¡Llegó el Hacknews! Esta semana, los ataques no se ven como amenazas: Se disfrazan de paquetes confiables, imágenes inocentes o mensajes técnicos bien escritos. Si estás en Colombia tenemos un reto espacial para la seguridad de tu empresa…

📰 Lo último de la semana

Descargas una librería npm para tu proyecto y le abres la puerta a un atacante

Todo parece legítimo y cotidiano, un paquete popular, buena descripción, miles de descargas. Pero entre ellos se colaron 126 paquetes maliciosos con más de 80 000 descargas, usados para robar credenciales, tokens y credenciales SSH.

Para equipos técnicos, revisa las dependencias con herramientas como npm audit o Snyk, usa repositorios internos y aplica revisiones automáticas antes de subir a producción. Y si eres desarrollador independiente instala solo paquetes de autores verificados y evita copiar comandos de instalación de foros desconocidos.

Con una foto por WhatsApp tu celular Samsung podría ser hackeado

No abriste ningún archivo ni hiciste clic, pero igual fuiste víctima. Investigadores confirmaron una vulnerabilidad 0-click en dispositivos Samsung explotada para instalar el spyware LANDFALL mediante imágenes enviadas por WhatsApp. El ataque no requería interacción y afectó a miles de usuarios antes de que Samsung lanzara el parche de seguridad.

Por ello si usan celulares Samsung en la empresa, exige actualizaciones inmediatas en los móviles corporativos, usa soluciones MDM para limitar el uso de apps personales y aplica políticas de cifrado y borrado remoto.

Cómo usuario de Samsung actualiza tu dispositivo, evita reenviar archivos sospechosos y activa la verificación en dos pasos.

El “clic rápido” que infecta empresas enteras: nueva ola de ClickFix phishing

Recibes un correo con un supuesto error técnico y un mensaje de ayuda: “Copia este comando para solucionarlo”. Lo haces… y sin saberlo, instalas malware. Así funciona la campaña ClickFix, que engaña a empleados de sectores como hotelería y retail para ejecutar comandos que abren puertas a ataques remotos.

Por ello es indispensable la capacitación en phishing avanzado, restringir la ejecución de scripts sin firma y bloquear comandos sospechosos en endpoints. Además, como consejo personal nunca copies instrucciones de correos, incluso si parecen del área de soporte, siempre sospecha y pregunta al área por otro canal.