La Comisión Federal de Comercio está dispuesta a profundizar su participación para frenar el uso de la IA con fines maliciosos, incluida la difusión de deepfakes sexualizados no consensuados y estafas de clonación de voz.

El año pasado, el Congreso aprobó la Ley Take It Down, una ley que permitía el procesamiento penal de personas que compartan o distribuyan imágenes íntimas no consensuadas y falsificaciones digitales, incluidas aquellas generadas por IA.

En una audiencia de supervisión del Senado la semana pasada, el presidente de la FTC, Andrew Ferguson, calificó la nueva ley como uno de los “mayores logros legislativos” del actual Congreso y de la administración del presidente Donald Trump, y dijo que la FTC se estaba preparando para una “aplicación sólida”.

A principios de este mes, el Departamento de Justicia obtuvo su primera condena exitosa bajo la nueva ley, cuando James Strahler, residente de Columbus, Ohio, de 37 años, se declaró culpable de utilizar desnudos falsos generados por IA como parte de una campaña de acoso dirigida a al menos seis mujeres.

Otra sección de la ley, que entrará en vigor en mayo, permitirá a las personas presentar avisos de «eliminación» en sitios web que publiquen o alberguen deepfakes sexuales. Las empresas tendrán 48 horas para eliminar el contenido o quedar sujetas a la investigación y aplicación de la ley por parte de la FTC.

El comisionado Mark Meador dijo en una conferencia celebrada el 30 de marzo en Washington DC que, si bien espera que “nunca tengan que aplicarla”, la FTC está tratando la aplicación de Take It Down como una máxima prioridad y “activamente está preparando todo lo que necesitamos” para hacer cumplir la disposición de eliminación.

Eso podría desencadenar rápidamente una de las primeras confrontaciones importantes con el sector tecnológico, especialmente empresas como xAI. Su herramienta Grok sigue utilizándose para crear y alojar imágenes deepfake no consensuadas de personas reales, incluso después del escándalo que enfrentó a principios de este año.

Después de su discurso, CyberScoop preguntó a Meador cómo se podrían aplicar las disposiciones de eliminación a la ola de nudificación masiva de sus usuarios por parte de Grok. Dijo que la ley especifica que la comisión no puede tomar medidas contra una empresa hasta que reciba quejas formales a partir de mayo.

“Esto se está implementando y luego, si no lo hacen [remove the content] recibiríamos las quejas y luego las perseguiríamos en ese momento», dijo Meador. «Entonces, tenemos que esperar y ver cómo… las empresas responden a las quejas y solicitudes que se hacen, y mi esperanza es que cada empresa que reciba una solicitud para retirar algo lo elimine inmediatamente».

La oficina de prensa de xAI no respondió a la solicitud de CyberScoop de comentar sobre sus preparativos para cumplir con la ley Take It Down.

Strahler, que aún no ha sido sentenciado, también admitió haber utilizado fotografías de niños de su vecindario para crear pornografía ultrafalsa. A plan estratégico publicado a principios de este mes señaló que la protección de los niños en línea es una “preocupación clave” para la comisión que merece más herramientas y recursos para los consumidores.

La comisión está “dedicada a explorar otras formas en que la FTC puede proteger a los niños y apoyar a las familias, incluso a través de su nueva autoridad bajo la Ley Take It Down”, afirma el plan.

Casey Waughn, abogado de privacidad y asociado principal de Armstrong Teasdale, dijo a CyberScoop que el enfoque de la comisión actual en la seguridad infantil en línea deja un amplio margen para que la ley se aplique de manera creativa.

«Hemos visto que hacer cumplir las violaciones de la tecnología y la privacidad relacionadas con los niños jóvenes es una prioridad, por lo que creo que es relativamente fácil convertir eso en algo de aplicación de la Ley Take it Down», dijo.

Waughn dijo que el retraso de un año para la aplicación de la disposición fue para que las plataformas pudieran prepararse, pero también dijo que la FTC podría hacer más para indicar públicamente a las empresas cómo es el cumplimiento legal, similar a los recursos que brindan en torno a las principales leyes de privacidad.

«Creo que lo que sería útil para todas las organizaciones… sería una guía que explicara qué constituye un esfuerzo de buena fe, por ejemplo, para intentar abordar una solicitud de eliminación», dijo Waughn.

Vivir en el paraíso de los estafadores

La FTC también está lidiando con el impacto de la IA en las estafas criminales dirigidas a estadounidenses en línea.

Ferguson dijo a los legisladores que la IA está «aumentando la sofisticación de los mecanismos reales mediante los cuales se llevan a cabo las estafas, pero también está facilitando que los estafadores elijan sus objetivos».

Pero los poderes de la FTC son limitados, ya que la Comisión Federal de Comunicaciones regula los proveedores de telefonía e Internet que transmiten la mayoría de las estafas. Ferguson también señaló que muchas estafas de centros de llamadas se realizan en el extranjero «donde no se inmutan ante el riesgo de una aplicación civil por parte de la FTC». Dijo que la comisión estaba abierta a autoridades legislativas adicionales para abordar el problema.

En la conferencia de marzo, Meador dijo que el engaño impulsado por la IA era algo en lo que la comisión piensa “diariamente” y está reduciendo la barrera de entrada para muchos esquemas criminales.

“El lugar más grande que hemos visto. [in] Para ser honesto, la forma en que algunas de estas herramientas de inteligencia artificial se utilizan para estafas de triple cargo”, dijo.

El año pasado, el FBI reportado que las estafas de clonación de voz que se hacían pasar por familiares angustiados habían estafado a los estadounidenses casi 900 millones de dólares, y que la tecnología se había utilizado para hacerse pasar por funcionarios de alto nivel de la administración Trump en conversaciones con empresas y líderes políticos.

Senadora Maggie Hassan escribió a cuatro empresas de clonación de voz con IA (ElevenLabs, LOVO, Speechify y VEED) preguntando qué políticas y programas tenían implementados para prevenir o disuadir el fraude habilitado por sus herramientas.

Pero Meador dijo que cuando se trata de afirmaciones engañosas, es particularmente difícil definir la credulidad en torno al uso de la IA. Muchas personas en línea ven y consumen muchos deepfakes, dijo, con el mismo tipo de “suspensión voluntaria de la incredulidad” que aportan a los efectos generados por computadora en las películas.

Como tal, la FTC probablemente tendrá que pronunciarse caso por caso en lugar de hacerlo mediante “brochazos generales”.

«Creo que veremos mucho de eso en el contexto de la IA, donde si sabes que algo no estaba destinado a ser real o auténtico, eso no es una preocupación», dijo. «La pregunta es entonces, ¿cuáles son esas situaciones en las que existe la expectativa de que se le muestre algo auténtico y, entre comillas, 'real' en lugar de ser generado por IA y hubo tergiversación u omisión material» al revelar eso?

A medida que las organizaciones consideran la IA agente para sus negocios y sus pilas de TI, los investigadores continúan encontrando errores y vulnerabilidades en los principales modelos comerciales que pueden expandir significativamente su superficie de ataque.

Esta semana, investigadores de Pillar Security revelado una vulnerabilidad en Antigravity, una herramienta de desarrollo impulsada por IA para operaciones de sistemas de archivos creada por Google.

El error, parcheado desde entonces, combinaba la inyección rápida con la capacidad permitida de creación de archivos de Antigravity para otorgar a los atacantes privilegios de ejecución remota de código.

La investigación detalla cómo el exploit pudo eludir el modo seguro de Antigravity, la configuración de seguridad más alta de Google para sus agentes que ejecuta todas las operaciones de comando a través de un entorno de pruebas virtual, acelera el acceso a la red y prohíbe al agente escribir código fuera del directorio de trabajo.

Se supone que el modo seguro limita el acceso del agente de IA a sistemas sensibles y su capacidad para ejecutar actos maliciosos o peligrosos a través de comandos de shell. Pero una de las herramientas de búsqueda de archivos utilizadas por Antigravity, llamada «find_by_name», está clasificada como una herramienta del sistema «nativa». Esto significa que el agente puede ejecutarlo directamente y antes de que protecciones como el Modo seguro puedan incluso evaluar las operaciones a nivel de comando.

«El límite de seguridad que impone el Modo Seguro simplemente nunca ve esta llamada», escribió Dan Lisichkin, investigador de seguridad de IA de Pillar Security. «Esto significa que un atacante logra la ejecución de código arbitrario bajo la configuración exacta en la que confiaría un usuario preocupado por la seguridad para evitarlo».

Los ataques de inyección rápida se pueden realizar a través de cuentas de identidad comprometidas conectadas al agente, o indirectamente ocultando instrucciones clandestinas dentro de archivos de código abierto o contenido web que el agente ingiere. Antigravity tiene problemas para distinguir entre los datos escritos que ingiere para el contexto y las instrucciones literales, por lo que se puede lograr un compromiso sin ningún acceso elevado al hacer que lea un documento o archivo malicioso.

Según un cronograma de divulgación proporcionado por Pillar Security, el error se informó a Google el 6 de enero y se corrigió el 28 de febrero, y Google otorgó una recompensa por el descubrimiento.

Lisichkin dijo que este mismo patrón de inyección rápida a través de entradas no validadas se ha encontrado en otros agentes de codificación de IA como Cursor. En la era de la IA, cualquier entrada no validada puede convertirse en un mensaje malicioso capaz de secuestrar sistemas internos.

«El modelo de confianza que sustenta los supuestos de seguridad, de que un humano detectará algo sospechoso, no se sostiene cuando agentes autónomos siguen instrucciones de contenido externo», escribió.

El hecho de que la vulnerabilidad haya podido eludir por completo el modo seguro de Google subraya cómo la industria de la ciberseguridad debe comenzar a adaptarse y «ir más allá de los controles basados ​​en la desinfección».

«Cada parámetro de herramienta nativa que llega a un comando de shell es un punto de inyección potencial. La auditoría de esta clase de vulnerabilidad ya no es opcional y es un requisito previo para enviar funciones agentes de forma segura», escribió Lisichkin.

Los clientes de Vercel corren el riesgo de verse comprometidos después de que un atacante saltó a través de múltiples sistemas internos para robar credenciales y otros datos confidenciales, dijo la compañía en un boletín de seguridad Domingo.

El ataque, que no se originó en Vercel, muestra los peligros de las aplicaciones en la nube interconectadas y las integraciones SaaS con permisos demasiado privilegiados.

Un atacante atravesó sistemas y conexiones de terceros que los empleados dejaron expuestos antes de atacar a la empresa con sede en San Francisco que creó y mantiene Next.js y otras bibliotecas populares de código abierto.

Los investigadores de Hudson Rock dijeron que las semillas del ataque se plantaron en febrero cuando la computadora de un empleado de Context.ai fue infectado con el malware Lumma Stealer después de buscar exploits en juegos Roblox, un vector común para implementaciones de robo de información.

Cada una de las empresas atribuye al menos parte de la culpa del ataque al otro proveedor.

Context.ai dijo el domingo que la violación permitió al atacante acceder a su entorno AWS y tokens OAuth para algunos usuarios, incluido un token para el espacio de trabajo de Google de un empleado de Vercel cuenta. Vercel no es cliente de Context, pero el empleado de Vercel estaba usando Context AI Office Suite y le otorgó acceso completo, dijo la compañía de agentes de inteligencia artificial.

«El atacante utilizó ese acceso para apoderarse de la cuenta Vercel Google Workspace del empleado, lo que le permitió obtener acceso a algunos entornos y variables de entorno de Vercel que no estaban marcados como confidenciales», dijo Vercel en su boletín.

La compañía dijo que un número limitado de sus clientes se ven afectados y se les recomendó de inmediato que rotaran las credenciales. La compañía, que se negó a responder preguntas, no especificó a qué sistemas internos se accedió ni explicó completamente cómo el atacante obtuvo acceso a las credenciales de los clientes de Vercel.

El director ejecutivo de Vercel, Guillermo Rauch, dijo que los datos de los clientes almacenados por la empresa están completamente encriptados, pero el atacante obtuvo más acceso mediante enumeración o contando e inventariando variables específicas.

«Creemos que el grupo atacante es muy sofisticado y, sospecho firmemente, significativamente acelerado por la IA», dijo en un publicar en X. «Se movieron con una velocidad sorprendente y un conocimiento profundo de Vercel».

Un grupo de amenazas que se identifica como ShinyHunters asumió la responsabilidad del ataque en una publicación en Telegram y está intentando vender los datos robados, que, según afirman, incluyen claves de acceso, código fuente y bases de datos.

El atacante «es probablemente un impostor que intenta utilizar un nombre establecido para inflar su notoriedad», escribió Austin Larsen, analista principal de amenazas de Google Threat Intelligence, en un publicación en LinkedIn. «Independientemente del actor de amenaza involucrado, el riesgo de exposición es real».

Vercel también advirtió que el ataque a la aplicación Google Workspace OAuth de Context «fue objeto de un compromiso más amplio, que potencialmente afectó a sus cientos de usuarios en muchas organizaciones». Publicó indicadores de compromiso y alentó a los clientes a revisar registros de actividad, revisar y rotar variables que contienen secretos.

Context y Vercel dijeron que sus investigaciones separadas y coordinadas sobre el ataque con la ayuda de CrowdStrike y Mandiant siguen en marcha.

Se ha revelado una vulnerabilidad de seguridad crítica en SGLang que, si se explota con éxito, podría dar lugar a la ejecución remota de código en sistemas susceptibles.

La vulnerabilidad, rastreada como CVE-2026-5760tiene una puntuación CVSS de 9,8 sobre 10,0. Se ha descrito como un caso de inyección de comandos que conduce a la ejecución de código arbitrario.

SGLang es un software de código abierto y de alto rendimiento marco de servicio para modelos de lenguaje grandes y modelos multimodales. El proyecto oficial de GitHub se ha bifurcado más de 5.500 veces y ha sido destacado 26.100 veces.

Según el Centro de Coordinación CERT (CERT/CC), la vulnerabilidad afecta el punto final de reclasificación «/v1/rerank», lo que permite a un atacante lograr la ejecución de código arbitrario en el contexto del servicio SGLang mediante un formato unificado generado por GPT especialmente diseñado (GGUF) archivo de modelo.

«Un atacante aprovecha esta vulnerabilidad creando un archivo de modelo de formato unificado generado por GPT (GGUF) malicioso con un parámetro tokenizer.chat_template diseñado que contiene una inyección de plantilla del lado del servidor Jinja2 (SSTI) carga útil con una frase desencadenante para activar la ruta del código vulnerable», CERT/CC dicho en un aviso publicado hoy.

«Luego, la víctima descarga y carga el modelo en SGLang, y cuando una solicitud llega al punto final «/v1/rerank», se procesa la plantilla maliciosa, ejecutando el código Python arbitrario del atacante en el servidor. Esta secuencia de eventos permite al atacante lograr la ejecución remota de código (RCE) en el servidor SGLang».

Según el investigador de seguridad Stuart Beck, quien descubrió e informó la fallael problema subyacente surge del uso de jinja2.Environment() sin sandboxing en lugar de ImmutableSandboxedEnvironment. Esto, a su vez, permite que un modelo malicioso ejecute código Python arbitrario en el servidor de inferencia.

La secuencia completa de acciones es la siguiente:

• Un atacante crea un archivo modelo GGUF con un tokenizer.chat_template malicioso que contiene una carga útil Jinja2 SSTI
• La plantilla incluye la frase desencadenante del reranker Qwen3 para activar la ruta del código vulnerable en «entrypoints/openai/serving_rerank.py».
• La víctima descarga y carga el modelo en SGLang desde fuentes como Hugging Face
• Cuando una solicitud llega al punto final «/v1/rerank», SGLang lee chat_template y lo representa con jinja2.Environment()
• La carga útil SSTI ejecuta código Python arbitrario en el servidor

Vale la pena señalar que CVE-2026-5760 cae dentro de la misma clase de vulnerabilidad que CVE-2024-34359 (también conocido como Llama Drama, puntuación CVSS: 9.7), una falla crítica ahora parcheada en el paquete Python llama_cpp_python que podría haber resultado en la ejecución de código arbitrario. La misma superficie de ataque también se rectificó en vLLM a finales del año pasado (CVE-2025-61620puntuación CVSS: 6,5).

«Para mitigar esta vulnerabilidad, se recomienda utilizar ImmutableSandboxedEnvironment en lugar de jinja2.Environment() para representar las plantillas de chat», dijo CERT/CC. «Esto evitará la ejecución de código Python arbitrario en el servidor. No se obtuvo respuesta ni parche durante el proceso de coordinación».

Monday’s recap shows the same pattern in different places. A third-party tool becomes a way in, then leads to internal access. A trusted download path is briefly swapped to deliver malware. Browser extensions act normally while pulling data and running code. Even update channels are used to push payloads. It’s not breaking systems—it’s bending trust.

There’s also a shift in how attacks run. Slower check-ins, multi-stage payloads, andmore code kept in memory. Attackers lean on real tools and normal workflows instead of custom builds. Some cases hint at supply-chain spread, where one weak link reaches further than expected.

Go through the whole recap. The pattern across access, execution, and control only shows up when you see it all together.

⚡ Threat of the Week

Vercel Discloses Data Breach—Web infrastructure provider Vercel has disclosed a security breach that allows bad actors to gain unauthorized access to «certain» internal Vercel systems. The incident originated from the compromise of Context.ai, a third-party artificial intelligence (AI) tool, which was used by an employee at the company, it added. «The attacker used that access to take over the employee’s Vercel Google Workspace account, which enabled them to gain access to some Vercel environments and environment variables that were not marked as ‘sensitive,’» the company said. It’s currently not known who is behind the incident, but a threat actor using the ShinyHunters persona has claimed responsibility for the hack. Context.ai also disclosed a March 2026 incident involving unauthorized access to its AWS environment. However, it has since emerged that the attacker also likely compromised OAuth tokens for some of its consumer users. Furthermore, Hudson Rock uncovered that a Context.ai employee was compromised with Lumma Stealer in February 2026, raising the possibility that the infection may have triggered the «supply chain escalation.»

🔔 Top News

• Law Enforcement Operation Brings Down DDoS-for-Hire Operation—Law enforcement agencies across Europe, the U.S., and other partner nations cracked down on the commercial DDoS-for-hire ecosystem, targeting both operators and customers of services used to target websites and knock them offline. As part of the effort, authorities took down 53 domains, arrested four people, and sent warning notifications to thousands of criminal users. The U.S. Justice Department said court-authorized actions were undertaken to disrupt Vac Stresser and Mythical Stress. The actions are a persistent cat-and-mouse game, as booted services often reappear under new names and domains despite repeated takedowns. While these disruptions tend to have short-term results, the resilience of the criminal activity indicates that arrests need to be combined with infrastructure seizures, financial disruption, and user deterrence for lasting impact.
• Newly Discovered PowMix Botnet Hits Czech Workers—An active malicious campaign is targeting the workforce in the Czech Republic with a previously undocumented botnet dubbed PowMix since at least December 2025. «PowMix employs randomized command-and-control (C2) beaconing intervals, rather than persistent connection to the C2 server, to evade the network signature detections,» Cisco Talos said. The never-before-seen botnet is designed to facilitate remote access, reconnaissance, and remote code execution, while establishing persistence by means of a scheduled task. At the same time, it verifies the process tree to ensure that another instance of the same malware is not running on the compromised host.
• AI-Driven Pushpaganda Exploits Google Discover to for Ad Fraud—A novel ad fraud scheme has been found to leverage search engine poisoning (SEO) techniques and artificial intelligence (AI)-generated content to push deceptive news stories into Google’s Discover feed and trick users into enabling persistent browser notifications that lead to scareware and financial scams. The Pushpaganda campaign has been found to target the personalized content feeds of Android and Chrome users. «This operation, named for push notifications central to the scheme, generates invalid organic traffic from real mobile devices by tricking users into subscribing to enabling notifications that presented alarming messages,» HUMAN Security said. Google has since rolled out fixes and algorithmic updates to address the issue.
• Obsidian Plugin Abuse Delivers PHANTOMPULSE RAT—A social engineering campaign has abused Obsidian, a cross-platform note-taking application, as an initial access vector to distribute a previously undocumented Windows remote access trojan called PHANTOMPULSE in attacks targeting individuals in the financial and cryptocurrency sectors. Elastic Security Labs is tracking the activity under the name REF6598. It employs elaborate social engineering tactics through LinkedIn and Telegram to breach both Windows and macOS systems by tricking victims into opening a cloud-hosted vault in Obsidian. PHANTOMPULSE is an artificial intelligence (AI)-generated backdoor that uses the Ethereum blockchain for resolving its C2 server. On macOS, the attack is used to deliver an unspecified payload.
• CPUID Downloads Hijacked to Serve STX RAT—Unknown threat actors hijacked the official CPUID download page to serve trojanized installers that ultimately led to the deployment of STX RAT, a remote access trojan with infostealer capabilities. The attack did not compromise CPUID’s original signed binaries, the threat actors served their own trojanized packages via redirect. «The threat actor compromised the official CPUID download page to serve a trojanized package, employing DLL sideloading as the initial execution vector followed by a layered, five-stage in-memory unpacking chain designed to evade detection,» Cyderes said. «The use of a timestomped compilation timestamp, reflective PE loading, and exclusively in-memory payload execution demonstrates a deliberate effort to hinder forensic analysis and bypass traditional security controls.»
• 108 Malicious Chrome Extensions Steal Google and Telegram Data—A cluster of 108 Google Chrome extensions has been found to communicate with the same command-and-control (C2) infrastructure with the goal of collecting user data and enabling browser-level abuse by injecting ads and arbitrary JavaScript code into every web page visited. The extensions provide the expected functionality to avoid raising red flags, but malicious code running in the background connects to the threat actor’s C2 server to perform the nefarious activities. At the center of the campaign is a backend hosted on a Contabo virtual private server (VPS), with multiple subdomains handling session hijacking, identity collection, command execution, and monetization operations. There is evidence indicating a Russian malware-as-a-service (MaaS) operation, based on the presence of a payment and monetization portal in its C2 infrastructure.
• OpenAI Launches GPT-5.4-Cyber—OpenAI announced a new model, GPT-5.4-Cyber, specifically designed for use by digital defenders. Artificial intelligence (AI) companies have repeatedly warned that more capable AI models could create an opening for bad actors to exploit vulnerabilities and security gaps in software with new speed and intensity. Unlike Anthropic, which said its new Claude Mythos model is only being privately released to a small number of trusted organizations due to concerns that it could be exploited by adversaries, OpenAI said «the class of safeguards in use today sufficiently reduce cyber risk enough to support broad deployment of current models,» but hinted at the need for more advanced protections in the long term. Defending critical software has long depended on the ability to find and fix vulnerabilities faster than attackers can exploit them. GPT-5.4-Cyber has a lower refusal boundary for legitimate cybersecurity work than standard GPT-5.4. It adds capabilities aimed at advanced defensive workflows, including binary reverse engineering. «We don’t think it’s practical or appropriate to centrally decide who gets to defend themselves,» OpenAI stated. «Instead, we aim to enable as many legitimate defenders as possible, with access grounded in verification, trust signals, and accountability.» The use of AI for vulnerability discovery and analysis means that the barrier to entry for attackers is collapsing. Bad actors could ask an AI model to analyze differences between two versions of a binary and generate an exploit at a faster rate. Rob T. Lee, chief of research at the SANS Institute, said the debut of Mythos and GPT-5.4-Cyber is «nothing more than one vendor trying to one-up another,» adding, «We need to start benchmarking how one AI model is able to find code vulnerabilities over another and how quickly they are doing it. There are real risks at stake here.» At the same time, researchers from AISLE and Xint found that it’s possible to replicate Mythos’s results with smaller, cheaper models. «The critical variable in AI vulnerability discovery is not the model alone,» Xint said. «It is the structured system that decides where to look, validates that findings are real and exploitable, eliminates false positives, and delivers actionable remediation.»

🔥 Trending CVEs

Bugs drop weekly, and the gap between a patch and an exploit is shrinking fast. These are the heavy hitters for the week: high-severity, widely used, or already being poked at in the wild.

Check the list, patch what you have, and hit the ones marked urgent first — CVE-2026-20184 (Cisco Webex Services), CVE-2026-20147 (Cisco Identity Services Engine and ISE Passive Identity Connector), CVE-2026-20180, CVE-2026-20186 (Cisco Identity Services Engine), CVE-2026-33032 (nginx-ui), CVE-2026-32201 (Microsoft SharePoint Server), CVE-2026-27304 (Adobe ColdFusion), CVE-2026-39813, CVE-2026-39808 (Fortinet FortiSandbox), CVE-2026-40176, CVE-2026-40261 (Composer), CVE-2025-0520 (ShowDoc), CVE-2026-22039 (Kyverno), CVE-2026-27681 (SAP Business Planning and Consolidation and Business Warehouse),CVE-2026-34486, CVE-2026-29146 (Apache Tomcat), CVE-2026-40175 (Axios), CVE-2026-32196 (Microsoft Windows Admin Center), CVE-2026-20204 (Splunk Enterprise), CVE-2026-20205 (Splunk MCP Server) CVE-2026-6296, CVE-2026-6297, CVE-2026-6298, CVE-2026-6299, CVE-2026-6358, CVE-2026-5873 (Google Chrome), CVE-2026-34078 (Tails), CVE-2026-34622 (Adobe Acrobat Reader), CVE-2026-33413 (etcd), CVE-2026-1492 (User Registration & Membership plugin), CVE-2026-23818 (HPE Aruba Networking Private 5G Core On-Prem), CVE-2025-54236 (Magento), CVE-2026-26980 (Ghost CMS), CVE-2026-40478 (Thymeleaf), CVE-2026-41242 (protobufjs), CVE-2026-40871 (Mailcow), CVE-2026-5747 (AWS Firecracker), and CVE-2025-50892 (eudskacs.sys).

🎥 Cybersecurity Webinars

• The Force Awakens in AppSec: Rethinking Mythos & Organizational Defenses at AI Speed → This webinar explores how AI-powered hacking is making traditional security patching too slow to be effective. It focuses on the «patch gap»— the dangerous time between a bug being found and fixed—and offers a new way to prioritize vulnerabilities based on real-world risk. The session provides practical strategies for security leaders to defend against automated, high-speed attacks.
• The Rise of the Agent: Moving to Autonomous Exposure Validation → This webinar explores how «agentic» AI is changing security testing by using autonomous AI agents to simulate real-world attacks. Unlike traditional scanners, these tools continuously find and validate which security gaps are actually reachable by hackers. The session focuses on moving from slow, manual checks to automated exposure validation to stay ahead of AI-driven threats.

📰 Around the Cyber World

• Vect Partners with BreachForums and TeamPCP —Dataminr revealed that the Vect ransomware group has formalized partnerships with the BreachForums cybercrime marketplace and TeamPCP hacking group. The partnership will allow BreachForums members to deploy ransomware and will use the victims of TeamPCP’s supply chain attacks to attack organizations that are in a vulnerable state. «Between the two partnerships, Vect will lower the barrier to entry for ransomware actors, incentivize group members to carry out attacks, and exploit pre-existing breaches to broaden impact,» the company said. «The convergence of large-scale supply chain credential theft, a maturing RaaS operation, and mass dark web forum mobilization represents an unprecedented model of industrialized ransomware deployment.»
• MuddyWater Targets Global Organizations via Microsoft Teams —The Iranian hacking group known as MuddyWater has been observed using targeted social engineering to approach targets via Microsoft Teams by masquerading as IT support staff to trick them into running a botnet malware called Tsundere (aka Dindoor). «A notable aspect of this intrusion was the abuse of Deno, a legitimate JavaScript and TypeScript runtime typically used for backend application development,» CyberProof said. «The attacker leveraged deno.exe to execute a highly obfuscated, Base64‑encoded payload — tracked as DINODANCE — directly in memory, minimizing on-disk artifacts and complicating detection.» Once decoded, the malware establishes C2 communications with a remote server, exfiltrating basic host metadata such as username, hostname, and operating system details.
• Multi-Stage Intrusion Drops Direct-Sys Loader and CGrabber Stealer —An attack chain involving ZIP archives distributed through GitHub user attachment URLs is abusing DLL side-loading to deliver a malware loader called Direct-Sys Loader, which performs anti-analysis checks and then drops CGrabber. The malware, for its part, avoids infecting machines running in the Commonwealth of Independent States (CIS) countries and collects browser credentials, crypto wallet data, password manager data, and a broad range of application artifacts. «By skipping execution on machines in those regions, they reduce the risk of attracting attention from local law enforcement and avoid targeting their own infrastructure or allies,» Cyderes said. «The Direct-Sys Loader and CGrabber Stealer represent a cohesive, multi-stage, stealth-focused malware ecosystem engineered with advanced detection-evasion capabilities.»
• Russian Hackers Target Ukrainian Agencies —Threat actors linked to Russia broke into more than 170 email accounts belonging to prosecutors and investigators across Ukraine in recent months,» Reuters reported, citing data from Ctrl-Alt-Intel. The espionage activity also targeted officials in Romania, Greece, Bulgaria, and Serbia. Speaking to The Record, Ukraine’s State Service of Special Communications and Information Protection (SSSCIP) confirmed that local government agencies were targeted in a long-running hacking campaign that it has been tracking since 2023, with the attacks weaponizing flaws in Roundcube webmail software to run malicious code as soon as a specially crafted message is opened. The campaign is believed to be the work of APT28 (aka Fancy Bear).
• Infostealer Lookup Services are Changing Cybercrime —Hudson Rock revealed that infostealer lookup services, some accessible via a simple search on Google, are rapidly fueling a new era of initial access, shifting how cyber attacks begin and transforming a complex hacking process into a simple, automated transaction. «These platforms have effectively turned billions of compromised credentials and active session cookies into a highly searchable, low-cost commodity available to the masses,» it said. «Because this data is so easily accessible, organizations can no longer afford to be reactive.»
• AdaptixC2 Detailed —Kaspersky has detailed the inner workings of an open-source command-and-control (C2) framework known as AdaptixC2, which has seen increased adoption by bad actors over the past year. Written in Go and C++, AdaptixC2 is designed for post-exploitation and stealthy interaction with its malicious agents deployed on compromised systems. It also employs diverse network communication and post-exploitation techniques to get around traffic monitoring tools and minimize its footprint. «Unlike many general-purpose C2 platforms, AdaptixC2 focuses on advanced agent-to-C2 communication and specific evasion techniques designed to bypass modern security tools, including EDR and NDR solutions,» the company said. «The framework provides the flexibility to develop custom agents while also including standard agent implementations in Go and C++ for Windows, macOS, and Linux. Additionally, it supports a modular approach to extending its functionality.»
• Adware Update Delivers EDR Killer —In an unusual attack, a browser-hijacking adware family rolled out a multi-phase update that attempted to disable security software on infected hosts. The adware is signed by Dragon Boss Solutions LLC, a U.A.E.-based company that claims to conduct search monetization research and has promoted modified versions of the Chrome browser (e.g., Chromstera, Chromnius, and Artificius). «The signed software silently fetches and executes payloads capable of killing antivirus products, all while running with SYSTEM privileges,» Huntress said. The antivirus killing capability was observed starting in late March 2025, although the loader and updater components date back to late 2024. «The operation uses an off-the-shelf software update mechanism to deploy these MSI and PowerShell-based payloads. Establishing WMI persistence disables security applications and blocks reinstallation of protective software,» it added. The MSI installer, downloaded from a fallback update server, performs reconnaissance, queries for installed security products, and runs a PowerShell script («ClockRemoval.ps1») to terminate running processes, disable antivirus services by tampering with the Windows Registry, delete installation directories, and force deletion when uninstallers fail. What’s significant is that the update mechanism can be modified to deploy any payload. To make matters worse, the primary update domain baked into the operation to retrieve the MSI installer – chromsterabrowser[.]com – was left unregistered, meaning any threat actor could have registered the domain for as little as $10 and push malicious updates, turning an adware infection into a potential supply chain compromise. The domain has since been sinkholed. That said, 23,565 unique IP addresses connected to the sinkhole during a 24-hour monitoring period. The infections are concentrated around the U.S., France, Canada, the U.K., and Germany. These included universities, OT networks, government entities, primary and secondary educational institutions, healthcare organizations, and multiple Fortune 500 companies.
• India Will Not Require Smartphone Makers to Preload Aadhaar App —The Indian government will no longer require smartphone makers like Apple and Samsung to preload devices with a state-owned biometric identification app, Reuters reported. India’s IT ministry reviewed the proposal and «is not in favour of mandating the pre-installation of the Aadhaar App on smartphones,» UIDAI said in a statement. The Aadhaar request was the sixth time in two years the government has sought pre-installation of state apps on phones, according to industry communications. Smartphone makers flagged concerns about device security and compatibility when they received the Aadhaar preload proposal, and also flagged higher production costs as they ‌would have ⁠been required to run separate manufacturing lines for India and export markets.
• SQL Injection Campaign Targets Payment Services —An active SQL injection campaign is operating through attacker infrastructure located in Canada. The campaign has targeted 35 websites, with confirmed successful SQL injection exploitation and data exfiltration affecting three organizations operating in the payment, real estate, and developer service sectors. Attacker-side artifacts indicate coordinated and deliberate exploitation rather than opportunistic scanning.
• QEMU Abused for Defense Evasion —Threat actors are abusing QEMU, an open-source machine emulator and virtualizer, to hide malicious activity within virtualized environments. «Attackers are drawn to QEMU and more common hypervisor-based virtualization tools like Hyper-V, VirtualBox, and VMware because malicious activity within a virtual machine (VM) is essentially invisible to endpoint security controls and leaves little forensic evidence on the host itself,» Sophos said. Two clusters of activity have been detected: STAC4713, which has used QEMU as a covert reverse SSH backdoor to deliver tooling and harvest domain credentials with the end goal of likely deploying Payouts King ransomware (likely tied to former BlackBasta affiliates) after obtaining initial access via exploitation of known security flaws in SolarWinds Web Help Desk, and STAC3725, which exploits Citrix Bleed 2 (aka CVE-2025-5777) for obtaining a foothold and installs ScreenConnect for persistent remote access. The threat actors then deploy a QEMU VM to install additional tools for conducting enumeration and credential theft. «Follow-on activity differed across intrusions, suggesting that initial access brokers originally compromised the victims’ environments and then sold the access to other threat actors,» Sophos said.
• Fake Adobe Reader Site Drops ScreenConnect —Threat actors are using fake Adobe Acrobat Reader website lures to lure victims into installing ConnectWise’s ScreenConnect. The attack chain was detected in February 2026. «The attack uses .NET reflection to keep payloads in memory only, which helps it evade signature-based defenses and hinder forensic examination,» Zscaler ThreatLabz said. «A VBScript loader dynamically reconstructs strings and objects at runtime to defeat static analysis and sandboxing. Auto-elevated Component Object Model (COM) objects are abused to bypass User Account Control (UAC) and run with elevated privileges without user prompts.» The attack employs an in-memory .NET loader that’s responsible for launching ScreenConnect.
• Nearly 6M Hosts Use FTP —Censys said it observed about 5,949,954 hosts running at least one internet-facing FTP service, down from over 10.1 million in 2024, which amounts to a decline of 40% in two years. Of these, nearly 2.45 million hosts had no evidence of encryption. «Over 150,000 IIS FTP services return a 534 response, indicating TLS was never set up,» Censys said. «For most use cases, FTP can be replaced without significant disruption. If FTP must remain, enabling Explicit TLS is a configuration change, not a protocol upgrade, and both Pure-FTPd and vsftpd support it natively.»
• Malformed APKs Bypass Detections as New Android RATs Emerge —Threat actors are increasingly using malformed APKs, which refer to Android packages that can be installed and run on Android but are intentionally broken by using unsupported compression methods, header manipulation, or false password protection, to bypass static analysis tools and delay detection. Cleafy has released an open-source tool called Malfixer to detect and fix malformed APKs. The development comes as Zimperium flagged four new Android malware families, RecruitRat, SaferRat, Astrinox (aka Mirax), and Massiv, that are capable of harvesting sensitive information and facilitating unauthorized financial transactions. In all, campaigns distributing these malware families target over 800 applications across the banking, cryptocurrency, and social media sectors. RecruitRat leverages recruitment-related social engineering and fraudulent job-seeking platforms for initial access. SaferRat is distributed through fake websites that claim to offer free access to premium streaming platforms and legitimate video streaming software. All four banking trojans abuse the native Session Installation API to bypass Android’s sideloading restrictions and request accessibility services permissions to carry out their malicious activities.
• Over 200 PrestaShop Stores Expose Installer —More than 200 PrestaShop online stores have left their installation folder exposed online, allowing attackers to abuse the behavior to overwrite database configuration, gain admin access, and execute arbitrary code on the server. According to Sansec, the affected stores span 27 countries, including France, Italy, Poland, and the Czech Republic. Another set of 15 stores has been found to expose the Symfony Profiler, which is enabled when PrestaShop runs in debug mode.
• How to Contain a Domain Compromise via Predictive Shielding —Microsoft detailed an attack chain in which a threat actor targeted a public sector organization in June 2025, methodically progressing from one state of the attack lifecycle to the next, starting with dropping a web shell following the exploitation of a file-upload flaw in an internet-facing Internet Information Services (IIS) server. The attacker then performed reconnaissance, escalated their privileges, leveraged the compromised IIS service account to reset the passwords of high-impact identities, and deployed Mimikatz to harvest credentials. Then, the threat actor abused privileged accounts and remotely created a scheduled task on a domain controller to capture NTDS snapshots. The attacker also planted a Godzilla web shell on the Exchange Server and leveraged their privileged context to alter mailbox permissions, allowing them to read and manipulate all mailbox contents. The threat actor subsequently used Impacket to enumerate the role assignments and other activities that were flagged and blocked by Microsoft Defender. «The threat actor then launched a broad password spray from the initially compromised IIS server, unlocking access to at least 14 servers through password reuse,» Microsoft said. «They also attempted remote credential dumping against a couple of domain controllers and an additional IIS server using multiple domain and service principals.» After Microsoft Defender’s predictive shielding was enabled in late July 2025, the attacker’s attempts to sign in to Microsoft Entra Connect servers were blocked. The campaign stopped on July 28, 2025.
• Cargo Theft Malware Actor Conducts Remote Access Campaigns —In November 2025, Proofpoint detailed a threat actor that used compromised load boards to gain access to trucking companies with the end goal of freight diversion and cargo theft. New research from the enterprise security company has revealed that the attacker abused multiple remote access tools like ScreenConnect, Pulseway, and SimpleHelp to establish persistence to a controlled decoy environment, with attempts made to identify financial access, payment platforms, and cryptocurrency assets to conduct freight fraud and broader financial theft. The actor maintained access for more than a month. At least one ScreenConnect instance is said to have leveraged a third‑party signing‑as‑a‑service provider to re-sign the installer with a valid but fraudulent code‑signing certificate. «This reconnaissance focused on identifying financial access – such as banking, accounting, tax software, and money transfer services – as well as transportation‑related entities, including fuel card services, fleet payment platforms, and load board operators,» the company said. «The latter activity was likely designed to support crimes against the transportation industry, including cargo theft and related financial fraud.»
• British National Pleads Guilty to Scattered Spider Campaign —Tyler Robert Buchanan, who was extradited from Spain to the U.S. last April following his arrest in the European nation in June 2024, pleaded guilty to hacking a dozen companies and stealing at least $8 million in digital assets. He pleaded guilty to one count of conspiracy to commit wire fraud and one count of aggravated identity theft. «From September 2021 to April 2023, Buchanan and other individuals conspired to conduct cyber intrusions and virtual currency thefts,» the U.S. Justice Department said. «The victims and intended victims included interactive entertainment companies, telecommunications companies, technology companies, business process outsourcing (BPO) and information technology (IT) suppliers, cloud communications providers, virtual currency companies, and individuals.» Buchanan and his co-conspirators conducted SMS phishing attacks targeting a victim company’s employees, tricking them into clicking on bogus links that exfiltrated their credentials via a phishing kit to an online Telegram channel under their control. The stolen data was then used to access the accounts, gather confidential company information, and siphon millions of dollars’ worth of virtual currency after conducting SIM swapping attacks.

🔧 Cybersecurity Tools

• Cirro → It is an open-source tool designed to help security experts find hidden risks in cloud environments. It works by collecting data about people, their permissions, and the digital resources they use, then turning that information into a visual map. By showing how these different pieces are connected, the tool makes it easier to spot «attack paths»—the step-by-step routes a hacker could take to move through a system and reach sensitive data. While it is currently focused on Azure, it is built to be flexible so users can add other platforms over time.
• Janus → It is an open-source tool designed to help security teams track technical failures during operations. It automatically pulls logs from command-and-control (C2) platforms like Mythic and Cobalt Strike to identify where tools failed or commands were blocked. By organizing these «friction points» into reports, Janus helps teams see exactly where their workflow slows down and what tasks need to be improved or automated.

Disclaimer: This is strictly for research and learning. It hasn’t been through a formal security audit, so don’t just blindly drop it into production. Read the code, break it in a sandbox first, and make sure whatever you’re doing stays on the right side of the law.

Conclusion

That wraps this week’s recap. Most of it isn’t loud, but it shows how easy it is for trusted paths to turn into entry points and for normal activity to hide real access.

Keep an eye on the basics. Check what you trust, watch how things run, and don’t ignore the small changes.

Hace dos semanas, un presunto actor de amenazas norcoreano deslizó un código malicioso en un paquete dentro de Axios, una biblioteca JavaScript ampliamente utilizada. La preocupación inmediata fue el radio de la explosión: aproximadamente 100 millones de descargas semanales que abarcan empresas, nuevas empresas y sistemas gubernamentales. Pero más allá de la magnitud, la velocidad del ataque fue igualmente preocupante: un crudo recordatorio del ritmo al que ahora operan los adversarios modernos.

El compromiso de Axios se identificó a los pocos minutos de la publicación. por un investigador de Elastic utilizando una herramienta de monitoreo impulsada por IA que analizó los cambios en el registro de paquetes en tiempo real. El enfoque era correcto: la IA clasifica los cambios de código a la velocidad de la máquina, en el momento de la publicación, antes de que se produzcan daños. Desde cualquier punto de vista, fue una respuesta rápida. El paquete comprometido fue eliminado en unas tres horas. Pero incluso en esas tres horas, es posible que el paquete ampliamente utilizado se haya descargado más de medio millón de veces.

Esto subraya una nueva realidad. Las empresas y el sector público se están viendo abrumados por ataques que aumentan tanto en velocidad como en complejidad, impulsados ​​en parte por la IA. Los adversarios están investigando cada eslabón de la cadena de suministro y lo están haciendo a un ritmo que las defensas de velocidad humana no pueden igualar.

Este proyecto es un ejemplo del uso de la IA para abordar un problema de seguridad, pero también presenta un argumento más amplio: la seguridad impulsada por la IA puede mejorar drásticamente la eficiencia del SOC, especialmente cuando las organizaciones de todo el sector público y más allá se están ahogando en ataques.

La amenaza directa al sector público

Las agencias gubernamentales dependen cada vez más de los mismos marcos de JavaScript de código abierto que el sector privado, por lo que un paquete envenenado puede dar a un adversario acceso a sistemas sensibles antes de que alguien se dé cuenta de que la cadena de suministro ha sido envenenada. Esta es una amenaza directa a la seguridad nacional y la infraestructura crítica, especialmente cuando las cargas útiles son multiplataforma y afectan a macOS, Windows y Linux.

Lo más crítico ahora es comprender y prepararse correctamente para la frecuencia y velocidad con la que ocurren estos ataques.

La IA ha reducido fundamentalmente la barrera a las operaciones cibernéticas sofisticadas, otorgando a los malos actores relativamente poco sofisticados y a los pequeños Estados-nación capacidades que alguna vez estuvieron reservadas para grupos y países criminales de élite. Los adversarios ahora aprovechan la IA para automatizar el reconocimiento, crear ingeniería social convincente y desarrollar malware evasivo. Con una nueva vulnerabilidad descubierta cada pocos minutos, el ritmo se está acelerando.

Para el sector público, el modelo de amenaza se ha ampliado. Defenderse de las estrategias conocidas de los Estados-nación ya no es suficiente; eso es sólo el punto de partida. Grupos que hace cinco años no podían ejecutarse a nivel de Estado-nación ahora operan con una sofisticación comparable, mientras que los actores patrocinados por el Estado operan con una velocidad y una automatización sin precedentes. Mantenerse a la vanguardia significa ir más allá de la defensa tradicional para enfrentar un panorama de amenazas cada vez más automatizado y ubicuo.

La IA no es opcional

La IA adversaria es la amenaza que define el entorno operativo actual. Reconocimiento automatizado. Ofuscación generada por IA. Implementación a velocidad de máquina en múltiples vectores simultáneamente. El adversario ha implementado la IA de forma más rápida y agresiva que la mayoría de los equipos defensivos.

La seguridad se está volviendo rápidamente incuestionable: si no utilizas la IA para luchar contra ella, perderás.

Eso no significa aceptar la fantasía del SOC autónomo. Ese enfoque trata la IA de forma aislada, como si los defensores fueran los únicos con acceso a la tecnología. La IA defensiva no es un botón para ganar, sino la tarifa de entrada mínima para mantenerse al nivel del atacante. Aún necesita contexto empresarial, conocimiento de la misión y criterio humano.

La transformación del SOC agente

El compromiso de Axios debería servir como una señal clara. Los actores del Estado-nación se dirigen a la cadena de suministro de software con una frecuencia y sofisticación cada vez mayores. Las agencias y organizaciones gubernamentales que se defenderán con éxito contra estas amenazas son las que construyen operaciones de seguridad que pueden moverse tan rápido como los actores de amenazas a los que se enfrentan.

Desde el punto de vista operativo, son necesarias operaciones de seguridad impulsadas por IA que puedan igualar la velocidad de las amenazas modernas, como flujos de trabajo agentes que clasifican, investigan y contienen automáticamente actividades sospechosas. Tener una mentalidad y un enfoque SOC agentes el funcionamiento de estos centros potenciará la actividad de los analistas. Los agentes operarán en nombre del analista de forma automática y transparente.

La pirámide SOC tradicional coloca a los humanos en la base, realizando el mayor volumen de trabajo. Un amplio nivel de analistas que clasifica las alertas, alimentando a un nivel más reducido de alto nivel que maneja las investigaciones. La IA adversaria ha hecho que esa capa base sea insostenible. El volumen es demasiado alto, la velocidad demasiado rápida, la superficie demasiado amplia. La pirámide se invierte en un diamante: la IA toma la base mientras los analistas ascienden para convertirse en ingenieros de amenazas: gestionan, validan y mejoran a los agentes que trabajan en su nombre.

Los agentes de IA manejan el gran volumen de trabajo de correlación de alertas, enriquecimiento de la investigación y contención inicial, mientras que los analistas humanos se centran en las decisiones estratégicas y el contexto de la misión. Estos agentes amplifican la experiencia que aportan los profesionales de seguridad del gobierno, entregando hallazgos correlacionados y previamente investigados en lugar de una avalancha de alertas desconectadas.

La rápida aceleración de ataques sofisticados exige este cambio esencial en todo el SOC. El sector público y la industria están experimentando una transformación significativa, alejándose de la clasificación de alertas presenciales hacia una era de ingeniería de amenazas de alto impacto. Al hacerlo, los equipos del sector público tendrán la capacidad de reducir en gran medida el tiempo medio para detectar/responder, lo que a su vez reducirá la fatiga de los analistas de SOC y comprimirá los plazos de investigación.

Mike Nichols es el director general de seguridad de Elastic.

La forma más rápida de enamorarse de una herramienta de inteligencia artificial es ver la demostración.

Todo avanza rápidamente. Indica que aterriza limpiamente. El sistema produce resultados impresionantes en segundos. Se siente como el comienzo de una nueva era para tu equipo.

Pero la mayoría de las iniciativas de IA no fracasan por culpa de una mala tecnología. Se estancan porque lo que funcionó en la demostración no sobrevive al contacto con operaciones reales. La brecha entre una manifestación controlada y la realidad del día a día es donde los equipos tienen problemas.

La mayoría de las demostraciones de productos de IA están diseñadas para resaltar el potencial, no la fricción. Utilizan datos limpios, entradas predecibles, indicaciones cuidadosamente elaboradas y casos de uso bien comprendidos. Los entornos de producción no se ven así. En operaciones reales, los datos son confusos, las entradas son inconsistentes, los sistemas están fragmentados y el contexto está incompleto. La latencia importa. Los casos extremos rápidamente superan en número a los ideales. Esta es la razón por la que los equipos suelen ver un estallido inicial de entusiasmo seguido de una desaceleración una vez que intentan implementar la IA de manera más amplia.

Lo que realmente se rompe en la producción.

Una vez que la IA pasa de la demostración a la implementación, tienden a surgir algunos desafíos específicos.

La calidad de los datos se convierte en un problema real. En entornos de seguridad y TI, Los datos a menudo se distribuyen en múltiples herramientas con diferentes formatos. y distintos niveles de confiabilidad. Un modelo que funciona bien con datos de demostración limpios puede tener problemas cuando recibe entradas ruidosas o incompletas.

La latencia se vuelve visible. Un modelo que se siente rápido de forma aislada puede introducir retrasos significativos cuando se integra en flujos de trabajo de varios pasos que se ejecutan a escala.

Los casos extremos empiezan a importar. Los flujos de trabajo de producción incluyen excepciones, escenarios inusuales y comportamiento impredecible del usuario. Los sistemas que manejan bien casos comunes pueden fallar rápidamente cuando se enfrentan a la complejidad del mundo real.

La integración se convierte en un factor limitante. La mayor parte del trabajo operativo requiere la coordinación entre múltiples sistemas. Si una herramienta de IA no puede conectarse profundamente con esos flujos de trabajo, su impacto sigue siendo limitado independientemente de cuán capaz sea el modelo subyacente.

La gobernanza es donde se acaba el entusiasmo

Más allá de los desafíos técnicos, La gobernanza se ha convertido en una de las principales razones por las que las iniciativas de IA se estancan. Ahora que las herramientas de IA de uso general están ampliamente accesibles, las organizaciones se enfrentan a serias preguntas sobre la privacidad de los datos, los casos de uso apropiados, los procesos de aprobación y los requisitos de cumplimiento.

Muchos equipos descubren que, si bien la experimentación con la IA es fácil, ponerla en funcionamiento de forma segura requiere políticas y controles claros. Sin ellos, incluso las iniciativas prometedoras quedan estancadas en ciclos de revisión o no logran escalar.

Cuando se hace correctamente, la gobernanza trasciende su objetivo de prevenir el uso indebido. Se convierte en un marco que permite a los equipos moverse con rapidez y confianza, con una supervisión adecuada incorporada desde el principio.

¿Qué determina si la IA realmente da resultados?

Los equipos que logran superar la demostración tienden a compartir algunos hábitos. Prueban la IA con flujos de trabajo reales en lugar de escenarios idealizados, utilizando datos reales, procesos reales y limitaciones reales. Evalúan el rendimiento en condiciones realistas, miden la precisión bajo carga, monitorean la latencia y comprenden cómo se comporta el sistema cuando varían las entradas. Priorizan la profundidad de la integración, porque la IA que opera de forma aislada rara vez tiene mucho impacto. Y prestan mucha atención al modelo de costos, ya que el uso de la IA puede escalar rápidamente y, sin visibilidad del consumo, los costos pueden convertirse en un obstáculo.

Quizás lo más importante es que invierten tempranamente en gobernanza. Políticas claras, barreras de seguridad y mecanismos de supervisión ayudan a los equipos a evitar demoras y generar confianza en sus implementaciones.

Una lista de verificación práctica antes de comprometerse

Si está evaluando herramientas de IA, algunos pasos pueden ayudar a sacar a la luz las limitaciones antes de que se conviertan en bloqueadores: ejecutar pruebas de concepto en flujos de trabajo de alto impacto del mundo real; utilizar datos realistas durante las pruebas; medir el rendimiento en términos de precisión, latencia y confiabilidad; evaluar la profundidad de la integración con su pila existente; y aclarar los requisitos de gobernanza por adelantado.

Estos no son pasos complicados, pero marcan una diferencia significativa en cuanto a si una demostración prometedora conduce a una implementación de producción significativa.

Acceda a la guía de campo de TI y seguridad para la adopción de IA.

El resultado final

La IA tiene un potencial real para cambiar la forma en que trabajan los equipos de seguridad y TI. Pero el éxito depende menos de la sofisticación del modelo y más de qué tan bien se adapta a los flujos de trabajo reales, se integra con los sistemas existentes y opera dentro de un marco de gobernanza claro. Los equipos que reconocen esto temprano tienen muchas más probabilidades de pasar de la experimentación al impacto duradero.

¿Busca un enfoque estructurado para evaluar las herramientas de IA en la práctica? La guía de campo de TI y seguridad para la adopción de IA recorre los criterios de selección, las preguntas de evaluación y un proceso paso a paso para encontrar soluciones que se mantengan más allá de la demostración.

Los investigadores de ciberseguridad han descubierto una debilidad crítica «por diseño» en la arquitectura del Model Context Protocol (MCP) que podría allanar el camino para la ejecución remota de código y tener un efecto en cascada en la cadena de suministro de inteligencia artificial (IA).

«Esta falla permite la ejecución de comandos arbitrarios (RCE) en cualquier sistema que ejecute una implementación MCP vulnerable, otorgando a los atacantes acceso directo a datos confidenciales del usuario, bases de datos internas, claves API e historiales de chat», dijeron los investigadores de OX Security Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok y Roni Bar. dicho en un análisis publicado la semana pasada.

La compañía de ciberseguridad dijo que la vulnerabilidad sistémica está integrada en el kit de desarrollo de software (SDK) MCP oficial de Anthropic en cualquier lenguaje compatible, incluidos Python, TypeScript, Java y Rust. En total, afecta a más de 7.000 servidores y paquetes de software de acceso público, con un total de más de 150 millones de descargas.

Lo que está en juego son los valores predeterminados inseguros en cómo funciona la configuración de MCP en el ESTDIO (entrada/salida estándar), lo que resultó en el descubrimiento de 10 vulnerabilidades que abarcan proyectos populares como LiteLLM, LangChain, LangFlow, Flowise, LettaAI y LangBot.

• CVE-2025-65720 (Investigador GPT)
• CVE-2026-30623 (LiteLLM) – Parcheado
• CVE-2026-30624 (Agente Cero)
• CVE-2026-30618 (Marco Fay)
• CVE-2026-33224 (Bisheng) – Parcheado
• CVE-2026-30617 (Langchain-Chatchat)
• CVE-2026-33224 (Jaaz)
• CVE-2026-30625 (Upsónico)
• CVE-2026-30615 (Windsurf)
• CVE-2026-26015 (DocsGPT) – Parcheado
• CVE-2026-40933 (Flowise)

Estas vulnerabilidades se dividen en cuatro categorías amplias y activan efectivamente la ejecución remota de comandos en el servidor:

• Inyección de comandos autenticados y no autenticados a través de MCP STDIO
• Inyección de comandos no autenticados a través de configuración STDIO directa con derivación de refuerzo
• Inyección de comandos no autenticados a través de la edición de configuración de MCP mediante inyección de aviso sin hacer clic
• Inyección de comandos no autenticados a través de mercados MCP a través de solicitudes de red, lo que activa configuraciones STDIO ocultas

«El protocolo de contexto modelo de Anthropic ofrece una ejecución directa de configuración a comando a través de su interfaz STDIO en todas sus implementaciones, independientemente del lenguaje de programación», explicaron los investigadores.

«Como este código estaba destinado a usarse para iniciar un servidor STDIO local y devolver un identificador del STDIO al LLM. Pero en la práctica, en realidad permite que cualquiera ejecute cualquier comando arbitrario del sistema operativo, si el comando crea exitosamente un servidor STDIO devolverá el identificador, pero cuando se le da un comando diferente, devuelve un error después de ejecutar el comando».

Curiosamente, durante el año pasado se informaron de forma independiente vulnerabilidades basadas en el mismo problema central. Incluyen CVE-2025-49596 (MCP Inspector), LibreChat (CVE-2026-22252), WeKnora (CVE-2026-22688), @akoskm/create-mcp-server-stdio (CVE-2025-54994) y Cursor (CVE-2025-54136).

Anthropic, sin embargo, se ha negado a modificar la arquitectura del protocolo, citando el comportamiento como «esperado». Si bien algunos de los proveedores han emitido parches, la deficiencia sigue sin abordarse en la implementación de referencia MCP de Anthropic, lo que hace que los desarrolladores hereden los riesgos de ejecución del código.

Los hallazgos resaltan cómo las integraciones impulsadas por IA pueden expandir inadvertidamente la superficie de ataque. Para contrarrestar la amenaza, se recomienda bloquear el acceso de IP pública a servicios confidenciales, monitorear las invocaciones de herramientas MCP, ejecutar servicios habilitados para MCP en una zona de pruebas, tratar la entrada de configuración de MCP externa como no confiable y solo instalar servidores MCP de fuentes verificadas.

«Lo que hizo que esto fuera un evento de la cadena de suministro en lugar de un único CVE es que una decisión arquitectónica, tomada una vez, se propagó silenciosamente a todos los idiomas, a todas las bibliotecas posteriores y a todos los proyectos que confiaron en que el protocolo era lo que parecía ser», dijo OX Security. «Transferir la responsabilidad a los implementadores no transfiere el riesgo. Simplemente oscurece quién lo creó».

Los atacantes rara vez explotan indiscriminadamente una vulnerabilidad de un dispositivo perimetral. Por lo general, primero prueban qué tan ampliamente se puede utilizar la falla y cuánto acceso puede proporcionar, luego pasan a robar datos o interrumpir las operaciones.

La vigilancia y planificación previas al ataque dejan mucho ruido a su paso. Estas señales, en particular los picos de tráfico que afectan a proveedores específicos, pueden actuar como un sistema de alerta temprana, que a menudo precede a las revelaciones públicas de vulnerabilidades, según una investigación que GreyNoise compartió exclusivamente con CyberScoop antes de su lanzamiento.

Aproximadamente la mitad de cada aumento de actividad que GreyNoise detectó durante un estudio de 103 días el invierno pasado fue seguido por una divulgación de vulnerabilidad por parte del mismo proveedor objetivo en un plazo de tres semanas, dijo GreyNoise en su informe. informe.

Los investigadores determinaron que la advertencia mediana de una inminente divulgación de vulnerabilidad llegó nueve días antes de que el proveedor objetivo emitiera una alerta pública a sus clientes.

«Prácticamente cada vez que vemos picos a gran escala en la actividad de reconocimiento e inventario en busca de un determinado dispositivo, es porque alguien conoce una vulnerabilidad», dijo a CyberScoop Andrew Morris, fundador y arquitecto jefe de GreyNoise.

«En unos pocos días o semanas, generalmente dentro del cronograma de divulgación responsable, surge una nueva vulnerabilidad muy grave», añadió.

GreyNoise insiste en que cada día de aviso previo es importante, brindando a los defensores la oportunidad de defenderse y frustrar posibles ataques antes de que ocurran.

La plataforma de escaneo del borde de la red en tiempo real detectó 104 aumentos de actividad distintos en 18 proveedores durante el período de estudio. Estos sistemas integrados, incluidos enrutadores, VPN, firewalls y otros sistemas de seguridad, representan sistemáticamente las vulnerabilidades más comúnmente explotadas.

«A los atacantes les encanta piratear dispositivos de seguridad como los dispositivos de seguridad. La ironía de esto no se me escapa en absoluto», dijo Morris.

«La situación no ha empeorado lo suficiente como para que empecemos a tomarnos en serio la seguridad de estos dispositivos», añadió. «No es tan malo que nos lo tomemos lo suficientemente en serio como para empezar a eliminar estas cosas y reemplazarlas con nuevos dispositivos o nuevos proveedores».

GreyNoise vinculó el tráfico a un enjambre de vulnerabilidades reveladas por proveedores de todo el mercado, incluidos Cisco, Palo Alto Networks, Fortinet, Ivanti, HPE, MicroTik, TP-Link, VMware, Juniper, F5, Netgear y otros.

«Se está volviendo científicamente empírico y se parece más a la meteorología que al misticismo», dijo Morris. “Ahora esto funciona como un reloj”.

GreyNoise descompone estas oleadas de tráfico para medir la intensidad y la amplitud. Los recuentos de sesiones indican con qué fuerza las fuentes existentes están afectando a un proveedor específico y los recuentos de IP de fuentes únicas demuestran cuán ampliamente se está uniendo nueva infraestructura a la actividad, escribieron los investigadores en el informe.

«Cuando tanto la intensidad como la amplitud de los ataques aumentan simultáneamente, indica una escalada coordinada», dice el informe.

«Cuando vea un pico de sesión contra uno de sus proveedores y nuevas IP de origen que se unen al mismo tiempo, trátelo como una razón de alta confianza para mirar más detenidamente. Cuando vea solo un pico de IP, no asuma que se avecina una vulnerabilidad», agregaron los investigadores.

El estudio refuerza otras investigaciones de Verizon, Google Threat Intelligence Group y Mandiant, que aterrizan durante lo que GreyNoise llama «el período más agresivo de explotación de dispositivos de borde registrado».

Según Morris, esta actividad no ocurre en el vacío y los grupos de amenazas no están inundando los dispositivos de vanguardia con tráfico de forma gratuita o por diversión.

«La gente tiende a tratar el ruido de fondo de Internet como si fuera un fenómeno inexplicable», dijo. «Claramente están intentando probar la existencia de una vulnerabilidad para comprometer los sistemas».

Los investigadores de ciberseguridad han detectado un nuevo malware llamado ZionSiphon que parece estar diseñado específicamente para atacar los sistemas de desalinización y tratamiento de agua israelíes.

El malware tiene un nombre en código. SionSifón de Darktrace, destacando su capacidad para configurar la persistencia, alterar los archivos de configuración locales y buscar servicios relevantes para la tecnología operativa (OT) en la subred local. Según detalles de VirusTotal, la muestra fue detectado por primera vez en estado salvaje el 29 de junio de 2025, justo después de la Guerra de los Doce Días entre Irán e Israel que tuvo lugar entre el 13 y 24 de junio.

«El malware combina escalada de privilegios, persistencia, propagación USB y escaneo ICS con capacidades de sabotaje dirigidas a controles de cloro y presión, destacando la creciente experimentación con ataques de infraestructura crítica motivados políticamente contra tecnologías operativas industriales a nivel mundial», dijo la compañía. dicho.

ZionSiphon, actualmente en un estado inacabado, se caracteriza por su objetivo centrado en Israel, yendo tras un conjunto específico de rangos de direcciones IPv4 que se encuentran dentro de Israel.

• 2.52.0[.]0 – 2.55.255[.]255
• 79.176.0[.]0 – 79.191.255[.]255
• 212.150.0[.]0-212.150.255[.]255

Además de codificar mensajes políticos que afirman apoyar a Irán, Palestina y Yemen, el malware incorpora cadenas vinculadas a Israel en su lista de objetivos que corresponden a la infraestructura de agua y desalinización del país. También incluye controles para garantizar que en esos sistemas específicos.

«La lógica prevista es clara: la carga útil se activa sólo cuando se cumplen tanto una condición geográfica como una condición ambiental específica relacionada con la desalinización o el tratamiento del agua», dijo la empresa de ciberseguridad.

Una vez iniciado, ZionSiphon identifica y sondea dispositivos en la subred local, intenta la comunicación específica del protocolo utilizando los protocolos Modbus, DNP3 y S7comm, y modifica los archivos de configuración locales alterando los parámetros asociados con las dosis y la presión de cloro. Un análisis del artefacto encontró que la ruta de ataque orientada a Modus es la más desarrollada, y los dos restantes solo incluyen código parcialmente funcional, lo que indica que es probable que el malware aún esté en desarrollo.

Un aspecto notable del malware es su capacidad para propagar la infección a través de medios extraíbles. En los hosts que no cumplen con los criterios, inicia una secuencia de autodestrucción para eliminarse a sí mismo.

«Aunque el archivo contiene funciones de sabotaje, escaneo y propagación, la muestra actual parece incapaz de satisfacer su propia función de verificación del país de destino incluso cuando la IP reportada cae dentro de los rangos especificados», dijo Darktrace. «Este comportamiento sugiere que la versión se deshabilitó intencionalmente, se configuró incorrectamente o se dejó sin terminar».

«A pesar de estas limitaciones, la estructura general del código probablemente indica que un actor de amenazas está experimentando con manipulación OT multiprotocolo, persistencia dentro de redes operativas y técnicas de propagación de medios extraíbles que recuerdan a campañas anteriores dirigidas a ICS».

La divulgación coincide con el descubrimiento de un implante basado en Node.js llamado CarreteraK1ll que está diseñado para mantener un acceso confiable a una red comprometida mientras se integra con la actividad normal de la red.

«RoadK1ll es un implante de túnel inverso basado en Node.js que establece una conexión WebSocket saliente a la infraestructura controlada por el atacante y utiliza esa conexión para gestionar el tráfico TCP bajo demanda», dijo Blackpoint Cyber.

«A diferencia de un troyano de acceso remoto tradicional, no incluye un gran conjunto de comandos y no requiere ningún escucha entrante en el host de la víctima. Su única función es convertir una única máquina comprometida en un punto de retransmisión controlable, un amplificador de acceso, a través del cual un operador puede pivotar hacia sistemas internos, servicios y segmentos de red que de otro modo serían inalcanzables desde fuera del perímetro».

La semana pasada, Gen Digital también develó una puerta trasera ofuscada por una máquina virtual (VM) que se observó en una sola máquina en el Reino Unido y operó durante un año entre mayo de 2022 y junio de 2023, antes de desaparecer sin dejar rastro cuando su infraestructura expiró. El implante ha sido denominado enojadochispa. Actualmente no se sabe cuáles eran los objetivos finales de la actividad.

«AngrySpark funciona como un sistema de tres etapas», explicó la empresa. «Una DLL que se hace pasar por un componente de Windows se carga a través del Programador de tareas, descifra su configuración del registro e inyecta un código shell independiente de la posición en svchost.exe. Ese código shell implementa una máquina virtual».

«La máquina virtual procesa un blob de 25 KB de instrucciones de código de bytes, decodifica y ensambla la carga útil real: una baliza que perfila la máquina, llama a casa a través de HTTPS disfrazada de solicitudes de imágenes PNG y puede recibir código shell cifrado para su ejecución».

El resultado es un malware capaz de establecer una persistencia sigilosa, alterar su comportamiento cambiando el blob y establecer un canal de comando y control (C2) que puede pasar desapercibido.

«AngrySpark no sólo es modular, sino que también tiene cuidado con la apariencia que tienen los defensores», añadió Gen. «Varias opciones de diseño parecen dirigidas específicamente a frustrar la agrupación, eludir la instrumentación y limitar los residuos forenses que quedan. Los metadatos PE del binario se han alterado deliberadamente para confundir las huellas digitales de la cadena de herramientas».