Se considera que un corredor de acceso inicial (IAB) de habla rusa impulsado por ganancias financieras está detrás de una operación de recolección de credenciales a gran escala conocida como FortiBleed que se ha dirigido a más de 430.000 firewalls FortiGate en todo el mundo.

La campaña, activa desde febrero de 2026, implica recopilar listas de credenciales, buscar servicios expuestos, forzar sistemas accesibles por fuerza bruta e implementar rastreadores personalizados en firewalls comprometidos.

«Una vez implementados, estos rastreadores capturan texto sin cifrar y credenciales hash del tráfico que pasa a través de dispositivos comprometidos», SOCRadar dicho [PDF] en un nuevo informe. «Luego, los actores descifran, validan y reutilizan las credenciales en dominios de Active Directory y otros servicios expuestos».

Central para la operación es una herramienta basada en Golang llamada FortigateSniffer que aprovecha el comando de diagnóstico integrado de FortiOS: diagnosticar el paquete de rastreo para capturar pasivamente el tráfico de autenticación de los dispositivos infectados. La herramienta está diseñada para monitorear el tráfico a través de 24 protocolos, analizar datos de autenticación y extraer las credenciales.

Se sospecha que los actores de amenazas pueden haber buscado la ayuda de una plataforma de seguridad ofensiva de código abierto nativa de IA denominada ciberataque para ayudar con algunas «partes del flujo de trabajo». Curiosamente, se utilizó otro marco de código abierto llamado CyberStrikeAI en relación con otra campaña de escaneo masivo automatizado dirigida a dispositivos FortiGate que Amazon Threat Intelligence expuso a principios de este año.

«La campaña muestra un fuerte enfoque en las pequeñas y medianas empresas (PYMES) con menos de 200 empleados», explicó SOCRadar. «El actor apunta a múltiples sectores y regiones, con notable énfasis en los Estados Unidos y la India. El sector de servicios de TI parece ser un objetivo clave. Esta elección de orientación probablemente ayude al actor a maximizar el acceso posterior, ya que los proveedores de servicios comprometidos pueden crear rutas de acceso a los entornos de los clientes».

Quizás el hallazgo más interesante es que FortiBleed parece ser parte de una operación de acceso inicial más amplia y de múltiples proveedores que está orquestada no solo para apuntar a dispositivos Fortinet, sino también para violar Synology NAS, firewalls de Sophos, portales RDWeb, Citrix SSL-VPN y servidores MS-SQL utilizando fuerza bruta automatizada desde el 28 de febrero de 2026.

En total, se estima que los atacantes lanzaron no menos de 659 canales de recolección de credenciales el 31 de mayo y el 15 de junio de 2026, lo que resultó en la identificación de más de 110 millones de credenciales. Esto incluyó –

• 14,8 millones de credenciales del Servicio de autenticación remota telefónica de usuario (RADIUS)
• 924.000 hashes NTLM
• 130.000 hash Kerberos
• 89 millones de tokens de autenticación MySQL

La campaña FortiBleed se desarrolla en cinco etapas:

• Realice un reconocimiento generalizado utilizando herramientas como Masscan y Shodan para identificar firewalls FortiGate vulnerables orientados a Internet, seguido de una utilidad personalizada denominada FortiProbe-fast y GeoSplit para filtrar los sistemas FortiGate y agruparlos por país, respectivamente.
• Comprometa los dispositivos con un verificador de credenciales llamado «forticheck» que apunta específicamente al panel administrativo de FortiGate y al portal SSL-VPN, además de usar herramientas para obtener acceso SSH administrativo mediante ataques de diccionario y relleno de credenciales.
• Al establecer el acceso a través de SSH, FortigateSniffer se implementa para interceptar pasivamente el tráfico de autenticación a través de 24 protocolos (por ejemplo, TACACS+, Kerberos, RPC, SMB, LDAP, SMTP, FTP, Telnet, RDP, WinRM, MS-SQL, MySQL, PostgreSQL y RADIUS) utilizando comandos de diagnóstico nativos de FortiOS, lo que permite recopilar credenciales de texto sin cifrar y hashes de contraseñas.
• Los hashes de contraseñas se descifran usando Hashmat y Hashtopolis, y son orquestados por un bot de Telegram llamado HASHBOT, después de lo cual se usan para el movimiento lateral y la enumeración de Active Directory.
• Los datos confidenciales de los recursos compartidos de la red se extraen mientras que las cookies de sesión robadas se utilizan para mantener un acceso persistente y autenticado.

«El grupo no trata a todos los objetivos por igual», dijo SOCRadar. «En cambio, los objetivos se clasifican según su valor económico antes de asignar los recursos de explotación».

Es más, el mecanismo de rastreo incluye un filtro de geocerca que restringe las operaciones a rangos de IP específicos, sin mencionar que limita la actividad entre las 7 am y las 6 pm, hora de Moscú. Según datos capturado Según SpyCloud, se dice que el ciclo de captura relacionado con FortiGate comenzó el 19 de mayo de 2026, y la infraestructura de descifrado de hash se instaló hacia finales de mes.

«La operación se ejecuta en ciclos de 300 minutos (cinco horas), con estado cada minuto», dijo Zenox. «En cada ciclo carga una lista de objetivos regionales […] y valida con 1000 subprocesos simultáneos, mostrando contadores de éxito, fracaso, tiempo de espera y advertencia. En los primeros ciclos, la tasa de validación exitosa rondaba el 90%.»

La compañía brasileña de ciberseguridad también dijo que encontró ciertos pares de nombre de usuario y contraseña repetidos en miles de direcciones IP distintas, lo que plantea la posibilidad de que el atacante haya colocado las cuentas como un punto de entrada clandestino.

El desarrollo surge como una cuenta en ruso llamada «Papá Noel» tiene anunciado acceso a miles de dispositivos Fortinet por un precio inicial de 30.000 dólares, antes de aumentarlo a 60.000 dólares horas después. Sin embargo, no está claro si esto tiene alguna conexión con la exposición a FortiBleed.

«El grupo de actores de amenazas detrás de ‘FortiBleed’ no solo apuntaba a las VPN FortiGate», dijo SpyCloud. «En realidad, estaban apuntando a una variedad de diferentes dispositivos conectados a Internet con una cadena de ataque estándar de rociar y rezar que se basa principalmente en escaneos masivos e inicios de sesión por fuerza bruta».

El Departamento de Justicia dijo el martes que confiscó infraestructura vinculada a lo que los funcionarios llamaron uno de los mercados criminales más prolíficos del mundo, utilizado para cometer estafas cibernéticas y otros delitos.

La cuenta de computación en la nube incautada alojaba la infraestructura backend utilizada por las subsidiarias del Grupo Huione, un conglomerado corporativo con sede en Camboya.

Al mismo tiempo, el Departamento del Tesoro anunció nuevas sanciones y más contra Huione y empresas afiliadas. Las acciones de la administración del martes se suman a los esfuerzos de interrupción del otoño pasado contra partes de la misma red.

La administración Trump ha puso énfasis sobre la lucha contra la ciberdelincuencia transnacional y otros tipos de estafas y fraudes.

La cuenta de computación en la nube incautada se utilizó para operar la Garantía Huione, también conocida como Garantía Haowang, según el anuncio del Departamento de Justicia del martes.

«El Grupo Huione utilizó esta cuenta de computación en la nube como parte de una columna vertebral tecnológica que permitió transferir, mover y ocultar miles de millones de dólares en ganancias de fraude; gran parte de ellos robados a través de centros de estafa del sudeste asiático». dijo Tysen Duvafiscal general adjunto de la División Penal del Departamento de Justicia. «Las incautaciones de estos mercados son fundamentales en la lucha contra el fraude que afecta a tantos estadounidenses y para detener las vías de lavado de ganancias criminales».

Los funcionarios estadounidenses alegan que Huione Guarantee operaba canales de Telegram con discusiones sobre bienes y servicios ilícitos, incluida la venta de tarjetas de crédito robadas e información personal confidencial, robos habilitados con malware, esquemas de trata de personas y el lavado de dinero proveniente de estafas románticas y de inversión. Huione Guarantee supuestamente también ofrecía servicios de depósito en garantía para delincuentes, como blanqueadores de dinero en criptomonedas.

El Tesoro tomó dos medidas el martes para aprovechar su decisión de octubre de Sacar al Grupo Huione del sistema financiero estadounidense. Una era incorporar H-Pay Service a su gobierno para Huione Group como entidad sucesora. Y sancionó a nueve personas y 26 entidades vinculadas al Grupo Prince.

«Huione Group sirvió como un nodo crítico para el lavado de ganancias de atracos cibernéticos y estafas de inversión en moneda virtual y fue utilizado por Prince Group para transferir y consolidar activos derivados de estafas», afirma el anuncio del Tesoro.

También en octubre pasado, el Departamento de Justicia dijo que había confiscado bitcoins valorados en 15 mil millones de dólares al presidente del Grupo Prince, Chen Zhi, y lo acusó de presuntos delitos relacionados con criptomonedas y otros esquemas.

Una supuesta figura clave en la red criminal de Chen ha sido arrestado en Camboya y extraditado a China.

El presidente Trump firmó un orden ejecutiva el 22 de junio establecer plazos estrictos para que las agencias federales trasladen activos de alto valor y sistemas de alto impacto a la criptografía poscuántica.

El establecimiento clave debe mudarse antes del 31 de diciembre de 2030; firmas digitales antes del 31 de diciembre de 2031. La EO 14409 deja a los sistemas de seguridad nacionales en un camino separado.

Los plazos son importantes debido a una amenaza que hoy en día no necesita una computadora cuántica que funcione. Los adversarios pueden recopilar datos estadounidenses cifrados ahora y descifrarlos más tarde; una vez que exista una máquina cuántica a gran escala, el riesgo se conoce como «cosechar ahora, descifrar después».

La orden describe ese riesgo directamente y adelanta el cronograma de PQC del gobierno de cuatro a cinco años. El objetivo anterior para todo el gobierno, establecido en el Memorando de Seguridad Nacional 10 de 2022, se extendía hasta 2035.

Los dos plazos se alinean con los estándares NIST finalizado en agosto de 2024. El establecimiento de claves utiliza FIPS 203, el algoritmo ML-KEM anteriormente llamado CRYSTALS-Kyber.

Las firmas digitales utilizan FIPS 204 y 205, ML-DSA y SLH-DSA. Las normas están listas desde hace casi dos años. El orden es lo que los convierte en un cronograma con consecuencias.

Qué tienen que hacer las agencias y cuándo

El reloj a corto plazo empieza a acelerarse. En un plazo de 30 días, cada jefe de agencia nombra un líder de migración de PQC que reporta al CIO de la agencia y es propietario del inventario criptográfico y del plan de migración.

En un plazo de 90 días, la OMB emite una guía que exige a las agencias que revisen sus inventarios de activos de alto valor y sistemas de alto impacto, planifiquen la migración y presenten ese plan.

El NIST ejecuta una migración piloto en un subconjunto de sus propios sistemas, que finalizará el 31 de diciembre de 2027.

La orden llega más allá de las redes federales. El Consejo Regulador de Adquisiciones Federales tiene 180 días para proponer una regla que otorgue a los «contratistas cubiertos» hasta el 31 de diciembre de 2030 para cumplir con los FIPS del NIST, incluidos los algoritmos PQC.

Una segunda regla propuesta, prevista para dentro de 270 días, incluiría las fallas criptográficas en los programas de divulgación de vulnerabilidades de los contratistas, incluidas pruebas de cifrado faltante y de algoritmos que no son FIPS. A las agencias de gestión de riesgos del sector y a CISA se les pide que ayuden a los operadores de infraestructura crítica a elaborar sus propios planes de migración, aunque esa parte es asistencia, no un mandato.

Luego está el ángulo del inventario. En un plazo de 270 días, CISA y NIST publicarán los elementos mínimos para una lista de materiales criptográficos, una lista legible por máquina de los activos criptográficos en una pieza de hardware o software.

Ésa es la base de la criptoagilidad: no se pueden intercambiar algoritmos débiles en una fecha límite si no se sabe dónde están.

La lectura practica

Para los equipos federales y los proveedores que les venden, el trabajo es el inventario y comienza ahora. Encuentre todos los lugares donde se produce el intercambio de claves y las firmas, marque lo que no es NIST PQC y secuencia el intercambio con las fechas 2030 y 2031.

Los contratistas deben esperar la cláusula FAR y una línea de cumplimiento para 2030 una vez que entre en vigencia la regla. Los estándares existen. Los plazos ya existen. La tarea de control para casi todos es saber qué criptografía se está ejecutando y dónde.

Una orden complementaria firmada el mismo día, «Marcando el comienzo de la próxima frontera de la innovación cuántica» empuja el otro lado de la ecuación: construir las computadoras cuánticas que hacen que la migración sea urgente en primer lugar.

Los dientes todavía se están escribiendo. La guía de 90 días de la OMB y las reglas FAR decidirán si 2030 y 2031 se convierten en una verdadera presión de adquisiciones o simplemente en otro objetivo federal de migración que se desvanece una vez que comienza el trabajo duro.

La empresa de seguridad AIR creó una habilidad de agente de IA falsa, la impulsó a través de un mercado de habilidades popular y un anuncio de Instagram, y dice que llegó a aproximadamente 26.000 agentes, incluidos algunos en cuentas corporativas.

Todos los escáneres de seguridad con los que la empresa lo probó lo marcaron como seguro. La carga útil era inofensiva por diseño: recopilaba la dirección de correo electrónico del usuario y no hacía nada más.

El objetivo era demostrar que ninguna de las señales en las que la gente se apoya para confiar en una habilidad la detecta: ni los escáneres, ni las estrellas de GitHub, ni la reputación del código abierto.

Una habilidad es un conjunto de instrucciones que un agente carga en su propio contexto y sigue aproximadamente con la autoridad de un mensaje de usuario. Esa confianza es todo el problema y, en primer lugar, es la razón por la que existen herramientas de exploración de habilidades.

La habilidad, llamada página de inicio de marcaafirmó haber creado una página de destino utilizando la herramienta de diseño Stitch de Google, dirigida directamente a usuarios no técnicos.

Para que pareciera creíble, AIR buscó dos señales de confianza: estrellas de GitHub y un veredicto limpio del escáner. Para las estrellas, abrió una solicitud de extracción a un repositorio de mercado de habilidades con alrededor de 36.000 estrellas y 156 habilidades.

La solicitud de extracción se fusionó después de unos días, por lo que la habilidad heredó el recuento del repositorio. Luego publicó un anuncio en Instagram dirigido a especialistas en marketing, vendedores y diseñadores, quienes lo instalaron y lo pusieron a funcionar.

¿Por qué los escáneres no lo detectaron?

Los escáneres probados por AIR analizan el paquete que usted les entrega: el SKILL.md y los archivos enviados con él. Eso es Cisco, NVIDIAy los que están conectados a skills.sh.

La habilidad del AIRE no llevaba instrucciones de configuración propias. Le dijo al agente que instalara el «Stitch SDK» siguiendo la documentación en un enlace externo, stitch-design.ai, un dominio que controla AIR, no Google (el Stitch real vive en stitch.withgoogle.com).

Al principio, el enlace conducía a los documentos originales de Stitch, por lo que los escáneres, al ver un paquete limpio que apuntaba a una página de configuración plausible, lo borraron. La página que el agente realmente buscaría y seguiría estaba fuera del escaneo.

Una vez que la habilidad se instaló ampliamente, AIR cambió la página detrás de ese enlace. La nueva versión le indicó al agente que descargara y ejecutara un script.

En la demostración, solo envió por correo la dirección del usuario a AIR, que es como la empresa contó los agentes a los que contactó. Un operador real podría haber utilizado ese punto de apoyo para leer archivos, mover datos o acceder a sistemas internos, limitado únicamente por lo que el agente podía alcanzar.

AIR no es el primero en demostrar esto. Tres semanas antes, Rastro de bits evitó el detector de habilidades maliciosas de ClawHub, el escáner de Cisco y los tres escáneres conectados a skills.sh. Su conclusión fue contundente: un escáner verifica un paquete arreglado, mientras que un atacante puede seguir modificando la carga útil hasta que pase.

Las campañas reales han utilizado el mismo truco durante meses, manteniendo limpia la habilidad enviada y alojando la carga útil en un sitio que el agente solo recupera durante la instalación.

El problema es estructural: el escaneo se realiza una vez, pero la página a la que apunta una habilidad al agente se puede reescribir en cualquier momento posterior. propio del antrópico documentos Ya advertimos que las habilidades que obtienen URL externas son riesgosas exactamente por esta razón, ya que el contenido puede cambiar después de que se examina la habilidad.

Separado investigación este año Los escáneres encontrados a menudo no están de acuerdo, porque cada uno juzga una habilidad de forma aislada, ciegos a sus vínculos externos y a los cambios después de la revisión.

que hacer

La lectura para los defensores es la misma en la que siguen aterrizando los investigadores, ahora con un ejemplo más nítido detrás. Trate las habilidades como software, no como texto. Examina a qué apunta una habilidad, no solo qué se incluye en su interior.

La mayoría de estos complementos se instalaron sin revisión, por lo que el primer trabajo es encontrar lo que ya se está ejecutando. Enrute nuevas habilidades a través de una única fuente que controle y vuelva a verificarlas cuando algo cambie, porque un resultado limpio en la instalación no permanece limpio si la habilidad llama a un enlace que alguien más puede editar.

Versiones de pines. Mantenga a los agentes con el menor privilegio. Suponga que cualquier instrucción externa que un agente obtenga se ejecuta con el acceso del agente.

Las cifras a escala provienen únicamente de AIR y merecen una lectura escéptica. La empresa está lanzando un mercado de habilidades gestionadas y cierra el artículo, presentándolo, de modo que la cifra de 26.000, el detalle de la cuenta corporativa y la afirmación de que podría haber tomado el control total de cada agente son propiedad de la empresa y no están confirmadas de forma independiente.

Lo que se sostiene es el método. Los escáneres nombrados realmente juzgan solo el paquete enviado, el punto ciego del enlace externo es real y se ha demostrado de forma independiente, y las señales de confianza que AIR tomó prestadas, las estrellas y un escaneo limpio son exactamente las que el ecosistema todavía trata como prueba.

El experimento no expone un nuevo error sino que alinea cada señal de confianza débil en torno a las habilidades del agente en una sola ejecución: estrellas que se pueden tomar prestadas, un escaneo que lee una instantánea y un enlace que se puede reescribir después de que se borre la verificación.

Ya sea que la cifra real sea 26.000 o una fracción de ella, la brecha que atraviesa es una que los defensores aún no han cerrado.

GitHub está tomando medidas para fortalecer la seguridad de la cadena de suministro de software actualizando «acciones/pago«bloquear ataques de solicitud pwn que explotan el uso riesgoso del activador «pull_request_target flowflow» para ejecutar código malicioso con todos los privilegios del flujo de trabajo.

A partir del 18 de junio de 2026, la última versión de «actions/checkout», la acción oficial de GitHub para registrar un repositorio en el ejecutor del flujo de trabajo, rechaza los patrones de solicitud pwn comunes de forma predeterminada. Se espera que el cambio se respalde en todas las versiones principales actualmente compatibles el 16 de julio de 2026.

«Acciones/compra v7 se niega a recuperar el código de solicitud de extracción de bifurcación en pull_request_target y flujo de trabajo_ejecutar flujos de trabajo (este último solo cuando flujo de trabajo_run.event es un evento pull_request*)», agregado.

El rechazo se produce cuando la solicitud de extracción proviene de una bifurcación y se cumple cualquiera de los siguientes criterios, a menos que los autores del flujo de trabajo opten explícitamente por no participar estableciendo la opción «permitir-pr-pago-inseguro«marcar a «verdadero» en «acciones/pago» –

• repositorio: se resuelve en el repositorio de la solicitud de extracción de bifurcación
• ref: coincide con refs/pull/number/head o refs/pull/number/merge
• ref: se resuelve en el encabezado de una solicitud de extracción de bifurcación o en el compromiso de fusión SHA

El cambio tiene como objetivo prevenir la forma más común de solicitudes pwn en el ecosistema de Acciones. Como resultado, las «acciones/compra» fallarán para los «eventos pull_request_target» de bifurcaciones con entradas inseguras.

«Pull_request_target» es un activador de flujo de trabajo que se ejecuta automáticamente sin requerir aprobación manual cuando se abre o se vuelve a abrir una solicitud de extracción, o cuando se actualiza la rama principal de la solicitud de extracción. Es importante tener en cuenta que el evento se ejecuta en el contexto de la rama predeterminada del repositorio base, lo que potencialmente expone secretos y un GITHUB_TOKEN privilegiado con permisos de lectura y escritura.

«Ejecutar código que no es de confianza en el disparador pull_request_target puede provocar vulnerabilidades de seguridad», señala GitHub en su documentación. «Estas vulnerabilidades incluyen envenenamiento de caché y otorgar acceso no deseado para escribir privilegios o secretos».

El peligro surge cuando un «pull_request_target» se combina con «actions/checkout» para descargar y ejecutar código enviado por una bifurcación que no es de confianza. Si un mal actor envía una solicitud de extracción que contiene scripts maliciosos y el flujo de trabajo verifica y ejecuta el código, puede permitir que el atacante robe el GITHUB_TOKEN y otros secretos, lo que lleva a lo que llamado a ataque de solicitud pwn.

«Los flujos de trabajo activados por pull_request_target se ejecutan con el GITHUB_TOKEN, los secretos y el acceso a la caché de la rama predeterminada del repositorio base», dijo GitHub. «Verificar el encabezado de una solicitud de extracción no revisada desde una bifurcación dentro de uno de estos flujos de trabajo generalmente permite que el código controlado por el atacante se ejecute con todos los privilegios del flujo de trabajo».

En los últimos meses, una serie de ataques en cadena de software han convertido este comportamiento en un arma. El más grave de ellos fue el compromiso de múltiples paquetes asociados con el sistema de compilación Nx como parte de una campaña con nombre en código s1ngularity, así como la violación de PostHog, TanStack y el popular paquete Emacs, «kubernetes-el/kubernetes-el».

«Pull_request_target fue diseñado para una automatización confiable en torno a solicitudes de extracción, como etiquetar, comentar o aplicar metadatos de proyectos», dijo Socket. «Pero el paso de pago controla qué código realmente llega al espacio de trabajo del corredor. Si extrae el código de una solicitud de extracción bifurcada, el flujo de trabajo puede terminar ejecutando código controlado por el atacante con los privilegios del repositorio base».

Dicho esto, la subsidiaria propiedad de Microsoft enfatizó que las solicitudes pwn activadas a través de otros tipos de eventos además de pull_request_target (por ejemplo, issues_comment) o mediante otros medios, como git o GitHub CLI, están fuera del alcance de este cambio.

«Este cambio solo bloquea las comprobaciones del encabezado de solicitud de extracción de bifurcación y las confirmaciones de fusión», agregó. «No bloquea la extracción de otros repositorios que no son de confianza. Por ejemplo, configurar el repositorio: en un repositorio de terceros no relacionado no está bloqueado. La extracción y ejecución de cualquier código que no sea de confianza en un evento privilegiado sigue siendo un riesgo de solicitud de pwn que debe revisarse».

Para contrarrestar el riesgo que representa «pull_request_target», los desarrolladores están aconsejado Para evaluarlo y utilizarlo sólo cuando sea necesario, cambie a «solicitud_pull«Si el flujo de trabajo no requiere permisos elevados o acceso a secretos, restrinja los permisos otorgados a los flujos de trabajo y asegúrese de que la entrada controlada por el usuario no dé como resultado la ejecución de código que no sea de confianza.

«La protección en esta actualización solo cubre los pagos realizados a través de acciones/pago», dijo Socket. «Eso hace que esto sea una barrera de seguridad, no una solución completa para la seguridad de las Acciones. Los flujos de trabajo que se ejecutan con secretos, permisos de escritura, permisos de implementación o acceso de publicación OIDC aún necesitan una revisión cuidadosa».

Un hombre argelino conocido en línea como “SPOX” fue extraditado de España y acusado de dirigir una operación de delito cibernético en el mercado negro que, según los fiscales, defraudó a miles de víctimas y canalizó aproximadamente 900.000 dólares a través de una cuenta de criptomonedas durante un período de tres años.

Abdellah Belmili, de 26 años, hizo su comparecencia inicial el lunes en el Tribunal de Distrito de Estados Unidos para el Distrito Oeste de Nueva York en Buffalo. Se enfrenta a un cargo único de conspiración para cometer fraude bancario, que conlleva una pena máxima de 30 años de prisión.

Fue extraditado de España a principios de este mes.

Los investigadores federales dicen que Belmili supuestamente creó y administró al menos dos mercados ilícitos en línea, market0day.com y spoxy.us, que operaban de manera similar a las plataformas comerciales de comercio electrónico. Los mercados vendían credenciales financieras, kits de phishing, acceso comprometido al servidor de correo electrónico y otras herramientas utilizadas para llevar a cabo fraudes. Todas las transacciones en los sitios se realizaron en Bitcoin.

Según documentos judiciales, el FBI tuvo conocimiento de los mercados en septiembre de 2020 a través de una fuente confidencial. Los investigadores ya conocían al administrador del sitio como un prolífico creador de kits de phishing dirigidos a las principales instituciones financieras estadounidenses.

En 2020, agentes encubiertos del FBI utilizaron el mercado para comprar un kit de phishing diseñado para replicar la página de inicio de sesión de JPMorgan Chase y capturar la información personal de las víctimas. Los agentes también compraron acceso a un servidor de correo electrónico comprometido. Un tercer elemento (el acceso a un panel de control del sitio web) se pagó pero nunca se entregó, lo que provocó quejas de los clientes en el canal Telegram de Belmili.

Poco después de que surgieran esas quejas, Belmili anunció que cerraría market0day.com y redirigiría a los clientes a un nuevo sitio, spoxy.us, que describió como una “nueva tienda de SMS masivos”, que generalmente se refiere al phishing masivo a través de mensajes de texto.

El nuevo sitio utilizó la misma plantilla, combinación de colores y estructura de navegación que su predecesor y se registró utilizando la identidad robada de un residente de Texas de 77 años.

Los investigadores identificaron a Belmili mediante una combinación de investigación de código abierto, órdenes de registro y registros obtenidos de empresas financieras y de tecnología. Las primeras versiones del código de su kit de phishing contenían su nombre completo, «Dila Belmili», incrustado en la fuente junto con su identificador de Telegram y un enlace a los mercados. Las cuentas de Facebook vinculadas al alias “spox_coder” incluían “Dila Belmili (spox)” como nombre para mostrar, y los clientes habían publicado quejas sobre compras de kits de phishing directamente en su perfil.

Los registros obtenidos de Google mostraron que Belmili utilizó su cuenta de correo electrónico personal para buscar logotipos de instituciones financieras, herramientas de piratería y métodos para generar identidades y números de tarjetas de crédito falsos. La misma cuenta recibió aproximadamente 1.400 correos electrónicos que contenían información personal robada de las víctimas de kits de phishing activos dirigidos a American Express, Bank of America, Cash App, JP Morgan Chase, PayPal y Wells Fargo.

Los investigadores también descubrieron que Belmili había construido puertas traseras ocultas en los kits de phishing que vendió a otros delincuentes, lo que le permitió continuar recopilando datos de las víctimas incluso después de que los kits cambiaran de manos.

Los registros del intercambio de criptomonedas Binance mostraron aproximadamente $900,000 depositados en una cuenta registrada a nombre de Belmili entre enero de 2020 y enero de 2023. De esa cantidad, aproximadamente $760,000 se transfirieron a otras cuentas o se convirtieron en otras formas de criptomonedas, mientras que aproximadamente $41,000 se retiraron de cajeros automáticos.

En total, los investigadores identificaron aproximadamente 595 kits de phishing distintos creados por Belmili. El análisis de los datos de las víctimas exportados a páginas de Telegram y cuentas de correo electrónico vinculadas a la operación identificó aproximadamente 5.600 víctimas en los Estados Unidos e internacionalmente.

«Este acusado pensó que podía salirse con la suya defraudando a miles de víctimas con cientos de miles de dólares utilizando nombres falsos y escondiéndose detrás de un teclado para robar números de cuentas bancarias y tarjetas de crédito», dijo el fiscal federal Michael DiGiacomo en un comunicado. «Este arresto deja en claro que, independientemente de dónde opere, nuestros socios encargados de hacer cumplir la ley lo encontrarán y, cuando lo hagan, enfrentará todas las consecuencias de sus acciones».

Puede leer los documentos judiciales a continuación.

Cada arma comienza como una extensión de la mano que la sostiene. La lanza alargó el alcance del brazo. El arco hizo volar la punta sin lanzarla. El rifle situaba la muerte de un hombre a un cuarto de milla fuera de su vista, y el avión transportaba esa muerte a través de los océanos. A cada paso, la distancia entre el guerrero y la herida se hacía más amplia y, sin embargo, una cosa nunca se movía: un humano escogía el objetivo y un humano asestaba el golpe. Durante toda la historia del conflicto, incluido el ámbito cibernético, la mano ha permanecido sobre el arma.

La IA ofensiva es el momento en que el arma aprende a apuntar por sí misma.

Desde hace tres años, la inteligencia artificial (IA) es una extensión del bolígrafo. Redactó el correo electrónico de phishing, propuso el exploit, esbozó la función maliciosa y luego, como todas las herramientas anteriores, devolvió el trabajo a un humano para que lo llevara a cabo. En 2023, publiqué un documento técnico en el Instituto de Tecnología SANS que mostraba cómo una persona sin casi ninguna habilidad podía convencer a un chatbot para que produjera malware que pasara por alto los controles creados para detenerlo. Esa era la edad del asistente: peligroso, sin duda, pero todavía atado al operador que lo sostenía. La IA agente corta la correa. Toma el objetivo y recorre los pasos por sí mismo. Este único cambio, de una herramienta que dibuja a una herramienta que actúa, está remodelando las operaciones ofensivas más rápidamente que las defensas construidas para atraparlas, y va en dos direcciones a la vez. Otorga capacidad real a los atacantes que nunca la poseyeron y brinda una velocidad feroz a aquellos que ya eran mortales.

Si su oficio es un trabajo ofensivo, este es el terreno en el que se encuentra ahora. Las herramientas que un adversario utiliza contra un objetivo son las herramientas que usted debe ser capaz de utilizar, y ha ido mucho más allá de los chatbots que componen phishing más bonitos. Vale la pena estudiar, con ojos claros y nada sentimentales, lo que estos agentes pueden hacer hoy, cómo te permiten operar a un ritmo que últimamente parecía imposible, y dónde te llevarán silenciosamente por un precipicio si los sigues con demasiada fe.

La puerta ha caído

Consideremos el actor de amenazas de nivel básico, históricamente limitado por la falta de experiencia técnica. Estas personas ahora pueden aprovechar los agentes para desarrollar exploits y realizar campañas de forma autónoma. El dominio técnico ya no es un requisito previo; la intención y el acceso a herramientas capaces son suficientes. Me refiero a este fenómeno como «script kiddie como servicio», lo que significa el surgimiento de ataques sofisticados por parte de actores previamente no capacitados.

Una implicación adicional es que las limitaciones de los atacantes no capacitados ahora están definidas por las capacidades de los modelos de IA que han elegido y no por su propia experiencia. A medida que numerosos actores no capacitados emplean modelos similares de manera comparable, sus metodologías de ataque comienzan a converger, lo que resulta en una monocultura conductual. Si bien esto aumenta el volumen de ataques competentes, también crea patrones reconocibles, como phishing estandarizado y cadenas de exploits. Los adversarios hábiles se adaptarán más allá de estos valores predeterminados, pero la mayoría no. En consecuencia, los defensores que comprenden estos comportamientos predeterminados pueden anticipar y mitigar mejor las amenazas generalizadas.

Para los profesionales experimentados, la inteligencia artificial no necesariamente mejora las habilidades, pero aumenta significativamente la velocidad operativa. Capacitar a un agente en un oficio establecido permite la ejecución paralela de campañas, lo que reduce las tareas que antes requerían semanas a meras horas. Este doble efecto, más atacantes de nivel básico y ataques acelerados por parte de expertos, amplía el panorama general de amenazas. Para quienes llevan a cabo operaciones ofensivas autorizadas, este es ahora el estándar predominante. Los adversarios ya utilizan estas herramientas, y cualquier compromiso que las descuide no refleja las amenazas actuales.

La caza se ejecuta sola

Uno de los ejemplos más comunes que suelo dar a la gente es la ingeniería social autónoma. En este escenario, un atacante implementa un agente para recopilar información disponible públicamente sobre un objetivo, como perfiles de LinkedIn, comunicados de prensa o grabaciones de conferencias, para construir un perfil detallado. Luego, esta inteligencia es utilizada por un segundo agente, que genera y envía mensajes personalizados, gestiona respuestas y lleva a cabo una conversación continua, avanzando gradualmente hacia su objetivo. No se requiere intervención humana en el proceso de comunicación.

El peligro aquí no es la velocidad; es la muerte silenciosa de las señales en las que confiábamos. Durante años, nuestras defensas contra el phishing se apoyaron en los indicadores de la producción en masa: la gramática torpe, la plantilla reciclada, el correo idéntico enviado diez mil veces. Esos son precisamente los indicios que este acuerdo borra. Cada mensaje llega con fluidez, singular y basado en algo genuinamente cierto acerca de su objetivo. Claro, las señales de infraestructura perduran; cosas como la reputación del remitente, la autenticación y similares siguen estando vigilantes, pero ahora, como defensores, tenemos que apoyarnos en ellas más que nunca, y ¿cuánto tiempo pasará antes de que esas defensas se rompan bajo esa presión? La información lingüística y a nivel de plantilla nos dice que gran parte de nuestra detección, de la que dependíamos silenciosamente, ha desaparecido.

Y no se trata sólo de ingeniería social. La misma automatización está superando a la explotación. A medida que los modelos de frontera se vuelven más prácticos para encadenar llamadas a herramientas y corregirse a sí mismos frente a un entorno vivo, el listón para producir un exploit que funcione es cada vez más bajo con cada lanzamiento. Tanto es así que el gobierno federal ahora se está involucrando y obligando a retirar del mercado modelos como el Fable 5 de Anthropic por temor a sus capacidades. Pero esto es sólo la punta del iceberg. Al vincular incluso modelos moderadamente capaces a una base de datos de recuperación de vulnerabilidades conocidas, realizará su propio reconocimiento, juzgará a qué está probablemente expuesto un objetivo, extraerá el exploit correspondiente del estante e informará como un perro que ha captado un olor: creo que esto funcionará, según estos indicadores. ¿Lo ejecuto? El malware está recorriendo el mismo camino, volviéndose agente por derecho propio, y ya estamos viendo a los agentes reescribir el malware existente en cepas más silenciosas creadas para escapar de los controles que conocían la forma anterior. Esto comenzó hace años con la introducción del “Arma de acceso guiado a la red (GNAW)” que presenté en la conferencia Hackers Teaching Hackers.

La confianza de un falso oráculo

Todo esto hace que los agentes sean algo muy seductor en quien apoyarse. Son rápidos, corren solos y hablan con autoridad inquebrantable de principio a fin. Esa última cualidad es la trampa, y llamarla mentira es halagarla intencionalmente. El agente no busca la verdad. Es buscar una tarea terminada y una respuesta que tenga la apariencia de tener razón. No tiene una visión privilegiada sobre si un anfitrión es realmente vulnerable; relaciona los indicadores con una conclusión y entrega esa conclusión con la misma voz firme, ya sea que la conclusión sea sólida o vacía. Combínelo con un almacén de vulnerabilidades de recuperación, y la falla se agrava, ya que la recuperación muestra lo que está plausiblemente relacionado, no lo que realmente se aplica. No comprueba la versión, ni la configuración, ni siquiera si se puede acceder al servicio.

Donde se hace la prueba

Ese problema de juicio es precisamente la razón por la que importa el lugar que ocupa esta obra. El Plano de IA segura SANSescrito por Rob T. Lee, director de IA de SANSdivide el desafío más amplio en tres vías: proteger la IA, utilizar la IA y gobernar la IA. El gobierno produce la política y la supervisión que hacen que estos sistemas rindan cuentas. La protección fortalece los sistemas que una organización realmente ejecuta. Utilizar es donde la IA se pone a trabajar tanto para la ofensiva como para la defensa, y las operaciones ofensivas son su ventaja más destacada.

Los líderes escuchan las palabras «seguridad de la IA» e imaginan carpetas de políticas y un comité de gobernanza en una sala tranquila. Sin embargo, Utilize es el único de los tres que ofrece pruebas: los ataques reales van contra los sistemas reales, lo que revela si la política y el endurecimiento se mantienen cuando son atacados. Una organización puede redactar todas las directrices que le plazca y defender todas las defensas que pueda adquirir, pero hasta que alguien ponga estas herramientas contra sus propios muros, todavía no sabrá cuál de ellas resistirá. Una defensa es una teoría hasta que hace contacto, y el operador es quien la lleva allí. Por eso son cada vez más los operadores quienes exigen cuentas de todo el programa.

Para qué sirve el guerrero

Regresemos, pues, al punto de partida. Durante toda la historia de la humanidad, la mano permaneció sobre el arma porque no se podía confiar en que ésta eligiera, y eso no ha cambiado mucho. La máquina ahora puede apuntar sola, pero no puede indicarle si debe disparar. Nombrará un objetivo que nunca estuvo allí y pedirá, con la misma voz tranquila que usa cuando tiene razón, permiso para disparar. Cada parte mecánica de esta nave pasa a la máquina. La única parte que no lo es, el juicio de distinguir una cosa verdadera de una mentira confiada y tomar la mano hasta estar seguro, se está convirtiendo en la totalidad de la obra. El guerrero nunca ha estado más lejos de la herida, y la elección que los une nunca ha pesado más. El arma ya no necesita un guerrero para blandirla, pero nunca ha necesitado de una persona para decidir si se debe blandir o no más que ahora.

Aprenda IA ​​ofensiva en SANS San Antonio 2026

Este agosto abordaré estas cuestiones en profundidad durante mi SEC535: IA ofensiva: herramientas y técnicas de ataque curso realizado en SANS San Antonio 2026. A lo largo de tres días de laboratorios prácticos, trabajamos las técnicas descritas aquí desde el lado de la línea del operador: reconocimiento e ingeniería social asistidos por IA, ataques de clonación de voz y deepfake, descubrimiento de vulnerabilidades respaldado por IA y el uso de IA en el desarrollo y evasión de malware. Manejará las herramientas con sus propias manos y obtendrá una verdadera sensación de su alcance, sus límites y los puntos precisos en los que no se debe confiar. Esa es la distancia entre saber que estos ataques existen y poder ejecutarlos.

La máquina apuntará. Sea el juicio detrás del tiro.

Regístrese para SANS San Antonio 2026 aquí.

Nota: Este artículo ha sido escrito y contribuido por expertos de Foster Nethercott, autor del curso SANS SEC535.

Investigadores de ciberseguridad han descubierto un conjunto de paquetes npm maliciosos que están diseñados para entregar un troyano de acceso remoto (RAT) basado en Windows.

La lista de paquetes identificados se encuentra a continuación:

• aes-decode-runner-pro (145 descargas)
• postcss-minify-selector (256 descargas)
• postcss-minify-selector-parser (615 descargas)

Todos los paquetes fueron publicados durante el mes pasado por un usuario de npm llamado «abdrizak» y seguirá estando disponible para descargar desde npm al momento de escribir este artículo.

«Aes-decode-runner-pro y postcss-minify-selector-parser se presentan como paquetes AES/códec personalizado en capas y dependen del postcss-selector-parser legítimo», JFrog dicho en un análisis. «Postcss-minify-selector se presenta como un minificador de selector PostCSS y depende de postcss-minify-selector-parser».

En cuanto a «postcss-minify-selector-parser», el nombre es una referencia a «analizador-selector-postcss,» una biblioteca npm ampliamente utilizada con más de 127 millones de descargas semanales. Independientemente del paquete descargado, la cadena de ataque conduce a la implementación del mismo malware de Windows.

Los paquetes vienen integrados con un cuentagotas de JavaScript que escribe un script de PowerShell («settings.ps1») en el disco y lo ejecuta. Luego, el script de PowerShell actúa como un descargador de una carga útil de la siguiente etapa recuperada de un servidor externo («nvidiadriver[.]net») usando «curl.exe».

La carga útil recuperada es un archivo ZIP, del cual se extrae un archivo Visual Basic Script («update.vbs») y se ejecuta usando «wscript.exe». También se incluye en el archivo ZIP descargado un tiempo de ejecución de Python, un cargador de Python («loader.py») y varios módulos de extensión de Python (*.pyd) compilados usando Nuitka.

Visual Basic es responsable de configurar el entorno Python en el host comprometido y de iniciar el script «loader.py», que luego activa la lógica central del malware. El RAT está equipado para recopilar información del host, desviar credenciales de Google Chrome, recopilar datos de extensiones de Chrome, ejecutar comandos de shell y descargar/cargar archivos hacia y desde un servidor de comando y control (C2) («95.216.92[.]207:8080»).

Estas características se implementan a través de un conjunto de módulos de extensión nativos de Python:

• config.pyd, que contiene constantes, ID de comando, URL C2 y nombres de claves de registro
• api.pyd, que maneja el intercambio de paquetes HTTP C2
• audiodriver.pyd, que maneja el bucle de orquestación principal de RAT
• command.pyd, que perfila el host, ejecuta comprobaciones de máquinas virtuales (VM), transferencia de archivos y ejecución de shell
• auto.pyd, que realiza el robo de extensiones y credenciales de Chrome, evitando las protecciones de cifrado vinculado a aplicaciones (ABE)
• util.pyd, que actúa como ayudante de archivo tar/gzip

«Este caso muestra cómo un pequeño paquete similar a un analizador puede ocultar una carga útil de Windows de varias etapas mientras parece estar relacionado con herramientas de compilación legítimas con un uso semanal masivo», dijo JFrog. «Para los defensores, la lección importante es tratar las dependencias de construcción similares como posibles mecanismos de entrega, no simplemente como un ruido de nombres inofensivo».

El descubrimiento coincide con otras tres campañas dirigidas al ecosistema npm y TypeScript:

• Un paquete malicioso llamado «apintergrationpost» que ofrece un RAT Linux con todas las funciones denominado MYRA, al tiempo que afirma ser un cliente de integración Node.js para ejercicios autorizados del equipo rojo. «Compila un rootkit C nativo durante la instalación, establece tres mecanismos de persistencia independientes, se hace pasar por un servicio systemd, admite la ejecución sin archivos y proporciona acceso interactivo al shell con transmisión de pantalla en vivo», dijo SafeDep.
• Un paquete malicioso llamado «@withgoogle/stitch-sdk» que se hace pasar por la herramienta de diseño Stitch AI de Google, pero viene con capacidades para robar credenciales de desarrollador de ocho fuentes (Claude Code, git config, ~/.git-credentials, claves públicas SSH, GitHub CLI, npm config, ~/.npmrc y ~/.docker/config.json) y las exfiltra a un dominio controlado por un atacante («stitch-production[.]org/api/v1»).
• un grupo de cinco paquetes («procwire», «routecraft», «endpointmap», «bytecraft» y «staticlayer») que entrega un binario dropper en hosts de Windows desde un servidor externo y lo ejecuta durante la instalación de npm. El paquete «routecraft» enumera «procwire» como dependencia, mientras que este último enumera «endpointmap» y «bytecraft» como dependencias. El último paquete, «staticlayer», está diseñado para ejecutarse en el lado del servidor y entregar archivos a un cliente que presenta el User-Agent exacto del dropper.

Se recomienda a los usuarios que hayan instalado cualquiera de los paquetes anteriores que los eliminen con efecto inmediato, eliminen cualquier artefacto creado por ellos y roten las credenciales de las máquinas de desarrollo afectadas.

Los hallazgos también coinciden con una ataque a la cadena de suministro apuntando al «gonex-AI/Entender-cualquier cosa» herramienta de gráfico de conocimiento para impulsar una carga útil maliciosa que «señala uno de los tres servidores C2 codificados, extrae un marcador de campaña, descifra XOR y evalúa un cliente bot descargado, luego resuelve de forma independiente un comando de segunda etapa desde una dirección de blockchain de Tron cuya última transacción codifica un hash de transacción BSC que lleva la carga útil activa».

La actividad se superpone con una operación de la cadena de suministro de Corea del Norte denominada PolinRider, que ha sido observado inyectar JavaScript ofuscado en archivos de configuración de desarrolladores legítimos en casi 2000 repositorios de GitHub comprometidos para ofrecer un conocido descargador y ladrón de malware denominado BeaverTail, que luego allana el camino para la puerta trasera InvisibleFerret.

«Este ataque combina tres cosas que individualmente son familiares pero que juntas abren una brecha de detección: una descripción de relaciones públicas falsa elaborada con evidencia de prueba fabricada, una diferencia que oculta su carga útil en un espacio en blanco horizontal y un C2 de dos etapas donde la segunda etapa utiliza la infraestructura pública de blockchain como un relé de escritura única y lectura en cualquier lugar», dijo SafeDep.

Los mensajes directos enviados a través de WhatsApp se utilizan para distribuir archivos maliciosos de Visual Basic Script (VBScript) que conducen a la instalación de software legítimo de gestión y supervisión remota (RMM).

Según los hallazgos de Kaspersky, la campaña activa está dirigida a usuarios de WhatsApp Desktop y WhatsApp Web en Malasia, Brasil, India, México, Singapur, Reino Unido, España, Taiwán, Australia, Rusia y Vietnam. La mayor concentración de víctimas se registró en Malasia.

«El actor de amenazas utiliza nombres de archivos engañosos que se hacen pasar por documentos comerciales y financieros para persuadir a los destinatarios a descargar y ejecutar el archivo adjunto», dijo el investigador de seguridad Fareed Radzi. dicho. «Una vez ejecutado, VBScript inicia una cadena de infección de varias etapas que finalmente resulta en la instalación de un software legítimo de monitoreo y administración remota (RMM), que permite el acceso remoto al sistema de la víctima».

Se sospecha que el actor de amenazas detrás de la operación logró obtener acceso subrepticio a varias cuentas de WhatsApp y luego las utilizó como vector de distribución de los archivos VBScript entre sus contactos. Dicho esto, no está claro exactamente cómo se ven comprometidas estas cuentas.

Los archivos VBScript, muy ofuscados, están disfrazados de documentos comerciales y financieros aparentemente inofensivos, utilizando nombres como «Financial Reports.vbs» o «Account Statement.vbs». Algunos de los archivos también tienen nombres en otros idiomas, como portugués, francés, alemán y malayo, lo que refleja la naturaleza global de la campaña.

«Además, las muestras de VBScript contienen extensos comentarios y metadatos destinados a imitar componentes legítimos de Microsoft Windows Update», explicó Kaspersky. «Muchos de estos comentarios están escritos en chino e incluyen referencias a módulos de Windows Update, validación de certificados, comprobaciones de integridad del sistema y funciones relacionadas con la implementación».

El archivo VBScript se inicia utilizando «WScript.exe», que luego busca y ejecuta componentes VBScript adicionales necesarios para las siguientes etapas del ataque. Vale la pena señalar que la cadena de infección se comporta de manera un poco diferente según si la víctima usa WhatsApp Web o la aplicación WhatsApp Desktop.

En el caso del primero, el ataque se basa en que el usuario descargue el archivo en su sistema y luego lo abra desde la carpeta descargada o mediante el historial de descargas del navegador, asumiendo que es un documento legítimo. En WhatsApp Desktop, el malware se ejecuta directamente dentro de la aplicación, y el árbol de procesos revela que «WhatsApp.Root.exe», el proceso en segundo plano asociado con la aplicación cliente, es responsable de generar «WScript.exe».

El objetivo principal de VBScript es descargar dos cargas útiles de VBScript secundarias desde un servidor remoto, una de las cuales intenta alterar el comportamiento del Control de cuentas de usuario (UAC) de Windows, mientras que la otra descarga y ejecuta un archivo ZIP que contiene el paquete de instalación de ManageEngine RMM Central.

La actividad sigue sin ser atribuida, sin embargo, la empresa rusa de ciberseguridad dijo que encontró superposiciones de infraestructura («202.61.160[.]201») con actividad previa vinculada a Gh0st RAT y ValleyRAT.

«Los usuarios deben tener cuidado al recibir archivos adjuntos inesperados a través de WhatsApp, incluso cuando parezcan provenir de contactos conocidos», dijo Kaspersky. «Los tipos de archivos ejecutables y scripts como VBS, VBE, EXE, BAT, CMD, JS y PS1 no deben abrirse a menos que su legitimidad se haya verificado de forma independiente».

OpenAI el lunes dicho está lanzando una versión mejorada de su modelo GPT‑5.5‑Cyber ​​para defensores confiables como parte de la iniciativa Daybreak, anunció la compañía de inteligencia artificial (IA) el mes pasado.

Al llamar a GPT‑5.5‑Cyber ​​su «modelo más sólido hasta el momento para encontrar y ayudar a parchear vulnerabilidades de software», OpenAI dijo que el modelo puede «sostener un análisis más profundo en grandes bases de código» para identificar problemas de seguridad, validarlos en un entorno controlado y desarrollar y probar parches.

Al mismo tiempo, el advenedizo tecnológico está lanzando una actualización del complemento Codex Security⁠ para acelerar el proceso de descubrimiento y parcheo de vulnerabilidades en los sistemas existentes, además de evitar que nuevas vulnerabilidades ingresen a las bases de código de producción.

«Los desarrolladores pueden ejecutar análisis profundos o revisar cambios recientes, generar informes con gravedad, ubicaciones de códigos afectados, evidencia de validación y orientación de remediación, rastrear rutas de ataque, construir modelos de amenazas, validar hallazgos y generar parches específicos de la base de código para su revisión», dijo OpenAI.

Además de eso, el complemento⁠ puede clasificar y validar los hallazgos existentes de escáneres, avisos, informes de recompensas por errores o sistemas de emisión de tickets, y luego facilitar la generación de parches a escala para cerrar rápidamente una acumulación de vulnerabilidades.

OpenAI también está lanzando una nueva iniciativa llamada Parchear el planeta en asociación con Rastro de bits para ayudar a proteger proyectos de código abierto. Los participantes iniciales incluyen cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, el proyecto Go, freenginx, Python y python.org.

Estos movimientos se producen cuando los modelos de frontera de Anthropic y OpenAI están acelerando el descubrimiento de vulnerabilidades, dejando a los mantenedores de software abrumados con un volumen cada vez mayor de errores que deben verificarse, clasificarse y corregirse. Si bien antes el desafío consistía en encontrar vulnerabilidades, ahora el cuello de botella se ha centrado en parchearlas.

Los modelos de IA vienen con capacidades para navegar por grandes bases de código, razonar a través de rutas de ataque y señalar problemas de seguridad que de otro modo podrían haber permanecido ocultos. Un ejemplo de ello es una falla de hace 29 años en el proxy web Squid (CVE-2026-47729, también conocido como Squidbleed) que puede filtrar solicitudes HTTP de texto sin formato pertenecientes a otros usuarios bajo ciertas condiciones.

Los expertos cibernéticos también han expresado su preocupación de que los modelos de IA más avanzados estén potenciando la capacidad de los malos actores para aprovechar las vulnerabilidades de seguridad, obligando a la industria a tapar los agujeros casi tan pronto como se descubren.

«Los actores de amenazas con experiencia técnica limitada pueden utilizar modelos de IA disponibles públicamente con fines maliciosos», dijo el Centro Canadiense de Seguridad Cibernética. dicho en una guía publicada en mayo de 2026. «Las organizaciones deben asumir que la explotación impulsada por la IA puede eludir los controles preventivos, superar significativamente la capacidad de los proveedores para publicar medidas correctivas y desafiar la capacidad de implementación de la organización».

Patch the Planet tiene como objetivo reducir esta carga indebida que pesa sobre los mantenedores al permitir que los ingenieros de seguridad revisen y validen los hallazgos, trabajen con proyectos para desarrollar parches y pruebas y ayuden a crear flujos de trabajo de descubrimiento de vulnerabilidades reutilizables con el objetivo de mejorar la seguridad incluso después de que se publiquen las correcciones iniciales.

«Con Patch the Planet, estamos trabajando con investigadores, mantenedores, empresas y socios para poner a disposición de los defensores una poderosa capacidad cibernética con acceso, gobernanza y supervisión humana adecuados», dijo OpenAI.

La empresa de IA también dijo que la iniciativa Daybreak ya ha ayudado emergen una serie de vulnerabilidades en varios sistemas operativos y navegadores web –

• 8 pruebas de concepto (PoC) de fuga de información de puntero del kernel y 24 exploits de escalada de privilegios locales en el kernel de Linux
• Un joven de 23 años que consume después de liberarse⁠ en Implementación del kernel de OpenBSD de semáforos del Sistema V
• 34 vulnerabilidades y 7 PoC de escalada de privilegios locales en FreeBSD
• 6 vulnerabilidades en dnsmasq (CVE-2026-4890⁠, CVE-2026-4891⁠, CVE-2026-4892⁠ y CVE-2026-5172⁠)
• Una técnica de denegación de servicio (DoS) llamada HTTP/2 Bomb que afecta a las principales implementaciones de HTTP/2, incluidas NGINX, Apache, IIS y Pingora.
• 5 vulnerabilidades explotables en el motor JavaScript V8 de Google Chrome
• 10 vulnerabilidades explotables de Apple Safari
• Una vulnerabilidad de WebAssembly (CVE-2026-8390⁠) en Mozilla Firefox

«Patch the Planet está diseñado para poner ese ciclo defensivo completo al servicio de los mantenedores: descubrimiento, validación, revisión de gravedad, divulgación, desarrollo de parches, pruebas e implementación», dijo OpenAI. «Los modelos de frontera pueden hacer que partes de ese ciclo sean más rápidas, pero el objetivo es dar a las personas responsables de la infraestructura compartida mejores herramientas y más capacidad, preservando al mismo tiempo su capacidad de decisión sobre cómo cambia la tierra».

Los acontecimientos van de la mano con malos actores que hacen un mal uso de la IA para comprimir el tiempo entre encontrar y explotar una debilidad, reduciendo la ventana que tienen los defensores para responder. El uso de exploits codificados por vibración también presagia un nuevo capítulo en el que la tecnología no sólo está reduciendo la barrera para el desarrollo de exploits, sino que también permite a los atacantes lanzar una amplia red a través de vulnerabilidades recientemente reveladas con menos esfuerzo.

Agencias de inteligencia de Australia, Canadá, Nueva Zelanda, el Reino Unido y Estados Unidos han advertido que los modelos avanzados de IA pueden acelerar la velocidad, escala y sofisticación de las amenazas cibernéticas, al tiempo que reducen la barrera para los actores maliciosos y reducen cada vez más rápidamente la ventana entre el descubrimiento y la explotación de vulnerabilidades.

«Se prevé que los modelos Frontier Al superen las expectativas actuales de la industria, transformando fundamentalmente las capacidades cibernéticas tanto ofensivas como defensivas. El cronograma no es de años, sino de meses», dijeron las agencias. anotado. «En este entorno, la resiliencia cibernética es fundamental para promover la continuidad del negocio, la confianza del mercado y el valor a largo plazo».

«El éxito vendrá de lograr los conceptos básicos correctos, actuar rápidamente e integrar la seguridad cibernética en la estrategia empresarial central. Aquellos que no lo hagan enfrentarán crecientes desventajas operativas y estratégicas».