Investigación principal de amenazas de Elastic Security Labs

Elastic Security es el primer proveedor de seguridad en lanzar una interfaz de usuario interactiva en herramientas de IA. Clasifica las alertas, busca amenazas, correlaciona las cadenas de ataque y abre casos, todo desde dentro de tu conversación con la IA.

imagen de marcador de posición

Destacado

Fallo de copia y DirtyFrag: errores en la caché de la página de Linux en estado realde Ruben Groenewoud, Eric Forte, Samir Bousseaden9 de mayo de 2026
Fallo de copia y DirtyFrag: errores en la caché de la página de Linux en estado real
Detección de sondeos y fuzzing de servidores sitio web en Traefik con respuesta automatizada Cloudflarede Erik-Jan de Kruijf8 de mayo de 2026
Detección de sondeos y fuzzing de servidores sitio web en Traefik con respuesta automatizada Cloudflare
TCLBANKER: Troyano bancario brasileño que se propaga a través de WhatsApp y Outlookde Jia Yu Chan, Daniel Stepanic, Seth Goodwin, Terrance DeJesus7 de mayo de 2026
TCLBANKER: Troyano bancario brasileño que se propaga a través de WhatsApp y Outlook
Elastic Workflows GA: automatización donde ya residen tus datos de seguridadde Tinsae Erkailo5 de mayo de 2026
Elastic Workflows GA: automatización donde ya residen tus datos de seguridad
Sigue a Elastic Security Labs en TwitterSuscríbete al boletín informativo

Ingeniería de detección

Ver todo
Fallo de copia y DirtyFrag: errores en la caché de la página de Linux en estado real

Fallo de copia y DirtyFrag: errores en la caché de la página de Linux en estado real

Esta investigación analiza las vulnerabilidades de escalada de privilegios del núcleo de Linux, Copy Fail y DirtyFrag, que explotan sutiles errores de corrupción de caché de página para crear rutas fiables de acceso root. Además, Elastic Security Labs está publicando lógica de detección para estas vulnerabilidades.

Abuso de la tubería CI/CD: el problema que nadie está observando

Abuso de la tubería CI/CD: el problema que nadie está observando

Cómo construimos una plantilla de CI de código abierto y directa que emplea la extracción de señales y el razonamiento de LLM para detectar abusos de CI/CD en GitHub Actions, GitLab CI y las canalizaciones de Azure DevOps.

El costo de la comprensión: ingeniería inversa impulsada por LLM frente a ofuscación iterativa de LLM

El costo de la comprensión: ingeniería inversa impulsada por LLM frente a ofuscación iterativa de LLM

Elastic Security Labs explora la carrera armamentística en curso entre la ingeniería inversa impulsada por LLM y la ofuscación.

Priorización del triaje de alertas con reglas de detección de orden superior

Priorización del triaje de alertas con reglas de detección de orden superior

Escalar la eficiencia del SOC mediante correlación multiseñal y patrones de detección de orden superior.

Análisis de malware

Ver todo
TCLBANKER: Troyano bancario brasileño que se propaga a través de WhatsApp y Outlook

TCLBANKER: Troyano bancario brasileño que se propaga a través de WhatsApp y Outlook

REF3076 emplea un instalador trojanizado de Logitech para desplegar TCLBANKER, un troyano bancario brasileño con payloads bloqueados por el entorno, superposiciones de fraude WPF y módulos gusanos de WhatsApp y Outlook autopropagables.

El costo de la comprensión: ingeniería inversa impulsada por LLM frente a ofuscación iterativa de LLM

El costo de la comprensión: ingeniería inversa impulsada por LLM frente a ofuscación iterativa de LLM

Elastic Security Labs explora la carrera armamentística en curso entre la ingeniería inversa impulsada por LLM y la ofuscación.

Phantom en la bóveda: Obsidiana abusada para entregar PhantomPulse RAT

Phantom en la bóveda: Obsidiana abusada para entregar PhantomPulse RAT

Elastic Security Labs descubre una novedosa campaña de ingeniería social que abusa de la popular aplicación de toma de notas, el legítimo ecosistema de plugins comunitarios de Obsidian. La campaña, que seguimos como REF6598, se dirige a individuos de los sectores financiero y de criptomonedas mediante una elaborada ingeniería social en LinkedIn y Telegram.

Enganchado a Linux: Ingeniería de detección de rootkit

Enganchado a Linux: Ingeniería de detección de rootkit

En esta segunda parte de un serial de dos partes, exploramos la ingeniería de detección de rootkits en Linux, centrándonos en las limitaciones de la dependencia de la detección estática y la importancia de la detección de comportamiento de rootkits.

Funcionamiento interno

Ver todo
Enganchado a Linux: Ingeniería de detección de rootkit

Enganchado a Linux: Ingeniería de detección de rootkit

En esta segunda parte de un serial de dos partes, exploramos la ingeniería de detección de rootkits en Linux, centrándonos en las limitaciones de la dependencia de la detección estática y la importancia de la detección de comportamiento de rootkits.

Aplicar diferencias a SYSTEM

Aplicar diferencias a SYSTEM

Aprovechando los LLMs y la difusión de parches, esta investigación detalla una vulnerabilidad Use-After-Free en Windows DWM, demostrando un exploit fiable que logra la escalada de licencias de usuario de bajo privilegio a SISTEMA.

La ilusión inmutable: Pwning tu kernel con archivos en la nube

La ilusión inmutable: Pwning tu kernel con archivos en la nube

Los actores maliciosos pueden abusar de una clase de vulnerabilidades para eludir restricciones de seguridad y romper cadenas de confianza.

FlipSwitch: una novedosa técnica de enganche de llamadas al sistema

FlipSwitch: una novedosa técnica de enganche de llamadas al sistema

FlipSwitch ofrece una nueva mirada a la elusión de las defensas del kernel de Linux, revelando una nueva técnica en la batalla en curso entre los atacantes cibernéticos y los defensores.

Inteligencia de amenazas

Ver todo
TCLBANKER: Troyano bancario brasileño que se propaga a través de WhatsApp y Outlook

TCLBANKER: Troyano bancario brasileño que se propaga a través de WhatsApp y Outlook

REF3076 emplea un instalador trojanizado de Logitech para desplegar TCLBANKER, un troyano bancario brasileño con payloads bloqueados por el entorno, superposiciones de fraude WPF y módulos gusanos de WhatsApp y Outlook autopropagables.

Phantom en la bóveda: Obsidiana abusada para entregar PhantomPulse RAT

Phantom en la bóveda: Obsidiana abusada para entregar PhantomPulse RAT

Elastic Security Labs descubre una novedosa campaña de ingeniería social que abusa de la popular aplicación de toma de notas, el legítimo ecosistema de plugins comunitarios de Obsidian. La campaña, que seguimos como REF6598, se dirige a individuos de los sectores financiero y de criptomonedas mediante una elaborada ingeniería social en LinkedIn y Telegram.

Dentro del compromiso de la cadena de suministro de Axios: un RAT para gobernarlos todos

Dentro del compromiso de la cadena de suministro de Axios: un RAT para gobernarlos todos

Elastic Security Labs analiza un compromiso de la cadena de suministro del paquete npm de Axios, ofreciendo un RAT unificado multiplataforma

Detección de liberaciones elásticas para el compromiso de la cadena de suministro de Axios

Detección de liberaciones elásticas para el compromiso de la cadena de suministro de Axios

Reglas de búsqueda y detección para el compromiso de la cadena de suministro Axios descubierta por Elastic.

Machine learning

Ver todo
Detecta la actividad del algoritmo de generación de dominios (DGA) con la nueva integración de Kibana

Detecta la actividad del algoritmo de generación de dominios (DGA) con la nueva integración de Kibana

Agregamos un paquete de detección de DGA a la aplicación Integraciones en Kibana. Con un solo clic, puede instalar y empezar a usar el modelo DGA y los activos asociados, incluidas las configuraciones de canalización de ingesta, los trabajos de detección de anomalías y las reglas de detección.

Automatización de la respuesta rápida de Security Protections al malware

Automatización de la respuesta rápida de Security Protections al malware

Vea cómo estuvimos mejorando los procesos que nos permiten realizar actualizaciones rápidamente en respuesta a nueva información y propagar esas protecciones a nuestros usuarios, con la ayuda de modelos de aprendizaje automático.

Detección de ataques Living-of-the-land con nueva Integración Elástica

Detección de ataques Living-of-the-land con nueva Integración Elástica

Agregamos un paquete de detección de vida de la tierra (LotL) a la aplicación Integraciones en Kibana. Con un solo clic, puede instalar y comenzar a usar el modelo ProblemChild y los activos asociados, incluidas las configuraciones de detección de anomalías y las reglas de detección.

Identificación de malware de balizas con Elastic

Identificación de malware de balizas con Elastic

En este blog, guiamos a los usuarios a través de la identificación de malware de balizas en su entorno empleando nuestro marco de identificación de balizas.

AI generativa

Ver todo
Aplicación Elastic Security MCP: Operaciones de seguridad interactivas dentro de sus herramientas de IA.

Aplicación Elastic Security MCP: Operaciones de seguridad interactivas dentro de sus herramientas de IA.

Elastic Security es el primer proveedor de seguridad en lanzar una interfaz de usuario interactiva en herramientas de IA. Clasifica las alertas, busca amenazas, correlaciona las cadenas de ataque y abre casos, todo desde dentro de tu conversación con la IA.

Monitorización de código/cowork de Claude a escala con OTel en Elastic

Monitorización de código/cowork de Claude a escala con OTel en Elastic

Cómo el equipo de InfoSec de Elastic construyó una canalización de monitorización para Claude Code y Claude Cowork empleando sus capacidades nativas de exportación OTel y la infraestructura de ingesta OTel de Elastic.

El costo de la comprensión: ingeniería inversa impulsada por LLM frente a ofuscación iterativa de LLM

El costo de la comprensión: ingeniería inversa impulsada por LLM frente a ofuscación iterativa de LLM

Elastic Security Labs explora la carrera armamentística en curso entre la ingeniería inversa impulsada por LLM y la ofuscación.

Empieza con Elastic Security desde tu agente de IA

Empieza con Elastic Security desde tu agente de IA

Pasa de cero a un entorno de seguridad Elastic completamente poblado sin salir de tu IDE, usando Habilidades de Agente de código abierto.

Herramientas

Ver todo
Abuso de la tubería CI/CD: el problema que nadie está observando

Abuso de la tubería CI/CD: el problema que nadie está observando

Cómo construimos una plantilla de CI de código abierto y directa que emplea la extracción de señales y el razonamiento de LLM para detectar abusos de CI/CD en GitHub Actions, GitLab CI y las canalizaciones de Azure DevOps.

WinVisor: un emulador basado en hipervisor para ejecutables en modo usuario de Windows x64

WinVisor: un emulador basado en hipervisor para ejecutables en modo usuario de Windows x64

WinVisor es un emulador basado en hipervisor para ejecutables en modo de usuario de Windows x64 que utiliza la API de la Plataforma de Hipervisor de Windows para ofrecer un entorno virtualizado que permite hacer el logging de llamadas al sistema y realizar una introspección de memoria.

Situaciones de STIX: Hacer ECScapar tus datos de amenazas

Situaciones de STIX: Hacer ECScapar tus datos de amenazas

Los datos estructurados de amenazas se suelen formatear con STIX. Para poder obtener estos datos en Elasticsearch, lanzamos un script de Python que convierte STIX a un formato ECS para que se ingiera en tu pila.

Bailando toda la noche con pipas nombradas - Lanzamiento del cliente de PIPEDANCE

Bailando toda la noche con pipas nombradas - Lanzamiento del cliente de PIPEDANCE

En esta publicación, repasaremos la funcionalidad de esta aplicación cliente y cómo empezar a emplear la herramienta.