Rootkits Linux, 0-day en routers y 25 ataques activos

Qué pasa

El boletín semanal de The Hacker News compila 25 incidentes activos en una sola ventana temporal. Ninguno derrumba infraestructuras críticas por sí solo. El patrón colectivo es lo que merece atención.

Cuatro categorías protagonistas:

Rootkits para Linux — Un rootkit (malware que se incrusta en el núcleo del sistema operativo para ocultarse de antivirus y herramientas forenses) reaparece activo en entornos corporativos. La técnica no es nueva; su vuelta indica que los defensores han bajado la guardia en endpoints Linux.

0-day en routers — Una vulnerabilidad sin parche oficial afecta a hardware de red ampliamente desplegado. Sin CVE confirmado al cierre del boletín, lo que dificulta la detección automatizada.

Intrusiones asistidas por IA — Atacantes usan herramientas de IA generativa para acelerar el reconocimiento, personalizar phishing y evadir detección. No es IA «hackeando sola» — son humanos que hackean más rápido y más barato.

Kits de scam — Paquetes de fraude preconfigurados en mercados underground. Incluyen páginas de phishing, scripts de soporte falso y flujos de ingeniería social completos.

El hilo conductor de todos los incidentes: los atacantes no están forzando entradas, están usando llaves que ya tienen. Token filtrado, paquete comprometido vía supply chain attack (ataque que envenena la cadena de suministro de software — librerías, actualizaciones y herramientas que tu código ya confía), credencial reutilizada, cuenta de soporte legítima secuestrada.

Por qué importa

25 incidentes en una semana no es el número más alarmante. Lo alarmante es la normalización del vector. Cuando el camino de ataque pasa por un paquete de confianza o una actualización interna, los controles perimetrales no detectan nada. El tráfico parece legítimo porque viene de una fuente legítima.

Los rootkits Linux son especialmente problemáticos para el SOC (centro de operaciones de seguridad — el equipo que monitoriza y responde a amenazas). Un rootkit bien implementado puede estar activo durante semanas sin generar una sola alerta. Las soluciones de EDR (software de seguridad que monitoriza el comportamiento del endpoint) para Linux siguen siendo menos maduras que sus equivalentes en Windows.

El 0-day en routers añade otro ángulo crítico: infraestructura de red que pocas organizaciones parchean con la misma disciplina que sus servidores de aplicaciones.

Qué hacer

• Audita paquetes de terceros actualizados en los últimos 7 días. Compara hashes contra los publicados oficialmente.
• Revisa tokens de acceso activos — especialmente los de CI/CD, repositorios y herramientas cloud. Rota los que lleven más de 90 días sin rotación.
• Verifica la versión de firmware de tus routers de perímetro y consulta el advisory del fabricante hasta que haya CVE o parche público.
• Despliega monitorización de integridad de archivos en hosts Linux críticos. `auditd` o un EDR con cobertura Linux detecta modificaciones anómalas en módulos de kernel.
• Forma a los equipos de soporte en ingeniería social. Los kits de scam apuntan a personas, no a sistemas.

El perímetro murió hace tiempo, pero muchos equipos siguen operando como si no. Cuando el ataque llega por un canal confiable, solo la detección de comportamiento anómalo funciona — la detección por origen no te va a salvar.