现已上线!2025 年 Telegram 研究 — 年度关键洞察 
CyberSecurityPulse (by Telefónica Tech)
前往频道在 Telegram
Canal de noticias y reflexiones sobre ciberseguridad del equipo de innovación y laboratorio de Telefónica Tech.
显示更多6 851
订阅者
+124 小时
+137 天
+4730 天
数据加载中...
相似频道
标签云
进出提及
---
---
---
---
---
---
吸引订阅者
六月 '26
六月 '26
+31
在0个频道中
五月 '26
+98
在0个频道中
Get PRO
四月 '26
+87
在0个频道中
Get PRO
三月 '26
+83
在0个频道中
Get PRO
二月 '26
+61
在0个频道中
Get PRO
一月 '26
+51
在0个频道中
Get PRO
十二月 '25
+44
在0个频道中
Get PRO
十一月 '25
+75
在0个频道中
Get PRO
十月 '25
+39
在0个频道中
Get PRO
九月 '25
+17
在0个频道中
Get PRO
八月 '25
+13
在1个频道中
Get PRO
七月 '25
+20
在0个频道中
Get PRO
六月 '25
+14
在0个频道中
Get PRO
五月 '25
+10
在0个频道中
Get PRO
四月 '25
+15
在0个频道中
Get PRO
三月 '25
+21
在0个频道中
Get PRO
二月 '25
+24
在0个频道中
Get PRO
一月 '25
+16
在0个频道中
Get PRO
十二月 '24
+35
在0个频道中
Get PRO
十一月 '24
+118
在0个频道中
Get PRO
十月 '24
+126
在0个频道中
Get PRO
九月 '24
+162
在0个频道中
Get PRO
八月 '24
+206
在0个频道中
Get PRO
七月 '24
+132
在0个频道中
Get PRO
六月 '24
+240
在0个频道中
Get PRO
五月 '24
+140
在0个频道中
Get PRO
四月 '24
+238
在0个频道中
Get PRO
三月 '24
+135
在1个频道中
Get PRO
二月 '24
+186
在0个频道中
Get PRO
一月 '24
+143
在0个频道中
Get PRO
十二月 '23
+85
在0个频道中
Get PRO
十一月 '23
+45
在0个频道中
Get PRO
十月 '23
+60
在0个频道中
Get PRO
九月 '23
+62
在0个频道中
Get PRO
八月 '23
+44
在0个频道中
Get PRO
七月 '23
+128
在0个频道中
Get PRO
六月 '23
+42
在0个频道中
Get PRO
五月 '23
+59
在0个频道中
Get PRO
四月 '23
+51
在0个频道中
Get PRO
三月 '23
+43
在0个频道中
Get PRO
二月 '23
+36
在0个频道中
Get PRO
一月 '23
+40
在0个频道中
Get PRO
十二月 '22
+34
在0个频道中
Get PRO
十一月 '22
+56
在0个频道中
Get PRO
十月 '22
+34
在0个频道中
Get PRO
九月 '22
+60
在0个频道中
Get PRO
八月 '22
+28
在0个频道中
Get PRO
七月 '22
+50
在0个频道中
Get PRO
六月 '22
+66
在0个频道中
Get PRO
五月 '22
+148
在0个频道中
Get PRO
四月 '22
+99
在0个频道中
Get PRO
三月 '22
+78
在0个频道中
Get PRO
二月 '22
+40
在0个频道中
Get PRO
一月 '22
+52
在0个频道中
Get PRO
十二月 '21
+29
在0个频道中
Get PRO
十一月 '21
+74
在0个频道中
Get PRO
十月 '21
+46
在0个频道中
Get PRO
九月 '21
+85
在0个频道中
Get PRO
八月 '21
+65
在0个频道中
Get PRO
七月 '21
+138
在0个频道中
Get PRO
六月 '21
+51
在0个频道中
Get PRO
五月 '21
+136
在0个频道中
Get PRO
四月 '21
+95
在0个频道中
Get PRO
三月 '21
+183
在0个频道中
Get PRO
二月 '21
+94
在0个频道中
Get PRO
一月 '21
+143
在0个频道中
Get PRO
十二月 '20
+4 637
在0个频道中
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 08 六月 | +1 | |||
| 07 六月 | +2 | |||
| 06 六月 | +4 | |||
| 05 六月 | +6 | |||
| 04 六月 | +2 | |||
| 03 六月 | +3 | |||
| 02 六月 | +8 | |||
| 01 六月 | +5 |
频道帖子
| 2 | Nueva técnica de denegación de servicio basada en el protocolo HTTP/2. El ataque, denominado HTTP/2 Bomb, combina dos conceptos conocidos desde hace años: las bombas de compresión y los ataques tipo Slowloris para provocar un consumo masivo de memoria con un tráfico pequeño.
La clave está en HPACK, el mecanismo de compresión de cabeceras de HTTP/2. Mediante una secuencia especialmente diseñada de entradas comprimidas, un atacante puede forzar al servidor a reservar cantidades enormes de memoria a partir de muy pocos bytes recibidos, utilizando mecanismos de control de flujo de HTTP/2 para mantener esa memoria bloqueada durante largos periodos de tiempo.
Según los investigadores, una única conexión puede llegar a consumir decenas de gigabytes de memoria en segundos sobre algunas implementaciones populares, sin necesidad de generar el volumen de tráfico que normalmente asociamos a un ataque DDoS volumétrico.
Ya hay parche para la mayoría de servidores web a los que les afecta este tipo de ataque.
Más información: https://github.com/califio/publications/blob/main/MADBugs/http2-bomb/blog.md | 956 |
| 3 | Investigadores han identificado a un actor denominado DriveSurge, responsable de secuestrar miles de sitios legítimos para redirigir visitantes hacia campañas de malware basadas en ClickFix y FakeUpdate.
La operativa es especialmente interesante. DriveSurge no se centra en desplegar malware propio, sino en actuar como un broker de acceso inicial. Lo que hace es comprometer sitios con buena reputación, redirigir tráfico y entregar víctimas a otros actores mediante un modelo de pago por instalación.
Para ello, utiliza una infraestructura de distribución de tráfico conocida como zTDS, que analiza a cada visitante y decide qué engaño mostrar. Algunos usuarios reciben falsas actualizaciones de navegador mientras que otros son dirigidos a páginas ClickFix que les convencen para ejecutar comandos PowerShell bajo la excusa de resolver un problema técnico o completar una verificación.
Más información:
https://www.silentpush.com/blog/drivesurge/ | 1 063 |
| 4 | Nueva campaña masiva contra GitHub. El malware, bautizado como Megalodon, ha comprometido más de 5.500 repositorios en apenas seis horas mediante commits automatizados que inyectaban workflows maliciosos de GitHub Actions.
El vector es especialmente interesante porque no toca el código principal del proyecto. Los atacantes añadían archivos YAML en apariencia legítimos relacionados con CI/CD (integración continua), disfrazados como optimizaciones o automatizaciones rutinarias. Una vez aceptados por el mantenedor, el payload comenzaba a ejecutarse dentro del pipeline.
A partir de ahí, el objetivo era recabar secretos de la infraestructura. Megalodon roba credenciales cloud, tokens OIDC, claves SSH, secretos de GitHub Actions, configuraciones Docker y Kubernetes, variables de entorno y cualquier dato accesible desde el runner CI/CD.
El mecanismo de propagación recuerda bastante a un gusano. El malware utiliza cuentas desechables y bots falsos de automatización para distribuir commits maliciosos, buscando que otros mantenedores los acepten, ampliando así la infección.
Otro detalle es que algunos repositorios comprometidos llegaron a publicar paquetes maliciosos en npm desde cuentas legítimas, trasladando el problema desde GitHub directamente a otros repositorios. Esto es así debido a que muchos pipelines terminan en la publicación del paquete.
Más información:
https://www.ox.security/blog/megalodon-cicd-malware-github/ | 1 495 |
| 5 | https://telefonicatech.com/blog/grandoreiro-analisis-tecnico-troyano-bancario-c2-dga-evasion | 1 251 |
| 6 | https://telefonicatech.com/blog/boletin-ciberseguridad-16-22-mayo-2026?0 | 1 818 |
| 7 | Los Local Privilege Escalation están de moda. Ahora afectan a Microsoft Windows, en concreto su componente Defender (y no es la primera vez que este componente se mete en problemas).
Además, no solo es un fallo sino varios zero-days (algunos sin CVE ni parche), con impactos variados, desde la escalada de privilegios hasta dificultar la detección de malware por parte de Defender.
Lo curioso es cómo funcionan. No explotan una corrupción de memoria compleja ni bugs kernel tradicionales, sino interacciones entre mecanismos legítimos de Windows: NTFS junctions, opportunistic locks, Volume Shadow Copy, Cloud Files API y procesos internos de Defender.
El CVE-2026-41091, por ejemplo, aprovecha una race condition en el proceso de limpieza de archivos maliciosos. Mediante redirecciones del filesystem y manipulación temporal del acceso a archivos, el atacante podría conseguir que Defender escriba contenido arbitrario en ubicaciones privilegiadas con permisos SYSTEM.
Por otro lado, la etiquetada con el CVE-2026-45498, funciona de manera parecida, pero explotando el mecanismo de rollback de archivos cloud-tagged, mientras que UnDefend apunta directamente al proceso de actualización y mantenimiento del propio Defender. Es decir, podría borrar firmas y alterar su comportamiento.
Los exploits fueron publicados por Nightmare Eclipse el pasado abril, (al que se le atribuye ser un investigador aislado) tras desacuerdos con Microsoft sobre el proceso de disclosure, y desde entonces se ha observado explotación real en entornos corporativos, de hecho, la ya famosa KVE de CISA (base de datos de exploits activos) ya los acaba de publicar en su lista, lo que significa que ya existen grupos usando estos exploits en campañas u operaciones.
Más información:
Nightmare-Eclipse: six zero-days, six weeks and one big grudge | 1 584 |
| 8 | Nueva variante del infostealer SHub para macOS descubierta por investigadores de SentinelOne. Conocida como Reaper, utiliza AppleScript para mostrar falsas alertas de actualización de seguridad de Apple mientras roba información sensible e se instala en segundo plano.
La campaña destaca especialmente por su proceso para engañar a los usuarios. El malware se distribuye mediante instaladores falsos de aplicaciones legítimas y dominios cuidadosamente escogidos para parecer infraestructura oficial. Una vez ejecutado, muestra lo que aparenta ser una actualización de seguridad de macOS mientras en realidad realiza las acciones maliciosas reales.
El objetivo sigue siendo el habitual en el ecosistema de infostealers modernos: credenciales, sesiones, wallets y secretos de usuario. SHub Reaper roba datos de navegadores, Keychain, gestores de contraseñas, sesiones de Telegram y extensiones de criptomonedas como MetaMask o Phantom. Además, algunas variantes modifican directamente las wallets instaladas para capturar frases de recuperación.
El detalle más relevante es la persistencia. A diferencia de muchos stealers tradicionales para macOS, que ejecutan el robo y desaparecen, Reaper instala LaunchAgents disfrazados de componentes legítimos de Google para mantenerse activo tras reinicios y conservar acceso al sistema.
Más información:
https://www.sentinelone.com/blog/shub-reaper-macos-stealer-spoofs-apple-google-and-microsoft-in-a-single-attack-chain/ | 1 383 |
| 9 | Y una más. Nueva escalada de privilegios en Linux que ya tiene exploit público disponible apenas días después de su publicación. El fallo, bautizado como DirtyDecrypt (también DirtyCBC), permite a un atacante local obtener privilegios root explotando una debilidad en la forma en la que el kernel maneja determinadas operaciones criptográficas y de memoria compartida.
El problema afecta al subsistema de descifrado del kernel y puede provocar una corrupción de memoria bajo ciertas condiciones controladas. A partir de ahí, un usuario sin privilegios puede manipular estructuras internas del sistema y escalar privilegios hasta root.
Los investigadores de v12 Security destacan además que la explotación es relativamente estable en varias distribuciones modernas. Aun no hay CVE oficial publicado, pero sí parche. Curiosamente, cuando lo reportaron a los mantenedores del kernel Linux, estos le respondieron que era un duplicado de CVE-2026-31635 y que ya estaban trabajando en ello, por lo que una vez liberado han publicado los detalles y prueba de concepto.
De cualquier modo, ya tenemos Copy Fail, Fragnesia, Dirty Frag y ahora DirtyDecrypt, si contar con la elevación de privilegios corregida en el servicio PackgeKit llamada Pack2TheRoot.
Más información:
https://github.com/v12-security/pocs/tree/main/dirtydecrypt | 1 316 |
| 10 | Nueva vulnerabilidad crítica en NGINX, uno de los servidores web más extendidos de Internet, que llevaba sin descubrir nada más y menos que 18 años. El fallo, bautizado como NGINX Rift (CVE-2026-42945), permite provocar una denegación de servicio y, bajo determinadas condiciones, incluso la ejecución remota de código arbitrario mediante simples peticiones HTTP especialmente manipuladas.
El problema reside en el módulo de reescritura de URLs (ngx_http_rewrite_module), concretamente en cómo maneja ciertas expresiones regulares. Una discrepancia interna en el cálculo y copia de memoria termina provocando un heap buffer overflow controlable remotamente bajo ciertas circunstancias.
El ataque no requiere autenticación y puede explotarse únicamente enviando peticiones especialmente manipuladas, siempre que el servidor utilice determinados patrones bastante comunes en reglas rewrite. En muchos casos el resultado será la caída o reinicio de workers. Los investigadores indican que la ejecución remota de código es posible si NGINX corre sin el ASLR (Adress Space Layout Randomization) habilitado durante su compilación, algo que a día de hoy no es común pero que puede darse en ciertos tipos de plataformas.
Otro detalle interesante es cómo fue descubierto: un sistema autónomo basado en IA analizando el comportamiento y el código de NGINX encontró la cadena de corrupción de memoria tras casi dos décadas sin ser detectada. Ya hemos llegado a un punto en el que no nos debe sorprender la irrupción de la IA como "asistente" en el descubrimiento de vulnerabilidades.
A pesar de tener parches disponibles, el impacto potencial es enorme dado que NGINX no es solo un servidor web: está en reverse proxies, balanceadores, Kubernetes ingress controllers, CDNs y buena parte de la infraestructura moderna de internet.
Más información:
https://depthfirst.com/research/nginx-rift-achieving-nginx-rce-via-an-18-year-old-vulnerability | 1 614 |
| 11 | https://telefonicatech.com/blog/boletin-ciberseguridad-9-15-mayo-2026?utm_source=thenext&utm_medium=mail | 1 305 |
| 12 | Nueva vulnerabilidad LPE (Local Privilege Elevation) en Linux que demuestra, otra vez, lo peligrosas que siguen siendo ciertas interacciones entre memoria virtual y privilegios del kernel. El fallo, bautizado como Fragnesia, permite a un atacante local obtener privilegios root explotando el subsistema de gestión de memoria de Linux.
La técnica se basa en manipular cómo el kernel reutiliza fragmentos de memoria ya liberados. Aprovechando determinadas condiciones de fragmentación y reasignación de la memoria, un proceso sin privilegios puede acabar corrompiendo estructuras críticas del sistema y escalar privilegios hasta root.
Lo interesante es que no se trata de un bug simple, sino de un comportamiento derivado de cómo el kernel Linux optimiza memoria y rendimiento. El ataque requiere comprender bastante bien el funcionamiento interno del kernel, especialmente mecanismos relacionados con page allocation, memory reclaim y fragmentación.
Los investigadores destacan además que la explotación es relativamente fiable en múltiples distribuciones modernas, lo que aumenta bastante el impacto práctico del fallo. Y como suele ocurrir con este tipo de vulnerabilidades locales, el riesgo real aparece cuando se combina con otros vectores: contenedores, accesos limitados, sandboxes o compromisos parciales previos.
Un fallo más que se une a la racha de LPE's que llevamos desde hace un par de semanas.
Más información:
https://github.com/v12-security/pocs/tree/main/fragnesia | 1 470 |
| 13 | Interesante investigación de ThreatFabric respecto al troyano bancario para Android TrickMo, que sigue evolucionando y ahora incorpora un detalle especialmente interesante: el uso de la blockchain TON como covert channel de comunicación con su infraestructura de mando y control.
La idea detrás del cambio es bastante clara. En lugar de depender únicamente de servidores C2 tradicionales, que son más fáciles de bloquear, rastrear y desmontar, el malware utiliza datos publicados en la blockchain para recuperar direcciones y comandos. Esto complica bastante la interrupción de la campaña, porque la infraestructura deja de depender de un único punto centralizado.
TrickMo no es un troyano nuevo. Lleva años evolucionando desde sus orígenes ligados al ecosistema TrickBot y actualmente incluye capacidades avanzadas como robo de credenciales bancarias, overlays falsos, captura de pantalla, keylogging, control remoto del dispositivo y abuso de servicios de accesibilidad Android para automatizar fraudes directamente sobre el terminal de la víctima.
El uso de TON añade además una capa de resiliencia bastante seria. Incluso aunque parte de la infraestructura atacante sea desmantelada, los operadores pueden seguir distribuyendo nuevos endpoints o configuraciones a través de transacciones y datos publicados en la propia red de la blockchain.
Sin duda es un patrón que empieza a repetirse cada vez más: tecnologías diseñadas para descentralización, resiliencia o privacidad, que terminan reutilizadas como soporte para el malware moderno.
Más información:
https://www.threatfabric.com/blogs/new-trickmo-variant-device-take-over-malware-targeting-banking-fintech-wallet-auth-app | 1 758 |
| 14 | Copy Fail en Linux: análisis de la vulnerabilidad que permite escalar a root
https://telefonicatech.com/blog/copy-fail-cve-2026-31431-linux-lpe-af-alg-page-cache | 1 777 |
| 15 | https://telefonicatech.com/blog/boletin-ciberseguridad-2-8-mayo-2026 | 1 982 |
| 16 | Nueva amenaza en sistemas Linux orientada a la cadena de suministro software. Investigadores de TrendMicro, apoyados por IA, han identificado un implante avanzado llamado QLNX (Quasar Linux), un RAT para Linux con capacidades de rootkit, robo de credenciales, persistencia y funcionalidades orientadas específicamente a entornos DevOps y CI/CD.
Lo interesante es el nivel de sofisticación. El malware no llega simplemente como binario precompilado, como es costumbre, sino que lleva incrustado código fuente en C para generar dinámicamente sus propios módulos maliciosos en la máquina de la víctima. Entre ellos, un rootkit basado en LD_PRELOAD y una puerta trasera PAM capaz de interceptar credenciales en texto plano durante autenticaciones legítimas.
El objetivo está muy claro, QLNX busca tokens npm, credenciales PyPI, claves AWS, configuraciones Kubernetes, credenciales Docker, tokens Vault, Terraform, GitHub CLI y archivos .env, entre otros. Es decir, todo lo necesario para comprometer pipelines, publicar paquetes maliciosos o pivotar hacia cloud e infraestructura corporativa.
Otro detalle relevante es su capacidad P2P. Los sistemas comprometidos pueden formar una red entre los nodos infectados, dificultando la erradicación completa y permitiendo mantener su persistencia incluso si parte de la infraestructura atacante cae.
Más información: https://www.trendmicro.com/en_us/research/26/e/quasar-linux-qlnx-a-silent-foothold-in-the-software-supply-chain.html | 2 164 |
| 17 | Para sorpresa de nadie, CISA, la agencia de los Estados Unidos que se encarga de la ciberseguridad y seguridad de infraestructuras, ha incluido la vulnerabilidad de elevación de privilegios en el kernel Linux conocida como "Copy Fail" (CVE-2026-31431, que afecta a kernels posteriores a 2017) en su catálogo de vulnerabilidades que están siendo explotadas (KEV, Known Exploited Vulnerabilities).
Cuando CISA incluye una vulnerabilidad en el KEV significa que está siendo activamente explotada y ha sido observada en operaciones de infección o intrusión. No es para menos, el exploit, a modo de prueba de concepto, funciona de forma impecable, sobre todo debido a que es un fallo en la lógica del tratamiento de páginas de memoria y no requiere los tradicionales condicionantes para alcanzar una explotación satisfactoria.
A pesar de existir un parche, debido al inmenso parque existente de sistemas Linux desplegados, será una vulnerabilidad que previsiblemente se mantenga activa en los arsenales de los atacantes bastante tiempo. No se trata de un exploit de frontera sino un LPE que necesita que el atacante disponga de una cuenta sin privilegios en el sistema. No obstante, el fallo es grave según muchos escenarios y es preciso actualizar cuanto antes.
Más información: https://www.cisa.gov/news-events/alerts/2026/05/01/cisa-adds-one-known-exploited-vulnerability-catalog | 2 134 |
| 18 | https://telefonicatech.com/blog/boletin-ciberseguridad-1-mayo-2026?0 | 1 981 |
| 19 | Nueva vulnerabilidad en Linux encontrada (con asistencia de IA) por el equipo de seguridad Deutsche Telekom. Pack2TheRoot (CVE-2026-41651), como se ha denominado, es una escalada de privilegios local que afecta a PackageKit, una especie de servicio que unifica la gestión de paquetes de muchas distros Linux, tratando de simplificar la cantidad existente de gestores de paquetes y las diferencias entre ellos.
El impacto de la vulnerabilidad es directo: un usuario sin privilegios puede acabar ejecutando acciones como root. El fallo permite instalar o eliminar paquetes sin autorización, lo que en la práctica equivaldría a tomar control completo del sistema.
El origen está en una condición de carrera clásica (TOCTOU) en la gestión de transacciones. Aprovechando ese desfase temporal, un atacante puede evadir los controles de seguridad y forzar operaciones privilegiadas que deberían estar protegidas.
PackageKit está presente por defecto en múltiples distribuciones como Ubuntu, Debian o Fedora, y la vulnerabilidad ha permanecido presente durante años sin ser detectada.
No es un fallo de memoria o similar al uso, sino una combinación de comportamiento legítimo que termina rompiendo el modelo de seguridad, es decir, un fallo en la lógica de la implementación del modelo de seguridad.
Más información:
https://github.security.telekom.com/2026/04/pack2theroot-linux-local-privilege-escalation.html | 0 |
| 20 | Nueva vulnerabilidad crítica en protobuf.js que vuelve a poner el foco en un problema poco visible pero bastante extendido: reutilizar definiciones sin entender su impacto real. El fallo permite la ejecución de código arbitrario en aplicaciones que procesan esquemas protobuf no confiables.
El origen está en cómo protobuf.js interpreta ciertas definiciones dinámicas. Si un atacante pudiese controlar o inyectar un esquema, podría forzar la ejecución de código arbitrario durante el proceso de parsing o compilación, convirtiendo algo con apariencia de declarativo en una superficie de ataque.
Lo interesante aquí no es solo la vulnerabilidad en sí, sino el patrón de uso que la hace explotable. Muchos proyectos reutilizan archivos .proto de terceros, los cargan dinámicamente o los aceptan desde fuentes externas sin una validación estricta. En ese contexto, el esquema deja de ser un contrato de datos y pasa a ser una entrada ejecutable.
El impacto es especialmente importante en servicios backend, pipelines de datos y herramientas que procesan protobuf de forma flexible, donde este tipo de inputs puede atravesar varias capas sin ser revisado convenientemente.
Posee un CVSS de 9.4 y afecta a las versiones inferiores a 8.0.0 y 7.5.4. Hay parches disponibles para ambas ramas. Se le ha asignado el CVE-2026-41242.
Más información:
https://www.endorlabs.com/learn/the-dangers-of-reusing-protobuf-definitions-critical-code-execution-in-protobuf-js-ghsa-xq3m-2v4x-88gg | 0 |
