🚨 Una sanción de más de $42.8 millones de pesos demuestra que tratar datos biométricos sin cumplir la ley puede tener consecuencias importantes.
La sanción impuesta a la FMF por el caso #FANID recuerda que el uso de datos biométricos implica obligaciones legales reforzadas.
Create a folder called (calc). Shift+Right click « Open PowerShell Window here » and boom you have a command injection.
@podalirius_ found two command injection vulnerabilities in Windows Explorer's context menus, both exploitable since 9 years. https://t.co/LNNTpKeDnJ
‼️🚨 One of the world's largest Certificate Authorities, DigiCert, was compromised by a malicious screensaver file sent through a customer support chat. Their antivirus blocked the malware four times. The agent kept clicking. The fifth try got through.
27 code signing certificates were stolen and used to sign malware.
DigiCert ultimately revoked 60 certificates.
Per DigiCert's incident report, filed in Mozilla's CA compliance tracker as Bug 2033170, here is how it unfolded:
April 2: an attacker contacted a DigiCert helpdesk agent through the company's customer support chat channel, posing as a customer. The lure was a zip file pitched as a screenshot. Inside the zip was a .scr file. On Windows, .scr files are executables, and this one carried a malicious payload.
Opening a file a customer sent through the official support channel is what an agent is supposed to do. Support staff are the one role designed to accept files from strangers.
DigiCert's endpoint security blocked four infection attempts. On the fifth, the support analyst's machine was infected.
DigiCert detected the infection, ran an investigation, and concluded the incident was contained.
Eleven days later, an external researcher tipped DigiCert off about misuse of DigiCert-issued code signing certificates in the wild. That tip led to the discovery of a second compromised machine, belonging to a different support analyst, infected through the same vector. The EDR on that machine had not been functioning correctly, so the original investigation missed it.
The second machine gave the attacker access to DigiCert's internal support portal. That portal lets support staff reach limited views of customer accounts, including initialization codes for ordered but not-yet-issued code signing certificates. Combining a stolen initialization code with an approved order let the attacker pull a real, validly issued code signing certificate. They did this 27 times.
DigiCert's own list of what went wrong:
- File-type filtering on the customer support chat channel did not catch the .scr
- EDR coverage was inconsistent and incomplete, creating a blind spot
- Initialization codes for code signing certificates were not adequately protected
DigiCert says it got lucky. An outside researcher found the malware abuse before DigiCert did. Without that tip, the second machine and the active certificate theft might still be running today.
‼️🚨 CRITICAL: Palo Alto Networks has disclosed CVE-2026-0300, a buffer overflow in PAN-OS that is already being exploited in the wild.
CVSS 4.0 score: 9.3.
Unauthenticated attackers can hit the User-ID Authentication Portal (the Captive Portal service) with crafted packets and pop a root shell on the firewall.
The flaw is an out-of-bounds write (CWE-787) in PA-Series and VM-Series firewalls. Prisma Access, Cloud NGFW, and Panorama are not affected. The vulnerability only triggers when the User-ID Authentication Portal is enabled and reachable from untrusted networks.
Affected branches:
- PAN-OS 10.2 below 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7, 10.2.18-h6
- PAN-OS 11.1 below 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5, 11.1.15
- PAN-OS 11.2 below 11.2.4-h17, 11.2.7-h13, 11.2.10-h6, 11.2.12
- PAN-OS 12.1 below 12.1.4-h5, 12.1.7
Patches roll out between May 13 and May 28, 2026. A Threat Prevention signature for PAN-OS 11.1 and above shipped on May 5.
Mitigations before patches roll out:
- Restrict Authentication Portal access to trusted internal IPs only
- Disable the User-ID Authentication Portal entirely if not needed
Compromising a perimeter firewall as root opens the door to lateral movement, traffic interception, credential harvesting, and full network takeover. Audit Device > User Identification > Authentication Portal Settings and treat any internet-exposed portal as an emergency.
🚨 BREAKING: Hackers are now exploiting the cPanel authentication bypass flaw (CVE-2026-41940) to deploy "Sorry" ransomware on compromised websites.
Numerous sources say attacks began Thursday, with threat actors breaching servers and deploying a Go-based Linux encryptor that appends the .sorry extension to files.
What the ransomware does:
🔴 Encrypts files and appends the ".sorry" extension.
🔴 Protects the encryption key with an embedded RSA-2048 public key
🔴 Drops a README.md ransom note in every folder
🔴 Uses a fixed Tox ID for ransom negotiations
Victims are being instructed to contact the attacker via Tox to pay for decryption.
This is not related to the older 2018 HiddenTear ".sorry" ransomware. This is a new, Linux-targeting encryptor tied directly to active cPanel exploitation.
If you're running cPanel or WHM, patch immediately.
🚨 ALERTA: HACKEAN EL CORAZÓN DE INTERNET; FALLO EN CPANEL AFECTA A MILLONES 🛡️💻🔓
Se ha detectado una vulnerabilidad zero-day crítica (CVE-2026-41940) en cPanel y WHM, las herramientas que administran más de 70 millones de sitios web. Este fallo es una "llave maestra" que permite a cualquier atacante convertirse en administrador total (root) sin conocer la contraseña.
🖋️ ¿CÓMO FUNCIONA EL ATAQUE? (EN TÉRMINOS SENCILLOS)
En términos sencillos, el hacker engaña al sistema mediante "recados falsos":
📋 El Engaño: Envía un inicio de sesión falso y manipula una "cookie" para que el servidor deje de cifrar datos.
📋 Inyección: Introduce líneas de texto ocultas que dicen "este usuario ya puso su clave y es el jefe".
📋 El Salto: El sistema lee estas líneas, confía en ellas y le da acceso total al atacante, saltándose toda seguridad.
🧐 ¿QUÉ DEBES HACER? ✨🧤🕊️
Si administras un servidor, la situación es crítica realidad en la que el ataque ya se está usando "en la calle".
Actualiza de inmediato: Debes instalar las versiones parchadas (ej. 11.136.0.5 o superiores según tu rama).
Limpia la casa: Si tenías una versión vulnerable, asume que ya entraron. Cambia contraseñas de root, bases de datos, correos y regenera llaves SSH y certificados SSL.
¿Está tu sitio web a salvo o le has dejado la puerta abierta al mundo? 🕒 En este entorno digital en el que un par de clics bastan para perderlo todo, la velocidad de tu reacción es tu única defensa, realidad en la que el parcheo no es opcional, es vital. 💸🚫💻
LA INFORMACIÓN TÉCNICA 👇
https://t.co/x1MBrnnBF8
#cPanel #CyberSecurity #Hackers #ZeroDay #Hosting #SeguridadDigital 📋 📢🚨🛡️
Cómo un Activador Pirata Robó 1.2 Millones de Dólares en Criptomonedas
La tentación es comprensible. Necesitas activar Windows u Office, y en lugar de pagar por una licencia, una búsqueda rápida en internet te lleva a herramientas como KMSAuto, que prometen una solución rápida y gratuita. Para millones de usuarios, este atajo parecía una forma inteligente de ahorrar dinero, un pequeño truco inofensivo en el vasto mundo digital.
Sin embargo, esta práctica común se convirtió en la puerta de entrada para un ciberataque masivo y silencioso que costó a sus víctimas más de un millón de dólares. Esta historia revela cómo un solo programa, distribuido bajo la promesa de un software gratuito, se convirtió en una herramienta para el robo a gran escala. ¿Pero cuál es el verdadero costo de este "ahorro"?
El Alcance Masivo: Un Programa Infectó a Millones de Personas
La escala del ataque es impactante: una única versión modificada del programa KMSAuto fue responsable de infectar 2.8 millones de sistemas en todo el mundo. El malware fue distribuido activamente entre abril de 2020 y enero de 2023, logrando una penetración global. Esto demuestra una vulnerabilidad fundamental en el ecosistema del software pirata: la propia predisposición del usuario a anular sus defensas. Herramientas como KMSAuto son el vector de ataque perfecto porque, para funcionar, exigen al usuario que deshabilite su software antivirus y les conceda privilegios administrativos. En esencia, la víctima desmantela su propia seguridad para dejar entrar al atacante.
El Método: Un Ladrón Silencioso en tu Portapapeles
El método de ataque fue tan sutil como efectivo, convirtiendo el ordenador del usuario en un cómplice involuntario del robo. El KMSAuto modificado contenía un tipo de malware conocido como "clipper", el precio oculto de la activación "gratuita". Su funcionamiento es simple pero ingenioso: una vez instalado, el programa escanea continuamente el portapapeles del sistema, buscando específicamente cadenas de texto que coincidan con el formato de una dirección de criptomoneda.
Cuando un usuario copiaba una dirección de billetera para realizar una transacción, el malware la reemplazaba instantáneamente y de forma silenciosa por una dirección controlada por el atacante. Las víctimas, sin darse cuenta del cambio, procedían a enviar sus fondos, creyendo que los estaban transfiriendo al destinatario correcto. La naturaleza discreta de este ataque lo hace particularmente peligroso, ya que el robo ocurre sin ninguna alerta visible.
‼️CrowdStrike confirmed they were hit by an insider threat, someone took screenshots on internal systems and shared them with scattered LAPSUS$ hunters.
scattered LAPSUS$ hunters confirmed to us they paid $30K in total to the insider and gained direct access after receiving SSO authentication cookies.
CrowdStrike identified the insider threat quickly and revoked access.
Publicado mi libro gratuito "Estegomalware - Evasión de antivirus y seguridad perimetral usando esteganografía" con prólogo de @bquintero#actualizado - Se agradece difusión :)
📔Libro en mi Github: https://t.co/fwQ1fkgYNu
Attention @kalilinux users! In the coming day(s), apt update is going to fail for pretty much everyone.
The reason? We had to roll a new signing key for the Kali repository. You need to download and install the new key manually: https://t.co/Lrx05NhcOx
NetExec v1.4.0 has been released! 🎉
There is a HUGE number of new features and improvements, including:
- backup_operator: Automatic priv esc for backup operators
- Certificate authentication
- NFS escape to root file system
And much more!
Full rundown:
https://t.co/yjaG8rgzSZ
@al3x_n3ff@lapinousexy Gracias por compartir
si es posible me puedes indicar por favor si para el protocolo mssql es posible indicar la instancia?
He buscado en la wiki y por fuera, hay grandes ejemplos que me permiten conocer más pero no consideran la definición de una instancia ajena a la default
:)
@UMPCyBZ@charrosbeisbol@ZapopanGob@JuanJoseFrangie Colapsaron la zona, fue notoria la cantidad de personal procurando controlar los cruces, sin embargo falló la estrategia y se generó un caos mucho mayor que cuando no acuden.
Buena intención, necesitan serías mejoras en la ejecución
El Instituto Nacional de Estándares y Tecnología (NIST) ha lanzado la versión final de la Publicación Especial (SP) 800-55, una guía clave para evaluar y mejorar la eficacia de los programas de seguridad de la información en cualquier organización. 🔍🔐
¡Prepárate para el futuro de la protección de datos! 🌐💡
Este 29 de enero, acompáñame en el webinar gratuito "Visión 2025: Tendencias y Retos Clave en Protección de Datos". 🚀
🔍 Exploraremos los desafíos de la IA, IoT y más. ¡No te quedes fuera! Regístrate aquí
#ProtecciónDeDatos #WebinarGratis
👇🏻