Boletín de Ciberseguridad Marzo 2

1. Noticias:

   
   

   El equipo de investigación de amenazas de Darktrace ha informado sobre un aumento significativo en las amenazas de malware como servicio (MaaS), que ahora representan el 57% de las amenazas detectadas, lo que supone un incremento del 17% en comparación con la primera mitad de 2024. Esto refleja una creciente utilización de servicios maliciosos como una forma accesible de ejecutar ciberataques.

   
   

   El informe anual de amenazas 2024 también destaca que los ataques de phishing se están volviendo cada vez más sofisticados, con el spearphishing representando el 38% de los incidentes reportados. En estos ataques, los ciberdelincuentes no solo intentan robar información, sino que están utilizando tácticas de evasión avanzadas para eludir las defensas de seguridad.

   
   

   Tácticas y Herramientas de los Ciberdelincuentes

   
   

   Los atacantes están explotando diversas técnicas, incluyendo:

   
   

   1. Evasión avanzada: Los ciberdelincuentes se centran en explotar vulnerabilidades en los dispositivos perimetrales de las redes, lo que les permite evadir las defensas tradicionales.

   2. Vivir de la Tierra (LOTL): Esta técnica consiste en usar herramientas ya presentes en el sistema, como aplicaciones legítimas, para evitar ser detectados.

   3. Secuestro de herramientas empresariales: Los atacantes están comprometido herramientas críticas de empresas como Dropbox y SharePoint, lo que les permite acceder a datos sensibles y facilitar el ataque.

   4. Uso de credenciales comprometidas de servicios en la nube: Hay un aumento en el uso de credenciales robadas de servicios como SaaS (Software como Servicio), lo que subraya que la gestión de identidades sigue siendo uno de los principales desafíos para las empresas.

   
   

   Aumento de Vulnerabilidades y Ransomware

   
   

   El informe también resalta que los grupos de ransomware están evolucionando sus tácticas. Además de utilizar phishing, ahora interactúan directamente con equipos de TI para obtener información que les permita acceder a sistemas, explotan servicios en la nube y estudian tecnologías de transferencia de archivos para realizar ataques más rápidos. Además, algunos grupos de ransomware están usando métodos de doble extorsión, donde no solo piden un rescate, sino que también amenazan con divulgar información sensible.

   
   

   Panorama Global de Vulnerabilidades

   
   

   • Vulnerabilidades conocidas: El número de vulnerabilidades registradas por MITRE ha aumentado de 18,000 en 2020 a más de 29,000 en 2024, reflejando la complejidad creciente del panorama de amenazas.

     
     

   • Vulnerabilidades explotadas: El catálogo de Vulnerabilidades Conocidas Explotadas (KEV) de la CISA ha superado las 1,200 vulnerabilidades activamente explotadas, lo que pone de relieve la rapidez con que los atacantes aprovechan las brechas de seguridad.

     
     

     Amenaza a la Infraestructura Crítica Nacional (CNI)

     
     

     El informe también subraya un aumento en los ataques dirigidos a organizaciones dentro de sectores considerados infraestructura crítica nacional (CNI). Estos ataques están siendo impulsados tanto por agencias de inteligencia nacionales como por un enfoque más general de análisis de amenazas. Se ha observado una mayor concentración en sectores estratégicos, con la posibilidad de que los actores de amenazas estén buscando ventajas geopolíticas en caso de conflictos.

     
     
     
     

     

     
     
     
     

     Microsoft ha anunciado que el soporte para Exchange Server 2016 y 2019 finalizará el 14 de octubre de 2025. Esto significa que, a partir de esa fecha, Microsoft dejará de proporcionar parches de seguridad, correcciones de errores y soporte técnico para estas versiones de Exchange Server.

     
     

   Impactos Potenciales:

   
   

   1. Vulnerabilidades de seguridad: Sin actualizaciones de seguridad, los servidores quedarán expuestos a ataques cibernéticos, como brechas de datos, ataques de ransomware y otras amenazas a través del correo electrónico.

   
   

   2. Riesgos de cumplimiento: Las organizaciones que sigan utilizando estas versiones pueden enfrentar problemas de cumplimiento con regulaciones importantes como el GDPR (Reglamento General de Protección de Datos) y HIPAA (Ley de Portabilidad y Responsabilidad de Seguro de Salud en EE. UU.).

   
   

   3. Ineficiencia operativa: La falta de actualizaciones podría llevar a ineficiencias operativas debido a la ausencia de nuevas características y mejoras en el rendimiento.

   
   

   Recomendaciones:

   Microsoft recomienda que las empresas migran a Exchange Online o se preparen para actualizar a Exchange Server Subscription Edition (SE), que estará disponible en la segunda mitad de 2025.

   
   
   
   

   

   
   

2. Vulnerabilidades

   
   

   Productos Afectados

   
   

   

   
   
   
   

Descripción:

CVE-2025-26661: SAP NetWeaver presenta un problema en el que no se comprueba correctamente si un usuario tiene los permisos adecuados. Esto permite que un atacante aquiera privilegios más altos de los que debería, lo que puede llevar a una escalada de privilegios.

Si el atacante tiene éxito, podría acceder a información muy sensible y afectar tanto la integridad como la disponibilidad de la aplicación.

CVE-2024-38286: En ciertas versiones de Apache Tomcat (11.0.0-M1 a M20, 10.1.0-M1 a M24, y 9.0.13 a 9.0.89), existe una vulnerabilidad que permite a un atacante causar un fallo llamado OutOfMemoryError. Este fallo se produce aprovechando una debilidad en el proceso de negociación de conexiones seguras (TLS), lo que puede provocar la caída del sistema. Se recomienda actualizar a las versiones más recientes (11.0.0-M21, 10.1.25, o 9.0.90) para corregir este problema.

CVE-2025-24876: El paquete de SAP Approuter en versiones anteriores a la v16.7.1 presenta una vulnerabilidad de autenticación. Esto permite a un atacante robar la sesión de un usuario legítimo al inyectar código malicioso. Esto puede tener un gran impacto en la confidencialidad e integridad de la aplicación.

CVE-2024-39592: En los elementos de PDCE (Componentes de Control de Energía), no se realizan las comprobaciones necesarias para verificar los permisos de un usuario autenticado. Esto permite que un atacante acceda a información sensible, lo que compromete gravemente la confidencialidad de la aplicación.

Recomendaciones:

• Probar las actualizaciones en entornos no productivos previo al paso a producción.

• Aplicar los parches correspondientes a las vulnerabilidades de severidad crítica a la

  brevedad.

Apache ha informado sobre una vulnerabilidad crítica en Apache Tomcat que permite la ejecución remota de código (RCE) y está siendo activamente explotada por actores maliciosos en varias organizaciones. En América Latina, se han identificado más de 39,000 dispositivos con Apache Tomcat accesibles a través de Internet. La explotación de esta vulnerabilidad comenzó solo 30 horas después de la divulgación pública de un exploit de prueba de concepto (PoC).

Descripción

La vulnerabilidad CVE-2025-24813 se trata de un problema en la equivalencia de rutas. Este fallo puede permitir que un atacante ejecute código malicioso y/o acceda a información sensible al subir archivos a través del Servlet Default habilitado para escritura en Apache Tomcat.

Este problema afecta las versiones mencionadas de Apache Tomcat y puede ser explotado si se dan ciertas condiciones:

8

1. Escritura habilitada para el Servlet por defecto (esta opción está deshabilitada por defecto).

2. Soporte para PUT parcial habilitado (esta opción está habilitada por defecto).

3. Subidas sensibles de seguridad hacia un subdirectorio de una URL pública de subida.

4. El atacante tiene conocimiento de los nombres de los archivos sensibles de seguridad.

5. Los archivos sensibles también se suben mediante PUT parcial.

Si todas estas condiciones se cumplen, un atacante podría:

• Ver archivos sensibles de seguridad.

• Inyectar contenido malicioso en esos archivos.

• Ejecutar código remotamente en el servidor.

  
  

  Se recomienda a los usuarios de las versiones afectadas de Apache Tomcat actualizar a versiones corregidas como:

  
  

  • 11.0.0-M21 • 10.1.35• 9.0.99

  
  

  Esto solucionará la vulnerabilidad y protegerá contra los posibles ataques.

  
  

  
  

  Recomendaciones:

  
  

  Pruebas en entornos no productivos: Antes de implementar cualquier actualización en el entorno de producción, realiza pruebas exhaustivas en un entorno no productivo para asegurarte de que todo funcione correctamente.

  
  

  Aplicar actualizaciones o mitigaciones rápidamente: Aplica las actualizaciones de seguridad o las mitigaciones indicadas por los fabricantes a la mayor brevedad posible para reducir el riesgo de explotación.

  
  

  Evaluar desactivación de requests PUT sin WAF: Si no cuentas con un Firewall de Aplicación Web (WAF), considera desactivar las solicitudes PUT para evitar que los atacantes suban archivos maliciosos.

  
  

  Si no puedes actualizar de inmediato: Si no puedes realizar la actualización inmediatamente, realiza los siguientes ajustes como medida temporal:

  
  

• Desactiva el soporte para PUT parcial en la configuración del Servlet Default.

• Evita almacenar archivos sensibles en subdirectorios dentro de las rutas públicas de

  subida (public upload paths).