La Casa Blanca ha actualizado las reglas para que las agencias federales mantengan registros de actividades cibernéticas importantes en sus redes, promocionándolas como una medida para reducir la burocracia y centrarse en cómo han evolucionado los riesgos de ciberseguridad.

El memorando de la Oficina de Gestión y Presupuesto, publicado el viernes, reemplaza un memorando de 2021 firmado por el entonces presidente Joe Biden. Continúa las revisiones que el presidente Donald Trump ha realizado a las directrices federales de ciberseguridad bajo su predecesor.

La nueva nota, M-26-14asiente con la cabeza a las intenciones del memorando anterior, M-21-31, diciendo que “la implementación de ese memorando mejoró las capacidades fundamentales de todas las agencias” para establecer estándares para el registro y mejorar el mantenimiento de registros de las agencias con el fin de detectar y responder a ataques cibernéticos.

«Sin embargo, algunos requisitos, como la retención de grandes cantidades de datos de registro sin una utilidad clara, no resultaron ni operativamente viables ni rentables para la mayoría de las agencias», afirma el memorando actualizado de la semana pasada. «Para abordar estas ineficiencias y el entorno de amenazas cibernéticas en evolución, este memorando ordena a las agencias que empleen un enfoque de registro priorizado y basado en riesgos».

ha habido llamadas por la idea de actualizar el memorando de 2021, y un observador elogió la nueva versión a CyberScoop. Otro analista, sin embargo, cuestionó cuánto daño podría causar la administración Trump al rescindir el memorando anterior antes de tener todas las directivas del nuevo memorando en vigor.

Una directiva es que la Agencia de Seguridad de Infraestructura y Ciberseguridad desarrolle una “arquitectura de referencia de registro” dentro de 90 días que priorice los objetivos de realizar un monitoreo continuo de eventos y permitir investigaciones de análisis forenses después de un compromiso conocido o sospechado.

Las agencias tendrían otros 90 días para presentar un plan de tala que se adhiera a esos principios. El memorando también establece un nuevo modelo para medir el progreso de la agencia en la implementación. Múltiples organismos de control gubernamentales han concluido que agencias no nos reunimos los puntos de referencia del memorando anterior.

El nuevo memorando «se centra en la detección de amenazas en tiempo real y la capacidad de investigar y recuperarse después de un ciberataque», dijo a CyberScoop John Harmon, vicepresidente regional de soluciones cibernéticas de Elastic. «Ofrece a las agencias la flexibilidad de crear arquitecturas de registro que se ajusten a su misión específica».

Harmon también elogió el reconocimiento en el memorando de los riesgos de la inteligencia artificial para la ciberseguridad y el modelo de madurez revisado.

Pero Nick Leiserson, vicepresidente senior de políticas del grupo de expertos del Instituto de Seguridad y Tecnología, dijo que el momento del memorando de reemplazo y la rescisión del memorando anterior dará a las agencias una razón para no presupuestar y priorizar la tala durante un período de tiempo que suma seis meses o más.

“Pasar de eso a nada no es ideal, y eso es esencialmente lo que esto está haciendo”, dijo a CyberScoop Leiserson, quien trabajó en la Oficina del Director Cibernético Nacional de la administración Biden. «Esto quiere decir 'Estamos rescindiendo 21-31 ahora mismo'. No tendrá ninguna orientación nueva durante al menos 90 días, cuando CISA publique esta arquitectura de referencia de registro, y no me queda claro por qué desagregaría eso y no publicaría las dos cosas al mismo tiempo».

Apple ha lanzado un código criptográfico resistente a los cuánticos y las herramientas de verificación matemática que desarrolló para demostrar la exactitud del código, poniéndolos a disposición del público para su revisión independiente y su uso más amplio en toda la industria.

la liberación Incluye implementaciones de dos algoritmos de seguridad cuántica, ML-KEM y ML-DSA, junto con las bibliotecas y herramientas de verificación formal que Apple creó para validar su precisión. La compañía también publicó documentación detallada de su metodología de verificación, que describe como el logro de los resultados de corrección más sólidos conocidos para cualquier implementación de producción ampliamente implementada de estos algoritmos.

Los algoritmos de seguridad cuántica están integrados en núcleocriptola biblioteca criptográfica de Apple utilizada en todos sus sistemas operativos. La biblioteca maneja cifrado, descifrado, hash y firmas digitales en más de 2.500 millones de dispositivos activos. Apple comenzó a implementar cifrado resistente a los cuánticos en iMessage en 2024 y ha ampliado la tecnología a servicios VPN y protocolos de red TLS.

Una de las herramientas lanzadas es el traductor Cryptol-to-Isabelle de la compañía, que convierte modelos criptográficos entre lenguajes formales, junto con las bibliotecas de soporte necesarias para reproducir los resultados. La verificación formal utiliza pruebas matemáticas para demostrar que el código funciona correctamente para todas las entradas posibles. Apple tradujo su código al criptolun lenguaje formal desarrollado por Galois, luego en Isabelasistente de pruebas de la Universidad de Cambridge y de la Universidad Técnica de Munich, para demostrar que ambas cumplían con los estándares oficiales. Apple ha utilizado Isabelle anteriormente para verificar componentes criptográficos de hardware.

El proceso de verificación descubrió errores que las pruebas convencionales habrían pasado por alto. Los investigadores encontraron un paso computacional faltante en el código ML-DSA que habría roto silenciosamente las firmas digitales. Si este error hubiera llegado a producción, los mensajes en iMessage podrían haber aparecido autenticados cuando en realidad no lo estaban, dejando a los usuarios sin saber que sus comunicaciones carecían de la seguridad adecuada.

Incluso con estas herramientas, Apple reconoció que todavía depende de las pruebas criptográficas convencionales y que se necesita una evaluación para garantizarlo. La verificación formal puede detectar errores que las pruebas tradicionales simplemente no pueden encontrar. Las pruebas funcionan probando muchos escenarios, pero con un código criptográfico complejo, hay demasiadas entradas posibles para realizar pruebas exhaustivas. Los errores sutiles pueden ocultarse en los espacios entre los casos de prueba y nunca generar una advertencia. La verificación formal, por el contrario, utiliza las matemáticas para demostrar la corrección de todas las entradas posibles a la vez.

Sin embargo, el equipo de Apple escribe que no pudo verificar formalmente cada aspecto de su código con las herramientas disponibles, por lo que combinaron enfoques: verificación formal de la corrección matemática básica, pruebas convencionales para aspectos que los métodos formales no podían cubrir y evaluación cuidadosa de cómo funcionan todas las piezas juntas. Apple sostiene que este enfoque híbrido proporciona la seguridad más sólida para el software criptográfico crítico.

«Basándonos en nuestro trabajo hasta la fecha, creemos que la mayor garantía posible proviene de combinar la verificación formal con métodos convencionales y evaluar críticamente los resultados de un extremo a otro», se lee en la publicación del blog.

Además, el blog afirma que Apple seleccionó ML-KEM y ML-DSA entre varios algoritmos estandarizados resistentes a lo cuántico porque cumplían mejor con los requisitos de seguridad, rendimiento y parámetros compactos de la empresa. Los algoritmos abordan la amenaza que plantean las futuras computadoras cuánticas, que podrían potencialmente romper los métodos de cifrado que actualmente protegen las comunicaciones digitales.

Se puede encontrar más información en corecrypto de Apple. página de GitHub.

El grupo de hackers iraní conocido como FangosoAgua se ha vinculado a una nueva campaña que afectará al menos a nueve organizaciones en nueve países de cuatro continentes en el primer trimestre de 2026.

La actividad se centró en la fabricación industrial y electrónica, la educación y los organismos del sector público, los servicios financieros y los servicios profesionales, según el equipo Threat Hunter de Symantec y Carbon Black. Entre las víctimas se encuentra un importante fabricante de productos electrónicos de Corea del Sur, cuyos atacantes pasaron una semana dentro de su red en febrero de 2026.

También fueron señalados como parte del extenso esfuerzo de espionaje un aeropuerto internacional en el Medio Oriente, fabricantes industriales del sudeste asiático y un proveedor de servicios financieros latinoamericano.

«Los atacantes se basaron en gran medida en la carga lateral de DLL utilizando archivos binarios Fortemedia (fmapp.exe) y SentinelOne (sentinelmemoryscanner.exe) firmados legítimamente para ejecutar archivos DLL maliciosos mientras se hacían pasar por software benigno», dijeron los equipos de ciberseguridad de Broadcom. dicho.

El uso de «fmapp.exe» para descargar «fmapp.dll» fue documentado previamente por Group-IB en relación con otra campaña de MuddyWater con nombre en código Operación Olalampo. De acuerdo a Cazadorala DLL contiene código para conectarse a una dirección IP controlada por el atacante («157.20.182[.]49»).

Por otro lado, el abuso de «sentinelmemoryscanner.exe», un binario asociado con un producto de seguridad, se considera una elección deliberada, ya que puede eludir la detección basada en firmas. Está diseñado para descargar una DLL maliciosa llamada «sentinelagentcore.dll».

Ambas DLL incorporan una herramienta de código abierto llamada CromoElevador para desviar contraseñas, cookies y datos de tarjetas de pago de navegadores basados ​​en Chromium, evitando de manera efectiva las protecciones de cifrado vinculado a aplicaciones (ABE).

Un aspecto destacable de los ataques es el uso de scripts Node.js para ejecutar código PowerShell responsable de llevar a cabo operaciones de descubrimiento y recopilación de información. En al menos un caso, se descubrió que los atacantes almacenaban los datos robados en sendit.[.]sh, un servicio público de transferencia de archivos.

«Se utilizó una cadena de implantes basada en node.exe para eliminar scripts de PowerShell que realizaban reconocimiento, captura de pantalla, robo de colmena SAM, escalada de privilegios y tunelización de proxy inverso SOCKS5», dijeron Symantec y Carbon Black.

También se entregan los dos pares de carga lateral de DLL antes mencionados para proporcionar a los atacantes un túnel encubierto para retransmitir el tráfico y lanzar CromoElevador. Los ataques también se caracterizan por esfuerzos por deshacerse de credenciales que les permitirían moverse lateralmente a través de las redes.

En la intrusión dirigida al fabricante de productos electrónicos de Corea del Sur, se cree que MuddyWater llevó a cabo repetidamente reconocimientos basados ​​en PowerShell, así como también volvió a ejecutar los dos archivos binarios para garantizar que conserva el acceso al host comprometido. Se desconoce el vector de acceso inicial utilizado para violar la organización.

«La cadencia es nuevamente consistente con la actividad impulsada por el implante en lugar de la presencia continua del operador», dijeron los investigadores. «La historia de su campaña muestra un claro movimiento hacia operaciones más silenciosas y disciplinadas. Ninguna de estas técnicas es novedosa individualmente, pero en combinación proporcionan más evidencia de un avance significativo en la higiene operativa del Seedworm que conocíamos hace dos o tres años».

Esta novedad se produce cuando el Consejo Europeo impuesto sanciones contra la empresa iraní Emennet Pasargad por piratear un servicio de SMS sueco, acceder al contenido de una base de datos de suscriptores franceses y ponerlo a la venta, y por difundir desinformación a través de vallas publicitarias comprometidas durante los Juegos Olímpicos de París 2024.

La compañía, según el Departamento de Estado de EE. UU., se llama Shahid Shushtari y está afiliada al Comando Ciberelectrónico del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC-CEC). Se rastrea bajo los apodos Cobalt Obelisk, Cotton Sandstorm, Haywire Kitten (anteriormente ChaoticOrchestra), Marnanbridge y UNC5866.

«Los miembros de Shahid Shushtari han causado daños financieros significativos y perturbaciones a empresas y agencias gubernamentales estadounidenses a través de operaciones coordinadas de información cibernética y habilitada por cibernética», señaló el Departamento de Estado en diciembre de 2025. «Estas campañas se han dirigido a múltiples sectores críticos de infraestructura, incluidos los de noticias, transporte marítimo, viajes, energía, finanzas y telecomunicaciones en Estados Unidos, Europa y Medio Oriente».

Los piratas informáticos respaldados por Irán también han estado vinculados a una campaña de exfiltración dirigida a organizaciones en EE. UU., Israel, Arabia Saudita y Turquía entre finales de marzo y principios de abril de 2026, y al menos dos víctimas estadounidenses también fueron objeto de operaciones destructivas, como la eliminación de particiones y copias de seguridad de datos.

Aunque estos incidentes fueron reivindicados por una persona pro iraní llamada Ababil de Minaba nuevo análisis de Gambit Security ha vinculado la infraestructura de la campaña al Ministerio de Inteligencia y Seguridad de Irán (MOIS).

Otros objetivos incluyen una organización israelí en el sector de los medios de comunicación, una institución de educación superior israelí, una correduría de seguros turca y varios sitios web adicionales en los sectores de restaurantes, cultura, servicios digitales y noticias.

No se ha observado ninguna actividad destructiva contra estas víctimas. En estos casos, se ha descubierto que el adversario emplea una herramienta de exfiltración y recopilación de archivos C++ personalizada cuyo nombre en código interno es FileFiend.

«El binario podría enumerar unidades locales y recursos compartidos SMB, recorrer el sistema de archivos y enviar archivos a un C2 codificado [command-and-control] servidor», dijeron los investigadores de Gambit Security Eyal Sela y Nir Varon en un informe publicado hoy.

Alternativamente, los datos de interés se comprimen en archivos RAR en un host dentro del entorno de la víctima y se cargan en el sitio web público de la organización en la raíz web, desde donde se extraen utilizando el acelerador de descarga de línea de comandos Axel y se canalizan a través de cadenas proxy.

Anthropic dijo que su iniciativa Proyecto Glasswing, de un mes de duración, ha descubierto más de 10.000 vulnerabilidades de software de gravedad alta o crítica en códigos de importancia sistémica, un hallazgo que, según la compañía, ha desplazado el problema central en ciberseguridad de descubrir fallas a verificarlas y parcharlas.

Los hallazgos, extraídos de informes de socios y evaluaciones independientes, marcan una de las primeras explicaciones a gran escala de lo que puede hacer un modelo de IA de frontera cuando se apunta a un código ampliamente utilizado, y de los cuellos de botella que surgen una vez que lo hace.

Varios socios informaron que sus tasas de descubrimiento de errores se habían multiplicado por más de diez. Cloudflare identificó 2.000 errores en sus sistemas de ruta crítica, incluidos 400 clasificados como altos o críticos, con una tasa de falsos positivos que la compañía dijo que consideraba mejor que la de los evaluadores humanos. En un banco asociado anónimo, al modelo se le atribuyó el mérito de haber ayudado a detectar y prevenir una transferencia bancaria fraudulenta de 1,5 millones de dólares iniciada después de que la cuenta de correo electrónico de un cliente se viera comprometida y seguida de llamadas telefónicas falsas.

Las evaluaciones externas citadas en la actualización siguieron los resultados publicados por Anthropic. El Instituto de Seguridad de IA del Reino Unido descubrió que Mythos Preview era el primer modelo en resolver sus dos rangos cibernéticos (simulaciones de ciberataques de varios pasos) de extremo a extremo. Mozilla dijo encontró y solucionó 271 vulnerabilidades en Firefox 150 mientras probaba el modelo, más de 10 veces el número encontrado en Firefox 148 usando un modelo Anthropic anterior. Impulsado por IA plataforma de seguridad XBOW calificó el modelo como un paso significativo con respecto a los sistemas existentes en su punto de referencia de explotación web.

Anthropic también utilizó Mythos para escanear más de 1000 proyectos de código abierto. El modelo ha señalado 23.019 vulnerabilidades potenciales, 6.202 de ellas estimadas como altas o críticas. De 1.752 hallazgos con calificación alta o crítica revisados ​​por seis firmas independientes de investigación de seguridad o por la propia Anthropic, más del 90% fueron confirmados como válidos y más del 62% fueron confirmados como altos o críticos.

La compañía señaló que, si bien es buena para encontrar vulnerabilidades, todavía existe una brecha para que la gente solucione todos los problemas.

«El cuello de botella para corregir errores como estos es la capacidad humana para clasificarlos, informarlos, diseñar e implementar parches para ellos», afirma el informe.

Los mantenedores de código abierto también han estado lidiando con una ola de informes de errores de baja calidad generados por IA, y Anthropic dijo que intenta reproducir y evaluar cada problema antes de informarlo. A petición de sus mantenedores, en ocasiones ha revelado errores sin mayor investigación, reportando 1.129 casos de este tipo, de los cuales el modelo estimó que 175 eran altos o críticos.

Anthropic dijo que no ha lanzado públicamente modelos de clase Mythos porque ninguna empresa, incluida ella misma, ha desarrollado salvaguardas para evitar un uso indebido grave. Mientras tanto, lanzó Claude Security en versión beta pública para clientes empresariales, que según dijo se ha utilizado para parchear más de 2.100 vulnerabilidades en tres semanas utilizando el Claude Opus 4.7 disponible públicamente, y ha comenzado un programa de verificación cibernética para profesionales de la seguridad.

La compañía dijo que planea expandir el Proyecto Glasswing con socios adicionales, incluidos los gobiernos de Estados Unidos y aliados, antes de cualquier lanzamiento más amplio del modelo subyacente.

«Glasswing ayuda a los defensores cibernéticos más importantes sistémicamente a obtener una ventaja asimétrica. Sin embargo, existe una necesidad urgente de que el mayor número posible de organizaciones refuercen sus defensas cibernéticas», afirma el informe. «Esperamos que nuestros modelos generalmente disponibles y las nuevas herramientas, recursos e investigaciones que proporcionamos para acompañarlos ayuden a esas organizaciones a mejorar su postura de ciberseguridad».

Microsoft ha implementado actualizaciones para corregir una vulnerabilidad de ejecución remota de código que afecta a SharePoint y que podría ser explotada por delincuentes en ataques sin que sea necesario cumplir ninguna condición especializada.

La vulnerabilidad, rastreada como CVE-2026-45659tiene una puntuación CVSS de 8,8. Se le ha asignado una gravedad importante.

«La deserialización de datos que no son de confianza en Microsoft Office SharePoint permite a un atacante autorizado ejecutar código a través de una red», dijo Microsoft en un aviso publicado la semana pasada.

Microsoft señaló que la vulnerabilidad podría ser activada por cualquier atacante autenticado y que no requiere administrador ni otros privilegios elevados.

«En un ataque basado en red, un atacante autenticado, que tiene un mínimo de permisos de miembro del sitio (PR:L), podría ejecutar código de forma remota en SharePoint Server», añadió el fabricante de Windows.

Microsoft le dio crédito a un investigador llamado MEOW por descubrir e informar la falla. Se han publicado actualizaciones para las siguientes versiones:

El mes pasado, Microsoft publicó correcciones para una vulnerabilidad de suplantación de identidad que afectaba a Microsoft SharePoint Server (CVE-2026-32201, puntuación CVSS: 6,5) y que, según dijo, había sido explotada en estado salvaje.

Aunque el gigante tecnológico señala que es menos probable que CVE-2026-45659 sea explotado, es esencial que los usuarios apliquen las correcciones necesarias para una protección óptima, particularmente si se considera el hecho de que los atacantes han utilizado repetidamente varias fallas en la plataforma colaborativa a lo largo de los años.

Todos los días, los piratas informáticos encuentran nuevas formas de bloquear sitios web y robar datos.

Pero ahora algo ha cambiado. Los hackers ya no trabajan solos. Ahora están utilizando poderosas herramientas de Inteligencia Artificial (IA) para hacer que sus ataques sean más rápidos, más fuertes y mucho más difíciles de detener.

Según actualizaciones recientes de Las noticias de los piratas informáticoslos malos actores están utilizando la IA para encontrar puntos débiles en los sistemas y lanzar «ataques DDoS» masivos que pueden desconectar su empresa en segundos.

Si su sitio web deja de funcionar, pierde dinero, pierde la confianza de los clientes y pasa días tratando de solucionar el problema.

La antigua forma de protección ya no funciona

En el pasado, podías configurar un firewall simple, actualizar tu software y sentirte seguro.

Ya no. Los ataques asistidos por IA pueden pensar y adaptarse. No sólo golpean la puerta de entrada; buscan puntos de entrada ocultos, API inteligentes y pequeños errores en la configuración de su nube. Hacen en minutos lo que antes a los hackers humanos les llevaba semanas planificar.

Si confía en viejos hábitos de seguridad, dejará su empresa expuesta.

¿La buena noticia? Puedes usar la IA para defenderte. Sólo necesitas conocer las nuevas reglas del juego.

Lo que aprenderá en este seminario web de 45 minutos

Estamos organizando un evento en línea en vivo para mostrarle exactamente cómo proteger su red de estas nuevas amenazas que se mueven rápidamente. Aquí hay un adelanto de lo que cubriremos:

• La ventana de 12 horas: Por qué los principales expertos en seguridad dicen que es necesario reparar las fallas más rápido que nunca y cómo hacerlo sin dañar sus sistemas.
• La trampa de la IA: El error número uno que cometen las empresas al configurar la seguridad en la nube es el que en realidad facilita la entrada de los ataques de IA.
• La defensa inteligente: Cómo utilizar herramientas automatizadas para detectar una amenaza antes de que llegue a sus servidores principales.
• Plano en vivo: Una lista de verificación simple, paso a paso, que puede brindarle a su equipo para proteger su negocio esta semana.

Asegure su lugar para este seminario web ➜

La seguridad de la IA es un tema importante en este momento y las plazas se están llenando muy rápidamente. No espere hasta que su sitio web se desconecte para pensar en la seguridad. Regístrese hoy, aprenda cómo proteger sus activos digitales y mantenga su negocio seguro.

PD: Incluso si no puedes verlo en vivo, ¡regístrate de todos modos! Le enviaremos por correo electrónico la grabación completa y la lista de verificación inmediatamente después de que finalice el evento. Haga clic aquí para registrarse ahora.

Se suponía que la autenticación multifactor (MFA) cerraría una brecha crítica en la seguridad de la identidad. Significaba que, incluso si un atacante poseía las credenciales de la cuenta, no podría iniciar sesión sin el segundo factor. Si bien esa lógica era sólida, los atacantes ahora han descubierto que no necesitan robar el segundo factor: solo necesitan que el usuario se lo entregue.

Si su fuerza laboral se autentica con MFA basada en push, este ataque es una amenaza real para su organización hoy. Herramientas como Acceso seguro a Specops están diseñados específicamente para cerrar esa brecha, pero antes de entrar en la solución, vale la pena entender cómo funciona esta técnica.

Cómo funciona el bombardeo inmediato del MFA

El ataque requiere tres elementos clave para funcionar:

• Credenciales de cuenta válidas, generalmente obtenidas de volcados de contraseñas violadas en la web oscura
• Un portal de inicio de sesión que utiliza MFA basado en push (como una VPN, Microsoft 365, Okta o Duo)
• Una víctima que recibe una alerta cada vez que el atacante intenta iniciar sesión.

Los atacantes activan repetidamente el mensaje, intentando engañar al objetivo o desgastarlo para que apruebe la solicitud. A veces, los atacantes combinan el bombardeo inmediato con un llamada vishing pretendiendo ser de TI, donde intentarán diseñar socialmente al objetivo. El peligro es que estos métodos sólo necesitan funcionar una vez.

Si se aprueba el mensaje, el atacante inicia sesión como ese usuario. Los sistemas de seguridad normalmente no reciben alertas, ya que el inicio de sesión parece completamente legítimo.

La brecha de Cisco

La violación de Cisco de 2022 es un ejemplo clave de cuán efectiva es esta técnica incluso contra programas de seguridad maduros. Un atacante vinculado al grupo de ransomware Yanluowang comprometió la cuenta personal de Google de un empleado de Cisco, que estaba sincronizando las credenciales almacenadas en el navegador, incluida la contraseña VPN de Cisco del empleado.

Desde allí, el atacante envió mensajes de MFA al teléfono del empleado. Inicialmente, eso no funcionó, por lo que comenzaron a utilizar llamadas de vishing haciéndose pasar por organizaciones de soporte confiables, hablando en varios acentos y, finalmente, convenciendo al empleado de que aceptara una notificación automática.

Una vez aceptado, el atacante tenía acceso VPN como empleado. Luego inscribieron sus propios dispositivos en MFA para mantener la persistencia, escalaron a privilegios administrativos, alcanzaron servidores Citrix y controladores de dominio y exfiltraron alrededor de 2,8 GB de datos antes de ser desalojados. El hecho de que un bombardeo rápido haya funcionado en contra de una empresa como Cisco, que está lejos de tener una postura de seguridad débil, pone de relieve cuán peligroso y efectivo se ha vuelto el ataque.

¿Por qué impulsar la MFA no elimina el riesgo?

El problema con MFA basado en push es que a los usuarios se les pide que aprueben o rechacen un inicio de sesión con muy poco para continuar. No hay una indicación clara de dónde se originó la solicitud, qué dispositivo se está utilizando o si el usuario inició el intento de inicio de sesión. De forma aislada, eso podría ser manejable. Pero cuando las indicaciones comienzan a llegar repetidamente, es fácil asumir que algo está fallando en lugar de reconocerlo como un ataque potencial.

Si esto se combina con una llamada telefónica oportuna de alguien que se hace pasar por soporte de TI, la situación se vuelve aún más difícil de evaluar. En ese punto, el usuario no actúa descuidadamente, sino que responde a un escenario diseñado para parecer rutinario y legítimo, utilizando las credenciales que el atacante ya tiene.

Tres formas en que las organizaciones pueden evitar bombardeos rápidos

1. Utilice factores MFA resistentes a la fatiga y al phishing

Las notificaciones push son la forma común más débil de MFA. Resistente al phishing Es más difícil abusar de factores como las claves de seguridad FIDO2, tokens de hardware como YubiKey o códigos de coincidencia de números de aplicaciones de autenticación.

Acceso seguro a Specops admite más de 15 proveedores de identidad e incluye estas opciones resistentes a la fatiga para el inicio de sesión de Windows, RDP y conexiones VPN, para que las organizaciones puedan retirar MFA de solo inserción para puntos de acceso de alto riesgo.

Acceso seguro a Specops

2. Bloquee las contraseñas comprometidas en la fuente

El bombardeo rápido sólo es posible cuando el atacante ya tiene una contraseña válida. Escanear Active Directory (AD) continuamente contra una base de datos activa de contraseñas violadas y forzar un reinicio cuando aparece una coincidencia elimina el combustible para el ataque. Confiar en las políticas de contraseñas predeterminadas de AD no detectará contraseñas reutilizadas, incrementales o violadas. Si no sabes dónde te encuentras hoy, Auditor de contraseñas de Specops es un análisis gratuito de solo lectura de su AD que detecta vulnerabilidades como contraseñas comprometidas o cuentas de administrador inactivas.

Auditor de contraseñas de Specops

3. Agregue señales de riesgo al inicio de sesión.

Las políticas de acceso condicional que tienen en cuenta la geografía, la posición del dispositivo y los tiempos de inicio de sesión pueden bloquear o intensificar la autenticación antes de que se envíe un mensaje al teléfono del usuario. Esto reduce la dependencia únicamente del comportamiento del usuario e introduce un contexto en tiempo real para detener los inicios de sesión sospechosos antes de que se conviertan en un compromiso exitoso de la cuenta.

El MFA sigue siendo importante

El rápido bombardeo del MFA no es una razón para alejarse del MFA, pero sí resalta dónde algunos factores fallan. Cuando las solicitudes de aprobación pueden activarse repetidamente sin un contexto significativo, resulta más fácil influir en el control de lo previsto.

Si el impulso sigue siendo su segundo factor predeterminado, vale la pena reconsiderar esa decisión. Los métodos de coincidencia de números o resistentes al phishing fortalecen el método MFA en sí, mientras que el escaneo en busca de contraseñas comprometidas limita el riesgo de que los atacantes posean el primer paso de autenticación. Si está buscando evolucionar la seguridad de su identidad con una MFA más sólida, hablar con especops.

El Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) ha emitido nuevas directrices que exigen a las organizaciones parchear las vulnerabilidades de seguridad críticas en los sistemas expuestos a Internet dentro de las 12 horas posteriores a su señalización cuando sean «factibles» para protegerse contra amenazas potenciales derivadas del abuso de herramientas de inteligencia artificial (IA) y modelos de lenguaje grande (LLM) por parte de los actores de amenazas para automatizar el descubrimiento y la explotación de vulnerabilidades, y mejorar la escala y velocidad de los ataques cibernéticos.

«La ciberexplotación asistida por IA reduce el tiempo necesario para que los adversarios identifiquen, utilicen como armas y exploten vulnerabilidades, servicios expuestos, identidades débiles, API inseguras y sistemas mal configurados», CERT-In dicho en un plan de 38 páginas publicado el lunes.

«A medida que las organizaciones se vuelven cada vez más dependientes de la infraestructura digital interconectada, los ecosistemas de nube, las cadenas de suministro de software, las tecnologías operativas y las plataformas habilitadas para IA, el impacto potencial de las ciberamenazas habilitadas por IA continúa aumentando en todos los sectores».

Dado que los actores de amenazas comienzan a depender cada vez más de la IA para una amplia gama de tareas, incluido el descubrimiento de superficies de ataque, el análisis de exploits, contenido de phishing convincente e incluso la generación de malware, pueden comprimir significativamente los cronogramas de preparación de ataques y eludir los controles de seguridad tradicionales.

Además, los sistemas habilitados para IA pueden convertirse en blanco de ataques maliciosos a través de inyecciones rápidas, vulnerabilidades de fuga de datos, técnicas de jailbreak, manipulación de modelos, envenenamiento de datos de entrenamiento, robo de modelos y compromisos de la canalización de orquestación, socavando efectivamente su confidencialidad e integridad.

CERT-In ha advertido que las organizaciones deben esperar que los plazos de explotación colapsen significativamente y que los ataques se vuelvan autónomos, lo que requiere la adopción de mayores medidas de ciberseguridad que impliquen una evaluación continua de las amenazas, una reducción proactiva de la exposición y una preparación operativa.

Algunos de los principios defensivos descritos por la agencia de ciberseguridad para reducir la exposición y responder mejor a las ciberamenazas asistidas por IA se enumeran a continuación:

• Asuma la infracción y prepárese para una rápida detección, contención y recuperación de escenarios comprometidos.
• Adopte un enfoque de Confianza Cero imponiendo una verificación continua y un acceso con privilegios mínimos.
• Implemente una estrategia de defensa en profundidad con controles en capas en toda la infraestructura para eliminar puntos únicos de falla y minimizar el impacto general de una infracción exitosa.
• Supervise y reduzca la exposición a vulnerabilidades de seguridad.
• Incorpore un paradigma de seguridad por diseño en sistemas, aplicaciones y flujos de trabajo de IA.
• Mantener la continuidad operativa durante incidentes cibernéticos y escenarios de interrupción.
• Proteja los datos confidenciales y operativamente críticos durante todo su ciclo de vida.
• Reduzca los riesgos de la cadena de suministro de software que surgen del software de terceros, los modelos de IA y las dependencias a través de SBOM, validación de procedencia y evaluaciones.
• Pruebe la eficacia de la seguridad frente a amenazas en evolución mediante equipos rojos, evaluaciones de vulnerabilidad, pruebas de penetración y auditorías independientes.
• Priorice los controles en función de la criticidad operativa y la exposición a amenazas.
• Establecer mecanismos formales de gobernanza con respecto al uso de sistemas de IA.
• Mantenga la visibilidad de los sistemas de IA, las integraciones y el comportamiento operativo.

«Las organizaciones deben implementar controles técnicos en capas, basados ​​en riesgos y continuamente validados para reducir la exposición a las ciberamenazas asistidas por IA», dijo CERT-In. «Los controles deben priorizar la protección de los sistemas conectados a Internet, las aplicaciones comerciales críticas, las identidades, los entornos de nube, las API, los datos confidenciales, los sistemas habilitados para IA y la infraestructura operativa».

La agencia también insta a las organizaciones a adoptar «prácticas continuas de administración de parches y vulnerabilidades basadas en riesgos» para reducir la exposición que surge de fallas de seguridad, configuraciones incorrectas, API inseguras, servicios de acceso público e identidades débiles. Con ese fin, las vulnerabilidades explotadas conocidas que afectan a los sistemas críticos y conectados a Internet deben remediarse en un plazo de 12 horas, cuando corresponda.

Otros tiempos de remediación basados ​​en riesgos son los siguientes:

• Vulnerabilidades críticas expuestas externamente: dentro de 1 día
• Vulnerabilidades explotadas conocidas que afectan a los sistemas internos: dentro de 1 día, a menos que se implementen y documenten otras mitigaciones
• Vulnerabilidades internas críticas que afectan a sistemas de alto valor: en 3 días
• Vulnerabilidades de alta gravedad: dentro de 5 días según la priorización de riesgos

En escenarios en los que no hay parches disponibles de inmediato, se recomienda implementar mitigaciones temporales como aislamiento, restricción de acceso, protección WAF/API, monitoreo mejorado o desactivación de funciones hasta que se publique la solución.

«Dada la naturaleza en rápida evolución de las amenazas cibernéticas asistidas por IA, las organizaciones deben reevaluar continuamente la exposición, validar los controles de seguridad, fortalecer las capacidades de resiliencia y mejorar la preparación operativa a través de auditorías, monitoreo, pruebas y gobernanza coordinada de la ciberseguridad continuas», dijo CERT-In.

El modelo llega un mes después del CERT-In liberado una advertencia sobre las crecientes capacidades cibernéticas de los modelos fronterizos de IA de Anthropic y OpenAI, indicando cómo su «naturaleza de doble uso» podría «reducir la barrera de entrada para los ciberactores maliciosos y aprovecharse para acelerar la ejecución de ataques, automatizar los flujos de trabajo de explotación y escalar las campañas cibernéticas».

«Seguir el ritmo de los avances cibernéticos impulsados ​​por la IA es fundamental para mantener la resiliencia cibernética», añadió. «Los controles básicos de ciberseguridad siguen siendo críticos y deben aplicarse rigurosamente».

El actor de amenazas patrocinado por el estado iraní conocido como Nimbus Manticore (también conocido como Screening Serpens y UNC1549) ha sido atribuido a una nueva campaña que utiliza señuelos que se hacen pasar por organizaciones en los sectores de aviación y software en los EE. UU., Europa y Medio Oriente luego de la campaña militar conjunta entre EE. UU. e Israel contra el país a fines de febrero de 2026.

La actividad, además de adoptar técnicas no documentadas previamente y capacidades mejoradas, se caracteriza por el uso de una nueva puerta trasera con nombre en código MiniFast (también conocido como MiniUpdate) que parece haber sido desarrollada con la ayuda de inteligencia artificial (IA), Check Point. dicho en un análisis publicado la semana pasada.

Afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), Nimbus Manticore es mejor conocido por apuntar a los sectores de defensa, aviación y telecomunicaciones utilizando señuelos de phishing con temas profesionales. Estas campañas también han recibido el nombre en código de Trabajo de ensueño iraní, debido a similitudes tácticas con la Operación Trabajo de ensueño orquestada por piratas informáticos norcoreanos.

Las cadenas de ataques recientes vinculadas al actor de amenazas han sido testigos de un cambio en el oficio, como lo demuestra el uso del secuestro de AppDomain para entregar MiniJunk en febrero de 2026, seguido del despliegue de la puerta trasera MiniFast en marzo y la dependencia del envenenamiento de SEO para distribuir una versión troyanizada del software SQL Developer de Oracle en abril.

En la primera campaña observada antes del inicio de la guerra, los empleados de los sectores de software y aviación en Arabia Saudita y Australia fueron atacados con oportunidades profesionales falsas, engañándolos para que descargaran un archivo ZIP alojado en OnlyOffice. El lanzamiento de un ejecutable benigno dentro del archivo ZIP aprovechó una técnica conocida como secuestro de AppDomain para lanzar una DLL MiniJunk maliciosa.

Se ha descubierto que la campaña de marzo de 2026 siguió más o menos el mismo enfoque, solo que esta vez el actor de amenazas también utilizó un instalador de Zoom troyanizado como parte de la secuencia de ataque para lanzar el binario que luego aprovecha el secuestro de AppDomain para implementar MiniFast. Se sospecha que la actividad fue parte de una campaña de phishing que utilizaba invitaciones a reuniones falsas.

Hay indicios de que Nimbus Manticore utilizó el desarrollo asistido por IA para ayudar a crear MiniFast. Esto incluye un manejo excesivo de errores y lógica de programación defensiva, patrones repetitivos de nomenclatura de métodos y funciones con identificadores descriptivos o detallados, varias cadenas detalladas de informes de errores y mensajes de estado de estilo de depuración, y organización de código modular a pesar de la simplicidad general del malware.

Check Point dijo que también observó el mes pasado un sitio web falso que se hacía pasar por una página de descarga de SQL Developer, engañando a los visitantes que acceden a la página mediante envenenamiento de SEO para descargar un instalador armado que ofrece MiniFast. Este desarrollo marca la primera vez que el actor de amenazas recurre a este enfoque para la entrega de malware.

«Este método de entrega de malware difiere de las cadenas de infección habituales de Nimbus Manticore, que normalmente se basan en señuelos de phishing con temas profesionales», dijo la compañía. «En esta campaña, el actor abusa de las técnicas de optimización de motores de búsqueda registrando decenas de dominios que enlazan con el dominio falso, getsqldeveloper.[.]com. Probablemente se trate de un intento de aumentar la visibilidad del sitio a través de señales de reputación basadas en enlaces».

MiniFast se describe como una puerta trasera con todas las funciones diseñada para la persistencia a largo plazo y la ejecución remota de comandos. Se comunica con un servidor remoto a través de solicitudes HTTP para recuperar tareas, cargar resultados de ejecución de comandos, filtrar archivos y descargar carga útil adicional del servidor. Antes de ingresar al ciclo de tareas, el malware también transmite información básica del sistema al operador.

Los comandos admitidos por la puerta trasera son variados y permiten operaciones de archivos, listados de directorios, enumeración de procesos, ejecución de comandos a través de «cmd.exe», terminación de procesos usando su PID, carga de DLL, creación de archivos ZIP, persistencia a través de tareas programadas y escalada de privilegios a través del comando «runas».

La puerta trasera también admite la capacidad de actualizar el intervalo de sondeo y el valor de fluctuación aplicado a los intervalos de baliza para aleatorizar la frecuencia con la que se recuperan los comandos del servidor.

«Lo que destaca es que las ambiciones de este grupo se extendieron mucho más allá del espionaje dirigido en el Medio Oriente», dijo Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point Research, en un comunicado compartido con The Hacker News. «Encontramos fuertes indicadores de que Nimbus Manticore utilizaba herramientas de inteligencia artificial para escribir malware más rápido».

«Construyeron e implementaron una nueva puerta trasera en medio del conflicto mientras las operaciones estaban en marcha activamente. También rastreamos una tercera ola de campaña utilizando un manual completamente diferente: envenenamiento de SEO».

«Crearon una página de descarga de SQL Developer falsa y la subieron a la cima de Bing y DuckDuckGo: sin phishing, sin ofertas de trabajo falsas, simplemente esperando a que un desarrollador busque software común. Y cuando mapeas las tres oleadas juntas, de febrero a abril, no hubo pausa. El conflicto no los ralentizó; en realidad, los aceleró».

la revelación coincide con un informe de la Unidad 42 de Palo Alto Networks sobre los ataques del actor de amenazas a entidades en los EE. UU., Israel, los Emiratos Árabes Unidos y el Medio Oriente con MiniUpdate y una versión actualizada de MiniJunk llamada MiniJunk V2. Entre los objetivos del elaborado plan de espionaje se encontraba una empresa estadounidense de petróleo y gas.

Los hallazgos muestran que los actores de amenazas iraníes están siguiendo una página del manual de Corea del Norte para infiltrarse en organizaciones de interés y perseguir a sus empleados con oportunidades laborales lucrativas.

«El grupo ha aumentado sus operaciones desde el conflicto regional que comenzó en febrero de 2026, desplegando dos familias de variantes de RAT en entidades de hasta cinco países diferentes», dijeron los investigadores de la Unidad 42.

«Una característica definitoria de estas campañas recientes es la profunda personalización de los señuelos de los atacantes. Al aprovechar tácticas de ingeniería social personalizadas, incluidas solicitudes de trabajo falsas e invitaciones a reuniones de videoconferencias falsas, los atacantes atraen a las víctimas para que inicien la cadena de infección, exponiendo así a sus organizaciones a una mayor explotación».

El acontecimiento también se produce cuando se sospecha que piratas informáticos iraníes han llevado a cabo una serie de ataques dirigidos a lectores de tanques en estaciones de servicio en varios estados de EE. UU. Si bien los incidentes no causaron daños físicos o daños, han generado preocupaciones de que dicho acceso podría causar fugas de gas que no se detecten o crear otros riesgos para la infraestructura crítica.

«Los piratas informáticos responsables han explotado los sistemas automáticos de medición de tanques (ATG) que estaban en línea y desprotegidos por contraseñas, lo que les permitió en algunos casos modificar las lecturas de los tanques, pero no los niveles reales de combustible en ellos», CNN reportadocitando fuentes anónimas.

Un fallo de seguridad de alta gravedad ya parcheado que afecta al conocimiento digital Entregar conocimientoun sistema de gestión de aprendizaje (LMS) popular en Japón, se aprovechó como día cero para entregar el shell web de Godzilla y, en última instancia, facilitar el despliegue de Cobalt Strike Beacon.

La vulnerabilidad, rastreada como CVE-2026-5426 (puntuación CVSS: 7,5), surge del uso de claves de máquina ASP.NET codificadas, lo que lleva a la ejecución remota de código no autenticado a través de un ataque de deserialización ViewState. Microsoft documentó por primera vez el abuso de claves de máquina ASP.NET divulgadas públicamente por parte de actores de amenazas en febrero de 2025.

«Un actor de amenazas desconocido aprovechó este acceso para inyectar código malicioso en la plataforma LMS, con el objetivo de infectar a los usuarios que visitan el sitio», Google Mandiant y Google Threat Intelligence Group (GTIG) dicho.

La falla de seguridad afectó las implementaciones de Digital Knowledge KnowledgeDeliver antes del 24 de febrero de 2026. Vale la pena señalar que vulnerabilidades similares en Sitecore Experience Manager (XM) y Gladinet CentreStack y TrioFox también han sido explotadas por actores de amenazas.

El problema tiene su origen en el hecho de que las instalaciones de KnowledgeDeliver se basaban en un archivo web.config estandarizado proporcionado por el proveedor que contenía valores machineKey codificados utilizados por el marco ASP.NET para cifrar y firmar datos, incluidas las cargas útiles de ViewState.

Como resultado, un actor de amenazas que logre obtener las claves de una implementación podría aprovecharlas para comprometer otras instancias de KnowledgeDeliver conectadas a Internet.

«ASP.NET ViewState persiste el estado de la página a través de las devoluciones de datos», dijo Google. «Cuando se conoce la clave de la máquina, un actor de amenazas puede crear una carga útil ViewState maliciosa. Al enviar esta carga útil en una solicitud HTTP (a través del parámetro __VIEWSTATE), el actor de amenazas puede hacer que el servidor la deserialice».

En la actividad observada en relación con CVE-2026-5426, se descubrió que los atacantes implementaban el shell web Godzilla (también conocido como BLUEBEAM), lo que les otorga la capacidad de ejecutar comandos o soltar cargas útiles adicionales.

Entre los comandos ejecutados se encontraban instrucciones para aumentar su control sobre el sistema de archivos del servidor web otorgando a «Todos» acceso completo al directorio de la aplicación web. Posteriormente, el actor de amenazas manipuló un archivo JavaScript de la aplicación para incluir un código que mostraba una alerta de seguridad falsa, instando a los usuarios a instalar un «complemento de autenticación de seguridad».

Al mismo tiempo, las modificaciones no autorizadas hicieron posible cargar sigilosamente un script malicioso alojado en un dominio controlado por un atacante. El script, a su vez, convenció a los usuarios para que descargaran un instalador falso y finalmente infectó las máquinas con Cobalt Strike Beacon.

«La carga útil se cifró utilizando una clave que utilizaba el nombre de la organización comprometida, lo que indicaba que el actor de la amenaza preparó esta carga útil específicamente para la organización objetivo», dijo Google.

«La explotación de KnowledgeDeliver pone de relieve los graves riesgos de utilizar secretos compartidos en plantillas de implementación. Una única clave filtrada puede comprometer todo un ecosistema de instalaciones. Al implementar secretos únicos y una sólida supervisión de puntos finales, las organizaciones pueden defenderse contra estos ataques de deserialización».