Una de las preocupaciones más realistas en ciberseguridad sobre estos modelos es lo que se conoce como inyección de prompts, un tipo de ataque que aprovecha las instrucciones que se ofrecen al propio modelo.

GPT, Gemini y todos estos funcionan mediante este tipo de instrucciones, aunque pueden llegar a ofrecer fallos en caso de que se manipulen para esquivar su entrenamiento; por ejemplo, el típico caso de que no ofrezcan código malicioso.

Uno de los últimos estudios más importantes en este ámbito es el de Cloudforce One, el equipo de inteligencia y amenazas de Cloudflare, que ha puesto a prueba a 7 modelos de IA para comprobar la gravedad de este tipo de ataques.

Tras comprobar en la primera fase del experimento que los modelos eran susceptibles de caer en trampas inyectadas en sus instrucciones, fueron un paso más allá y pusieron señuelos dentro de las indicaciones de modelos fronterizos –los más potentes– y no fronterizos –los más ligeros o en formato "mini"–.

Y el resultado fue devastador: los modelos no son capaces de reconocer las instrucciones maliciosas si estas representan un porcentaje casi nulo, por lo que los ataques a estos son cada vez más sutiles y representan un riesgo real al ser difíciles de identificar.

La inyección indirecta de prompts, un ataque sutil, pero peligroso

Para entender la magnitud real de este nuevo riesgo para la seguridad, hay que comprender que los modelos funcionan de forma probabilística, y que se rigen por instrucciones que limitan –o no– su capacidad.

A día de hoy, ya existen chatbots de IA que son capaces de saltarse todas sus limitaciones mediante lo que se conoce como inyección directa de prompts, el típico mensaje de "olvida tus instrucciones y...".

Pero la inyección indirecta de prompts es algo diferente, y mucho más peligrosa, ya que no reside en engañar directamente a la IA, sino en envenenar las fuentes de las que se alimenta esta para responder, mediante instrucciones que representan menos del 1% de un archivo.

"Mientras que la inyección directa de prompts se produce cuando un usuario ordena explícitamente un LLM a través de una interfaz de chat (por ejemplo, un usuario que le dice a un chatbot que 'ignore todas las instrucciones anteriores'), la indirecta ocurre cuando un atacante coloca instrucciones maliciosas o engañosas dentro de los datos, como el contenido web, los correos electrónicos o el código fuente, que luego es ingerido y procesado por un agente de IA", explican los investigadores de Cloudflare.

Según Cloudforce One, cuando los comentarios maliciosos bajan de ese porcentaje, la capacidad de la IA para detectar este tipo de engaños cae de una tasa de percepción del 67,3% al 53,3%, siendo los modelos no fronterizos los más afectados.

Esto se debe a lo que se conoce como saturación del modelo: por ejemplo, si alguien le dijera al modelo 100 veces que su código es seguro, la IA notaría que algo no va bien; en cambio, si se camufla como algún tipo de excepción, la tasa de percepción del modelo cae.

Básicamente, esto cambia por completo el paradigma de los ciberataques más complejos, ya que esta modalidad no se centra en el uso de la fuerza bruta –muchas repeticiones de algo–, sino en la sutileza y en saber aprovechar las trampas del lenguaje natural para los modelos.

En la práctica, los atacantes pueden utilizar una técnica de seguridad avanzada, como es la ofuscación de código; es decir, la ocultación u obcecación del código para evitar a usuarios con malas intenciones.

Con la inyección indirecta de prompts, los atacantes consiguen en tal caso ofuscar sus indicaciones mediante la saturación o agotamiento de los grandes modelos.

"Los adversarios ya no necesitan convencer a la IA de que su código es seguro; solo necesitan hacer que la señal maliciosa sea demasiado pequeña para que la IA la encuentre", advierten desde Cloudflare.

Los ataques reales han aumentado en los últimos meses

Aunque la de Cloudflare es una prueba de concepto para demostrar que este tipo de ataques son especialmente sensibles en todos los modelos, el equipo de análisis de amenazas de Google ha descubierto que estos se han incrementado en los últimos 4 meses.

Según el informe oficial de la compañía, los incidentes relacionados con la inyección indirecta de prompts han aumentado hasta un 32%, por lo que puede considerarse ya como una modalidad de ataque a tener en cuenta para el robo de datos.

Y para este tipo de técnicas maliciosas no hace falta vulnerar la seguridad de base de un modelo, sino solo ofrecer contenidos camuflados entre guías de ayuda, contenidos optimizados (SEO) y enlaces disponibles que pueden llevar a la exfiltración.

Y Google no es la única compañía preocupada, ya que OWASP sitúa en primer lugar la inyección de prompts como la vulnerabilidad más preocupante para los LLM, al mismo nivel de lo que sería la inyección SQL.

Aunque muchos apuntan a que la revisión humana se refuerce para evitar este tipo de vulnerabilidades, lo cierto es que las técnicas han avanzado tanto que incluso se pueden encontrar prompts en tamaño de fuente cero.

En tal caso, un ser humano que revise el código no se dará cuenta de lo que se está ocultando, pero para el modelo será como leer cualquier otra instrucción.

Definitivamente, la IA ha cambiado por completo la forma de ocultarse de los ciberdelincuentes, que ahora también pueden pasar desapercibidos dentro del propio modelo de lenguaje natural.

La vulnerabilidad, bautizada como usbliter8, ha sido descubierta por el equipo de investigación Paradigm Shift y afecta a una parte fundamental del hardware conocida como BootROM. Este componente participa en el arranque inicial del dispositivo y está grabado físicamente en el chip, por lo que cualquier error presente en él permanece para siempre.

Según los investigadores, el exploit aprovecha una combinación de un fallo de hardware en el controlador USB y una configuración específica del firmware. Mediante el envío de datos especialmente diseñados a través de una conexión USB, un atacante podría alterar el proceso de inicio del dispositivo y ejecutar código propio antes de que iOS llegue a cargarse.

Los modelos afectados incluyen los iPhone XR, iPhone XS, iPhone XS Max, iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max y el iPhone SE de segunda generación. También se han identificado otros dispositivos de Apple con los mismos procesadores, como determinados iPad, Apple Watch e incluso el HomePod mini.

A diferencia de muchas vulnerabilidades descubiertas en los últimos años, esta no puede solucionarse con una actualización de iOS. Al encontrarse en una parte física del chip, Apple no tiene forma de modificarla mediante software. Los investigadores aseguran que la medida más eficaz para eliminar completamente el riesgo pasa por utilizar hardware más moderno que no incorpore estos procesadores.

No obstante, el problema tiene importantes limitaciones. Para explotar la vulnerabilidad es necesario disponer de acceso físico al dispositivo y colocarlo en modo DFU, un modo especial utilizado para restauraciones y tareas avanzadas de mantenimiento. Además, el fallo no compromete directamente el Secure Enclave, el sistema encargado de proteger datos sensibles como contraseñas, claves de cifrado y otra información privada del usuario.

Aun así, los expertos advierten de que esta puerta de entrada podría facilitar ataques más complejos en determinadas circunstancias. Por ese motivo han decidido publicar los detalles técnicos del descubrimiento con el objetivo de que la comunidad de seguridad pueda estudiar mejor sus implicaciones.

Según los investigadores de Zimperium, Rokarolla se distribuye a través de páginas web fraudulentas que se hacen pasar por sitios legítimos de descarga de aplicaciones populares como Google Chrome o TikTok. Los usuarios que caen en la trampa descargan una aplicación maliciosa que aparenta ser segura, pero que en realidad instala el malware en segundo plano.

Durante el proceso de instalación, la amenaza suplanta la identidad de Google Play Protect, el sistema de protección integrado de Android. De esta forma, intenta generar confianza y convencer a la víctima para que conceda permisos sensibles al programa.

Una vez ejecutado, Rokarolla solicita acceso a funciones críticas del sistema, incluyendo los servicios de accesibilidad, las notificaciones, los mensajes SMS y las llamadas telefónicas. Con estos permisos, los atacantes pueden obtener una gran cantidad de información del dispositivo y controlar múltiples funciones de forma remota.

El malware recopila inicialmente datos técnicos del terminal, como el modelo del teléfono, la versión de Android, el idioma configurado, la capacidad de almacenamiento y la memoria disponible. Posteriormente, compara las aplicaciones instaladas con una lista de 217 objetivos potenciales relacionados con entidades financieras y plataformas de criptomonedas.

Cuando detecta una aplicación compatible, Rokarolla muestra pantallas falsas de inicio de sesión que imitan a las originales. El objetivo es que la víctima introduzca sus credenciales, números de tarjeta u otros datos sensibles sin sospechar que están siendo enviados directamente a los ciberdelincuentes.

Sin embargo, sus capacidades van mucho más allá. El troyano puede registrar todas las pulsaciones del teclado, robar mensajes SMS, acceder a la lista de contactos, recopilar información de WhatsApp, capturar capturas de pantalla e incluso manipular el contenido copiado en el portapapeles.

Además, utiliza técnicas avanzadas para ocultar su actividad. Entre ellas se encuentran la ocultación del icono de la aplicación, la desactivación de alertas sonoras, el bloqueo de llamadas entrantes y la superposición de ventanas falsas para impedir que el usuario detecte comportamientos sospechosos.

Los investigadores no han encontrado Rokarolla en Google Play, por lo que recomiendan descargar aplicaciones únicamente desde fuentes oficiales y desconfiar de cualquier APK obtenida desde páginas externas.

La vulnerabilidad, identificada como CVE-2025-48595, afecta al componente Android Framework y podría permitir a un atacante local ejecutar código y escalar privilegios en dispositivos con Android 14 o versiones posteriores. Según ha confirmado la compañía, existen indicios de que este fallo está siendo utilizado en campañas de explotación limitadas y altamente focalizadas.

Aunque Google no ha revelado detalles técnicos sobre cómo se están llevando a cabo los ataques ni quiénes podrían estar detrás, este tipo de vulnerabilidades suelen ser aprovechadas en operaciones de spyware comercial o incluso en campañas atribuidas a actores estatales. En estos casos, los objetivos suelen ser perfiles de alto valor o interés específico, lo que reduce el alcance masivo de los ataques pero aumenta su nivel de sofisticación.

Además del zero-day principal, la actualización corrige 18 vulnerabilidades críticas distribuidas entre distintos componentes del sistema, incluyendo System, Framework y módulos de terceros como los de Qualcomm. Algunas de estas fallas podrían permitir desde denegaciones de servicio hasta escaladas de privilegios sin necesidad de interacción por parte del usuario.

Google ha publicado dos niveles de parche distintos en este mes, correspondientes a 2026-06-01 y 2026-06-05. El segundo incluye todas las correcciones del primero, además de ajustes adicionales en componentes de código cerrado que pueden variar según el fabricante del dispositivo.

Como es habitual, los dispositivos Pixel recibirán la actualización de forma inmediata, mientras que otros fabricantes de Android necesitarán más tiempo para adaptar los parches a sus modelos y configuraciones específicas, lo que puede retrasar la protección para millones de usuarios.

La compañía también ha recordado que el riesgo de explotación disminuye en versiones más recientes de Android, gracias a mejoras en la seguridad del sistema, por lo que recomienda actualizar siempre a la última versión disponible.

Según el informe de la empresa de seguridad Push Security, los atacantes están utilizando dominios reales asociados a ChatGPT para generar confianza. A simple vista, estos enlaces parecen inofensivos, ya que utilizan la estructura oficial de ChatGPT, lo que reduce la probabilidad de que sistemas de seguridad o filtros web los detecten como peligrosos.

La campaña comienza con anuncios patrocinados en Google que se hacen pasar por descargas oficiales de ChatGPT o versiones de escritorio del servicio. Al hacer clic, el usuario es redirigido a una página que simula un entorno legítimo dentro de un enlace de compartición del chatbot.

En estas páginas falsas se muestra un mensaje diseñado para generar urgencia, como supuestos problemas de mantenimiento o alta carga del sistema. El objetivo es convencer a la víctima de descargar una supuesta aplicación de escritorio que en realidad contiene malware.

Si el usuario continúa con la descarga, lo dirige a dominios externos que imitan la apariencia de software oficial de OpenAI. Desde allí se distribuyen cargas maliciosas tanto para Windows como para macOS, incluyendo herramientas de robo de información conocidas como infostealers.

En algunos casos, el malware es capaz de detectar si está siendo ejecutado en un entorno de análisis o máquina virtual, ocultando su comportamiento para evitar ser descubierto por investigadores de seguridad.

Los expertos señalan que este tipo de ataques forman parte de una tendencia más amplia en la que los ciberdelincuentes utilizan inteligencia artificial para mejorar sus campañas. Esto incluye la creación de mensajes de phishing más realistas, código ofuscado y páginas web diseñadas automáticamente para parecer legítimas.

A medida que estas herramientas de IA se vuelven más accesibles, los expertos advierten que los usuarios deben extremar la precaución al descargar software o hacer clic en enlaces, incluso si parecen provenir de fuentes confiables.

Según la información técnica facilitada, una de las vulnerabilidades, identificada como CVE-2026-41091, afecta al Microsoft Malware Protection Engine en versiones 1.1.26030.3008 y anteriores. Este componente es el encargado de las funciones de análisis, detección y eliminación de amenazas dentro de Microsoft Defender.

La segunda vulnerabilidad, CVE-2026-45498, afecta a la plataforma antimalware de Microsoft Defender en versiones 4.18.26030.3011 y anteriores. Este fallo impacta también en soluciones empresariales.

Microsoft ha lanzado nuevas versiones del motor de protección que corrigen ambas vulnerabilidades. La compañía asegura que, en la mayoría de los casos, los sistemas deberían actualizarse automáticamente mediante la configuración por defecto de Windows Defender. Sin embargo, recomienda a los usuarios verificar manualmente que las actualizaciones de definiciones y del motor antimalware están activas y funcionando correctamente.

Además, la Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha incluido estos fallos en su catálogo de vulnerabilidades explotadas activamente. El organismo ha ordenado a las agencias federales aplicar parches o mitigaciones antes del 3 de junio, advirtiendo de que este tipo de fallos representan una vía de entrada frecuente para actores maliciosos.

En paralelo, Microsoft ha compartido recomendaciones de verificación para los administradores, incluyendo la comprobación de versiones del cliente antimalware y la actualización manual desde el panel de Seguridad de Windows si fuera necesario.

Algunos de los problemas de seguridad de Windows 11 provienen de los ficheros heredados que contiene, para asegurar la compatibilidad con el hardware y software de hace décadas. Es algo de lo que no se puede culpar a Microsoft: muchas empresas siguen usando aplicaciones de hace décadas. Y resulta importante que instales un viejo juego o programa del siglo pasado, y siga funcionando en Windows 11.

Pero a veces hay debate sobre si un fichero heredado causa más problemas de los que soluciona. Parece que es el caso de MSHTA, según BitDefender.

MSHTA, un coladero de malware

Microsoft HTML Application Host o Host de aplicaciones HTML de Microsoft, abreviado a MSHTA, es un fichero ejecutable (mshta.exe) incluido en Windows 11, que tiene más de 30 años. Era una de las herramientas asociadas al navegador Internet Explorer.

El mítico navegador de Microsoft, que fue el más usado del mundo hasta que llegó Chrome, ya ha desaparecido de Windows, pero no así MSHTA.

Se trata de un software que ejecuta aplicaciones HTML con extensión .hta. Estas aplicaciones son una mezcla de HTML y lenguajes de script como VBScript o JScript. En el pasado se usaba para ejecutar apps de escritorio que empleaban el motor de Internet Explorer.

Microsoft ha detectado que hay gente que aún usa estas aplicaciones, por eso lo mantiene. El problema, según BitDefender, es que los ciberdelincuentes están usando MSHTA para introducir malware en el PC como LummaStealer, Amatera, ClipBanker, PurpleFox y CountLoader.

Lo que hacen es ejecutar scripts HTA a través de MSHTA para introducir malware directamente en memoria, sin necesidad de usar ficheros infectados, sorteando así los antivirus. Como MSHTA es una aplicación legítima de Windows, no levanta sospechas por sí misma.

BitDefender ha rastreado el uso de MSHTA en campañas masivas de distribución de malware y en amenazas más sofisticadas orientadas al sigilo, la persistencia y el control prolongado de sistemas comprometidos.

Hay poco que se pueda hacer, porque si borras mshta.exe, al ser un archivo del sistema, Windows volverá a instalarlo. Puedes bloquearlo aplicando políticas de grupo, para que no se ejecute. Pero lo más seguro sigue siendo lo de siempre, hace un examen rápido de tu sistema con el antivirus de vez en cuando.

Los sistemas heredados de Windows son necesarios, pero pueden ser usados para instalar malware, como ocurre con MSHTA. Por eso hay que estar siempre alerta frente a comportamientos extraños de tu ordenador. Tienes más información técnica sobre esta investigación en la web de BitDefender.

Según investigación de ReliaQuest, los atacantes están aprovechando la confianza que los empleados depositan en herramientas internas como Teams para ejecutar técnicas de ingeniería social muy efectivas. En algunos casos, las redes pueden quedar comprometidas en menos de cinco minutos.

El ataque comienza con un mensaje enviado a través de Microsoft Teams desde cuentas externas que aparentan ser personal de soporte técnico o del departamento de TI. Los ciberdelincuentes intentan generar urgencia y confianza para convencer a la víctima de ejecutar un comando de PowerShell aparentemente legítimo.

Ese comando descarga posteriormente un archivo comprimido desde servicios como Dropbox, que contiene un entorno portátil de WinPython. A partir de ahí, se despliega el malware ModeloRAT, capaz de obtener control remoto del sistema, capturar pantallas, recopilar información del usuario y robar archivos sensibles.

Uno de los aspectos más peligrosos de esta campaña es la credibilidad del canal utilizado. Al tratarse de Microsoft Teams, una herramienta ampliamente utilizada en entornos corporativos, los mensajes maliciosos parecen más fiables, lo que facilita que los usuarios caigan en la trampa.

Los investigadores señalan además que los atacantes rotan entre múltiples entornos de Microsoft 365 para evitar ser bloqueados, y utilizan técnicas avanzadas como espacios Unicode ocultos para simular identidades internas de soporte técnico.

La versión más reciente de ModeloRAT incluye mecanismos de persistencia mejorados, con servidores de control redundantes, rutas aleatorias y sistemas de autoactualización. También puede mantenerse activo mediante tareas programadas, claves de registro y accesos automáticos al inicio del sistema, lo que dificulta su eliminación completa.

Microsoft ya ha trabajado en mejorar las protecciones contra phishing en Teams, pero este tipo de ataques demuestra que la plataforma sigue siendo un objetivo atractivo para los ciberdelincuentes debido a su uso masivo en empresas.

El hallazgo, atribuido a los expertos de Cisco Talos, revela que este ataque lleva activo al menos desde enero de 2026. El objetivo principal de los ciberdelincuentes es robar credenciales y códigos OTP (contraseñas de un solo uso), utilizados habitualmente en sistemas de verificación en dos pasos.

La clave del ataque está en un plugin malicioso llamado Pheno, integrado en el conocido troyano de acceso remoto CloudZ. Este componente es capaz de detectar si el usuario tiene activa la conexión de Enlace móvil entre su ordenador y su smartphone. A partir de ahí, accede a una base de datos local del sistema donde se almacenan mensajes y notificaciones sincronizadas.

Esto significa que los atacantes pueden leer SMS y códigos de autenticación directamente desde el PC, sin comprometer el dispositivo móvil. En otras palabras, el usuario puede tener su teléfono seguro, pero aun así ver comprometidos sus datos si su ordenador está infectado.

Además de esta función, CloudZ incluye capacidades avanzadas típicas de este tipo de malware. Puede gestionar archivos, ejecutar comandos remotos, grabar la pantalla e incluso instalar o eliminar módulos adicionales según las necesidades del atacante. También emplea técnicas para camuflar su tráfico como si fuera navegación web legítima, dificultando su detección.

El proceso de infección comienza, según los investigadores, mediante una falsa actualización de software que engaña al usuario. Tras su ejecución, se instala una cadena de cargas maliciosas que acaba desplegando el RAT en el sistema y garantizando su persistencia mediante tareas programadas. Además, incorpora mecanismos para evitar ser detectado en entornos de análisis o máquinas virtuales.

Los expertos recomiendan extremar las precauciones. Entre las medidas más importantes destacan evitar el uso de SMS como método de verificación cuando sea posible y optar por aplicaciones de autenticación más seguras.

Hugging Face es una plataforma donde desarrolladores e investigadores comparten herramientas de inteligencia artificial y modelos ya entrenados. Precisamente por eso, también se ha convertido en un objetivo para ataques en los que se suplantan proyectos legítimos con otros falsos.

Según investigadores de la empresa de ciberseguridad HiddenLayer, el repositorio fue detectado el 7 de mayo. Usaba un nombre muy parecido al original de OpenAI y copiaba casi todo el contenido descriptivo del proyecto real para parecer auténtico y engañar a los usuarios.

El archivo más peligroso del proyecto era uno que aparentaba ser parte de una herramienta de inteligencia artificial, pero en realidad ejecutaba acciones ocultas en el sistema. Entre ellas, descargaba instrucciones desde internet y las ejecutaba en segundo plano sin que el usuario lo viera.

Esas instrucciones terminaban instalando un programa malicioso más avanzado, capaz de desactivar protecciones del sistema y robar información del ordenador.

El malware estaba diseñado para recopilar datos sensibles como contraseñas guardadas en el navegador, cookies, sesiones abiertas, credenciales de Discord, carteras de criptomonedas, claves de acceso a servicios como SSH o VPN, y otros archivos personales. Incluso podía hacer capturas de pantalla del equipo infectado.

Toda la información robada se enviaba después a un servidor externo controlado por los atacantes. Además, el programa estaba preparado para ocultarse y evitar ser detectado, comprobando si se estaba ejecutando en máquinas virtuales o entornos de análisis.

No está claro cuántas personas resultaron afectadas, aunque los investigadores creen que muchas de las interacciones con el repositorio podrían haber sido automatizadas, lo que infló las cifras de popularidad.

Tras el descubrimiento, se encontraron otros repositorios relacionados que usaban el mismo sistema de ataque. Los expertos recomiendan a cualquier persona que lo haya descargado reinstalar el sistema, cambiar todas sus contraseñas y cerrar sesiones abiertas en sus cuentas.

El incidente fue descubierto después de que varios usuarios comenzaran a notar algo extraño al descargar el software. Uno de ellos publicó en Reddit que Windows SmartScreen mostraba alertas sospechosas y que el instalador aparecía firmado por una empresa desconocida en lugar del desarrollador legítimo. Poco después, el propio equipo de JDownloader confirmó públicamente que la web había sido comprometida.

Según explicaron los responsables del programa, los atacantes explotaron una vulnerabilidad de seguridad sin parchear que les permitió modificar los permisos internos del sitio web sin necesidad de autenticarse. Gracias a ello, pudieron cambiar los enlaces oficiales de descarga por archivos maliciosos preparados para infectar los equipos de las víctimas.

El ataque afectó especialmente a la página de descargas alternativas de Windows, donde todos los instaladores fueron sustituidos por ejecutables no firmados y potencialmente peligrosos. También se vio comprometido el instalador para Linux mediante código malicioso añadido al script original.

La parte positiva es que no todos los sistemas de distribución fueron afectados. El archivo principal, las versiones para macOS y los paquetes distribuidos mediante otras plataformas permanecieron intactos gracias al uso de infraestructuras separadas y sistemas de verificación mediante firmas digitales.

Algunos usuarios que ejecutaron los archivos infectados aseguran que el malware llegó incluso a desactivar automáticamente Windows Defender, lo que hace pensar en una amenaza especialmente agresiva.

Este tipo de ataques se están convirtiendo en una de las técnicas favoritas de los ciberdelincuentes, ya que aprovechan la confianza de los usuarios en programas muy conocidos.

Otra agravante, más allá del delito continuado contra la propiedad intelectual del que han sido acusadas estas tres personas, es que la mayor parte de la publicidad era contenido para adultos, y la página la visitaban menores de edad.

Durante la redada en el domicilio del principal acusado, la Policía Nacional ha encontrado dos pendrives USB ocultos dentro de un termómetro, con dos monederos fríos que contenían 400.000 euros en criptomonedas.

Piratería gratuita financiada con publicidad, un clásico

La investigación comenzó en junio de 2025, cuando Policía Nacional tuvo conocimiento de la existencia de esta plataforma online que ofrecía, de manera ilegal, el acceso a contenido manga.

La nota de prensa no da nombres, pero parece que se trata de TuMangaOnline / ZonaTMO. Era el mayor repositorio de manga online de habla hispana. Con millones de visitas mensuales y ejemplares de manga descargados cientos de miles de veces.

Los usuarios provenían de todo el mundo, pero la mayoría eran de España y países de Hispanoamérica, al tratarse de manga en español.

El portal era de acceso gratuito, y se financiaba a través de la publicidad. Los usuarios tenían que soportan constantes ventanas popup publicitarias mientras navegaban por la web o descargaban contenido pirateado.

Lo más grave es que, según la polícia, la mayoría de esta publicidad era contenido para adultos, y la web era visitada por muchos menores de edad. Gracias a estos anuncios publicitarios, recaudaron cuatro millones de euros en los diez años que llevan operando.

Como se puede ver en esta imagen, la Policia Nacional encontró dos pendrives USB escondidos dentro de un termómetro. En ellos había dos monederos en frío (no conectados a Internet) con 400.000 euros en criptomonedas:

Según la Policía Nacional, este portal de descargs de mangas ilegales ha generado un fuerte impacto económico y reputacional sobre el sector editorial, porque la piratería reduce las ventas, y con ello la inversión en creación, edición, traducción y distribución de contenidos.

Además, la saturación publicitaria del portal, la mayoria contenido para adultos, afectaba negativamente a la experiencia de los usuarios, contribuyendo al deterioro de la imagen de las obras difundidas.

Otro duro golpe para la piratería en España. Normalmente suele ser fútbol o películas, pero como vemos, el manga japonés, muy popular en nuestro país, también se piratea a nivel industrial.

Inditex ha confirmado el ciberataque en un comunicado publicado en la noche del miércoles. El grupo textil de Amancio Ortega ha sufrido un acceso no autorizado a sus bases de datos, las consecuencias podrían ser millonarias.

Inditex sufre un hackeo masivo

El grupo Inditex ha informado que el ciberataque ha afectado a la información alojada en servidores administrados por un proveedor externo. La compañía detrás de Zara y otras tiendas confirma que han trasladado el incidente a las “autoridades correspondientes”.

Inditex advierte que las bases de datos atacadas “contienen información de la relación comercial con clientes de diferentes mercados, pero en ningún caso datos tales como nombre y apellidos, teléfono, domicilio, contraseñas, tarjetas bancarias u otros medios de pago”.

Desde el gigante textil descartan que la información de los clientes esté comprometida. El grupo Inditex asegura que han aplicado “inmediatamente” sus protocolos de seguridad para minimizar los daños.

Una enorme brecha de seguridad

Inditex ha admitido que el ciberataque se ha producido debido a una brecha de seguridad, que “tiene su origen en un incidente sufrido por un antiguo proveedor tecnológico que ha afectado a diversas compañías con actividad internacional”.

El grupo de Amancio Ortega confirma que las operaciones y los sistemas de Inditex no han sufrido los daños con este nuevo hackeo. Los clientes pueden seguir accediendo a las tiendas online “y operando con total seguridad”, según la compañía en un comunicado con los medios.

Inditex tiene un comité de seguridad digital diseñado para proteger la información del grupo y sus operaciones online. El grupo textil incluso creó un comité asesor de ciberseguridad en 2023.

El gigante de la moda español ha identificado 66 amenazas de seguridad durante 2025, todas ellas sin un impacto reseñable hasta la fecha. Mango detectó un acceso no autorizado a ciertos datos personales de los clientes el pasado mes de octubre muy similar.

Los servicios de gestión externos se han convertido en la puerta de entrada para los ciberdelincuentes. El caso de Mango se produjo mediante un servicio de marketing externo que accedió a los datos personales utilizados en campañas publicitarias, el modus operandi del ataque del 15 de abril es casi idéntico.

El engaño se basa en una copia casi perfecta del sistema de actualización de Windows, lo que hace que muchas víctimas caigan sin sospechar. Las investigaciones han revelado que los atacantes utilizan una página web falsa que imita el aspecto oficial de Windows Update.

En ella, se invita al usuario a descargar una supuesta actualización crítica para Windows 11, presentada como un parche urgente de seguridad. El archivo descargado aparenta ser un instalador legítimo, lo que reduce las sospechas iniciales.

Sin embargo, una vez ejecutado, el archivo inicia un proceso complejo diseñado para evitar su detección. El instalador está construido con herramientas legítimas, lo que dificulta que los antivirus lo identifiquen como una amenaza en un primer momento.

A partir de ahí, se despliega una aplicación basada en tecnologías habituales en software legítimo, pero modificada para ocultar código malicioso. El objetivo principal de los ciberdelincuentes es el robo de información sensible.

El malware está diseñado para extraer contraseñas almacenadas en el sistema, datos de pago y credenciales de acceso a servicios online. Además, puede modificarse para mantenerse activo tras reinicios del sistema, integrándose en procesos de inicio automático de Windows.

Esto le permite seguir operando en segundo plano durante largos periodos sin ser detectado por el usuario.

Los expertos advierten de que este tipo de campañas se apoyan cada vez más en técnicas de ofuscación avanzadas y en el uso de software legítimo modificado, lo que complica su detección.

La recomendación principal es evitar descargar actualizaciones desde enlaces externos o páginas no oficiales. Windows Update debe utilizarse únicamente desde el propio sistema operativo o a través de fuentes verificadas de Microsoft.

Según ha explicado la propia compañía, el origen del problema se encuentra en una herramienta de desarrollo externa llamada Axios, implicada en un incidente más amplio que ha afectado a la industria. A pesar de ello, OpenAI ha querido transmitir calma asegurando que no hay indicios de filtración de datos ni de compromiso de sus sistemas.

En su comunicado oficial, la empresa detalla: “Recientemente identificamos un problema de seguridad relacionado con una herramienta de desarrollo de terceros, Axios, que formaba parte de un incidente más amplio ampliamente reportado en la industria. Por precaución, estamos tomando medidas para proteger el proceso que certifica que nuestras aplicaciones de macOS son legítimas de OpenAI. No hemos encontrado evidencia de que se haya accedido a datos de usuarios de OpenAI, de que nuestros sistemas o propiedad intelectual hayan sido comprometidos, ni de que nuestro software haya sido alterado”.

Como parte de esta respuesta, OpenAI está actualizando sus certificaciones de seguridad, lo que obliga a los usuarios a instalar las versiones más recientes de sus aplicaciones. El objetivo es evitar cualquier posible intento de distribuir versiones falsas que se hagan pasar por software oficial.

La compañía lo explica de forma clara: “Estamos actualizando nuestras certificaciones de seguridad, lo que requerirá que todos los usuarios de macOS actualicen sus aplicaciones de OpenAI a las últimas versiones”.

Además, la firma ha establecido una fecha límite del 8 de mayo, donde las versiones antiguas de estas aplicaciones podrían dejar de funcionar. Por ello, recomiendan a todos los usuarios comprobar que cuentan con la última actualización disponible cuanto antes.

Aunque el incidente no ha tenido consecuencias directas para los usuarios, este movimiento refleja una estrategia cada vez más común en el sector y es actuar con rapidez ante cualquier posible vulnerabilidad.

En concreto, los expertos han advertido de una campaña activa desde, al menos, diciembre. En ella, los atacantes están utilizando un exploit sofisticado que permite aprovechar un fallo desconocido, presente incluso en las versiones más recientes del programa.

Lo más preocupante de todo es que este ataque no requiere prácticamente interacción por parte del usuario. Basta con abrir el archivo PDF malicioso para que el exploit se active.

A partir de ese momento, los atacantes pueden acceder a información local del sistema y ejecutar acciones más avanzadas.

Entre las capacidades detectadas se encuentra el uso de funciones internas del propio Acrobat Reader para robar datos y preparar ataques adicionales. Esto podría derivar en escenarios más graves, como la ejecución remota de código o el control total del equipo comprometido.

Por su parte, Adobe ya ha sido informada del problema, pero aún no ha publicado una actualización que solucione esta vulnerabilidad.

Por ello, los expertos recomiendan evitar abrir archivos PDF procedentes de fuentes desconocidas o sospechosas hasta que se lance un parche oficial.

Los de Redmond tienen un enorme problema con una vulnerabilidad de día cero que otorga permiso total a los desarrolladores. “Ejecuta FunnyApp.exe y obtendrás permisos de administrador de Windows”, comenta el experto.

Un código malicioso para Windows

Windows está en el punto de mira tras la reciente filtración. El desarrollador confirma que esta situación podría haberse evitado fácilmente si Microsoft hubiera actuado de otra manera, aunque no explica los motivos que le han llevado a publicar este exploit.

“Ejecutar ese comando 'whoami' y ver SYSTEM es una experiencia diferente”, dijo uno de los usuarios de GitHub. El exploit aún funciona, pero 8 de los 72 proveedores de ciberseguridad de VirusTotal lo han marcado como malicioso.

Los ciberdelincuentes pueden recompilar variantes maliciosas gracias al código C de prueba de acceso público. Justin Elzem, director de tecnología de TrustedSEC, confirma que la vulnerabilidad afecta a Windows Defender, encargado de gestionar los permisos esenciales del sistema.

"Se trata de una condición de carrera TOCTOU (tiempo de comprobación a tiempo de uso) en el mecanismo de actualización de firmas de Windows Defender, un patrón clásico en el que un servicio privilegiado (WD ejecutándose como SYSTEM) sigue una ruta de archivo que un usuario con pocos permisos puede redirigir a mitad de la operación", según Elzem en X.

Un fallo de seguridad que podía evitarse

La vulnerabilidad de Windows Defenser se publicó por una nueva cuenta en GitHub, X y Blogger. El desarrollador aseguraba estar muy enfado con el gigante tecnológico: “Nunca quise reabrir un blog ni crear una nueva cuenta de GitHub para publicar código. Pero alguien violó nuestro acuerdo y me dejó sin nada”, comenta el usuario con nombre Deadeclipse666.

El creador de este expoit confirma que los de Redmond conocían las consecuencias. “Es su decisión, no la mía”, aseguraba en la publicación de Blogger. Todo apunta a que Microsoft podría haber evitado esta vulnerabilidad en su sistema operativo.

El desarrollador podría tener una relación previa con Microsoft dentro del programa de recompensas de detección de errores, pero el acuerdo se rompió por motivos que se desconocen.

Los de Redmond se defienden: “Microsoft tiene el compromiso con sus clientes de investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para protegerlos lo antes posible. Apoyamos la divulgación coordinada de vulnerabilidades, una práctica ampliamente adoptada en la industria que ayuda a garantizar que los problemas se investiguen y aborden cuidadosamente antes de su divulgación pública”, según un portavoz para Cybernews.

Claude Mythos Preview no solo ha encontrado “miles de vulnerabilidades críticas del Día Zero en todos los navegadores y sistemas operativos que existen”. Al contrario que sus predecesores, puede crear exploits para el 72% de todas ellas, en algunas categorías. Imagina esta IA en manos de ciberdelincuentes…

Por suerte, Anthropic es una de las pocas compañías de IA que se preocupa por la seguridad de la humanidad, y por eso Trump la ha declarado “compañía de alto riesgo”, su venganza porque Anthropic no le quiere dar su IA para la guerra. Por eso ha decidido no liberar Claude Mythos, y ha convocado a 50 compañías de software para corregir esas vulnerabilidades.

Nace Project Glasswing

Pese a que, de momento Claude Mythos Preview no será una IA pública, Anthropic teme que la competencia, con menos escrúpulos, libera un agente de IA similar. Por eso ha puesto en marcha Project Glasswing, una especie de concilio de compañías de software para ver cómo afrontan lo que ha descubierto el nuevo agente de IA que genera código.

Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Fundación Linux, Microsoft, Nvidia, y Palo Alto Networks ya están convocadas, y pronto se unirán 40 más. Compartirá con ellos las vulnerabilidades críticas que Claude Mythos ha encontrado, para corregirlas antes que una IA similar caiga en malas manos.

Lo que diferencia a Mythos de Claude Code, o Codex de OpenAI, es que estos agentes de código son bastante malos creando exploits para aprovechar las vulnerabilidades que encuentran. En cambio Mythos es capaz de convertir el 72,4 % de las vulnerabilidades que identifica en exploits exitosos dentro del entorno de JavaScript de Firefox. Además consigue el control de los registros en otro 11,6 % de los ataques intentados.

Según explica Anthropic en su blog, Mythos ha llegado a encadenar hasta cuatro vulnerabilidades diferentes para crear un exploit, algo que se considera “muy difícil” incluso para los hackers de elite.

Entre los ejemplos reales que ofrece, detalla una vulnerabilidad de hace 27 años en el sistema operativo OpenBSD que permite a un atacante bloquear un sistema con solo conectarse a él. También detalla una cadena de exploits en el núcleo de Linux que permitiría a un atacante obtener acceso root al sistema host. Es decir, controlarlo por completo.

Se habla mucho de una futura IA que cause el caos en todo el mundo, pero hasta ahora solo era teoría. Claude Mythos es un ejemplo real de que ya es posible. En manos de ciberdelincuentes o gobiernos extremistas, se podría crear malware que se cuele en todos los sistemas operativos y navegadores del mundo, para hackear, tumbar infraestructuras, o robar datos.

En concreto, la amenaza se ocultaba en más de 50 aplicaciones, que incluían limpiadores, galerías de imágenes y juegos. Todas estas apps ofrecían la funcionalidad prometida y no solicitaban permisos sospechosos, lo que facilitó su descarga masiva.

El malware intentaba obtener acceso root mediante la explotación de vulnerabilidades antiguas de Android. Investigadores de la empresa de ciberseguridad McAfee descubrieron la operación, aunque no pudieron vincularla a un actor de amenazas concreto. El proceso de infección era sofisticado, ya que los componentes maliciosos se escondían mezclados con clases legítimas del SDK de Facebook.

Además, una carga útil cifrada se ocultaba dentro de imágenes PNG mediante esteganografía. Esta se extraía en la memoria del sistema mientras eliminaba todos los archivos intermedios para borrar cualquier rastro.

McAfee detectó 22 exploits utilizados por NoVoice, incluidos errores de kernel y vulnerabilidades del controlador GPU Mali. Estos permitían a los atacantes obtener un acceso root, desactivar la seguridad SELinux y reemplazar librerías críticas del sistema.

El malware mantenía persistencia incluso tras un restablecimiento de fábrica, mediante scripts de recuperación, reemplazo del manejador de fallos del sistema y almacenamiento de cargas útiles en la partición del sistema. Durante la fase de post-explotación, NoVoice inyectaba código malicioso en todas las aplicaciones, centrando gran parte de sus ataques en WhatsApp.

El malware recopilaba bases de datos cifradas, claves del protocolo Signal y detalles de la cuenta, lo que permitía a los atacantes clonar sesiones de WhatsApp en otros dispositivos.

Google ha eliminado las aplicaciones maliciosas tras la notificación de McAfee. Sin embargo, los usuarios que las instalaron anteriormente deben considerar sus dispositivos comprometidos. Actualizar a versiones recientes de Android mitiga esta amenaza.

Axios, con más de 80 millones de descargas semanales, es clave para realizar peticiones HTTP tanto en el navegador como en entornos Node.js, lo que amplifica el alcance del incidente.

Investigadores de seguridad han detectado que versiones recientes del paquete fueron comprometidas por atacantes. Las versiones afectadas son axios@1.14.1 y axios@0.30.4, manipuladas mediante el acceso a las credenciales de uno de los principales mantenedores del proyecto.

A diferencia de otros ataques, el código principal de Axios no fue modificado. En su lugar, los atacantes añadieron una dependencia maliciosa oculta. Este paquete se ejecuta automáticamente durante la instalación mediante un script, que actúa como un dropper de troyano de acceso remoto (RAT) capaz de infectar sistemas Windows, macOS y Linux.

Una vez instalado, el malware se conecta a un servidor de Command and Control (C2) para recibir instrucciones adicionales. Para dificultar su detección, intenta eliminar sus propios rastros tras ejecutarse y emplea técnicas avanzadas de ofuscación, ocultando comandos y rutas críticas mediante un cifrado XOR que se descifra en tiempo de ejecución. Esto complica enormemente el análisis incluso para usuarios experimentados.

Ante esta situación, los expertos recomiendan actuar de inmediato:

Revertiendo a versiones seguras de Axios.

Eliminando la dependencia maliciosa y reinstalando paquetes para evitar la ejecución automática de scripts.

Rotando todas las credenciales que puedan haberse visto comprometidas.

Este incidente pone de relieve la fragilidad de la cadena de suministro en el desarrollo moderno y la importancia de mantener medidas de seguridad estrictas al gestionar dependencias de terceros.

En los datos analizados por la compañía especializada en ciberseguridad, desde octubre de 2024 hasta septiembre de 2025 se identificaron más de 133.753 intentos de ataques disfrazados de aplicaciones VPN en España.

Cifras que contrastan con la concienciación de la generación Z, que es una de las que más valora la privacidad y la seguridad; precisamente, por este motivo, son también un segmento que puede caer más en este tipo de contenido malicioso.

"La Generación Z puede ser consciente de la importancia de la privacidad, pero también es pragmática y a menudo está orientada por la conveniencia", explica Evgeny Kuskov, especialista en seguridad de Kaspersky. "Este comportamiento crea una oportunidad que los ciberdelincuentes explotan activamente".

En el mismo período, la investigación destaca la gran presencia de varias categorías de malware y software potencialmente no deseado, con el adware –un malware que muestra anuncios constantemente– en primera posición, con 284.261 casos registrados.

Seguido de los troyanos, con 234.283 detecciones, que son capaces de tomar el control remoto total del sistema comprometido, y de amenazas descargables, con 197.707 ejemplos de este último tipo, una puerta de entrada para descargas maliciosas.

Páginas maliciosas disfrazadas de VPN legítimas

A pesar de que la generación Z es una de las más concienciadas en privacidad y seguridad, existen páginas web maliciosas que se camuflan de servicios VPN legítimos, como los ejemplos mostrados por Kaspersky, concretamente de PrivadoVPN e IPVanish VPN.

Los atacantes crean sitios de phishing que imitan los portales de inicio de sesión de estos servicios y de otros, una gran amenaza si el usuario rellena el formulario con sus credenciales, ya que el suplantador podrá verlas.

Curiosamente, los ciberdelincuentes tienen muy fácil crear este tipo de páginas web fraudulentas, ya que se puede apreciar que son muy parecidas, por lo que se cree que utilizan kits de phishing para realizar un esfuerzo mínimo.

"Los atacantes pueden difundir versiones pirateadas de VPN premium y crear aplicaciones que imitan los nombres y diseños de marcas de privacidad conocidas", añade Kuskov. "Como resultado, jóvenes que creen estar reforzando su privacidad pueden, en realidad, estar entregando el acceso a sus dispositivos y a su información personal directamente a los atacantes".

Además, en el caso de introducir una contraseña usada para otro tipo de páginas, los atacantes podrían comprometer también las cuentas de estos servicios, un gran peligro para las suplantaciones de identidad.

Para prevenir este tipo de ataques, hay varias recomendaciones a tener en cuenta:

• Descargar VPN de sitios de confianza o desde las tiendas oficiales. Estas cuentan con controles de seguridad que pueden reducir el riesgo de infección.
• Evitar aplicaciones modificadas. Si se ofrecen funcionalidades premium de forma totalmente gratuita, desconfía.
• Revisar los permisos antes de la instalación. Aunque los servicios VPN requieren de numerosos permisos, el acceso a contactos o al micrófono no son habituales.

Sumado a todo esto, si quieres aprender sobre ciberseguridad jugando, en Kaspersky puedes encontrar el juego Case 404, dirigido especialmente a los usuarios de la generación Z.

A principios de este mismo año, el propio Durov mandó un mensaje a todos los usuarios de Telegram asegurando que las medidas regulatorias sobre redes sociales suponían básicamente un "estado de vigilancia".

En el pasado, la compañía también ha tenido que enfrentar otro tipo de demandas relacionadas con los derechos de autor y, en 2025, lideró el auge de las estafas en España, con un total del 22%, según datos de delitos financieros de Revolut.

Telegram ofrece conexión cifrada, pero esto y otras características favorecen que los ciberdelincuentes puedan crear mercados negros, grupos que parecen legítimos o cuentas para continuar sumando víctimas.

Una nueva investigación llevada a cabo por la firma de ciberseguridad Check Point Software ahora destaca que, aunque Telegram ha incrementado su lucha contra la ciberdelincuencia, la aplicación continúa siendo un activo crítico para la seguridad.

"Ignorar la actividad criminal en Telegram crea puntos ciegos críticos que los atacantes seguirán explotando", explican desde la firma. "Es necesario que los centros de operaciones de seguridad (SOC) consideren esta plataforma como un entorno crítico para la protección de marca y la detección temprana de amenazas".

Para entender cómo Telegram está intentando lucha contra este tipo de grupos, hay que destacar que los cierres diarios alcanzan una cifra récord de 500.000, mientras que anteriormente lo más normal eran unos 10.000.

Y, a pesar de que las cifras de cumplimiento de Telegram están en máximos históricos, el mismo informe de Check Point Software destaca que el 20% de canales bloqueados tenían algún tipo de vinculación con operaciones de carding, comercio de datos personales y servicios ilegales de hacking.

"Estos esfuerzos han aumentado la fricción operativa pero no han logrado erradicar la presencia de los ciberdelincuentes, quienes demuestran una capacidad de adaptación superior a la capacidad de reacción de las plataformas", aseguran desde la firma de seguridad..

En este sentido, solo durante los últimos 3 meses el equipo de gestión de exposiciones de la firma ha contabilizado unos 3 millones de enlaces de invitación a Telegram compartidos en entornos clandestinos.

En comparación, Discord ha representado menos del 6%, mientras que otras aplicaciones como Signal, SimpleX o Matrix apenas han registrado una actividad significativa.

"Telegram sigue siendo el centro neurálgico de los ciberdelincuentes, ya que, si la moderación estuviera desplazando realmente a estas comunidades, la migración a otras plataformas sería evidente. Y esto no está ocurriendo", concluyen.

Esto obliga a millones de personas a acudir a cajeros automáticos de forma frecuente, un contexto que ha favorecido la aparición de nuevas técnicas de fraude. Entre ellas destaca una que está ganando protagonismo en las últimas semanas: la conocida como estafa del “hilo invisible”. A diferencia de otros delitos, este engaño no requiere conocimientos avanzados de hackeo. Su eficacia reside en la sencillez y en la coordinación entre los estafadores.

El objetivo es hacerse con la tarjeta bancaria y el PIN sin que la víctima sospeche en un primer momento.

Todo comienza antes de que el usuario llegue al cajero. Los delincuentes manipulan la ranura de entrada de la tarjeta introduciendo un hilo de nylon prácticamente imperceptible. Este método permite que el cajero lea la tarjeta con normalidad, por lo que la operación parece desarrollarse sin problemas. Sin embargo, cuando llega el momento de devolverla, queda retenida.

Es entonces cuando entra en juego la segunda parte del engaño. Ante lo que parece un fallo técnico, una persona se acerca ofreciendo ayuda. Recomienda repetir la operación o introducir de nuevo el PIN con el objetivo de observar la clave, mientras el cajero sigue sin devolver la tarjeta.

El paso final llega cuando la víctima, convencida de que su tarjeta ha quedado bloqueada, decide marcharse para buscar asistencia. En ese momento, el estafador retira el hilo y recupera la tarjeta, ya con el PIN en su poder, lo que le permite retirar dinero sin obstáculos.

Para evitar caer en este tipo de fraude, conviene prestar atención a ciertos detalles antes de utilizar un cajero. Es recomendable revisar que la ranura de la tarjeta no presente anomalías, evitar dispositivos que ofrezcan resistencia y desconfiar de cualquier comportamiento extraño en el entorno. Si la tarjeta no entra con normalidad, es mejor no utilizar ese cajero.

También es fundamental cubrir el teclado al introducir el PIN y, siempre que sea posible, optar por el sistema contactless.

En caso de que la tarjeta quede retenida, no se debe abandonar el lugar. Lo más seguro es contactar directamente con la entidad bancaria o solicitar ayuda sin perder de vista el cajero. Actuar con rapidez puede evitar que el fraude se complete.

La agencia está pidiendo ahora que quienes hayan instalado alguno de estos títulos se pongan en contacto con los investigadores para ayudar en el proceso.

Según la información publicada por el FBI, la investigación se centra en juegos que estuvieron disponibles en Steam entre mayo de 2024 y enero de 2026.

Durante ese periodo, varios títulos fueron comprometidos e incluían software malicioso diseñado para robar información de los usuarios.

Entre los juegos identificados se encuentran BlockBlasters, Chemia, Dashverse, Lampy, Lunara, PirateFi y Tokenova.

Aunque ninguno de ellos pertenece a grandes franquicias, algunos ya habían sido noticia por incidentes relacionados con malware.

Uno de los casos más conocidos fue PirateFi, un juego gratuito que apareció en Steam el 6 de febrero de 2024.

Según diversos informes, el título incluía código malicioso destinado a robar credenciales de cuentas y otra información personal.

El juego fue retirado por Valve pocos días después de su publicación, aunque para entonces ya había sido descargado por cientos de usuarios.

En muchos casos, el malware consiguió robar contraseñas y cookies de sesión, lo que permitió a los atacantes acceder a cuentas de las víctimas.

Otro título que generó gran atención fue BlockBlasters, un juego de plataformas en 2D lanzado en julio de 2025. Un mes después, se añadió al juego un componente diseñado para robar criptomonedas de las víctimas.

Según investigaciones posteriores, el malware presente en el juego logró robar aproximadamente 150.000 dólares a varias cuentas afectadas.

El FBI explica que, por ley, debe identificar a las víctimas de los delitos federales que investiga, ya que podrían tener derecho a determinados servicios, compensaciones económicas o protección legal.

Aunque los juegos con malware son poco habituales en Steam, este caso demuestra que incluso en plataformas muy populares pueden producirse incidentes de seguridad.

Al igual que la huella dactilar es única para cada humano, al navegar por Internet también queda la denominada huella digital; es decir, el rastro que una persona va dejando en diferentes redes sociales, foros y otros rincones.

El OSINT es vital, por ejemplo, para localizar el rastro de delincuentes a nivel personal, colectivos detrás de estafas online o, directamente, en los procesos de contratación de alguna empresa, siempre y cuando tengan una persona especializada en este tema.

Lógicamente, las técnicas de OSINT tienen varios límites, tanto legales como éticos, por lo que no han de usarse sin un código moral ya establecido, y mucho menos para vulnerar los derechos de otros usuarios.

Por ejemplo, se pueden recopilar diferentes datos de fuentes abiertas para elaborar el perfil de un delincuente, aunque en ningún caso para la vulneración de contraseñas, ni siquiera con técnicas de ingeniería social.

Prácticamente todas las compañías importantes y profesionales especializados cuentan con varias técnicas OSINT que nunca fallan. Así puedes usarlas en caso de que las necesites.

OSINT legal y respetando un código ético

Una de las cuestiones a tener en cuenta para utilizar fuentes abiertas es que comprendas que no todo vale: si hay algún caso abierto, deberás además informar a las autoridades correspondientes, poniendo una denuncia con todas las pruebas.

Además, aunque puedas descubrir información relevante, el fin no justifica los medios, por lo que bajo ningún concepto se deben utilizar técnicas de phishing o publicar datos sensibles, como la ubicación, lo que se conoce como un doxeo.

Dicho esto, lo primero y más fiable consiste en revisar qué cuentas en redes sociales tienen un perfil público; en muchas ocasiones, aquí aparecen enlaces a otras plataformas o términos clave para continuar ampliando la búsqueda.

Las fotografías y publicaciones de una cuenta pública, por ejemplo, son indexadas por Google, con lo cual aparecerán con contenidos relacionados, una técnica conocida como Google dorking.

Precisamente, aquí puedes perfeccionar las búsquedas con términos clave que hayas descubierto, pero también con imágenes disponibles en las redes sociales, para realizar una búsqueda inversa –aunque el mejor para esto es Yandex–.

En el apartado de imágenes, la inteligencia artificial ha mejorado muchísimo para buscar algunas que lleven el mismo rostro, aunque también la posición mediante diferentes fotografías.

Esto es muy peligroso, así que como usuario deberías comprender que lo que subes a Internet de forma pública puede acabar en malas manos, con la posibilidad de localizar y triangular tu zona de residencia.

Es cierto que existen herramientas de código abierto disponibles para realizar una búsqueda OSINT, pero no en todos los casos sirven si existe alguna investigación en profundidad, por lo que tendrás que revisar muy bien los términos de uso.

En conclusión, lo principal a la hora de realizar este tipo de investigaciones consiste en no contactar con la persona sospechosa bajo ningún concepto, aportar todas las pruebas a las autoridades y mantener una observación pasiva.

Casi siempre una investigación de este tipo se centra en los errores de una persona que está siendo investigada, mediante fuentes abiertas, ya que la confianza en exceso es habitualmente el primer error en este tipo de situaciones.

Para entenderlo mejor, las vulnerabilidades zero-day son fallos de seguridad en programas o sistemas que los atacantes explotan antes de que el fabricante tenga conocimiento del problema o publique un parche para solucionarlo. Este tipo de errores es especialmente valioso para los ciberdelincuentes porque puede permitir el acceso inicial a sistemas, la ejecución remota de código o la escalada de privilegios.

Según el informe elaborado por el Google Threat Intelligence Group, de las 90 vulnerabilidades explotadas el año pasado, 47 afectaban a plataformas de usuario final, mientras que 43 estaban dirigidas a productos empresariales.

Entre los tipos de fallos detectados se encuentran vulnerabilidades de ejecución remota de código, errores de inyección, fallos de deserialización, saltos de autorización y problemas de corrupción de memoria.

Uno de los datos más llamativos es que los fallos relacionados con la seguridad de memoria representaron aproximadamente el 35 % de todas las vulnerabilidades zero-day explotadas el año pasado.

En el ámbito empresarial, los sistemas más atacados fueron dispositivos de seguridad, infraestructuras de red, plataformas de virtualización y servicios VPN. Estos sistemas suelen ser especialmente atractivos para los atacantes porque proporcionan acceso privilegiado a redes corporativas.

El informe también señala que los sistemas operativos fueron el objetivo más frecuente. Durante el año pasado se registraron ataques que explotaban 24 vulnerabilidades zero-day en sistemas de escritorio y otras 15 en plataformas móviles.

Curiosamente, las vulnerabilidades explotadas en navegadores web descendieron a solo ocho casos, una cifra considerablemente inferior a la registrada en años anteriores.

Entre los fabricantes más afectados destaca Microsoft, con 25 vulnerabilidades explotadas. Le siguen Google con 11 y Apple con 8.

Los investigadores también advierten que el uso de herramientas de inteligencia artificial podría acelerar el descubrimiento de vulnerabilidades y el desarrollo de exploits. Por ello, se espera que el número de ataques que aprovechan fallos zero-day continúe siendo elevado durante 2026.

La agencia ha lanzado una alerta ante el aumento de ataques físicos contra cajeros automáticos en Estados Unidos. Se trata de una técnica conocida como jackpotting, que permite forzar al cajero a dispensar dinero sin necesidad de tarjeta ni cuenta bancaria.

El procedimiento es relativamente sencillo. Los atacantes abren el compartimento de mantenimiento del cajero (en algunos casos utilizando llaves genéricas) y acceden al disco interno. Una vez dentro, instalan malware o sustituyen la unidad por otra previamente infectada.

Tras reiniciar el terminal, el código malicioso se ejecuta automáticamente y toma el control del sistema.

Una de las herramientas más utilizadas es Ploutus, un malware detectado hace años que sigue siendo efectivo gracias a su integración con la infraestructura de muchos cajeros.

En lugar de vulnerar redes bancarias o cortafuegos, este software explota directamente la capa conocida como eXtensions for Financial Services (XFS), que actúa como intermediaria entre el sistema operativo del cajero y los servidores de autorización del banco. Al enviar órdenes directamente a esta capa, el malware logra esquivar los controles legítimos y activar la dispensación de efectivo.

Las cifras del FBI son preocupantes. De unos 1.900 incidentes registrados desde 2020, alrededor de 700 se habrían producido solo el año pasado, con pérdidas que superan los 20 millones de dólares.

El problema no afecta a una marca concreta, ya que la mayoría de los cajeros comparten una arquitectura similar y muchos siguen funcionando con sistemas antiguos que ya no reciben parches de seguridad.

El FBI insiste en que la amenaza combina vulnerabilidades físicas y digitales. Entre las medidas recomendadas figuran la desactivación de puertos USB no utilizados, la supervisión de archivos ejecutables sospechosos, la sustitución de cerraduras genéricas por sistemas con teclado numérico y la instalación de alarmas que detecten manipulaciones.

Aunque la alerta se centra en Estados Unidos, esta técnica podría extenderse a cualquier país donde existan cajeros con configuraciones similares por lo que hay que tener cuidado y evitar cajeros que parezcan modificados.

Según la información enviada a los usuarios afectados, PayPal identificó el problema el 12 de diciembre de 2025. Tras una investigación interna, determinó que, debido a un cambio de código erróneo, información de carácter personal estuvo accesible a personas no autorizadas entre el 1 de julio y el 13 de diciembre de 2025.

Los datos potencialmente expuestos incluyen nombres completos, direcciones de correo electrónico, números de teléfono, direcciones comerciales, fechas de nacimiento y números de la Seguridad Social.

La compañía confirmó que revirtió el cambio de código responsable del incidente al día después de detectarlo, bloqueando cualquier acceso no autorizado. En las cartas enviadas a los clientes, PayPal subraya que la notificación no se ha retrasado por ninguna investigación de las autoridades.

Además, la empresa detectó transacciones no autorizadas en un número reducido de cuentas como consecuencia directa del incidente y ya ha emitido los reembolsos correspondientes.

Como medida preventiva, PayPal ofrece a los afectados dos años gratuitos de monitorización de crédito y servicios de restauración de identidad a través de Equifax, siempre que se registren antes del 30 de junio de 2026. También recomienda vigilar los informes crediticios y revisar la actividad de las cuentas para detectar posibles movimientos sospechosos.

La compañía ha restablecido las contraseñas de todas las cuentas afectadas, obligando a los usuarios a crear nuevas credenciales en el siguiente inicio de sesión. Asimismo, recuerda que nunca solicita contraseñas, códigos de un solo uso ni credenciales de autenticación por teléfono, SMS o correo electrónico, advirtiendo sobre posibles campañas de phishing que suelen seguir a la divulgación de brechas de datos.

Tras la publicación inicial del caso, un portavoz aclaró que los sistemas centrales de PayPal no fueron comprometidos y que el incidente afectó aproximadamente a 100 clientes. No obstante, la empresa sostiene que ante cualquier posible exposición de información está obligada a notificar a los usuarios implicados.

Los agentes han confirmado el pasado miércoles que un joven ha conseguido romper el sistema de pagos en internet. El ciberdelincuente se hospedaba en hoteles de lujo por un céntimo la noche ahorrándose miles de euros.

Una noche de hotel por un céntimo

La Policía Nacional confirma en un comunicado que el hacker seleccionaba "la opción de abono mediante una reconocida plataforma internacional de pago electrónico". El ciberataque se ha diseñado a medida.

El hacker alteraba el proceso de validación del pago consiguiendo que el sistema autorizara la operación tras introducir el importe mínimo de un céntimo". Esto le permitía alojarse en hoteles valorados en hasta 1.000 euros la noche.

Los agentes de la Policía Nacional han detenido al sospechoso "mientras estaba alojado en un lujoso hotel de Madrid, al que había provocado un perjuicio económico de más de 20.000 euros", expresan.

La estafa no tardó en encender todas las alarmas de los trabajadores de los hoteles afectados. Ningún fallo informático interno podría poner a la venta habituaciones de lujo por un céntimo, menos aún incluyendo servicios adicionales en el alojamiento.

Primer caso detectado en España de esta estafa

El presunto autor de un delito de estafa informática aprovechaba el tiempo de margen en procesar los pagos. El ingreso no es automático para las cadenas hoteleras, sino que en muchas ocasiones se produce cuando el cliente ha terminado su estancia, incluso tras consumir productos del minibar que luego no pagaba.

"La irregularidad no era detectada de forma inmediata, sino días después, cuando la plataforma de pago transfería a la empresa afectada el importe real abonado a un céntimo por reserva", confirma la Policía Nacional.

Las empresas hoteleras recibían una notificación de reserva en la que les informan que la operación se ha realizado correctamente por el importe íntegro de la estancia. La sorpresa era enorme cuando descubrían unos días más tarde que el pago realizado era de un solo céntimo.

La Policía Nacional ha confirmado que es "la primera vez que se detecta este modus operandi". Las agencias de reservas de viajes son el nuevo objetivo de los hackers en España.

El fallo, identificado como CVE-2026-2441, fue reportado por primera vez el 11 de febrero. Apenas dos días después, Google implementó la corrección. Se trata de un fallo de tipo use-after-free, lo que supone un riesgo significativo para los usuarios.

Un error de este tipo ocurre cuando el navegador intenta acceder a un segmento de memoria que ya ha sido liberado. Esto deja un espacio vacío que los atacantes pueden manipular para ejecutar código malicioso dentro de Chrome.

En este caso, la vulnerabilidad afecta al motor responsable del manejo de fuentes avanzadas en CSS. Esto permite a los atacantes crear páginas web diseñadas para explotar el fallo, sin necesidad de que el usuario haga clic en enlaces sospechosos o descargue archivos. Con solo cargar la página infectada, el código malicioso podría ejecutarse en la memoria del navegador.

Google ha confirmado que la vulnerabilidad ya se está explotando en la red, lo que significa que los atacantes la están utilizando activamente. Afortunadamente, el entorno de sandbox de Chrome limita el alcance del ataque, aunque podría exponer datos de navegación, permitir espionaje de pestañas abiertas o servir como punto de partida para ataques más avanzados.

El parche ya está disponible para Chrome en Windows, macOS y Linux, con un despliegue gradual a nivel mundial. Por lo general, Chrome se actualiza automáticamente, pero para estar completamente seguro, puedes actualizar manualmente siguiendo desde Ayuda y luego a Acerca de y buscar la última actualización. Una vez instalada, reinicia el navegador para asegurarte de que estás protegido.

Esta actualización subraya la importancia de mantener el navegador al día, ya que incluso vulnerabilidades críticas pueden ser explotadas sin interacción del usuario. Mantener Chrome actualizado sigue siendo una de las medidas más efectivas para proteger tu privacidad y seguridad en la navegación web.

La investigación ha sido realizada por la firma de seguridad LayerX, que bautizó la operación como AiFrame. Según los expertos, las 30 extensiones analizadas forman parte de la misma infraestructura maliciosa, ya que todas se comunican con servidores bajo un único dominio.

Algunas de estas extensiones llegaron a acumular decenas de miles de descargas en la tienda oficial. La más popular se llamaba Gemini AI Sidebar y alcanzó los 80.000 usuarios antes de ser retirada.

Otras incluían AI Sidebar con 70.000 usuarios, AI Assistant con 60.000 y ChatGPT Translate con 30.000 instalaciones, entre otras.

El equipo de investigadores detectó que todas presentaban una lógica JavaScript prácticamente idéntica, los mismos permisos y una infraestructura backend común.

En lugar de ejecutar funciones de IA de forma local, estas extensiones cargaban un iframe a pantalla completa desde un dominio remoto para simular la funcionalidad prometida. Esto permitía a los operadores modificar el comportamiento sin necesidad de publicar actualizaciones, evitando así nuevos procesos de revisión.

En segundo plano, los complementos extraían contenido de las páginas visitadas, incluidas páginas de autenticación sensibles. Un subconjunto de 15 extensiones apuntaba específicamente a Gmail, ejecutando scripts que se activaban al cargar el servicio de correo. Estos leían directamente el contenido visible de los mensajes desde el DOM y podían capturar incluso borradores.

Cuando el usuario activaba funciones como respuestas o resúmenes asistidos por IA, el texto del correo era enviado a servidores controlados por los atacantes, fuera del perímetro de seguridad de Gmail.

Además, algunas extensiones incorporaban reconocimiento de voz con capacidad para transcribir audio y remitirlo remotamente.

Los expertos recomiendan revisar la lista de indicadores de compromiso publicada por LayerX y, en caso de sospecha, eliminar las extensiones afectadas y restablecer las contraseñas de todas las cuentas.

El Instituto Nacional de Ciberseguridad (Incibe) ha publicado los datos anuales de ciberdelincuencia en España. Los resultados para 2025 son alarmantes, aunque muestran una tendencia que se repite.

Hasta un 34% más de ciberataques

Las estafas online y hackeos han subido un 26% en España a lo largo de 2025, aunque la banca online ha sido el objetivo preferido de los delincuentes. Los ciberataques suben un 34% para aplicaciones y webs de bancos.

El último informe anual del Instituto Nacional de Ciberseguridad apunta que las autoridades han intervenido en 122.223 ataques online durante 2025. Las amenazas crecen en España respecto a los años anteriores.

Este aumento de las amenazas online crece en paralelo con el auge de la ciberseguridad entre entidades bancarias en el mercado español, es una cuestión de causa y efecto. El Observatorio Sectorial DBK señala que el sector facturó 2.500 millones de euros en 2024.

Los bancos, organismos públicos y empresas han invertido un 14% en 2025 y se espera que siga ese ritmo a lo largo de 2026. Si se mantienen estas expectativas, la industria podría invertir cerca de 3.000 millones de euros para protegerse de ciberataques.

La banca, el transporte y la energía concentran las ciberestafas

El Incibe ha detectado 401 ataques el año pasado en empresas de sectores clave como banca, transportes, energía, mercados financieros, aseguradoras y fondos de pensiones. El reciente hackeo masivo a Endesa es solo el comienzo.

La banca concentra el 34% de los crímenes online, le siguen el transporte con un 14% de los hackeos y la energía con un 8%. Las empresas han comprendido que la protección es más importante que nunca, los ciberdelincuentes pueden acceder a los datos de clientes y trabajadores en cuestión de segundos.

Los delincuentes apuestan por técnicas conocidas como la infección mediante un malware en un 45% de los casos, un total de 55.411 incidentes. Solo 392 de ellos consiguieron secuestrar los dispositivos.

La estrategia es similar en la mayoría de los casos. Primero infectan móviles y ordenadores, luego bloquean el acceso a los archivos o sistemas y exigen una cantidad de dinero a sus propietarios para devolvérselos.

El phishing también ha llegado para quedarse aumentando un 19% respecto a 2024 con 45.445 incidentes. Los correos electrónicos falsos que se hacen pasar por bancos, operadoras de telefonía o la DGT se multiplican en España, es una amenaza que ya convive entre nosotros.

Los estafadores copian los dominios de las páginas legales, desde bancos hasta la DGT a la Agencia Tributaria o el propio Google. Los ciberdelincuentes tan solo deben sustituir una letra por otra similar como una “L” en minúscula que se asemeja a una “I” mayúscula, o bien una “O” por el número “0”.

Cuidado con los dominios en internet

Las páginas web que duplican los estafadores son cada vez más realistas, así que el dominio puede ser la clave para comprobar si es fiable. “Cuidado con este tipo de ataques porque aparentemente estos dominios pareces iguales y legítimos”, advierte Jaime Gómez.

Una vez dentro de la página ilegal, los estafadores pueden acceder a todos los datos de los usuarios. Si han duplicado la web de Amazon o una tienda online, solo tendrán que añadir un formulario para rellenar los datos de la entrega de un supuesto pedido y reenviarte a una plataforma de pago falsa.

Las estafas mediante phishing son unas de las más populares en España. Los estafadores las distribuyen masivamente mediante correos con multas falsas de tráfico que debes abonar o un supuesto acceso desconocido a la aplicación del banco.

Este tipo de estafas suelen tener un patrón común. Los ciberdelincuentes envían un enlace desde el que se puede solucionar el incidente, explican cómo hacerlo paso a paso y tienden a jugar con la urgencia para que el usuario baje la guardia.

Ataques homógrafos muy letales

Jaime Gómez ha explicado en un vídeo publicado en su cuenta de TikTok que es extremadamente fácil detectar estos fraudes. “Los hackers usan ataques homógrafos: cambian letras por símbolos casi idénticos para engañarte”, afirma.

Los usuarios solo tendrán que comprobar que el dominio ubicado en la parte superior de la pantalla es legítimo. Para ello deben revisar que los símbolos corresponden con el enlace oficial y no emplean letras extrañas.

“Si pinchas el primer enlace, te llevará a Google. Pero si pinchas en el otro, probablemente te lleve a una página que será una estafa. Eso pasa porque una de las ‘o’ de Google no es una ‘o’ normal, es decir, no es una ‘o’ del alfabeto latino, sino que es una ‘o’ del alfabeto cirílico. Por lo que son dos letras diferentes y los delincuentes se aprovechan de esto para estafar a sus víctimas”, advierte el experto en privacidad.

Gómez recomienda escribir las URL a mano en el buscador si fuese necesario. Además, los dominios se pueden verificar copiándolos en cualquier herramienta de texto y escribiendo uno nuevo de forma manual. Si no coincide con el que has escrito, es una estafa.

Otra alternativa es seleccionar el dominio y utilizar herramientas de Word y otros editores de texto como el botón de cambio de letras a mayúsculas automáticamente, no habrá dudas entre letras conflictivas como la “O”, “I” o “L”.

La propuesta pasa por la creación de una nueva numeración específica que permitirá a los usuarios saber desde el primer momento si la llamada que reciben tiene fines comerciales.

La base de esta iniciativa se remonta al 7 de junio de 2025, cuando entró en vigor la prohibición de realizar llamadas comerciales desde números móviles. Desde entonces, las empresas solo pueden contactar con los clientes a través de numeraciones de atención al cliente, como los prefijos +800 y +900, o mediante números fijos y teléfonos especiales claramente identificables.

Esta decisión supuso un primer filtro frente a las estafas telefónicas, aunque no resolvió por completo el problema. La normativa anterior no acabó del todo con las llamadas comerciales legítimas que, sin ser fraudulentas, seguían generando un importante rechazo entre los usuarios.

Para dar respuesta a esta situación, el Ministerio para la Transformación Digital y de la Función Pública ha planteado la creación del nuevo prefijo +400, destinado de forma exclusiva a las llamadas comerciales.

El objetivo de esta numeración es que cualquier persona pueda identificar de un vistazo que se trata de una llamada con fines publicitarios o de venta y decidir libremente si desea contestar o no.

Esta medida se enmarca en el desarrollo de la Ley de Servicios de Atención a la Clientela, aprobada el pasado mes de diciembre, cuyo propósito es reforzar la protección de los usuarios frente a comunicaciones comerciales no deseadas.

Los nuevos números +400 serán bidireccionales, lo que significa que permitirán tanto recibir como realizar llamadas, y su coste no podrá superar el de una llamada convencional.

Además, la nueva ley introduce cambios relevantes en materia de consentimiento, ya que las empresas estarán obligadas a renovarlo cada dos años para poder seguir realizando llamadas comerciales.

Cuando esta numeración esté plenamente operativa, los operadores bloquearán las llamadas comerciales o de atención al cliente realizadas desde prefijos no autorizados.

Según la empresa de ciberseguridad Check Point, este actor malicioso está explotando el fallo CVE-2025-8088, una vulnerabilidad que permite escribir archivos maliciosos en ubicaciones arbitrarias del sistema Windows mediante el abuso de la función Alternate Data Streams.

Al parecer, desde mediados del año pasado este fallo ha sido utilizado como zero-day por múltiples actores para lograr persistencia, principalmente colocando malware en la carpeta de inicio del sistema. Una de las características más llamativas de estas campañas es que los atacantes combinan herramientas legítimas con un cargador personalizado, conocido como Amaranth Loader, que descarga cargas útiles cifradas desde servidores de mando y control ocultos tras infraestructura de Cloudflare.

Este enfoque les permite filtrar conexiones mediante geovallado, aceptando únicamente el tráfico procedente de las regiones objetivo, lo que incrementa el sigilo y la eficacia de los ataques.

Los investigadores también han detectado una nueva herramienta de acceso remoto que utiliza bots de Telegram como canal de comunicación. Este malware permite realizar capturas de pantalla, transferir archivos y aplicar técnicas avanzadas de evasión frente a antivirus y soluciones de seguridad.

Los expertos recomiendan actualizar WinRAR a la versión 7.13 o superior lo antes posible. Google y otros equipos de inteligencia de amenazas confirman que esta vulnerabilidad sigue siendo explotada activamente, por lo que la actualización se considera una medida crítica de seguridad.

Se trata del conocido como timo 419, o “carta nigeriana”, un fraude clásico que en los últimos meses ha experimentado un repunte en el número de víctimas, sobre todo a través de WhatsApp.

La Guardia Civil recuerda que las ciberamenazas no siempre se presentan de forma sofisticada o difícil de detectar. De hecho, muchos de los engaños más efectivos son aquellos que se repiten una y otra vez.

Uno de los principales motivos por los que estos timos siguen funcionando es la falsa sensación de seguridad de los usuarios. Existe la creencia de que los estafadores envían mensajes al azar sin saber quién está al otro lado. La Guardia Civil insiste en que cualquier persona puede convertirse en víctima, y que los estafadores suelen recopilar información previa para hacer más creíble el engaño.

Actualmente, el timo 419 llega principalmente por WhatsApp, aunque también puede aparecer por SMS, correo electrónico e incluso cartas tradicionales.

En este fraude, la víctima es contactada por alguien que se presenta como abogado, asesor legal o intermediario. Esta persona comunica la existencia de una herencia multimillonaria de un familiar desconocido, o bien una donación de alguien gravemente enfermo que desea entregar su fortuna.

El fraude se activa cuando se solicita un primer pago para liberar el dinero, usualmente justificado como gastos administrativos, impuestos o costes de gestión. Una vez realizado ese pago, comienzan nuevas solicitudes económicas encadenadas, que pueden derivar en pérdidas de miles de euros antes de que la víctima sea consciente del engaño.

La Guardia Civil subraya que la clave para evitar esta estafa es la desconfianza. Así que cualquier comunicación que ofrezca grandes sumas de dinero a cambio de un pago previo debe considerarse una estafa.

La operación internacional “Switch Off” de la policía italiana, Europol, Eurojusticia e Interpol ha concluido con el cierre de tres servicios IPTV pirata y la detención de 31 personas en Italia, Reino Unido, España, Kosovo, India, Canadá, Emiratos Árabes, y otros.

“La investigación arrojó pruebas de culpabilidad contra los 31 miembros de un grupo delictivo organizado transnacional, acusados de transmitir programación televisiva, acceso no autorizado a un sistema informático, fraude informático, registro ficticio de activos y lavado de dinero”, indica el comunicado de la policía.

Operación contra las IPTV a escala mundial

“La actividad permitió desmantelar una infraestructura IPTV que prestaba servicios ilegales a millones de usuarios finales, tanto a nivel nacional como internacional”, continúa.

Los tres servicios IPTV piratas cerrados son IPTVItalia, migliorIPTV, y DarkTV, según ha podido saber Bleeping Computer.

Estas listas IPTV ilegales ofrecían contenido pirateado de Sky, DAZN, Mediaset, Amazon Prime, Netflix, Paramount, y Disney+ a millones de potenciales usuarios, mediante una suscripción que se paga con criptomonedas o a través de más de 250 revendedores. Operaban en 14 países, pero solo en Italia tenían 100.000 suscriptores.

Se han capturado también seis servidores en Rumanía y uno en África, desde donde retransmitían este contenido ilegal.

“La investigación descubrió una organización criminal estructurada y jerárquica que operaba a escala industrial, distribuyendo televisión de pago y contenidos bajo demanda no autorizados a millones de usuarios y generando millones de euros en ingresos ilícitos cada mes», explica la Alianza para la Creatividad y el Entretenimiento (ACE), en otro comunicado.

En los últimos años, la piratería de series y películas ha pasado de los ficheros Torrent al streaming IP llevado a cabo desde listas IPTV ilegales, que cobran una suscripción y a cambio ofrecen todas las plataformas.

Así debería ser la lucha contra la piratería: la policía deteniendo a los ciberdelicuentes, en lugar de cortar direcciones IP que acaban afectando a usuarios inocentes.

Según explican los informes, la red estaba gestionada por Ipidea, una firma que permitía a actores maliciosos redirigir su tráfico a través de dispositivos ajenos. De este modo, las actividades realizadas en la red parecían originarse desde el móvil o dispositivo de un usuario común, ocultando la identidad real de quienes las ejecutaban.

Según The Wall Street Journal, los propietarios de los dispositivos no eran conscientes de estar participando en este sistema. La mayoría de las personas acababan formando parte de la red tras instalar aplicaciones gratuitas, juegos o programas de escritorio que incluían de forma oculta código de proxy. Una vez instaladas, terceros podían utilizar la dirección IP del dispositivo para enmascarar actividades potencialmente ilegales o delictivas.

Google advierte que este sistema suponía un riesgo significativo tanto para la privacidad de los usuarios como para la seguridad general de Internet. La compañía ha confirmado que aproximadamente 9 millones de dispositivos Android han sido desconectados de la red tras la intervención. Además, Google ha eliminado cientos de aplicaciones relacionadas y ha bloqueado la instalación futura de aquellas que integren los kits de desarrollo de Ipidea.

Cabe aclarar que Play Protect, el sistema de seguridad integrado en Android, alerta automáticamente a los usuarios cuando detecta aplicaciones que incorporan estos componentes y procede a su eliminación.

El caso adquiere mayor gravedad si se tiene en cuenta que el año pasado investigadores descubrieron una vulnerabilidad que afectaba a millones de dispositivos conectados a esta red. Pese al desmantelamiento, Google y expertos en seguridad recomiendan extremar la precaución, evitar aplicaciones de origen desconocido y revisar periódicamente los permisos y el software instalado en los dispositivos.

El fallo, reportado hace unas semanas por Google Project Zero, fue expuesto públicamente después de que Meta no cumpliera con el plazo habitual de 90 días para aplicar una corrección completa.

El error permitía a los atacantes añadir a sus objetivos a grupos de WhatsApp de una forma específica y enviarles archivos multimedia que se descargaban automáticamente en la base de datos del dispositivo. Si el contenido malicioso estaba diseñado de manera sofisticada, podría desencadenar operaciones dañinas dentro del sistema.

La gravedad de la vulnerabilidad residía en que el ataque podía realizarse sin ninguna interacción por parte de la persona afectada. Este vector de ataque resultaba especialmente preocupante, ya que abría la puerta a explotaciones silenciosas y difíciles de detectar.

Google notificó el fallo a Meta en septiembre de 2025, otorgándole el plazo estándar de 90 días para resolverlo. Sin embargo, Meta solo implementó una corrección parcial en noviembre, lo que llevó al equipo de seguridad de Google a hacer pública la vulnerabilidad, conforme a sus políticas.

Tras la exposición pública del problema, Meta finalmente tomó medidas serias para resolver de manera completa el error reportado.

Por el momento, no se han hecho públicos los detalles técnicos del parche ni de las variantes detectadas. Afortunadamente, la vulnerabilidad ya figura como completamente resuelta.

Utilizando únicamente instrucciones de lenguaje natural, los investigadores lograron engañar a Gemini para filtrar datos privados del calendario mediante la creación de eventos manipulados.

El ataque sigue un proceso conocido como prompt injection. En el mismo los atacantes envían al usuario una invitación de Calendar con la descripción preparada como un conjunto de instrucciones que el asistente ejecuta automáticamente.

Así, cuando la víctima consulta su calendario, Gemini ejecuta las instrucciones incrustadas, creando un nuevo evento con un resumen de las reuniones del día, incluyendo información privada en su descripción. De este modo, los datos confidenciales pueden quedar visibles para otros participantes del evento o incluso para el atacante externo.

Gemini está diseñado para ser útil, ya que puede resumir reuniones, redactar correos y gestionar eventos automáticamente. Sin embargo, esta capacidad de interpretar lenguaje natural también representa un riesgo.

Los investigadores de Miggo Security demostraron que, controlando el campo de descripción de un evento, se pueden introducir instrucciones que el asistente sigue sin cuestionarlas, aunque esto genere un resultado perjudicial.

Lo que sorprende es que los sistemas de seguridad actuales de Google, diseñados para detectar prompts peligrosos, fueron eludidos porque las instrucciones parecían inofensivas. Esto evidencia que la seguridad basada únicamente en análisis sintáctico no es suficiente frente a ataques que dependen del contexto y la interpretación semántica del lenguaje.

Google ha recibido los hallazgos del equipo de ciberseguridad e implementado mitigaciones adicionales para prevenir que este tipo de ataque vuelva a ocurrir.

Este caso subraya la necesidad de que la seguridad de las aplicaciones evolucione hacia defensas contextuales, capaces de comprender la intención detrás de las instrucciones y no solo su sintaxis.

Lo llamativo del caso es que no se produjo una brecha directa en estas plataformas. La investigación apunta a una base de datos mal protegida que almacenaba más de 96 GB de información sensible y que se encontraba accesible sin ningún tipo de seguridad.

En su interior se incluían millones de combinaciones de correos electrónicos y contraseñas, acompañadas de referencias claras a los servicios a los que permitían acceder. El hallazgo fue realizado por el investigador de ciberseguridad Jeremiah Fowler, quien localizó el servidor completamente expuesto en internet.

El origen de estos datos no se encuentra en un único ataque, sino en la acumulación masiva de credenciales robadas durante años mediante malware especializado. Este tipo de software malicioso no busca permanecer oculto durante largos periodos de tiempo, sino actuar con rapidez: registrar pulsaciones de teclado, extraer contraseñas guardadas y recopilar información personal para enviarla a servidores controlados por ciberdelincuentes.

Según el análisis de los datos, Gmail concentra el mayor volumen de accesos filtrados, con unos 48 millones de registros, seguido de Facebook, con 17 millones, e Instagram, con 6,5 millones. También aparecen otros servicios como Yahoo, Netflix, Outlook o TikTok, así como plataformas financieras y de suscripción.

El principal riesgo no es solo la existencia de estas contraseñas expuestas, sino que muchas personas reutilizan las mismas credenciales en varios servicios. Esto facilita ataques automatizados en los que los delincuentes prueban la misma combinación de usuario y contraseña en múltiples plataformas hasta lograr acceder a una cuenta.

Tras descubrir la base de datos, se intentó identificar a su propietario sin éxito, por lo que el caso fue comunicado directamente al proveedor de alojamiento. Finalmente, el acceso fue bloqueado, aunque durante ese periodo el volumen de registros llegó a aumentar.

Los expertos recomiendan aprovechar incidentes como este para revisar la seguridad digital, cambiar contraseñas antiguas, usar una distinta para cada servicio y apoyarse en gestores de contraseñas para una mejor protección.

A diferencia de los troyanos tradicionales, esta amenaza emplea modelos de aprendizaje automático para analizar visualmente los anuncios y simular interacciones humanas reales.

Así lo han señalado investigadores de la empresa de seguridad Dr.Web, que han identificado esta nueva familia de troyanos diseñada para hacer clic de forma automática en anuncios cargados dentro de navegadores ocultos.

Para ello, los atacantes utilizan una biblioteca de código abierto que permite ejecutar modelos de inteligencia artificial directamente en entornos JavaScript, incluidos los navegadores web.

Este malware destaca por su elevado nivel de sofisticación, ya que, en lugar de interactuar con el código de las páginas web como hacen muchos sistemas de fraude publicitario, toma capturas de pantalla del contenido cargado y las analiza mediante un modelo de IA entrenado para reconocer elementos publicitarios relevantes.

Una vez identificados, el sistema reproduce toques y desplazamientos que imitan el comportamiento normal de un usuario.

Según los investigadores, el malware se distribuye a través de varios canales, incluido GetApps, la tienda oficial de aplicaciones de Xiaomi. Los desarrolladores maliciosos suben inicialmente aplicaciones legítimas, en su mayoría videojuegos, y añaden la carga maliciosa más adelante mediante actualizaciones.

Entre los títulos detectados se encuentran Theft Auto Mafia, Cute Pet House y Amazing Unicorn Party, que acumulan decenas de miles de descargas.

El troyano puede operar en un modo denominado “phantom”, que utiliza un navegador integrado basado en WebView ejecutándose en una pantalla virtual invisible para el usuario.

En este entorno oculto se cargan páginas web con anuncios y se ejecutan modelos de inteligencia artificial descargados desde servidores remotos.

Además, los investigadores han detectado un segundo modo capaz de transmitir en tiempo real el contenido del navegador oculto a los atacantes, permitiéndoles controlar manualmente la interacción con los anuncios, incluyendo pulsaciones y desplazamientos.

La amenaza no se limita a tiendas oficiales, ya que también se propaga mediante archivos APK distribuidos en plataformas de terceros, canales de Telegram y servidores de Discord.

Aunque este tipo de fraude no implica el robo directo de datos personales, sí tiene consecuencias para los usuarios, como un mayor consumo de batería, incremento del uso de datos móviles y un desgaste prematuro del dispositivo.

ACTUALIZACIÓN:

A raíz de este artículo, Xiaomi se ha puesto en contacto con Computer Hoy para ofrecer este comunicado al respecto:

"Xiaomi ha tenido conocimiento de informes sobre ciertas aplicaciones maliciosas. Esto no fue una acción de Xiaomi, y no toleramos comportamientos maliciosos o engañosos en nuestras plataformas. Al darse cuenta del problema, Xiaomi inició inmediatamente una investigación interna y eliminó las aplicaciones mencionadas, junto con todas las aplicaciones publicadas por el desarrollador asociado. La seguridad del usuario sigue siendo nuestra principal prioridad, y Xiaomi se toma muy en serio las aplicaciones maliciosas. Reforzamos continuamente nuestros mecanismos de revisión y supervisión para prevenir problemas similares y proteger a nuestros usuarios".

Entre todos estos mensajes fraudulentos, muchos se hacen pasar por empresas tecnológicas conocidas, y una de las más frecuentes es Microsoft.

Según un estudio de Check Point, el 22 % de todos los intentos de phishing de marcas en 2025 se centraron en esta compañía.

No es sorprendente dado que empresas como Microsoft, Google, Amazon o Apple acumulan grandes cantidades de datos personales y financieros, lo que las convierte en un objetivo muy atractivo para los ciberdelincuentes.

Los ataques de phishing utilizan métodos cada vez más sofisticados para engañar a los usuarios. Entre las técnicas más comunes se encuentran los llamados lookalike domains, dominios casi idénticos a los originales, y la creación de flujos de interacción que imitan de manera casi perfecta la experiencia legítima del usuario.

No solo Microsoft es víctima de este tipo de fraude; otras marcas muy conocidas, como Google, Amazon o Apple, también están entre las más imitadas por los atacantes.

Check Point destaca que estos ataques aprovechan la confianza y familiaridad de los usuarios con las marcas.

Los ciberdelincuentes utilizan imágenes muy cuidadas, manipulación sutil de los dominios y flujos de varios pasos que dificultan la detección del fraude.

Por ello, es fundamental que los usuarios revisen con atención la dirección real de los correos, eviten hacer clic en enlaces marcados como urgentes o que exijan acciones inmediatas, y activen métodos de autenticación multifactorial siempre que sea posible.

También conviene estar atentos a caracteres sospechosos en las URLs y nunca responder a correos que utilicen lenguaje agresivo o presionen para obtener información.

Con estas precauciones, los usuarios pueden reducir significativamente el riesgo de ser víctimas de ataques de phishing, aunque la vigilancia constante sigue siendo esencial.

Cualquier electrodoméstico inteligente puede poner en riesgo la privacidad de los usuarios, también aparatos que se pueden conectar a internet como altavoces inteligentes, asistentes de voz, bombillas o enchufes WiFi.

Récord de hackeos a electrodomésticos

Un estudio elaborado por CDMON ha confirmado una tendencia alarmante de la que han alertado los expertos en los últimos meses. Los ciberataques a electrodomésticos y objetos inteligentes se han triplicado en 2025 en comparación con el mismo periodo del año anterior.

Las cifras empiezan a ser alarmantes con una media de 29 ciberataques al día en todo el mundo. Sergio García, experto en ciberseguridad, explica en una entrevista para Informativos Telecinco que ningún electrodoméstico con WiFi está a salvo.

García ha enumerado una larga lista de objetos con conexión que son vulnerables: “Bombillas, enchufes, interruptores, termostatos, cámaras de vigilancia... incluso aspiradores tipo roomba o lavadoras y frigoríficos que tengan acceso a internet”.

El experto en seguridad incluso ha advertido que las Smart TV o altavoces inteligentes como Google Nest o Amazon Alexa son el objetivo perfecto de los hackers. Los usuarios suelen utilizar contraseñas débiles o compartirlas con otras cuentas asociadas, incluso utilizar una clave débil para el propio router WiFi.

El hackeo más simple y letal

Los ciberdelincuentes son conscientes de que pocos usuarios cambian la contraseña del router tras la instalación, tampoco actualizan dispositivos tan simples como una aspiradora o un altavoz inteligente. “No se trata del dispositivo como tal, sino a lo que se accede gracias a él”, explica García.

Los hackers tienen una puerta abierta controlando primero el propio dispositivo, desde allí pueden acceder a la red de internet del hogar. El experto explica que es un efecto en cadena perfecto: “En este punto se puede hacer un escaneo de la red y capturar nuestro tráfico, interceptando todos nuestros datos”.

Un simple ciberataque a través de una lavadora, un microondas con WiFi o una bombilla inteligente puede poner en riesgo una cuenta de Gmail, Amazon o Google. Estas plataformas almacenan datos sensibles de los usuarios y a su vez están vinculadas a una forma de pago.

El experto recomienda cambiar la contraseña que viene por defecto en el router WiFi por una que sea única y robusta. Sergio García aconseja utilizar claves largas con símbolos, números y letras mayúsculas, usar el estándar de conexión WPA2/WPA3 en lugar del antiguo WEP y activar un firewall que bloquee accesos en remoto.

A diferencia de los intentos convencionales de phishing, estas amenazas son concretas, dirigidas y complejas. Los atacantes aprovechan vulnerabilidades de tipo “cero clic”, lo que significa que un iPhone puede verse comprometido sin que el usuario haga clic en enlaces, abra archivos adjuntos o realice cualquier acción visible.

Este tipo de ataques se centra en individuos de alto valor, cuyos datos son especialmente sensibles y valiosos. El principal desafío radica en que estas amenazas explotan vulnerabilidades desconocidas para Apple en el momento de su explotación. Para cuando la empresa detecta la falla y publica un parche de seguridad, el dispositivo ya podría estar comprometido.

Una de las claves de esta situación es la política de Apple de ofrecer los parches críticos únicamente para la versión más reciente, en este caso iOS 26. Las versiones más antiguas, como iOS 18, tardan en recibir estas actualizaciones.

Además, la adopción de iOS 26 ha sido más lenta de lo habitual; según los últimos informes, aproximadamente la mitad de los usuarios elegibles aún no han actualizado, dejando expuestos a cientos de millones de dispositivos.

El paso más importante es actualizar inmediatamente a iOS 26 si tu dispositivo lo permite, yendo a Ajustes, General y Actualización de software.

Para quienes consideran que podrían ser objetivos clave de estos ataques, Apple ofrece la opción Lockdown, un modo de seguridad opcional y estricto. Esta función reduce la superficie de ataque del dispositivo, limitando ciertos adjuntos de mensajes, tecnologías web, llamadas entrantes de números desconocidos y la instalación de perfiles de configuración.

Si bien estas amenazas no están dirigidas al usuario promedio, es conveniente mantener el software actualizado y activar medidas de protección adicionales.

Millones de usuarios tienden a pensar que están protegidos cambiando su contraseña cada cierto tiempo o añadiendo símbolos que creen que son imposibles de adivinar. Los ciberataques ahora pueden llegar a través de un SMS, una llamada o un correo electrónico.

El objetivo perfecto de los ciberdelincuentes

Iván Mateos ha dejado claro que políticos, deportistas o cantantes no son el principal objetivo de los ciberdelincuentes. Los usuarios comunes pueden tener información mucho más valiosa, también caer en estafas con mayor facilidad.

El experto en seguridad confirma que “la gente más anónima es la más interesante” para un ciberataque”. Los usuarios deben enfrentarse a innumerables amenazas a diario, por probabilidad algunas pueden acabar colándose con éxito en sus dispositivos.

El phishing es el responsable de millones de ciberataques en usuarios completamente anónimos, incluso aquellos que no tienen presencia en redes sociales. Los estafadores solo tendrán que hacerse pasar por el banco en una llamada o enviar un SMS solicitando el pago de una supuesta multa a la DGT.

Este tipo de estafas cada vez son más sofisticadas con webs replicadas a la perfección. Los estafadores se harán pasar por el banco para acceder a la información bancaria con un simple enlace, una copia de la página casi indetectable y una plataforma de pago falsa.

Las contraseñas ya no son seguras

Iván Mateos ha acabado con la falsa creencia de que una buena contraseña te protege de prácticamente cualquier amenaza, tampoco es útil cambiarla cada cierto tiempo. Los usuarios tienden a utilizar el nombre de su mascota, su hijo o su pueblo, luego añaden algún número o símbolo.

No todas las contraseñas protegen una cuenta, la mejor será aquella que combina letras mayúsculas, minúsculas, números y símbolos, aunque es difícil de recordar. Esto tendrás que repetirlo para cada plataforma, así que lo más aconsejable es usar un gestor de claves.

Además, Mateos aconseja utilizar la letra ‘ñ’ al crear la contraseña, “así descartamos a los hackers extranjeros, que no incluirán esta letra al intentar descifrar nuestra contraseña”. El experto en ciberseguridad recomienda crear frases largas difíciles de adivinar, pero extremadamente fáciles de recordar como “Mi perro se llama Max”, incluyendo algún símbolo o número.

El estudio tiene datos interesantes. Por ejemplo, los robos potenciados por la inteligencia artificial recaudan cuatro veces más botín que las estafas tradicionales.

Son datos precisos porque la blockchain registra todas las transacciones y, por tanto, también los robos. Si bien el análisis de 2025 registra 14.000 millones de dólares robados según la cadena de bloques, debido a cuestiones de sincronización entre los periodos de notificación, la cifra supera los 17.000 millones de dólares mencionados.

Récord de robos de Bitcoin el 2025

Otro dato importante es que Chainanalysis registró un aumento del 253% en la cantidad media que los hackers roban con cada estafa. El pago medio en 2024 era de 782 dólares, pero en 2025 ascendió a 2.764 dólares (unos 2.375 euros).

Entre las estafas utilizadas para robar Bitcoins, la más exitosa, con diferencia, es la suplantación de personalidad. Es decir, el ciberdelincuente se hace pasar por un banco, incluso Hacienda o el gobierno.

Este tipo de timos crecieron nada menos que un 1.400% en 2025. Uno de los más eficaces fueron los mensajes de texto falsos de los sistemas electrónicos de cobro de peajes de Estados Unidos, que ya han robado 1.000 millones de dólares en tres años.

Las estafas basadas en la inteligencia artificial fueron significativamente más eficaces en 2025, ya que obtuvieron 4,5 veces más dinero en comparación con las tácticas convencionales de ingeniería social.

Los hackeos de los cajeros automáticos que sirven Bitcoins suman otros 333 millones en fraudes. Aunque no hay cifras, los timos de “la matanza del cerdo”, se citan en el informe. Se llaman así a los engaños en donde el estafador finge una relación amorosa con la víctima, y luego la convence para invertir en criptomonedas que no existen.

Las estafas asociadas al Bitcoin han crecido un 34% en 2025. Si inviertes en criptos, extrema las precauciones.

Esta medida busca reducir de forma drástica el fraude por suplantación de identidad, una práctica cada vez más habitual en los ataques de phishing. Actualmente, muchos de los mensajes que llegan al móvil ya no muestran un número de teléfono como remitente, sino el nombre de una empresa o servicio. Este sistema, ampliamente utilizado por compañías, facilita al usuario identificar al remitente incluso si no lo tiene guardado en la agenda.

Sin embargo, también se ha convertido en un problema de seguridad, ya que el campo del alias puede ser falsificado con relativa facilidad por ciberdelincuentes.

Uno de los riesgos más habituales es que los móviles agrupan automáticamente los mensajes que comparten el mismo alias en un único hilo de conversación. Si un mensaje fraudulento utiliza el nombre de un banco, por ejemplo, puede aparecer mezclado con comunicaciones legítimas anteriores, aumentando la probabilidad de que el usuario confíe en enlaces diseñados para robar credenciales o datos bancarios.

La nueva medida se enmarca dentro de la orden publicada por el Ministerio para la Transformación Digital para combatir las estafas de suplantación de identidad mediante llamadas y mensajes de texto.

Desde el 7 de junio de 2025, las operadoras ya estaban obligadas a filtrar llamadas que utilizaran números falsificados o procedentes de redes no españolas. El filtrado de los SMS se aplazó hasta 2026, lo que ha permitido que este tipo de fraude siga activo hasta ahora.

Durante estos meses, la Comisión Nacional de los Mercados y la Competencia (CNMC) ha trabajado en la creación de un registro oficial de alias. A partir de junio de 2026, solo las empresas que hayan registrado previamente su alias podrán enviar mensajes SMS o RCS con remitente alfanumérico. Cualquier mensaje que llegue a la red con un alias no incluido en esta base de datos será eliminado automáticamente.

Los alias podrán tener hasta 11 caracteres y deberán guardar relación directa con la empresa, ya sea mediante marca registrada, denominación social o dominio web. No se permitirán nombres genéricos, y en determinados casos será necesario firmar una declaración responsable.

Además, la CNMC habilitará una web pública donde los usuarios podrán consultar qué empresa está detrás de un alias concreto, lo que facilitará la detección de spam y la presentación de reclamaciones. Aunque la medida no afectará a los SMS enviados desde números convencionales, se espera que suponga un golpe decisivo contra los mensajes fraudulentos.

En un callejón sin salida, Rockstar tuvo que anunciar oficialmente la llegada del videojuego, debido a que un hacker de solo 18 años de edad, Arion Kurtaj, tenía acceso a otros materiales importantes del proyecto.

Kurtaj, que pertenecía al grupo de hackers Lapsus$, fue juzgado por la justicia del Reino Unido, y condenado a cadena perpetua en un hospital, debido a que había asegurado que reincidiría, además de que tenía autismo.

En su mismo grupo, otro joven de 17 años tuvo que cumplir una sentencia de 18 meses realizando trabajos comunitarios, además de enfrentarse a la prohibición de usar algún servicio de VPN.

No en vano, según los datos oficiales que maneja el FBI y citados por The Wall Street Journal, la edad media de detenciones en el ámbito de los delitos informáticos está en los 19 años, mientras que en otro tipo de delitos ronda los 37 años.

Más allá de los grupos de hackers patrocinados por los Estados, que suelen inclinarse por motivaciones geopolíticas y económicas a gran escala, parece que el perfil del más habitual se concentra en los jóvenes y adolescentes.

Hackers adolescentes con motivaciones económicas y políticas

A pesar de que se tiende a generalizar el concepto de hacker, aquí solo se tienen en cuenta aquellos que utilizan sus habilidades con la intención de desestabilizar servicios, exfiltrar datos o pedir compensaciones económicas a cambio.

En este sentido, muchas detenciones de este tipo tienen en común un perfil muy marcado: el ciberdelincuente comenzó su actividad en la adolescencia y tiene un ideario bastante marcado.

Ideas que no tienen que ser puramente políticas o ideológicas, como ocurrió con el hacker Tank, cuyo nombre real es Vyacheslav Penchukow, añadido a la lista de busca y captura del FBI en 2019 por pertenencia al grupo Jabber Zeus.

En la única entrevista que ha concedido en toda su vida, con la BBC y desde la cárcel, aseguró que las empresas occidentales pueden permitirse perder dinero, además de tener pólizas de seguros, una especie de justificación para atacar servicios de vital importancia, como centros médicos.

Aunque no todos tienen una motivación económica detrás, como ocurrió con el hacker Embl, un adolescente de tan solo 17 años al que detuvo la Guardia Civil por hackear la web del PSOE.

En su caso, aseguró que la intención era puramente política, para mostrar la corrupción de las instituciones, por lo que no pretendía vender los 10 gigabytes de datos que había robado de militantes, afiliados, empleados y políticos.

El otro lado: buscar trabajo mediante el hacking

Hay quienes prefieren cubrirse de gloria sin tener que robar cantidades importantes de datos o de dinero, apostando por un reto mayúsculo: hackear productos electrónicos de consumo que parecen imposibles de quebrar.

Así fue el caso de George Hotz, un hacker que con 15 años ya participaba en ferias de tecnología internacionales, y que con la misma edad fue capaz de realizar un jailbreak al iPhone.

Es decir, que consiguió desarrollar un software para liberar totalmente el iPhone, algo que parecía antes imposible, y que llevó a Hotz a trabajar en importantes compañías del sector, como Apple, Google y Facebook, además de rechazar una oferta de Elon Musk.

El perfil de Hotz es el que se conoce como hacker de sombrero blanco, aquellos que buscan vulnerabilidades en sistemas de compañías de renombre para avisar, siempre desde la ética, para que estos las corrijan.

Curiosamente, también hay muchos adolescentes que buscan este tipo de retos profesionales, bastante más avanzados que hackear una base de datos antigua en una web.

Otro ejemplo de este tipo de hacking fue el de Santiago López, un argentino que con tan solo 19 años acumuló 1 millón de dólares por advertir de estas vulnerabilidades en grandes empresas.

Y la lista en este sentido es inmensa, así que la pregunta es bastante clara: ¿por qué los ciberdelincuentes buscan el delito si pueden ganar dinero así?

Zoom Stealer forma parte de algunas de las campañas de extensiones de navegador más extensas de los últimos siete años, que en conjunto han alcanzado a más de 7,8 millones de usuarios.

Según los investigadores de Koi Security, no todas las 18 extensiones de Zoom Stealer están diseñadas explícitamente para reuniones. Algunas funcionan como descargadores de vídeo o asistentes de grabación, como Chrome Audio Capture, con 800.000 instalaciones, y Twitter X Video Downloader.

El problema es que estas extensiones funcionan correctamente y cumplen con lo prometido, lo que ha permitido que su objetivo malicioso permanezca camuflado hasta ahora.

Cada extensión de la campaña solicita acceso a 28 plataformas de videoconferencia, incluidas Zoom, Microsoft Teams y Google Meet. La información recopilada incluye URLs y IDs de reuniones, contraseñas incrustadas, estado de registro, temas y horarios, así como nombres de participantes, fotos de perfil, logotipos de empresa y metadatos de sesión.

Estos datos se transmiten en tiempo real a los atacantes mediante conexiones WebSocket, lo que permite un seguimiento continuo de las reuniones. Los investigadores advierten que esta información podría utilizarse para espionaje corporativo, ataques de ingeniería social o incluso para vender enlaces de reuniones a competidores.

Aunque es probable que muchas de estas extensiones fraudulentas sean eliminadas gradualmente de la Chrome Web Store, los expertos recomiendan a los usuarios revisar cuidadosamente los permisos de las extensiones instaladas y limitar su número al mínimo necesario.