Microsoft desmantela servicio de firma de malware tras ataques de ransomware

Introducción

Recientemente, Microsoft ha dado un golpe significativo al cibercrimen al desmantelar una operación de malware-signing-as-a-service (MSaaS) denominada Fox Tempest, que facilitaba la entrega de software malicioso y ataques de ransomware a nivel global.

¿Qué sucedió?

El 20 de mayo de 2026, Microsoft anunció que había interrumpido la operación de Fox Tempest, un actor de amenazas que aprovechaba su sistema de Artifact Signing para disfrazar malware como software legítimo. Esta operación, activa desde mayo de 2025, permitió la implementación de ransomware, incluyendo el conocido Rhysida, y otras familias de malware como Oyster, Lumma Stealer y Vidar.

Impacto y Riesgo

Los ataques orquestados por Fox Tempest han afectado a sectores críticos como la salud, educación, gobierno y servicios financieros en múltiples países, incluyendo EE. UU., Francia, India y China. La operación utilizaba certificados de firma fraudulentos con una validez de solo 72 horas, logrando así eludir controles de seguridad y comprometiendo miles de máquinas en todo el mundo.

Recomendaciones

• Implementar soluciones de protección que identifiquen y bloqueen software firmado de manera sospechosa.
• Capacitar a los desarrolladores sobre los riesgos asociados al uso indebido de sistemas de firma de código.
• Realizar auditorías regulares de seguridad en el software y las aplicaciones que se utilizan dentro de la organización.
• Establecer alertas sobre actividades inusuales relacionadas con la firma de software.

Conclusión

La interrupción de la operación de Fox Tempest por parte de Microsoft marca un avance importante en la lucha contra el cibercrimen. Sin embargo, es fundamental que las organizaciones mantengan medidas proactivas y continúen educándose sobre las tácticas y herramientas que utilizan los atacantes para comprometer sus sistemas.