Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5543
)
-
▼
July
(Total:
261
)
-
Google Earth Pro para PC desaparecerá pronto
-
Ahorra 70% en programación con IA Claude convirtie...
-
Apple demanda a OpenAI por secretos comerciales
-
Cómo evitar que la IA de Instagram use tus fotos
-
Roost: la red social de palomas virtuales
-
Miembro del ransomware Ryuk se declara culpable en...
-
Apple demanda a OpenAI por robo de datos
-
Steam supera ampliamente a PlayStation en usuarios
-
Claude Code ahora es un hacker automático con T3MP3ST
-
ChatGPT Work: el agente de IA que automatiza tus t...
-
Estafa con SSD de 16 TB: recibió una microSD y pesas
-
Proton 11 optimiza Resident Evil y Dino Crisis
-
281 apps VPN de Google Play filtran datos sensible...
-
Fallo de BIOS de Dell permite recuperar contraseña...
-
Grave fallo en Zimbra permitiría ejecutar código m...
-
Instagram retira función de IA por críticas
-
Xalgorix: herramienta de pentesting con metodologí...
-
Equivalencia gráfica de la Steam Machine
-
Google Drive ya no ofrece copias de seguridad grat...
-
Ha muerto Wally Funk, pionera de la aviación y la ...
-
Seis fallos en U-Boot FIT permiten ejecución de có...
-
Investigador afirma que parche de RoguePlanet para...
-
El Parlamento Europeo prorroga el funcionamiento d...
-
Explotan vulnerabilidad de inyección SQL en Django
-
ChatGPT ya crea presentaciones y Excel solo
-
npm 12 desactiva los scripts de instalación por de...
-
Usó IA para vulnerar AWS en 72 horas
-
WhatsApp recordará los cumpleaños
-
uBlock Origin muere en Chromium: alternativas
-
OpenMandriva Linux denuncia intento de sabotaje po...
-
Lanzan GPT-5.6 y ChatGPT Work
-
Lanzado Wireshark 4.6.7 con correcciones contra pa...
-
Grok 4.5 supera a Claude Opus según Elon Musk
-
Examen confirma uso de ChatGPT en clase
-
GitLab corrige ocho vulnerabilidades de seguridad ...
-
Oregón sube 30% luz a centros de datos de IA
-
Claude, Cursor y Codex activan reglas de seguridad...
-
Meta lanza herramienta de IA que utiliza fotos púb...
-
Vulnerabilidad en PAN-OS de Palo Alto permite ejec...
-
GPU casera con 64.000 chips baratos
-
Monitores de LG, Dell y Alienware instalan bloatwa...
-
Tuxedo OS deja Ubuntu por Debian por falta de tran...
-
Mycelium Framework: primera botnet de IA como serv...
-
Ataque de agente doble de IA hace que Claude Deskt...
-
Nueva herramienta promete humanizar los textos aca...
-
CrowdStrike revela 5 nuevas técnicas de inyección ...
-
Claude Cowork permite gestionar sesiones de IA des...
-
Deepin 25.2 optimiza Wayland y la búsqueda
-
Moonraker: el plan de Amazon para mejorar Alexa
-
Cuidado con el nuevo ataque HalluSquatting: podría...
-
Navegador DuckDuckGo bloquea anuncios de YouTube p...
-
GPT-Live: la IA que escucha y habla en tiempo real
-
Banana RAT usa generador de carga útil para crear ...
-
Nuevo SSD de Samsung alcanza 28.400 MB/s
-
70% de sitios de WordPress con PHP desactualizado ...
-
Usan fallos de Roundcube para robar credenciales e...
-
Víctimas de Predatorgate demandan por 8 millones d...
-
Game Pass pierde cuatro millones de usuarios
-
Claude Cowork llega a iPhone y Android
-
Los servidores europeos dependen en buena parte de...
-
OpenAI obtendría permiso del gobierno EE. UU. para...
-
Meta lanza Muse Image para WhatsApp e Instagram
-
El Mundial pone a prueba la interconexión europea ...
-
Filtración de Accenture: robo de 35 GB de código f...
-
Brave añade contenedores tipo Firefox
-
Vuelve Hannah Montana Linux tras 20 años
-
Vulnerabilidad GitLost engaña a la IA de GitHub pa...
-
Ciberdelincuentes explotan fallo de Docker en Gite...
-
4.982 fallos de seguridad en 2.259 servidores MCP ...
-
Fedora frena la IA por presión de sus usuarios
-
Agencia de ciberdefensa de EE. UU. usaría Mythos d...
-
Peligros del envenenamiento por IA
-
Documento judicial revela que el ID de dispositivo...
-
Nintendo retira Switch de Europa por leyes UE
-
Errores críticos en PHP PDO exponen riesgos de iny...
-
Vietnam detiene a los responsables del servicio de...
-
Ubiquiti revela 25 vulnerabilidades de seguridad e...
-
Carros inteligentes en España: comodidad y riesgo ...
-
España detiene a un presunto integrante de grupos ...
-
Vulnerabilidad de 16 años en Linux KVM permite cor...
-
Microsoft prueba Cloud Rebuild en Windows 11
-
PS5: crece el interés por el jailbreak
-
Demanda contra centro de IA en Wisconsin por ruido...
-
Mando con PS1 integrada y pilas
-
Japón desplegará 10 millones de robots para 2040
-
Tuxedo OS cambia Ubuntu por Debian
-
Error de Windows 11 roba 500 GB de disco
-
Transforman una RTX 4080 Laptop en una GPU de sobr...
-
El ID de Windows permite arrestar a miembro de Sca...
-
Transforma su PC en una Steam Machine con Bazzite ...
-
CERT/CC alerta sobre puerta trasera administrativa...
-
Nueva estafa telefónica contra clientes de DIGI
-
Cadena de malware VEIL#DROP emplea la plataforma B...
-
ONU pide regular la IA por su rápido avance
-
Malware Ousaban usa phishing y VBS contra bancos E...
-
Vulnerabilidad en Claude Cowork permite ejecutar c...
-
Detalles de vulnerabilidad SSRF en Microsoft Excha...
-
La propiedad digital era esto: pagar por algo que ...
-
Vinculados a Corea del Norte ocultan cargadores Ja...
-
Los centros de datos IA siguen aumentando la deman...
-
Armored Likho ataca agencias gubernamentales y el ...
-
Samsung 990: SSD PCIe 4.0 de gama baja que llega a...
-
IA Claude Fable 5 logra adaptar Command & Conquer:...
-
CEO de robots humanoides pide moderar expectativas
-
Nueva técnica SkillCloak permite que agentes de IA...
-
El ransomware The Gentlemen usa 21 técnicas de eje...
-
Xbox recorta 3.200 empleos y se reorganiza
-
Ya disponible OpenSSH 10.4 con mejoras de segurida...
-
Cheyenne prohíbe vertidos de Meta por superbacteria
-
IA autónoma crea primer ransomware
-
TrojPix permite atacar computadoras aisladas a 208...
-
Vulnerabilidades en IBM WebSphere permiten ataques...
-
IA acelera diseño de productos en grandes empresas
-
Norcoreanos lanzan 108 paquetes y extensiones mali...
-
Google Maps usará IA para pedir comida
-
Atacan vulnerabilidad crítica de Adobe ColdFusion ...
-
Los empleados de Samsung de la división de móviles...
-
Vulnerabilidades en ModSecurity permiten saltar re...
-
Hackers abusan de invitaciones de OpenAI para roba...
-
Detenido joven de 15 años por ciberataque a Bandai...
-
Nueva variante de QuimaRAT basada en Java disponib...
-
Gemini Spark ya controla tu Mac
-
Varias vulnerabilidades de PHP 8 permiten ataques ...
-
Chrome en Windows 11 permitirá dictar por voz
-
NVIDIA optimiza Blackwell para DeepSeek y reduce c...
-
Un visor web como herramienta definitiva para loca...
-
GTA VI llegará a Switch 2
-
Vulnerabilidad en Opera GX permitía a sitios malic...
-
-
▼
July
(Total:
261
)
Blogroll
Labels
seguridad
(
1499
)
vulnerabilidad
(
1410
)
hardware
(
804
)
software
(
790
)
google
(
711
)
Malware
(
707
)
privacidad
(
625
)
Windows
(
521
)
ransomware
(
498
)
android
(
446
)
cve
(
365
)
linux
(
359
)
exploit
(
340
)
tutorial
(
299
)
manual
(
281
)
nvidia
(
277
)
hacking
(
236
)
WhatsApp
(
173
)
ssd
(
170
)
Wifi
(
131
)
ddos
(
128
)
app
(
123
)
twitter
(
121
)
cifrado
(
120
)
programación
(
104
)
youtube
(
81
)
herramientas
(
80
)
Networking
(
73
)
firefox
(
73
)
sysadmin
(
71
)
firmware
(
70
)
office
(
62
)
adobe
(
61
)
Kernel
(
49
)
antivirus
(
48
)
hack
(
48
)
javascript
(
46
)
apache
(
45
)
juegos
(
42
)
contraseñas
(
39
)
multimedia
(
35
)
cms
(
34
)
eventos
(
32
)
flash
(
32
)
MAC
(
30
)
anonymous
(
28
)
ssl
(
24
)
Forense
(
20
)
conferencia
(
20
)
SeguridadWireless
(
17
)
documental
(
17
)
Debugger
(
14
)
Rootkit
(
14
)
auditoría
(
14
)
lizard squad
(
14
)
metasploit
(
13
)
técnicas hacking
(
13
)
Virtualización
(
11
)
delitos
(
11
)
reversing
(
10
)
adamo
(
9
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
SQLmap es una de las herramienta más conocidas para hacer ataques SQLi (SQL Injection) escrita en Python. SQLmap se encarga de realizar pe...
-
Siempre que hablamos de hardware, y especialmente de procesadores y tarjetas gráficas, uno de los datos técnicos más repetidos es el TDP...
-
Ha surgido una nueva cepa de ransomware llamada The Gentlemen , considerada una de las amenazas más agresivas de este año. Este malware, esc...
Documento judicial revela que el ID de dispositivo de Windows ayudó al FBI a rastrear miembro de Scattered Spider
Tuesday, July 7, 2026
|
Posted by
el-brujo
|
Edit Post
Fiscales estadounidenses vincularon a Peter Stokes, un joven de 19 años, con un ataque informático a una joyería de lujo mediante el rastreo de un identificador de dispositivo de Windows. El grupo Scattered Spider logró el acceso engañando al soporte técnico de la empresa y robando 77 GB de datos, aunque no pudieron desplegar el ransomware. Stokes fue extraditado desde Finlandia y enfrenta cargos de fraude e intrusión informática.
Fiscales de EE. UU. vincularon a un presunto hacker de Scattered Spider con la intrusión en un minorista de joyería de lujo mediante el uso de un ID de dispositivo de Windows persistente, según una denuncia federal recientemente desclasificada aquí.
Los registros de Microsoft vincularon ese ID primero a la cuenta que los atacantes utilizaron para mantener el acceso durante la intrusión de mayo de 2025, y luego a cuentas en línea que, según los fiscales, pertenecen a Peter Stokes, de 19 años.
Stokes está acusado de conspiración, intrusión informática y fraude. Es ciudadano estadounidense y estonio, conocido en línea como "Bouquet", fue extraditado desde Finlandia aquí y compareció por primera vez ante el tribunal de Chicago el 30 de junio. Se presume que es inocente hasta el juicio.
Entre el 12 y el 15 de mayo de 2025, los atacantes llamaron al servicio de asistencia técnica del minorista desde números de Google Voice, fingieron ser empleados bloqueados y lograron que el personal restableciera las contraseñas de los empleados y los dispositivos móviles vinculados a su autenticación multifactor.
En pocas horas, controlaban tres cuentas, dos de ellas pertenecientes a administradores de TI. Instalaron ngrok y una segunda herramienta de túnel llamada Teleport, movieron datos al almacenamiento en la nube de Amazon y extrajeron al menos 77 gigabytes.
Parece que intentaron desplegar ransomware, pero el equipo de seguridad del minorista lo bloqueó y los expulsó de la red. Los atacantes aun así enviaron un correo electrónico de rescate con el asunto "IMPORTANTE: ROBAMOS LOS DATOS, CONTACTE INMEDIATAMENTE", y más tarde pidieron 8 millones de dólares en criptomonedas. La empresa no pagó. La brecha aun así le costó unos 2 millones de dólares en interrupciones, investigación y limpieza.
La vía de entrada fue el servicio de asistencia, no un fallo de software. La solución es un proceso, no un parche: verifica la identidad antes de cualquier restablecimiento mediante una llamada de retorno a un número ya registrado, la firma de un gerente o verificaciones de video para cuentas privilegiadas. El MFA resistente al phishing, como las claves FIDO2, mitiga otros métodos del grupo, pero no sirve de nada si el soporte técnico restablece una cuenta mediante una llamada telefónica.
Los investigadores rastrearon hasta Stokes desde el dispositivo que abrió la cuenta de ngrok. Microsoft informó al FBI que este llevaba el Global Device Identifier g:6755467234350028, que Microsoft describe como un identificador persistente vinculado a una única instalación de Windows, que sobrevive a las actualizaciones del sistema operativo pero cambia cuando se reinstala Windows.
Los registros de Microsoft muestran que el dispositivo visitó la página de registro de ngrok a las 19:21 UTC del 12 de mayo de 2025, el mismo minuto en que se creó la cuenta, y llegó al sitio web del minorista a través del mismo proxy unas tres horas más tarde.
El dispositivo también apareció repetidamente en las mismas direcciones IP, a las mismas horas, que las cuentas de Snapchat, Apple y Facebook que los fiscales atribuyen a Stokes: una dirección en su ciudad natal de Tallin, Estonia, en junio de 2024, luego Nueva York en noviembre y Tailandia en febrero de 2025, coincidiendo con los registros de viaje del Departamento de Estado.
La denuncia muestra a un operador que ocultó el ataque detrás de un proxy VPN, herramientas de túnel y alias, pero no a sí mismo. Los fiscales dicen que su Snapchat presumía de dinero, relojes y cadenas de diamantes que decían "HACK THE PLANET", junto con los mismos viajes que lo situaban en esas ciudades. Incluso publicó fotos de una comisaría estonia y se burló diciendo que los federales no tenían idea de lo que habían dejado escapar.
Los investigadores ahora pueden vincular a un único operador con la máquina que configuró un ataque. Pero un solo arresto apenas afecta a la amenaza general.
En una investigación reciente y separada, Group-IB sostiene aquí que Scattered Spider no es realmente un solo grupo. Es un colectivo laxo de células pequeñas e independientes, la mayoría de no más de cinco personas, unidas por trucos, herramientas y salas de chat compartidas en lugar de un jefe común. Group-IB lo compara con el movimiento Anonymous y afirma que arrestar a algunas de estas células "no detendrá la amenaza en sí misma".
Los fiscales describen a Scattered Spider como un grupo detrás de más de 100 intrusiones y más de 100 millones de dólares en rescates. Group-IB dice que la etiqueta encaja mejor con una "escena" que con una banda, y sostiene que esa estructura laxa es la razón por la cual la actividad sobrevive a cada arresto.
Otros procesamientos recientes de Scattered Spider siguen la misma forma: individuos arrestados uno a uno, mientras el manual de estrategias compartido permanece intacto. En abril de 2026, el escocés Tyler Buchanan se declaró culpable en EE. UU. de fraude y robo de identidad vinculados al grupo.
En 2025, Noah Urban, conocido como "Sosa", fue sentenciado a 10 años debido a un esquema de intercambio de tarjetas SIM vinculado a Scattered Spider. Y en el Reino Unido, dos presuntos miembros admitieron recientemente el hackeo de Transport for London, que costó un estimado de 29 millones de libras.
Cuando la policía finlandesa detuvo a Stokes en el aeropuerto de Helsinki mientras intentaba embarcar en un vuelo a Japón, incautaron dos discos duros de 2 terabytes. Todo este caso se construyó a partir de ese tipo de material: registros de dispositivos, enlaces de cuentas y rastros de IP. En una red tan difusa, los discos podrían importar más que la condena, si contienen las herramientas, infraestructura o contactos que lleguen al siguiente miembro.
Fuente:
THN
Los registros de Microsoft vincularon ese ID primero a la cuenta que los atacantes utilizaron para mantener el acceso durante la intrusión de mayo de 2025, y luego a cuentas en línea que, según los fiscales, pertenecen a Peter Stokes, de 19 años.
Stokes está acusado de conspiración, intrusión informática y fraude. Es ciudadano estadounidense y estonio, conocido en línea como "Bouquet", fue extraditado desde Finlandia aquí y compareció por primera vez ante el tribunal de Chicago el 30 de junio. Se presume que es inocente hasta el juicio.
Cómo funcionó la intrusión
Entre el 12 y el 15 de mayo de 2025, los atacantes llamaron al servicio de asistencia técnica del minorista desde números de Google Voice, fingieron ser empleados bloqueados y lograron que el personal restableciera las contraseñas de los empleados y los dispositivos móviles vinculados a su autenticación multifactor.
En pocas horas, controlaban tres cuentas, dos de ellas pertenecientes a administradores de TI. Instalaron ngrok y una segunda herramienta de túnel llamada Teleport, movieron datos al almacenamiento en la nube de Amazon y extrajeron al menos 77 gigabytes.
Parece que intentaron desplegar ransomware, pero el equipo de seguridad del minorista lo bloqueó y los expulsó de la red. Los atacantes aun así enviaron un correo electrónico de rescate con el asunto "IMPORTANTE: ROBAMOS LOS DATOS, CONTACTE INMEDIATAMENTE", y más tarde pidieron 8 millones de dólares en criptomonedas. La empresa no pagó. La brecha aun así le costó unos 2 millones de dólares en interrupciones, investigación y limpieza.
La vía de entrada fue el servicio de asistencia, no un fallo de software. La solución es un proceso, no un parche: verifica la identidad antes de cualquier restablecimiento mediante una llamada de retorno a un número ya registrado, la firma de un gerente o verificaciones de video para cuentas privilegiadas. El MFA resistente al phishing, como las claves FIDO2, mitiga otros métodos del grupo, pero no sirve de nada si el soporte técnico restablece una cuenta mediante una llamada telefónica.
El ID que llevó a los investigadores hasta Stokes
Los investigadores rastrearon hasta Stokes desde el dispositivo que abrió la cuenta de ngrok. Microsoft informó al FBI que este llevaba el Global Device Identifier g:6755467234350028, que Microsoft describe como un identificador persistente vinculado a una única instalación de Windows, que sobrevive a las actualizaciones del sistema operativo pero cambia cuando se reinstala Windows.
Los registros de Microsoft muestran que el dispositivo visitó la página de registro de ngrok a las 19:21 UTC del 12 de mayo de 2025, el mismo minuto en que se creó la cuenta, y llegó al sitio web del minorista a través del mismo proxy unas tres horas más tarde.
El dispositivo también apareció repetidamente en las mismas direcciones IP, a las mismas horas, que las cuentas de Snapchat, Apple y Facebook que los fiscales atribuyen a Stokes: una dirección en su ciudad natal de Tallin, Estonia, en junio de 2024, luego Nueva York en noviembre y Tailandia en febrero de 2025, coincidiendo con los registros de viaje del Departamento de Estado.
La denuncia muestra a un operador que ocultó el ataque detrás de un proxy VPN, herramientas de túnel y alias, pero no a sí mismo. Los fiscales dicen que su Snapchat presumía de dinero, relojes y cadenas de diamantes que decían "HACK THE PLANET", junto con los mismos viajes que lo situaban en esas ciudades. Incluso publicó fotos de una comisaría estonia y se burló diciendo que los federales no tenían idea de lo que habían dejado escapar.
Un arresto, y por qué puede que no frene la amenaza
Los investigadores ahora pueden vincular a un único operador con la máquina que configuró un ataque. Pero un solo arresto apenas afecta a la amenaza general.
En una investigación reciente y separada, Group-IB sostiene aquí que Scattered Spider no es realmente un solo grupo. Es un colectivo laxo de células pequeñas e independientes, la mayoría de no más de cinco personas, unidas por trucos, herramientas y salas de chat compartidas en lugar de un jefe común. Group-IB lo compara con el movimiento Anonymous y afirma que arrestar a algunas de estas células "no detendrá la amenaza en sí misma".
Los fiscales describen a Scattered Spider como un grupo detrás de más de 100 intrusiones y más de 100 millones de dólares en rescates. Group-IB dice que la etiqueta encaja mejor con una "escena" que con una banda, y sostiene que esa estructura laxa es la razón por la cual la actividad sobrevive a cada arresto.
Parte de una serie más larga de casos
Otros procesamientos recientes de Scattered Spider siguen la misma forma: individuos arrestados uno a uno, mientras el manual de estrategias compartido permanece intacto. En abril de 2026, el escocés Tyler Buchanan se declaró culpable en EE. UU. de fraude y robo de identidad vinculados al grupo.
En 2025, Noah Urban, conocido como "Sosa", fue sentenciado a 10 años debido a un esquema de intercambio de tarjetas SIM vinculado a Scattered Spider. Y en el Reino Unido, dos presuntos miembros admitieron recientemente el hackeo de Transport for London, que costó un estimado de 29 millones de libras.
Cuando la policía finlandesa detuvo a Stokes en el aeropuerto de Helsinki mientras intentaba embarcar en un vuelo a Japón, incautaron dos discos duros de 2 terabytes. Todo este caso se construyó a partir de ese tipo de material: registros de dispositivos, enlaces de cuentas y rastros de IP. En una red tan difusa, los discos podrían importar más que la condena, si contienen las herramientas, infraestructura o contactos que lleguen al siguiente miembro.
Fuente:
THN

Newer Post
0 comments :
Post a Comment
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.