Este artículo exhaustivo desglosará la naturaleza de estas vulnerabilidades, cómo los actores de amenazas las están explotando, el impacto potencial para tu sitio web y, lo más importante, las medidas concretas que debes tomar para proteger tu presencia online. La seguridad de tu WordPress no es un juego, y la información que estás a punto de leer es crucial para mantener a raya a los intrusos.

OttoKit: De Herramienta de Automatización a Vector de Ataque

OttoKit, conocido en una etapa anterior como SureTriggers, es un plugin diseñado para conectar y automatizar diversas herramientas y plugins de WordPress sin necesidad de escribir código. Su propósito es simplificar la creación de flujos de trabajo entre diferentes servicios, como WooCommerce, Mailchimp, Google Sheets y muchos otros. Imagina poder añadir automáticamente un cliente a una lista de correo después de una compra o registrar datos de un formulario en una hoja de cálculo sin intervención manual; esa es la promesa de OttoKit.

Sin embargo, la conveniencia no puede eclipsar la seguridad. Como cualquier software, los plugins de WordPress pueden contener errores de programación, y cuando estos errores tienen implicaciones de seguridad, se convierten en vulnerabilidades. En el caso de OttoKit, se han identificado múltiples fallos críticos que han abierto la puerta a los atacantes.

Las Vulnerabilidades al Descubierto: CVE-2025-3102 y CVE-2025-27007

Dos vulnerabilidades principales en OttoKit han sido el foco de atención y explotación:

1. CVE-2025-3102 (Puntuación CVSS: 8.1 – Alta Gravedad): Esta falla, reportada inicialmente en abril de 2025, es un problema de omisión de verificación que afecta a las instalaciones nuevas y no configuradas de OttoKit. Específicamente, el fallo reside en la función authenticate_user() dentro de la API REST del plugin. Si el plugin no tiene una clave API configurada, una clave interna permanece vacía y no se verifica adecuadamente. Esto permite a un atacante, enviando una cabecera st_authorization vacía, eludir la autenticación y, en última instancia, crear nuevas cuentas de administrador con credenciales y direcciones de correo electrónico aleatorias. Lo alarmante de esta vulnerabilidad es la rapidez con la que fue explotada: según la firma de seguridad Patchstack, los ataques comenzaron apenas cuatro horas después de su divulgación pública.

2. CVE-2025-27007 (Puntuación CVSS: 9.8 – Crítica): Menos de un mes después de la primera, se reveló una segunda vulnerabilidad aún más grave. Esta falla de escalada de privilegios afecta a todas las versiones del plugin anteriores a la 1.0.82 inclusive. El problema radica en la función create_wp_connection(), que no realiza una verificación de capacidad adecuada y valida insuficientemente las credenciales de autenticación del usuario. Esto permite a atacantes no autenticados establecer una conexión con el sitio, lo que posteriormente puede ser utilizado para escalar privilegios y crear una cuenta de usuario administrativa a través del endpoint de automatización/acción. La explotación exitosa de esta vulnerabilidad tiene dos escenarios principales, según los expertos de Wordfence y Defiant:

   • Cuando un sitio nunca ha habilitado o utilizado una contraseña de aplicación, y OttoKit/SureTriggers nunca se ha conectado al sitio web utilizando una contraseña de aplicación previamente.
   • Cuando un atacante ya tiene acceso autenticado al sitio y puede generar una contraseña de aplicación válida (aunque en este caso, el atacante probablemente ya tendría otras vías para comprometer el sitio).

   Los investigadores de seguridad han observado que los atacantes intentan primero explotar la vulnerabilidad de conexión inicial para establecer un vínculo con el sitio y luego utilizan ese acceso para crear la cuenta de administrador. Se ha informado que la explotación masiva de CVE-2025-27007 comenzó alrededor del 4 de mayo de 2025, aunque los primeros intentos podrían haberse producido desde el 2 de mayo.

Es crucial entender que los ciberdelincuentes a menudo escanean de forma oportunista las instalaciones de WordPress en busca de cualquiera de estas dos vulnerabilidades, intentando explotar la que encuentren presente.

¿Qué son las Contraseñas de Aplicación y Cómo se Relacionan con la Explotación?

Las contraseñas de aplicación son contraseñas específicas de un solo uso que permiten a las aplicaciones conectarse a tu sitio WordPress sin necesidad de utilizar tu contraseña principal. Son una característica de seguridad que puede ser útil para integraciones de terceros, ya que puedes revocar el acceso de una aplicación específica sin cambiar tu contraseña principal ni afectar a otras conexiones.

En el contexto de la vulnerabilidad CVE-2025-27007 en OttoKit, las contraseñas de aplicación entran en juego porque la falla en la función create_wp_connection() puede ser explotada en sitios que nunca han utilizado esta funcionalidad o donde un atacante con acceso previo podría generar una. La vulnerabilidad, en esencia, permite a los atacantes eludir los mecanismos de autenticación que las contraseñas de aplicación normalmente ayudarían a gestionar de forma segura. Si el sistema de contraseñas de aplicación no ha sido inicializado o configurado correctamente con OttoKit, se crea una brecha que los ciberdelincuentes pueden aprovechar.

Las Tácticas de los Hackers: Creación de Cuentas de Administrador Fantasma

El objetivo principal de los atacantes que explotan estas vulnerabilidades en OttoKit es claro: obtener acceso administrativo a los sitios WordPress vulnerables. Lo logran creando nuevas cuentas de usuario con roles de administrador. Estas cuentas a menudo utilizan nombres de usuario y direcciones de correo electrónico generados aleatoriamente para pasar desapercibidas inicialmente.

Una vez que un atacante tiene una cuenta de administrador, el sitio web comprometido está completamente a su merced. Pueden:

• Robar datos sensibles: Incluyendo información de usuarios, datos de clientes, detalles de pedidos (en sitios de comercio electrónico), y cualquier otra información almacenada en la base de datos del sitio.
• Inyectar malware: Pueden subir scripts maliciosos, puertas traseras (backdoors) para mantener el acceso persistente, o convertir el sitio en un distribuidor de malware para infectar a los visitantes.
• Desfigurar el sitio web (defacement): Cambiar la apariencia del sitio con mensajes del atacante.
• Crear redirecciones maliciosas: Enviar a los visitantes a sitios de phishing, estafas o que contienen más malware.
• Utilizar el servidor para actividades ilícitas: Como enviar spam, alojar contenido de phishing, o participar en ataques de denegación de servicio (DDoS) contra otros objetivos.
• Dañar el SEO: El contenido malicioso o las redirecciones pueden hacer que los motores de búsqueda penalicen o eliminen el sitio de sus resultados.
• Instalar más plugins o temas maliciosos: Para afianzar su control o expandir sus capacidades.
• Modificar o eliminar contenido existente.
• Bloquear al propietario legítimo del sitio: Cambiando contraseñas o eliminando otras cuentas de administrador.

La creación de una cuenta de administrador no autorizada es, en efecto, la entrega de las llaves del reino al atacante. Las consecuencias pueden ser devastadoras tanto a nivel financiero como de reputación.

El Impacto de una Cuenta de Administrador Comprometida: Un Desastre en Potencia

Imagina que un extraño obtiene las llaves de tu casa. Podría entrar cuando quisiera, robar tus pertenencias, vandalizar el interior e incluso cambiar las cerraduras para que tú no puedas entrar. Una cuenta de administrador no autorizada en tu sitio WordPress es exactamente eso, pero en el mundo digital.

Las repercusiones pueden incluir:

• Pérdida de Confianza del Cliente: Si los datos de tus clientes se ven comprometidos o si tu sitio redirige a contenido malicioso, la confianza que tanto te costó construir se evaporará.
• Daño a la Reputación de la Marca: Un sitio hackeado puede manchar la imagen de tu negocio o proyecto personal de forma duradera.
• Costos de Recuperación: Limpiar un sitio web hackeado puede ser un proceso complejo y costoso, a menudo requiriendo la intervención de expertos en seguridad.
• Pérdida de Ingresos: Si tu sitio es de comercio electrónico, el tiempo de inactividad o la pérdida de confianza pueden traducirse directamente en pérdidas económicas. Lo mismo ocurre si tu web genera ingresos por publicidad o leads.
• Sanciones de Motores de Búsqueda: Google y otros motores de búsqueda pueden marcar tu sitio como inseguro, afectando drásticamente tu visibilidad y tráfico orgánico.
• Consecuencias Legales: Dependiendo de la naturaleza de los datos comprometidos (por ejemplo, información personal identificable), podrías enfrentarte a responsabilidades legales y multas.

La amenaza es real y las consecuencias pueden ser graves. La prevención y la respuesta rápida son fundamentales.

¡Acción Inmediata! Cómo Proteger tu Sitio WordPress del Desastre OttoKit

Si utilizas el plugin OttoKit (o SureTriggers), la urgencia es máxima. Aquí tienes los pasos que debes seguir de inmediato:

1. Actualiza OttoKit INMEDIATAMENTE: Los desarrolladores de OttoKit han lanzado la versión 1.0.83, que contiene parches para ambas vulnerabilidades (CVE-2025-3102 y CVE-2025-27007). Esta es la acción más crítica que puedes tomar. Ve a tu panel de WordPress, a la sección de «Plugins», busca OttoKit y actualízalo sin demora.

2. Verifica la Lista de Usuarios: Después de actualizar, revisa minuciosamente la lista de usuarios de tu sitio WordPress (Usuarios > Todos los usuarios). Busca cualquier cuenta de administrador que no reconozas. Presta especial atención a usuarios con nombres de usuario o direcciones de correo electrónico sospechosos o generados aleatoriamente. Si encuentras alguna cuenta no autorizada, elimínala inmediatamente.

3. Revisa los Registros (Logs) del Servidor y de WordPress: Examina los registros de actividad de tu servidor y, si tienes un plugin de seguridad que los genere, los registros de WordPress. Busca actividad sospechosa, como:

   • Creación de nuevas cuentas de usuario en fechas recientes.
   • Instalación de plugins o temas desconocidos.
   • Cambios inesperados en la configuración de seguridad.
   • Accesos a la base de datos desde IPs desconocidas.
   • Peticiones inusuales a archivos relacionados con OttoKit o la API REST.

4. Considera una Auditoría de Seguridad Profesional: Si sospechas que tu sitio ha sido comprometido o si no te sientes cómodo realizando las verificaciones técnicas tú mismo, considera contratar a un profesional o una empresa de seguridad de WordPress para una auditoría completa y limpieza.

5. Cambia Todas las Contraseñas: Especialmente las contraseñas de administrador y las de la base de datos de WordPress. Utiliza contraseñas fuertes y únicas.

6. Escanea tu Sitio en Busca de Malware: Utiliza un plugin de seguridad de buena reputación (como Wordfence, Sucuri Scanner, MalCare) para realizar un escaneo exhaustivo de tu sitio en busca de archivos maliciosos o puertas traseras.

Indicadores de Compromiso (IoCs) Conocidos

Las empresas de seguridad como Wordfence y Defiant han estado monitorizando la explotación de estas vulnerabilidades y han compartido indicadores de compromiso. Aunque las listas específicas de IPs pueden cambiar rápidamente, algunos patrones generales y puntos a verificar incluyen:

• Direcciones IP de los Atacantes: Wordfence ha publicado listas de direcciones IP observadas participando en estos ataques. Puedes buscar estas listas en sus comunicados oficiales sobre las vulnerabilidades de OttoKit.
• Nuevas Cuentas de Administrador: Como se mencionó, la creación de cuentas de administrador con nombres de usuario y correos electrónicos genéricos o sospechosos es el principal indicador.
• Archivos Sospechosos: Revisa directorios como wp-content/uploads o directorios de plugins en busca de archivos PHP con nombres extraños o modificados recientemente que no deberían estar allí.
• Tráfico Inusual en los Logs: Picos de tráfico hacia wp-json/ottokit/v1/webhook o wp-json/ottokit/v1/setup-connection u otros endpoints de la API REST de OttoKit desde IPs desconocidas pueden ser una señal.

Es fundamental mantenerse actualizado con la información proporcionada por las principales firmas de seguridad de WordPress, ya que los IoCs pueden evolucionar.

Más Allá de OttoKit: Fortaleciendo la Seguridad General de tu WordPress

Si bien la actualización de OttoKit es el paso inmediato más importante si usas este plugin, esta situación sirve como un recordatorio crucial de la importancia de una estrategia de seguridad de WordPress integral. Aquí hay algunas mejores prácticas que todos los administradores de sitios WordPress deberían seguir:

1. Mantén Todo Actualizado:

   • WordPress Core: Instala las actualizaciones de WordPress tan pronto como estén disponibles.
   • Plugins: Mantén todos tus plugins actualizados a sus últimas versiones. Elimina cualquier plugin que ya no uses o que no haya sido actualizado por el desarrollador en mucho tiempo.
   • Temas: Al igual que los plugins, mantén tu tema actualizado y elimina los temas inactivos.

2. Utiliza Contraseñas Fuertes y Únicas: Para todas las cuentas (administradores, editores, etc.), la base de datos y el hosting. Considera usar un gestor de contraseñas.

3. Autenticación de Dos Factores (2FA): Implementa 2FA para todas las cuentas de administrador. Esto añade una capa extra de seguridad incluso si tu contraseña se ve comprometida.

4. Limita los Intentos de Inicio de Sesión: Usa un plugin para limitar el número de intentos fallidos de inicio de sesión y bloquear las IPs que intenten ataques de fuerza bruta.

5. Elige Plugins y Temas de Fuentes Confiables: Descarga e instala plugins y temas únicamente del repositorio oficial de WordPress.org o de desarrolladores y marketplaces de confianza con buena reputación en seguridad. Investiga antes de instalar.

6. Principio de Menor Privilegio: Asigna a los usuarios solo los roles y permisos que necesitan para realizar sus tareas. No todos necesitan ser administradores.

7. Utiliza un Plugin de Seguridad de WordPress: Plugins como Wordfence, Sucuri Security, All In One WP Security & Firewall, o iThemes Security pueden proporcionar firewalls, escaneo de malware, monitorización de la integridad de los archivos y otras características de seguridad esenciales.

8. Realiza Copias de Seguridad Regulares: Programa copias de seguridad automáticas y frecuentes de tu sitio completo (archivos y base de datos). Almacena estas copias en una ubicación segura y externa (no solo en tu servidor). Asegúrate de que puedes restaurarlas fácilmente.

9. Protege tu Archivo wp-config.php: Este archivo contiene información sensible de la base de datos. Limita su acceso.

10. Deshabilita la Edición de Archivos desde el Panel: Añade define( 'DISALLOW_FILE_EDIT', true ); a tu archivo wp-config.php para evitar que se puedan editar archivos de plugins y temas desde el panel de WordPress, lo que podría ser explotado si un atacante gana acceso.

11. Vigila los Registros (Logs): Revisa periódicamente los registros del servidor y de WordPress para detectar actividad sospechosa.

12. Utiliza un Web Application Firewall (WAF): Servicios como Cloudflare o el WAF proporcionado por tu hosting o plugin de seguridad pueden ayudar a bloquear tráfico malicioso antes de que llegue a tu sitio.

13. Mantente Informado: Sigue blogs de seguridad de WordPress y listas de correo para estar al tanto de las últimas amenazas y vulnerabilidades.

Conclusión: La Vigilancia Constante es la Clave

La explotación activa de las vulnerabilidades en el plugin OttoKit es un claro recordatorio de que la seguridad de WordPress es un proceso continuo, no una configuración única. Los ciberdelincuentes están constantemente buscando nuevas debilidades que explotar, y los plugins, debido a su ubicuidad y variada calidad de código, son a menudo el eslabón más débil.

Si eres uno de los más de 100,000 usuarios de OttoKit, la acción inmediata es actualizar. Para todos los propietarios de sitios WordPress, este incidente debe servir como una llamada de atención para revisar y reforzar sus medidas de seguridad. No esperes a convertirte en una estadística. Implementa las mejores prácticas, mantente vigilante y protege tu valiosa presencia online. La tranquilidad de saber que tu sitio está seguro bien vale el esfuerzo proactivo.

En la era del trabajo remoto y las comunicaciones virtuales constantes, herramientas como Zoom se han vuelto indispensables en nuestro día a día profesional y personal. Facilitan reuniones, colaboraciones y la conexión a distancia. Sin embargo, como cualquier tecnología popular, también se convierten en un objetivo atractivo para los ciberdelincuentes. Recientemente, ha surgido una preocupante táctica empleada por hackers, que explota una función legítima de Zoom, el control remoto, para llevar a cabo robos de criptomonedas y otros actos maliciosos.

Este elaborada estrategia de ataque subraya la constante evolución de las amenazas cibernéticas y la necesidad imperante de mantenernos informados y vigilantes. Ya no basta con tener un buen antivirus; la clave está en entender cómo operan estos ataques y qué medidas proactivas podemos tomar para protegernos.

El informe que ha puesto de manifiesto esta vulnerabilidad, detallado por sitios especializados en ciberseguridad como BleepingComputer, revela cómo actores maliciosos están manipulando la confianza y la familiaridad de los usuarios con la interfaz de Zoom para lograr acceso no autorizado a sus sistemas y, en particular, a sus activos digitales.

La Trampa Perfecta: Ingeniería Social y una Función de Zoom Mal utilizada

El núcleo de este ataque reside en una combinación insidiosa de ingeniería social sofisticada y el abuso de una característica diseñada para facilitar la colaboración: la función de control remoto de Zoom. Esta herramienta permite, bajo permiso expreso del usuario, que otro participante de la reunión tome el control de su pantalla y opere su teclado y ratón. Su propósito legítimo es, por ejemplo, ayudar a un colega con un problema técnico o colaborar en un documento en tiempo real. Sin embargo, en manos equivocadas, se convierte en una puerta abierta a nuestros sistemas.

Los atacantes suelen iniciar el proceso mediante tácticas de phishing altamente dirigidas. Investigan a sus objetivos, a menudo profesionales del ámbito de las criptomonedas, identificando sus intereses, conexiones y actividades. Luego, se presentan con identidades falsas convincentes, como supuestos inversores de capital de riesgo, periodistas interesados en su trabajo o posibles socios comerciales. Utilizan correos electrónicos y mensajes bien elaborados para concertar una reunión por Zoom, creando una sensación de legitimidad y oportunidad profesional.

Una vez en la videollamada, y bajo un pretexto cuidadosamente construido –como la necesidad de compartir una presentación, mostrar un proyecto en pantalla o resolver un supuesto problema técnico para continuar la conversación–, solicitan compartir pantalla. Hasta aquí, la situación podría parecer normal en muchos entornos de trabajo colaborativo.

El punto de inflexión crucial, y la astucia detrás de este ataque, ocurre cuando el atacante solicita control remoto de la pantalla del objetivo. Aquí es donde la ingeniería social alcanza su punto álgido. Para que la solicitud de control remoto parezca una notificación genuina del sistema de Zoom y no una petición de otro participante, los atacantes cambian su nombre de visualización en la reunión a algo como «Zoom» o similar.

Cuando aparece el cuadro de diálogo solicitando permiso para el control remoto, el usuario desprevenido ve un nombre que asocia con la propia plataforma («Zoom») pidiendo acceso, lo que reduce la probabilidad de sospecha. Acostumbrados a hacer clic rápidamente en las notificaciones para continuar con la reunión, muchos usuarios otorgan el permiso sin detenerse a analizar la solicitud cuidadosamente.

Acceso Concedido: La Puerta Abierta al Robo de Criptoactivos

Una vez que el atacante obtiene el control remoto, tiene rienda suelta sobre el ordenador de la víctima. Aunque la sesión sea remota, para el sistema operativo es como si el propio usuario estuviera manejando el equipo. Es en este momento cuando proceden a ejecutar la parte maliciosa del ataque.

El objetivo principal, según los informes, es la instalación sigilosa de malware. Este software malicioso puede variar, pero comúnmente incluye:

• Infostealers (Ladrones de Información): Diseñados para rastrear y extraer datos sensibles almacenados en el ordenador. Esto incluye contraseñas guardadas en navegadores, claves privadas de billeteras de criptomonedas, archivos importantes, datos de autenticación y otra información confidencial.
• RATs (Troyanos de Acceso Remoto): Permiten al atacante mantener un acceso persistente al sistema de la víctima en el futuro, ejecutar comandos, transferir archivos y monitorear la actividad del usuario sin su conocimiento.

Con el malware instalado, los atacantes pueden operar en segundo plano, recopilando la información necesaria para acceder a las billeteras de criptomonedas de la víctima. Buscan archivos de configuración de billeteras, frases semilla, claves privadas y credenciales de acceso a exchanges de criptomonedas. Una vez que tienen esta información vital, proceden a transferir los fondos a sus propias billeteras, vaciando las cuentas de la víctima en cuestión de minutos.

Lo alarmante de esta técnica es que el ataque puede ejecutarse de forma rápida y discreta una vez obtenido el control remoto. El usuario puede no notar nada inusual durante o inmediatamente después de la reunión de Zoom, descubriendo el robo solo cuando intenta acceder a sus fondos y se da cuenta de que han desaparecido.

¿Quiénes Están Detrás y Por Qué las Criptomonedas?

Si bien los informes iniciales de BleepingComputer señalaban el método de ataque, investigaciones posteriores mencionadas en los resultados de búsqueda apuntan a grupos de ciberdelincuencia sofisticados, como el asociado a Corea del Norte conocido como Elusive Comet, como responsables de campañas que utilizan esta técnica. Estos grupos a menudo tienen motivaciones financieras o están patrocinados por estados, buscando obtener fondos mediante actividades ilícitas.

Las criptomonedas son un objetivo atractivo por varias razones:

• Naturaleza Descentralizada: Las transacciones de criptomonedas pueden ser difíciles de rastrear y revertir una vez completadas, lo que las convierte en un medio ideal para los delincuentes que buscan anonimato.
• Alto Valor: El mercado de criptomonedas mueve grandes sumas de dinero, ofreciendo a los atacantes la posibilidad de obtener ganancias significativas con un solo ataque exitoso.
• Complejidad para el Usuario Promedio: La gestión segura de las criptomonedas y las billeteras digitales a menudo requiere un nivel de conocimiento técnico que no todos los usuarios poseen, lo que puede generar vulnerabilidades explotables.

Dirigirse específicamente a profesionales y ejecutivos del sector de las criptomonedas aumenta la probabilidad de que las víctimas posean cantidades significativas de activos digitales, maximizando el potencial de robo para los atacantes.

El Impacto Va Más Allá de la Pérdida Financiera

Si bien la pérdida de criptomonedas es el resultado más directo y devastador para las víctimas de este ataque, el impacto se extiende mucho más allá de lo financiero. Ser víctima de un ataque de este tipo puede acarrear consecuencias significativas:

• Pérdida de Datos Sensibles: Además de las credenciales de criptomonedas, los atacantes pueden robar otra información personal y profesional sensible almacenada en el ordenador comprometido, lo que podría derivar en robo de identidad u otros delitos.
• Compromiso de Otras Cuentas: Si el infostealer roba contraseñas guardadas, otras cuentas en línea de la víctima (bancarias, correo electrónico, redes sociales) también podrían estar en riesgo.
• Daño a la Reputación: Para profesionales, especialmente aquellos en el espacio de las criptomonedas, ser víctima de un ataque de este tipo puede dañar su reputación profesional y la confianza de sus socios o clientes.
• Impacto Psicológico: La violación de la privacidad, la pérdida de activos y la sensación de haber sido engañado pueden causar estrés significativo y desconfianza en el uso de herramientas digitales.
• Costos de Recuperación: La recuperación de un sistema comprometido puede ser un proceso costoso y que consume mucho tiempo, incluyendo la eliminación del malware, el aseguramiento de cuentas y la posible necesidad de asistencia profesional en ciberseguridad.

Cómo Protegerse: Medidas Clave para Evitar ser la Próxima Víctima

Ante la sofisticación de estos ataques, la concienciación y la implementación de buenas prácticas de seguridad son fundamentales. Aquí presentamos recomendaciones clave para protegerse de este tipo de amenazas:

1. Deshabilite la Función de Control Remoto de Zoom por Defecto:

La medida más directa para mitigar este riesgo es desactivar la función de control remoto en la configuración de su cliente de Zoom si no la utiliza regularmente. Revise la configuración de seguridad de su cuenta de Zoom y asegúrese de que la opción que permite a otros participantes solicitar control remoto esté deshabilitada por defecto. Solo actívela puntualmente si es absolutamente necesario para una reunión específica y desactívela inmediatamente después.

2. Sea Extremadamente Cauteloso con las Solicitudes de Control Remoto:

Si por alguna razón necesita tener habilitada la función de control remoto, esté hipervigilante cuando aparezca una solicitud para tomar el control de su pantalla durante una reunión.

• Verifique el Nombre del Solicitante: No confíe ciegamente en el nombre que aparece en el cuadro de diálogo. Los atacantes pueden falsificarlo fácilmente. Si la solicitud proviene de un nombre genérico como «Zoom» o de alguien que no esperaba que solicitara control, sea extremadamente cauteloso.
• Pregunte Verbalmente: Si recibe una solicitud de control remoto, detenga la reunión y pregunte verbalmente al participante que la solicita por qué la necesita y para qué fin específico. No otorgue el permiso hasta estar completamente seguro y entender la necesidad legítima.
• Comprenda la Implicación: Entienda que otorgar control remoto es, en esencia, darle a otra persona la capacidad de operar su ordenador como si estuviera sentado frente a él. Solo hágalo si confía plenamente en la persona y la situación lo justifica.

3. Mantenga su Software de Zoom Actualizado:

Asegúrese siempre de tener la última versión del cliente de Zoom instalada en su ordenador y dispositivos móviles. Las actualizaciones a menudo incluyen parches de seguridad que corrigen vulnerabilidades conocidas que podrían ser explotadas por los atacantes.

4. Implemente y Use Autenticación de Dos Factores (2FA):

Si bien no protege directamente contra el compromiso inicial a través del control remoto, la 2FA es una capa de seguridad crucial para proteger sus cuentas, incluyendo las de exchanges de criptomonedas y billeteras digitales. Asegúrese de tener la 2FA habilitada en todas las plataformas que lo permitan. Esto dificulta que un atacante acceda a sus fondos incluso si obtiene sus credenciales de inicio de sesión.

5. Sea Escéptico con Solicitudes Inesperadas o Inusuales:

Los ataques de ingeniería social se basan en la sorpresa y la manipulación. Desconfíe de correos electrónicos o mensajes inesperados que soliciten una reunión urgente por Zoom, especialmente si provienen de remitentes desconocidos o con los que no tiene una relación previa. Verifique la identidad del remitente por otros medios si es posible.

6. Configure su Sala de Espera de Zoom:

Utilice la función de «Sala de Espera» en sus reuniones de Zoom. Esto le permite controlar quién entra a la reunión, admitiendo solo a los participantes esperados. Esto ayuda a prevenir que atacantes se unan subrepticiamente a sus reuniones, incluso si de alguna manera obtienen el enlace.

7. Evite Compartir Pantalla con Contenido Sensible Visible:

Antes de compartir su pantalla en una reunión de Zoom, cierre todas las aplicaciones, ventanas y documentos que no sean relevantes para la reunión y que puedan contener información sensible. Minimice la cantidad de información expuesta.

8. Utilice Contraseñas Fuertes y Únicas:

Asegúrese de usar contraseñas robustas y diferentes para cada una de sus cuentas en línea, incluyendo su cuenta de Zoom y, crucialmente, sus billeteras de criptomonedas y exchanges. Considere usar un gestor de contraseñas para administrarlas de forma segura.

9. Concientización Continua sobre Ciberseguridad:

Edúquese a sí mismo y a su equipo sobre las últimas amenazas de ciberseguridad y las tácticas de ingeniería social. Estar informado es una de las defensas más efectivas. Fomente un entorno donde se comparta información sobre posibles amenazas y se promueva la precaución.

10. Considere la Seguridad de sus Activos Criptográficos:

Para aquellos que manejan cantidades significativas de criptomonedas, es fundamental ir más allá de las medidas básicas de seguridad en línea. Considere el uso de billeteras de hardware (cold wallets) para almacenar sus claves privadas fuera de línea, lo que las hace inmunes a los ataques de malware dirigidos a su ordenador. Investigue y comprenda a fondo las opciones de seguridad que ofrecen las plataformas y billeteras que utiliza.

Conclusión: La Vigilancia es Nuestra Mejor Defensa

El abuso de la función de control remoto de Zoom para el robo de criptomonedas es un claro recordatorio de que los ciberdelincuentes adaptan constantemente sus métodos para explotar las herramientas tecnológicas que usamos a diario. Este ataque en particular destaca la eficacia de la ingeniería social cuando se combina con una comprensión profunda de cómo funcionan las plataformas y cómo pueden ser manipuladas sutilmente.

La responsabilidad de la seguridad recae tanto en los proveedores de software como en los usuarios. Si bien empresas como Zoom trabajan continuamente para mejorar sus funciones de seguridad y corregir vulnerabilidades, la precaución y el comportamiento consciente del usuario son líneas de defensa críticas.

Al entender cómo operan estos ataques, ser cautelosos con las solicitudes de acceso, mantener nuestro software actualizado y aplicar principios sólidos de seguridad cibernética, podemos reducir significativamente el riesgo de convertirnos en la próxima víctima. En el mundo digital actual, la vigilancia no es solo una opción, es una necesidad. Proteja sus reuniones de Zoom, proteja sus datos y, sobre todo, proteja sus valiosos activos digitales.

Nueve extensiones de VSCode en el Marketplace de Visual Studio Code de Microsoft se hacen pasar por herramientas de desarrollo legítimas mientras infectan a los usuarios con el criptominero XMRig para minar Monero.

Microsoft VSCode es un editor de código popular que permite instalar extensiones para ampliar las funcionalidades del mismo. Estas extensiones se pueden descargar desde el Marketplace de VSCode de Microsoft.

Las extensiones infectadas con el criptominero son:

• Discord Rich Presence for VS Code (de `Mark H`), 189K Instalaciones
• Rojo – Roblox Studio Sync (de `evaera`),117K Instalaciones
• Solidity Compiler (de `VSCode Developer`), 1.3K Instalaciones
• Claude AI (de `Mark H`)
• Golang Compiler (de `Mark H`)
• ChatGPT Agent for VSCode (de `Mark H`)
• HTML Obfuscator (de `Mark H`)
• Python Obfuscator for VSCode (de `Mark H`)
• Rust Compiler for VSCode (de `Mark H`)

El Marketplace muestra que las extensiones ya han acumulado más de 300.000 instalaciones desde el 4 de abril. Es probable que estos números estén inflados artificialmente para dar a las extensiones una sensación de legitimidad y popularidad para incentivar a muchos usuarioa a instalarlas.

Cómo funcionan las extensiones maliciosas.

Al instalarse y activarse, las extensiones maliciosas descargan un script de PowerShell de una fuente externa desde el siguiente URL: ‘https://asdf11[.]xyz/’ y lo ejecutan. Al finalizar, también instalan la extensión legítima que suplantan, para que el usuario infectado no sospeche.

El script malicioso de PowerShell realiza múltiples funciones, como deshabilitar defensas, establecer persistencia, escalar privilegios y finalmente, cargar el minero de criptomonedas.

Primero, crea una tarea programada disfrazada de «OnedriveStartup» e inyecta un script en el Registro de Windows para garantizar que el malware (Launcher.exe) se ejecute al iniciar el sistema.

A continuación, desactiva servicios críticos de Windows como Windows Update y Update Medic. Añade su directorio de trabajo a la lista de exclusión de Windows Defender para evitar ser detectado.

Si el malware no se ejecutó con permisos de administrador, imita un binario del sistema (ComputerDefaults.exe) y secuestra una DLL utilizando un archivo MLANG.dll malicioso para elevar privilegios y ejecutar la carga útil de Launcher.exe.

El ejecutable, codificado en base64, es decodificado por el script de PowerShell para conectarse a un servidor secundario en myaunet[.]su y descargar y ejecutar XMRig, un minero de criptomonedas Monero.

Si por casualidad tiene instalada alguna de las extensiones listadas aquí, desinstalelas inmediatamente y manualmente localizar y borrar el archivo del criptominero.

El chispazo y el «engaño» que lo empezó todo

En una entrada de su blog, Gates recuerda con nostalgia aquellos días, hace casi 50 años: «Parece que fue ayer cuando Paul (Allen) y yo estábamos inclinados sobre la PDP-10 en el laboratorio de computación de Harvard, escribiendo el código que se convertiría en el primer producto de nuestra nueva compañía. Ese código sigue siendo el más genial que he escrito hasta hoy…«

Todo comenzó al ver el Altair 8080 en la portada de Popular Electronics de enero de 1975. Gates y Allen supieron al instante que la revolución del computador personal era inminente y querían ser parte de ella desde el inicio. Bill llamó rápidamente a Ed Roberts, cuya empresa MITS fabricaba los kits del Altair. En una jugada audaz, afirmó que ya tenían una versión de BASIC lista para el microprocesador 8080 y que estaban listos para hacer negocios. La única verdad en esa afirmación era que, efectivamente, estaban ansiosos por empezar.

Noches de código y un desafío de 4KB

La realidad era que no tenían nada. Para cumplir su promesa de un BASIC para microprocesadores 8080, Paul Allen tuvo que escribir primero un simulador del 8080 para la PDP-10 de la universidad, ¡basándose únicamente en un libro con el conjunto de instrucciones del 8080 que compró en una librería cercana! Mientras tanto, Bill Gates se encargó de programar el intérprete de BASIC. Gates ya tenía experiencia previa escribiendo un intérprete de BASIC para la PDP-10, pero el verdadero reto era comprimir todo el lenguaje en tan solo 4 Kilobytes de memoria, dejando espacio suficiente para que el usuario pudiera ejecutar sus propios programas.

«Para cumplir esa restricción«, escribe Gates, «utilicé varias técnicas para optimizar el uso de memoria, como estructuras de datos compactas y algoritmos eficientes. Fue un desafío divertido y, aunque Paul y yo estábamos estresados por entregar el Altair BASIC a MITS lo más rápido posible, me lo pasé genial descubriendo [el código] para hacer que todo encajara«.

La presentación, el olvido y el milagro

Con el código terminado, Paul Allen viajó para entregarlo a MITS en una cinta de papel. Hay que recalcar que el programa nunca se había probado en un Altair real, solo en el simulador. Para añadir más tensión, durante el vuelo, Allen se dio cuenta de que ¡habían olvidado escribir el cargador de arranque (bootstrap loader) para la cinta de papel! y lo escribió en el transcurso del viaje. Cualquier programador sensato habría apostado a que las posibilidades de que funcionara eran prácticamente nulas. Sin embargo, como se cuenta en viejas entrevistas, tras un primer intento fallido, ¡el código funcionó a la segunda! Dejando a Ed Roberts y al propio Allen completamente asombrados.

El nacimiento de Microsoft y los secretos del código

Ese éxito no solo validó su trabajo, sino que también les obligó a formalizar su colaboración bajo un contrato con MITS. Fue Paul Allen quien sugirió el nombre: «Micro-Soft», una combinación de Micro(procesador) y Soft(ware). Bill Gates asumió el rol de Presidente y Allen el de Vicepresidente. Así nació la compañía que cambiaría el mundo.

El código en sí, desarrollado por Gates, Allen y Monte Davidoff (quien escribió el paquete matemático) en apenas dos meses de trabajo intenso, es un testimonio de una era de programación casi extinta: la programación artesanal, optimizada al extremo por las severas limitaciones de recursos. Se usaron trucos como aritmética solo con enteros, variables de una sola letra y comandos almacenados como tokens de un solo byte para ahorrar espacio.

Incluso los comentarios dentro del código son reveladores. Uno de ellos hace referencia a Bob Albrecht, figura clave de la People’s Computer Company y promotor del TinyBASIC. El comentario «¿ESTA BOB ALBRECHT TOCANDO LA CAMPANA PARA LOS NIÑOS DE LA ESCUELA?» aparece en la rutina de entrada del teletipo (la única interfaz de entrada salida en aquel momento) y comprueba si el carácter introducido es el código ASCII de la campana (Bell). Este comentario probablemente aludía a la tensión existente en la época. Mientras Gates se quejaba públicamente de la «piratería» de su Altair BASIC, Albrecht y la PCC promovían TinyBASIC como una alternativa libre y gratuita.

Del código en papel a la filantropía global

Es increíble pensar en el contraste: hace 50 años, luchaban por cada byte y por las regalías de su software; hoy, Microsoft es un gigante tecnológico que impulsa el código abierto y Bill Gates es un filántropo multimillonario.

A pesar de todo lo que ha avanzado la programación, Gates concluye en su blog: «La programación de computadoras ha recorrido un largo camino en los últimos cincuenta años, pero todavía estoy súper orgulloso de cómo resultó [el Altair BASIC]«.

Este código no es solo un artefacto histórico, es la semilla de la que brotó una de las empresas más influyentes de nuestro tiempo. Una lectura obligada (aunque sea simbólica) para cualquiera interesado en los orígenes de la computación personal.

Según los informes, la popular herramienta de IA de OpenAI dejó de funcionar correctamente para usuarios en diversas regiones, incluyendo Estados Unidos, Europa, India, Japón y Australia. Si bien el chatbot podía responder a un primer mensaje, las interacciones posteriores fallaban, mostrando el mencionado error. Intentos de reintentar o refrescar la página resultaron inútiles para solucionar el problema en el momento.

OpenAI confirmó rápidamente que estaban al tanto de la situación, indicando que habían identificado un «aumento de errores en los servicios afectados» y que estaban trabajando activamente en implementar una solución. Y efectivamente logro resolver el problema en el transcurso de la mañana.

¿Por qué este evento es relevante para la Seguridad Informática?

Aunque una caída del servicio no es intrínsecamente un ataque de ciberseguridad (como un ransomware o un robo de datos), toca un pilar fundamental de la seguridad de la información, la disponibilidad. La tríada CIA (Confidencialidad, Integridad y Disponibilidad) es la base sobre la que se construye la seguridad. Cuando un servicio crítico como ChatGPT, del que dependen cada vez más usuarios y empresas para diversas tareas, deja de estar disponible, el impacto puede ser considerable.

Lecciones que debemos aprender de este evento.

Dependencia de Terceros: Cada vez más, integramos herramientas y servicios externos en nuestros flujos de trabajo. Una interrupción en uno de ellos puede paralizar nuestras propias operaciones.

Importancia de la Resiliencia: ¿Qué planes de contingencia tenemos si una herramienta clave falla? Este incidente es un buen recordatorio para evaluar alternativas o procesos manuales.

Comunicación en Crisis: La rápida confirmación y comunicación por parte de OpenAI sobre el problema y las acciones en curso es un ejemplo de cómo gestionar la confianza del usuario durante una interrupción.

Consideremos que la caída global de ChatGPT sirve como un caso de estudio sobre la fragilidad potencial de los servicios digitales, incluso los más avanzados. Para los profesionales de la seguridad informática y los usuarios en general, refuerza la necesidad de considerar la disponibilidad como un componente crítico de la seguridad, evaluar las dependencias de servicios externos y planificar la resiliencia operativa ante posibles fallos. La confianza en la tecnología debe ir de la mano con la preparación para sus interrupciones.

Detectado por los investigadores de ThreatFabric, Crocodilus se distingue por su método de distribución. Utiliza un dropper propietario capaz de eludir las protecciones de seguridad implementadas en Android 13 y versiones posteriores. Esto significa que puede instalarse sin activar las alertas de Play Protect y crucialmente, sortear las restricciones impuestas al Servicio de Accesibilidad, una puerta de entrada clave para sus operaciones maliciosas.

Aunque no está del todo claro cómo se produce la infección inicial, las vías habituales como sitios web maliciosos, promociones falsas en redes sociales o SMS, y tiendas de aplicaciones de terceros son los sospechosos habituales.

La Táctica Maestra: Ingeniería Social para Robar tu Frase Semilla

Lo que hace particularmente peligroso a Crocodilus es su enfoque en las criptomonedas mediante la ingeniería social. En lugar de simplemente buscar credenciales, engaña activamente al usuario. Muestra una pantalla superpuesta que simula ser una advertencia legítima, instando a la víctima a hacer una copia de seguridad de la clave de su billetera en la configuración dentro de las próximas 12 horas para evitar perder el acceso.

Este truco guía al usuario directamente a la sección donde visualiza su frase semilla (la clave maestra de la billetera de criptomonedas). En ese momento, Crocodilus, aprovechando los permisos del Servicio de Accesibilidad que logró obtener, registra silenciosamente esta frase utilizando su «Accessibility Logger». Con esta información, los atacantes obtienen control total sobre la billetera y pueden vaciarla por completo.

Un malware que va más allá de las Criptomonedas.

Crocodilus no se limita a robar tus criptomonedas. Es un troyano bancario en toda regla y cuenta con capacidades avanzadas:

• Robo de Credenciales Bancarias: Cuando el usuario abre una aplicación bancaria o de criptomonedas objetivo, Crocodilus superpone una pantalla de inicio de sesión falsa para interceptar el usuario y la contraseña.
• Control Remoto (RAT): Los operadores pueden interactuar con el dispositivo de forma remota: tocar la pantalla, navegar por la interfaz, realizar gestos de deslizamiento, etc.
• Capacidades de Bot: Ejecuta hasta 23 comandos diferentes, incluyendo reenviar llamadas, enviar SMS masivos, obtener mensajes SMS, solicitar privilegios de administrador, bloquear la pantalla, e incluso establecerse como la aplicación de SMS predeterminada.
• Bypass de 2FA: Incluye un comando específico para realizar capturas de pantalla de la aplicación Google Authenticator, robando los códigos de un solo uso (OTP) necesarios para la autenticación de dos factores.
• Modo Sigiloso: Para ocultar sus acciones, puede activar una superposición de pantalla negra y silenciar el dispositivo, haciendo parecer que el teléfono está apagado o bloqueado mientras opera en segundo plano.

Objetivos Actuales y Origen

Las primeras campañas observadas de Crocodilus se han centrado en usuarios en Turquía y España, apuntando a cuentas bancarias de ambos países. Curiosamente, los mensajes de depuración encontrados en el código sugieren un posible origen turco del malware. Sin embargo, la naturaleza de estas amenazas sugiere que su expansión a otras regiones y la adición de nuevas aplicaciones a su lista de objetivos es solo cuestión de tiempo.

¿Cómo Protegerte de Crocodilus y Amenazas Similares?

• Descarga solo de Fuentes Oficiales: Evita instalar aplicaciones (archivos APK) desde fuera de Google Play Store.
• Mantén Play Protect Activo: Asegúrate de que la protección integrada de Google Play esté siempre habilitada en tu dispositivo.
• Desconfía de las Solicitudes de Accesibilidad: Sé extremadamente cauteloso si una aplicación que no está diseñada para asistir a usuarios con discapacidades te pide activar los Servicios de Accesibilidad.
• No Confíes en Advertencias Urgentes: Desconfía de mensajes o pop-ups que te presionen a realizar acciones de seguridad de forma inmediata, especialmente si te piden revelar información sensible como tu frase semilla.
• Verifica los Permisos: Revisa periódicamente los permisos otorgados a tus aplicaciones.

En conclusión Crocodilus es un claro ejemplo de cómo los ciberdelincuentes refinan constantemente sus tácticas, combinando malware sofisticado con engaños psicológicos. Proteger nuestros activos digitales, ya sean bancarios o criptomonedas, requiere una actitud proactiva y una saludable dosis de escepticismo ante solicitudes inesperadas en nuestros dispositivos móviles.

La vulnerabilidad, identificada como CVE-2025-29927, permite a los atacantes enviar solicitudes que alcanzan rutas de destino sin pasar por las comprobaciones de seguridad esenciales.

Next.js es un framework de React muy utilizado, con más de 9 millones de descargas semanales en npm. Desarrolladores front-end y full-stack lo utilizan para crear aplicaciones web completas, incluyendo componentes de middleware para la autenticación y autorización de usuarios. Empresas notables como TikTok, Twitch, Hulu, Netflix, Uber y Nike utilizan Next.js para sus sitios y aplicaciones.

¿Cómo Funciona el Ataque?

En Next.js, los componentes de middleware se ejecutan antes de que una solicitud llegue al sistema de enrutamiento de la aplicación. Estos componentes tienen funciones importantes, como la autenticación, la autorización, el registro, el manejo de errores, la redirección de usuarios, la aplicación de bloqueo geográfico o los límites de velocidad.

Para evitar bucles infinitos donde el middleware se activa a sí mismo repetidamente, Next.js utiliza una cabecera llamada ‘x-middleware-subrequest’. Esta cabecera indica si las funciones de middleware deben aplicarse o no.

La función ‘runMiddleware’ procesa las solicitudes entrantes y recupera esta cabecera. Si detecta la cabecera ‘x-middleware-subrequest’ con un valor específico, se omite toda la cadena de ejecución del middleware y la solicitud se reenvía a su destino.

Un atacante puede enviar manualmente una solicitud que incluya esta cabecera con el valor correcto, eludiendo así los mecanismos de protección.

El impacto y la solución

Según los investigadores Allam Rachid y Allam Yasser, quienes descubrieron la vulnerabilidad y publicaron un informe técnico, «la cabecera y su valor actúan como una llave universal que permite anular las reglas».

Esta vulnerabilidad afecta a todas las versiones de Next.js anteriores a la 15.2.3, 14.2.25, 13.5.9 y 12.3.5. Se recomienda a los usuarios actualizar a las revisiones más recientes lo antes posible, ya que los detalles técnicos para explotar este problema de seguridad son públicos.

El boletín de seguridad de Next.js aclara que CVE-2025-29927 solo afecta a las versiones autoalojadas que utilizan ‘next start’ con ‘output: standalone’. Las aplicaciones Next.js alojadas en Vercel y Netlify, o implementadas como exportaciones estáticas, no se ven afectadas.

También se ven afectados los entornos donde el middleware se utiliza para la autorización o los controles de seguridad y no hay validación posterior en la aplicación.

Si la aplicación de parches no es posible en este momento, la recomendación es bloquear las solicitudes de usuarios externos que incluyan la cabecera ‘x-middleware-subrequest’.

Entonces Rehberger hizo lo que hacen todos los buenos investigadores: creó un exploit de prueba de concepto que hacia uso de la vulnerabilidad para exfiltrar todas las entrada del usuario a perpetuidad. Los ingenieros de OpenAI tomaron nota y publicaron una solución parcial a principios de este mes de septiembre.

La vulnerabilidad encontrada por Rehberger, abusaba de la una característica de la memoria de conversaciones a largo plazo, que OpenAI comenzó a probar en febrero de este año y puso a disposición de manera más amplia este mes. La memoria de largo plazo en ChatGPT almacena información de conversaciones anteriores y la utiliza como contexto en todas las conversaciones posteriores. De esa manera, el LLM puede conocer detalles como la edad, el género, las creencias filosóficas y prácticamente cualquier otra cosa del usuario, por lo que no es necesario introducir esos detalles durante cada nueva interacción con ChatGPT.

A los tres meses de la implementación, Rehberger descubrió que se podían crear recuerdos y almacenarlos de forma permanente mediante la inyección indirecta de indicaciones, un exploit de IA que hace que un LLM siga instrucciones de contenido no confiable, como correos electrónicos, publicaciones de blogs o documentos. El investigador demostró cómo podía engañar a ChatGPT para que creyera que un usuario objetivo tenía 102 años, vivía en Matrix e insistía en que la Tierra era plana y que el LLM incorporaría esa información y las cosideraría ciertas para todas las conversaciones futuras. Estos recuerdos falsos se podían plantar almacenando archivos en Google Drive o Microsoft OneDrive, subiendo imágenes o navegando en un sitio como Bing, todo lo cual podría ser creado por un atacante malicioso.

Rehberger se tomo la molestia de crear un video de YouTube con la demostración de lo descrito anteriormente, que mostramos a continuación:

Rehberger informó de forma privada el hallazgo de esta vulnerabilidad a OpenAI en mayo. Ese mismo mes, la empresa cerró el ticket del informe. Un mes después, el investigador presentó una nueva declaración de divulgación. Esta vez, incluyó una prueba de concepto que hizo que la aplicación ChatGPT para macOS enviara una copia literal de todas las conversaciones del usuario y las salidas de ChatGPT a un servidor de su elección. Todo lo que la víctima tenía que hacer era indicarle al LLM que viera un enlace web que alojaba una imagen maliciosa. A partir de ese momento, todas las entradas y salidas hacia y desde ChatGPT eran enviadas al sitio web del atacante.

Si bien OpenAI ha introducido una solución que evita que se abuse de las memorias como un vector de exfiltración, Rehberger ha dicho que el contenido no confiable aún se puede inyectar por un atacante malicioso.

Así que si Ud. es un usuario de ChatGPT o de cualquier otro LLM que quieran evitar este tipo de ataque debe prestar mucha atención durante las sesiones a los resultados que indiquen que se ha añadido una nueva memoria de largo plazo. También debe revisar periódicamente las memorias almacenadas para comprobar si hay algo que pueda haber sido introducido por fuentes no fiables. OpenAI ha creado una guía para gestionar la herramienta de memoria y las memorias específicas almacenadas en ella.

Aunque esto de por sí es una gran ayuda para los creadores de contenido original al detener scraping sin restricciones de las empresas de IA, más interesante aún será para los creadores de contenido lo que dice Cloudflare sobre una nueva función que facilitará la identificación del contenido que los bots escanean con más frecuencia, de modo que los sitios puedan eventualmente bloquear el acceso y cobrar a dichos bots por scrapear su contenido. Para allanar el camino para ese futuro, Cloudflare también está creando un mercado para que todos los sitios negocien acuerdos de contenido basados ​​en auditorías de IA más granulares de sus sitios web. De esta manera Cloudflare actuaría como un broker entre sus clientes y las empresas de IA que buscan entrenar a sus modelos.

Los actuales clientes de Cloudflare ya pueden acceder a la pestaña Auditoria de AI desde su panel de control para revisar los análisis de sus sitios y comenzar a controlar los bots que realizan el scraping. He revisado y ya está función está disponible para este sitio web (aunque en su versión beta), razón por la cual felicitamos a Cloudflare.

Los analistas de Glassnode, señalaron que el crecimiento lateral de la demanda transaccional, las direcciones activas de Bitcoin permanecen en un canal descendente bien definido y las tarifas de red más bajas son razones más que suficientes para moderar el actual entusiasmo de los inversores por el aumento de un 15% en el precio de BTC durante la última semana. Sin embargo, BTC actualmente ha bajado un 2% en las últimas 24 horas, cotizando por debajo de los $23,000.

El informe comienza destacando las características del actual mercado como uno bajista, que incluye una disminución de la actividad en cadena y una rotación de inversores especulativos a tenedores a largo plazo. Sugiere que la red Bitcoin todavía está demostrando cada uno de esos rasgos.

Glassnode señala que una disminución en la actividad de la red puede ser interpretada como una falta de nueva demanda en la red por parte de comerciantes especulativos sobre tenedores a largo plazo e inversores que tienen un alto nivel de convicción en Bitcoin. El informe dice al respecto lo siguiente:

«Con la excepción de algunos picos de actividad más altos durante los principales eventos de capitulación, la actividad actual de la red sugiere que todavía hay poca afluencia de nueva demanda.»

Sin embargo la semana pasada, cuando pareció establecerse un nivel significativo de demanda en el nivel de los $ 20,000 para BTC y se creara un piso, la demanda adicional necesaria para sostener cualquier aumento adicional de precios de BTC no apareció. Glassnode además señala que la disminución constante de las direcciones activas son compatibles con un perfil de demanda de mercado bajista, que ha estado en vigor esencialmente desde diciembre del año pasado.

Así que amigo lector, si escucha a todos esos influencers decirle por las diversas redes sociales que ya Bitcoin ha tocado fondo y es el momento de entrar al mercado antes de perdernos el siguiente mercado alcista. Pues tenga presenre que Ud podría ser la liquidez de salida de grandes inversores que quieren salir de la red de Bitcoin.