4 de abril de 2026

¡Cuidado! Hackers controlan servidores Linux con 'cookies' maliciosas ocultas en el tráfico web

¡Cuidado! Hackers controlan servidores Linux con 'cookies' maliciosas ocultas en el tráfico web

Investigadores de Microsoft descubrieron que los hackers están usando 'cookies' HTTP (pequeños archivos que los sitios web guardan en tu navegador) como una puerta trasera secreta para controlar servidores Linux. Esto les permite ejecutar código malicioso de forma remota y persistente, ¡sin que te des cuenta!

Cómo funciona el ataque

En lugar de usar las vías típicas para dar órdenes al servidor, como parámetros en la URL, los atacantes se aprovechan de las cookies. Así, el código dañino permanece oculto hasta que se detecta la cookie correcta. Algunas de las implementaciones detectadas son:

  • Un cargador PHP (lenguaje de programación web) que usa varias capas de ofuscación (es decir, lo hace difícil de entender) y comprobaciones antes de ejecutar un código malicioso secundario.
  • Un script PHP que divide los datos de las cookies para reconstruir funciones operativas, como manejo de archivos, y escribe un código dañino en el disco para luego ejecutarlo.
  • Un script PHP que usa una cookie como señal para activar acciones controladas por el atacante, incluyendo la ejecución de comandos y la subida de archivos.

Lo más peligroso es que los atacantes logran establecer una tarea programada ('cron job') que se ejecuta periódicamente para reinstalar el código malicioso si se detecta y elimina. ¡Una verdadera pesadilla de "autocuración"!

A quién afecta

Este ataque afecta a servidores Linux, especialmente aquellos que alojan aplicaciones web en PHP. Los atacantes pueden obtener acceso inicial explotando vulnerabilidades conocidas o robando credenciales válidas.

Cómo protegerse

Microsoft recomienda tomar estas medidas para protegerte:

  • Activar la autenticación multifactor (un código extra en tu móvil, por ejemplo) para acceder a paneles de control, SSH y otras interfaces administrativas.
  • Vigilar la actividad de inicio de sesión inusual.
  • Limitar la ejecución de intérpretes de comandos ('shells').
  • Revisar las tareas programadas ('cron jobs') en los servidores web.
  • Buscar archivos sospechosos en los directorios web.
  • Limitar las capacidades del 'shell' en los paneles de control.

Qué significa esto para ti

Si eres dueño de un negocio y usas servidores Linux para tu página web o aplicaciones, asegúrate de que tu equipo de seguridad informática esté al tanto de esta amenaza y tome las medidas necesarias. ¡La prevención es clave para evitar un ataque!

Fuente: https://www.microsoft.com/en-us/security/blog/2026/04/02/cookie-controlled-php-webshells-tradecraft-linux-hosting-environments/
← Anterior Ingeniería social a mantenedor de Axios ...
Siguiente → Grupo hacker chino TA416 ataca gobiernos...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Ingeniería social a mantenedor de Axios derivó en ataque a la cadena de suministro de npm
Grupo hacker chino TA416 ataca gobiernos europeos con malware PlugX y phishing OAuth
Cisco corrige fallas críticas en sus sistemas IMC y SSM: Permiten acceso remoto total
Riesgos de terceros: el eslabón débil en la ciberseguridad de tus clientes
Nueva variante de SparkCat roba frases de recuperación de billeteras de criptomonedas en iOS y Android
Atacantes roban $285 millones de Drift mediante ingeniería social y posible conexión norcoreana
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio