Author: Seguridad CSIRT-CV

Una masiva filtración de datos ha puesto en riesgo la seguridad de millones de usuarios de grandes plataformas tecnológicas, según ha informado el medio Website Planet. Investigadores de seguridad han descubierto un repositorio que contiene cerca de 16.000 millones de credenciales robadas, afectando a cuentas de servicios tan populares como Apple, Google, Facebook, Microsoft y Amazon, entre muchos otros.

El hallazgo forma parte de un informe conjunto de Website Planet y el equipo de ciberinteligencia de Cybernews. La base de datos filtrada fue recopilada a lo largo de varios años a través de malware del tipo infostealer, utilizado por ciberdelincuentes para extraer credenciales directamente de navegadores, aplicaciones y sistemas operativos infectados. De los registros comprometidos, al menos 1.200 millones de credenciales siguen siendo válidas y utilizables, lo que representa un riesgo significativo para la seguridad de los usuarios.

Lo más preocupante del incidente es que estos datos pueden estar disponibles en foros clandestinos frecuentados por actores maliciosos, pese a que de momento no se tiene noticias de su publicación o venta en ningún foro. Algunas de las plataformas afectadas incluyen servicios muy utilizados como Gmail, Facebook, Outlook, PayPal, Netflix y hasta aplicaciones bancarias, lo que podría derivar en una oleada de accesos no autorizados, fraudes financieros y robo de identidad si los usuarios no cambian sus contraseñas de inmediato.

Además de nombres de usuario y contraseñas, también se ha expuesto otra información sensible como direcciones IP, cookies de sesión, datos del sistema y tokens de acceso. Esta combinación puede permitir ataques de toma de cuenta (account takeover) incluso sin necesidad de las credenciales en texto claro, complicando aún más la situación.

Los expertos recomiendan cambiar de forma urgente las contraseñas de todas las cuentas, especialmente si se repiten entre distintos servicios. También aconsejan activar la autenticación en dos pasos (2FA) siempre que sea posible y utilizar gestores de contraseñas para mantener contraseñas únicas y robustas en cada plataforma.

El informe también destaca que los datos filtrados se obtuvieron a lo largo de años mediante más de 100 tipos distintos de malware infostealer, entre ellos RedLine, Raccoon y Azorult, que siguen siendo altamente activos en campañas de phishing y distribución de software malicioso.

Ante el volumen y la sensibilidad de los datos comprometidos, este incidente podría convertirse en uno de los mayores de la historia en términos de cuentas personales expuestas. La recomendación es clara: si crees que tu información podría estar entre los datos robados, cambia tus contraseñas cuanto antes y mantente alerta ante cualquier actividad sospechosa en tus cuentas.

Referencias

• • • https://www.websiteplanet.com/news/infostealer-breach-report/
    • https://itc.ua/en/news/it-s-time-to-change-your-passwords-184-million-apple-google-microsoft-etc-accounts-leaked-to-the-internet/
    • https://itc.ua/en/news/change-your-passwords-immediately-16-billion-accounts-of-apple-google-facebook-and-others-have-been-hacked/
    • https://www.forbes.com/sites/daveywinder/2025/06/19/16-billion-apple-facebook-google-passwords-leaked—change-yours-now/

CVE-2025-32711, també coneguda com EchoLeak, s’origina en com Microsoft 365 Copilot processa contingut a través del seu sistema RAG (Recuperació Augmentada per Generació). Un atacant pot ocultar instruccions en text aparentment inofensiu, com Markdown en un correu electrònic, que en ser indexat per Copilot, causa que este filtre informació sensible a l’atacant. Això ocorre sense que l’usuari faça clic o interactue.

Anàlisi

EchoLeak és una vulnerabilitat d’execució de comandos AI sense necessitat d’acció per part de l’usuari (“zero‑clic”) que afecta a Microsoft 365 Copilot. Permet l’exfiltració de dades sensibles del context intern de Copilot sense que l’usuari faça clic ni interactue. Es tracta d’una violació d’abast en LLM (LLM Scope Violation), un tipus d’injecció indirecta de prompt: Copilot no distingix adequadament entre contingut de confiança i no de confiança, permetent que el RAG mescle continguts externs no processats amb context intern segur.

Recursos afectats

• • Microsoft 365 Copilot en la seua configuració basada en el núvol.

Recomanacions

Implementar l’autenticació en els servidors MCP i validar l’encapçalat “Origin” en totes les connexions entrants al servidor MCP per a garantir que les sol·licituds provinguen de fonts de confiança.

Referències

• • https://thehackernews.com/2025/06/zero-click-ai-vulnerability-exposes.html
  • https://www.aim.security/lp/aim-labs-echoleak-m365

Google i Mozilla han llançat actualitzacions que corregixen quatre errors de memòria d’alta gravetat en Chrome i Firefox.

Anàlisi

Google Chrome 137

• • CVE-2025-5958: vulnerabilitat de tipus use-after-free en el component Mitjana. Pot ser aprofitada per a executar codi arbitrari o causar corrupció de memòria.
  • CVE-2025-5959: vulnerabilitat de confusió de tipus en el motor V8 de JavaScript. Podria permetre l’execució remota de codi o filtració d’informació sensible. Google encara no ha determinat la recompensa corresponent.

Mozilla Firefox 139

• • CVE-2025-49709: error de corrupció de memòria en el component Canvas Surfaces. Pot ser explotat per a executar codi no autoritzat o provocar caigudes del navegador.
  • CVE-2025-49710: desbordament d’enter en l’estructura OrderedHashTable utilitzada pel motor JavaScript. Esta fallada podria facilitar l’execució de codi maliciós o la fuga d’informació.

Mozilla també va llançar noves actualitzacions per a Thunderbird per a corregir un defecte de seguretat d’alta gravetat que podria portar a descàrregues d’arxius no sol·licitats, la qual cosa faria que els discos dels usuaris s’ompliren amb dades escombraries en Linux, o a una fugida de credencials a través d’enllaços SMB en Windows.
Si bé es requerix la interacció de l’usuari per a descarregar l’arxiu .pdf, l’ofuscació visual pot ocultar el desencadenador de la descàrrega. Veure el correu electrònic en mode HTML és suficient per a carregar contingut extern.
Esta vulnerabilitat s’ha identificat com CVE-2025-5986.

Recursos afectats

• • Google Chrome: versions anteriors a 137.0.7151.103/.104 per a Windows i macOS, i anteriors a 137.0.7151.103 per a Linux.
  • Mozilla Firefox: en versions anteriors a 139.0.4.
  • Mozilla Thunderbird : en versions anteriors a Thunderbird 139.0.2 i Thunderbird 128.11.1.

Recomanacions

Es recomana als usuaris que actualitzen els seus navegadors i clients de correu al més prompte possible, encara que Google i Mozilla no esmenten cap d’estes vulnerabilitats que puguen ser explotades en atacs:

• • Google Chrome: versions 137.0.7151.103/.104 per a Windows i macOS, i 137.0.7151.103 per a Linux.
  • Mozilla Firefox: Versió 139.0.4.
  • Thunderbird 139.0.2 i Thunderbird 128.11.1.

Referències

• • https://www.securityweek.com/chrome-firefox-updates-resolve-high-severity-memory-bugs/

Autodesk ha informat de l’existència d’una vulnerabilitat en l’instal·lador d’Autodesk que podria provocar l’execució de codi en cas d’explotació exitosa.

Anàlisi

L’explotació d’esta vulnerabilitat, identificada com a CVE-2025-5335, es produiria en descarregar-se un arxiu executable o arxiu binari modificat de manera maliciosa, que podria provocar una escalada de privilegis a NT AUTHORITY/SYSTEM, ja que, s’hauria introduït una ruta de busca desconeguda en l’aplicació Autodesk Installer i facilitar l’execució de codi maliciós.

Recursos afectats

• • Instal·lador d’Autodesk: v2.13 i versions anteriors

Recomanacions

Per a mitigar la vulnerabilitat, Autodesk recomana actualitzar a la versió v2.15.
Es recomana, també, com a pràctica habitual, que els usuaris solament executen arxius de fonts de confiança.

Referències

• • https://www.incibe.es/empresas/avisos/vulnerabilidad-detectada-en-el-instalador-de-autodesk
  • https://www.autodesk.com/trust/security-advisories/adsk-sa-2025-0010