CSIRT-CAN – Centro de Respuesta a Incidentes de Seguridad de Canarias

Listas de Blogs

TIPOS DE IA: ¿EN QUÉ SE DIFERENCIAN?

La inteligencia artificial (IA) es una de las herramientas de innovación más poderosas de nuestro siglo. Sin embargo, hay distintos tipos que tienen diversas funciones complementarias. Así que hoy analizamos las diferencias entre IA generativa (Chat GPT) y la IA predictiva (Google Maps). 1) Objetivo principalLa IA generativa aprende patrones de grandes volúmenes de datos y luego genera una salida nueva, como texto, imágenes, audio, vídeo o código. La IA predictiva usa datos históricos para estimar resultados futuros o asignar una categoría: por ejemplo, prever ventas, detectar fraude, estimar abandono de clientes o decidir si un correo es spam.  2) Tipo de salidaLa salida de la IA generativa suele ser algo “creado”: un borrador de email, una imagen, un resumen, una respuesta conversacional o una pieza de código.  La salida de la IA predictiva/tradicional suele ser una probabilidad, etiqueta, puntuación, recomendación o decisión: “riesgo alto”, “cliente con 82% de probabilidad de cancelar”, “aprobado/rechazado”, “producto recomendado”.  3) Cómo “piensan”En términos simples: •    La predictiva intenta responder: “¿qué va a pasar?” o “¿a qué categoría pertenece esto?”.   •    La generativa intenta responder: “¿cómo sería un ejemplo nuevo parecido a lo aprendido?”. 4) Datos y entrenamientoLa IA generativa suele entrenarse con conjuntos de datos muy grandes y variados porque necesita aprender la estructura del contenido para poder producir nuevas salidas convincentes.  La IA predictiva puede trabajar con datos más enfocados y etiquetados para una tarea concreta, como impago sí/no, churn sí/no, demanda por semana o diagnóstico por clase.   5) Ejemplos cotidianos Generativa•    Redactar un correo.•    Crear una imagen.•    Resumir un informe.•    Generar código.•    Producir una transcripción o una respuesta conversacional. Predictiva •    Filtro de spam.•    Scoring de crédito.•    Detección de fraude.•    Predicción de ventas.•    Recomendadores.•    Clasificación de documentos o imágenes. 6) Una forma fácil de recordarlo•    Generativa: redacta el informe.•    Predictiva: calcula la probabilidad de que ocurra algo. 

Leer más

Mirai: una infraestructura para el cibercrimen

Mirai es un malware que infecta dispositivos como cámaras, aparatos de wifi, televisiones inteligentes.Convierte estos dispositivos en una red controlada por atacantes, a los que denominados botnet. Este malware se ha utilizado para lanzar ataques masivos coordinados. Sin embargo, hay actualizaciones en su configuración.Las nuevas variantes han mejorado los ataques DDoS. Ahora son más grandes, más distribuidos, más difíciles de bloquear. Además, la novedad clave está en el uso de nuevos proxies malicioso. •    El atacante redirige tráfico a través de ellos•    Parecen “usuarios normales” desde fueraEsto permite:•    Ocultar la identidad del atacante•    Evadir bloqueos y sistemas de seguridad•    Simular tráfico legítimoEs parecido a usar una VPN… pero ilegal y con dispositivos hackeados.Estas innovaciones se pueden utilizar principalmente para preservar el anonimato de los atacantes y lanzar ataques a mayor escala. A diferencia de hace unos pocos meses, este malware podía tumbar una web, ahora puede mantener el anonimato y preservar un fraude. Se vuelven plataformas multifunción, no solo herramientas de ataque. Y esto es extremadamente preocupante:•    Hay millones de dispositivos IoT vulnerables•    Los ataques ahora son:o    Más difíciles de detectaro    Más rentables para los atacanteso    Más persistentesAdemás, el malware Mirai ya es como un “modelo base” que otros reutilizan constantemente. Mirai ha evolucionado de una herramienta de DDoS a una infraestructura completa de cibercrimen. 

Leer más

El FBI desarticula grupos hacktivistas pro-iraní

El FBI (Oficina Federal de Investigaciones de EE. UU.) incautó esta semana dos sitios web vinculados a un grupo de hackers pro iraní conocido como Handala Hack Team. La acción se realizó junto con el Departamento de Justicia de EE. UU. como parte de una operación coordinada para interrumpir actividades cibernéticas consideradas maliciosas y vinculadas a un actor extranjero. Los dos dominios que fueron tomados por el FBI:1.    Uno funcionaba como sitio central donde el grupo Handala publicaba información sobre sus operaciones de hackeo.2.    El otro se usaba para publicar datos personales (“doxing”) de personas supuestamente vinculadas a empresas de defensa o tecnología israelíes (como Elbit Systems o NSO Group).Ambos sitios ahora muestran un avisooficial indicando que la infraestructura ha sido incautada por autoridades federales de EE. UU. porque se determinó que se usaban para “facilitar actividades cibernéticas maliciosas en nombre de, o en coordinación con, un actor estatal extranjero.” Handala Hack Team es un grupo de hacktivistas que se presenta como pro palestino, y ha estado activo al menos desde finales de 2023. Aunque el grupo se autodefine a sí mismo como “activista”, existen indicios de que podría operar con al menos el apoyo tácito de actores estatales iraníes, o acuar como faceta menos oficial de operaciones vinculadas a Irán. Este grupo ha reivindicado ataques de tipo político, incluyendo la eliminación de datos de redes, filtración de información y publicación de listas de objetivos.La operación policial llega justo después de que Handala reclamara responsabilidad por un ciberataque significativo contra Stryker Corporation, una gran empresa de tecnología médica con decenas de miles de empleados. Según el grupo:•    Accedieron a una cuenta administrativa interna de Windows.•    Controlaron el sistema de gestión Microsoft Intune.•    Y, desde ahí, borraron datos de decenas de miles de dispositivos corporativos y personales. Este incidente subraya cómo las operaciones cibernéticas se han vuelto parte integral de las tensiones geopolíticas actuales, donde no solo los estados lanzan ataques, sino también grupos afines o financiados por gobiernos pueden participar en campañas digitales con objetivos políticos o estratégicos. Tras el ataque a Stryker, agencias como la CISA (Cybersecurity and Infrastructure Security Agency de EE. UU.) y Microsoft han emitido recomendaciones para reforzar sistemas de gestión de dispositivos, como controles más estrictos de acceso, autenticación multifactor y políticas de privilegios mínimos. 

Leer más

Microsoft Teams sufre una campaña de ingeniería social en pleno auge

Una campaña de ingeniería social que abusa de Microsoft Teams y Windows Quick Assist está en pleno auge.BlueVoyant advierte que los atacantes están implementando una familia de malware recientemente identificada, llamada A0Backdoor, tras convencer a los empleados de que cedan el acceso remoto.Esta actividad se superpone con tácticas previamente vinculadas a Blitz Brigantine, también identificado como Storm-1811, un clúster con fines financieros que Microsoft ha vinculado con las operaciones del ransomware Black Basta.Según BlueVoyant, los ataques suelen comenzar con un bombardeo de correo electrónico, en el que el objetivo recibe una gran cantidad de mensajes basura y luego es contactado por alguien que se hace pasar por el soporte técnico interno a través de Microsoft Teams.El atacante ofrece ayuda para solucionar el problema del correo electrónico y convence al empleado para que inicie Quick Assist, una herramienta legítima de soporte remoto de Microsoft que permite compartir la pantalla y controlar el dispositivo.BlueVoyant descubrió que los instaladores colocaban archivos en rutas AppData del usuario que imitaban ubicaciones legítimas de software de Microsoft y luego recurrían a la instalación de DLL para ejecutar código malicioso.La campaña es importante porque muestra que el mismo manual que los defensores han seguido desde 2024 todavía funciona, pero con herramientas renovadas y un comando y control más encubierto.Para los defensores, la lección es clara: tratar Microsoft Teams como un canal de acceso inicial, no solo como una aplicación de colaboración. Las organizaciones deben restringir o eliminar la Asistencia Rápida donde no sea necesaria, supervisar los chats externos no solicitados de Teams e investigar los instaladores MSI firmados o los binarios de Microsoft que aparecen en directorios inusuales con permisos de escritura para el usuario.

Leer más

Desmantelada Tycoon 2FA: así se llevó a cabo la operación global

Una operación internacional coordinada entre fuerzas de seguridad y empresas tecnológicas ha logrado desmantelar Tycoon 2FA, una de las plataformas de phishing-as-a-service (PhaaS) más utilizadas para comprometer cuentas protegidas con autenticación multifactor (MFA).La acción marca un hito en la lucha contra el cibercrimen y demuestra el impacto de la colaboración público-privada a escala global.Qué era Tycoon 2FA y por qué representaba una amenazaTycoon 2FA era un servicio criminal que ofrecía herramientas listas para usar con las que ciberdelincuentes podían lanzar campañas de phishing avanzadas, incluso sin conocimientos técnicos profundos. Su objetivo principal era interceptar credenciales y tokens de autenticación en tiempo real, permitiendo a los atacantes acceder a cuentas legítimas aun cuando estas estuvieran protegidas con MFA. El sistema utilizaba técnicas de “adversary-in-the-middle” (AiTM): páginas de inicio de sesión falsas actuaban como intermediarias entre la víctima y el servicio legítimo. De este modo, cuando el usuario introducía sus credenciales y completaba el proceso de autenticación, el atacante capturaba tanto la contraseña como el token de sesión necesario para iniciar sesión sin levantar sospechas. Desde su aparición en 2023, Tycoon 2FA se convirtió en uno de los motores más importantes del fraude por suplantación de identidad en internet. Según datos de Microsoft, llegó a estar relacionado con decenas de millones de correos de phishing al mes que afectaban a más de 500.000 organizaciones en todo el mundo. Un ecosistema criminal basado en “servicios”La popularidad de Tycoon 2FA radicaba en su modelo de negocio. Funcionaba como una plataforma por suscripción que ofrecía a los delincuentes:•    Paneles web para gestionar campañas de phishing•    Plantillas de páginas de login realistas•    Captura automática de credenciales y cookies de sesión•    Infraestructura preparada para lanzar ataques a gran escalaEste modelo reducía significativamente la barrera de entrada al cibercrimen, permitiendo que actores con poca experiencia ejecutaran ataques sofisticados contra servicios como Microsoft 365 o Google Workspace. Como consecuencia, miles de atacantes pudieron comprometer cuentas corporativas, facilitando ataques posteriores como Business Email Compromise (BEC), robo de datos o fraudes financieros. La operación internacional que logró desmantelarlaLa caída de Tycoon 2FA fue el resultado de meses de investigación conjunta entre organismos públicos y empresas privadas. La investigación comenzó cuando investigadores de seguridad identificaron la infraestructura del servicio y compartieron la información con fuerzas policiales internacionales. La operación estuvo liderada por Microsoft y coordinada con Europol, junto con agencias policiales de varios países —entre ellos España, Reino Unido, Portugal, Polonia, Letonia y Lituania— y múltiples compañías de ciberseguridad. Entre las acciones clave de la operación destacan:•    Incautación de más de 330 dominios utilizados por la plataforma para sus paneles de control y páginas de phishing. •    Desactivación de la infraestructura técnica que permitía operar el servicio.•    Coordinación con proveedores tecnológicos para bloquear servidores y servicios utilizados por los atacantes.•    Compartición de inteligencia con equipos de respuesta a incidentes (CSIRT) de todo el mundo. El objetivo era interrumpir la cadena de valor del cibercrimen, cortando el acceso a la infraestructura y dificultando que los operadores y sus clientes pudieran continuar con las campañas de phishing.El impacto global de Tycoon 2FAEl alcance de esta plataforma ilustra la escala que han alcanzado los servicios criminales en internet. Se estima que Tycoon 2FA estuvo vinculado a casi 100.000 víctimas identificadas desde 2023 y a una gran cantidad de campañas de phishing dirigidas especialmente contra organizaciones empresariales, sanitarias y educativas. Además, investigaciones posteriores han identificado cientos de miles de registros de credenciales y datos de acceso obtenidos mediante la plataforma, lo que demuestra la magnitud de su impacto en empresas y organismos públicos. Un recordatorio para la seguridad digitalEl desmantelamiento de Tycoon 2FA evidencia tanto la sofisticación del cibercrimen actual como la necesidad de cooperación internacional para combatirlo. También pone de relieve que la autenticación multifactor tradicional puede ser vulnerable a ataques avanzados de phishing, especialmente si no se utilizan métodos resistentes al phishing como claves de seguridad o autenticación basada en hardware. Aunque operaciones como esta logran interrumpir infraestructuras criminales, los expertos advierten de que el ecosistema delictivo tiende a adaptarse rápidamente. Por ello, la combinación de inteligencia compartida, acciones legales y mejoras continuas en las defensas digitales seguirá siendo esencial para reducir el impacto de este tipo de amenazas. 

Leer más

¿Qué es CSIRT-CAN?

El CSIRT-CAN (Centro de Respuesta a Incidentes de Seguridad de Canarias) es una entidad dedicada a la protección y resiliencia de las infraestructuras digitales en Canarias. Nuestro centro se especializa en la detección, análisis y mitigación de incidentes de seguridad cibernética, brindando soporte técnico y estratégico a organizaciones públicas y privadas.

Reportar un Incidente
CAPTCHA de imagen
Get new captcha!
Introduzca los caracteres mostrados en la imagen.

¿Qué hacemos por ti?

CSIRT-CAN ofrece diferentes servicios para la prevención y pronta solución de incidentes relacionados con la ciberseguridad.

Tarjeta de Links

Información es PREVENCIÓN

Reporte de INCIDENTES

Proactividad y FORMACIÓN

Está pasando

Tendencias

Slider Principal

¡Cuidado con lo que buscas en Google!

Leer más

Múltiples vulnerabilidades en Power…

Leer más

[SCI] Inyección de comandos en…

Leer más

Vulnerabilidad que permite ejecución…

Leer más

Listados de Alertas
Alertas

Servicios por perfiles

Públicos Objetivo