Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5477
)
-
▼
julio
(Total:
195
)
-
Vulnerabilidad GitLost engaña a la IA de GitHub pa...
-
Ciberdelincuentes explotan fallo de Docker en Gite...
-
4.982 fallos de seguridad en 2.259 servidores MCP ...
-
Fedora frena la IA por presión de sus usuarios
-
Agencia de ciberdefensa de EE. UU. usaría Mythos d...
-
Peligros del envenenamiento por IA
-
Documento judicial revela que el ID de dispositivo...
-
Nintendo retira Switch de Europa por leyes UE
-
Errores críticos en PHP PDO exponen riesgos de iny...
-
Vietnam detiene a los responsables del servicio de...
-
Ubiquiti revela 25 vulnerabilidades de seguridad e...
-
Carros inteligentes en España: comodidad y riesgo ...
-
España detiene a un presunto integrante de grupos ...
-
Vulnerabilidad de 16 años en Linux KVM permite cor...
-
Microsoft prueba Cloud Rebuild en Windows 11
-
PS5: crece el interés por el jailbreak
-
Demanda contra centro de IA en Wisconsin por ruido...
-
Mando con PS1 integrada y pilas
-
Japón desplegará 10 millones de robots para 2040
-
Tuxedo OS cambia Ubuntu por Debian
-
Error de Windows 11 roba 500 GB de disco
-
Transforman una RTX 4080 Laptop en una GPU de sobr...
-
El ID de Windows permite arrestar a miembro de Sca...
-
Transforma su PC en una Steam Machine con Bazzite ...
-
CERT/CC alerta sobre puerta trasera administrativa...
-
Nueva estafa telefónica contra clientes de DIGI
-
Cadena de malware VEIL#DROP emplea la plataforma B...
-
ONU pide regular la IA por su rápido avance
-
Malware Ousaban usa phishing y VBS contra bancos E...
-
Vulnerabilidad en Claude Cowork permite ejecutar c...
-
Detalles de vulnerabilidad SSRF en Microsoft Excha...
-
La propiedad digital era esto: pagar por algo que ...
-
Vinculados a Corea del Norte ocultan cargadores Ja...
-
Los centros de datos IA siguen aumentando la deman...
-
Armored Likho ataca agencias gubernamentales y el ...
-
Samsung 990: SSD PCIe 4.0 de gama baja que llega a...
-
IA Claude Fable 5 logra adaptar Command & Conquer:...
-
CEO de robots humanoides pide moderar expectativas
-
Nueva técnica SkillCloak permite que agentes de IA...
-
El ransomware The Gentlemen usa 21 técnicas de eje...
-
Xbox recorta 3.200 empleos y se reorganiza
-
Ya disponible OpenSSH 10.4 con mejoras de segurida...
-
Cheyenne prohíbe vertidos de Meta por superbacteria
-
IA autónoma crea primer ransomware
-
TrojPix permite atacar computadoras aisladas a 208...
-
Vulnerabilidades en IBM WebSphere permiten ataques...
-
IA acelera diseño de productos en grandes empresas
-
Norcoreanos lanzan 108 paquetes y extensiones mali...
-
Google Maps usará IA para pedir comida
-
Atacan vulnerabilidad crítica de Adobe ColdFusion ...
-
Los empleados de Samsung de la división de móviles...
-
Vulnerabilidades en ModSecurity permiten saltar re...
-
Hackers abusan de invitaciones de OpenAI para roba...
-
Detenido joven de 15 años por ciberataque a Bandai...
-
Nueva variante de QuimaRAT basada en Java disponib...
-
Gemini Spark ya controla tu Mac
-
Varias vulnerabilidades de PHP 8 permiten ataques ...
-
Chrome en Windows 11 permitirá dictar por voz
-
NVIDIA optimiza Blackwell para DeepSeek y reduce c...
-
Un visor web como herramienta definitiva para loca...
-
GTA VI llegará a Switch 2
-
Vulnerabilidad en Opera GX permitía a sitios malic...
-
Evolución visual de los iconos de Windows
-
Honeypots SSH omiten ataques post-login al centrar...
-
Ya disponible distro hacking ético Parrot 7.3 con ...
-
iPhone avisará en tiempo real si sufres una estafa
-
Apple defiende el uso de YouTube para su IA
-
Android 17 bloqueará apps con biometría
-
El desarrollo del firmware de Flipper Zero sigue a...
-
Android ya integra firma digital
-
Microsoft elimina Visor 3D de Windows
-
T3MP3ST: Framework que convierte agentes de IA en ...
-
Microsoft lanza actualización OOBE para Windows 11...
-
Windows 11 obligará a actualizar PCs nuevos
-
Android parchea vulnerabilidad activa
-
Micron «soborna» a la administración Trump con 250...
-
Steam Machine: así recuperas el 20% de rendimiento
-
En silencio, Intel subió el precio recomendado de ...
-
Steam Machine sufre anillo rojo de la muerte
-
Lenovo comienza a montar los SSD chinos de YMTC en...
-
Apple Creator Studio se actualiza con IA
-
GLM: IA china gratuita rivaliza con Claude Mythos
-
Entidad gubernamental de EE. UU. pagó 1 millón de ...
-
Exingeniero de Microsoft recrea Bloc de notas en 2...
-
Google condiciona News Showcase al acceso a datos ...
-
Revelan fallos sin parchear en sistema de archivos...
-
Cómo activar DNS cifradas en móviles
-
Eurodiputado que investigaba el software espía fue...
-
Nueva vulnerabilidad de Linux "Bad Epoll" permite ...
-
¿Basta Microsoft Defender para proteger Windows?
-
Sam Altman vaticina el fin de los programadores
-
Anthropic creará fármacos con IA
-
Damn Vulnerable Drone: laboratorio de cibersegurid...
-
Nueva vulnerabilidad 0-Day "Bad Epoll" permite acc...
-
Engañan a agentes de IA con SEO poisoning y HTML o...
-
Alibaba prohibirá Claude Code por presuntos riesgo...
-
Vulnerabilidades en Apache ActiveMQ permiten ataqu...
-
Intel 18A ya es viable y su producción avanza
-
Nebula automatiza pruebas de penetración con IA
-
Cerebro e IA construyen frases igual
-
Vulnerabilidad en descarga de archivos de ChatGPT ...
-
Claude Code llega a Linux
-
Explotan vulnerabilidad CVE-2026-20230 en Cisco Un...
-
Reservas de usuarios en WhatsApp: riesgos de segur...
-
Intel revive sus procesadores Core de 13ª y 14ª Ge...
-
Francia elimina tasa a paquetes de AliExpress, She...
-
Vulnerabilidades en WatchGuard Firebox OS permiten...
-
Exeurodiputado que investigaba el software espía f...
-
Windows Project Aion: SO centrado en IA
-
Extensiones regresan a Plasma 6
-
Usó Claude AI para obtener entradas gratis en casi...
-
Samsung abarata SSDs eliminando DRAM
-
Microsoft presenta Azure Linux 4 en GitHub
-
Collabora Office 26.04: IA y mejor integración
-
Reviven Windows Movie Maker para Windows 11
-
Phishing de Microsoft 365 usa OAuth para capturar ...
-
Windows 11 ya ejecuta contenedores Linux nativos
-
Grupos de ransomware aprovechan Citrix Bleed 2, BY...
-
India contacta a WhatsApp por preocupaciones de se...
-
Google desmantela la red de proxies residenciales ...
-
Alerta por estafa de falsos delitos por correo
-
Explotan vulnerabilidad CitrixBleed en 24 horas
-
GLM-5.2: la IA china que amenaza a OpenAI y Anthropic
-
DIGI bate récord con 910.700 portabilidades en España
-
Más de 900 instancias de Oracle E-Business expuest...
-
Vulnerabilidad en Cisco Catalyst Center permite le...
-
Usan VLC falso y libvlc.dll malicioso para despleg...
-
Un YouTuber crea «el peor USB del mundo» para evit...
-
-
▼
julio
(Total:
195
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
1489
)
vulnerabilidad
(
1395
)
hardware
(
799
)
software
(
769
)
google
(
709
)
Malware
(
707
)
privacidad
(
616
)
Windows
(
521
)
ransomware
(
497
)
android
(
443
)
cve
(
365
)
linux
(
355
)
exploit
(
337
)
tutorial
(
299
)
manual
(
281
)
nvidia
(
277
)
hacking
(
234
)
WhatsApp
(
173
)
ssd
(
168
)
Wifi
(
131
)
ddos
(
128
)
app
(
123
)
twitter
(
121
)
cifrado
(
119
)
programación
(
104
)
herramientas
(
80
)
youtube
(
80
)
Networking
(
73
)
firefox
(
72
)
sysadmin
(
71
)
firmware
(
68
)
office
(
62
)
adobe
(
61
)
Kernel
(
49
)
antivirus
(
48
)
hack
(
48
)
javascript
(
46
)
apache
(
45
)
juegos
(
42
)
contraseñas
(
39
)
multimedia
(
35
)
cms
(
34
)
eventos
(
32
)
flash
(
32
)
MAC
(
30
)
anonymous
(
28
)
ssl
(
24
)
Forense
(
20
)
conferencia
(
20
)
SeguridadWireless
(
17
)
documental
(
17
)
Debugger
(
14
)
Rootkit
(
14
)
auditoría
(
14
)
lizard squad
(
14
)
metasploit
(
13
)
técnicas hacking
(
13
)
Virtualización
(
11
)
delitos
(
11
)
reversing
(
10
)
adamo
(
9
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
SQLmap es una de las herramienta más conocidas para hacer ataques SQLi (SQL Injection) escrita en Python. SQLmap se encarga de realizar pe...
-
Siempre que hablamos de hardware, y especialmente de procesadores y tarjetas gráficas, uno de los datos técnicos más repetidos es el TDP...
-
Se ha detectado una nueva técnica de ransomware capaz de ejecutarse completamente dentro de un navegador web , sin necesidad de instalar apl...
Documento judicial revela que el ID de dispositivo de Windows ayudó al FBI a rastrear miembro de Scattered Spider
martes, 7 de julio de 2026
|
Publicado por
el-brujo
|
Editar entrada
Fiscales estadounidenses vincularon a Peter Stokes, un joven de 19 años, con un ataque informático a una joyería de lujo mediante el rastreo de un identificador de dispositivo de Windows. El grupo Scattered Spider logró el acceso engañando al soporte técnico de la empresa y robando 77 GB de datos, aunque no pudieron desplegar el ransomware. Stokes fue extraditado desde Finlandia y enfrenta cargos de fraude e intrusión informática.
Fiscales de EE. UU. vincularon a un presunto hacker de Scattered Spider con la intrusión en un minorista de joyería de lujo mediante el uso de un ID de dispositivo de Windows persistente, según una denuncia federal recientemente desclasificada aquí.
Los registros de Microsoft vincularon ese ID primero a la cuenta que los atacantes utilizaron para mantener el acceso durante la intrusión de mayo de 2025, y luego a cuentas en línea que, según los fiscales, pertenecen a Peter Stokes, de 19 años.
Stokes está acusado de conspiración, intrusión informática y fraude. Es ciudadano estadounidense y estonio, conocido en línea como "Bouquet", fue extraditado desde Finlandia aquí y compareció por primera vez ante el tribunal de Chicago el 30 de junio. Se presume que es inocente hasta el juicio.
Entre el 12 y el 15 de mayo de 2025, los atacantes llamaron al servicio de asistencia técnica del minorista desde números de Google Voice, fingieron ser empleados bloqueados y lograron que el personal restableciera las contraseñas de los empleados y los dispositivos móviles vinculados a su autenticación multifactor.
En pocas horas, controlaban tres cuentas, dos de ellas pertenecientes a administradores de TI. Instalaron ngrok y una segunda herramienta de túnel llamada Teleport, movieron datos al almacenamiento en la nube de Amazon y extrajeron al menos 77 gigabytes.
Parece que intentaron desplegar ransomware, pero el equipo de seguridad del minorista lo bloqueó y los expulsó de la red. Los atacantes aun así enviaron un correo electrónico de rescate con el asunto "IMPORTANTE: ROBAMOS LOS DATOS, CONTACTE INMEDIATAMENTE", y más tarde pidieron 8 millones de dólares en criptomonedas. La empresa no pagó. La brecha aun así le costó unos 2 millones de dólares en interrupciones, investigación y limpieza.
La vía de entrada fue el servicio de asistencia, no un fallo de software. La solución es un proceso, no un parche: verifica la identidad antes de cualquier restablecimiento mediante una llamada de retorno a un número ya registrado, la firma de un gerente o verificaciones de video para cuentas privilegiadas. El MFA resistente al phishing, como las claves FIDO2, mitiga otros métodos del grupo, pero no sirve de nada si el soporte técnico restablece una cuenta mediante una llamada telefónica.
Los investigadores rastrearon hasta Stokes desde el dispositivo que abrió la cuenta de ngrok. Microsoft informó al FBI que este llevaba el Global Device Identifier g:6755467234350028, que Microsoft describe como un identificador persistente vinculado a una única instalación de Windows, que sobrevive a las actualizaciones del sistema operativo pero cambia cuando se reinstala Windows.
Los registros de Microsoft muestran que el dispositivo visitó la página de registro de ngrok a las 19:21 UTC del 12 de mayo de 2025, el mismo minuto en que se creó la cuenta, y llegó al sitio web del minorista a través del mismo proxy unas tres horas más tarde.
El dispositivo también apareció repetidamente en las mismas direcciones IP, a las mismas horas, que las cuentas de Snapchat, Apple y Facebook que los fiscales atribuyen a Stokes: una dirección en su ciudad natal de Tallin, Estonia, en junio de 2024, luego Nueva York en noviembre y Tailandia en febrero de 2025, coincidiendo con los registros de viaje del Departamento de Estado.
La denuncia muestra a un operador que ocultó el ataque detrás de un proxy VPN, herramientas de túnel y alias, pero no a sí mismo. Los fiscales dicen que su Snapchat presumía de dinero, relojes y cadenas de diamantes que decían "HACK THE PLANET", junto con los mismos viajes que lo situaban en esas ciudades. Incluso publicó fotos de una comisaría estonia y se burló diciendo que los federales no tenían idea de lo que habían dejado escapar.
Los investigadores ahora pueden vincular a un único operador con la máquina que configuró un ataque. Pero un solo arresto apenas afecta a la amenaza general.
En una investigación reciente y separada, Group-IB sostiene aquí que Scattered Spider no es realmente un solo grupo. Es un colectivo laxo de células pequeñas e independientes, la mayoría de no más de cinco personas, unidas por trucos, herramientas y salas de chat compartidas en lugar de un jefe común. Group-IB lo compara con el movimiento Anonymous y afirma que arrestar a algunas de estas células "no detendrá la amenaza en sí misma".
Los fiscales describen a Scattered Spider como un grupo detrás de más de 100 intrusiones y más de 100 millones de dólares en rescates. Group-IB dice que la etiqueta encaja mejor con una "escena" que con una banda, y sostiene que esa estructura laxa es la razón por la cual la actividad sobrevive a cada arresto.
Otros procesamientos recientes de Scattered Spider siguen la misma forma: individuos arrestados uno a uno, mientras el manual de estrategias compartido permanece intacto. En abril de 2026, el escocés Tyler Buchanan se declaró culpable en EE. UU. de fraude y robo de identidad vinculados al grupo.
En 2025, Noah Urban, conocido como "Sosa", fue sentenciado a 10 años debido a un esquema de intercambio de tarjetas SIM vinculado a Scattered Spider. Y en el Reino Unido, dos presuntos miembros admitieron recientemente el hackeo de Transport for London, que costó un estimado de 29 millones de libras.
Cuando la policía finlandesa detuvo a Stokes en el aeropuerto de Helsinki mientras intentaba embarcar en un vuelo a Japón, incautaron dos discos duros de 2 terabytes. Todo este caso se construyó a partir de ese tipo de material: registros de dispositivos, enlaces de cuentas y rastros de IP. En una red tan difusa, los discos podrían importar más que la condena, si contienen las herramientas, infraestructura o contactos que lleguen al siguiente miembro.
Fuente:
THN
Los registros de Microsoft vincularon ese ID primero a la cuenta que los atacantes utilizaron para mantener el acceso durante la intrusión de mayo de 2025, y luego a cuentas en línea que, según los fiscales, pertenecen a Peter Stokes, de 19 años.
Stokes está acusado de conspiración, intrusión informática y fraude. Es ciudadano estadounidense y estonio, conocido en línea como "Bouquet", fue extraditado desde Finlandia aquí y compareció por primera vez ante el tribunal de Chicago el 30 de junio. Se presume que es inocente hasta el juicio.
Cómo funcionó la intrusión
Entre el 12 y el 15 de mayo de 2025, los atacantes llamaron al servicio de asistencia técnica del minorista desde números de Google Voice, fingieron ser empleados bloqueados y lograron que el personal restableciera las contraseñas de los empleados y los dispositivos móviles vinculados a su autenticación multifactor.
En pocas horas, controlaban tres cuentas, dos de ellas pertenecientes a administradores de TI. Instalaron ngrok y una segunda herramienta de túnel llamada Teleport, movieron datos al almacenamiento en la nube de Amazon y extrajeron al menos 77 gigabytes.
Parece que intentaron desplegar ransomware, pero el equipo de seguridad del minorista lo bloqueó y los expulsó de la red. Los atacantes aun así enviaron un correo electrónico de rescate con el asunto "IMPORTANTE: ROBAMOS LOS DATOS, CONTACTE INMEDIATAMENTE", y más tarde pidieron 8 millones de dólares en criptomonedas. La empresa no pagó. La brecha aun así le costó unos 2 millones de dólares en interrupciones, investigación y limpieza.
La vía de entrada fue el servicio de asistencia, no un fallo de software. La solución es un proceso, no un parche: verifica la identidad antes de cualquier restablecimiento mediante una llamada de retorno a un número ya registrado, la firma de un gerente o verificaciones de video para cuentas privilegiadas. El MFA resistente al phishing, como las claves FIDO2, mitiga otros métodos del grupo, pero no sirve de nada si el soporte técnico restablece una cuenta mediante una llamada telefónica.
El ID que llevó a los investigadores hasta Stokes
Los investigadores rastrearon hasta Stokes desde el dispositivo que abrió la cuenta de ngrok. Microsoft informó al FBI que este llevaba el Global Device Identifier g:6755467234350028, que Microsoft describe como un identificador persistente vinculado a una única instalación de Windows, que sobrevive a las actualizaciones del sistema operativo pero cambia cuando se reinstala Windows.
Los registros de Microsoft muestran que el dispositivo visitó la página de registro de ngrok a las 19:21 UTC del 12 de mayo de 2025, el mismo minuto en que se creó la cuenta, y llegó al sitio web del minorista a través del mismo proxy unas tres horas más tarde.
El dispositivo también apareció repetidamente en las mismas direcciones IP, a las mismas horas, que las cuentas de Snapchat, Apple y Facebook que los fiscales atribuyen a Stokes: una dirección en su ciudad natal de Tallin, Estonia, en junio de 2024, luego Nueva York en noviembre y Tailandia en febrero de 2025, coincidiendo con los registros de viaje del Departamento de Estado.
La denuncia muestra a un operador que ocultó el ataque detrás de un proxy VPN, herramientas de túnel y alias, pero no a sí mismo. Los fiscales dicen que su Snapchat presumía de dinero, relojes y cadenas de diamantes que decían "HACK THE PLANET", junto con los mismos viajes que lo situaban en esas ciudades. Incluso publicó fotos de una comisaría estonia y se burló diciendo que los federales no tenían idea de lo que habían dejado escapar.
Un arresto, y por qué puede que no frene la amenaza
Los investigadores ahora pueden vincular a un único operador con la máquina que configuró un ataque. Pero un solo arresto apenas afecta a la amenaza general.
En una investigación reciente y separada, Group-IB sostiene aquí que Scattered Spider no es realmente un solo grupo. Es un colectivo laxo de células pequeñas e independientes, la mayoría de no más de cinco personas, unidas por trucos, herramientas y salas de chat compartidas en lugar de un jefe común. Group-IB lo compara con el movimiento Anonymous y afirma que arrestar a algunas de estas células "no detendrá la amenaza en sí misma".
Los fiscales describen a Scattered Spider como un grupo detrás de más de 100 intrusiones y más de 100 millones de dólares en rescates. Group-IB dice que la etiqueta encaja mejor con una "escena" que con una banda, y sostiene que esa estructura laxa es la razón por la cual la actividad sobrevive a cada arresto.
Parte de una serie más larga de casos
Otros procesamientos recientes de Scattered Spider siguen la misma forma: individuos arrestados uno a uno, mientras el manual de estrategias compartido permanece intacto. En abril de 2026, el escocés Tyler Buchanan se declaró culpable en EE. UU. de fraude y robo de identidad vinculados al grupo.
En 2025, Noah Urban, conocido como "Sosa", fue sentenciado a 10 años debido a un esquema de intercambio de tarjetas SIM vinculado a Scattered Spider. Y en el Reino Unido, dos presuntos miembros admitieron recientemente el hackeo de Transport for London, que costó un estimado de 29 millones de libras.
Cuando la policía finlandesa detuvo a Stokes en el aeropuerto de Helsinki mientras intentaba embarcar en un vuelo a Japón, incautaron dos discos duros de 2 terabytes. Todo este caso se construyó a partir de ese tipo de material: registros de dispositivos, enlaces de cuentas y rastros de IP. En una red tan difusa, los discos podrían importar más que la condena, si contienen las herramientas, infraestructura o contactos que lleguen al siguiente miembro.
Fuente:
THN
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest

Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.