor-de-Rosa": el malware bancario Astaroth se pasa a WhatsApp en una nueva campaña  

La campaña Boto Cor-de-Rosa representa una nueva fase en la evolución del malware bancario Astaroth (Guildma), que se dirige principalmente a los usuarios de la banca minorista brasileña. En esta campaña, el malware se ha adaptado para aprovechar WhatsApp como vector de propagación, enviando mensajes maliciosos que animan a los usuarios a descargar archivos adjuntos que contienen un descargador de Visual Basic Script. Una vez ejecutado, el malware instala el payload Astaroth, capaz de recopilar credenciales bancarias e información financiera confidencial a través de inyecciones basadas en el navegador durante las sesiones de banca online. La campaña utiliza una arquitectura modular multilingüe, que incluye Delphi para el payload principal de Astaroth y módulos Python para automatizar la propagación a través de WhatsApp, lo que demuestra un cambio hacia la distribución de malware impulsada por plataformas sociales.


BlueDelta, vinculada a GRU, evoluciona la recolección de credenciales  

Se han identificado múltiples campañas de recolección de credenciales llevadas a cabo entre febrero y septiembre de 2025 que atribuye a BlueDelta, un grupo de amenazas patrocinado por el Estado ruso asociado con el GRU. Insikt Group evaluó la actividad como una expansión de las operaciones de robo de credenciales de BlueDelta e informó de que las campañas se dirigían a un pequeño y específico grupo de víctimas, entre las que se encontraban personas vinculadas a una agencia turca de investigación energética y nuclear, personal afiliado a un grupo de expertos europeo y organizaciones de Macedonia del Norte y Uzbekistán. La infraestructura de phishing suplantaba servicios legítimos de correo web y de inicio de sesión en VPN, replicando interfaces de inicio de sesión auténticas y redirigiendo a las víctimas a sitios legítimos tras el envío de las credenciales, para reducir las sospechas. Las campañas se basaban en gran medida en servicios legítimos, de bajo coste y desechables, al tiempo que incorporaban documentos PDF legítimos como señuelo para aumentar la credibilidad y ayudar a evadir la detección automatizada. 


Dentro de GoBruteForcer: valores predeterminados del servidor generados por IA, contraseñas débiles y campañas centradas en las criptomonedas  

Check Point Research informó sobre GoBruteforcer (también llamado GoBrut), una botnet modular de Go que compromete servidores Linux y los convierte en nodos de escaneo y fuerza bruta de contraseñas. La botnet se dirige a servicios expuestos a Internet, incluidos FTP, MySQL, PostgreSQL y phpMyAdmin, y normalmente se propaga mediante un flujo de trabajo encadenado. El informe atribuye la actual ola de actividad a dos factores principales: la reutilización masiva de ejemplos de implementación de servidores generados por IA que fomentan el uso de nombres de usuario operativos comunes y credenciales predeterminadas débiles (por ejemplo, nombres de usuario como appuser y myuser), y la exposición continua de pilas web heredadas como XAMPP, que pueden incluir un servidor FTP y credenciales predeterminadas/débiles si no se refuerzan. El análisis destaca que gran parte de la superficie de ataque sigue siendo ampliamente accesible en los puertos predeterminados y cita cifras de Shodan que indican que aproximadamente 5,7 millones de servidores FTP, 2,23 millones de servidores MySQL y unos 560 000 servidores PostgreSQL están expuestos a Internet, además de decenas de miles de paneles phpMyAdmin.