SSPC alerta sobre fraudes digitales rumbo al Mundial 2026

Los ciberdelincuentes promocionan ofertas inusualmente atractivas, ejercen presión para realizar pagos inmediatos y carecen de mecanismos de verificación.

Por Martín García | Reportero                                      

La Secretaría de Seguridad y Protección Ciudadana (SSPC), a través de la Unidad de Inteligencia, Investigación Cibernética y Operaciones Tecnológicas, en el marco de la Copa Mundial de la FIFA 2026, emite recomendaciones para prevenir fraudes al contratar hospedaje, transporte y servicios turísticos a través de medios digitales.

En el marco de la justa mundialista que se realizará en la Ciudad de México, Jalisco y Nuevo León, se prevé la llegada de visitantes nacionales e internacionales, lo que puede propiciar que los ciberdelincuentes generen estafas digitales mediante la suplantación de páginas de hoteles, transportes y la comercialización de paquetes turísticos fraudulentos.

Los ciberdelincuentes promocionan ofertas inusualmente atractivas, ejercen presión para realizar pagos inmediatos y carecen de mecanismos de verificación.

Por ello, la SSPC recomienda:

• Verificar la URL del sitio web y confirmar que corresponda a la página oficial, sin variaciones o errores tipográficos.

• Desconfiar de descuentos excesivos, como rebajas del 50 al 80 por ciento en hospedaje o paquetes completos.

• Evitar depósitos directos a cuentas personales y utilizar plataformas reconocidas con protección al comprador.

• Consultar reseñas en diversas fuentes, no únicamente en el sitio que ofrece el servicio.

• No compartir datos bancarios ni documentos personales en correos electrónicos o formularios no verificados.

• Utilizar tarjetas de crédito con mecanismos de protección antifraude.

• Confirmar directamente con el hotel o proveedor mediante números oficiales o canales verificados.

• Revisar las políticas de cancelación y los términos del servicio; la ausencia de estos es una señal de alerta.

• Denunciar sitios o intentos de fraude a las autoridades correspondientes a través de canales institucionales. –sn–

¡Conéctate con Sociedad Noticias! Suscríbete a nuestro canal de YouTube y activa las notificaciones, o bien, síguenos en las redes sociales: Facebook, Twitter e Instagram.

También, te invitamos a que te sumes a nuestro canal de información en tiempo real a través de Telegram.

Alerta en la industria financiera: la aplicación de transferencia de dinero Duc expuso más de 30.000 documentos de identidad de conductores y pasaportes a la web abierta, permitiendo el acceso sin contraseña a grandes cantidades de datos personales." #fintech #seguridadinformática #neobancos

https://techcrunch.com/2026/04/02/canadian-money-transfer-app-duc-expose-drivers-licenses-passports-amazon-server/

Microsoft corrige 200 vulnerabilidades en el Patch Tuesday de junio 2026

La actualización mensual de seguridad incluye casi 40 fallas críticas en Windows, Azure, Office, Outlook y Exchange, y suma 360 correcciones adicionales en componentes de terceros. Tres vulnerabilidades ya habían sido divulgadas públicamente antes de ser parcheadas (Fuente Microsoft).

El Patch Tuesday de junio 2026 de Microsoft es uno de los más voluminosos del año. Las actualizaciones de seguridad de junio de 2026 corrigen aproximadamente 200 vulnerabilidades descubiertas en los productos de la compañía. Ninguna parece haber sido explotada en el mundo real, pero tres problemas fueron divulgados públicamente antes de que Microsoft los parcheara.

Las tres vulnerabilidades previamente expuestas concentran la atención de los investigadores. La primera es CVE-2026-49160, un problema de denegación de servicio (DoS) en Windows relacionado con HTTP2/Bomb, una técnica de ataque capaz de dejar fuera de línea servidores web en segundos y que podría afectar a cientos de miles de sitios. La segunda es CVE-2026-50507, un bypass de seguridad en Windows BitLocker que permite a un atacante con acceso físico al sistema acceder a datos cifrados. La falla podría estar relacionada con YellowKey, uno de los exploits filtrados por un investigador conocido como Chaotic Eclipse y Nightmare Eclipse tras una disputa con Microsoft, cuyas filtraciones previas ya fueron aprovechadas en ataques reales. La tercera es CVE-2026-45586, un bug en Windows Collaborative Translation Framework que permite elevar privilegios al nivel System, reportado por un investigador anónimo. Las tres recibieron la calificación de «explotación más probable» por parte de Microsoft.

En el panorama general del parche, casi 40 de las aproximadamente 200 vulnerabilidades tienen calificación crítica. Afectan a Windows, Azure, Office, Outlook, Exchange y herramientas de IA, y su explotación puede derivar en ejecución remota de código, escalada de privilegios y divulgación de información. A ese número se suma un volumen adicional significativo: Microsoft publicó avisos de seguridad para 360 problemas adicionales que afectan a componentes de terceros utilizados por su software.

En paralelo, Adobe también lanzó sus actualizaciones de Patch Tuesday de junio, corrigiendo más de 120 vulnerabilidades. Para los equipos de seguridad IT, la primera semana de junio implica una carga de trabajo considerable. La recomendación es clara: aplicar las actualizaciones cuanto antes, especialmente en entornos con BitLocker activo o servidores web expuestos.

Fallo en soporte con Meta AI permitió robar +20.000 cuentas de Instagram cambiando el email y pidiendo reset. Meta desactivó el servicio y asegura cuentas. https://aidoo.news/noticia/W8aEZ1

#Meta #Privacidad #SeguridadInformatica #IA #RedesSociales

Fallo en soporte con Meta AI permitió robar +20.000 cuentas de Instagram cambiando el email y pidiendo reset. Meta desactivó el servicio y asegura cuentas. https://aidoo.news/noticia/W8aEZ1

#Meta #Privacidad #SeguridadInformatica #IA #RedesSociales

Falsas ofertas laborales para robar datos personales: ESET

Los delincuentes utilizan correos electrónicos con falsas ofertas laborales de Coca-Cola, Red Bull, L’Oréal y Adidas para robar datos personales y credenciales mediante phishing.

Por Deyanira Vázquez | Reportera                                        

La búsqueda de una nueva oportunidad profesional puede ser un momento de expectativa y entusiasmo. Sin embargo, los ciberdelincuentes aprovechan este contexto para llevar adelante estafas cada vez más sofisticadas.

Recientemente, el equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una campaña de correos electrónicos falsos que usan el nombre de reconocidas empresas como L’Oréal, Coca-Cola y Red Bull, que ofrecen supuestas oportunidades de empleo como anzuelo para captar datos personales.

Es importante señalar que las empresas afectadas son también víctimas de los ciberdelincuentes ya que son utilizadas como parte de la estafa. Los atacantes aprovechan el reconocimiento de estas marcas para intentar legitimar el engaño y mediante el uso de su imagen aumentar la probabilidad de éxito del fraude.

“Esta estafa no es nueva, y varios usuarios llevan advirtiendo sobre este mismo fraude desde al menos 2025. En algunos casos, los delincuentes también usaron el nombre de otras empresas, como Meta, y otras compañías para dar credibilidad al esquema”, advierte Mario Micucci, Investigador de ESET Latinoamérica.

Correos falsos que suplantan grandes marcas

La estrategia comienza de forma relativamente sencilla: los delincuentes envían correos electrónicos que parecen haber sido enviados desde alguna oficina de recursos humanos de las empresas suplantadas o por supuestos reclutadores, con una oferta concreta, dirigida a nombre del remitente, para ofrecerle participar en un proceso de selección de personal.

El mensaje suele presentar una vacante atractiva e incluye un enlace para que la parte interesada avance en las siguientes fases de la solicitud. –sn–

¡Conéctate con Sociedad Noticias! Suscríbete a nuestro canal de YouTube y activa las notificaciones, o bien, síguenos en las redes sociales: Facebook, Twitter e Instagram.

También, te invitamos a que te sumes a nuestro canal de información en tiempo real a través de Telegram.

Hackeo masivo expone millones de datos del gobierno federal

Filtración masiva comprometió datos personales y evidenció vulnerabilidades digitales.

Por Deyanira Vázquez | Reportera

Un presunto ciberataque atribuido al grupo de hacktivistas EsqueleSquad habría comprometido 352.3 gigabytes de información extraída de sistemas vinculados a nueve dependencias del gobierno federal. De acuerdo con reportes difundidos por la firma especializada VECERT Analyzer, la filtración equivaldría a aproximadamente 405 millones de registros con datos personales. El incidente colocó nuevamente en el centro del debate la seguridad informática de instituciones públicas mexicanas.

La alerta fue difundida a través de la red social X por VECERT Analyzer, empresa dedicada a inteligencia y ciberseguridad en América Latina. Según la información publicada, los responsables del ataque identificaron vulnerabilidades en diversas plataformas gubernamentales y accedieron a grandes volúmenes de información sensible. La firma señaló que los datos quedaron expuestos tras la intrusión atribuida a EsqueleSquad.

Los registros presuntamente obtenidos incluyeron correos electrónicos, contraseñas, números telefónicos, Clave Única de Registro de Población (CURP), nombres completos y datos de ubicación. La magnitud de la filtración situó este incidente entre los mayores reportados recientemente en la región. Hasta el momento, las autoridades federales no habían emitido una postura pública sobre el alcance de los datos comprometidos.

Datos comprometidos

La información divulgada por los presuntos responsables detalló que fueron sustraídos 60.6 millones de correos electrónicos y 58.1 millones de contraseñas. Además, la filtración habría incluido 10.2 millones de números telefónicos. También fueron reportados 96.1 millones de registros asociados con CURP y nombres completos.

El informe agregó que cerca de 84.2 millones de registros contenían información de localización geográfica. Estos datos podrían representar un riesgo adicional en caso de confirmarse su autenticidad. La exposición de información personal se convirtió en uno de los principales focos de preocupación derivados del incidente.

Las cifras difundidas por los hacktivistas indicaron que la cantidad de registros comprometidos superó ampliamente la población total de México. Especialistas en seguridad digital han señalado en casos similares que un mismo individuo puede aparecer varias veces dentro de distintas bases de datos. Por ello, el número total de registros no necesariamente corresponde al mismo número de personas afectadas.

Dependencias afectadas

Entre las plataformas señaladas como vulneradas figuraron IMSS Bienestar, IMSS Digital, Llave MX, el Servicio de Administración Tributaria (SAT), el Instituto del Fondo Nacional para el Consumo de los Trabajadores (Fonacot) y el Instituto del Fondo Nacional de la Vivienda para los Trabajadores (Infonavit). También aparecieron en la lista los Servicios de Correo Institucional del gobierno federal y el Sistema Integral de Administración Financiera (SIAF). Asimismo, fue mencionada la Universidad Nacional Autónoma de México (UNAM).

La diversidad de organismos incluidos en el reporte reflejó la amplitud de los sectores potencialmente afectados. Las plataformas señaladas abarcaron servicios fiscales, vivienda, salud, educación y administración pública. Esta situación incrementó el interés sobre los mecanismos de protección digital implementados por las instituciones. –sn–

El grupo también afirmó haber vulnerado sistemas de BBVA México, de donde presuntamente obtuvo información relacionada con clientes de la institución financiera. No obstante, la información difundida no precisó el alcance específico de los datos atribuidos a esa filtración. Tampoco se informó sobre posibles afectaciones operativas derivadas del incidente.

Panorama regional

Durante mayo, EsqueleSquad reportó operaciones similares en distintos países de América Latina. Según los datos divulgados por el propio grupo, al menos 11 naciones sudamericanas registraron infiltraciones en sistemas informáticos. Los reportes contabilizaron alrededor de 385 hackeos ejecutados por 85 grupos o individuos durante ese periodo.

Los responsables estimaron que cerca de 512 millones de registros quedaron comprometidos en la región sudamericana. Parte de esa información habría sido localizada en foros vinculados con la llamada Dark Web. La difusión de esos datos encendió alertas entre organismos especializados en ciberseguridad.

En fechas recientes también fueron reportados casos de robo de información en plataformas gubernamentales de Argentina, Panamá y Chile. Asimismo, el 1 de junio trascendió que EsqueleSquad habría accedido a sistemas de la Dirección General de la Policía de España, obteniendo alrededor de 19 millones de registros. Entre los datos mencionados figuraron fotografías biométricas, documentos de identidad y direcciones de correo electrónico. –sn–

El 𝐓𝐡𝐞𝐫𝐚𝐜-25 terminó convertido en un caso de estudio obligatorio para la ingeniería de software, la seguridad médica y la ética tecnológica.

Su lección sigue vigente: cuando el código controla el mundo físico, un error ya no solo rompe un programa. Puede romper vidas.

#retrocomputingmx #therac25 #SoftwareHistory #ingenieriadesoftware #seguridadinformatica #sistemascriticos #Radioterapia #computacionmedica #retrocomputing #computerhistory