OpenAI comenzó a implementarse el viernes Seguridad del Códiceun agente de seguridad impulsado por inteligencia artificial (IA) diseñado para encontrar, validar y proponer soluciones a vulnerabilidades.

La función está disponible en una vista previa de la investigación para los clientes de ChatGPT Pro, Enterprise, Business y Edu a través de la web del Codex con uso gratuito durante el próximo mes.

«Crea un contexto profundo sobre su proyecto para identificar vulnerabilidades complejas que otras herramientas agentes pasan por alto, lo que muestra hallazgos de mayor confianza con correcciones que mejoran significativamente la seguridad de su sistema y le evitan el ruido de errores insignificantes», dijo la compañía. dicho.

Codex Security representa una evolución de Aardvark⁠, que OpenAI presentó en versión beta privada en octubre de 2025 como una forma para que los desarrolladores y equipos de seguridad detecten y corrijan vulnerabilidades de seguridad a escala.

Durante los últimos 30 días, Codex Security ha escaneado más de 1,2 millones de confirmaciones en repositorios externos durante el transcurso de la versión beta, identificando 792 hallazgos críticos y 10,561 hallazgos de alta gravedad. Estos incluyen vulnerabilidades en varios proyectos de código abierto como OpenSSH⁠, GnuTLS⁠, GOGS⁠, Thorium⁠, libssh, PHP y Chromium, entre otros. Algunos de ellos se enumeran a continuación:

• GnuPG-CVE-2026-24881, CVE-2026-24882
• GnuTLS: CVE-2025-32988, CVE-2025-32989
• GOGS-CVE-2025-64175, CVE-2026-25242
• Torio – CVE-2025-35430, CVE-2025-35431, CVE-2025-35432, CVE-2025-35433, CVE-2025-35434, CVE-2025-35435, CVE-2025-35436

Según la empresa de inteligencia artificial, la última versión del agente de seguridad de aplicaciones aprovecha las capacidades de razonamiento de sus modelos de frontera y las combina con validación automatizada para minimizar el riesgo de falsos positivos y ofrecer soluciones prácticas.

Los escaneos de OpenAI en los mismos repositorios a lo largo del tiempo han demostrado una precisión cada vez mayor y una disminución de las tasas de falsos positivos, cayendo estas últimas en más del 50% en todos los repositorios.

En una declaración compartida con The Hacker News, OpenAI dijo que Codex Security está diseñado para mejorar la relación señal-ruido al conectar el descubrimiento de vulnerabilidades en el contexto del sistema y validar los hallazgos antes de mostrárselos a los usuarios.

Específicamente, el agente trabaja en tres pasos: analiza un repositorio para controlar la estructura del sistema relevante para la seguridad del proyecto y genera un modelo de amenaza editable que captura lo que hace y dónde está más expuesto.

Una vez creado el contexto del sistema, Codex Security lo utiliza como base para identificar vulnerabilidades y clasifica los hallazgos en función de su impacto en el mundo real. Los problemas marcados se someten a pruebas de presión en un entorno aislado para validarlos.

«Cuando Codex Security se configura con un entorno adaptado a su proyecto, puede validar problemas potenciales directamente en el contexto del sistema en ejecución», dijo OpenAI. «Esa validación más profunda puede reducir aún más los falsos positivos y permitir la creación de pruebas de concepto funcionales, brindando a los equipos de seguridad evidencia más sólida y un camino más claro hacia la remediación».

La etapa final implica que el agente proponga las soluciones que mejor se alineen con el comportamiento del sistema para reducir las regresiones y hacerlas más fáciles de revisar e implementar.

Las noticias sobre Codex Security llegan semanas después de que Anthropic lanzara Claude Code Security para ayudar a los usuarios a escanear una base de código de software en busca de vulnerabilidades y sugerir parches.

Anthropic el viernes lo dijo descubierto 22 nuevas vulnerabilidades de seguridad en el navegador web Firefox como parte de una asociación de seguridad con Mozilla.

De estos, 14 se han clasificado como graves, siete se han clasificado como moderados y uno se ha clasificado como de gravedad baja. Los temas fueron abordados en Firefox 148lanzado a fines del mes pasado. El vulnerabilidades fueron identificados durante un período de dos semanas en enero de 2026.

La compañía de inteligencia artificial (IA) dijo que la cantidad de errores de alta gravedad identificados por su modelo de lenguaje grande (LLM) Claude Opus 4.6 representa «casi una quinta parte» de todas las vulnerabilidades de alta gravedad que se parchearon en Firefox en 2025.

Anthropic dijo que el LLM detectó un error de uso después de la liberación en el JavaScript del navegador después de «sólo» 20 minutos de exploración, que luego fue validado por un investigador humano en un entorno virtualizado para descartar la posibilidad de un falso positivo.

«Al final de este esfuerzo, habíamos escaneado casi 6.000 archivos C++ y enviado un total de 112 informes únicos, incluidas las vulnerabilidades de gravedad alta y moderada mencionadas anteriormente», dijo la compañía. «La mayoría de los problemas se han solucionado en Firefox 148, y el resto se solucionará en próximas versiones».

El advenedizo de IA dijo que también proporcionó a su modelo Claude acceso a la lista completa de vulnerabilidades enviadas a Mozilla y encargó a la herramienta de IA desarrollar un exploit práctico para ellas.

A pesar de realizar la prueba varios cientos de veces y gastar alrededor de 4.000 dólares en créditos API, la compañía dijo que Claude Opus 4.6 pudo convertir el defecto de seguridad en un exploit sólo en dos casos.

Este comportamiento, añadió la empresa, señaló dos aspectos importantes: el coste de identificar vulnerabilidades es más barato que crear un exploit para ellas, y el modelo es mejor para encontrar problemas que para explotarlos.

«Sin embargo, el hecho de que Claude pudiera desarrollar automáticamente un exploit de navegador crudo, aunque sólo sea en unos pocos casos, es preocupante», enfatizó Anthropic, añadiendo que los exploits sólo funcionaron dentro de los límites de su entorno de prueba, al que se le han eliminado intencionalmente algunas características de seguridad como el sandboxing.

Un componente crucial incorporado al proceso es un verificador de tareas para determinar si el exploit realmente funciona, brindando a la herramienta retroalimentación en tiempo real mientras explora la base de código en cuestión y permitiéndole iterar sus resultados hasta que se idee un exploit exitoso.

Una de esas hazañas que escribió Claude fue para CVE-2026-2796 (puntuación CVSS: 9,8), que ha sido descrito como una mala compilación justo a tiempo (JIT) en el componente JavaScript WebAssembly.

La divulgación se produce semanas después de que la compañía publicara Claude Code Security en una vista previa de investigación limitada como una forma de corregir vulnerabilidades utilizando un agente de inteligencia artificial.

«No podemos garantizar que todos los parches generados por agentes que pasen estas pruebas sean lo suficientemente buenos como para fusionarse inmediatamente», dijo Anthropic. «Pero los verificadores de tareas nos dan una mayor confianza en que el parche producido corregirá la vulnerabilidad específica preservando al mismo tiempo la funcionalidad del programa y, por lo tanto, alcanzará lo que se considera el requisito mínimo para un parche plausible».

Mozilla, en un anuncio coordinado, dijo que el enfoque asistido por IA ha descubierto otros 90 errores, la mayoría de los cuales han sido solucionados. Estos consistían en fallas de aserción que se superponían con problemas que tradicionalmente se encontraban mediante el fuzzing y distintas clases de errores lógicos que los fuzzers no lograban detectar.

«La escala de los hallazgos refleja el poder de combinar una ingeniería rigurosa con nuevas herramientas de análisis para una mejora continua», dijo el fabricante del navegador. dicho. «Consideramos esto como una evidencia clara de que el análisis a gran escala asistido por IA es una nueva y poderosa incorporación a la caja de herramientas de los ingenieros de seguridad».

El presidente Donald Trump dio a conocer el viernes la estrategia cibernética de su administración, promoviendo operaciones ofensivas en el ciberespacio, asegurando las redes federales y la infraestructura crítica, simplificando las regulaciones, aprovechando las tecnologías emergentes y fortaleciendo la fuerza laboral de ciberseguridad.

Trump también firmó un orden ejecutiva Viernes ordenando a las agencias que tomen medidas para combatir el cibercrimen y el fraude.

Un poco más de la mitad de las cinco páginas de texto de estrategia del documento tan esperado es el preámbulo, y dos de sus siete páginas son título y final. Los funcionarios de la administración han dicho que la estrategia es deliberadamente de alto nivel y la Casa Blanca prometió una orientación más detallada en el futuro.

La estrategia «requiere una coordinación sin precedentes entre el gobierno y el sector privado para invertir en las mejores tecnologías y continuar con la innovación de clase mundial, y aprovechar al máximo las capacidades cibernéticas de Estados Unidos para misiones tanto ofensivas como defensivas», dijo la Casa Blanca en una declaración acompañando su lanzamiento.

Cada uno de los seis “pilares” de la estrategia ofrece algunas recetas.

“Dar forma al comportamiento del adversario” exige utilizar las capacidades ofensivas y defensivas del gobierno estadounidense en el ciberespacio, así como incentivar al sector privado para que interrumpa las redes del adversario.

También dice que Trump “contrarrestará la propagación del estado de vigilancia y las tecnologías autoritarias que monitorean y reprimen a los ciudadanos”, aun cuando los críticos de la administración argumentan que su administración ha fomentado la vigilancia y la represión contra los ciudadanos estadounidenses.

El pilar más corto, “promover una regulación con sentido común”, denuncia reglas que son sólo “listas de verificación costosas”. La administración Biden amplió las regulaciones cibernéticas, lo que provocó cierta resistencia en la industria. Pero el pilar de Trump sí habla de abordar la responsabilidad, un punto de énfasis también para la administración anterior.

“Modernizar y proteger las redes federales” habla de utilizar conceptos y tecnologías como la criptografía poscuántica, la inteligencia artificial, la confianza cero y la reducción de las barreras para que los proveedores vendan tecnología al gobierno para cumplir esos objetivos.

Para “asegurar la infraestructura crítica”, la estrategia exige fortalecer no sólo a los propietarios y operadores sino también a la cadena de suministro, en parte centrándose en productos fabricados en Estados Unidos en lugar de productos fabricados por el adversario.

«Negaremos a nuestros adversarios el acceso inicial y, en caso de un incidente, debemos poder recuperarnos rápidamente», dice la estrategia. «Iluminaremos el papel de las autoridades estatales, locales, tribales y territoriales como complemento, no como sustituto, de nuestros esfuerzos nacionales de ciberseguridad». Algunos críticos de las acciones de ciberseguridad de la administración han sostenido que ha trasladado demasiado la carga a los gobiernos estatales y locales.

El uso de la IA constituye la mayor parte del pilar titulado “mantener la superioridad en tecnologías críticas y emergentes”, además de reflejar partes anteriores de la estrategia sobre los temas de criptografía cuántica y protección de la privacidad. Eso incluye la protección de los centros de datos, objeto de luchas localizadas en todo el país sobre su ubicación y costos de recursos.

El último pilar dice que Estados Unidos debe “desarrollar talento y capacidad”, después de un año en el que la administración recortó un número significativo de puestos cibernéticos en el gobierno federal. «Eliminaremos los obstáculos que impiden que la industria, la academia, el gobierno y el ejército alineen los incentivos y creen una fuerza laboral cibernética altamente calificada», afirma.

Llegaron algunas críticas positivas sobre la estrategia a pesar de la publicación del viernes por la tarde, tradicionalmente el momento de la semana en el que una administración busca publicar noticias que espera atraigan poca atención.

«A medida que surgen amenazas nuevas y más sofisticadas, Estados Unidos necesitaba una nueva estrategia cibernética nacional que capte la urgencia de este momento», dijo el presidente y director ejecutivo de USTelecom, Jonathan Spalter, en un comunicado de prensa. «La estrategia del Presidente reconoce correctamente que aprovechar la combinación única de innovación del sector privado con capacidad del sector público de Estados Unidos es la mejor disuasión».

Frank Cilluffo, Director del Instituto McCrary para la Seguridad Cibernética y de Infraestructura Crítica de la Universidad de Auburn, quedó impresionado por el enfoque en la disuasión: «Esta estrategia unificada que determina una dirección para las operaciones cibernéticas ofensivas y defensivas y la colaboración no podría ser más oportuna».

La Business Software Alliance aplaudió en particular el llamado a simplificar las regulaciones cibernéticas.

Varios proveedores cibernéticos tomaron nota de los pasajes sobre la IA. «Redireccionar recursos del papeleo a capacidades de seguridad impulsadas por IA es la única manera de seguir el ritmo de las amenazas modernas y de los adversarios que operan a gran velocidad», afirmó Bill Wright, jefe global de asuntos gubernamentales de Elastic. «Esta estrategia parece reconocer esa verdad fundamental».

Sin embargo, no todas las críticas fueron halagadoras, incluida la del principal demócrata del Comité de Seguridad Nacional de la Cámara de Representantes, Bennie Thompson, quien dijo que el «bajo rendimiento» de la estrategia era lo único impresionante.

“La poca 'sustancia' que existe en este folleto es una mezcolanza de vagos tópicos, un largo catálogo de declaraciones de 'lo haremos' que pueden coincidir o no con el comportamiento actual de la Administración y, afortunadamente, una aparente extensión de algunas políticas de la era Biden», dijo. “Falta por completo incluso el plan más básico sobre cómo la Administración logrará cualquiera de sus objetivos de ciberseguridad, un objetivo posiblemente obstaculizado por la hemorragia de talento cibernético en todas las agencias federales desde que Trump asumió el cargo”.

La orden ejecutiva que Trump firmó el viernes, que la Casa Blanca no publicó, coincide con la publicación de la estrategia, pero hay poca superposición entre el tema; la estrategia hace una mención al ciberdelito.

La orden ordena al fiscal general que dé prioridad al enjuiciamiento de los delitos cibernéticos y el fraude, ordena a las agencias que revisen las herramientas que podrían utilizar para contrarrestar las organizaciones criminales internacionales y da al Departamento de Seguridad Nacional órdenes de marcha para mejorar la capacitación, además de otras medidas, según una hoja informativa.

«El presidente Trump está utilizando todas las herramientas disponibles para detener las redes criminales respaldadas por el extranjero que explotan a los estadounidenses vulnerables a través del fraude y la extorsión cibernéticos», afirma la hoja informativa.

Los grupos de amenazas norcoreanos están utilizando herramientas de inteligencia artificial para acelerar y expandir el plan de larga duración del país para contratar trabajadores técnicos remotos en empresas globales por períodos más prolongados, dijo Microsoft Threat Intelligence en un informe Viernes.

Los servicios de inteligencia artificial están empoderando a los agentes norcoreanos durante todo el ciclo de vida del ataque. Los atacantes han convertido la IA en un “multiplicador de fuerza” que refuerza y ​​automatiza sus esfuerzos para realizar investigaciones sobre objetivos, desarrollar recursos maliciosos, lograr y mantener el acceso, evadir la detección y utilizar herramientas como armas para ataques y actividades posteriores al compromiso, dijeron los investigadores.

Microsoft dijo que un trío de grupos a los que rastrea, como Coral Sleet, Sapphire Sleet y Jasper Sleet, están utilizando IA para acortar el tiempo que lleva crear personajes digitales para roles y mercados laborales específicos. Estos grupos frecuentemente aprovechan oportunidades financieras o señuelos con temas de entrevistas para obtener acceso inicial.

Jasper Sleet está utilizando herramientas de inteligencia artificial generativa para investigar ofertas de trabajo en plataformas como Upwork e identificar habilidades en demanda o requisitos de experiencia para alinear personas falsas con roles específicos, dijo Microsoft en el informe.

Los investigadores advirtieron que los grupos de amenazas también están «mejorando significativamente la escala y la sofisticación de su ingeniería social y sus operaciones de acceso inicial» con la creación de medios impulsada por IA para suplantaciones y modulación de voz en tiempo real.

Los grupos de amenazas norcoreanos han utilizado servicios de inteligencia artificial para generar señuelos que imitan las comunicaciones internas en varios idiomas con fluidez nativa.

«Estas tecnologías permiten a los actores de amenazas crear señuelos y personajes altamente personalizados y convincentes a una velocidad y un volumen sin precedentes, lo que reduce la barrera para que se produzcan ataques complejos y aumenta la probabilidad de un compromiso exitoso», escribieron los investigadores en el informe.

Microsoft ha observado a Jasper Sleet utilizando la aplicación de inteligencia artificial Faceswap para insertar rostros de trabajadores de TI de Corea del Norte en documentos de identidad robados, en algunos casos reutilizando la misma foto generada por inteligencia artificial en varias personas.

Jasper Sleet también se apoya en las comunicaciones habilitadas por IA después de que una organización de víctimas contrató con éxito a un agente para evadir la detección y mantener un empleo a largo plazo. Microsoft ha observado a los trabajadores de TI remotos de Corea del Norte utilizar herramientas de inteligencia artificial para elaborar respuestas profesionales, responder preguntas técnicas o generar fragmentos de código para cumplir con las expectativas de rendimiento en entornos desconocidos.

Los grupos de amenazas norcoreanos están utilizando la IA para perfeccionar las actividades posteriores al compromiso observadas previamente, reduciendo el tiempo y la experiencia necesarios para la toma de decisiones, dijo Microsoft. Estas tareas impulsadas por IA aceleran el análisis de entornos comprometidos desconocidos, identifican rutas viables para el movimiento lateral y permiten a los agentes mezclarse con la actividad legítima.

Los grupos de amenazas norcoreanos también están utilizando IA para escalar privilegios, localizar y robar registros o credenciales confidenciales y minimizar el riesgo de detección mediante el análisis de controles de seguridad.

La IA generativa constituye la mayor parte de las actividades de amenazas relacionadas con la IA, pero Microsoft dijo que está en marcha una transición a la IA agente.

«Para los actores de amenazas, este cambio podría representar un cambio significativo en el oficio al permitir flujos de trabajo semiautónomos que refinen continuamente las campañas de phishing, prueben y adapten la infraestructura, mantengan la persistencia o monitoreen la inteligencia de código abierto en busca de nuevas oportunidades», escribieron los investigadores en el informe.

«Microsoft aún no ha observado el uso a gran escala de IA agente por parte de actores de amenazas, en gran parte debido a la confiabilidad continua y las limitaciones operativas», agregaron los investigadores. Sin embargo, advirtió Microsoft, los experimentos ilustran el potencial que los sistemas de IA agentes representan para actividades más avanzadas y dañinas.

El Departamento de Seguridad Nacional está atravesando una revisión de su liderazgo en seguridad de la información y TI, y múltiples fuentes le dijeron a FedScoop que se está llevando a cabo una amplia realineación en el departamento para reemplazar a los líderes tecnológicos clave.

FedScoop se enteró de que al menos dos funcionarios del DHS están siendo reemplazados: el director de seguridad de la información, Hemant Baidwan, y la CISO adjunta, Amanda Day.

La reorganización entre los funcionarios de TI se produce cuando otros líderes están cambiando en el departamento. El presidente Donald Trump anunció el jueves que la secretaria de Seguridad Nacional, Kristi Noem, dejará el cargo a finales de marzo. Trump nominó al senador Markwayne Mullin, republicano por Oklahoma, como su reemplazo.

El anuncio de la salida de Noem se produjo una semana después de otros trastornos de personal en la Agencia de Seguridad de Infraestructura y Ciberseguridad, donde el director interino Madhu Gottumukkala fue reasignado a un puesto en la sede del DHS y el CIO Bob Costello renunció.

Baidwan dejará la organización a finales de este mes, tras la salida de Day a finales de febrero, según dos fuentes familiarizadas con la situación. Desde entonces, Day asumió el cargo de vicepresidente de ciberseguridad y confianza en Workday, confirmó de forma independiente FedScoop. ella la ha actualizado perfil de LinkedIn para reflejar su nuevo trabajo.

Ambos líderes tecnológicos han pasado décadas trabajando para el DHS. Baidwan se unió al departamento en 2011 como jefe de gobernanza y gestión de riesgos y ocupó varios puestos durante su mandato antes de ser nombrado jefe del equipo de seguridad de la información del departamento en abril de 2024, según a su LinkedIn. Como CISO, Baidwan ayudó a desarrollar las primeras directrices de ciberseguridad de IA del departamento y estableció nuevos estándares para las prácticas de seguridad tecnológica.

Day se unió al departamento por primera vez en 2008 como especialista en TI en seguridad de la información. Más recientemente, fue CISO adjunta y directora ejecutiva adjunta del DHS desde diciembre de 2024.

Baidwan y Day no respondieron a múltiples solicitudes de comentarios de FedScoop.

Un portavoz del Departamento de Seguridad Nacional, contactado la semana pasada para hacer comentarios, dijo a FedScoop: «No tenemos cambios de personal que anunciar en este momento». El departamento no respondió a las solicitudes de seguimiento.

Un “gran realineamiento” en el DHS

La reforma podría ser parte de la nueva normalidad del departamento de TI del DHS: una versión del cambio de guardia que ocurre cuando llegan nuevas administraciones, particularmente después de que el papel de los CIO federales se ha vuelto más político.

Sin embargo, fuentes familiarizadas con el asunto creen que la rotación indica un cambio más amplio y fricciones internas. Dos fuentes describieron las salidas de Day y Baidwan a FedScoop como parte de “un importante realineamiento que está ocurriendo en todo el DHS en este momento” que precede al derrocamiento de Noem.

Antoine McCord, director de información del DHS, fue descrito como un actor clave en el esfuerzo. McCord supervisa la modernización de TI y la ciberseguridad en todo el DHS y administra los sistemas empresariales que respaldan la seguridad fronteriza, los servicios de inmigración, la respuesta a desastres y la ciberdefensa.

McCord estuvo en la primera ola de contrataciones de CIO bajo la administración Trump el año pasado cuando la Oficina de Gestión de Personal reclasificó el puesto de director de información de “carrera reservada” a “general”. La medida alivió las restricciones sobre quién podría ser elegido para el puesto, informó anteriormente FedScoop.

«La tecnología de la información afecta prácticamente todo lo que hace el gobierno y, por lo tanto, un CIO de agencia desempeña un papel fundamental en el desarrollo de políticas (particularmente en el ámbito digital) que tienen efectos generalizados y significativos en el público estadounidense», dijo la OPM. en una nota a los jefes y jefes interinos de agencias en febrero de 2025. «El papel del CIO moderno no es el tipo de puesto 'imparcial' o 'técnico' que sea adecuado para puestos profesionales reservados de SES».

Dos exfuncionarios del DHS en estrecho contacto con el departamento dijeron a FedScoop que la realineación es parte de un esfuerzo más amplio para colocar a personas de la sede del DHS en puestos críticos de CIO en las agencias componentes, con el objetivo final de incluirlos en parte o en su totalidad en la oficina del CIO del DHS.

«Antoine McCord se está afirmando como el CIO del DHS con los componentes, y cuando se le da la oportunidad, está colocando a personas del cuartel general en esos roles», dijo el funcionario, que habló bajo condición de anonimato para hablar con franqueza. «Hay tres o hasta cuatro componentes principales en los que hay CIO del DHS dirigiendo esos talleres ahora. Así que claramente ha sido un esfuerzo concertado para aprovechar también las salidas y aperturas».

El año pasado, Noem despidió a 24 empleados de TI de FEMAincluidos el CIO Charley Armstrong y el CISO Gregory Edwards. En febrero, el DHS nombró silenciosamente a Zeke Maldonado CIO interino de FEMA. Maldonado fue anteriormente director ejecutivo de operaciones de TI en la dirección de gestión de la sede del DHS. Un portavoz de FEMA confirmó el nuevo papel de Maldonado a FedScoop el 1 de marzo y dijo que «abordará desafíos anteriores y tomará medidas proactivas para proteger las redes de FEMA y el territorio nacional».

Una de las fuentes le dijo a FedScoop que el nombramiento de Maldonado también era “parte de un esfuerzo mayor para absorber al CIO de FEMA en el CIO del DHS”. Una segunda fuente estuvo de acuerdo con ese sentimiento.

«Hay líneas claras de interés en que el CIO del DHS quiera colocar allí a personas que podrían ser útiles para realizar ese cambio», dijo el primer funcionario.

Una tercera fuente describió el ambiente actual en el DHS como lleno de «tumulto», con la mayoría de los empleados «sobresaltados» por los cambios de personal, falta de transparencia por parte del liderazgo e historias contradictorias sobre la toma de decisiones y los objetivos del departamento.

El partida de Costello en CISA abre otro puesto vacante de CIO en una agencia de componentes críticos. Costello era un líder popular. Según las fuentes, su destitución probablemente provocará una mayor agitación en el personal dentro del departamento de TI de la agencia.

«Hay personas que todavía están allí y que, ahora que Bob se ha ido, se irán», dijo el segundo funcionario a FedScoop. «La fuga de cerebros en el DHS es peligrosa».

Los cambios de liderazgo están surgiendo como los formuladores de políticas se preocupan La disposición del DHS para resistir ataques físicos y cibernéticos a los EE. UU. mientras el país los lleva a cabo acciones militares apuntando a Irán. El conflicto ya ha provocado la primera interrupción relacionada con el combate a un centro de datos de hiperescala de propiedad estadounidense, informó DefenseScoop.

«Este es un momento terrible, dado que nos encontramos en la situación en la que nos encontramos en Medio Oriente», dijo el segundo funcionario. «Nuestros adversarios absolutamente lo sacarán provecho».

Investigadores de ciberseguridad han revelado detalles de una campaña de malware de varias etapas que utiliza secuencias de comandos por lotes como vía para entregar varias cargas útiles de troyanos de acceso remoto (RAT) cifrados que corresponden a XWorm, AsyncRAT y Xeno RAT.

La cadena de ataque sigiloso ha recibido un nombre en clave VACÍO#GEIST por Securonix Threat Research.

En un nivel alto, el script por lotes ofuscado se utiliza para implementar un segundo script por lotes, preparar un tiempo de ejecución de Python incorporado legítimo y descifrar blobs de código shell cifrados, que se ejecutan directamente en la memoria inyectándolos en instancias separadas de «explorer.exe» usando una técnica llamada Inyección de llamada de procedimiento asincrónico (APC) anticipada.

«Las campañas de malware modernas pasan cada vez más de ejecutables independientes a marcos de entrega complejos basados ​​en scripts que imitan fielmente la actividad legítima de los usuarios», afirman los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee. dicho en un informe técnico compartido con The Hacker News.

«En lugar de implementar binarios de PE tradicionales, los atacantes aprovechan canales modulares que comprenden secuencias de comandos por lotes para la orquestación, PowerShell para una puesta en escena sigilosa, tiempos de ejecución incorporados legítimos para la portabilidad y código shell sin procesar ejecutado directamente en la memoria para persistencia y control».

Este mecanismo de ejecución sin archivos minimiza las oportunidades de detección basadas en disco, lo que permite a los actores de amenazas operar dentro de sistemas comprometidos sin activar alertas de seguridad. Es más, este enfoque ofrece una ventaja adicional en el sentido de que estas etapas individuales parecen inofensivas de forma aislada y se asemejan a una actividad administrativa normal.

El punto de partida del ataque es un script por lotes que se obtiene de un dominio de TryCloudflare y se distribuye a través de correos electrónicos de phishing. Una vez lanzado, evita deliberadamente tomar medidas para escalar privilegios y aprovecha los derechos de permiso del usuario actualmente conectado para establecer un punto de apoyo inicial, mientras se mezcla con operaciones administrativas aparentemente inocuas.

La etapa inicial sirve como plataforma de lanzamiento para mostrar un PDF señuelo al iniciar Google Chrome en pantalla completa. El documento financiero o la factura mostrados sirven como distracción visual para ocultar lo que sucede detrás de escena. Esto incluye iniciar un comando de PowerShell para volver a ejecutar el script por lotes original, como usar el parámetro -WindowStyle Hidden, para evitar mostrar una ventana de consola.

Para garantizar la persistencia entre reinicios del sistema, se coloca un script por lotes auxiliar en el directorio de inicio del usuario de Windows para que se ejecute automáticamente cada vez que la víctima inicia sesión en el sistema. La ausencia de métodos de persistencia más intrusivos es intencionada, ya que reduce la huella forense.

«Técnicamente, este método de persistencia opera completamente dentro del contexto de privilegios del usuario actual. No modifica las claves de registro de todo el sistema, no crea tareas programadas ni instala servicios», dijeron los investigadores. «En cambio, se basa en un comportamiento de inicio estándar a nivel de usuario, que no requiere elevación y genera una fricción de seguridad mínima. Esta elección de diseño reduce la probabilidad de activar mensajes de escalada de privilegios o alertas de monitoreo de registro».

La siguiente fase comienza cuando el malware llega a un dominio de TryCloudflare para recuperar cargas útiles adicionales en forma de archivos ZIP que contienen varios archivos.

• runn.pyun script de carga basado en Python responsable de descifrar e inyectar módulos de carga útil de shellcode cifrados en la memoria
• nuevo.binuna carga útil de shellcode cifrada correspondiente a XWorm
• xn.binuna carga útil de shellcode cifrada correspondiente a Xeno RAT
• pul.binuna carga útil de shellcode cifrada correspondiente a AsyncRAT
• a.json, n.json, y p.jsonarchivos de claves que contienen las claves de descifrado requeridas por el cargador de Python para descifrar dinámicamente el código shell en tiempo de ejecución

Una vez que se extraen los archivos, la secuencia de ataque implementa un tiempo de ejecución de Python integrado legítimo directamente desde Python.[.]org. Este paso ofrece varias ventajas. Para empezar, elimina cualquier dependencia del sistema. Como resultado, el malware puede seguir funcionando incluso si el punto final infectado tiene Python instalado.

«Desde la perspectiva del atacante, los objetivos de esta etapa son la portabilidad, la confiabilidad y el sigilo», dijo Securonix. «Al incorporar un intérprete legítimo en el directorio de preparación, el malware se transforma en un entorno de ejecución totalmente autónomo capaz de descifrar e inyectar módulos de carga útil sin depender de componentes externos del sistema».

El objetivo principal del ataque es aprovechar el tiempo de ejecución de Python para iniciar «runn.py», que luego descifra y ejecuta la carga útil de XWorm mediante la inyección Early Bird APC. El malware también utiliza un binario legítimo de Microsoft, «AppInstallerPythonRedirector.exe», para invocar Python e iniciar Xeno RAT. En la última etapa, el cargador de Python utiliza el mismo mecanismo de inyección para iniciar AsyncRAT.

La cadena de infección culmina cuando el malware transmite una baliza HTTP mínima a la infraestructura C2 controlada por el atacante alojada en TryCloudflare para confirmar la irrupción digital. Actualmente no se sabe quiénes fueron los objetivos del ataque y si hubo algún compromiso exitoso.

«Este patrón de inyección repetida refuerza la arquitectura modular del marco. En lugar de entregar una única carga útil monolítica, el atacante implementa componentes de forma incremental, mejorando la flexibilidad y la resistencia», dijo Securonix. «Desde el punto de vista de la detección, la inyección repetida de procesos en explorer.exe en periodos cortos de tiempo es un fuerte indicador de comportamiento que se correlaciona entre las etapas del ataque».

El actor de amenazas alineado con Pakistán conocido como Tribu transparente se ha convertido en el último grupo de hackers en adoptar herramientas de codificación basadas en inteligencia artificial (IA) para atacar objetivos con varios implantes.

La actividad está diseñada para producir una «masa mediocre y de gran volumen de implantes» que se desarrollan utilizando lenguajes de programación menos conocidos como Nim, Zig y Crystal y dependen de servicios confiables como Slack, Discord, Supabase y Google Sheets para pasar desapercibidos, según nuevos hallazgos de Bitdefender.

«En lugar de un gran avance en la sofisticación técnica, estamos viendo una transición hacia la industrialización del malware asistida por IA que permite al actor inundar los entornos objetivo con binarios políglotas desechables», afirman los investigadores de seguridad Radu Tudorica, Adrian Schipor, Victor Vrabie, Marius Baciu y Martin Zugec. dicho en un desglose técnico de la campaña.

La transición hacia el malware codificado por vibración, también conocido como vibewarecomo medio para complicar la detección, el proveedor rumano de ciberseguridad lo ha caracterizado como Denegación de Detección Distribuida (DDoD). En este enfoque, la idea no es eludir los esfuerzos de detección mediante la sofisticación técnica, sino más bien inundar los entornos objetivo con archivos binarios desechables, cada uno de los cuales utiliza un lenguaje y un protocolo de comunicación diferentes.

Los grandes modelos de lenguaje (LLM, por sus siglas en inglés) ayudan a los actores de amenazas en este aspecto, que reducen la barrera al delito cibernético y colman la brecha de experiencia al permitirles generar código funcional en lenguajes desconocidos, ya sea desde cero o trasladando la lógica empresarial central de otros más comunes.

Se ha descubierto que el último conjunto de ataques tiene como objetivo el gobierno indio y sus embajadas en varios países extranjeros, y APT36 utiliza LinkedIn para identificar objetivos de alto valor. Los ataques también han apuntado al gobierno afgano y a varias empresas privadas, aunque en menor medida.

Es probable que las cadenas de infección comiencen con correos electrónicos de phishing que contienen accesos directos de Windows (LNK) incluidos en archivos ZIP o imágenes ISO. Alternativamente, se utilizan señuelos PDF que presentan un botón destacado «Descargar documento» para redirigir a los usuarios a un sitio web controlado por un atacante que activa la descarga de los mismos archivos ZIP.

Independientemente del método utilizado, el archivo LNK se utiliza para ejecutar scripts de PowerShell en la memoria, que luego descargan y ejecutan la puerta trasera principal y facilitan las acciones posteriores al compromiso. Estos incluyen el despliegue de conocidas herramientas de simulación de adversarios como Cobalt Strike y Havoc, lo que indica un enfoque híbrido para garantizar la resiliencia.

Algunas de las otras herramientas observadas como parte de los ataques se enumeran a continuación:

• código de guerraun cargador de código shell personalizado escrito en Crystal que se utiliza para cargar de forma reflexiva un agente Havoc directamente en la memoria.
• NimShellcodeLoaderuna contraparte experimental de Warcode que se utiliza para desplegar una baliza Cobalt Strike incrustada en él.
• CreepDropperun malware .NET que se utiliza para entregar e instalar cargas útiles adicionales, incluido SHEETCREEP, un ladrón de información basado en Go que utiliza Microsoft Graph API para C2, y MAILCREEP, una puerta trasera basada en C# que utiliza Google Sheets para C2. Zscaler ThreatLabz detalló ambas familias de malware en enero de 2026.
• SupaServuna puerta trasera basada en Rust que establece un canal de comunicación principal a través de la plataforma Supabase, con Firebase actuando como alternativa. Contiene emojis Unicode, lo que sugiere que probablemente fue desarrollado utilizando IA.
• Ladrón luminosoun probable ladrón de información basado en Rust y codificado en vibración que utiliza Firebase y Google Drive para filtrar archivos que coinciden con ciertas extensiones (.txt, .docx, .pdf, .png, .jpg, .xlsx, .pptx, .zip, .rar, .doc y .xls).
• concha de cristaluna puerta trasera escrita en Crystal que es capaz de apuntar a sistemas Windows, Linux y macOS, y utiliza ID de canal de Discord codificados para C2. Admite la capacidad de ejecutar comandos y recopilar información del host. Se ha descubierto que una variante del malware utiliza Slack para C2.
• ZigShelluna contraparte de CrystalShell que está escrita en Zig y utiliza Slack como infraestructura C2 principal. También admite funciones adicionales para cargar y descargar archivos.
• Archivo de cristalun intérprete de comandos simple escrito en Crystal que monitorea continuamente «C:\Users\Public\AccountPictures\input.txt» y ejecuta el contenido usando «cmd.exe».
• Galletas Luminosasun inyector especializado basado en Rust para extraer cookies, contraseñas e información de pago de navegadores basados ​​en Chromium eludiendo el cifrado vinculado a aplicaciones.
• Espía de copia de seguridaduna utilidad basada en Rust diseñada para monitorear el sistema de archivos local y los medios externos en busca de datos de alto valor.
• ZigLoaderun cargador especializado escrito en Zig que descifra y ejecuta código shell arbitrario en la memoria.
• Baliza centinela de la puertauna versión personalizada del código abierto Centinela de la puerta Proyecto marco C2.

«La transición de APT36 hacia vibeware representa una regresión técnica», dijo Bitdefender. «Si bien el desarrollo asistido por IA aumenta el volumen de muestras, las herramientas resultantes a menudo son inestables y están plagadas de errores lógicos. La estrategia del actor apunta incorrectamente a la detección basada en firmas, que durante mucho tiempo ha sido reemplazada por la seguridad moderna de los terminales».

Bitdefender ha advertido que la amenaza que plantea el malware asistido por IA es la industrialización de los ataques, lo que permite a los actores de amenazas escalar sus actividades rápidamente y con menos esfuerzo.

«Estamos viendo una convergencia de dos tendencias que se han estado desarrollando durante algún tiempo: la adopción de lenguajes de programación exóticos y especializados y el abuso de servicios confiables para esconderse en el tráfico legítimo de la red», dijeron los investigadores. «Esta combinación permite que incluso un código mediocre alcance un alto éxito operativo simplemente superando la telemetría defensiva estándar».

El comité de Energía y Comercio de la Cámara de Representantes aprobó por unanimidad el jueves un paquete de proyectos de ley bipartidistas de ciberseguridad dirigidos al sector energético, incluida una legislación que reautorizaría y financiaría un programa federal crítico de asistencia en ciberseguridad para empresas de servicios eléctricos rurales en todo el país.

El Ley de ciberseguridad de servicios públicos rurales y municipalespresentado por las representantes Mariannette Miller-Meeks, republicana por Iowa, y Jennifer McClellan, demócrata por Virginia, reautoriza el programa de ciberseguridad avanzada de servicios públicos rurales y municipales del Departamento de Energía, que canaliza cientos de millones de dólares en subvenciones federales y asistencia técnica cada año para ayudar a los servicios públicos y cooperativas rurales a defenderse contra ataques cibernéticos y otras amenazas.

El programa se creó a través de la Ley de Empleo e Inversión en Infraestructura de 2022 y es ampliamente visto en el sector energético como un salvavidas de ciberseguridad para servicios eléctricos con fondos insuficientes de lo contrario, sería un eslabón débil en la ciberseguridad o confiabilidad energética del país.

Las empresas de servicios públicos más pequeñas desempeñan un papel crucial en el apoyo a las redes energéticas del país, pero muchas carecen de operaciones sofisticadas de TI o de ciberseguridad. Los funcionarios de la industria dicen que no es raro que algunas entidades tengan uno o dos funcionarios de TI o ciberseguridad, en todo caso. El proyecto de ley aprueba 250 millones de dólares en subvenciones adicionales para el programa durante los próximos cinco años, parte de los cuales se destinaría a implementar tecnologías de ciberseguridad más modernas y mejorar el intercambio de información.

Hablando antes de la votación, Miller-Meeks dijo que la cooperativa eléctrica de su distrito de Iowa debe atender a los contribuyentes en 20 condados diferentes y enfrenta «las mismas amenazas que los sistemas metropolitanos pero con menos recursos».

“En un momento en que los ataques de ciberseguridad a nuestra infraestructura crítica están aumentando y aún no hemos autorizado un proyecto de ley de asignaciones para el DHS, las empresas de servicios públicos pequeñas y rurales necesitan recursos para defenderse de los actores estatales y las amenazas sofisticadas”, dijo.

El miembro de mayor rango Frank Pallone, DN.J., expresó su propia crítica, afirmando que la reautorización fue “retrasada durante incontables meses debido a demoras sin sentido” por parte de funcionarios de Energía.

Otro proyecto de ley, el Ley de liderazgo en emergencias energéticastrasladaría la responsabilidad de las funciones de ciberseguridad de la Oficina de Ciberseguridad, Seguridad Energética y Respuesta a Emergencias a un único subsecretario confirmado por el Senado.

La principal patrocinadora del proyecto de ley, la representante Laurel Lee, republicana por Florida, citó directamente informes de amenazas continuas al sector energético del país por parte de piratas informáticos patrocinados por el estado chino como impulsor de la legislación.

“Al mismo tiempo que nuestra red eléctrica enfrenta un panorama de amenazas cada vez más complejo, amenazas patrocinadas por estados como Volt Typhoon han apuntado activamente a infraestructura crítica de EE. UU., incluida nuestra red eléctrica”, dijo Lee. «Éstas son amenazas reales y continuas de adversarios extranjeros que buscan socavar nuestra seguridad nacional y estabilidad económica».

El comité también aprobó proyectos de ley que requieren estados incluir la ciberseguridad en sus planes energéticos, aclarar el papel del Secretario de Energía en la promoción y coordinación de la ciberseguridad de los oleoductos y gasoductos del país, y codificar un Centro piloto de Análisis de Amenazas Energéticas.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el jueves agregado dos fallas de seguridad que afectan los productos de Hikvision y Rockwell Automation a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

Las vulnerabilidades de gravedad crítica se enumeran a continuación:

• CVE-2017-7921 (Puntuación CVSS: 9,8): una vulnerabilidad de autenticación inadecuada que afecta a múltiples productos Hikvision y que podría permitir a un usuario malintencionado escalar privilegios en el sistema y obtener acceso a información confidencial.
• CVE-2021-22681 (Puntuación CVSS: 9,8): una vulnerabilidad de credenciales insuficientemente protegidas que afecta a múltiples controladores Rockwell Automation Studio 5000 Logix Designer, RSLogix 5000 y Logix que podría permitir que un usuario no autorizado con acceso a la red del controlador omita el mecanismo de verificación y se autentique con él, así como también altere su configuración y/o código de aplicación.

La incorporación de CVE-2017-7921 al catálogo KEV se produce más de cuatro meses después de que SANS Internet Storm Center revelara que había detectado intentos de explotación contra cámaras Hikvision susceptibles a la falla. Sin embargo, no parece haber ningún informe público que describa los ataques que involucren a CVE-2021-22681.

A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) actualizar a las últimas versiones de software compatibles antes del 26 de marzo de 2026, como parte de Directiva operativa vinculante (DBO) 22-01.

«Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal», dijo CISA.

«Aunque BOD 22-01 solo se aplica a las agencias FCEB, CISA insta encarecidamente a todas las organizaciones a reducir su exposición a ataques cibernéticos priorizando la remediación oportuna de las vulnerabilidades del Catálogo KEV como parte de su práctica de gestión de vulnerabilidades».

Un actor de amenazas persistentes avanzadas (APT) vinculado a China ha estado apuntando a infraestructuras de telecomunicaciones críticas en América del Sur desde 2024, apuntando a sistemas Windows y Linux y dispositivos de borde con tres implantes diferentes.

La actividad está siendo rastreado por Cisco Talos bajo el apodo UAT-9244describiéndolo como estrechamente asociado con otro grupo conocido como FamousSparrow.

Vale la pena señalar que se considera que FamousSparrow comparte superposiciones tácticas con Salt Typhoon, un grupo de espionaje del nexo con China conocido por apuntar a proveedores de servicios de telecomunicaciones. A pesar de la huella similar entre UAT-9244 y Salt Typhoon, no hay evidencia concluyente que vincule a los dos grupos.

En la campaña analizada por la empresa de ciberseguridad, se descubrió que las cadenas de ataque distribuyen tres implantes previamente no documentados: TernDoor dirigido a Windows, PeerTime (también conocido como Angrypeer) dirigido a Linux y BruteEntry, que se instala en dispositivos de borde de red.

Se desconoce el método de acceso inicial exacto utilizado en los ataques, aunque el adversario se ha dirigido previamente a sistemas que ejecutan versiones obsoletas de Windows Server y Microsoft Exchange Server para lanzar shells web para actividades posteriores.

TernDoor se implementa mediante carga lateral de DLL, aprovechando el ejecutable legítimo «wsprint.exe» para iniciar una DLL maliciosa («BugSplatRc64.dll») que descifra y ejecuta la carga útil final en la memoria. Se dice que UAT-9244 ha utilizado la puerta trasera, una variante de Crowdoor (en sí misma una variante de SparrowDoor), desde al menos noviembre de 2024.

Establece persistencia en el host mediante una tarea programada o la clave Ejecutar registro. También presenta diferencias con CrowDoor al utilizar un conjunto dispar de códigos de comando e incorporar un controlador de Windows para suspender, reanudar y finalizar procesos. Además, solo admite un modificador de línea de comandos («-u») para desinstalarse del host y eliminar todos los artefactos asociados.

Una vez iniciado, ejecuta una verificación para asegurarse de que se haya inyectado en «msiexec.exe», después de lo cual decodifica una configuración para extraer los parámetros de comando y control (C2). Posteriormente, establece comunicación con el servidor C2, lo que le permite crear procesos, ejecutar comandos arbitrarios, leer/escribir archivos, recopilar información del sistema e implementar el controlador para ocultar componentes maliciosos y administrar procesos.

Un análisis más detallado de la infraestructura del UAT-9244 ha llevado al descubrimiento de una puerta trasera de igual a igual (P2P) de Linux denominada PeerTime, que está compilada para varias arquitecturas (es decir, ARM, AARCH, PPC y MIPS) para infectar una variedad de sistemas integrados. La puerta trasera ELF, junto con un binario de instrumento, se implementa mediante un script de shell.

«El binario Instrumentor ELF comprobará la presencia de Docker en el host comprometido utilizando los comandos docker y docker –q», dijeron los investigadores de Talos Asheer Malhotra y Brandon White. «Si se encuentra Docker, se ejecuta el cargador PeerTime. El instrumento consta de cadenas de depuración en chino simplificado, lo que indica que es un binario personalizado creado e implementado por actores de amenazas de habla china».

El objetivo principal del cargador es descifrar y descomprimir la carga útil final de PeerTime y ejecutarla directamente en la memoria. PeerTime viene en dos versiones: una versión escrita en C/C++ y una variante más nueva programada en Rust. Además de tener la capacidad de cambiarse el nombre a sí mismo como un proceso inofensivo para eludir la detección, la puerta trasera emplea el protocolo BitTorrent para obtener información C2, descargar archivos de sus pares y ejecutarlos en el sistema comprometido.

También se encuentran en los servidores del actor de amenazas un conjunto de scripts de shell y cargas útiles, incluido un escáner de fuerza bruta con nombre en código BruteEntry que se instala en dispositivos perimetrales para convertirlos en nodos proxy de escaneo masivo dentro de una Operational Relay Box (ORB) capaz de forzar servidores Postgres, SSH y Tomcat por fuerza bruta.

Esto se logra mediante un script de shell que coloca dos componentes basados ​​en Golang: un orquestador que entrega BruteEntry, que luego contacta a un servidor C2 para obtener la lista de direcciones IP a las que se dirigirán los ataques de fuerza bruta. En última instancia, la puerta trasera informa los inicios de sesión exitosos al servidor C2.

«El ‘éxito’ indica si la fuerza bruta tuvo éxito (verdadero o falso), y las ‘notas’ proporcionan información específica sobre si la fuerza bruta tuvo éxito», dijo Talos. «Si el inicio de sesión falló, la nota dice ‘Se intentaron todas las credenciales’».