Un presunto actor de amenazas del nexo con Irán ha sido atribuido a una campaña dirigida a funcionarios gubernamentales en Irak haciéndose pasar por el Ministerio de Asuntos Exteriores del país para entregar un conjunto de malware nunca antes visto.

Zscaler ThreatLabz, que observó la actividad en enero de 2026, está rastreando el clúster con el nombre Espectro de polvo. Los ataques, que se manifiestan en forma de dos cadenas de infección diferentes, culminan con la implementación de malware denominado SPLITDROP, TWINTASK, TWINTALK y GHOSTFORM.

«Dust Spectre utilizó rutas URI generadas aleatoriamente para la comunicación de comando y control (C2) con valores de suma de verificación adjuntos a las rutas URI para garantizar que estas solicitudes se originaran en un sistema infectado real», dijo el investigador de seguridad Sudeep Singh. dicho. «El servidor C2 también utilizó técnicas de geocercado y verificación de usuario-agente».

Un aspecto notable de la campaña es el compromiso de la infraestructura relacionada con el gobierno iraquí para organizar cargas maliciosas, sin mencionar el uso de técnicas de evasión para retrasar la ejecución y pasar desapercibidas.

La primera secuencia de ataque comienza con un archivo RAR protegido con contraseña, dentro del cual existe un gotero .NET llamado SPLITDROP, que actúa como conducto para TWINTASK, un módulo de trabajo, y TWINTALK, un orquestador C2.

TWINTASK, por su parte, es una DLL maliciosa («libvlc.dll») que el binario legítimo «vlc.exe» descarga para sondear periódicamente un archivo («C:\ProgramData\PolGuid\in.txt») cada 15 segundos en busca de nuevos comandos y ejecutarlos usando PowerShell. Esto también incluye comandos para establecer persistencia en el host mediante cambios en el Registro de Windows. La salida del script y los errores se capturan en un archivo de texto separado («C:\ProgramData\PolGuid\out.txt»).

TWINTASK, en el primer inicio, está diseñado para ejecutar otro binario legítimo presente en el archivo extraído («WingetUI.exe»), lo que provoca que descargue la DLL TWINTALK («hostfxr.dll»). Su objetivo principal es comunicarse con el servidor C2 para obtener nuevos comandos, coordinar tareas con TWINTASK y filtrar los resultados al servidor. Admite la capacidad de escribir el cuerpo del comando desde la respuesta C2 a «in.txt», así como descargar y cargar archivos.

«El orquestador C2 trabaja en paralelo con el módulo de trabajo descrito anteriormente para implementar un mecanismo de sondeo basado en archivos utilizado para la ejecución de código», dijo Singh. «Tras la ejecución, TWINTALK ingresa a un bucle de baliza y retrasa la ejecución en un intervalo aleatorio antes de sondear el servidor C2 en busca de nuevos comandos».

La segunda cadena de ataque representa una evolución de la primera, consolidando toda la funcionalidad de TWINTASK y TWINTALK en un único binario denominado GHOSTFORM. Utiliza la ejecución de scripts de PowerShell en memoria para ejecutar comandos recuperados del servidor C2, eliminando así la necesidad de escribir artefactos en el disco.

Ese no es el único factor diferenciador entre las dos cadenas de ataque. Se ha descubierto que algunos archivos binarios de GHOSTFORM incorporan una URL de Google Forms codificada que se inicia automáticamente en el navegador web predeterminado del sistema una vez que el malware comienza a ejecutarse. El formulario presenta contenido escrito en árabe y se hace pasar por una encuesta oficial del Ministerio de Asuntos Exteriores de Irak.

El análisis de Zscaler del código fuente de TWINTALK y GHOSTFORM también descubrió la presencia de valores de marcador de posición, emojis y texto Unicode, lo que sugiere que se pueden haber utilizado herramientas de inteligencia artificial (IA) generativa para ayudar con el desarrollo del malware.

Además, el dominio C2 asociado a TWINTALK, «meetingapp[.]site», se dice que fue utilizado por los actores de Dust Spectre en una campaña de julio de 2025 para albergar una página falsa de invitación a una reunión de Cisco Webex que indica a los usuarios que copien, peguen y ejecuten un script de PowerShell para unirse a la reunión. Las instrucciones reflejan una táctica ampliamente vista en los ataques de ingeniería social estilo ClickFix.

El script de PowerShell, por su parte, crea un directorio en el host e intenta recuperar una carga útil no especificada del mismo dominio y guardarla como un ejecutable dentro del directorio recién creado. También crea una tarea programada para ejecutar el binario malicioso cada dos horas.

Las conexiones de Dust Spectre con Irán se basan en el hecho de que los grupos de hackers iraníes tienen un historial de desarrollo de puertas traseras .NET ligeras y personalizadas para lograr sus objetivos. El uso de infraestructura gubernamental iraquí comprometida se ha observado en campañas pasadas vinculadas a actores de amenazas como OilRig (también conocido como APT34).

«Esta campaña, atribuida con un nivel de confianza medio a alto a Dust Spectre, probablemente se dirigió a funcionarios gubernamentales que utilizaban señuelos convincentes de ingeniería social que se hacían pasar por el Ministerio de Asuntos Exteriores de Irak», dijo Zscaler. «La actividad también refleja tendencias más amplias, incluidas técnicas de estilo ClickFix y el creciente uso de IA generativa para el desarrollo de malware».

Una operación conjunta de aplicación de la ley ha sido desmantelada Base de fugasuno de los foros en línea más grandes del mundo para que los ciberdelincuentes compren y vendan datos robados y herramientas de cibercrimen.

El foro LeakBase, según el Departamento de Justicia de EE. UU. (DoJ), tenía más de 142.000 miembros y más de 215.000 mensajes entre miembros en diciembre de 2025. Aquellos que intentaban acceder al sitio web del foro («base de fugas[.]la«) ahora son recibidos con un cartel de incautación que dice que fue confiscado por la Oficina Federal de Investigaciones (FBI) de Estados Unidos como parte de un esfuerzo internacional de aplicación de la ley.

«Todo el contenido del foro, incluidas las cuentas de los usuarios, publicaciones, detalles de crédito, mensajes privados y registros de IP, se ha protegido y conservado con fines probatorios», se lee en el cartel.

Disponible en inglés y accesible a través de clearnet, LeakBase ofreció bases de datos pirateadasincluidos cientos de millones de credenciales de cuentas e información financiera, como números de tarjetas de crédito y débito, información de ruta y cuenta bancaria, nombres de usuario y contraseñas asociadas, de las que se podría abusar para facilitar la apropiación de cuentas.

Según un informe Publicado por Flare en abril de 2023, LeakBase prohibía explícitamente a los usuarios vender o publicar bases de datos rusas, probablemente en un intento de evitar el escrutinio. El foro ha estado activo desde junio de 2021.

LeakBase es uno de los alias de Chucky, que también se conoce con los apodos Chuckies y Sqlrip en varios foros clandestinos. Por SOCRadarel actor de amenazas tiene un historial de compartir vastas colecciones de bases de datos, que a menudo contienen información confidencial de entidades globales.

Es más, SpyCloud reveló A principios del mes pasado, el foro había estado inactivo durante unos días y Chucky estaba buscando un nuevo proveedor de alojamiento. Algunos de los otros administradores y moderadores conocidos de LeakBase incluyen BloodyMery, OrderCheck y TSR.

Como parte del ejercicio de interrupción denominado Operación Fuga que tuvo lugar los días 3 y 4 de marzo de 2026, las autoridades ejecutaron órdenes de registro, realizaron arrestos y realizaron entrevistas en los EE. UU., Australia, Bélgica, Polonia, Portugal, Rumania, España y el Reino Unido.

En un anuncio coordinado, Europol dicho LeakBase se especializó en la venta de registros de ladrones, que contienen archivos de credenciales recopiladas mediante malware de ladrones de información. La información podría utilizarse como arma para realizar apropiaciones de cuentas, fraudes y otras intrusiones cibernéticas.

La agencia dijo que se llevaron a cabo alrededor de 100 acciones coercitivas en todo el mundo, incluida la adopción de medidas no especificadas contra 37 de los usuarios más activos de las plataformas.

«El FBI, Europol y agencias policiales de todo el mundo ejecutaron un desmantelamiento de LeakBase, una de las plataformas cibercriminales en línea más grandes, confiscando cuentas de usuarios, publicaciones, detalles de crédito, mensajes privados y registros de IP con fines probatorios». dicho Brett Leatherman, subdirector de la División Cibernética del FBI.

magnate 2FAuno de los destacados kits de herramientas de phishing como servicio (PhaaS) que permitía a los ciberdelincuentes realizar ataques de recolección de credenciales de adversario en el medio (AitM) a escala, fue desmantelado por una coalición de agencias de aplicación de la ley y empresas de seguridad.

El kit de phishing basado en suscripcióncual surgió por primera vez en agosto de 2023fue descrita por Europol como una de las operaciones de phishing más grandes del mundo. El kit estaba disponible por un precio inicial de 120 dólares por 10 días o 350 dólares por acceso a un panel de administración basado en web durante un mes.

El panel sirve como centro para configurar, rastrear y perfeccionar campañas. Cuenta con plantillas prediseñadas, archivos adjuntos para formatos de señuelos comunes, configuración de dominio y alojamiento, lógica de redireccionamiento y seguimiento de víctimas. Los operadores también pueden configurar cómo se entrega el contenido malicioso a través de archivos adjuntos, así como controlar los intentos de inicio de sesión válidos e inválidos.

La información capturada, como credenciales, códigos de autenticación multifactor (MFA) y cookies de sesión, se puede descargar directamente dentro del panel o reenviar a Telegram para un monitoreo casi en tiempo real.

«Permitió a miles de ciberdelincuentes acceder de forma encubierta al correo electrónico y a cuentas de servicios basados ​​en la nube», Europol dicho. «A escala, la plataforma generó decenas de millones de correos electrónicos de phishing cada mes y facilitó el acceso no autorizado a casi 100.000 organizaciones en todo el mundo, incluidas escuelas, hospitales e instituciones públicas».

Como parte del esfuerzo coordinado, se eliminaron 330 dominios que formaban la columna vertebral del servicio criminal, incluidas páginas de phishing y paneles de control.

Al caracterizar a Tycoon 2FA como «peligroso», Intel 471 dicho el kit estaba vinculado a más de 64.000 incidentes de phishing y decenas de miles de dominios, generando decenas de millones de correos electrónicos de phishing cada mes. Según Microsoft, que rastrea a los operadores del servicio bajo el nombre Storm-1747, Tycoon 2FA se convirtió en la plataforma más prolífica observada por la compañía en 2025, bloqueando más de 13 millones de correos electrónicos maliciosos vinculados al servicio de crimeware.

Cronología de la evolución de Tycoon 2FA (Fuente: Point Wild)

Datos de Proofpoint muestra que Tycoon 2FA representó el mayor volumen de amenazas de phishing AiTM. La empresa de seguridad del correo electrónico dijo que observó más de tres millones de mensajes asociados con el kit de phishing sólo en febrero de 2026. Trend Micro, que fue uno de los socios del sector privado en la operación, notó que la plataforma PhaaS tenía aproximadamente 2.000 usuarios.

Las campañas que aprovechan Tycoon 2FA se han dirigido indiscriminadamente a casi todos los sectores, incluidos la educación, la atención médica, las finanzas, las organizaciones sin fines de lucro y el gobierno. Los correos electrónicos de phishing enviados desde el kit llegaron a más de 500.000 organizaciones cada mes en todo el mundo.

«La plataforma de Tycoon 2FA permitió a los actores de amenazas hacerse pasar por marcas confiables imitando páginas de inicio de sesión para servicios como Microsoft 365, OneDrive, Outlook, SharePoint y Gmail», Microsoft dicho.

«También permitió a los actores de amenazas que usaban su servicio establecer persistencia y acceder a información confidencial incluso después de restablecer las contraseñas, a menos que las sesiones activas y los tokens fueran revocados explícitamente. Esto funcionó interceptando las cookies de sesión generadas durante el proceso de autenticación, capturando simultáneamente las credenciales del usuario. Los códigos MFA se transmitieron posteriormente a través de los servidores proxy de Tycoon 2FA al servicio de autenticación».

El kit también empleó técnicas como monitoreo de pulsaciones de teclas, detección anti-bot, toma de huellas digitales del navegador, ofuscación de código pesado, CAPTCHA autohospedados, JavaScript personalizado y páginas señuelo dinámicas para eludir los esfuerzos de detección. Otro aspecto clave es el uso de una combinación más amplia de dominios de nivel superior (TLD) y nombres de dominio completos (FQDN) de corta duración para alojar la infraestructura de phishing en Cloudflare.

Los FQDN a menudo solo duran entre 24 y 72 horas, y su rápida rotación es un esfuerzo deliberado para complicar la detección e impedir la creación de listas de bloqueo confiables. Microsoft también atribuyó el éxito de Tycoon 2FA a imitar fielmente los procesos de autenticación legítimos para interceptar sigilosamente las credenciales de usuario y los tokens de sesión.

Para empeorar las cosas, los clientes de Tycoon 2FA aprovecharon una técnica llamada ATO Jumping, mediante la cual se utiliza una cuenta de correo electrónico comprometida para distribuir las URL de Tycoon 2FA e intentar realizar más actividades de apropiación de cuentas. «El uso de esta técnica permite que los correos electrónicos parezcan provenir auténticamente del contacto de confianza de la víctima, lo que aumenta la probabilidad de un compromiso exitoso», señaló Proofpoint.

Kits de phishing como Tycoon están diseñados para ser flexibles, de modo que sean accesibles para actores con menos conocimientos técnicos y, al mismo tiempo, ofrezcan capacidades avanzadas para operadores más experimentados.

«En 2025, el 99% de las organizaciones experimentaron intentos de apropiación de cuentas y el 67% experimentó una apropiación de cuentas exitosa», dijo Selena Larson, investigadora de amenazas del personal de Proofpoint, en un comunicado compartido con The Hacker News. «De estas, el 59% de las cuentas tomadas tenían habilitado MFA. Si bien no todos estos ataques estaban relacionados con Tycoon MFA, esto muestra el impacto del phishing AiTM en las empresas».

«Estos ciberataques que permiten la apropiación total de cuentas pueden provocar impactos desastrosos, incluido el ransomware o la pérdida de datos confidenciales. A medida que los actores de amenazas continúan priorizando la identidad, obtener acceso a cuentas de correo electrónico empresariales suele ser el primer paso en una cadena de ataques que puede tener consecuencias destructivas».

Tycoon 2FA, un importante kit y plataforma de phishing que permitió a ciberdelincuentes poco capacitados eludir la autenticación multifactor y realizar ataques de adversario en el medio a gran escala, fue desmantelado el miércoles por una coalición global de empresas de seguridad y organismos encargados de hacer cumplir la ley.

Microsoft, que lideró el esfuerzo junto con Europol y autoridades de seis países y 11 empresas u organizaciones de seguridad, dijo que confiscó 330 dominios que impulsaban la infraestructura central de Tycoon 2FA, incluidos paneles de control y páginas de inicio de sesión fraudulentas.

La plataforma, que surgió en agosto de 2023, fue responsable de decenas de millones de mensajes de phishing que llegó a más de 500.000 organizaciones en todo el mundo cada mes, según Microsoft Threat Intelligence. Miles de ciberdelincuentes utilizaron Tycoon 2FA para acceder al correo electrónico y a los servicios en línea, incluidos Microsoft 365, Outlook, SharePoint, OneDrive y los servicios de Google.

«A mediados de 2025, Tycoon 2FA representó aproximadamente el 62% de todos los intentos de phishing que Microsoft bloqueó, incluidos más de 30 millones de correos electrónicos en un solo mes. Eso colocó a Tycoon 2FA entre las operaciones de phishing más grandes del mundo», dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft, en un publicación de blog sobre el derribo.

“A pesar de las amplias defensas, el servicio está vinculado a unas 96.000 víctimas de phishing distintas en todo el mundo desde 2023, incluidos más de 55.000 clientes de Microsoft”, añadió Masada.

El kit de phishing, que fue desarrollado y publicitado por un grupo al que Microsoft rastrea como Storm-1747, se vendió a ciberdelincuentes en Telegram y Signal por 350 dólares al mes. La plataforma proporcionó componentes centrales para el phishing en un único panel que permitió a los ciberdelincuentes configurar, rastrear y perfeccionar sus campañas.

La plataforma también proporcionó a los ciberdelincuentes plantillas prediseñadas, archivos adjuntos para señuelos de phishing comunes, configuración de dominio y alojamiento y lógica de redireccionamiento, dijo Microsoft. El volumen mensual de mensajes de phishing atribuidos a Tycoon 2FA alcanzó un máximo de más de 30 millones de mensajes en noviembre de 2025.

Las organizaciones de educación y atención médica fueron las más afectadas por los ataques de phishing habilitados por Tycoon 2FA. Más de 100 miembros de Salud-ISAC, co-demandante en el caso judicial presentadas en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York, fueron suplantadas con éxito, dijo Masada.

Dos hospitales, seis escuelas y tres universidades de Nueva York enfrentaron intentos o compromisos exitosos a través de Tycoon 2FA, lo que resultó en incidentes que interrumpieron las operaciones, desviaron recursos y retrasaron la atención de los pacientes, añadió.

Microsoft y Health-ISAC presentaron una denuncia civil contra el presunto creador Saad Fridi y cuatro asociados anónimos, exigiendo una orden judicial de 10 millones de dólares por desarrollar, ejecutar y vender Tycoon 2FA. La orden judicial permitió a Microsoft desmantelar y tomar posesión de la infraestructura técnica de Tycoon 2FA.

Autoridades de Letonia, Lituania, Portugal, Polonia, España y el Reino Unido ayudaron en la operación junto con Cloudflare, Coinbase, Crowell & Moring, eSentire, Intel 471, Proofpoint, Resecurity, Shadowserver, SpyCloud y Trend Micro.

Selena Larson, investigadora de amenazas del personal de Proofpoint que proporcionó un declaración formal en apoyo de la orden judicialdijo que Tycoon 2FA fue responsable del mayor volumen de ataques de phishing de adversario en el medio observados por Proofpoint.

«Tycoon fue la mayor amenaza de phishing de MFA en nuestros datos y anticipamos ver una disminución significativa después de esta operación», dijo a CyberScoop.

«Muchos clientes encontrarán que su herramienta de piratería ya no funciona, e incluso si Tycoon 2FA es capaz de crear nuevos dominios e infraestructura, la marca se verá significativamente perjudicada, y los clientes comprarán un kit de phishing menos eficaz o potencialmente repensarán sus elecciones de vida y saldrán del juego», añadió Larson.

Las capacidades robustas y fáciles de usar de Tycoon 2FA contribuyeron a su popularidad, dijeron los investigadores. El código base de la plataforma se actualizaba periódicamente y los operadores generaban un gran volumen de subdominios durante breves períodos antes de abandonarlos y pasar a nuevos dominios.

Los investigadores dijeron que la rápida rotación y los cambios a infraestructura temporal complicaron los esfuerzos para detectar y bloquear nuevas campañas.

La eliminación de Tycoon 2FA se produce tras una reciente ola de medidas enérgicas contra los delitos cibernéticos, incluidas acciones contra Racoon0365 y la operación de robo de información Lumma Stealer, que infectó alrededor de 10 millones de sistemas.

¿Puede sobrevivir el anonimato en Internet en la era de la IA generativa?

Un reciente estudiar de ETH Zurich examinó cómo los modelos de lenguaje grandes pueden combinar información de Internet para identificar al ser humano detrás de las cuentas de varias plataformas en línea.

En el estudio, los agentes de LLM recibieron biografías anónimas basadas en perfiles reales de usuarios en HackerNews y Reddit, y se les pidió que buscaran en Internet más detalles en un esfuerzo por identificar a los usuarios. Si bien los resultados variaron, las herramientas pudieron reemplazar “en minutos lo que un investigador humano dedicado podría tardar horas”. Para un conjunto de datos de perfiles proporcionado por la empresa de inteligencia artificial Anthropic, que también participó en el estudio, el LLM pudo volver a identificar correctamente a 9 de los 125 candidatos, a menudo simplemente dándole un resumen del perfil y pidiendo que identificara al usuario.

Los modelos ajustados identificaron a más personas conectando la información existente a perfiles de redes sociales como LinkedIn.

«Demostramos que los LLM cambian fundamentalmente el panorama, permitiendo ataques de anonimización totalmente automatizados que operan en texto no estructurado a escala», concluye el estudio.

Daniel Paleka, estudiante de doctorado y uno de los varios autores del estudio, dijo a CyberScoop que los hallazgos indican que las herramientas de inteligencia artificial han facilitado sustancialmente la identificación de personas pseudoanónimas en línea.

«Si su seguridad operativa requiere que nadie pase horas o días investigando quién es usted, este modelo de seguridad ya no funciona», afirmó.

Una advertencia importante: las personas identificadas en el estudio no eran personas con un alto nivel de privacidad que buscaban limitar la difusión de su información personal en Internet. Por razones éticas, los investigadores no probaron sus métodos en carteles reales, anónimos o pseudoanónimos.

Ya se han utilizado herramientas de inteligencia artificial para desenmascarar a personas en línea. El mes pasado, Grok de xAI reveló el nombre legal y la dirección de una actriz de cine para adultos, a pesar de que la persona ha utilizado un nombre artístico desde 2012. La intérprete, dirigiéndose a grok directamente en X, dijo que su nombre legal solo se hizo público después de que la herramienta de IA la había «doxxed», y que desde entonces su información privada había «sido proliferada en todo Internet por otros raspadores de IA».

Si bien los analistas de inteligencia y aplicación de la ley han combinado durante mucho tiempo Internet y otros datos de código abierto para identificar a los usuarios, los LLM pueden hacerlo mucho más rápido y a un costo mucho menor. Las investigaciones que normalmente requerirían la contratación de un investigador privado o un bufete de abogados ahora se pueden realizar por una fracción del costo.

Por ejemplo, Paleka dijo que algunas tareas fundamentales, como rastrear la huella en línea de una persona para identificar cualquier signo de nacionalidad, ubicación o lugar de empleo, ahora pueden ser realizadas por LLM en “cinco segundos” y por unos centavos en costos de inferencia.

En un momento, Paleka dijo «Estoy muy preocupado» y describió las capacidades de desanonimización de los LLM como una «invasión de la privacidad a gran escala».

“En general, no creo que la IA deba limitar a sus usuarios… este es uno de esos casos en los que tu libertad termina cuando la libertad de la otra persona [begins]”, dijo.

El estudio indica que las herramientas de inteligencia artificial podrían remodelar la privacidad en línea, y que los gobiernos, las fuerzas del orden, la industria legal, los anunciantes, los estafadores y los ciberdelincuentes utilizan herramientas similares. En países represivos, podría presentar mayores desafíos a los disidentes, activistas de derechos humanos, periodistas y otras personas que dependen del anonimato o pseudoanonimato para operar de manera segura.

Jacob Hoffman-Andrews, tecnólogo senior de la Electronic Frontier Foundation, dijo que el estudio “indica definitivamente hasta qué punto publicar incluso una pequeña cantidad de información de identificación – en contextos donde no imaginas que alguien esté tratando de desenmascararte – podría resultar en que alguien vincule esa identidad de alguna manera” a través de LLM.

Publicar incluso detalles personales inofensivos, o en la misma cuenta durante un largo período de tiempo, puede facilitar que una herramienta de inteligencia artificial correlacione una cuenta con otras y, eventualmente, con su identidad real. Los modelos de lenguaje grandes destacan por resumir documentos e información. También «trabajan rápido y no se aburren», dijo Hoffman-Andrews, lo que los hace ideales para la investigación en Internet.

Paleka dijo que las empresas que brindan servicios de seguros o verificación de antecedentes probablemente tendrían un gran interés en la tecnología de anonimización, y Hoffman-Andrews dijo que era fácil imaginar que las empresas de inteligencia artificial intentaran convertir las capacidades en un producto independiente en algún momento.

Es probable que el impacto a largo plazo sea una Internet en la que permanecer en el anonimato sea, para bien o para mal, mucho más difícil.

«Creo que tiene mucho valor ser pseudoanónimo en Internet, y hay muchas personas que quieren mantener [that] por una amplia variedad de razones y no todos deberían necesitar ser expertos en cómo evitar un adversario realmente dedicado, como efectivamente lo es un LLM”, dijo Hoffman-Andrews.

Los investigadores de ciberseguridad han advertido sobre un aumento en la actividad hacktivista de represalia luego de la operación coordinada entre Estados Unidos e Israel. Campaña militar contra Irán.con nombre en código Epic Fury y Roaring Lion.

«La amenaza hacktivista en Medio Oriente está muy desequilibrada, con dos grupos, Keymous+ y DieNet, impulsando casi el 70% de toda la actividad de ataque entre el 28 de febrero y el 2 de marzo», Radware dicho en un informe del martes. El primer ataque distribuido de denegación de servicio (DDoS) fue lanzado por Hider Nex (también conocido como Túnezn Maskers Cyber ​​Force) el 28 de febrero de 2026.

De acuerdo a detalles compartido por Orange Cyberdefense, Hider Nex es un oscuro grupo hacktivista tunecino que apoya causas pro palestinas. Aprovecha una estrategia de pirateo y filtración que combina ataques DDoS con violaciones de datos para filtrar datos confidenciales y avanzar en su agenda geopolítica. El grupo surgió a mediados de 2025.

En total, se registraron un total de 149 reclamaciones de hacktivistas DDoS dirigidas a 110 organizaciones distintas en 16 países. Los ataques fueron llevados a cabo por 12 grupos diferentes, entre ellos Keymus+, DieNety NoName057(16), que representó el 74,6% de toda la actividad.

De estos ataques, la gran mayoría, 107, se concentraron en Medio Oriente y apuntaron desproporcionadamente a infraestructuras públicas y objetivos a nivel estatal. Europa fue el objetivo del 22,8% de la actividad global total durante el período. Casi el 47,8% de todas las organizaciones objetivo a nivel mundial pertenecían al sector gubernamental, seguido por los sectores de finanzas (11,9%) y telecomunicaciones (6,7%).

«El frente digital se está expandiendo junto con el físico en la región, con grupos hacktivistas atacando simultáneamente a más naciones en el Medio Oriente que nunca», dijo Radware. «La distribución de los ataques dentro de la región se concentró en gran medida en tres naciones específicas: Kuwait, Israel y Jordania, donde Kuwait representó el 28%, Israel el 27,1% y Jordania el 21,5% del total de ataques reclamados».

Además de Keymous+, DieNet y NoName057(16), algunos de los otros grupos que han participado en operaciones disruptivas incluyen Nation of Saviors (NOS), Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, Cyber ​​Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors y PalachPro, según datos de Flashpoint, Palo Alto Networks Unit 42 y Radware.

El alcance actual de los ciberataques se enumera a continuación:

• Grupos hacktivistas prorrusos como Cardinal y Russian Legion reclamado haber violado las redes militares israelíes, incluido su sistema de defensa antimisiles Cúpula de Hierro.
• Se ha observado una campaña activa de phishing por SMS utilizando una réplica fraudulenta de la aplicación RedAlert del Home Front Command israelí para ofrecer vigilancia móvil y malware de filtración de datos. «Al manipular a las víctimas para que descarguen este APK malicioso bajo la apariencia de una actualización urgente en tiempos de guerra, los adversarios implementan con éxito una interfaz de alerta completamente funcional que enmascara un motor de vigilancia invasivo diseñado para aprovecharse de una población hipervigilante», CloudSEK dicho.
• El Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI) apuntó a los sectores de energía e infraestructura digital en Medio Oriente, atacando a Saudi Aramco y un centro de datos de Amazon Web Services en los Emiratos Árabes Unidos con la intención de «infligir el máximo dolor económico global como contrapresión a las pérdidas militares», dijo Flashpoint.
• Tormenta de arena de algodón (también conocido como Haywire Kitten) revivido su antiguo personaje cibernético, Equipo Altoufanafirmando haber pirateado sitios web en Bahréin. «Esto refleja la naturaleza reactiva de las campañas del actor y una alta probabilidad de su mayor participación en intrusiones en todo el Medio Oriente en medio del conflicto», dijo Check Point.
• Datos recopilados por Nozomi Networks muestra que el grupo de hackers patrocinado por el estado iraní conocido como UNC1549 (también conocido como GalaxyGato, Nimbus Manticore o Subtle Snail) fue el cuarto actor más activo en la segunda mitad de 2025, centrando sus ataques en entidades de defensa, aeroespaciales, de telecomunicaciones y de gobiernos regionales para promover las prioridades geopolíticas de la nación.
• Los principales intercambios de criptomonedas iraníes tienen permaneció operativo pero ajustes operativos anunciadosya sea suspendiendo o agrupando retiros, y emitiendo una guía de riesgo que insta a los usuarios a prepararse para una posible interrupción de la conectividad.
• «Lo que estamos viendo en Irán no es una evidencia clara de una fuga masiva de capitales, sino más bien un mercado que gestiona la volatilidad en condiciones conectividad restringida e intervención regulatoria», dijo Ari Redbord, Jefe Global de Políticas de TRM Labs. «Durante años, Irán ha operado una economía sumergida que, en parte, ha utilizado criptomonedas para evadir sanciones, incluso a través de sofisticadas infraestructuras extraterritoriales. Lo que estamos viendo ahora –bajo la presión de la guerra, los cortes de conectividad y los mercados volátiles– es una prueba de estrés en tiempo real de esa infraestructura y la capacidad del régimen para aprovecharla».
• sofos dicho «observó un aumento en la actividad hacktivista, pero no una escalada en el riesgo», principalmente de personas pro-Irán, incluido el equipo Handala Hack y APT Irán en forma de ataques DDoS, desfiguraciones de sitios web y afirmaciones no verificadas de compromisos que involucran infraestructura israelí.
• El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) alertado organizaciones a un mayor riesgo de ataques cibernéticos iraníes, instándolas a fortalecer su postura de ciberseguridad para responder mejor a ataques DDoS, actividad de phishingy Orientación ICS.

En una publicación compartida en LinkedIn, Cynthia Kaiser, vicepresidenta senior del centro de investigación de ransomware en Halcyon y ex subdirectora adjunta de la División Cibernética de la Oficina Federal de Investigaciones, dijo que Irán tiene un historial de uso de operaciones cibernéticas para tomar represalias contra «desaires políticos percibidos», y agregó que estas actividades han incorporado cada vez más ransomware.

«Teherán ha preferido durante mucho tiempo hacer la vista gorda, o al menos indiferente, a las operaciones cibernéticas privadas contra objetivos en EE.UU., Israel y otros países aliados», afirmó Kaiser. agregado. «Eso se debe a que tener acceso a ciberdelincuentes le da opciones al gobierno. Mientras Irán considera su respuesta a las acciones militares de Estados Unidos e Israel, es probable que active a cualquiera de estos ciberactores si cree que sus operaciones pueden generar un impacto de represalia significativo».

La empresa de ciberseguridad SentinelOne también ha juzgado con un alto nivel de confianza en que las organizaciones en Israel, los EE. UU. y las naciones aliadas probablemente enfrenten ataques directos o indirectos, particularmente dentro de los sectores gubernamental, de infraestructura crítica, de defensa, de servicios financieros, académicos y de medios.

«Los actores de amenazas iraníes han demostrado históricamente una voluntad de combinar operaciones de espionaje, perturbación e impacto psicológico para avanzar en objetivos estratégicos», Nozomi Networks dicho. «En períodos de inestabilidad, estas operaciones a menudo se intensifican, apuntando a infraestructuras críticas, redes de energía, entidades gubernamentales y la industria privada mucho más allá de la zona inmediata del conflicto».

Para contrarrestar el riesgo que plantea el conflicto cinético, se recomienda a las organizaciones activar el monitoreo continuo para reflejar la actividad de amenazas intensificada, actualizar las firmas de inteligencia de amenazas, reducir la superficie de ataque externo, realizar revisiones exhaustivas de la exposición de los activos conectados, validar la segmentación adecuada entre las redes de tecnología de la información y de tecnología operativa, y garantizar el aislamiento adecuado de los dispositivos de IoT.

«En conflictos pasados, los actores cibernéticos de Teherán han alineado su actividad con objetivos estratégicos más amplios que aumentan la presión y la visibilidad de los objetivos, incluida la energía, la infraestructura crítica, las finanzas, las telecomunicaciones y la atención médica», dijo Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike, en un comunicado compartido con The Hacker News.

«Los adversarios iraníes han seguido evolucionando su oficio, expandiéndose más allá de las intrusiones tradicionales hacia la nube y las operaciones centradas en la identidad, lo que los posiciona para actuar rápidamente en entornos empresariales híbridos con mayor escala e impacto».

Autoridades de 14 países cerrar LeakBaseconfiscó sus dominios y arrestó a varias personas presuntamente involucradas en el mercado del delito cibernético por datos robados y herramientas de piratería, dijo el miércoles el Departamento de Justicia.

LeakBase tenía más de 142.000 miembros, lo que lo sitúa entre los foros para ciberdelincuentes más grandes del mundo. El sitio, que estaba disponible en la web abierta, contenía un archivo masivo de bases de datos pirateadas que incluía cientos de millones de credenciales de cuentas, dijeron los funcionarios.

Según los funcionarios, las bases de datos robadas, que incluían datos de corporaciones e individuos estadounidenses, estaban vinculadas a muchos ataques de alto perfil. Los datos incautados por las autoridades revelaron un tesoro de números de tarjetas de crédito y débito, información de rutas y cuentas bancarias, credenciales para apropiaciones de cuentas, registros comerciales confidenciales e información de identificación personal.

«El FBI, Europol y agencias de aplicación de la ley de todo el mundo ejecutaron un desmantelamiento de LeakBase, una de las plataformas cibercriminales en línea más grandes, confiscando cuentas de usuarios, publicaciones, detalles de crédito, mensajes privados y registros de IP con fines probatorios», dijo Brett Leatherman, subdirector de la división cibernética del FBI, en un comunicado.

Las agencias policiales involucradas en la operación de derribo coordinada globalmente, que comenzó el martes, ejecutaron órdenes de registro, realizaron arrestos y entrevistaron a personas en Estados Unidos, Australia, Bélgica, Polonia, Portugal, Rumania, España y el Reino Unido.

Las autoridades no nombraron de inmediato a ningún sospechoso, pero parte de la actividad ocurrió en San Diego y Provo, Utah. Los funcionarios dijeron que las oficinas de campo del FBI en San Diego y Salt Lake City, que está investigando el caso, participaron en la operación a nivel nacional. El Departamento de Policía de Provo también estuvo involucrado.

“Ocultarse detrás de una pantalla no protege a los ciberdelincuentes de la responsabilidad”, afirmó en un comunicado Robert Bohls, agente especial a cargo de la oficina de campo del FBI en Salt Lake City.

Las autoridades identificaron a varios usuarios que creían que estaban operando de forma anónima al apoderarse de la base de datos del foro.

«Esta operación internacional demuestra la fuerza de nuestras alianzas globales y nuestro compromiso compartido para alterar las plataformas que facilitan el robo de datos y la victimización de personas y organizaciones inocentes en todo el mundo», añadió Bohls. «Juntos, continuaremos identificando, desmantelando y responsabilizando a quienes buscan sacar provecho del cibercrimen, sin importar dónde operen».

Europol, que organizó la operación coordinada en La Haya, describió a LeakBase como “uneje central en el ecosistema del cibercrimen» que se especializaba en bases de datos filtradas y registros de ladrones. El sitio en inglés, que ha estado activo desde 2021, contenía más de 32.000 publicaciones y más de 215.000 mensajes privados.

Las autoridades participaron colectivamente en alrededor de 100 acciones de cumplimiento a nivel mundial y tomaron medidas contra 37 de los usuarios más activos de la plataforma el martes, según Europol.

La fase de interrupción técnica comenzó el miércoles y el El sitio ahora muestra una página de incautación.. Funcionarios de Canadá, Alemania, Grecia, Kosovo, Malasia y Países Bajos también apoyan la investigación.

«Junto con nuestros socios, estamos enviando el mensaje de que ningún delincuente es verdaderamente anónimo en línea y eliminando un punto fácil de acceso a información robada sobre empresas e individuos estadounidenses», dijo Leatherman. «El FBI seguirá defendiendo la patria desmantelando los servicios clave que utilizan los ciberdelincuentes para facilitar sus ataques».

de nubeflare informe inaugural de inteligencia sobre amenazas identifica una serie de debilidades en la tecnología de la que los atacantes han abusado e industrializado en «fábricas de ataques» profesionales, dejando a la mayoría de las organizaciones sin preparación para responder.

Los atacantes están convirtiendo los mismos servicios que las víctimas implementan y pagan en herramientas para lanzar ataques a gran escala. Los investigadores dicen que la barrera de entrada ha desaparecido, ya que las identidades y los tokens permiten a los atacantes convertir en armas las brechas en los sistemas basados ​​en la nube.

Los entornos de las organizaciones están plagados de posibles puntos de entrada. A medida que se difunde el modelo de todo como servicio, los sistemas se vuelven más interconectados y dependientes unos de otros, y muchos componentes de software son accesibles de maneras que los hacen casi tan accesibles para los atacantes como para los usuarios legítimos.

«Cuando una de esas interconexiones falla, de repente todo sale mal», dijo a CyberScoop Blake Darché, jefe de la unidad de inteligencia de amenazas de Cloudflare, Cloudforce One.

«Los datos son más accesibles que nunca, lo cual es bueno en muchos casos, pero los actores de amenazas están utilizando ese fácil acceso a esos datos como una forma de explotar a las personas, los sistemas y las organizaciones», añadió. «Será cada vez más difícil. Creo que algunas de las herramientas de inteligencia artificial lo empeorarán aún más».

Los atacantes han convertido «el tejido conectivo de la empresa moderna en su principal vulnerabilidad», escribieron los investigadores en el informe.

Cloudflare espera que los atacantes exploten las plataformas de forma rutinaria como táctica estándar este año. Los ciberdelincuentes, los estados-nación y otros utilizan habitualmente recursos de la nube pública para mezclarse con el tráfico legítimo, proporcionar infraestructura para las operaciones y lanzar señuelos de phishing basados ​​en enlaces en correos electrónicos que eluden o eluden protecciones ineficaces, escribieron los investigadores en el informe.

Las debilidades en las fisuras de los entornos de nube complejos son abundantes y trascendentes, lo que permite que los ataques basados ​​en identidad logren el mismo resultado que el malware complejo o los exploits de día cero.

Estos puntos ciegos hacen que los barómetros tradicionales de peligro (la sofisticación demostrada de los atacantes a través de un código elegante o novedosos días cero) sean efectivamente triviales, escribieron los investigadores en el informe.

«Si usted es una empresa que acaba de perder un millón de registros, no importa si el autor de la amenaza era sofisticado, poco sofisticado o un niño», dijo Darché.

Cloudflare sostiene que la industria debería replantear la forma en que categoriza el riesgo y adoptar un enfoque más pragmático: centrarse en la “eficacia”, medida por la relación entre el esfuerzo de un atacante y el resultado operativo que logra.

«Resulta que no es necesario ser sofisticado para tener éxito», dijo Darché. «En la industria, estamos demasiado centrados en la sofisticación de las amenazas y probablemente ya no se trate de eso, y con el tiempo se volverá menos el nivel de sofisticación».

La ola de ataques de gran alcance que se originó en Salesloft Drift el verano pasado, que afectó a Cloudflare y a más de 700 empresas adicionales a través de la conexión del agente de IA externo con Salesforce, ejemplificó los riesgos que acechan en lugares inesperados de la cadena de suministro.

Las relaciones de confianza de las que dependen estos servicios interconectados deben examinarse más a fondo, afirmó Darché. «Usted, como propietario de los datos, ni siquiera sabe adónde van a parar sus datos y su exposición es casi infinita».

Google dijo que identificó un kit de explotación «nuevo y poderoso» denominado La Coruña (también conocido como CryptoWaters) dirigido a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.

El kit de exploits incluía cinco cadenas completas de exploits para iOS y un total de 23 exploits, dijo Google Threat Intelligence Group (GTIG). No es efectivo contra la última versión de iOS. Los hallazgos fueron reportado por primera vez por CABLEADO.

«El valor técnico principal de este kit de exploits radica en su colección completa de exploits para iOS, y los más avanzados utilizan técnicas de explotación no públicas y omisiones de mitigación». de acuerdo a a GTIG. «El marco que rodea el kit de exploits está extremadamente bien diseñado; todas las piezas del exploit están conectadas de forma natural y se combinan mediante marcos de utilidad y explotación comunes».

Se dice que el kit ha circulado entre múltiples actores de amenazas desde febrero de 2025, pasando de una operación de vigilancia comercial a un atacante respaldado por el gobierno y, finalmente, a un actor de amenazas con motivación financiera que opera desde China en diciembre.

Actualmente no se sabe cómo cambió de manos el kit de exploits, pero los hallazgos apuntan a un mercado activo para exploits de día cero de segunda mano, lo que permite a otros actores de amenazas reutilizarlos para sus propios objetivos. En un informe relacionado, iVerify dicho El kit de explotación tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.

«La Coruña es uno de los ejemplos más significativos que hemos observado de capacidades sofisticadas de software espía que proliferan desde proveedores comerciales de vigilancia hasta manos de actores estatales y, en última instancia, operaciones criminales a gran escala», iVerify dicho.

El proveedor de seguridad móvil dijo que el uso del sofisticado marco de explotación marca la primera explotación masiva observada contra dispositivos iOS, lo que indica que los ataques de software espía están pasando de ser altamente dirigidos a un despliegue amplio.

Google dijo que capturó por primera vez partes de una cadena de exploits de iOS utilizada por un cliente de una empresa de vigilancia anónima a principios del año pasado, con los exploits integrados en un marco de JavaScript nunca antes visto. El marco está diseñado para tomar huellas dactilares del dispositivo para determinar si es real y recopilar detalles, incluido el modelo de iPhone específico y la versión del software iOS que está ejecutando.

Luego, el marco carga el exploit de ejecución remota de código (RCE) de WebKit apropiado en función de los datos de huellas dactilares, seguido de la ejecución de una omisión del código de autenticación de puntero (PAC). El exploit en cuestión se relaciona con CVE-2024-23222, un error de confusión de tipos en WebKit que Apple parchó en enero de 2024 con iOS 17.3 y iPadOS 17.3 y iOS 16.7.5 y iPadOS 16.7.5.

En julio de 2025, se detectó el mismo marco de JavaScript en el dominio «cdn.uacounter[.]com», que se cargó como un iFrame oculto en sitios web ucranianos comprometidos. Esto incluía sitios web que abastecían a equipos industriales, herramientas minoristas, servicios locales y comercio electrónico. Se considera que un presunto grupo de espionaje ruso llamado UNC6353 está detrás de la campaña.

Lo interesante de la actividad fue que el marco se entregó sólo a ciertos usuarios de iPhone desde una geolocalización específica. Los exploits implementados como parte del marco consistieron en CVE-2024-23222, CVE-2022-48503 y CVE-2023-43000el último de los cuales es una falla de uso después de la liberación en WebKit.

Vale la pena señalar que Apple solucionó CVE-2023-43000 en iOS 16.6 y iPadOS 16.6, lanzados en julio de 2023. Sin embargo, las notas de la versión de seguridad se actualizaron para incluir una entrada para la vulnerabilidad solo el 11 de noviembre de 2025.

La tercera vez que se detectó un marco de JavaScript en la naturaleza fue en diciembre de 2025. Se descubrió que un grupo de sitios web chinos falsos, la mayoría de ellos relacionados con finanzas, abandonaban el kit de explotación de iOS, al tiempo que instaban a los usuarios a visitarlos desde un iPhone o iPad para una mejor experiencia de usuario. La actividad se atribuye a un grupo de amenazas rastreado como UNC6691.

Una vez que se accede a estos sitios web a través de un dispositivo iOS, se inyecta un iFrame oculto para entregar el kit de explotación Coruna que contiene CVE-2024-23222. La entrega del exploit, en este caso, no estuvo limitada por ningún criterio de geolocalización.

Un análisis más detallado de la infraestructura del actor de amenazas condujo al descubrimiento de una versión de depuración del kit de exploits, junto con varias muestras que cubren cinco cadenas completas de exploits de iOS. Se han identificado un total de 23 exploits que cubren versiones desde iOS 13 hasta iOS 17.2.1.

Algunos de los CVE explotados por el kit y las correspondientes versiones de iOS a las que apuntaban se enumeran a continuación:

«Photon y Gallium están explotando vulnerabilidades que también se utilizaron como día cero como parte de la Operación Triangulación», dijo Google. «El kit de explotación Coruna también incorpora módulos reutilizables para facilitar la explotación de las vulnerabilidades antes mencionadas».

En diciembre de 2023, el gobierno ruso afirmó que la campaña era obra de la Agencia de Seguridad Nacional de EE. UU., acusándola de piratear «varios miles» de dispositivos Apple pertenecientes a suscriptores nacionales y diplomáticos extranjeros como parte de una «operación de reconocimiento».

Se ha observado que UNC6691 utiliza el exploit como arma para entregar un binario stager con nombre en código PlasmaLoader (también conocido como PLASMAGRID) que está diseñado para decodificar códigos QR a partir de imágenes y ejecutar módulos adicionales recuperados de un servidor externo, lo que le permite filtrar billeteras de criptomonedas o información confidencial de varias aplicaciones como Base, Bitget Wallet, Exodus y MetaMask, entre otras.

«El implante contiene una lista de C2 codificados, pero tiene un mecanismo de respaldo en caso de que los servidores no respondan», añadió GTIG. «El implante incorpora un algoritmo de generación de dominio personalizado (DGA) que utiliza la cadena ‘lazarus’ como semilla para generar una lista de dominios predecibles. Los dominios tendrán 15 caracteres y utilizarán .xyz como TLD. Los atacantes utilizan el sistema de resolución de DNS público de Google para validar si los dominios están activos».

Un aspecto notable de Coruña es que omite la ejecución en dispositivos en modo de bloqueo o si el usuario se encuentra en navegación privada. Para contrarrestar la amenaza, se recomienda a los usuarios de iPhone que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo para mayor seguridad.

A medida que la IA se convierte en el motor central de la productividad empresarial, los líderes de seguridad finalmente obtienen luz verde (y el presupuesto) para asegurarla. Pero se está desarrollando una crisis silenciosa en la sala de juntas: muchas organizaciones saben que necesitan «gobernanza de la IA», pero no tienen idea de lo que realmente están buscando.

El dilema del CISO: tiene el presupuesto para IA, pero ¿tiene los requisitos?

A medida que la IA se convierte en el motor central de la productividad empresarial, los líderes de seguridad finalmente obtienen luz verde (y el presupuesto) para asegurarla. Pero se está desarrollando una crisis silenciosa en la sala de juntas: muchas organizaciones saben que necesitan «gobernanza de la IA», pero no tienen idea de lo que realmente están buscando.

Sin una forma estructurada de evaluar el creciente mercado de soluciones de control de uso de IA (AUC), los equipos corren el riesgo de «invertir» en herramientas heredadas que nunca se crearon para la era de los flujos de trabajo agentes y las extensiones de navegador oculto.

un nuevo Guía RFP para evaluar soluciones de control de uso y gobernanza de IA ha sido lanzado para resolver este problema exacto. No es sólo una lista de verificación; es un marco técnico diseñado para ayudar a los arquitectos de seguridad y CISO a pasar de objetivos vagos de «seguridad de IA» a criterios de proyecto específicos y mensurables.

Detener la lucha contra la proliferación de aplicaciones; Comience a gobernar las interacciones

La sabiduría convencional dice que para proteger la IA, es necesario catalogar cada aplicación que tocan sus empleados. Esta es una batalla perdida. La Guía RFP aboga por un cambio contrario a la intuición: la seguridad de la IA no es un problema de «aplicaciones»; es un problema de interacción.

Si te concentras en la aplicación, siempre estarás poniéndote al día con las más de 500 nuevas herramientas basadas en GPT que se lanzan cada semana. Si te concentras en el interacción (es decir, en el momento en que se escribe un mensaje o se carga un archivo), usted obtiene un control independiente de las herramientas.

El beneficio para usted: Al utilizar esta RFP para exigir una «inspección a nivel de interacción», deja de ser un cuello de botella para la innovación y comienza a ser un guardián de los datos, independientemente de qué herramienta de «IA en la sombra» acaba de descubrir su equipo de marketing.

Por qué su pila de seguridad actual no pasa la prueba de IA

Muchos proveedores afirman que «hacen seguridad de IA» como una característica de casilla de verificación dentro de su CASB o SSE. La Guía RFP le ayuda a comprender este marketing. La mayoría de las herramientas heredadas dependen de la visibilidad de la capa de red, que no ve lo que sucede dentro de un panel del lado del navegador o un complemento IDE cifrado.

La Guía obliga a los proveedores a responder las preguntas difíciles:

• ¿Puedes detectar el uso de IA en modo incógnito?
• ¿Admite navegadores «nativos de IA» como Atlas, Dia o Comet?
• ¿Puedes distinguir entre una identidad corporativa y una personal en una misma sesión?

El beneficio para usted: Este enfoque estructurado evita el «lavado de funciones» al obligar a los proveedores a demostrar que pueden operar en el punto de interacción sin requerir agentes de punto final pesados ​​ni cambios disruptivos en la red.

Los ocho pilares de un proyecto maduro de gobernanza de la IA

La plantilla RFP proporciona un sistema de calificación técnica en ocho dominios críticos para garantizar que la solución elegida esté preparada para el futuro:

La gobernanza no es un documento de política. Son controles ejecutables y mensurables.

El objetivo de esta RFP no es sólo recopilar datos; es para calificarlo. La Guía incluye un formato de respuesta que requiere que los proveedores proporcionen algo más que un simple «Sí/No». Más bien, deben describir la cómo y proporcionar referencias.

Este nivel de estructura elimina las conjeturas en el ámbito de las adquisiciones. En lugar de un «sentimiento» subjetivo acerca de un proveedor, obtiene una comparación basada en puntajes de cómo manejan los riesgos del mundo real, como inyecciones rápidas y entornos BYOD no administrados.

Su próximo paso: defina sus requisitos antes de que el mercado los defina por usted

Utilice el Guía RFP para evaluar soluciones de control de uso de IA para tomar la iniciativa. Le ayudará a estandarizar su evaluación, acelerar su investigación y, en última instancia, permitir una adopción segura de la IA que crezca con el negocio.

Descargue la guía y la plantilla de RFP aquí para comenzar a construir su marco de gobernanza de IA hoy.