Google ha anunciado la integración de un analizador de sistema de nombres de dominio (DNS) basado en Rust en el firmware del módem como parte de sus esfuerzos continuos para reforzar la seguridad de los dispositivos Pixel e impulsar el código seguro para la memoria a un nivel más básico.

«El nuevo analizador de DNS basado en Rust reduce significativamente nuestro riesgo de seguridad al mitigar toda una clase de vulnerabilidades en un área de riesgo, al mismo tiempo que sienta las bases para una adopción más amplia de código seguro para la memoria en otras áreas», dijo Jiacheng Lu, ingeniero de software que forma parte del equipo Google Pixel. dicho.

El aumento de seguridad a través de la integración de Rust está disponible para dispositivos Pixel 10, lo que lo convierte en el primer dispositivo Pixel en integrar un lenguaje seguro para la memoria en su módem.

La medida se basa en una serie de iniciativas que el gigante tecnológico ha tomado para proteger el módem de banda base celular contra la explotación. A finales de 2023, destacó el papel que desempeñan los desinfectantes de Clang como Overflow Sanitizer (IntSan) y BoundsSanitizer (BoundSan) para detectar comportamientos indefinidos durante la ejecución del programa.

Un año después, también detalló las diversas medidas de seguridad integradas en el firmware del módem para combatir los exploits 2G y los ataques de banda base que aprovechan las vulnerabilidades de seguridad de la memoria, como los desbordamientos del búfer, para lograr la ejecución remota de código.

Estos avances en seguridad se han complementado con la adopción constante de Rust por parte de Google en Android y firmware de bajo nivel. En noviembre de 2025, la compañía reveló que la cantidad de vulnerabilidades de seguridad de la memoria cayó por debajo del 20% del total de vulnerabilidades descubiertas en el sistema operativo móvil el año pasado.

Google dijo que optó por el protocolo DNS para su implementación de Rust debido al hecho de que sustenta las comunicaciones celulares modernas y que las vulnerabilidades en el sistema pueden exponer a los usuarios a ataques maliciosos cuando se diseña en un lenguaje que no es seguro para la memoria, lo que resulta en accesos a la memoria fuera de límites, como en el caso de CVE-2024-27227.

«Con la evolución de la tecnología celular, las comunicaciones celulares modernas han migrado a redes de datos digitales; en consecuencia, incluso las operaciones básicas como el desvío de llamadas dependen de los servicios DNS», añadió. «La implementación del analizador DNS en Rust ofrece valor al disminuir las superficies de ataque asociadas con la inseguridad de la memoria».

Para ello, Google ha elegido la opción «nogal-proto«caja, un Cliente, servidor y solucionador DNS basado en Rustpara implementar el protocolo y modificarlo para que sea compatible con entornos integrados y sin sistema operativo. Otro componente importante de este cambio es el uso de una herramienta personalizada llamada «roer carga«para resolver y mantener fácilmente más de 30 dependencias introducidas por la caja.

La compañía de Internet también señaló que la caja DNS Rust no está optimizada para su uso en sistemas con memoria limitada, y que una posible optimización del tamaño del código podría lograrse agregando indicadores de características adicionales para garantizar la modularidad y compilar selectivamente solo la funcionalidad requerida.

«Para el analizador de DNS, declaramos la API de análisis de respuesta de DNS en C y luego implementamos la misma API en Rust», dijo Google. «La función Rust devuelve un número entero que representa el código de error. Las respuestas DNS recibidas en la respuesta DNS deben actualizarse a estructuras de datos en memoria que están acopladas con la implementación C original; por lo tanto, utilizamos funciones C existentes para hacerlo. Las funciones C existentes se envían desde la implementación Rust».

Un incipiente troyano de acceso remoto para Android llamado mirax Se ha observado que se dirige activamente a países de habla hispana, con campañas que llegan a más de 220.000 cuentas en Facebook, Instagram, Messenger y Threads a través de anuncios en Meta.

«Mirax integra capacidades avanzadas de troyano de acceso remoto (RAT), lo que permite a los actores de amenazas interactuar completamente con los dispositivos comprometidos en tiempo real», dijo la empresa italiana de prevención de fraude en línea Cleafy. dicho.

«Más allá del comportamiento tradicional de RAT, Mirax mejora su valor operativo al convertir los dispositivos infectados en nodos proxy residenciales. Aprovechando el soporte del protocolo SOCKS5 y la multiplexación Yamux, establece canales proxy persistentes que permiten a los atacantes enrutar su tráfico a través de la dirección IP real de la víctima».

Los detalles de Mirax surgieron por primera vez el mes pasado cuando KrakenLabs de Outpost24 reveló que un actor de amenazas llamado «Mirax Bot» había estado anunciando una oferta privada de malware como servicio (MaaS) en foros clandestinos por 2.500 dólares por una suscripción de tres meses. También está disponible por $ 1,750 por mes una variante liviana que elimina ciertas funciones como el proxy y la capacidad de omitir Google Play Protect usando un cifrado.

Al igual que otros programas maliciosos de Android, Mirax admite la capacidad de capturar pulsaciones de teclas, robar fotos, recopilar detalles de la pantalla de bloqueo, ejecutar comandos, navegar por la interfaz de usuario y monitorear la actividad del usuario en el dispositivo comprometido. También puede recuperar dinámicamente páginas HTML superpuestas desde un servidor de comando y control (C2) para representarlas en aplicaciones legítimas para el robo de credenciales.

La incorporación de un proxy SOCKS, por otro lado, es una característica relativamente menos conocida que lo distingue del comportamiento RAT convencional. La botnet proxy ofrece varias ventajas porque permite a los actores de amenazas eludir las restricciones basadas en la geolocalización, evadir los sistemas de detección de fraude y realizar apropiaciones de cuentas o fraudes en transacciones bajo la apariencia de un mayor anonimato y legitimidad.

«A diferencia de las ofertas típicas de MaaS, Mirax se distribuye a través de un modelo exclusivo y altamente controlado, limitado a un pequeño número de afiliados», dijeron los investigadores Alberto Giust, Alessandro Strino y Federico Valentini. «El acceso parece tener prioridad para los actores de habla rusa con reputación establecida en las comunidades clandestinas, lo que indica un esfuerzo deliberado para mantener la seguridad operativa y la eficacia de la campaña».

Las cadenas de ataque que distribuyen el malware utilizan metaanuncios para promocionar páginas web de aplicaciones de cuentagotas, engañando a los usuarios desprevenidos para que las descarguen. Se han observado hasta seis anuncios. publicidad activa un servicio de streaming con acceso gratuito a deportes y películas en vivo. De ellos, cinco anuncios están dirigidos a usuarios de España. Uno de los anuncios, que comenzó a publicarse el 6 de abril de 2026, tiene un alcance de 190.987 cuentas.

Las URL de la aplicación cuentagotas implementan una serie de comprobaciones para garantizar que se acceda a ellas desde dispositivos móviles y para evitar que los escaneos automáticos revelen su verdadero color. Los nombres de las aplicaciones maliciosas se enumeran a continuación:

• StreamTV (org.lgvvfj.pluscqpuj o org.dawme.secure5ny) – Aplicación cuentagotas
• Reproductor de vídeo (org.yjeiwd.plusdc71 o org.azgaw.managergst1d) – Mirax

Un aspecto notable de la campaña es el uso de GitHub para alojar los archivos APK del dropper malicioso. Además, el panel de creación ofrece la posibilidad de elegir entre dos criptográficos, Virbox y Golden Crypt (también conocido como Golden Encryption), para una protección APK mejorada.

Una vez instalado, el dropper indica a los usuarios que permitan la instalación desde fuentes desconocidas para implementar el malware. El proceso de extracción de la carga útil final es una «operación sofisticada de varias etapas» que está diseñada para eludir el análisis de seguridad y las herramientas automatizadas de sandboxing.

El malware, después de instalarse en el dispositivo, se hace pasar por una utilidad de reproducción de vídeo y solicita a la víctima que habilite los servicios de accesibilidad, lo que le permite ejecutarse en segundo plano, mostrar un mensaje de error falso que indica que la instalación no tuvo éxito y mostrar superposiciones falsas para ocultar actividades maliciosas.

También establece múltiples canales C2 bidireccionales para tareas y exfiltración de datos.

• WebSocket en el puerto 8443, para gestionar el acceso remoto y ejecutar comandos remotos.
• WebSocket en el puerto 8444, para gestionar la transmisión remota y la exfiltración de datos.
• WebSocket en el puerto 8445 (o un puerto personalizado), para configurar el proxy residencial usando SOCKS5.

«Esta convergencia de capacidades RAT y proxy refleja un cambio más amplio en el panorama de amenazas», dijo Cleafy. «Si bien el abuso de proxy residencial se ha asociado históricamente con dispositivos IoT comprometidos y hardware Android de bajo costo, como televisores inteligentes, Mirax marca una nueva fase al incorporar esta funcionalidad dentro de un troyano bancario con todas las funciones».

«Este enfoque no sólo aumenta el potencial de monetización de cada infección, sino que también amplía el alcance operativo de los atacantes, que ahora pueden aprovechar los dispositivos comprometidos tanto para fraude financiero directo como como infraestructura para actividades cibercriminales más amplias».

La revelación se produce cuando Breakglass Intelligence detalló un RAT Android en idioma árabe llamado ASO RAT que se distribuye a través de aplicaciones disfrazadas de lectores de PDF y aplicaciones del gobierno sirio.

«La plataforma proporciona capacidades completas de compromiso del dispositivo: interceptación de SMS, acceso a cámaras, rastreo por GPS, registro de llamadas, exfiltración de archivos y lanzamiento de DDoS desde los dispositivos de las víctimas», dijo la compañía. dicho. «Un panel multiusuario con control de acceso basado en roles sugiere que esto funciona como un RAT como servicio o apoya a un equipo de múltiples operadores».

Actualmente no se sabe cuáles son los objetivos finales exactos de la campaña, pero los señuelos con temas sirios para las aplicaciones (por ejemplo, SyriaDefenseMap y GovLens) sugieren que puede estar apuntando a individuos con interés en asuntos militares o de gobernanza sirios como parte de lo que se sospecha que es una operación de vigilancia.

OX Seguridad recientemente analizó 216 millones de hallazgos de seguridad en 250 organizaciones durante un período de 90 días. La conclusión principal: si bien el volumen de alertas brutas creció un 52 % año tras año, el riesgo crítico priorizado creció casi un 400 %.

El aumento del desarrollo asistido por IA está creando una «brecha de velocidad» en la que la densidad de vulnerabilidades de alto impacto aumenta más rápido que los flujos de trabajo de remediación. La proporción de hallazgos críticos y alertas sin procesar casi se triplicó, pasando del 0,035% al ​​0,092%.

Hallazgos clave del análisis de 2026:

• CVSS versus contexto empresarial: Las puntuaciones de gravedad técnica ya no son el principal factor de riesgo. Los factores de elevación más comunes fueron Alta prioridad empresarial (27,76%) y Procesamiento de IIP (22,08%). En ambientes modernos, dónde una persona vulnerable vive ahora es más importante que qué la vulnerabilidad es.
• La huella digital de la IA: Observamos una correlación directa entre la adopción de herramientas de codificación de IA y la cuadruplicación de hallazgos críticos (con un promedio de 795 por organización, frente a 202). El aumento de la velocidad del código está generando fallas más complejas y dependientes del contexto que evitan el linting básico y los escáneres heredados.
• Variación del sector: Los perfiles de riesgo no son uniformes. Seguro Las empresas mostraron la mayor densidad de hallazgos críticos (1,76%), mientras que las Automotor El sector generó el mayor volumen bruto de alertas, probablemente debido a la escala masiva de expansión de la base de código en vehículos definidos por software.

Este es el segundo año que OX realiza este análisis para comparar el estado de la seguridad de las aplicaciones.

Informe completo, que incluye metodología y puntos de referencia específicos de la industria. está disponible aquí.

El 23 de marzo, el Senado confirmó al senador Markwayne Mullin como el próximo secretario de seguridad nacional, lo que marca un paso importante en el fortalecimiento del liderazgo durante un momento crítico para la seguridad de nuestra nación.

Pero sólo la mitad del trabajo está hecho.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la principal agencia civil de ciberdefensa del gobierno federal, aún carece de un director confirmado por el Senado. A medida que aumentan las amenazas cibernéticas globales, esta prolongada brecha de liderazgo plantea un riesgo creciente para la seguridad nacional.

Como Director Ejecutivo de la Coalición Nacional de Seguridad Tecnológica (NTSC), represento a los Directores de Seguridad de la Información que son responsables de proteger los sistemas que sustentan la economía y la infraestructura crítica de Estados Unidos. En todos los sectores, energía, atención médica, servicios financieros, manufactura y transporte, existe una preocupación común: el panorama de amenazas se está volviendo más agresivo y nuestras defensas deben mantenerse a la vanguardia.

Nuestros enemigos no están esperando.

Desde el inicio del conflicto con Irán, los expertos en ciberseguridad han informado de un aumento de la actividad cibernética maliciosa dirigida a los sistemas estadounidenses y aliados. Los actores vinculados a Irán han demostrado su capacidad para perturbar operaciones y explotar vulnerabilidades. Mientras tanto, China continúa su esfuerzo a largo plazo para infiltrarse en las redes estadounidenses y posicionarse para una posible interrupción de la infraestructura crítica. Rusia y sus grupos afiliados siguen siendo persistentes, investigando las debilidades de los sistemas occidentales y ejerciendo una presión constante.

Ésta es la realidad del conflicto moderno. Las operaciones cibernéticas se han convertido en un ámbito principal de competencia. En algunos casos, pueden rivalizar con los efectos de la acción militar tradicional, perturbando las economías, las comunicaciones y la seguridad pública únicamente a través del código.

El liderazgo es importante en este entorno.

CISA desempeña un papel clave en la coordinación de la ciberdefensa federal, compartiendo inteligencia sobre amenazas con el sector privado y apoyando a los gobiernos estatales y locales. Sirve como vínculo entre el gobierno y la industria para proteger la infraestructura digital del país. Sin un director confirmado por el Senado, la capacidad de la agencia para establecer prioridades, coordinar esfuerzos y responder rápidamente es limitada.

Ese desafío es cada vez más urgente. El plan presupuestario del presidente para el año fiscal 2027 propone recortes significativos a la financiación de CISA. En un momento en que la agencia enfrenta una presión operativa cada vez mayor, la escasez de recursos hace que un liderazgo fuerte y constante sea aún más crucial.

Éste es el momento en que el liderazgo del secretario Mullin es fundamental.

Como ex miembro del Senado, el secretario Mullin comprende la institución, su dinámica y cómo generar consenso. Está en una posición única para conectarse con colegas anteriores y ayudar a avanzar en el nombramiento de Sean Plankey como Director de CISA.

Plankey está altamente calificado y es ampliamente respetado en la comunidad de la ciberseguridad. Su experiencia en la Guardia Costera de EE. UU., en el Departamento de Energía que protege la infraestructura energética del país y en el sector privado le proporciona una comprensión clara tanto del panorama de amenazas como de la importancia de la colaboración público-privada. En un momento en que la coordinación entre el gobierno y la industria es vital, estas cualidades son esenciales.

El Senado ya ha dado señales de que se toma en serio las ciberamenazas. Recientemente confirmó Teniente general Joshua Rudd para liderar el Comando Cibernético de EE. UU. y servir como director de la Agencia de Seguridad Nacional, asegurando un liderazgo sólido del equipo de defensa cibernética militar de Estados Unidos.

Ahora necesita hacer lo mismo en el lado civil.

Confirmar a Plankey es importante porque la principal agencia civil de ciberdefensa del país necesita un liderazgo establecido para combatir a los adversarios que ya están dentro de nuestras redes, investigando nuestros sistemas y preparándose para la siguiente fase del conflicto.

La brecha de liderazgo en CISA ya ha durado bastante.

El secretario Mullin debe comprometerse. El Senado necesita actuar. Y Sean Plankey debería ser confirmado sin más demora.

Las ciberdefensas de Estados Unidos dependen de ello.

Chris Sullivan es el director ejecutivo de la Coalición Nacional de Seguridad Tecnológica, una organización no partidista y sin fines de lucro que actúa como voz de defensa de los directores de seguridad de la información en todo el país.

Investigadores de ciberseguridad han descubierto una nueva campaña en la que se ha descubierto que un grupo de 108 extensiones de Google Chrome se comunican con la misma infraestructura de comando y control (C2) con el objetivo de recopilar datos del usuario y permitir el abuso a nivel del navegador mediante la inyección de anuncios y código JavaScript arbitrario en cada página web visitada.

Según Socket, las extensiones se publican bajo cinco identidades de editor distintas (Yana Project, GameGen, SideGames, Rodeo Games e InterAlt) y en conjunto han acumulado alrededor de 20.000 instalaciones en Chrome Web Store.

«Los 108 enrutan credenciales robadas, identidades de usuario y datos de navegación a servidores controlados por el mismo operador», investigador de seguridad Kush Pandya. dicho en un análisis.

De estos, 54 complementos roban la identidad de la cuenta de Google a través de OAuth2, 45 extensiones contienen una puerta trasera universal que abre URL arbitrarias tan pronto como se inicia el navegador, y las restantes participan en una variedad de comportamientos maliciosos.

• Exfiltrar sesiones web de Telegram cada 15 segundos
• Elimina los encabezados de seguridad de YouTube y TikTok (es decir, Política de seguridad de contenido, X-Frame-Options y CORS) e inyecta superposiciones y anuncios de juegos de azar.
• Inyecte scripts de contenido en cada página que visita el usuario.
• Proxy todas las solicitudes de traducción a través del servidor del actor de amenazas

En un intento de dar una apariencia de legitimidad, las extensiones identificadas se hacen pasar por clientes de la barra lateral de Telegram, máquinas tragamonedas y juegos de Keno, potenciadores de YouTube y TikTok, herramientas de traducción de texto y utilidades de páginas. La funcionalidad anunciada es diversa y tiene como objetivo lanzar una red amplia, mientras comparte el mismo backend.

Sin embargo, sin que los usuarios lo sepan, el código malicioso que se ejecuta en segundo plano captura información de la sesión, inyecta scripts arbitrarios y abre URL elegidas por el atacante.

Algunas de las extensiones identificadas se enumeran a continuación:

• Cuenta múltiple de Telegram (ID: obifanppcpchlehkjipahhphbcbjekfa), que extrae el token de autenticación de usuario utilizado por Telegram Web y filtra los datos a un servidor remoto. También puede sobrescribir localStorage con datos de sesión proporcionados por el actor de amenazas y forzar la carga de la aplicación de mensajería, reemplazando efectivamente la sesión activa de Telegram de la víctima con la sesión elegida por el actor de amenazas.
• Cliente web para Telegram: Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno), que elimina los encabezados de seguridad de Telegram e inyecta scripts para robar sesiones de Telegram.
• Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj), que roba la identidad de la cuenta de Google del usuario la primera vez que la víctima hace clic en el botón de inicio de sesión. Esto incluye detalles como correo electrónico, nombre completo, URL de la imagen de perfil e identificador de cuenta de Google.

«Cinco extensiones utilizan la API declarativeNetRequest de Chrome para eliminar los encabezados de seguridad de los sitios de destino antes de que se cargue la página», dijo Socket. «Las 108 extensiones maliciosas comparten el mismo backend, alojado en 144.126.135[.]238.»

Actualmente no se sabe quién está detrás de las extensiones que violan la política. Sin embargo, un análisis del código fuente ha descubierto comentarios en ruso en varios complementos.

Se recomienda a los usuarios que hayan instalado cualquiera de las extensiones que las eliminen con efecto inmediato y cierren sesión en todas las sesiones web de Telegram desde la aplicación móvil de Telegram.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado media docena de fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La lista de vulnerabilidades es la siguiente:

• CVE-2026-21643 (Puntuación CVSS: 9.1): una vulnerabilidad de inyección SQL en Fortinet FortiClient EMS que podría permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes HTTP específicamente diseñadas.
• CVE-2020-9715 (Puntuación CVSS: 7,8): una vulnerabilidad de uso después de la liberación en Adobe Acrobat Reader que podría provocar la ejecución remota de código.
• CVE-2023-36424 (Puntuación CVSS: 7,8): una vulnerabilidad de lectura fuera de límites en el controlador del sistema de archivos de registro común de Microsoft Windows que podría provocar una escalada de privilegios.
• CVE-2023-21529 (Puntuación CVSS: 8,8): una deserialización de datos que no son de confianza en Microsoft Exchange Server que podría permitir a un atacante autenticado lograr la ejecución remota de código.
• CVE-2025-60710 (Puntuación CVSS: 7,8): una resolución de enlace incorrecta antes de la vulnerabilidad de acceso a archivos en el proceso de host para tareas de Windows que podría permitir a un atacante autorizado elevar privilegios localmente.
• CVE-2012-1854 (Puntuación CVSS: 7,8): una vulnerabilidad de carga de biblioteca insegura en Microsoft Visual Basic para Aplicaciones (VBA) que podría provocar la ejecución remota de código.

La adición de CVE-2026-21643 al catálogo KEV se produce después de que Defused Cyber ​​dijera que detectó intentos de explotación dirigidos a la falla desde el 24 de marzo de 2026. La semana pasada, Microsoft reveló que un actor de amenazas al que rastrea como Storm-1175 ha estado utilizando CVE-2023-21529 como arma en ataques para entregar ransomware Medusa.

En cuanto a CVE-2012-1854, el fabricante de Windowsadmitido en un aviso publicado en julio de 2012 que tiene conocimiento de «ataques limitados y dirigidos» que intentan abusar de la vulnerabilidad. Actualmente se desconoce la naturaleza exacta de los ataques.

Actualmente no hay informes públicos que hagan referencia a la explotación de las tres vulnerabilidades restantes. A la luz de los ataques activos, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 27 de abril de 2026.

Una vulnerabilidad de seguridad crítica que afecta MostrarDocun servicio de colaboración y gestión de documentos popular en China, ha sido objeto de explotación activa en la naturaleza.

La vulnerabilidad en cuestión es CVE-2025-0520 (también conocido como CNVD-2020-26585), que tiene una puntuación CVSS de 9,4 sobre 10,0.

Se relaciona con un caso de carga de archivos sin restricciones que surge de una validación inadecuada de la extensión del archivo, lo que permite a un atacante cargar archivos PHP arbitrarios y lograr la ejecución remota de código.

«[In] Versión de ShowDoc anterior a 2.8.7, se encuentra un problema de carga de archivos sin restricciones y sin autenticación y [an] El atacante puede cargar un shell web y ejecutar código arbitrario en el servidor», según un aviso. liberado por Vulhub.

La vulnerabilidad fue abordada en ShowDoc versión 2.8.7que se envió en octubre de 2020. La versión actual del software es 3.8.1.

De acuerdo a nuevos detalles compartido por Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, CVE-2025-0520 ha sido objeto de explotación activa por primera vez.

El exploit observado implica aprovechar la falla para colocar un shell web en un honeypot con sede en EE. UU. que ejecuta una versión vulnerable de ShowDoc. Los datos compartidos por la empresa muestran que hay más de 2.000 instancias de ShowDoc en línea, la mayoría de las cuales están ubicadas en China.

El desarrollo es el último ejemplo de cómo los actores de amenazas están explotando cada vez más las vulnerabilidades de seguridad del día N, independientemente de su base de instalación. Se recomienda a los usuarios que ejecutan ShowDoc que actualicen a la última versión para una protección óptima.

un porro informe de Cloud Security Alliance (CSA), el Instituto SANS y el Open Worldwide Application Security Project (OWASP) concluye que, en el corto plazo, es probable que las organizaciones “se vean abrumadas” por actores de amenazas que utilizan IA para encontrar y explotar vulnerabilidades más rápido de lo que los defensores pueden parchearlas.

Si bien esas organizaciones pueden utilizar herramientas de inteligencia artificial para acelerar sus propias defensas, los atacantes «todavía enfrentan una carga relativa más pesada debido a las limitaciones inherentes de la aplicación de parches. Esto a su vez conduce a «beneficios asimétricos» para los atacantes que pueden darse el lujo de adoptar la tecnología sin la misma cautela y burocracia que una empresa multimillonaria.

«El costo y la capacidad para explotar el descubrimiento están cayendo, el tiempo entre la divulgación y el uso de armas se está reduciendo a cero, y las capacidades que antes requerían recursos de los estados-nación ahora se están volviendo ampliamente accesibles», escribieron Robert Lee, director de inteligencia artificial del Instituto SANS, Gadi Evron, director ejecutivo de Knostic y Rich Mogull, analista jefe de CSA, quienes fueron los autores principales.

El informe marca una de las primeras respuestas integrales a las capacidades de Claude Mythos de los EE. UU., que cuenta con luminarias de la ciberseguridad que han establecido políticas en los niveles más altos como autores contribuyentes, incluida Jen Easterly, ex directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Rob Joyce, ex alto funcionario de ciberseguridad de la Casa Blanca y la NSA, y Chris Inglis, ex director nacional de ciberseguridad.

También incluye a incondicionales del sector privado como Heather Adkins, CISO de Google, Katie Moussouris, directora ejecutiva de Luta Security, y Sounil Yu, director de tecnología de Knostic. Otros setenta CISO, CTO y otros ejecutivos de seguridad son nombrados editores y revisores.

También esta semana, el Instituto de Seguridad de IA (AISI) del Reino Unido detallado los resultados de las pruebas que realizó en una versión preliminar de Claude Mythos, calificándolo de «un paso adelante» con respecto a los modelos Anthropic anteriores en el ámbito de la ciberseguridad y capaz de «ejecutar ataques de múltiples etapas en redes vulnerables y descubrir y explotar vulnerabilidades de forma autónoma».

Utilizando una combinación de ejercicios de Capture the Flag y pruebas de alcance cibernético, los investigadores de AISI descubrieron que Mythos no solo elevó el límite de usuarios técnicos no expertos y de nivel aprendiz, sino que redujo la brecha general en la competencia de piratería entre los dos. En otras palabras, cada vez hay menos distinción entre las capacidades de los “script kiddies” aficionados y los hackers de nivel medio con conocimientos técnicos.

Antes de abril de 2025, ningún modelo de lenguaje grande podía completar un único problema CTF de nivel experto. Mythos resolvió con éxito casi tres cuartas partes (73%) de ellos.

En las pruebas de alcance cibernético, que están destinadas a simular ataques multicadena más complejos, los resultados fueron desiguales, pero también representaron un progreso significativo con respecto a los modelos Claude anteriores.

Mythos fue sometido a un manual de ataque de 32 pasos modelado en redes corporativas, que abarca desde el acceso inicial a la red hasta la toma total de control de la misma. En tres de las 10 simulaciones, el modelo completó un promedio de 24 de los 32 pasos. Las versiones más antiguas de Claude y otros modelos fronterizos nunca promediaron más de 16.

Mythos reprobó su prueba contra una torre de enfriamiento de tecnología operativa simulada, pero los investigadores notaron que esto no significa que la IA sea mala para explotar OT: el modelo en realidad falló durante la sección de TI del ejercicio.

Los investigadores del Reino Unido fueron más mesurados en su análisis de Mythos, señalando que sus pruebas indican que es “al menos capaz” de derribar de forma autónoma redes empresariales más pequeñas y débilmente defendidas.

Pero también señalan que sus rangos cibernéticos carecen de características de seguridad (como defensores activos y herramientas defensivas) que serían comunes en muchas redes del mundo real y presentarían obstáculos adicionales, y tampoco penalizaron al modelo por activar alertas de seguridad.

«Esto significa que no podemos decir con seguridad si Mythos Preview sería capaz de atacar sistemas bien defendidos», concluyeron los investigadores.

Deuda técnica vencida

Tanto el informe de EE.UU. como el del Reino Unido coinciden en que los grandes modelos lingüísticos se están moviendo en términos generales en una dirección similar de reducción de la barrera técnica. Los autores estadounidenses piden que las organizaciones adopten más rápidamente la IA para la ciberdefensa y, al mismo tiempo, revisen sus manuales de respuesta a incidentes y sus políticas corporativas para tener en cuenta posturas de defensa más automatizadas.

Por su parte, Anthropic ha dicho que no venderá Mythos comercialmente y la semana pasada anunció que el modelo estaría disponible para Project Glasswing, un consorcio de importantes empresas tecnológicas que lo utilizarán para erradicar y parchear vulnerabilidades en productos y servicios de uso común.

Pero otros expertos han advertido que las empresas y los gobiernos no están bien posicionados para absorber la afluencia de la explotación de vulnerabilidades esperada ni para aprovechar hábilmente sus propias herramientas de inteligencia artificial para contrarrestarlas.

Casey Ellis, director de tecnología y fundador de Bugcrowd, escribió que los recientes avances en las herramientas cibernéticas de IA han tenido éxito en gran medida porque “viven en lugares donde dejamos de mirar hace una década”.

Si bien la comunidad de ciberseguridad ha pasado años enfocándose en la seguridad de las aplicaciones, la clasificación de vulnerabilidades y otros problemas de seguridad de “capa superior”, las herramientas de inteligencia artificial y los grupos de piratería de nivel superior se han estado alimentando de vulnerabilidades en firmware olvidado o enrutadores cuyos fabricantes cerraron hace mucho tiempo.

Esta realidad de que herramientas como Mythos pueden convertir en un arma la enorme deuda técnica de las grandes organizaciones ha tomado el tradicional dilema del defensor y «la perilla que solía ir a diez y la giró a setecientos», escribió Ellis.

Además, las corporaciones y los gobiernos se basan en la creación de consenso, múltiples niveles de jerarquía y cumplimiento legal. Si bien todo esto es necesario cuando se entrega la ciberseguridad a herramientas automatizadas, también puede conducir a un proceso más lento y a una mayor asimetría contra los defensores en el corto plazo.

«La integración a la producción real se convierte en el campo de batalla», escribió Ellis. «El retraso es real. La burocracia es real. Las cadenas de suministro son reales».

Los bancos e instituciones financieras de países latinoamericanos como Brasil y México han seguido siendo el objetivo de una familia de malware llamada JanelaRAT.

JanelaRAT, una versión modificada de BX RAT, es conocida por robar datos financieros y de criptomonedas asociados con entidades financieras específicas, así como por rastrear entradas del mouse, registrar pulsaciones de teclas, tomar capturas de pantalla y recopilar metadatos del sistema.

«Una de las diferencias clave entre estos troyanos es que JanelaRAT utiliza un mecanismo de detección de barra de título personalizado para identificar los sitios web deseados en los navegadores de las víctimas y realizar acciones maliciosas», Kaspersky dicho en un informe publicado hoy. «Los actores de amenazas detrás de las campañas de JanelaRAT actualizan continuamente la cadena de infección y las versiones del malware agregando nuevas funciones».

Los datos de telemetría recopilados por el proveedor ruso de ciberseguridad muestran que se registraron hasta 14.739 ataques en Brasil en 2025 y 11.695 en México. Actualmente no se sabe cuántos de ellos resultaron en un compromiso exitoso.

Detectado por primera vez en la naturaleza por Zscaler en junio de 2023, JanelaRAT aprovechó archivos ZIP que contienen un script Visual Basic (VBScript) para descargar un segundo archivo ZIP, que, a su vez, viene con un ejecutable legítimo y una carga útil DLL. La etapa final emplea la técnica de carga lateral de DLL para iniciar el troyano.

En un análisis posterior publicado en julio de 2025, KPMG dijo que el malware se distribuye a través de archivos de instalación MSI falsos que se hacen pasar por software legítimo alojado en plataformas confiables como GitLab. Los ataques relacionados con el malware se han centrado principalmente en Chile, Colombia y México.

«Tras la ejecución, el instalador inicia un proceso de infección de varias etapas utilizando scripts de orquestación escritos en Go, PowerShell y por lotes», KPMG anotado En el momento. «Estos scripts descomprimen un archivo ZIP que contiene el ejecutable RAT, una extensión de navegador maliciosa basada en Chromium y componentes de soporte».

Los scripts también están diseñados para identificar los navegadores basados ​​en Chromium instalados y modificar sigilosamente sus parámetros de inicio (como el interruptor de línea de comando «–load-extension») para instalar la extensión. Luego, el complemento del navegador procede a recopilar información del sistema, cookies, historial de navegación, extensiones instaladas y metadatos de pestañas, además de activar acciones específicas basadas en coincidencias de patrones de URL.

La última cadena de ataque documentada por Kaspersky muestra que los correos electrónicos de phishing disfrazados de facturas pendientes se utilizan para engañar a los destinatarios para que descarguen un archivo PDF haciendo clic en un enlace, lo que resulta en la descarga de un archivo ZIP que inicia la cadena de ataque antes mencionada que involucra la carga lateral de DLL para instalar JanelaRAT.

Al menos desde mayo de 2024, las campañas de JanelaRAT han pasado de los scripts de Visual Basic a los instaladores MSI, que actúan como un gotero para el malware mediante la carga lateral de DLL y establecen persistencia en el host mediante la creación de un acceso directo de Windows (LNK) en la carpeta de Inicio que apunta al ejecutable.

Tras su ejecución, el malware establece comunicaciones con un servidor de comando y control (C2) a través de un socket TCP para registrar una infección exitosa y controla la actividad de la víctima para interceptar interacciones bancarias confidenciales.

El objetivo principal de JanelaRAT es obtener el título de la ventana activa y compararlo con una lista codificada de instituciones financieras. Si hay una coincidencia, el malware espera 12 segundos antes de abrir un canal C2 dedicado y ejecutar las tareas maliciosas recibidas del servidor. Algunos de los comandos admitidos incluyen:

• Envío de capturas de pantalla al servidor C2
• Recortar regiones específicas de la pantalla y extraer imágenes
• Mostrar imágenes en modo de pantalla completa (por ejemplo, «Configurando actualizaciones de Windows, espere») y hacerse pasar por cuadros de diálogo con temas bancarios mediante superposiciones falsas para recopilar credenciales
• Capturando pulsaciones de teclas
• Simular acciones del teclado como ABAJO, ARRIBA y TAB para navegación
• Mover el cursor y simular clics
• Ejecutar un apagado forzado del sistema
• Ejecutar comandos usando «cmd.exe» y comandos o scripts de PowerShell
• Manipular el Administrador de tareas de Windows para ocultar su ventana para que no sea detectada
• Señalar la presencia de sistemas antifraude
• Envío de metadatos del sistema
• Detección de sandbox y herramientas de automatización

«El malware determina si la máquina de la víctima ha estado inactiva durante más de 10 minutos calculando el tiempo transcurrido desde la última entrada del usuario», dijo Kaspersky. «Si el período de inactividad supera los 10 minutos, el malware notifica al C2 enviando el mensaje correspondiente. Tras la actividad del usuario, notifica nuevamente al actor de la amenaza. Esto hace posible rastrear la presencia y la rutina del usuario para cronometrar posibles operaciones remotas».

«Esta variante representa un avance significativo en las capacidades del actor, combinando múltiples canales de comunicación, monitoreo integral de víctimas, superposiciones interactivas, inyección de entrada y funciones robustas de control remoto. El malware está diseñado específicamente para minimizar la visibilidad del usuario y adaptar su comportamiento al detectar software antifraude».

OpenAI actualizó sus certificados de seguridad y exige que todos los usuarios de macOS actualicen a las últimas versiones después de determinar que sus productos, junto con muchos otros, eran afectado por una cadena de suministro generalizada ataque que infectó brevemente una popular biblioteca de código abierto a finales de marzo, dijo la compañía en una publicación de blog el viernes.

El proveedor de inteligencia artificial dijo que «no encontró evidencia de que se haya accedido a los datos de los usuarios de OpenAI, de que nuestros sistemas o propiedad intelectual hayan estado comprometidos, o de que nuestro software haya sido alterado».

Sin embargo, debido a que un flujo de trabajo de GitHub que la empresa utiliza para firmar certificados para aplicaciones macOS descargó y ejecutó una versión maliciosa de Axios, la empresa está tratando el certificado que pronto desaparecerá como comprometido.

Un grupo de hackers norcoreano inyectó malware en dos versiones de Axios después de que comprometió la computadora del mantenedor principal a través de ingeniería social y se hizo cargo de sus cuentas de npm y GitHub. Jason Saayman, el principal responsable de mantenimiento de Axios, dijo que las versiones maliciosas del software estuvieron activas durante unas tres horas antes de eliminarlas.

Google Threat Intelligence Group, que rastrea el grupo de amenazas como UNC1069, dijo que el impacto del ataque fue amplio con efectos dominó potencialmente exponiendo otros paquetes populares. Las bibliotecas de JavaScript fluyen hacia el software dependiente a través de más de 100 millones y 83 millones de descargas semanales.

El ataque se descubrió pocas semanas después de que UNC6780, también conocido como TeamPCP, comprometiera una serie de otras herramientas de código abierto, incluido Trivy, lo que resultó en agresivos intentos de extorsión.

OpenAI insiste en que el malware que infectó a Axios no afectó directamente a su certificado, que está diseñado para ayudar a los clientes a confirmar que están descargando software legítimo.

«El certificado de firma presente en este flujo de trabajo probablemente no fue filtrado con éxito por la carga útil maliciosa debido al momento de ejecución de la carga útil, la inyección del certificado en el trabajo, la secuenciación del trabajo en sí y otros factores atenuantes», dijo la compañía en la publicación del blog. «Sin embargo, por precaución, estamos tratando el certificado como comprometido y lo estamos revocando y rotando».

Las versiones anteriores de las aplicaciones macOS de OpenAI pueden perder funcionalidad y ya no serán compatibles cuando el certificado se revoque por completo el 8 de mayo, dijo la compañía.

OpenAI, que contrató a una empresa externa de análisis forense digital y respuesta a incidentes para ayudar en su investigación y respuesta, identificó la causa principal del problema de seguridad en una mala configuración en su flujo de trabajo de GitHub. La compañía dijo que corrigió ese error y trabajó con Apple para garantizar que las aplicaciones fraudulentas que se hacen pasar por OpenAI no puedan usar el certificado afectado.

La ventana de 30 días está diseñada para minimizar las interrupciones para los usuarios, pero OpenAI dijo que acelerará el plazo de revocación si identifica alguna actividad maliciosa. La compañía no respondió de inmediato a una solicitud de comentarios.