Cuando Google anunció el mes pasado que estaba adelantando su propio cronograma interno para migrar a formas de cifrado resistentes a los cuánticos, inició una conversación más amplia en las comunidades de ciberseguridad y criptografía: ¿qué estaba empujando a una de las empresas tecnológicas más grandes del mundo a acelerar significativamente la adopción de protecciones poscuánticas para sus sistemas, dispositivos y datos?

En las semanas posteriores, nuevas investigaciones han dado peso a esas afirmaciones. Una investigación conjunta papel del Instituto de Tecnología de California, su startup tecnológica Oratomic y la Universidad de California concluyeron que los avances tecnológicos en matrices de átomos neutros indican que una computadora cuántica capaz de romper el cifrado clásico puede requerir tan solo 10.000 bits cuánticos (o qubits), no millones como se pensaba anteriormente.

Qian Xu, investigador de CalTech y coautor del artículo, dijo que los hallazgos son significativos e indican que una computadora de este tipo podría estar operativa a finales de la década.

«Durante décadas, el recuento de qubits ha sido visto como el principal obstáculo para la computación cuántica tolerante a fallos», dijo Xu en un comunicado. «Espero que nuestro trabajo ayude a cambiar esa perspectiva».

de google División de IA cuántica publicó su propio artículo de investigación casi al mismo tiempo, esbozando un disminución de veinte veces en la cantidad de qubits físicos que se cree que son necesarios para romper algunas de las formas más populares de algoritmos de cifrado de curva elíptica de 256 bits que se utilizan actualmente para proteger las criptomonedas.

“Observamos que si bien soluciones viables como [post-quantum cryptography] existen, tomará tiempo implementarlos, lo que genera una urgencia cada vez mayor para actuar”, escribieron Ryan Babbush, director de investigación y Hartmut Neven, vicepresidente de ingeniería de Google.

La decisión de Google de acelerar su cambio hacia el cifrado poscuántico refleja un consenso cada vez mayor. Durante el año pasado, CyberScoop escuchó preocupaciones similares de funcionarios gubernamentales y tecnológicos, generalmente centradas en dos amenazas relacionadas con la cuántica que enfrentan los gobiernos y las empresas en la actualidad.

Una es la capacidad de naciones extranjeras y ciberdelincuentes de recopilar datos confidenciales y cifrados hoy con la esperanza de descifrarlos más adelante con una computadora cuántica. Esta técnica de “cosechar ahora, descifrar después” es una de las principales razones por las que los defensores impulsan una adopción más rápida del cifrado poscuántico.

El segundo surge de una serie de avances notables en la computación cuántica ocurridos en los últimos dos años, muchos de ellos liderados por investigadores en China.

Andrew McLaughlin, director de operaciones de Sandbox AQ, una empresa de computación en la nube que se centra en la aplicación de tecnologías de inteligencia artificial y computación cuántica, dijo que las preocupaciones se pueden resumir en “hardware, matemáticas y China”.

Los avances en áreas como las matrices de átomos neutros han proporcionado a los científicos hardware más potente, mientras que avances en matemáticas como el del artículo de investigación de Google han encontrado formas de utilizar ese hardware de manera más eficiente.

Pero también señaló lo que describió como avances emocionantes (y preocupantes) en el campo por parte de algunos de los mayores rivales internacionales de Estados Unidos.

Beijing tiene invirtió mucho en computación cuántica, brindando a científicos de primer nivel como Pan Jianwei, profesor de la Universidad de Ciencia y Tecnología de China, los recursos y el apoyo para empujar los límites del desarrollo tecnológico y posicionar a China como líder mundial en ciencia cuántica.

A finales del año pasado, los medios estatales chinos reportado que Huanyuan 1, una computadora cuántica de 100 qubits desarrollada por investigadores de la Universidad de Wuhan en un programa de subvenciones del gobierno chino, había sido aprobada para uso comercial. Los informes afirman que ya se han procesado pedidos por valor de más de 40 millones de yuanes (o 5,6 millones de dólares) en ventas, incluso a las filiales de la empresa de telecomunicaciones nacional China Mobile y al gobierno de Pakistán.

Los expertos dicen que las computadoras cuánticas representan una amenaza potencialmente excepcional para las criptomonedas basadas en blockchain.

Nathaniel Szerezla, director de crecimiento de Naoris Protocol, una empresa que desarrolla cifrado resistente a los cuánticos para la infraestructura blockchain, dijo que el documento de Oratomic y Caltech ha «cambiado el cronograma» para la planificación en torno al cifrado cuántico, particularmente para las plataformas de criptomonedas y blockchain.

La suposición subyacente era que una computadora cuántica «tolerante a fallas» (es decir, una capaz de amenazar el cifrado clásico) requeriría millones de qubits, pero el artículo sugiere que en realidad sólo necesitaría tan solo 10.000 qubits.

«En última instancia, hemos pasado de planificar una amenaza durante dos décadas a una que se superpone con sistemas que se están implementando y financiando activamente», dijo Szerezla.

Para los activos digitales como las criptomonedas, las implicaciones son “inmediatas” porque el cifrado de clave privada que sustenta miles de millones de dólares en la cadena de bloques nunca fue diseñado para resistir ataques de una computadora cuántica.

«Migrar una cadena de bloques en vivo a estándares poscuánticos es un problema completamente diferente de actualizar un sistema centralizado», continuó Szerezla. «Se trata de libros de contabilidad inmutables, miles de millones de dólares en liquidez bloqueada y una gobernanza descentralizada que no puede exigir una actualización coordinada».

No todo el mundo cree que estemos al borde de un apocalipsis de la piratería cuántica.

En BlueSky Matthew Green, profesor de informática y experto en criptografía de la Universidad Johns Hopkins, llamado Los artículos de Google y Oratomic son un buen análisis “precautorio” del desafío a largo plazo del cifrado cuántico.

Sin embargo, expresó escepticismo en cuanto a que la computación cuántica tuviera suficientes “aplicaciones inmediatas y lucrativas” para impulsar el campo más allá de su etapa de investigación fundamental hacia aplicaciones más prácticas. También cuestionó si algunos de los algoritmos más nuevos resistentes a los cuánticos examinados por el NIST realmente resistirían a una computadora cuántica real. Fueron diseñados para proteger contra una amenaza que todavía es en gran medida teórica, y varios de los algoritmos poscuánticos inicialmente evaluados por el NIST resultaron contener vulnerabilidades que podrían ser explotadas por computadoras clásicas.

Eso, si es que realmente se llega en la próxima década. Green dijo esta semana que no está convencido de que los hacks cuánticos sean algo de qué preocuparse durante su vida, aunque reconoció que la predicción podría «perseguirlo» algún día.

Sin embargo, «apostaría enormes cantidades de dinero contra una computadora cuántica relevante para 2029 o incluso 2035», escribió.

Las consecuencias y la posible exposición de los ataques respaldados por el Estado de Irán contra la infraestructura crítica de Estados Unidos se extienden a más de 5.200 dispositivos conectados a Internet, dijeron investigadores de Censys en un informe de inteligencia sobre amenazas Miércoles.

De los controladores lógicos programables fabricados por Rockwell Automation/Allen-Bradley que Censys identificó como potencialmente expuestos a atacantes del gobierno iraní, casi 3.900, o alrededor de 3 de cada 4, tienen su sede en Estados Unidos.

La firma de ciberseguridad identificó los dispositivos basándose en detalles que varias agencias federales compartieron en una alerta conjunta el martes y publicó indicadores adicionales de compromiso, incluidas las direcciones IP de los operadores y otras consultas de búsqueda de amenazas.

Las autoridades federales advirtieron a principios de esta semana que los atacantes del gobierno iraní explotaron dispositivos que controlan los procesos de automatización industrial y perturbaron múltiples sectores durante el último mes. Algunas víctimas también sufrieron pérdidas financieras como resultado de los ataques, dijeron las autoridades.

Los dispositivos de tecnología operativa se implementan en el sector energético, los sistemas de agua y aguas residuales y los servicios e instalaciones del gobierno de EE. UU.

Los escaneos de Censys detectaron 5,219 hosts de Rockwell Automation/Allen-Bradley PLC expuestos a Internet poco después de que el FBI, la Agencia de Seguridad Nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad, la Agencia de Protección Ambiental, el Departamento de Energía y el Comando Cibernético de EE. UU. emitieran la alerta conjunta.

Los investigadores de Censys determinaron que la mayoría de los dispositivos expuestos están conectados a través de sistemas celulares, lo que representa un riesgo significativo para las implementaciones de campo remotas. Casi la mitad de los dispositivos a nivel mundial están conectados a la red inalámbrica de Verizon y el 13% está conectado a la infraestructura de AT&T.

«Es casi seguro que estos dispositivos se implementen en infraestructura física (estaciones de bombeo, subestaciones, instalaciones municipales) con módems celulares como única ruta de Internet», escribieron los investigadores de Censys en el informe.

La posible superficie de ataque también se ve amplificada por servicios adicionales expuestos en otros puertos de estos dispositivos, un descubrimiento que Censys advirtió que podría permitir a los atacantes obtener caminos directos a operaciones más allá de la explotación de PLC.

Los investigadores tomaron las huellas digitales de los modelos MicroLogix y CompactLogix expuestos a la última campaña de amenazas y publicaron una lista de los 15 productos más expuestos. Según Censys, muchos de los dispositivos más destacados ejecutan software al final de su vida útil, un riesgo agravante que podría permitir a los atacantes priorizar los dispositivos sin parches al escanearlos.

Los ataques se remontan al menos a marzo, después de la guerra de Estados Unidos e Israel contra Irán, y estaban en marcha mientras otros atacantes respaldados por el gobierno iraní se cobraban otras víctimas, incluidos Stryker y los gobiernos locales.

Han surgido detalles sobre una vulnerabilidad de seguridad ahora parcheada en un kit de desarrollo de software (SDK) de Android de terceros ampliamente utilizado llamado SDK de Engage Lab eso podría haber puesto en riesgo a millones de usuarios de billeteras de criptomonedas.

«Esta falla permite que las aplicaciones en el mismo dispositivo eviten la zona de pruebas de seguridad de Android y obtengan acceso no autorizado a datos privados», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho en un informe publicado hoy.

EngageLab SDK ofrece una servicio de notificaciones pushque, según su sitio web, está diseñado para entregar «notificaciones oportunas» basadas en el comportamiento del usuario ya rastreado por los desarrolladores. Una vez integrado en una aplicación, el SDK ofrece una forma de enviar notificaciones personalizadas e impulsar la interacción en tiempo real.

El gigante tecnológico dijo que una cantidad significativa de aplicaciones que utilizan el SDK son parte del ecosistema de criptomonedas y billeteras digitales, y que las aplicaciones de billetera afectadas representaron más de 30 millones de instalaciones. Cuando se incluyen aplicaciones que no son de billetera creadas con el mismo SDK, el recuento de instalaciones supera los 50 millones.

Microsoft no reveló los nombres de las aplicaciones, pero señaló que todas las aplicaciones detectadas que utilizan versiones vulnerables del SDK se eliminaron de Google Play Store. Tras la divulgación responsable en abril de 2025, EngageLab lanzó versión 5.2.1 en noviembre de 2025 para abordar la vulnerabilidad.

El problema, identificado en la versión 4.5.4, se ha descrito como una vulnerabilidad de redirección de intención. Las intenciones en Android se refieren a objetos de mensajeria que se utilizan para solicitar una acción de otro componente de la aplicación.

La redirección de intención ocurre cuando el contenido de una intención que envía una aplicación vulnerable se manipula aprovechando su contexto confiable (es decir, permisos) para obtener acceso no autorizado a componentes protegidos, exponer datos confidenciales o escalar privilegios dentro del entorno de Android.

Un atacante podría aprovechar esta vulnerabilidad mediante una aplicación maliciosa instalada en el dispositivo a través de algún otro medio para acceder a directorios internos asociados con una aplicación que tenga el SDK integrado, lo que resultaría en un acceso no autorizado a datos confidenciales.

No hay evidencia de que la vulnerabilidad haya sido explotada alguna vez en un contexto malicioso. Dicho esto, se recomienda a los desarrolladores que integran el SDK que actualicen a la última versión lo antes posible, especialmente teniendo en cuenta que incluso las fallas triviales en las bibliotecas ascendentes pueden tener impactos en cascada y afectar a millones de dispositivos.

«Este caso muestra cómo las debilidades de los SDK de terceros pueden tener implicaciones de seguridad a gran escala, especialmente en sectores de alto valor como la gestión de activos digitales», dijo Microsoft. «Las aplicaciones dependen cada vez más de SDK de terceros, lo que crea dependencias grandes y a menudo opacas en la cadena de suministro. Estos riesgos aumentan cuando las integraciones exponen componentes exportados o se basan en suposiciones de confianza que no se validan a través de los límites de las aplicaciones».

La reciente operación dirigida por el FBI para expulsar a los piratas informáticos del gobierno ruso de los enrutadores buscaba derribar una campaña de ciberespionaje especialmente insidiosa y amenazadoramente contagiosa, dijo a CyberScoop el principal funcionario cibernético de la oficina, Brett Leatherman.

Los investigadores, junto con agencias gubernamentales estadounidenses y extranjeras, revelaron detalles de la campaña esta semana mediante la cual APT28, también conocido como Forest Blizzard o Fancy Bear, y atribuido a la Dirección Principal de Inteligencia del Estado Mayor (GRU) de Rusia, comprometió más de 18.000 enrutadores TP-Link y se infiltró en más de 200 organizaciones en todo el mundo.

El compromiso de los enrutadores utilizados en oficinas pequeñas y domésticas provocó la operación de eliminación, Operación Mascarada, que implicó enviar comandos a los enrutadores para restablecer la configuración del Sistema de nombres de dominio (DNS) para evitar que los piratas informáticos explotaran ese acceso.

«Lo que es único para mí en este caso es que cuando cambias la configuración de Internet en un enrutador como lo hicieron ellos, se propaga a todos los dispositivos de tu casa», dijo Leatherman, subdirector de la división cibernética del FBI. «Todos esos dispositivos ahora, una vez que están conectados a esa Wi-Fi, obtienen direcciones IP maliciosas a través de las cuales luego enrutan su tráfico, y esto le da al GRU ruso un tremendo acceso al contenido ofrecido a través de un enrutador».

«La dificultad de un ataque como éste es que es prácticamente invisible para los usuarios finales», afirmó. «Los actores no estaban implementando malware como vemos a menudo. Entonces, cuando piensas en la detección de puntos finales en tu computadora o algo así, no ven esa actividad porque no es necesario. Están usando las herramientas en el enrutador para capturar el tráfico de Internet y extenderlo por toda la casa, y las herramientas tradicionales que detectan esa actividad». [are] simplemente no está allí”.

La operación de interrupción está en línea con la estrategia cibernética que la administración Trump publicó el mes pasado, con su énfasis en atacar a los piratas informáticos maliciosos y proteger la infraestructura crítica, dijo Leatherman.

El FBI comprende su papel en la implementación de esa estrategia, dijo, y trabajó con la Oficina del Director Nacional Cibernético y otras agencias para desarrollarla. La Casa Blanca ha mantenido al público y colina del capitolio Sin embargo, no sabemos nada sobre la implementación de la estrategia.

«Tenemos un largo historial de aprovechar autoridades y capacidades únicas para contrarrestar a estos actores, imponer costos y, a través de las 56 oficinas de campo, defender realmente la infraestructura crítica», dijo Leatherman. «Eso es realmente parte de nuestro ADN. Y por eso queremos asegurarnos de continuar alineándolo de la manera más escalable y ágil que podamos, para alinearnos con las prioridades de la estrategia misma».

Leatherman rastreó cómo la Operación Mascarada, cuyo éxito atribuyó a las oficinas del FBI en Boston y a las asociaciones con el sector privado y gobiernos extranjeros, encaja en una serie de perturbaciones dirigidas a los piratas informáticos del gobierno ruso que se remontan a 2018.

Fue entonces cuando la oficina atacó la botnet VPNFilter al apoderarse de un dominio utilizado para comunicarse con enrutadores infectados. En 2022, el FBI se enfrentó a la botnet Cyclops Blink y, en 2024, la Operación Dying Ember fue tras otra red de robots.

«En el transcurso de esas cuatro operaciones, mientras el adversario continuó evolucionando en su oficio, nosotros también», dijo Leatherman. «Pasamos de simplemente bloquear dominios a tomar medidas que los bloquean en la puerta de estos enrutadores, les quitamos cualquier capacidad a esos enrutadores para que ya no pudieran recopilar información confidencial y luego les prohibimos volver a ingresar».

Según los hallazgos de Accede ahora, Estar atentoy PYME.

Dos de los objetivos incluían a destacados periodistas egipcios y críticos del gobierno, Mostafa Al-A’sar y Ahmed Eltantawy, quienes fueron los destinatarios de una serie de ataques de phishing que buscaban comprometer sus cuentas de Apple y Google en octubre de 2023 y enero de 2024 dirigiéndolos a páginas falsas que los engañaban para que ingresaran sus credenciales y códigos de autenticación de dos factores (2FA).

«Los ataques se llevaron a cabo entre 2023 y 2024, y ambos objetivos son destacados críticos del gobierno egipcio que anteriormente se enfrentaron a prisión política; uno de ellos fue atacado anteriormente con software espía», dijo la línea de ayuda de seguridad digital de Access Now.

También se destacó como parte de estos esfuerzos a un periodista libanés anónimo, que recibió mensajes de phishing en mayo de 2025 a través de la aplicación Apple Messages y WhatsApp que contenían enlaces maliciosos que, al hacer clic, engañaban a los usuarios para que ingresaran las credenciales de su cuenta como parte de un supuesto paso de verificación de Apple.

«La campaña de phishing incluyó ataques persistentes a través de iMessage/Apple Messenger y la aplicación WhatsApp. […] haciéndose pasar por Apple Support», dijo SMEX, una organización sin fines de lucro de derechos digitales en la región de Asia Occidental y África del Norte (WANA). «Si bien el enfoque principal de esta campaña parece ser los servicios de Apple, la evidencia sugiere que otras plataformas de mensajería, a saber, Telegram y Signal, también fueron atacadas».

En el caso de Al-A’sar, el ataque de phishing dirigido a comprometer su cuenta de Google comenzó con un mensaje en LinkedIn de un personaje títere llamado «Haifa Kareem», quien se acercó a él con una oportunidad de trabajo. Después de que el periodista compartiera su número de móvil y dirección de correo electrónico con el usuario de LinkedIn, recibió un correo electrónico de este último el 24 de enero de 2024, indicándole que se uniera a una llamada de Zoom haciendo clic en un enlace acortado con Rebrandly.

Se considera que la URL es un ataque de phishing basado en el consentimiento que aprovecha OAuth 2.0 de Google para otorgar al atacante acceso no autorizado a la cuenta de la víctima a través de una aplicación web maliciosa llamada «en-account.info».

«A diferencia del ataque anterior, donde el atacante se hizo pasar por un inicio de sesión de una cuenta de Apple y utilizó un dominio falso, este ataque emplea el consentimiento de OAuth para aprovechar los activos legítimos de Google para engañar a los objetivos para que proporcionen sus credenciales», dijo Access Now.

«Si el usuario objetivo no ha iniciado sesión en Google, se le solicita que ingrese sus credenciales (nombre de usuario y contraseña). Más comúnmente, si el usuario ya inició sesión, se le solicita que otorgue permiso a una aplicación que controla el atacante, utilizando una función de inicio de sesión de terceros que es familiar para la mayoría de los usuarios de Google».

Algunos de los dominios utilizados en estos ataques de phishing se enumeran a continuación:

• signin-apple.com-en-uk[.]co
• id-apple.com-es[.]yo
• facetime.com-en[.]yo
• Secure-signal.com-en[.]yo
• telegram.com-es[.]yo
• verificar-apple.com-ae[.]neto
• unirse-facetime.com-ae[.]neto
• android.com-ae[.]neto
• cifrado-plug-in-signal.com-ae[.]neto

Curiosamente, el uso del dominio «com-ae[.]net» se superpone con una campaña de software espía para Android que la empresa eslovaca de ciberseguridad ESET documentó en octubre de 2025, destacando el uso de sitios web engañosos que se hacen pasar por Signal, ToTok y Botim para implementar ProSpy y ToSpy para objetivos no especificados en los Emiratos Árabes Unidos

Específicamente, el dominio «encryption-plug-in-signal.com-ae[.]net» se utilizó como vector de acceso inicial para ProSpy afirmando ser un complemento de cifrado inexistente para Signal. El software espía viene equipado con capacidades para filtrar datos confidenciales como contactos, mensajes SMS, metadatos del dispositivo y archivos locales.

Al final, ninguna de las cuentas de los periodistas egipcios fue infiltrada. Sin embargo, SMEX reveló que el ataque inicial dirigido al periodista libanés el 19 de mayo de 2025 comprometió completamente su cuenta de Apple y resultó en la adición de un dispositivo virtual a la cuenta para obtener acceso persistente a los datos de la víctima. La segunda oleada de ataques no tuvo éxito.

Si bien no hay evidencia de que los tres periodistas hayan sido atacados con software espía, la evidencia muestra que los actores de amenazas pueden usar los métodos y la infraestructura asociados con los ataques para entregar cargas útiles maliciosas y filtrar datos confidenciales.

«Esto sugiere que la operación que identificamos puede ser parte de un esfuerzo de vigilancia regional más amplio destinado a monitorear las comunicaciones y recopilar datos personales», dijo Access Now.

Lookout, en su propio análisis de estas campañas, atribuyó los esfuerzos dispares a una operación de piratería a sueldo con vínculos con Bitter, un grupo de amenazas que se considera encargado de los esfuerzos de recopilación de inteligencia en interés del gobierno indio. La campaña de espionaje ha estado operativa desde al menos 2022.

Según los dominios de phishing observados y los señuelos del malware ProSpy, la campaña probablemente se haya dirigido a víctimas en Bahrein, los Emiratos Árabes Unidos, Arabia Saudita, el Reino Unido, Egipto y potencialmente los EE. UU., o ex alumnos de universidades estadounidenses, lo que indica que los ataques van más allá de los miembros de la sociedad civil egipcia y libanesa.

«La operación presenta una combinación de phishing dirigido dirigido a través de cuentas falsas de redes sociales y aplicaciones de mensajería que aprovechan esfuerzos persistentes de ingeniería social, lo que puede resultar en la entrega de software espía de Android dependiendo del dispositivo del objetivo», dijo la compañía de ciberseguridad.

Los vínculos de la campaña con Bitter provienen de conexiones de infraestructura entre «com-ae[.]neto» y «youtubepremiumapp[.]com«un dominio marcado por ciclo y Meta en agosto de 2022 vinculado a Bitter en relación con un esfuerzo de espionaje que utilizó sitios falsos que imitaban servicios confiables como YouTube, Signal, Telegram y WhatsApp para distribuir un malware de Android denominado Dracarys.

El análisis de Lookout también ha descubierto similitudes entre Dracarys y ProSpy, a pesar de que este último se desarrolló años después utilizando Kotlin en lugar de Java. «Ambas familias usan la lógica de los trabajadores para manejar las tareas y nombran las clases de trabajadores de manera similar. También usan comandos C2 numerados», agregó la compañía. «Mientras ProSpy exfiltra datos a los terminales del servidor que comienzan con ‘v3’, Dracarys exfiltra datos a los terminales del servidor que comienzan con ‘r3’».

A pesar de estas conexiones, lo que hace que la campaña sea inusual es que Bitter nunca ha sido atribuido a campañas de espionaje dirigidas a miembros de la sociedad civil. Esto ha planteado dos posibilidades: o es el trabajo de una operación de piratería a sueldo con vínculos con Bitter o el propio actor de la amenaza está detrás de esto, en cuyo caso podría indicar una expansión de su alcance de ataque.

«No sabemos si esto representa una expansión del papel de Bitter, o si es una indicación de superposición entre Bitter y un grupo desconocido de hackers a sueldo», añadió Lookout. «Lo que sí sabemos es que el malware móvil sigue siendo un medio principal para espiar a la sociedad civil, ya sea adquirido a través de un proveedor de vigilancia comercial, subcontratado a una organización de piratería contratada o implementado directamente por un estado nación».

Los actores de amenazas han estado explotando una vulnerabilidad de día cero previamente desconocida en Adobe Reader utilizando documentos PDF creados con fines malintencionados desde al menos diciembre de 2025.

El hallazgo, detallado por Haifei Li de EXPMON, ha sido descrito como un exploit PDF altamente sofisticado. El artefacto («Invoice540.pdf») apareció por primera vez en la plataforma VirusTotal el 28 de noviembre de 2025. A segunda muestra se subió a VirusTotal el 23 de marzo de 2026.

Dado el nombre del documento PDF, es probable que haya un elemento de ingeniería social involucrado, ya que los atacantes atraen a usuarios desprevenidos para que abran los archivos en Adobe Reader. Una vez iniciado, activa automáticamente la ejecución de JavaScript ofuscado para recopilar datos confidenciales y recibir cargas útiles adicionales.

El investigador de seguridad Gi7w0rm, en un X publicacióndijo que los documentos PDF observados contienen señuelos en ruso y se refieren a temas relacionados con eventos actuales relacionados con la industria del petróleo y el gas en Rusia.

«La muestra actúa como un exploit inicial con la capacidad de recopilar y filtrar varios tipos de información, seguido potencialmente por exploits de ejecución remota de código (RCE) y escape de espacio aislado (SBX),» dijo Li.

«Abusa de la vulnerabilidad de día cero/sin parches en Adobe Reader que le permite ejecutar API privilegiadas de Acrobat, y se confirma que funciona en la última versión de Adobe Reader».

También viene con capacidades para exfiltrar la información recopilada a un servidor remoto («169.40.2[.]68:45191») y recibir código JavaScript adicional para ejecutar.

Este mecanismo, argumentó Li, podría usarse para recopilar datos locales, realizar ataques avanzados de huellas dactilares y preparar el escenario para actividades posteriores, incluida la entrega de exploits adicionales para lograr la ejecución de código o zona de pruebas.

Se desconoce la naturaleza exacta de este exploit de siguiente etapa, ya que no se recibió respuesta del servidor. Esto, a su vez, podría implicar que el entorno de prueba local desde el que se emitió la solicitud no cumpliera con los criterios necesarios para recibir la carga útil.

«Sin embargo, esta capacidad de día cero/sin parches para una amplia recolección de información y el potencial para la posterior explotación de RCE/SBX es suficiente para que la comunidad de seguridad permanezca en alerta máxima», dijo Li.

(Esta es una historia en desarrollo. Vuelva a consultarla para obtener más detalles).

Thursday. Another week, another batch of things that probably should’ve been caught sooner but weren’t.

This one’s got some range — old vulnerabilities getting new life, a few «why was that even possible» moments, attackers leaning on platforms and tools you’d normally trust without thinking twice. Quiet escalations more than loud zero-days, but the kind that matter more in practice anyway.

Mix of malware, infrastructure exposure, AI-adjacent weirdness, and some supply chain stuff that’s… not great. Let’s get into it.

That’s the week. A lot of ground covered — old problems with new angles, platforms being abused in ways they weren’t designed for, and a few things that are just going to keep getting worse before anyone seriously addresses them.

Patch what you can. Audit what you’ve trusted by default. And maybe double-check anything that touches AI right now — that space is getting messy fast.

Same time next Thursday.

Nuestra nación ha entrado en una nueva carrera armamentista de fraude impulsada por la IA.

Con miles de millones de dólares en pérdidas por fraude aumentando tanto en el sector público como en el privado, está claro que las viejas formas de disuadir el fraude no están funcionando. Es por eso que necesitamos un nuevo manual que comience con la comprensión de cómo operan los estafadores, la evolución de nuestras defensas y el cambio a una postura proactiva que no sólo luche contra el fraude sino que lo persiga activamente.

En la era de la IA, tratar el fraude como un simple problema de puerta de entrada no funcionará. Este momento requiere que la industria, el gobierno y los consumidores trabajen juntos, reduzcan los silos y compartan inteligencia en tiempo real. El objetivo es ir más allá de la detección reactiva al comprender el ciclo de vida de una amenaza (desde su formación hasta su propagación) para que podamos intervenir antes de que establezca un punto de apoyo.

Durante décadas, el fraude ha sido tratado como una serie de incidentes aislados. Esta suposición falsa ha sustentado casi todos los esfuerzos pasados ​​para reprimirlo. Esos esfuerzos, aunque bien intencionados, no han dado en el blanco.

Ahora, a la luz de la decisión de la administración Trump Estrategia cibernética para Estados Unidos y la orden ejecutiva que lo acompaña, es fundamental comprender el panorama moderno del fraude y el papel central que desempeña la explotación de la identidad digital en él.

Nuevo investigación de Socure revela cuán dramáticamente está evolucionando el panorama.

El fraude se ha industrializado y los sindicatos del crimen organizado ejecutan operaciones globales, sistémicas, automatizadas y basadas en inteligencia artificial. Ninguna organización, servicio o programa es seguro. Los estafadores atacan programas gubernamentales, bancos, plataformas de tecnología financiera, empresas de telecomunicaciones y más, desdibujando la línea entre el fraude en el sector público, los delitos financieros y el ciberdelito.

Antes, el fraude podía detectarse mediante la reutilización de elementos de identidad en múltiples aplicaciones: el mismo correo electrónico, dispositivo, número de teléfono o dirección IP utilizados una y otra vez.

Pero los datos son claros: estos vínculos están disminuyendo rápidamente. Los estafadores sofisticados de hoy en día están diseñando sus ataques para evitar los patrones tradicionales de detección de fraude. Nuestra investigación demuestra que los correos electrónicos serán completamente únicos dentro de las poblaciones de fraude a partir de 2027, por lo que no podremos confiar en el correo electrónico para identificar patrones.

La velocidad es otra característica definitoria del fraude de identidad moderno. Los estafadores utilizan la IA para crear identidades limpias, duraderas, sintéticas y robadas a escala. En una campaña observada, se crearon y lanzaron 24.148 identidades sintéticas en menos de un mes, y muchos ataques ocurrieron en 48 horas. Lo que antes llevaba semanas o incluso meses, ahora se puede completar en días.

El rápido aumento de las granjas de identidad es otro indicador de la industrialización del fraude. Las granjas de identidad son operadas por redes criminales para crear sistemáticamente identidades sintéticas o robadas a lo largo del tiempo con el fin de parecerse mucho a identidades legítimas. Las identidades maduras se utilizan para abrir cuentas bancarias, de crédito y de movimiento de dinero, desviar beneficios gubernamentales, lavar fondos y más. Estas granjas de identidad se centran en identidades duraderas que pueden eludir los controles de verificación tradicionales.

Entonces, ¿qué debemos hacer? En pocas palabras, debemos pasar a la ofensiva.

Esto significa tratar la identidad como una infraestructura crítica e implementar estrategias que rastreen cómo se crearon las identidades antes del momento de su aplicación; ampliar el monitoreo de señales para incluir elementos como servidores proxy residenciales, comportamiento del ISP y actividad de registro de dominios; evaluar la velocidad y la orquestación en tiempo real; y tratar la medición continua, la iteración rápida de modelos y la inteligencia entre industrias como capacidades centrales.

Además, dado el rápido aumento del fraude, necesitamos más análisis del ecosistema completo, incluidos factores dinámicos como la información del dispositivo, las huellas digitales y la biometría del comportamiento para que las organizaciones puedan distinguir eficazmente a los humanos genuinos de las máquinas. En última instancia, este enfoque interconectado y en capas hace que sea mucho más difícil para los actores maliciosos recrear o robar identidades a escala.

El fraude ya no es una serie de actos aislados. Es una empresa global coordinada construida sobre la explotación de la identidad. Hasta que nuestros esfuerzos reflejen esta nueva realidad, continuaremos luchando contra una amenaza inminente y continua con herramientas obsoletas y nos quedaremos aún más atrás.

Ahora es el momento de hacer este cambio estratégico y poner finalmente a los estafadores pisándoles los talones.

Mike Cook se desempeña como jefe de conocimientos sobre fraude en Socure, la plataforma de identidad y riesgo para la era de la inteligencia artificial.

A medida que las herramientas de IA se vuelven más accesibles, los empleados las adoptan sin la aprobación formal de los equipos de seguridad y TI. Si bien estas herramientas pueden aumentar la productividad, automatizar tareas o llenar vacíos en los flujos de trabajo existentes, también operan fuera de la visibilidad de los equipos de seguridad, eludiendo los controles y creando nuevos puntos ciegos en lo que se conoce como IA en la sombra. Si bien es similar al fenómeno de la TI en la sombra, la IA en la sombra va más allá del software no aprobado al involucrar sistemas que procesan, generan y potencialmente retienen datos confidenciales. El resultado es una categoría de riesgo que la mayoría de las organizaciones aún no están preparadas para gestionar: exposición incontrolada de datos, superficies de ataque ampliadas y seguridad de identidad debilitada.

¿Por qué la IA en la sombra se está extendiendo tan rápidamente?

La IA en la sombra se está expandiendo rápidamente en todas las organizaciones porque es fácil de adoptar y útil al instante, aunque en gran medida no está regulada. A diferencia del software empresarial tradicional, la mayoría de las herramientas de inteligencia artificial requieren poca o ninguna configuración, lo que permite a los empleados comenzar a utilizarlas de inmediato. Según un 2024 fuerza de ventas En la encuesta, el 55 % de los empleados informaron que utilizaban herramientas de inteligencia artificial que no habían sido aprobadas por su organización. Dado que muchas organizaciones carecen de políticas claras de uso de la IA, los empleados deben decidir por sí mismos qué herramientas usar y cómo usarlas, a menudo sin comprender las implicaciones de seguridad.

Los empleados pueden utilizar herramientas de IA generativa como ChatGPT o Claude en los flujos de trabajo cotidianos y, si bien esto puede mejorar la productividad, puede dar lugar a que datos confidenciales se compartan externamente sin supervisión. El hecho de que el proveedor de IA utilice o no esos datos para la capacitación del modelo depende de la plataforma y el tipo de cuenta, pero en cualquier caso, los datos han salido de los límites de seguridad de la organización.

A nivel de departamento, la IA en la sombra puede aparecer cuando los equipos integran API de IA o modelos de terceros en aplicaciones sin una revisión de seguridad formal. Estas integraciones pueden exponer datos internos e introducir nuevos vectores de ataque que los equipos de seguridad no pueden ver ni controlar. En lugar de intentar eliminar por completo la IA en la sombra, las organizaciones deben gestionar activamente los riesgos que crea.

Cómo la IA en la sombra es un problema de seguridad

La IA en la sombra a menudo se plantea como una cuestión de gobernanza, pero en esencia es un problema de seguridad. A diferencia de la TI en la sombra tradicional, donde los empleados adoptan software no aprobado, la IA en la sombra implica sistemas que procesan y almacenan datos activamente más allá del alcance de los equipos de seguridad, lo que convierte el uso no autorizado de la IA en un riesgo más amplio de exposición a los datos y uso indebido del acceso.

La IA en la sombra puede provocar fugas de datos imposibles de rastrear

Los empleados pueden compartir datos de clientes, información financiera o documentos comerciales internos con herramientas de inteligencia artificial para completar tareas de manera más eficiente. Los desarrolladores que solucionan problemas de código pueden pegar sin darse cuenta scripts que contienen claves API codificadas, credenciales de bases de datos o tokens de acceso, exponiendo credenciales confidenciales sin darse cuenta. Una vez que los datos llegan a una plataforma de inteligencia artificial de terceros, las organizaciones pierden visibilidad de cómo se almacenan o utilizan. Como resultado, los datos pueden dejar a una organización sin un rastro de auditoría, lo que hace difícil, si no imposible, rastrear o contener una infracción. Según el RGPD y la HIPAA, este tipo de transferencia de datos incontrolada puede constituir una infracción denunciable.

Shadow AI expande rápidamente la superficie de ataque

Cada herramienta de IA crea un nuevo vector de ataque potencial para los ciberdelincuentes. Cuando se adoptan herramientas no aprobadas sin supervisión, pueden incluir API o complementos no aprobados que son inseguros o maliciosos. Los empleados que acceden a las plataformas de IA a través de cuentas o dispositivos personales colocan esa actividad completamente fuera de los controles de seguridad de la organización, y el monitoreo de red tradicional no puede verla. A medida que las organizaciones comienzan a implementar agentes de IA que operan de forma autónoma dentro de los flujos de trabajo, el riesgo se vuelve aún más grave. Estos sistemas interactúan con múltiples aplicaciones y plataformas, creando vías complejas y en gran medida ocultas que los ciberdelincuentes pueden aprovechar.

Shadow AI elude los controles de seguridad tradicionales

Los controles de seguridad tradicionales no se crearon para manejar el uso actual de la IA. La mayoría de las plataformas de IA operan a través de HTTPS, lo que significa que las reglas de firewall estándar y el monitoreo de red no pueden inspeccionar el contenido de esas interacciones sin una inspección SSL, un control que muchas organizaciones no han implementado. Las interfaces de IA conversacional tampoco se comportan como aplicaciones tradicionales, lo que dificulta que las herramientas de seguridad monitoreen o registren la actividad. Debido a esto, los datos se pueden compartir con sistemas de inteligencia artificial externos sin activar ninguna alerta.

La IA en la sombra afecta la seguridad de la identidad

Shadow AI presenta serios desafíos en la gestión de identidades y accesos (IAM). Por ejemplo, los empleados pueden crear varias cuentas en plataformas de inteligencia artificial, lo que genera identidades fragmentadas y no administradas. Los desarrolladores pueden incluso conectar herramientas de inteligencia artificial a sistemas mediante cuentas de servicio, creando Identidades no humanas (NHI) sin una supervisión adecuada. Si las organizaciones carecen de una gobernanza centralizada, estas identidades pueden quedar mal monitoreadas y ser difíciles de gestionar durante todo su ciclo de vida, lo que aumenta el riesgo de acceso no autorizado y exposición a largo plazo.

Cómo las organizaciones pueden reducir el riesgo de la IA en la sombra

A medida que la IA se integra más en los flujos de trabajo diarios, las organizaciones deben apuntar a reducir el riesgo y al mismo tiempo permitir un uso seguro y productivo. Esto requiere que los equipos de seguridad pasen de bloquear por completo las herramientas de inteligencia artificial a administrar cómo se utilizan en el lugar de trabajo, enfatizando la visibilidad y el comportamiento del usuario. Las organizaciones pueden reducir el riesgo de la IA en la sombra siguiendo estos pasos:

• Establezca políticas claras de uso de IA: Defina qué herramientas de IA están permitidas y qué datos se pueden compartir. Las políticas de seguridad deben ser fáciles de seguir e intuitivas, ya que las reglas demasiado restrictivas sólo empujarán a los empleados a utilizar herramientas no autorizadas.
• Proporcionar alternativas de IA aprobadas: Cuando los empleados no tienen acceso a herramientas útiles, es más probable que encuentren las suyas propias. Ofrecer soluciones de IA seguras y aprobadas que cumplan con los estándares organizacionales reduce la necesidad de IA en la sombra.
• Mejore la visibilidad de los patrones de uso de la IA: Si bien no siempre es posible una visibilidad total, las organizaciones deben monitorear el tráfico de la red, el acceso privilegiado y la actividad de API para comprender mejor cómo los empleados usan la IA.
• Educar a los empleados sobre los riesgos de seguridad de la IA: Muchos empleados se centran únicamente en las ventajas de productividad de las herramientas de inteligencia artificial en lugar de en los riesgos de seguridad. Proporcionar capacitación sobre el uso seguro de la IA y el manejo de datos puede reducir drásticamente la exposición involuntaria.

Beneficios de gestionar eficazmente la IA en la sombra

Las organizaciones que gestionen proactivamente la IA en la sombra obtendrán un mayor control sobre cómo se utiliza la IA en sus entornos. La gestión eficaz de la IA en la sombra proporciona varios beneficios, entre ellos:

• Visibilidad total de qué herramientas de IA están en uso y a qué datos acceden
• Reducción de la exposición regulatoria en marcos como GDPR, HIPAA y la Ley de IA de la UE
• Adopción de IA más rápida y segura con herramientas examinadas y directrices exhaustivas
• Mayor adopción de herramientas de IA aprobadas, lo que reduce la dependencia de alternativas inseguras

La seguridad debe tener en cuenta la IA en la sombra

La adopción de la IA se está normalizando en el lugar de trabajo y los empleados seguirán buscando herramientas que les ayuden a trabajar más rápido. Dado lo fácil que es acceder a las herramientas de IA y cuán rara vez las políticas de uso siguen el ritmo de la adopción, es inevitable cierto grado de IA en la sombra en cualquier organización grande. En lugar de intentar bloquear por completo las herramientas de IA, las organizaciones deberían centrarse en permitir su uso seguro mejorando la visibilidad de la actividad de la IA y garantizando que tanto las identidades humanas como las de las máquinas estén gobernadas adecuadamente.

guardián® respalda este enfoque directamente, ayudando a las organizaciones a controlar el acceso privilegiado a los sistemas con los que interactúan las herramientas de IA, imponer el acceso con privilegios mínimos para todas las identidades, incluidos los usuarios humanos y los agentes de IA, y mantener un seguimiento de auditoría completo de la actividad en toda la infraestructura crítica. A medida que los agentes de IA se vuelven más frecuentes en los flujos de trabajo empresariales, gobernar las identidades y las rutas de acceso de las que dependen se vuelve tan importante como gobernar las herramientas mismas.

Nota: Este artículo fue escrito cuidadosamente y contribuido para nuestra audiencia por Ashley D’Andrea, redactora de contenido de Keeper Security.