Episodios

  • RadioCSIRT – Edición Española – (Ep. 61)

    RadioCSIRT – Edición Española – (Ep. 61)
    Dec 25 2025

    Bienvenidos a su podcast diario de ciberseguridad.

    Abrimos esta edición con una secuencia geopolítica que marca una nueva etapa de tensiones transatlánticas en torno a la regulación digital. Estados Unidos ha impuesto restricciones de visado a varias personalidades europeas implicadas en la regulación de plataformas tecnológicas, entre ellas Thierry Breton, ex comisario europeo. Washington justifica la decisión acusando a Europa de censura extraterritorial, especialmente en la aplicación del Digital Services Act. La Unión Europea condenó la medida y solicitó explicaciones formales, defendiendo su soberanía regulatoria.

    Analizamos a continuación CVE-2018-25154, una vulnerabilidad crítica de buffer overflow en GNU Barcode versión 0.99. El fallo en el mecanismo de codificación Code 93 permite la ejecución de código arbitrario mediante archivos de entrada manipulados. El score CVSS 3.1 es crítico con 9.8.

    Revisamos también CVE-2023-36525, una Blind SQL Injection no autenticada que afecta al plugin WordPress WPJobBoard hasta la versión 5.9.0, explotable de forma remota.

    En el apartado de cibercrimen, el FBI incautó la infraestructura web3adspanels.org, utilizada como backend para almacenar credenciales bancarias robadas procedentes de campañas de phishing orientadas a account takeover.

    A continuación, abordamos Urban VPN Proxy, una extensión VPN gratuita cuyas versiones recientes interceptan y exfiltran conversaciones con plataformas de IA, incluyendo metadatos de sesión.

    Por último, tratamos la explotación activa de CVE-2020-12812 en firewalls FortiGate, una vulnerabilidad antigua que sigue permitiendo el bypass de la autenticación de doble factor mediante LDAP.

    Fuentes:

    • Regulación tecnológica y tensiones USA–UE: https://www.01net.com/actualites/pourquoi-les-etats-unis-sattaquent-a-thierry-breton-et-aux-autres-regulateurs-de-la-tech.html
    • CVE-2018-25154 – Desbordamiento de búfer en GNU Barcode: https://cvefeed.io/vuln/detail/CVE-2018-25154
    • CVE-2023-36525 – Inyección SQL ciega en WPJobBoard: https://cvefeed.io/vuln/detail/CVE-2023-36525
    • Incautación del FBI – web3adspanels.org: https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.html
    • Recopilación de datos de Urban VPN Proxy: https://boingboing.net/2025/12/19/this-free-vpn-is-a-massive-security-risk.html
    • Explotación de la vulneración de 2FA en FortiGate: https://cyberpress.org/hackers-abuse-3-year-old-fortigate-flaw/

    Don’t think, patch!

    Sus comentarios son bienvenidos.
    Email: radiocsirt@gmail.com
    Sitio web: https://www.radiocsirt.com/es
    Newsletter semanal: https://radiocsirtspanishedition.substack.com/
    Más Menos
    10 m
  • RadioCSIRT – Edición Española – (Ep. 60)

    RadioCSIRT – Edición Española – (Ep. 60)
    Dec 24 2025

    Bienvenidos a su podcast diario de ciberseguridad.

    Una nueva iniciativa reúne a expertos voluntarios en ciberseguridad para reforzar la protección de los servicios de agua frente a amenazas crecientes. Profesionales de la comunidad DEF CON Franklin colaboran con operadores públicos para evaluar sistemas OT y mejorar la resiliencia de infraestructuras críticas.

    MongoDB ha emitido una advertencia urgente instando a los administradores a corregir de inmediato una grave vulnerabilidad de ejecución remota de código. La falla afecta a servidores Node.js y cuenta con exploits de prueba disponibles públicamente.

    Una campaña de compromiso masivo vinculada al malware PCPcat explotó vulnerabilidades críticas en Next.js y React, comprometiendo más de 59.000 servidores en menos de 48 horas y robando credenciales y claves SSH.

    En Francia, La Poste y La Banque Postale sufrieron importantes interrupciones tras un ataque DDoS durante las fiestas, afectando a varios servicios en línea sin evidencia de filtración de datos.

    Fuentes:

    • Cyber Volunteers / Water Utility / MSSP : https://therecord.media/cyber-volunteer-water-utility-mssp
    • MongoDB – Severe RCE Patch Warning : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/
    • PCPcat – React/Next.js Servers Breach : https://thecyberexpress.com/pcpcat-react-servers-nextjs-breach/
    • La Poste – Outage After a Cyber Attack : https://securityaffairs.com/186064/security/la-poste-outage-after-a-cyber-attack.html

    Don’t think, patch!

    Sus comentarios son bienvenidos.
    Email: radiocsirt@gmail.com
    Sitio web: https://www.radiocsirt.com/es
    Newsletter semanal: https://radiocsirtspanishedition.substack.com/
    Más Menos
    8 m
  • RadioCSIRT Edición Española – (Ep.59)

    RadioCSIRT Edición Española – (Ep.59)
    Dec 23 2025

    Bienvenidos a su podcast diario de ciberseguridad.

    CISA ha incluido la CVE-2023-52163 en su catálogo KEV tras confirmar su explotación activa en grabadores Digiever DS-2105 Pro. El fallo permite evadir los controles de autorización. CISA urge a actualizar el firmware para prevenir el acceso no autorizado. Esta vulnerabilidad es un vector común para intrusiones en infraestructuras IoT y redes de vigilancia física.

    Genians Security Center detalla la campaña "Artemis" de APT37 contra Corea del Sur mediante documentos HWP. El ataque emplea objetos OLE y DLL side-loading vía VolumeId para desplegar el troyano RoKRAT. La campaña usa esteganografía y servicios de nube como Yandex y pCloud para el control C2. El uso de procesos legítimos para ejecutar el malware dificulta su detección por soluciones tradicionales.

    SoundCloud informa de una brecha que afecta a 26 millones de cuentas tras un acceso no autorizado a un panel secundario. Los datos expuestos incluyen correos y perfiles públicos, sin afectar a contraseñas. El incidente provocó ataques DDoS y problemas de conectividad VPN debido al endurecimiento de los controles de identidad implementados por la plataforma.

    Investigadores de Socket Security detectaron dos extensiones de Chrome, Phantom Shuttle, que roban credenciales en 170 dominios, incluidos AWS y GitHub. Las extensiones interceptan el tráfico mediante scripts PAC y actúan como Man-in-the-Middle. La información confidencial se envía en texto plano al servidor C2 phantomshuttle[.]space, comprometiendo tokens de sesión y claves API.

    Anna’s Archive publicó 300 terabytes de contenido de Spotify, incluyendo 86 millones de canciones. El scraping masivo se realizó mediante stream-ripping automatizado con cuentas de terceros durante meses. Spotify desactivó las cuentas implicadas y reforzó sus defensas para detectar patrones de reproducción anómalos y proteger los derechos de los creadores.

    Sources:
    CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalog
    APT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dll
    SoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/
    Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html
    Spotify Scraping : https://therecord.media/spotify-disables-scraping-annas

    Don’t think, patch!

    Sus comentarios son bienvenidos.
    Email: radiocsirt@gmail.com
    Sitio web: https://www.radiocsirt.com/es
    Newsletter semanal: https://radiocsirtspanishedition.substack.com/
    Más Menos
    7 m
  • RadioCSIRT Edición Española – (Ep.58)

    RadioCSIRT Edición Española – (Ep.58)
    Dec 23 2025
    Bienvenidos a su podcast diario de ciberseguridad.Pornhub alerta a sus suscriptores Premium tras una exposición de datos el 8 de noviembre de 2025 mediante el proveedor de analytics Mixpanel. Los cibercriminales amenazan con contactar directamente a los usuarios afectados por email. Mixpanel disputa que los datos provengan de su incidente de seguridad del 8 de noviembre, indicando ninguna evidencia de exfiltración desde sus sistemas. Pornhub confirma que contraseñas, detalles de pago e información financiera no están comprometidos, limitándose la exposición a un conjunto restringido de eventos analíticos. Los atacantes explotan estos datos para campañas de sextortion dirigidas específicamente a usuarios Premium identificados.Intezer documenta una campaña del grupo Goffee dirigida a personal militar ruso y organizaciones de defensa. El ataque inicial identificado en octubre utiliza un archivo XLL malicioso subido desde Ucrania luego Rusia a VirusTotal, titulado "enemy's planned targets". El archivo despliega el backdoor EchoGather para recopilar información del sistema, ejecutar comandos y exfiltrar archivos hacia un servidor C2 disfrazado como sitio de entrega de comida. Los señuelos de phishing incluyen falsa invitación a concierto para oficiales militares superiores y carta imitando el Ministerio de Industria y Comercio ruso solicitando documentos de justificación tarifaria para contratos de defensa.CISA y NIST publican el borrador del Interagency Report 8597 sobre protección de tokens y aserciones de identidad contra falsificación, robo y uso malicioso. El documento aborda incidentes recientes en proveedores cloud principales que apuntan al robo, modificación o falsificación de tokens de identidad para acceder a recursos protegidos. El informe cubre controles IAM para sistemas que utilizan aserciones y tokens firmados digitalmente en decisiones de acceso. NIST solicita a los CSP aplicar principios Secure by Design, priorizando transparencia, configurabilidad e interoperabilidad. Las agencias federales deben comprender arquitectura y modelos de despliegue de sus CSP para alinear postura de riesgo y entorno de amenaza.Check Point Research ha documentado GachiLoader, un loader malware Node.js fuertemente ofuscado distribuido mediante YouTube Ghost Network. La campaña aprovecha 39 cuentas comprometidas difundiendo más de 100 vídeos dirigidos a usuarios de cheats para videojuegos, acumulando 220.000 visualizaciones desde diciembre de 2024. El malware implementa verificaciones anti-análisis que incluyen RAM mínima de 4 GB, 2 núcleos CPU y listas negras de usernames, hostnames y procesos en ejecución. GachiLoader desactiva Windows Defender y añade exclusiones para C:\Users, C:\ProgramData, C:\Windows y la extensión .sys. Se han observado dos variantes: la primera descarga Rhadamanthys desde servidores C2, mientras la segunda despliega Kidkadi.node utilizando técnica Vectored Overloading para interceptar llamadas del sistema y cargar PE malicioso.Fuentes: Pornhub sextortion: https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposure | Goffee APT: https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing | NIST/CISA tokens: https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-and | GachiLoader: https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/Don’t think, patch!Sus comentarios son bienvenidos.Email: radiocsirt@gmail.comSitio web: https://www.radiocsirt.com/esNewsletter semanal: https://radiocsirtspanishedition.substack.com/
    Más Menos
    7 m
  • RadioCSIRT Edición Española – (Ep.57)

    RadioCSIRT Edición Española – (Ep.57)
    Dec 21 2025

    Bienvenidos a su podcast diario de ciberseguridad.

    La mayoría de los dominios recientemente registrados y aparcados están sirviendo contenido malicioso. Los análisis muestran un uso creciente de servicios de domain parking para alojar páginas de phishing, falsas actualizaciones de software y redirecciones hacia infraestructuras de estafa. Estos dominios se utilizan como infraestructura efímera para evadir controles de reputación y acelerar campañas de fraude y malware delivery.

    El grupo APT iraní Infy reaparece con una nueva campaña dirigida. Las operaciones se basan en spear-phishing con documentos maliciosos y señuelos de carácter político y diplomático. Las cargas incluyen backdoors actualizadas, mecanismos de persistencia mediante el registro de Windows y canales C2 HTTP(S) ofuscados, lo que indica una reactivación operativa estructurada.

    El NIST publica nuevas recomendaciones de seguridad para el uso de smart speakers en entornos de telemedicina domiciliaria. Los riesgos identificados incluyen la interceptación de tráfico de voz no cifrado, la exposición de datos sanitarios y el uso de estos dispositivos como puntos de pivot hacia sistemas hospitalarios. Las medidas recomendadas se centran en el cifrado de comunicaciones, la segmentación de red y el control estricto de accesos.

    Fuentes:
    Domain parking malicioso: https://krebsonsecurity.com/2025/12/most-parked-domains-now-serving-malicious-content/
    APT Infy: https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html
    NIST smart speakers: https://www.nist.gov/news-events/news/2025/12/securing-smart-speakers-home-health-care-nist-offers-new-guidelines

    Don’t think, patch!

    Sus comentarios son bienvenidos.
    Email: radiocsirt@gmail.com
    Sitio web: https://www.radiocsirt.com/es
    Newsletter semanal: https://radiocsirtspanishedition.substack.com/
    Más Menos
    7 m