Todos los días surgen noticias extrañas sobre seguridad. Algunas son
ingeniosas. Otras, descuidadas. Algunas caen en esa incómoda categoría de
«sí… esto probablemente aparecerá en incidentes reales antes de lo que
nos gustaría».
Se están perfeccionando viejos trucos. Nuevas investigaciones demuestran lo
endebles que son ciertas suposiciones. Un par de cosas que te hacen detenerte
a mitad de la lectura y pensar: «Espera… ¿de verdad hay gente que hace
esto?».
También está la mezcla habitual de rincones extraños del ecosistema que hacen
cosas raras: infraestructura que se comporta de forma demasiado profesional,
herramientas que aparecen donde no deberían y algunos casos donde el eslabón
más débil sigue siendo… gente haciendo clic donde probablemente no debería.
Algunas de las tácticas resultan demasiado prácticas. No se trata de grandes
hackeos espectaculares, sino de trucos sencillos utilizados en el momento y
lugar adecuados. El tipo de cosas que hacen suspirar a los expertos en
seguridad porque… sí, probablemente funcione.
También se repite el tema habitual: herramientas y funciones que hacen
exactamente lo que se supone que deben hacer… pero no para quienes las
crearon. Si a esto le añadimos un poco de ingenio, de repente los flujos de
trabajo normales empiezan a parecer rutas de ataque.
Abuso del consentimiento de OAuth
La empresa de seguridad en la nube
Wiz ha advertido
sobre los peligros que representan las
aplicaciones OAuth maliciosas, destacando cómo la «fatiga del consentimiento» podría abrir la puerta a que
los atacantes accedan a los datos confidenciales de una víctima al dar a sus
aplicaciones maliciosas un nombre de apariencia legítima.
Al aceptar los permisos solicitados por una aplicación OAuth maliciosa, el
usuario está «añadiendo» la aplicación del atacante al entorno de su empresa.
«Una vez que se hace clic en ´Aceptar´, el proceso de inicio de sesión se
completa. Pero en lugar de ir a una página de inicio normal, el token de
acceso se envía a la URL de redireccionamiento del atacante. Con ese token,
el atacante ahora tiene acceso a los archivos o correos electrónicos del
usuario sin necesidad de saber su contraseña».
La empresa propiedad de Google también dijo que detectó una campaña a gran
escala activa a principios de 2025 que involucró 19 aplicaciones OAuth
distintas que suplantaban marcas conocidas como Adobe, DocuSign y OneDrive, y
que tenía como objetivo a múltiples organizaciones. Proofpoint
documentó
los detalles de la actividad en agosto de 2025.
Robo de cuentas de mensajería
Actores maliciosos vinculados a Rusia están intentando
infiltrarse en las cuentas de Signal y WhatsApp
de funcionarios gubernamentales, periodistas y militares de todo el mundo con
el objetivo de obtener acceso no autorizado, no mediante la vulneración del
cifrado, sino simplemente engañando a las personas para que revelen sus
códigos de verificación de seguridad o PIN.
«El método más frecuente utilizado por consiste en hacerse pasar por un
chatbot de soporte de Signal para inducir a sus víctimas a divulgar sus
códigos»,
informaron
el Servicio de Inteligencia y Seguridad de la Defensa de los Países Bajos
(MIVD) y el Servicio General de Inteligencia y Seguridad (AIVD).
«Los atacantes pueden usar estos códigos para tomar el control de la cuenta
del usuario. Otro método utilizado por los ciberdelincuentes rusos aprovecha
la función de ‘dispositivos vinculados’ de Signal y WhatsApp».
Cabe destacar que
Alemania emitió una advertencia
similar el mes pasado.
«Estos ataques se ejecutaron mediante sofisticadas campañas de phishing,
diseñadas para engañar a los usuarios y obtener información (códigos SMS o
PIN de Signal) para acceder a sus cuentas»,
declaró Signal. Google advirtió el año pasado que el uso generalizado de Signal entre
soldados, políticos y periodistas ucranianos lo había convertido en un
objetivo frecuente para las operaciones de espionaje rusas.
Violación de la nube mediante fallos de software
Google ha revelado que los ciberdelincuentes están explotando cada vez más las
vulnerabilidades del software de terceros para infiltrarse en entornos de
nube.
«El lapso entre la divulgación de una vulnerabilidad y su explotación
masiva se redujo drásticamente, de semanas a días»,
declaró
la división de nube del gigante tecnológico.
«Si bien aumentaron las vulnerabilidades basadas en software, el acceso
inicial por parte de los ciberdelincuentes mediante configuraciones
incorrectas, que representó el 29,4% de los incidentes en el primer semestre
de 2025, se redujo al 21% en el segundo semestre de 2025. De manera similar,
la exposición de interfaces de usuario o API sensibles continuó su tendencia
a la baja, pasando del 11,8% en el primer semestre al 4,9% en el segundo.
Este descenso sugiere que las medidas de seguridad automatizadas dificultan
la explotación de errores de identidad y configuración, y que los
ciberdelincuentes se ven obligados a recurrir a vectores más sofisticados y
costosos que se dirigen específicamente a las vulnerabilidades del software
para infiltrarse».
En la mayoría de los ataques investigados por Google, el objetivo del atacante
era la extracción silenciosa de grandes volúmenes de datos sin extorsión
inmediata y con persistencia a largo plazo.
Campaña de malware PlugX
Check Point ha revelado campañas dirigidas contra entidades en Qatar que
utilizan contenido relacionado con conflictos como señuelo para distribuir
familias de malware como
PlugX
y Cobalt Strike.
La cadena de ataque utiliza archivos de acceso directo de Windows (LNK)
contenidos en archivos ZIP, que, al abrirse, provocan la descarga de una carga
útil de siguiente nivel desde un servidor comprometido. Esta carga útil
muestra el documento señuelo mientras utiliza la carga lateral de DLL para
desplegar PlugX. La actividad, detectada el 1 de marzo de 2026, se ha
atribuido a
Mustang Panda
(también conocido como Camaro Dragon).
Se ha observado un segundo ataque que utiliza un archivo protegido con
contraseña para ejecutar un cargador de Rust previamente no documentado,
responsable del despliegue de Cobalt Strike mediante la carga lateral de DLL.
«Este cargador explota el secuestro de la DLL nvdaHelperRemote.dll, un
componente del lector de pantalla de código abierto NVDA. El abuso de este
componente se había observado anteriormente solo en un número limitado de
campañas vinculadas a China, incluyendo actividades alineadas con China
asociadas a una campaña que distribuía la puerta trasera
Voldemort, así como una oleada de ataques dirigidos a Filipinas y Myanmar en
2025″,
declaró Check Point.
Si bien este ataque se considera vinculado a China, no se ha atribuido a un
actor de amenazas específico.
«Los atacantes aprovecharon la guerra en curso en Oriente Medio para hacer
que sus señuelos fueran más creíbles y atractivos, demostrando su capacidad
para adaptarse rápidamente a los acontecimientos importantes y las noticias
de última hora», afirmó la compañía.
Inicio de sesión en Windows resistente al phishing
Microsoft está implementando la compatibilidad con claves de acceso para
Microsoft Entra en dispositivos Windows, añadiendo autenticación sin
contraseña resistente al phishing mediante Windows Hello.
«Estamos introduciendo las claves de acceso de Microsoft Entra en Windows
para habilitar el inicio de sesión resistente al phishing en recursos
protegidos por Entra. Esta actualización permite a los usuarios crear claves
de acceso vinculadas al dispositivo, almacenadas en el contenedor de Windows
Hello, y autenticarse mediante los métodos de Windows Hello (reconocimiento
facial, huella digital o PIN)»,
afirmó Microsoft.
«También amplía la autenticación sin contraseña a los dispositivos Windows
que no están unidos a Entra ni registrados, lo que ayuda a las
organizaciones a reforzar la seguridad y reducir la dependencia de las
contraseñas.»
Sysmon integrado en Windows
Microsoft ha integrado de forma nativa la funcionalidad del Monitor del
Sistema (Sysmon) directamente en Windows 11 y Windows Server 2025 como una característica
integrada opcional desde la actualización de características de marzo de
Windows 11 (KB5079473). Está deshabilitada por defecto.
La compañía
anunció
la integración en noviembre de 2025.
«Ya no es necesario empaquetarlo dinámicamente; simplemente
se puede habilitar mediante programación a través de PowerShell«, afirmó Nick Carroll, gerente de respuesta a incidentes cibernéticos en
Nightwing.
«Junto con el anuncio simultáneo de Microsoft de que Windows Intune
habilitará la aplicación de parches en caliente por defecto en mayo de 2026,
esto reduce drásticamente la barrera de entrada para una visibilidad
profunda de los endpoints y representa una gran ventaja operativa para los
responsables de la seguridad de la red».
Campaña de phishing patrocinadas
Una campaña de phishing activa está dirigida a residentes canadienses (y
posiblemente a personas en otros países) mediante dominios fraudulentos que
suplantan la identidad de instituciones de confianza, como el Gobierno de
Columbia Británica e Hydro-Québec, con el objetivo de obtener información
personal y datos de tarjetas de crédito, según
informó Flare.
La infraestructura de alojamiento detrás de esta
campaña está vinculada a RouterHosting LLC
(también conocida como Cloudzy), un proveedor que fue acusado públicamente en
2023 de prestar servicios a al menos 17 grupos de patrocinados por estados de
países como Irán, China, Rusia y Corea del Norte.
Seguridad de enlaces privados en chats en Meta
Meta ha detallado el funcionamiento de la
Protección Avanzada de Navegación (ABP) en Messenger, que protege la privacidad de los enlaces en los que se hace clic dentro de
los chats, a la vez que advierte a los usuarios sobre enlaces maliciosos.
«En su configuración estándar, la Navegación Segura utiliza modelos en el
dispositivo para analizar los enlaces maliciosos compartidos en los
chats»,
explicó la compañía. Pero hemos ampliado esta función con una configuración avanzada llamada
Protección Avanzada de Navegación (ABP), que utiliza una lista de vigilancia
actualizada continuamente con millones de sitios web potencialmente
maliciosos.
ABP emplea un método llamado recuperación de información privada (PIR) para
implementar un esquema de coincidencia de URL que preserva la privacidad entre
la consulta del cliente y el servidor que aloja la base de datos, junto con
HTTP Oblivious, AMD SEV-SNP y
Path ORAM
para garantizar una mayor privacidad.
BlackSanta, el asesino de EDR
Una sofisticada campaña de ataque dirigida a departamentos de recursos humanos
y reclutadores ha combinado ingeniería social con técnicas avanzadas de
evasión para comprometer sigilosamente los sistemas, evitando los entornos de
análisis y utilizando un
módulo especializado diseñado para desactivar el software antivirus y de
detección de endpoints.
El ataque comienza con un archivo ISO con temática de currículum,
probablemente distribuido a través de correos electrónicos no deseados o de
phishing, que luego descarga cargas útiles de la siguiente etapa, incluyendo
una DLL que se ejecuta mediante carga lateral de DLL para recopilar
información básica del sistema, iniciar la comunicación con un servidor
remoto, realizar comprobaciones de sandbox, emplear filtrado geográfico para
evitar ejecutarse en regiones restringidas y descargar cargas útiles
adicionales, como BlackSanta EDR que utiliza controladores de kernel legítimos
pero vulnerables para debilitar las defensas del sistema, una táctica conocida
como Bring Your Own Vulnerable Driver (BYOVD).
«En lugar de funcionar como una simple carga útil auxiliar, BlackSanta
actúa como un módulo dedicado de neutralización de defensas que identifica e
interfiere programáticamente con los procesos de protección y monitoreo
antes del despliegue de las etapas posteriores»,
dijo Aryaka.
«Al atacar los motores de seguridad de los endpoints junto con los agentes
de telemetría y registro, reduce directamente la generación de alertas,
limita el registro de comportamiento y debilita la visibilidad de la
investigación en los hosts comprometidos».
Actualmente se desconoce cuáles son las cargas útiles posteriores o qué tan
extendida está la campaña. Las campañas de phishing no solo atacan a los
equipos de recursos humanos, sino que también suplantan su identidad en los
ataques.
«Suplantar la identidad de recursos humanos ofrece muchas ventajas a los
ciberdelincuentes. Las tareas de recursos humanos suelen ser obligatorias,
por lo que los correos electrónicos de este departamento tienen
autoridad»,
explicó Cofense.
«Además, las tareas legítimas de recursos humanos pueden tener plazos
estrictos, lo que un ciberdelincuente puede aprovechar para generar
urgencia. Por último, los empleados esperan que se realicen las tareas
habituales de recursos humanos».
Técnica de evasión de ZIP
Una nueva técnica, denominada
Zombie ZIP, permite a los atacantes ocultar cargas útiles en archivos comprimidos
especialmente diseñados que pueden eludir las herramientas de seguridad.
«Los encabezados ZIP mal formados pueden provocar que los antivirus y el
software de detección y respuesta de endpoints (EDR) generen falsos
negativos»,
declaró
el Centro de Coordinación CERT (CERT/CC).
«A pesar de la presencia de encabezados mal formados, algunos programas de
extracción aún pueden descomprimir el archivo ZIP, lo que permite la
ejecución de cargas útiles potencialmente maliciosas tras la descompresión
del archivo».
La vulnerabilidad, identificada como CVE-2026-0866, ha sido bautizada como
Zombie Zip por el investigador Christopher Aziz, quien la descubrió. La
técnica fue demostrada por Chris Aziz, investigador de seguridad de Bombadil
Systems.
Agente de IA vulnera la plataforma de McKinsey
Investigadores de CodeWall, una startup de seguridad ofensiva autónoma,
afirmaron que su agente de IA hackeó Lili, la plataforma interna de IA de McKinsey, y obtuvo acceso completo de
lectura y escritura a la plataforma de chatbot en tan solo dos horas.
Esto permitió el acceso a toda la base de datos de producción, incluyendo 46,5
millones de mensajes de chat sobre estrategia, fusiones y adquisiciones, y
relaciones con clientes, todo en texto plano, junto con 728.000 archivos que
contenían datos confidenciales de clientes, 57.800 cuentas de usuario y 95
mensajes del sistema que controlaban el comportamiento de la IA. Este
desarrollo indica que las herramientas de IA con agentes son cada vez más
efectivas para llevar a cabo ciberataques.
El agente informó haber encontrado más de 200 puntos finales totalmente
expuestos, de los cuales 22 no estaban protegidos. Uno de estos puntos
finales, que escribía consultas de búsqueda de usuarios en la base de datos,
sufrió una inyección SQL que podría haber permitido acceder a datos
confidenciales y modificar silenciosamente los mensajes del sistema. McKinsey
ya ha solucionado el problema. No hay evidencia de que la vulnerabilidad haya
sido explotada en la práctica.
Malware de ingeniería social en Teams
Atacantes contactaron a empleados de organizaciones financieras y de salud a
través de Microsoft Teams para engañarlos y obtener acceso remoto mediante
Asistencia Rápida e implementar un nuevo malware llamado
A0Backdoor.
El modus operandi, que coincide con el de
Storm-1811
(también conocido como STAC5777 o Blitz Brigantine), utiliza ingeniería social
para ganarse la confianza del empleado, primero inundando su bandeja de
entrada con spam y luego contactándolo a través de Teams, haciéndose pasar por
personal de TI de la empresa y ofreciéndole ayuda con el problema.
Para obtener acceso al equipo objetivo, el atacante le indica al usuario que
inicie una sesión remota de Quick Assist, que se utiliza para desplegar un
conjunto de herramientas maliciosas que incluye paquetes MSI firmados
digitalmente, algunos de los cuales estaban alojados en el almacenamiento en
la nube de Microsoft vinculado a cuentas personales. Los instaladores sirven
como conducto para lanzar una DLL que, a su vez, descifra y ejecuta un
shellcode responsable de realizar comprobaciones anti-análisis y desplegar
A0Backdoor, que establece contacto con un servidor remoto mediante
tunelización DNS para recibir comandos. La actividad ha estado activa desde al
menos agosto de 2025 hasta finales de febrero de 2026.
Red de desinformación industrializada
La operación de influencia rusa conocida como
Doppelgänger
ha sido descrita como industrializada y prioriza la resiliencia de la
infraestructura, la escalabilidad y la continuidad operativa por encima de la
visibilidad a corto plazo.
«En lugar de funcionar como una colección dispersa de sitios web
falsificados o medios de propaganda transitorios, la red presenta las
características de un aparato de influencia coordinado y gestionado
profesionalmente»,
afirmó DomainTools.
«En esencia, el ecosistema se basa en la suplantación sistemática de marcas
de medios ejecutada a gran escala».
Las campañas lanzadas como parte de la operación muestran una
microsegmentación geográfica deliberada en los estados miembros de la Unión
Europea y Estados Unidos.
Disputa entre el Pentágono y Anthopic sobre IA
Anthropic ha presentado una
demanda
para impedir que el Pentágono la incluya en una
lista negra de seguridad nacional, alegando que la
designación de riesgo para la cadena de suministro
fue ilegal y violó sus derechos a la libertad de expresión y al debido
proceso.
Esto ocurre después de que el Pentágono calificara formalmente a la empresa de
inteligencia artificial (IA) como un riesgo para la cadena de suministro tras
su negativa a eliminar las restricciones que impiden el uso de su tecnología
para armas autónomas o vigilancia interna. En su propio comunicado,
Anthropic afirmó:
Durante los últimos días, hemos mantenido conversaciones productivas con el
Departamento de Guerra, tanto sobre cómo podríamos prestarle nuestros
servicios respetando nuestras dos excepciones específicas, como sobre cómo
garantizar una transición sin contratiempos en caso de que esto no sea
posible».
Sin embargo,
el Pentágono declaró
que no hay ninguna negociación activa con Anthropic. Asimismo,
reiteró
que el departamento
«no realiza ni realizará vigilancia masiva interna». Este
acontecimiento se produce tras el acuerdo alcanzado por OpenAI con el
Departamento de Defensa de EE.UU., en el que su director ejecutivo, Sam
Altman, declaró que el contrato de defensa incluiría protecciones contra las
mismas líneas rojas que Anthropic había exigido.
Posteriormente, la empresa
modificó su contrato
para garantizar que
«el sistema de IA no se utilice intencionadamente para la vigilancia
interna de ciudadanos estadounidenses». El director ejecutivo de Anthropic, Dario Amodei,
calificó el mensaje de OpenAI
de «teatro de la seguridad mentiras descaradas».
Malware SEO de GitHub
Una nueva campaña de robo de información que distribuye
BoryptGrab
aprovecha una red de más de 100 repositorios públicos de GitHub que afirman
ofrecer herramientas de software gratuitas, utilizando palabras clave de
optimización para motores de búsqueda (SEO) para atraer a las víctimas.
La cadena de infección, que consta de varias etapas, comienza cuando se
descarga un archivo ZIP desde una página de descarga falsa de GitHub.
BoryptGrab puede recopilar datos del navegador, información de monederos de
criptomonedas e información del sistema. También es capaz de capturar capturas
de pantalla, recopilar archivos comunes y extraer información de Telegram,
tokens de Discord y contraseñas.
Como parte del ataque, se distribuye una puerta trasera llamada TunnesshClient
que establece un túnel SSH inverso para comunicarse con el atacante y actúa
como un
proxy SOCKS5. El archivo ZIP más antiguo data de finales de 2025. Se ha descubierto que
ciertas versiones de la campaña distribuyen Vidar Stealer o un descargador de
Golang llamado HeaconLoad, que luego descarga y ejecuta cargas útiles
adicionales.
Campaña de RAT contra la India
El grupo de ciberdelincuentes vinculado a Pakistán, conocido como
Transparent Tribe, ha sido responsable de una nueva serie de ataques dirigidos a entidades
gubernamentales indias para infectar sus sistemas con un RAT que permite la
ejecución remota de comandos, la monitorización y terminación de procesos, la
ejecución remota de programas, la carga y descarga de archivos, la enumeración
de archivos, la captura de pantallas y la monitorización de pantalla en tiempo
real.
«La campaña se basa principalmente en técnicas de ingeniería social,
distribuyendo un archivo ZIP malicioso disfrazado de documentos relacionados
con exámenes para persuadir a los destinatarios a interactuar con los
archivos»,
declaró CYFIRMA.
«Tras la extracción, el archivo descarga archivos de acceso directo
engañosos junto con un complemento de PowerPoint habilitado para macros, que
en conjunto inician la cadena de infección. Los ciberdelincuentes emplean
múltiples capas de ofuscación y mecanismos de ejecución redundantes para
aumentar la probabilidad de éxito en la intrusión y, al mismo tiempo,
reducir la probabilidad de que el usuario sospeche».
Malware de phishing firmado
Microsoft advierte
sobre múltiples campañas de phishing que utilizan señuelos de reuniones de
trabajo, archivos PDF adjuntos y el uso indebido de binarios legítimos para
distribuir malware firmado. La actividad, observada en febrero de 2026, no se
ha atribuido a ningún actor o grupo de amenazas específico.
«Los correos electrónicos de phishing incitaban a los usuarios a descargar
ejecutables maliciosos que se hacían pasar por software legítimo». Los archivos estaban firmados digitalmente con un certificado de Validación
Extendida (EV) emitido a TrustConnect Software PTY LTD. Una vez ejecutadas,
las aplicaciones instalaban herramientas de monitorización y gestión remota
(RMM) que permitían al atacante obtener acceso persistente a los sistemas
comprometidos. Algunas de las herramientas RMM desplegadas incluyen
ScreenConnect, Tactical RMM y MeshAgent. El uso de la marca TrustConnect
fue revelado por Proofpoint
la semana pasada.
Además, el despliegue de múltiples marcos RMM en una sola intrusión indica una
estrategia deliberada para garantizar el acceso continuo y la resiliencia
operativa, incluso si se detecta o elimina un mecanismo de acceso.
«Estas campañas demuestran cómo se puede abusar de marcas conocidas y
firmas digitales de confianza para eludir la sospecha del usuario y obtener
acceso inicial a entornos empresariales», añadió Microsoft.
Aumento del 12% en vulnerabilidades y ransomware
Flashpoint
informó
haber catalogado 44.509 vulnerabilidades en 2025, un aumento del 12%
interanual. De estas, se confirmó que 466 habían sido explotadas. Casi el 33%,
o 14.593 vulnerabilidades, tenían código de explotación disponible
públicamente.
Los ataques de ransomware también aumentaron un 53% interanual en 2025, con un
total de 8.835 ataques registrados. Los principales grupos de RaaS por volumen
de ataques en 2025 fueron Qilin con 1.213 ataques, Akira con 1.044, Cl0p con
529, Safepay con 452 y Play con 395. La industria manufacturera fue la más
atacada con 1.564 ataques, seguida de la tecnología con 987 y la atención
médica con 905. Estados Unidos representó aproximadamente el 53% de las
organizaciones víctimas identificadas.
Botnet RondoDox explota 174 vulnerabilidades
Se ha descubierto que la
botnet DDoS RondoDox implementó
174 exploits diferentes entre el 25 de mayo de 2025 y el 16 de febrero de
2026, alcanzando un pico de 15.000 intentos de explotación en un solo día
entre diciembre de 2025 y enero de 2026.
Se cree que los atacantes utilizan direcciones IP residenciales comprometidas
como infraestructura de alojamiento.
«Los operadores de RondoDox han estado empleando una estrategia de ataque
masivo, enviando múltiples exploits al mismo punto final con la esperanza de
que alguno funcione»,
afirmó Bitsight.
De las 174 vulnerabilidades diferentes, 15 cuentan con una prueba de concepto
(PoC) pública, pero sin CVE, y 11 no tienen código PoC. RondoDox destaca por
su rápida incorporación de vulnerabilidades recientemente descubiertas, en
algunos casos incluyendo la prueba de concepto incluso antes de la publicación
del CVE (por ejemplo,
CVE-2025-62593).
Ataque de keylogger solo en memoria
Se están utilizando correos electrónicos de phishing con señuelos de órdenes
de compra para distribuir un ejecutable dentro de archivos RAR. Una vez
ejecutado, el binario extrae y ejecuta
VIP Keylogger
en memoria sin acceder al disco.
«Este keylogger captura cookies del navegador, inicios de sesión, datos de
tarjetas de crédito, autocompletado, URL visitadas, descargas o sitios web
más visitados desde los archivos correspondientes en cada una de las
carpetas designadas de la aplicación»,
afirmó K7 Labs. También es capaz de atacar una amplia gama de navegadores web, robar
cuentas de correo electrónico de Outlook, Foxmail, Thunderbird y Postbox, y
recopilar tokens de Discord.
Phishing protegido por Cloudflare
Se ha detectado una nueva campaña de robo de credenciales de Microsoft 365 que
abusa de los servicios de Cloudflare para retrasar la detección y la
elaboración de perfiles de riesgo. El sistema de control está diseñado para
garantizar que el visitante sea un objetivo real y no un escáner de seguridad
o un bot.
«La campaña implementó múltiples técnicas anti-detección, incluyendo la
verificación humana de Cloudflare, listas de bloqueo de IP predefinidas,
comprobaciones de agente de usuario y múltiples sitios y redirecciones»,
informó DomainTools.
Fuente:
THN