Clics, descargas y código vulnerable...¿Qué podría salir mal?

Actualiza Chrome: ya están explotando esta vulnerabilidad crítica

Navegas como siempre y sin darte cuenta, una página activa una falla crítica en Chrome. Se trata de CVE-2025-6554, una vulnerabilidad tipo type confusion en el motor V8 que permite a atacantes ejecutar código en tu sistema.

Google confirmó que ya está siendo explotada activamente. Por eso lanzó una actualización de emergencia para usuarios de Windows, macOS y Linux. Si usas Chrome (o navegadores basados en Chromium como Edge o Brave), actualiza hoy, ve a Configuración > Ayuda > Acerca de Google Chrome y asegúrate de tener la última versión.

Sitios falsos distribuyen malware con apariencia legítima

Buscas WPS Office o DeepSeek, encuentras una web que parece oficial… y sin darte cuenta, instalas un rootkit y un troyano de acceso remoto. Así está operando Silver Fox, un grupo vinculado a China que clona sitios populares para distribuir malware de forma silenciosa.

Los archivos maliciosos usan técnicas como DLL sideloading y se ejecutan sin levantar sospechas. El objetivo es espionaje a usuarios de habla china y persistencia en los sistemas infectados. Si tu equipo descarga software de fuentes no verificadas, esta es una alerta urgente. Verifica siempre la URL, usa antivirus con análisis en tiempo real y limita instalaciones manuales.

Blind Eagle ataca bancos en Colombia usando hosting ruso

Te llega un correo que parece de tu banco o entidad estatal. Das clic en el adjunto o en el enlace… y se ejecuta malware que toma el control de tu equipo. Así opera Blind Eagle (APT-C-36), un grupo que apunta directamente a empresas e instituciones colombianas.

Están usando el servicio ruso Proton66 para alojar páginas falsas y distribuir troyanos como AsyncRAT y Remcos. Las campañas están activas y apuntan al robo de credenciales, acceso remoto y espionaje financiero. Si operas en Colombia o manejas infraestructura bancaria, refuerza tus filtros de correo, bloquea dominios maliciosos y capacita a tu equipo frente a phishing.

Condiciones de carrera: el riesgo oculto en transacciones web

Un atacante realiza múltiples solicitudes al mismo tiempo y logra duplicar una transacción, retirar fondos de más o acceder a beneficios que no le corresponden. Todo esto es posible por una condición de carrera: una falla lógica en la sincronización de procesos concurrentes.

En una prueba reciente, se demostró cómo, con solo 40 solicitudes simultáneas usando herramientas como Turbo Intruder, es posible explotar este tipo de vulnerabilidad en sistemas mal diseñados.

¿Cómo protegerte?

• Usa bloqueos y sincronización en operaciones sensibles.

• Prueba tu app con herramientas como Burp Suite.

• Haz tests de seguridad periódicos para detectar estos fallos.

👉 En Hackmetrix te ayudamos a identificar este tipo de vulnerabilidades con ejercicios de ethical hacking.

📖 Lee el artículo completo acá

El 56% de las empresas chilenas que sufrieron un ataque de ransomware… pagaron el rescate.  Sí, en serio. Más de medio millón de dólares por no estar preparadas. Así que esta semana, el reto es simple (pero importante):

¿Tu empresa está lista para enfrentar un ataque de ransomware?

Revísalo con tu equipo:

• ¿Tienen backups listos y probados?

• ¿Saben cómo responder si todo se cifra?

• ¿Tienen entrenamientos o simulacros reales?

👉 Si no sabes por dónde empezar, escríbenos. En Hackmetrix te ayudamos a simular, entrenar y cerrar brechas críticas. Responde este Hacknews y te ayudamos a evaluarlo.