Dos hombres de Nueva Jersey fueron sentenciado el miércoles por facilitar el plan de larga duración de Corea del Norte para colocar a operativos dentro de empresas estadounidenses como empleados, generando más de 5 millones de dólares en ingresos ilícitos para el régimen, dijo el Departamento de Justicia.

Los ciudadanos estadounidenses –Kejia Wang, también conocido como Tony Wang, y Zhenxing Wang, también conocido como Danny Wang– fueron parte de una conspiración de años de duración que colocó a agentes en puestos de trabajo en más de 100 empresas estadounidenses, incluidas muchas compañías Fortune 500, con sede en 27 estados y el Distrito de Columbia.

El elaborado plan involucraba empresas fantasma que se hacían pasar por empresas de desarrollo de software, lavado de dinero y espionaje con implicaciones para la seguridad nacional. Los agentes involucrados en la conspiración robaron archivos confidenciales de un contratista de defensa con sede en California relacionados con la tecnología militar estadounidense controlada bajo el Reglamento de Tráfico Internacional de Armas (ITAR), dijeron funcionarios.

«Los trabajadores de TI de la República Popular Democrática de Corea (RPDC) no se limitan a la generación de ingresos. Cuando se les asigna la tarea, pueden operacionalizar su ubicación y acceso para respaldar los requisitos de inteligencia estratégica, incluido el robo de propiedad intelectual, la interrupción de la red o la extorsión», dijo a CyberScoop Michael Barnhart, investigador del estado nacional en DTEX.

Si bien la mayor parte del plan de Corea del Norte se centra en los ingresos, a veces aplica un enfoque de doble uso, asignando a ciertos trabajadores de TI privilegiados actividades maliciosas que ayudan a otros grupos de piratería respaldados por el estado, añadió Barnhart.

«No todos los trabajadores de TI pueden ser piratas informáticos, pero todos los piratas informáticos norcoreanos pueden o han sido trabajadores de TI», dijo. «Esta distinción es importante para el análisis de amenazas internas porque, a diferencia de las típicas contrataciones fraudulentas motivadas por ganancias financieras personales, los trabajadores de TI pueden infligir daños a nivel de seguridad nacional».

Kejia Wang, de 42 años, Zhenzing Wang, de 39, y sus cómplices robaron las identidades de al menos 80 residentes estadounidenses para facilitar la contratación de agentes norcoreanos y recaudaron al menos 696.000 dólares en honorarios combinados, dijeron funcionarios. Las empresas estadounidenses víctimas también incurrieron en honorarios legales, costos de reparación y otros daños y pérdidas superiores a los 3 millones de dólares.

Ambos hombres se declararon previamente culpables de una variedad de delitos. Kejia Wang fue condenada a nueve años de prisión por conspiración para cometer fraude electrónico y postal, blanqueo de dinero y robo de identidad. Zhenxing Wang fue sentenciado a 92 meses de prisión por conspiración para cometer fraude electrónico y postal y lavado de dinero.

A la pareja también se le ordenó perder un total combinado de 600.000 dólares, de los cuales dos tercios ya han sido pagados, dijeron las autoridades.

La conspiración, que se desarrolló al menos desde 2021 hasta octubre de 2024, se basó en parte en empresas fantasma (Hopana Tech, Tony WKJ y Independent Lab), que los hombres crearon para crear la apariencia de negocios legítimos.

«Al combinar a una persona estadounidense, una dirección estadounidense y una empresa fachada como Independent Lab, los facilitadores crearon la ilusión de un esfuerzo interno legítimo que permitía a los trabajadores de TI presentarse como residentes de Estados Unidos sin despertar sospechas durante la incorporación o los flujos de trabajo diarios», dijo Barnhart.

«Las empresas pantalla pueden actuar como ese flujo financiero intermedio desde las empresas víctimas de regreso a las unidades de la RPDC, lo que luego impulsa fondos hacia arriba a través del Partido de los Trabajadores de Corea para apoyar cualquier programa con el que estuviera alineada la unidad, ya sea desarrollo de armas o prioridades internas», añadió.

Estas empresas fachada reflejan un mayor nivel de habilidad que explota un punto débil en las evaluaciones de riesgos internos porque las amenazas no siempre son una persona maliciosa que intenta ingresar a una red, dijo Barnhart. «A veces parece como si toda una empresa pareciera limpia sobre el papel».

Las autoridades han respondido al plan de Corea del Norte apuntando a facilitadores con sede en Estados Unidos que proporcionan identidades falsificadas o robadas y granjas de computadoras portátiles para agentes norcoreanos, y confiscando criptomonedas vinculadas al robo.

Los triunfos en materia de aplicación de la ley se están acumulando, pero los investigadores advierten que la operación de Corea del Norte es masiva y evoluciona constantemente.

La sentencia de Kejia Wang y Zhenxing Wang se produce menos de un mes después de que un trío de hombres estadounidenses fueran sentenciados por delitos similares, incluida la operación de granjas de computadoras portátiles, fraude electrónico y robo de identidad.

Los Departamentos de Justicia y del Tesoro también han emitido acusaciones y sancionado a personas y entidades presuntamente involucradas en el esfuerzo de Corea del Norte de enviar miles de profesionales técnicos especializados fuera del país para conseguir empleos bajo falsos pretextos y canalizar sus salarios de regreso a Pyongyang.

Puede leer las acusaciones completas contra Kejia Wang y Zhenxing Wang a continuación.

Autoridades de 21 países derribaron 53 dominios y arrestaron a cuatro personas presuntamente involucradas en operaciones distribuidas de denegación de servicio utilizado por más de 75.000 ciberdelincuentes, dijo Europol el jueves.

El esfuerzo coordinado globalmente denominado “Operación Apagado«Interrumpió los servicios de arranque y confiscó y desmanteló la infraestructura, incluidos servidores y bases de datos, que respaldaban los servicios de alquiler de DDoS, dijeron los funcionarios.

Los organismos encargados de hacer cumplir la ley obtuvieron datos sobre más de 3 millones de cuentas de usuarios presuntamente delincuentes de las bases de datos incautadas y, finalmente, enviaron más de 75.000 correos electrónicos y cartas a los participantes, advirtiéndoles que detuvieran sus actividades.

Los funcionarios de los países involucrados en la operación también cumplieron 25 órdenes de registro, eliminaron más de 100 URL que anunciaban servicios de alquiler de DDoS en los resultados de los motores de búsqueda y crearon anuncios en motores de búsqueda dirigidos a jóvenes que buscaban herramientas de alquiler de DDoS.

La operación, que está en curso, apunta principalmente a factores estresantes de IP o iniciadores DDoS que los ciberdelincuentes utilizan para inundar sitios web, servidores y redes con tráfico basura, haciendo que los servicios legítimos sean inaccesibles.

Los funcionarios describieron las herramientas de alquiler de DDoS como prolíficas y de fácil acceso, y a menudo incluyen tutoriales que permiten a personas sin conocimientos de tecnología iniciar ataques contra diversas organizaciones.

«Los ataques suelen tener un enfoque regional, y los usuarios apuntan a servidores y sitios web dentro de su continente, y están dirigidos a una amplia gama de objetivos, incluidos mercados en línea, proveedores de telecomunicaciones y otros servicios basados ​​en la web», dijo Europol en un comunicado de prensa. «Las motivaciones varían desde la curiosidad hasta propósitos ideológicos vinculados al hacktivismo, así como ganancias financieras a través de la extorsión o la interrupción de los servicios de los competidores».

Operation PowerOFF cuenta con el apoyo de múltiples agencias policiales de Estados Unidos, Reino Unido, Australia, Austria, Bélgica, Brasil, Bulgaria, Dinamarca, Estonia, Finlandia, Alemania, Japón, Letonia, Lituania, Luxemburgo, Países Bajos, Noruega, Polonia, Portugal, Suecia y Tailandia.

La represión internacional interrumpió otros servicios populares de alquiler de DDoS a finales de 2024, provocando tres arrestos y 27 retiradas de dominios. En mayo, las autoridades de Polonia arrestaron a cuatro presuntos administradores de herramientas de alquiler DDoS que los ciberdelincuentes utilizaron para lanzar miles de ataques entre 2022 y 2025.

Una empresa se despierta con una noticia que afirma que ha sufrido una importante filtración de datos. Los detalles son específicos, técnicos y convincentes. Pero la infracción no se produjo. Ningún sistema se vio comprometido. No se tomaron datos. Un modelo de lenguaje generó la historia completa, completando detalles plausibles desde cero. Y antes de que la empresa pueda descubrir qué está pasando, un periodista de un medio de renombre retoma la historia y solicita comentarios. En cuestión de horas, la empresa está redactando declaraciones y movilizando a su equipo de comunicaciones para abordar un evento ficticio.

Un segundo incidente comienza con algo real. Años antes, una empresa había sufrido una auténtica infracción que recibió una amplia cobertura mediática. El incidente fue investigado, resuelto y cerrado. Luego, uno de los medios que informó originalmente sobre ello rediseñó su sitio web. Los artículos antiguos recibieron nuevas URL y marcas de tiempo actualizadas, y los motores de búsqueda los volvieron a indexar como contenido nuevo. Los agregadores de noticias impulsados ​​por inteligencia artificial captaron la señal y la marcaron como una historia en desarrollo. La empresa se encontró atendiendo consultas sobre un incidente que se había resuelto años antes.

[Ed. note: The authors are withholding full specifics about the incidents because full disclosure could cause harm, yet CyberScoop confirmed with the authors that the incidents did in fact take place].

Un tercer incidente introduce otra dimensión. Una publicación de ciberseguridad publicó una historia sobre un ataque de compromiso de correo electrónico empresarial que le costó a una empresa del Reino Unido cerca de mil millones de libras. El artículo citado un conocido investigador de seguridadpero en realidad no había hablado con la publicación. AI generó las citas, se las asignó con total confianza y la publicación las publicó como si fueran un hecho.

En conjunto, estos tres casos exponen una amenaza para la que la mayoría de las organizaciones aún no se han preparado. La IA ha desarrollado la capacidad de fabricar incidentes de seguridad convincentes a partir de la nada, con detalles técnicos, fuentes nombradas y credibilidad suficiente para desencadenar respuestas a crisis a gran escala. Cualquier organización que trate esto como un problema distante o teórico corre el riesgo de aprender por las malas cuán rápido la ficción generada por IA puede convertirse en una emergencia del mundo real.

La suposición que ya no se cumple

La respuesta a las crisis cibernéticas siempre se ha basado en una premisa simple: sucede algo real y luego se responde. Esa premisa se está rompiendo. Los sistemas de inteligencia artificial ahora generan, amplifican y validan reclamos antes de que los equipos de seguridad confirmen algo. Una vez que una narrativa ingresa al ecosistema, se puede incorporar a fuentes de inteligencia sobre amenazas, plataformas de calificación de riesgos y flujos de trabajo automatizados. La ficción se convierte en señal.

Para los equipos de seguridad, esto crea una nueva clase de falso positivo. No es una alerta ruidosa de una herramienta mal configurada, sino una narrativa externa completamente formada que parece creíble. Una infracción alucinada puede desencadenar investigaciones internas, escalada ejecutiva y acciones defensivas. El tiempo y los recursos se desvían hacia refutar algo que nunca sucedió.

Peor aún, puede influir en el comportamiento de un atacante real. Los actores de amenazas pueden utilizar como pretexto narrativas inventadas sobre violaciones. Los correos electrónicos de phishing que hacen referencia a un «incidente conocido» se vuelven más creíbles. La suplantación de equipos de TI o de respuesta a incidentes se vuelve más efectiva. La narrativa se convierte en parte de la superficie de ataque.

Qué significa esto para los equipos de seguridad

Los equipos de seguridad están acostumbrados a monitorear indicadores de compromiso. Ahora necesitan monitorear los indicadores de narrativa. Los canales de inteligencia de código abierto están cada vez más automatizados. Si esos oleoductos ingieren información falsa, los sistemas posteriores actuarán en consecuencia. Eso incluye el enriquecimiento de SIEM, la puntuación de riesgos de terceros e incluso decisiones de contención automatizadas en algunos entornos.

La implicación práctica es que los equipos de seguridad necesitan visibilidad de cómo se representa externamente su organización, no solo de lo que sucede internamente. Esta no es una inteligencia de amenazas tradicional, pero se comporta como tal. La detección temprana cambia los resultados.

También es necesaria una mayor integración con las comunicaciones. Cuando surge una narrativa falsa, la realidad técnica y la percepción externa divergen. Ambos deben gestionarse en paralelo.

Qué significa esto para los equipos de comunicaciones

Para los equipos de comunicaciones, el cronograma se ha colapsado. Es posible que la primera señal de una “infracción” no provenga del SOC. Puede provenir de un periodista, un cliente o una alerta automática.

El silencio ya no es neutral. Si existe una narrativa, los sistemas de IA llenarán los vacíos con cualquier información disponible. Eso puede reforzar las imprecisiones con cada iteración. Las respuestas deben diseñarse tanto para el consumo de las máquinas como para las audiencias humanas. Lenguaje claro y declarativo. Hechos comprobables. Declaraciones estructuradas que se pueden analizar y reutilizar fácilmente. El objetivo es establecer una presencia competitiva en la cadena de suministro de información.

La preparación se vuelve crítica. Lenguaje preaprobado que se puede implementar rápidamente. Coordinación establecida con el departamento legal y de seguridad antes de que surja algo.

Implicaciones compartidas

Tanto el equipo de seguridad como el de comunicaciones operan ahora en el mismo entorno, lo reconozcan o no. Una infracción alucinada puede desencadenar una verdadera perturbación operativa. Es posible que se interrumpan las relaciones con los proveedores, que se corten las conexiones con sistemas de terceros, que los reguladores se interesen y que los mercados reaccionen. Nada de eso requiere un compromiso real. Y esto crea un circuito de retroalimentación. Las narrativas externas impulsan las acciones internas. Las acciones internas, si son visibles, refuerzan las narrativas externas.

Romper ese círculo requiere velocidad, coordinación y claridad.

Auditorías de IA como mecanismo de control

Uno de los controles más eficaces en este nuevo entorno es la auditoría sistemática de la IA. Probar periódicamente cómo los sistemas de IA describen su organización, su postura de seguridad y cualquier presunto incidente. Esto proporciona visibilidad de lo que las máquinas «creen» antes de que esa creencia se difunda. Permite a las organizaciones identificar y corregir narrativas falsas de manera temprana, antes de que se propaguen a las herramientas, la toma de decisiones y el comportamiento de los atacantes. También destaca dónde debe existir información precisa. No en cualquier lugar en línea, sino en fuentes que los sistemas de inteligencia artificial priorizan.

El cambio de mentalidad

Esto marca un cambio de la respuesta al incidente a la respuesta narrativa. Los equipos de seguridad deben tratar cada alerta como potencialmente inventada. Los equipos de comunicación deben prepararse para narrativas que se formen independientemente de lo que realmente sucedió. Ambos deben operar con el entendimiento de que la percepción por sí sola puede desencadenar consecuencias reales. En este entorno, la capacidad de detectar y responder a narrativas falsas es tan importante como la capacidad de detectar y responder a violaciones reales.

Mary Catherine Sullivan es directora senior de Ciencia de Datos para Digital & Insights, dentro del segmento de Comunicaciones Estratégicas de FTI. Es líder en comunicaciones y ciencia de datos y se especializa en pruebas de mensajes, investigación de audiencias, análisis de comunicaciones digitales y evaluación de riesgos reputacionales. Como parte del equipo de ciencia de datos de FTI Consulting, desarrolla inteligencia artificial, procesamiento de lenguaje natural, aprendizaje automático y modelos estadísticos de última generación para analizar los ecosistemas de medios, el discurso de las partes interesadas y la respuesta de la audiencia, lo que respalda la toma de decisiones informada y defendible para los clientes que navegan en entornos reputacionales complejos.

Brett Callow es asesor senior en Comunicaciones de Ciberseguridad y Privacidad de Datos en FTI Consulting. Con más de dos décadas de conocimiento de la legislación y las políticas de ciberseguridad y una amplia experiencia en comunicaciones de ciberseguridad, la experiencia de Brett es ampliamente reconocida dentro de la industria, por los responsables políticos y los medios de comunicación. Ha estado involucrado en algunos de los incidentes de ransomware más destacados y ha participado en paneles y debates relacionados con políticas, incluso en la Oficina del Director de Inteligencia Nacional y el Instituto Aspen, y ha formado parte de la Junta Asesora del proyecto Ransomware Harms del Royal United Services Institute.

La agencia federal encargada de analizar las vulnerabilidades de seguridad está abrumada mientras ella y otras autoridades luchan por seguir el ritmo de una avalancha de defectos que crece cada año. El Instituto Nacional de Estándares y Tecnología anunció el miércoles que ha capitulado ante ese diluvio y redujo las prioridades para su Base de Datos Nacional de Vulnerabilidad.

NIST dijo que solo dará prioridad al análisis de CVE que aparecen en la Agencia de Seguridad de Infraestructura y Ciberseguridad. catálogo de vulnerabilidades explotadas conocidassoftware utilizado en el gobierno federal y software crítico definido en Orden Ejecutiva 14028.

El objetivo de la agencia federal con el cambio es lograr la sostenibilidad a largo plazo y estabilizar el programa NVD, que ha enfrentado desafíos anteriores, en particular una falta de financiamiento a principios de 2024 que obligó al NIST a dejar de proporcionar metadatos clave para muchas vulnerabilidades en la base de datos temporalmente.

La agencia aún no ha eliminado una acumulación de CVE no enriquecidos que se acumularon durante esa pausa y crecieron desde entonces.

El NIST dijo que analizó casi 42.000 vulnerabilidades el año pasado, y agregó que los envíos de CVE aumentaron un 263% entre 2020 y 2025. «No esperamos que esta tendencia disminuya pronto. Los envíos durante los primeros tres meses de 2026 son casi un tercio más altos que en el mismo período del año pasado», dijo la agencia en una publicación de blog anunciando el cambio.

De hecho, las vulnerabilidades están aumentando en todos los ámbitos. Por ejemplo, Microsoft abordó 165 vulnerabilidades el martes, su segundo mayor lote mensual de defectos registrado.

El NIST dijo que los CVE que no se ajusten a sus criterios más estrictos seguirán figurando en el NVD, pero no se enriquecerán automáticamente con detalles adicionales.

«Esto nos permitirá centrarnos en los CVE con mayor potencial de impacto generalizado», dijo la agencia. «Si bien los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sistémico que aquellos en las categorías priorizadas».

Los investigadores y cazadores de amenazas que analizan vulnerabilidades para las autoridades de numeración CVE (CNA) y los proveedores que publican sus propias evaluaciones ven el nuevo enfoque del NIST como inevitable.

«Tenían que hacer algo. El NIST estaba lamentablemente atrasado en la clasificación de CVE y probablemente nunca se habría puesto al día», dijo a CyberScoop Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro.

«No estoy seguro de si fue una tarea hercúlea o sísifo, pero de cualquier manera, estaban destinados al fracaso según su sistema anterior. Este cambio les permite priorizar su trabajo», añadió.

El nuevo enfoque del NIST afectará a la comunidad de investigación de vulnerabilidad en general, pero también pondrá a más empresas y organizaciones privadas en condiciones de ganar más autoridad a medida que los defensores busquen más fuentes alternativas.

Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, dijo anteriormente a CyberScoop que la priorización sigue siendo un problema, ya que demasiados defensores prestan atención a vulnerabilidades que no merecen su tiempo.

De las más de 40.000 vulnerabilidades recientemente publicadas que VulnCheck catalogó el año pasado, sólo el 1% de esos defectos, sólo 422, fueron explotados en estado salvaje.

El NIST también está tratando de reducir otros esfuerzos engañosos con su nuevo enfoque, apoyándose aún más en las CNA. Los CVE que se presenten con una clasificación de gravedad ya no recibirán una puntuación CVSS separada del NIST, dijo la agencia.

Si bien la agencia sigue siendo la autoridad máxima que proporciona un catálogo de evaluaciones de vulnerabilidad respaldado por el gobierno, reconoció que estos cambios afectarán a sus usuarios.

«Este enfoque basado en el riesgo es necesario para gestionar el aumento actual de presentaciones de CVE mientras trabajamos para alinear nuestros esfuerzos con las necesidades de la comunidad NVD», dijo la agencia. «Al hacer evolucionar el NVD para hacer frente a los desafíos actuales, podemos garantizar que la base de datos siga siendo una fuente de información confiable, sostenible y disponible públicamente sobre las vulnerabilidades de ciberseguridad».

El director nacional de ciberseguridad, Sean Cairncross, espera más órdenes ejecutivas de la Casa Blanca como parte de la implementación de la estrategia nacional de ciberseguridad, dijo el miércoles.

El personal del Capitolio y otros en el mundo cibernético han estado esperando las directrices de implementación que la administración Trump había proclamado acompañarían a la estrategia publicada el mes pasado.

Cuando se le preguntó en un evento de Semafor si eso incluiría órdenes ejecutivas, Cairncross respondió: «Creo que ese es el caso».

La administración emitió una orden ejecutiva sobre fraude el mismo día que publicó su estrategia cibernética, el 6 de marzo. Parte de esa orden abordaba el delito cibernético.

«Esto está avanzando activamente y se debe esperar que haya más ejecución y acción en línea con nuestros objetivos estratégicos», dijo.

Cairncross citó otra actividad administrativa que encaja en la estrategia, como la primera condena la semana pasada bajo la Ley Take It Down, una ley por la que abogó la primera dama Melania Trump que busca combatir las imágenes sexualmente explícitas no consensuadas generadas por IA, las amenazas violentas y el acoso cibernético.

Se negó a dar una vista previa de cualquier plan de implementación futuro y dijo que esperaba que llegaran “relativamente pronto”.

Una pieza central de la estrategia de la administración es confrontar a los adversarios para asegurarse de que sufran las consecuencias por su piratería de objetivos estadounidenses.

Cairncross no dijo explícitamente si Trump, en su visita a Beijing el próximo mes, abordaría la piratería informática china.

«Cuando comenzamos a ver cosas como el preposicionamiento en infraestructura crítica, es algo que debe abordarse», dijo. Cuando se le preguntó si eso significaba que lo cibernético estaría en la agenda durante la visita, Caincross dijo: «Esperaría que la seguridad del pueblo estadounidense sea lo primero y más importante, como siempre lo es para el presidente».

Cairncross elogió el ingenio estadounidense para producir un modelo de inteligencia artificial como Claude Mythos de Anthropic, en lugar de desarrollarlo bajo la dirección de rivales cibernéticos estadounidenses como China o Rusia. Él informes reconocidos sobre la celebración de reuniones por parte de la administración sobre los riesgos y beneficios cibernéticos de algo como Mythos – “el modelo en este momento del que todo el mundo habla” – y agregó que la administración está buscando equilibrar los peligros y las capacidades positivas de la IA en el ciberespacio.

«Yo diría que desde la perspectiva de la Casa Blanca, estamos trabajando muy estrechamente con la industria», dijo Cairncross. «Hemos estado en estrecha colaboración con las empresas modelo de toda la agencia para asegurarnos de que estamos evaluando y haciendo esto».

Abierto AI dicho está ampliando su programa Trusted Access for Cyber ​​a “miles de personas y organizaciones” que utilizarán la tecnología de la empresa para eliminar errores y vulnerabilidades en sus productos.

El programa también incorporará GPT 5.4 Cyber, una nueva variante de ChatGPT que, según OpenAI, está optimizada específicamente para tareas de ciberseguridad. El objetivo de OpenAI con esta versión es hacer que las herramientas avanzadas de ciberseguridad sean más accesibles.

La compañía dijo que el acceso al programa y al modelo centrado en la ciberseguridad seguirá estando regido por reglas «fuertes» de verificación de identidad y de conocimiento de su cliente para ayudar a prevenir la propagación del modelo a malos actores.

«Nuestro objetivo es hacer que estas herramientas estén lo más ampliamente disponibles posible y al mismo tiempo prevenir el uso indebido», dijo la compañía en un blog publicado el martes. «Diseñamos mecanismos que evitan decidir arbitrariamente quién obtiene acceso para uso legítimo y quién no».

El anuncio de OpenAI se produce una semana después de que Anthropic lanzara el Proyecto Glasswing, un esfuerzo similar que busca proporcionar a las principales empresas de tecnología Claude Mythos, un modelo inédito que, según los funcionarios de Anthropic, es demasiado peligroso para venderlo comercialmente.

Los funcionarios de OpenAI señalaron públicamente anunciado Programa Trusted Access for Cyber ​​meses antes. También han evitado silenciosamente comparaciones directas con Mythos y GPT 5.4 Cyber.

Los expertos en ciberseguridad de EE. UU. y el Reino Unido han descrito a Mythos como una mejora significativa con respecto a los modelos fronterizos anteriores en cuanto a identificar (y potencialmente explotar) vulnerabilidades de ciberseguridad, aunque persiste el debate y la especulación sobre el impacto final del modelo en la seguridad de la información.

De manera similar, GPT 5.4 Cyber ​​se ha perfeccionado para pruebas e investigación de vulnerabilidades, aunque OpenAI quiere realizar mejoras iterativas en el programa a medida que se aprenden lecciones.

La compañía tiene planes de permitir que un grupo más amplio de operadores cibernéticos utilice el modelo para proteger infraestructuras críticas, servicios públicos y otros sistemas digitales. La compañía dijo que también teme tener demasiada influencia sobre qué industrias o sectores finalmente participan en el programa.

«No creemos que sea práctico o apropiado decidir de forma centralizada quién puede defenderse», afirma el blog. «En lugar de eso, nuestro objetivo es permitir que haya tantos defensores legítimos como sea posible, con un acceso basado en la verificación, las señales de confianza y la rendición de cuentas».

El año pasado, el director ejecutivo de Nvidia, Jensen Huang, negó repetidamente que China estuviera obteniendo los chips más avanzados de Estados Unidos. «No hay evidencia de ningún desvío de chips de IA», dijo, desestimando tales informes en otra ocasión como «cuentos fantásticos».

Los fiscales federales no estarían de acuerdo. Han acusado a seis hombres durante las últimas tres semanas con el contrabando de chips de IA por valor de miles de millones de dólares a China. Las acusaciones, si bien son una victoria táctica, son una advertencia de cuán generalizado se ha vuelto el problema, gracias tanto a las lagunas en la ley federal como a la falta de apoyo a las leyes existentes con una aplicación seria.

Tanto Washington como Beijing han intentado remodelar las cadenas de suministro de chips de IA para reforzar sus respectivas agendas de seguridad nacional. adelante de una cumbre centrada en el comercio prevista para mayo. Mientras que Estados Unidos tiene impuesto controles de exportación de chips avanzados para interrumpir los esfuerzos de modernización militar de China, China ha empujado sus empresas adopten componentes de producción nacional para asegurar su autosuficiencia.

Pero ninguna de las partes puede evitar por completo la Willie Sutton regla. ¿Por qué contrabandear patatas fritas? Porque ahí es donde están las ganancias, particularmente sin suficientes recursos dedicados a la aplicación de la ley.

Un mercado chino cerrado que busca alternativas más poderosas a sus propios productos ofrece un incentivo principal para que las empresas estadounidenses proporcionen componentes a Beijing. El contrabando también transformado una red emergente de infraestructura de centros de datos en todo el sudeste asiático en una fuente de poder informático ilícito para los adversarios estadounidenses.

Los casos recientes resaltan estas características en detalle. En marzo, los fiscales cargado tres personas se conectaron con Super Micro Computer, una empresa informática estadounidense, con el contrabando de chips por un valor estimado de 2.500 millones de dólares a clientes chinos mediante el envío de servidores a las oficinas de la empresa en Taiwán y otras partes de la región. Mientras tanto, el trío diseñó almacenes llenos de productos falsificados para engañar a las autoridades estadounidenses. Una semana después, los fiscales desvelado cargos contra otras tres personas acusadas de conspirar para enviar chips avanzados a China a través de contactos comerciales en Tailandia.

Esta serie de procesamientos sugiere que, a pesar de algunos éxitos de alto perfil, el contrabando sigue siendo un problema generalizado en toda la industria. Si bien esto es en parte un problema de ignorancia declarada, también puede resolverse con una combinación de políticas, personal y vigilancia.

Estados Unidos debe fortalecer los controles sobre las tecnologías emergentes en las fábricas y no en las puertas del aeropuerto. Si bien Washington tiene fuertes leyes de control de exportaciones, estas regulaciones tienen como objetivo evitar que los componentes salgan del país. Sin embargo, no impiden que las empresas chinas compren estas tecnologías dentro del país.

Esta divergencia de intenciones genera dificultades para el procesamiento, ya que los contrabandistas suelen ser únicamente acusado por evadir la aplicación de la ley de aduanas en lugar de ser acusado de obtener ilícitamente los componentes mientras aún se encontraba en suelo estadounidense. Sin embargo, el Congreso puede cerrar esta laguna mediante leyes de diligencia debida más estrictas que requieran un mayor escrutinio de los clientes potenciales antes del proceso de aplicación de la ley aduanera.

Washington también está en una carrera armamentista con las empresas de inteligencia artificial para financiar adecuadamente los mecanismos de aplicación de la ley, una carrera que actualmente está perdiendo. Si bien un solo caso de contrabando involucró 2.500 millones de dólares, el gasto federal en vigilancia de los controles de exportación ascendido a 122 millones de dólares en todo 2025.

Además, este aumento de la inversión en hardware informático tiene un alcance cada vez más global, aumentador la actual escasez de agentes federales responsables de hacer cumplir los controles de exportación en el momento exacto en que tanto aliados como adversarios buscan comprar lotes cada vez mayores de chips avanzados.

Incluso con políticas más estrictas y más personal, perseguir el contrabando de chips de IA también debe seguir siendo una prioridad policial para las autoridades federales. Si bien estos casos suelen ser complejos debido a una serie de desafíos técnicos y jurisdiccionales, así como a una serie de regímenes cambiantes de control de exportaciones, el FBI y el Departamento de Comercio deben seguir comprometidos a rastrear y desbaratar estas redes de contrabando.

Será clave para la administración separar las acciones de aplicación de sus intercambios diplomáticos en curso con Beijing; la eliminación de los procesamientos internos no debe usarse como moneda de cambio para lograr concesiones comerciales durante los próximos viajes del presidente Donald Trump a Beijing.

Necesitamos una aplicación de la ley más estricta para que el próximo caso de contrabando de miles de millones de dólares marque un progreso real, en lugar de exponer cuánto se escapó.

Jack Burnham es analista de investigación senior en el Programa China de la Fundación para la Defensa de las Democracias, y se centra en el ejército, las tecnologías emergentes y la política científica y tecnológica de China. Sigue a Jack en X@JackBurnham802.

La Agencia de Seguridad de Infraestructura y Ciberseguridad ha informado a los participantes del programa de Becas por Servicio del gobierno federal que ha cancelado los programas de pasantías de verano de este año debido a los problemas de financiación actuales en el Departamento de Seguridad Nacional.

Los correos electrónicos de CISA obtenidos por CyberScoop informaron recientemente a los solicitantes que la agencia no incorporará a ningún pasante de CyberCorps: Beca para Servicio este verano debido a los impactos de la interrupción de los fondos federales y la situación administrativa actual en el DHS. Para algunos solicitantes, los representantes de la agencia reconocieron que las cancelaciones representan un segundo año consecutivo de esfuerzos de colocación interrumpidos.

La Fundación Nacional de Ciencias (NSF) dirige y gestiona el programa, en coordinación con la Oficina de Gestión de Personal (OPM) y el DHS. El programa cubre la matrícula y proporciona estipendios para estudiantes especializados en ciberseguridad e inteligencia artificial. A cambio, los graduados deben realizar una pasantía y posteriormente trabajar en el servicio federal por un período igual a la duración de su beca.

Un funcionario de la OPM dijo a CyberScoop que la agencia está “en contacto activo con todas las agencias del gabinete federal sobre este tema y confiamos en que colocaremos a casi todos los participantes elegibles de la Beca para el Servicio dentro de los próximos dos meses”.

Un portavoz de la NSF declinó hacer comentarios. CISA no respondió a la solicitud de comentarios de CyberScoop.

El cierre repentino de las carteras de agencias pone de relieve cómo los solicitantes de empleo federales se encuentran actualmente atravesando un entorno de contratación paralizado, exacerbado por la agitación presupuestaria en el DHS y las reducciones de fuerza laboral propuestas bajo la administración Trump. El presupuesto fiscal de 2027 de la Casa Blanca recortaría el presupuesto de CISA en $707 millonessegún un resumen publicado a principios de este mes, lo que reduciría profundamente una agencia que ya recibió un gran golpe en el primer año del presidente Donald Trump.

Las fuentes dijeron a CyberScoop el martes que CISA se ha estado comunicando con solicitantes de pasantías que habían participado en una feria laboral virtual celebrada en febrero, donde se les dijo que la agencia tendría 100 puestos de pasantías disponibles. Sin embargo, se advirtió a los solicitantes que la agencia no podría contratar a nadie hasta que recibiera fondos.

Los participantes del programa expresaron su pesar a CyberScoop en noviembre pasado por haber participado en una iniciativa que los vincula a un empleador que actualmente no puede contratarlos. Según se informa, los administradores del programa han aconsejado a los estudiantes que sean creativos en su búsqueda de empleo, una directiva que causó frustración entre los participantes que dependen de los canales de colocación federales estándar.

En respuesta a la creciente acumulación de graduados no colocados, la OPM anunció planes para colaborar con la Fundación Nacional de Ciencias en un aplazamiento masivo. El director de la OPM, Scott Kupor, declaró que el aplazamiento se implementará una vez que se resuelva el cierre del gobierno, lo que brindará a los graduados tiempo adicional para asegurar puestos calificados.

El colapso estructural del proyecto CyberCorps presenta desafíos a largo plazo para la capacidad del gobierno federal de reclutar talento técnico. Se estima que Estados Unidos enfrenta actualmente 500.000 puestos vacantes en ciberseguridad. Históricamente, el programa de becas fue visto como un mecanismo confiable para evitar la competencia salarial del sector privado y asegurar talentos al comienzo de su carrera para el gobierno federal.

legisladores Actualmente están luchando por las facturas. eso pondría fin al cierre del DHS.

Tim Starks contribuyó a esta historia.

Seth Whitworth, subdirector interino de Operaciones Espaciales para Cibernética y Datos y director interino de seguridad de la información, dijo que cree que las herramientas de inteligencia artificial están cambiando la forma en que los defensores revisan el riesgo cibernético, tanto para sistemas individuales como de manera más integral en toda una empresa.

En particular, los modelos de lenguaje grande se pueden utilizar para implementar sistemáticamente soluciones para las debilidades más pequeñas pero críticas que han permitido a los piratas informáticos y ciberdelincuentes patrocinados por el estado ingresar a las redes de las víctimas y vivir de la tierra.

“Nuestros adversarios no buscan vulnerabilidades masivas de ciberseguridad; en realidad, somos bastante buenos en [defending] eso», dijo Whitworth el martes en AI Talks, presentado por Scoop News Group. «Están buscando una configuración incorrecta, una actualización fallida, una pequeña cosa que les permita un punto de entrada a una red muy conectada».

Muchos de estos problemas básicos de higiene cibernética tienden a incluirse en programas de cumplimiento existentes, pero puede hacer falta algo más que mandatos legales para solucionarlos. Muchas redes de TI empresariales (especialmente las más antiguas) acumulan deuda técnica con el tiempo, lo que lleva a sistemas olvidados, enrutadores ocultos y otras formas de TI en la sombra que se vuelven más inseguras con el tiempo.

Los expertos en ciberseguridad dicen que los agentes y los grandes modelos de lenguaje que los impulsan, que operan a perpetuidad las 24 horas del día, los 7 días de la semana, son particularmente adecuados para encontrar estas fallas más pequeñas y explotarlas rápidamente.

Pero Whitworth argumentó que la misma tecnología se puede utilizar para remodelar la forma en que las organizaciones miden y rastrean el cumplimiento cibernético, desde un lento ejercicio de verificación de casillas hasta algo más ágil y sustancial. Afirmó que el proceso interno de la Fuerza Espacial para obtener Autoridades para Operar y otras certificaciones formales de seguridad solía tardar entre 3 y 18 meses. Ahora, “ahora se puede hacer en semanas y días”.

Eso, a su vez, puede empoderar a los gerentes de programas para «extraer toda esa enorme cantidad de datos, permitir que la IA (que no se cansa, que no pasa por alto patrones, que no pasa por alto estos componentes) agite esos elementos y estos entreguen algo» que pueda informar cambios en tiempo real en la ciberseguridad, dijo.

Whitworth también reconoció el «miedo» que muchas organizaciones todavía tienen en torno al uso de la IA, así como las preocupaciones persistentes sobre algunas de las limitaciones duraderas de la tecnología, como las alucinaciones y el envenenamiento de datos. Dijo que todavía da a los resultados generados por IA “un escrutinio adicional, porque todavía no he visto la validación confiable”.

Pero también dijo que obtiene información más valiosa sobre el riesgo cibernético holístico de la Fuerza Espacial al utilizar modelos de lenguaje grandes que a partir de otras evaluaciones de control de seguridad, que tienden a centrarse estrechamente en el riesgo de sistemas o activos individuales de forma aislada.

«Estamos operando en un mundo altamente conectado y altamente orquestado, por lo que el riesgo moderado que se acepta en un programa inmediatamente se convierte en riesgo moderado que se acepta en otro programa», dijo Whitworth. “La IA puede tomar esa imagen completa y comprender que cuando este cambio de sistema impacta este sistema, también impacta este [other] sistema.»

Microsoft abordó 165 vulnerabilidades que afectan a sus diversos productos y sistemas subyacentes, incluida una vulnerabilidad explotada activamente en Microsoft Office SharePoint, en el informe de este mes. Actualización del martes de parches.

«Según mis cálculos, este es el segundo lanzamiento mensual más grande en la historia de Microsoft», escribió Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro, en un publicación de blog Martes.

Microsoft no explicó por qué su lote mensual de parches creció tanto este mes, pero Childs señaló que muchos programas de vulnerabilidad están experimentando un aumento significativo en los envíos encontrados por herramientas de inteligencia artificial. «Para nosotros, nuestra tasa de llegada esencialmente se ha triplicado, lo que hace que la clasificación sea un desafío, por decir lo menos», añadió.

La vulnerabilidad de día cero CVE-2026-32201 – tiene una calificación CVSS de 6,5 y permite a los atacantes ver información confidencial y realizar cambios en la información divulgada. Microsoft dijo que el defecto de validación de entrada incorrecta en Microsoft Office SharePoint permite a atacantes no autenticados realizar suplantación de identidad en una red.

La Agencia de Seguridad de Infraestructura y Ciberseguridad añadió el día cero a su catálogo de vulnerabilidades explotadas conocidas poco después de la divulgación de Microsoft.

Microsoft también abordó una vulnerabilidad de alta gravedad: CVE-2026-33825 – eso se conoció públicamente en el momento de la publicación. El proveedor dijo que es más probable que el defecto en Microsoft Defender sea explotado y podría permitir a atacantes no autorizados elevar los privilegios localmente.

«Lo que comienza como un punto de apoyo puede convertirse rápidamente en un dominio total del sistema», dijo Jack Bicer, director de investigación de vulnerabilidades en Action1, en una publicación de blog sobre la vulnerabilidad.

«Una vez explotado, permite un control total sobre los puntos finales, lo que permite la filtración de datos, la desactivación de herramientas de seguridad y el movimiento lateral a través de las redes», dijo Bicer.

El código de prueba de concepto para explotar el defecto está disponible públicamente, lo que aumenta la probabilidad de explotación en la naturaleza, añadió.

Microsoft reveló dos vulnerabilidades críticas este mes: CVE-2026-33824 afectando la extensión IKE de Windows y CVE-2026-26149 que afecta a Microsoft Power Apps, pero designó ambos defectos como menos propensos a ser explotados.

Según Microsoft, más de las tres cuartas partes de las vulnerabilidades reveladas este mes tienen menos probabilidades de ser explotadas. Mientras tanto, la empresa designó 19 vulnerabilidades como con mayor probabilidad de ser explotadas.

La lista completa de vulnerabilidades abordadas este mes está disponible en Centro de respuesta de seguridad de Microsoft.