Google reveló el lunes una vulnerabilidad de día cero explotada activamente, advirtiendo que el defecto de alta gravedad que afecta a un componente de pantalla de código abierto de Qualcomm para dispositivos Android «puede estar bajo explotación limitada y dirigida».

La vulnerabilidad de la corrupción de la memoria CVE-2026-21385 – que el equipo de seguridad de Android de Google informó a Qualcomm el 18 de diciembre, afecta a 234 conjuntos de chips, dijo Qualcomm en un boletín de seguridad. Qualcomm dijo que notificó a los clientes sobre la vulnerabilidad el 2 de febrero.

Qualcomm se negó a decir cuándo ocurrió el primer caso conocido de explotación, cuántas víctimas se vieron afectadas directamente y qué ocurrió durante el período de 10 semanas entre el informe y la divulgación pública de la vulnerabilidad.

«Felicitamos a los investigadores del Grupo de Análisis de Amenazas de Google por utilizar prácticas de divulgación coordinadas», dijo un portavoz de Qualcomm a CyberScoop. «Las correcciones estuvieron disponibles para nuestros clientes en enero de 2026. Alentamos a los usuarios finales a aplicar actualizaciones de seguridad a medida que estén disponibles por parte de los fabricantes de dispositivos».

Un portavoz de Google dijo que Qualcomm marcó la vulnerabilidad como explotada. «No tenemos ninguna información ni acceso a los informes de explotación», añadió el portavoz.

Google solucionó 129 defectos en su actualización de seguridad mensual para dispositivos Android, lo que refleja un aumento en las divulgaciones de vulnerabilidades por parte del proveedor. La última actualización de seguridad de la compañía contiene la mayor cantidad de vulnerabilidades de Android parcheadas en un solo mes desde abril de 2018.

El programa público de divulgación e informes de vulnerabilidades de Google para Android ha sido desigual. La empresa normalmente publicaba docenas de parches de seguridad cada mes, pero esa cadencia se ha convertido en una rutina más ocasional.

En lo que va del año, Google abordó una vulnerabilidad de Android en enero y ninguna en febrero. También hubo pausas ocasionales el año pasado cuando Google no informó ninguna vulnerabilidad en julio y octubre, seis en agosto y dos vulnerabilidades en noviembre. Sin embargo, las divulgaciones para 2025 alcanzaron su punto máximo con 120 defectos en septiembre y repuntaron nuevamente en diciembre con 107 vulnerabilidades, incluidas dos de día cero.

Google respondió anteriormente a preguntas sobre caídas en la cantidad de vulnerabilidades que revela cada mes, señalando que sigue centrado en los defectos que representan el mayor peligro.

«Android detiene la mayor parte de la explotación de vulnerabilidades en la fuente con un amplio refuerzo de la plataforma, como nuestro uso del lenguaje Rust, seguro para la memoria, y protecciones antiexplotación avanzadas», dijo un portavoz de Google en diciembre. «Android y Pixel abordan continuamente las vulnerabilidades de seguridad conocidas y priorizan reparar y parchar primero las de mayor riesgo».

El boletín de seguridad de Android de marzo incluye dos niveles de parche (2026-03-01 y 2026-03-05), lo que permite a los socios de Android abordar vulnerabilidades comunes en diferentes dispositivos. Los fabricantes de dispositivos Android lanzan parches de seguridad según su propio calendario después de haber personalizado las actualizaciones del sistema operativo para su hardware específico.

La actualización de seguridad principal contiene 63 vulnerabilidades, incluidas 32 en el marco, 19 en el sistema y 12 que afectan a Google Play. Casi la mitad de esas vulnerabilidades tienen identificadores CVE a partir de 2025.

El segundo parche aborda 66 vulnerabilidades, incluidas 15 vulnerabilidades que afectan al kernel, un defecto de un componente Arm, siete fallas de Imagination Technologies y siete vulnerabilidades en los componentes de Unisoc.

El segundo nivel de parche también contiene correcciones para ocho vulnerabilidades en componentes de Qualcomm de código cerrado y siete defectos de alta gravedad en componentes de Qualcomm de código abierto, incluido CVE-2026-21385.

Google dijo que el código fuente de todas las vulnerabilidades abordadas en el boletín de seguridad de Android de este mes se publicará en el repositorio del Proyecto de Código Abierto de Android el miércoles.

El jefe cibernético del FBI está dando prioridad a la preparación para el aumento de las amenazas chinas, una mayor confrontación de adversarios en el ciberespacio y un intercambio de inteligencia más rápido con la industria mientras la oficina entra en el segundo y último mes de una campaña única de concientización sobre la ciberseguridad.

Brett Leatherman, quien asumió el cargo de subdirector de la división cibernética del FBI el verano pasado, enumeró esos temas como sus tres principales prioridades en una entrevista reciente con CyberScoop. Al menos dos de ellos se superponen considerablemente con la actual campaña de sensibilización de la oficina, Operación ESCUDO DE INVIERNO.

Es el tipo de cosas que normalmente se esperaría más que surgieran de la Agencia de Seguridad de Infraestructura y Ciberseguridad, que alguna vez tuvo su propia campaña con el tema del escudo, en lugar del FBI.

«Nunca antes habíamos hecho una campaña en los medios como esta», dijo. «Pero si bien es atípico que una agencia encargada de hacer cumplir la ley haga este tipo de campaña en los medios técnicos, pensamos que era increíblemente importante porque traduce esa perspectiva de las fuerzas del orden. [into] formas significativas en que la industria puede avanzar hacia una mayor resiliencia en la infraestructura crítica, la industria, las agencias gubernamentales y más”.

Como parte de la campaña, el FBI destaca 10 recomendaciones, como proteger los registros de seguridad e implementar una autenticación resistente al phishing, que surgen de la misión de respuesta a incidentes del FBI.

«Las 10 recomendaciones que estamos haciendo ahora no son una sorpresa para muchas personas que trabajan o tienen ciberseguridad en los últimos años, pero es importante que también resaltemos que estos 10 controles son las formas en que seguimos viendo actores ingresando a empresas Fortune 100 y pequeñas y medianas empresas en prácticamente el 99% o más de las investigaciones que llevamos a cabo», dijo Leatherman.

La campaña ha incluido eventos localizados para la industria, podcastsapariciones internacionales, mensajes coordinados con empresas centradas en el ciberespacio y más. A veces enfatizan diferentes amenazas según el lugar donde se encuentran, o casos específicos que demuestran cómo no seguir las 10 recomendaciones ha llevado a una infracción en la vida real en el pasado.

En la oficina local de Honolulu, por ejemplo, el FBI celebró una cumbre ejecutiva cibernética con propietarios y operadores de infraestructura crítica y otros socios clave. Allí, el énfasis estuvo en cómo Hawái es un objetivo potencial de los piratas informáticos chinos, especialmente con la posibilidad de una invasión de Taiwán por parte de la República Popular China en 2027.

Asegurar el año 2027 es la primera prioridad para Leatherman como subdirector de la división cibernética. La idea es “defender la patria contra un aumento de los ataques de la República Popular China hacia la patria”, en caso de que un conflicto entre China y Taiwán tenga efectos colaterales en Estados Unidos.

La segunda prioridad de Leatherman es enfrentar mejor a los adversarios estadounidenses en el ciberespacio, con operaciones conjuntas y secuenciadas: «operaciones técnicas a través de nuestras autoridades legales para quitar capacidad y competencia al adversario». Eso incluye buscar formas de mejorar esas operaciones con IA.

Y su tercera prioridad gira en torno al intercambio de información con la industria. Leatherman dijo que el FBI tiene algunas capacidades únicas de inteligencia sobre amenazas cibernéticas y quiere compartirlas más rápidamente, para que pueda tener un impacto inmediato.

Leatherman dijo que Winter Shield está destinado a servir como complemento al trabajo de CISA y viceversa. El componente internacional de la campaña todavía tiene la vista puesta en el territorio nacional, afirmó. «Estamos ayudando a los socios a comprender que Internet está muy interconectado ahora, que las empresas son internacionales y que si simplemente haces este trabajo aquí en casa, corres el riesgo de que los actores apunten a tus operaciones internacionales y se dediquen al trabajo con sede en Estados Unidos», dijo.

El enfoque de la segunda administración Trump hacia el FBI ha generado preocupaciones en el Congreso, ex agentes y otros lugares sobre si se está restringiendo el enfoque cibernético de la oficina. La oficina ha perdido liderazgo veterano, y los datos del FBI que un alto demócrata del Senado publicó apuntan a personal siendo trasladado a tareas relacionadas con la inmigración, incluidas las derivadas del trabajo cibernético. La administración también ha propuesto recortes presupuestarios para la oficina.

Y la agencia matriz del FBI, el Departamento de Justicia, ha cerrar un equipo que combate los delitos relacionados con criptomonedas en medio de una reacción de la industria hacia las acciones del gobierno de EE. UU. en casos como Tornado Cash, al que la administración Biden acusó de incitar al lavado de dinero mediante equipos de ransomware.

Leatherman dijo que el director del FBI, Kash Patel, y otros líderes de la oficina han apoyado firmemente la misión cibernética del FBI.

“No hemos movido recursos de [the] división cibernética», dijo. «Todavía tenemos nuestra unidad de activos virtuales, todavía tenemos nuestro Equipo de Respuesta de Moneda Virtual, todos esos equipos responsables de rastrear las criptomonedas robadas de» Corea del Norte.

«Estamos haciendo un rastreo regular. Estamos tratando de aprovecharlo cuando podamos», dijo. «Hemos aumentado nuestra capacidad para atacar a los actores de los estados-nación gracias al apoyo del liderazgo del FBI, por lo que no hemos retirado recursos de la amenaza y continuamos priorizando tanto la persecución de los actores de amenazas como la participación de las víctimas».

Mientras competían por medallas y gloria en Milán, Italia, los atletas olímpicos estadounidenses experimentaron algo que rápidamente se está convirtiendo en una característica habitual de la vida pública moderna: el uso generalizado de herramientas de inteligencia artificial por parte de políticos, trolls y acosadores sexuales para manipular sus imágenes y voces.

Los usuarios de 4chan y otros sitios generaron y compartieron rápidamente imágenes “desnudas” o sexualizadas de múltiples atletas estadounidenses, incluidas las patinadoras artísticas Alysa Liu, Amber Glenn e Isabeau Levito, así como las esquiadoras Mikaela Shiffrin y Eileen Gu (que compitieron por China).

Varias empresas de investigación, incluidas Graphika y Medidas abiertasrastreó las publicaciones e imágenes en 4chan, una plataforma que elimina automáticamente publicaciones y tableros de temas específicos después de un período determinado.

Cristina López G., analista senior de Graphika y autora de un informe publicado el lunes, dijo a CyberScoop que las comunidades en línea dedicadas a generar y compartir imágenes de desnudos falsos y no consensuales de celebridades, figuras públicas y mujeres que sabían que existían antes de la era de la IA generativa. Pero estos grupos han aprovechado los modelos de imágenes de IA, en particular las versiones locales de código abierto que se pueden descargar y ajustar, para mejorar la calidad de la imagen y hacer que la tecnología sea accesible para miembros menos técnicos.

“Estas comunidades han cooptado y adaptado estas tecnologías para optimizarlas para su caso de uso final, que sigue siendo la producción de [nonconsensual sexual imagery]”, dijo López G.

Los usuarios de estos foros de mensajes de 4chan siguen un patrón gamificado: una persona publica una imagen sexualizada o no consensuada y luego pide a otros que publiquen la suya propia a cambio. La disponibilidad de modelos de IA descargables y de código abierto, que carecen de barreras de seguridad y pueden personalizarse para su “nudificación”, ha acelerado esta actividad.

Estos pesos y configuraciones personalizados, llamados Adaptaciones de rango bajo (LoRA), se pueden compartir en línea y conectar a los modelos locales de otros usuarios, de manera similar a la forma en que los jugadores crean y comparten modificaciones.

Los deepfakes existen (y mejoran constantemente) desde hace años, pero la tecnología de inteligencia artificial generativa ha mejorado drásticamente en los últimos 18 meses en la generación de fotografías y videos realistas.

Además, los modelos de código abierto se han extendido por Internet, brindando a los usuarios la capacidad de personalizar, ajustar y compartir modelos que están optimizados para la nudificación y la generación de imágenes no consensuadas.

Aunque las publicaciones de 4chan se eliminan automáticamente, aún pueden propagarse a Internet en general. En 2024, por ejemplo, los desnudos deepfake de Taylor Swift se originaron en el sitio pero se volvieron virales en las principales redes sociales. López G. dijo que aplicaciones como Telegram—y cada vez más X—se convierten en conductos para difundir aún más las imágenes.

«La forma en que esto altera el juego, diría yo, es que ya no sólo se intercambian productos, sino que se intercambia la capacidad de generar productos infinitos», dijo. «Entonces el daño se agrava, porque simplemente estás permitiendo que muchas otras personas puedan producir y dirigirse de manera única y específica a estas mujeres».

IA, políticas de guerra cultural y la opinión pública

El uso de IA para imitar o acosar a los atletas olímpicos estadounidenses durante los juegos no se limitó a desnudos no consentidos en 4chan.

Brady Tkachuk, del equipo de hockey masculino de EE. UU., habló después de que la Casa Blanca publicara un video generado por IA que lo mostraba falsamente burlándose de los canadienses después de la victoria del equipo de EE. UU. por la medalla de oro sobre Canadá.

El video, compartido a través de la cuenta de TikTok de la Casa Blanca, mostraba a Tkachuk diciendo de Canadá: «Abuchearon nuestro himno nacional, así que tuve que salir y darles una maldita lección a esos que comen jarabe de arce». A pesar de incluir un descargo de responsabilidad generado por IA, el video Ha sido visto decenas de millones de veces.

Sin embargo, Tkachuk –un ciudadano estadounidense que juega profesionalmente para los Senadores de Ottawa– tomó el problemadiciendo a los medios “no me gusta ese vídeo” porque “no es mi voz, ni mis labios se mueven”.

Es el último ejemplo de cómo la Casa Blanca de Trump utiliza la IA para alterar o manipular imágenes públicas. La administración ahora crea o comparte periódicamente imágenes generadas por IA como parte de su mensaje político, a veces sin revelarlas al público. A principios de este año, la Casa Blanca publicó una foto manipulada por IA en X demostración La manifestante de Minnesota Nekima Levy Armstrong llorando mientras la arrestaban y se la llevaban esposada, una emoción que no estaba presente en la imagen original. Las cuentas de redes sociales de otras agencias federales también han compartido imágenes y videos manipulados por IA.

Los funcionarios de la Casa Blanca han defendido constantemente sus acciones, describiéndolas como poco más que bromas. López G. dijo que ya sean desnudos no consensuados o falsificaciones políticas, el problema “va más allá del daño tecnológico” y refleja cómo sectores de la cultura en línea esencialmente niegan el impacto de este contenido en el mundo real.

“Una cosa que realmente llama la atención es que muchas de las personas que producen [deepfakes] «No conecten el daño que le están haciendo a la persona real», dijo. «En sus mentes piensan que 'esto no es real' y por eso estas personas no salen lastimadas. Hay una desconexión ahí que no tiene nada que ver con la tecnología, sino más bien con nosotros como cultura”.

Durante años, los ciberataques siguieron un patrón familiar: reconocimiento, explotación, persistencia, impacto. Los defensores construyeron sus estrategias en torno a ese ciclo, parcheando vulnerabilidades, monitoreando indicadores y trabajando para reducir el tiempo de permanencia. Pero se está produciendo un cambio más silencioso.

Los adversarios más sofisticados de la actualidad utilizan la IA para estudiar cómo se defienden las organizaciones. Llevan a cabo lo que llamamos “campañas de sondeo silencioso”: operaciones sutiles a largo plazo diseñadas para mapear cómo un equipo detecta amenazas, intensifica los problemas y responde bajo presión. Estas campañas se centran en conocer los hábitos, el flujo de trabajo y los puntos de decisión del defensor para que los atacantes puedan cronometrar y adaptar las acciones de seguimiento para evadir la detección. Esto reformula el riesgo cibernético, convirtiéndolo de un problema técnico en uno de comportamiento.

De encontrar vulnerabilidades a estudiar a los defensores

Históricamente, los atacantes se centraban únicamente en lagunas técnicas, ya fuera de un servidor sin parches, credenciales expuestas o una nube mal configurada. El objetivo era encontrar la debilidad y explotarla antes de que alguien más lo hiciera. El sondeo silencioso añade una nueva fase de “aprendizaje” a ese manual.

Los atacantes estudian cómo responde una organización con tanto cuidado como estudian sus sistemas. Utilizando IA durante semanas o meses, miden silenciosamente la velocidad de detección y escalamiento, aprenden qué alertas se ignoran e infieren patrones como cobertura de turnos, fatiga de alertas y cuellos de botella en los procesos.

Con el tiempo, estas sutiles sondas generan datos que alimentan los modelos adaptativos. Esos modelos ayudan a los atacantes a aprender qué desencadena una respuesta, qué tan rápido reaccionan los equipos y dónde tiende a fallar la detección. Esto significa que cuando finalmente se desarrolla un ataque importante, ya se ha optimizado frente a los patrones defensivos reales de la organización.

Al mismo tiempo, las organizaciones están incorporando IA en sus operaciones de seguridad, desde la clasificación automatizada hasta la orquestación de respuestas autónomas. Sin embargo, este cambio introduce un nuevo riesgo: los mismos sistemas diseñados para defender la empresa pueden convertirse en parte de la superficie de ataque.

A medida que las organizaciones dependen cada vez más de la IA para ejecutar sus operaciones de seguridad, estos sistemas necesitan una amplia visibilidad y acceso para funcionar correctamente. A menudo se conectan a plataformas en la nube, sistemas de identidad y controles de puntos finales para poder detectar amenazas y actuar rápidamente. Pero ese nivel de acceso crea una cantidad sustancial de poder. Si uno de estos sistemas impulsados ​​por IA se ve comprometido o manipulado, no solo expone una sola herramienta, sino que puede darle al atacante un amplio alcance en todo el entorno. En ese escenario, la tecnología diseñada para proteger a la organización puede acelerar el daño.

La automatización aumenta el riesgo cuando los sistemas de IA pueden tomar medidas sin la aprobación humana, como aislar dispositivos, restablecer contraseñas o cambiar configuraciones. Se requieren límites y barreras de seguridad claros, ya que las entradas manipuladas o las interpretaciones erróneas pueden desencadenar una perturbación rápida y de gran alcance. El riesgo depende de la autoridad del sistema y de los controles que lo rodean.

Las alucinaciones de la IA en las operaciones de seguridad pueden hacer que los sistemas identifiquen erróneamente las amenazas, aíslen los activos equivocados o pasen por alto la amenaza real. Los errores repetidos pueden erosionar la confianza en el sistema o, peor aún, crear una falsa sensación de confianza en sus decisiones automatizadas. Esto afecta el juicio, la toma de decisiones y cómo se entiende el riesgo en tiempo real.

El riesgo de defensas predecibles

Un sondeo silencioso revela cuán predecibles son las defensas de una organización. Los atacantes ahora buscan patrones en el comportamiento defensivo: consistencia de respuesta entre turnos, alertas ignoradas rutinariamente, pasos de respuesta a incidentes predecibles y si herramientas ruidosas ocultan accidentalmente amenazas que se mueven lentamente.

Cuando el comportamiento defensivo se vuelve visible y predecible, puede estudiarse y explotarse. Las organizaciones necesitan comprender cómo se ven sus defensas desde el exterior y evaluar su exposición conductual de la misma manera que los equipos rojos prueban los controles técnicos. Esto incluye comprender con qué facilidad un extraño puede identificar los umbrales de detección, con qué claridad se pueden medir los tiempos de respuesta y cuánta rutina operativa se puede aprender mediante sondeos silenciosos y repetidos. La pregunta clave es si los patrones de respuesta están enseñando involuntariamente a los atacantes cómo tener éxito.

Preparación en la era de la IA

Dado que la IA desempeña un papel más importante en las operaciones de seguridad, la supervisión debe evolucionar junto con ella. Una gobernanza sólida comienza con una definición clara de lo que se permite hacer a los sistemas de IA. Las organizaciones deben ser explícitas sobre qué acciones pueden ocurrir automáticamente y cuáles requieren aprobación humana. Por el contrario, los principios de privilegios mínimos deberían aplicarse no sólo a las personas, sino también a las máquinas. Las herramientas impulsadas por la IA deben probarse periódicamente y revisarse para detectar derivas, sesgos y conclusiones inexactas. Siempre que sea posible, las autoridades de detección y respuesta deben estar separadas para evitar concentrar demasiada energía en un solo sistema. La centralización sin control puede parecer eficiente, pero en la práctica crea fragilidad.

Aun así, las políticas y las barreras de seguridad por sí solas no son suficientes. A medida que los atacantes utilizan la IA para comprender a los defensores, estos deben perfeccionar su propia capacidad para pensar como sus adversarios. Los profesionales de seguridad necesitan evaluar cómo funcionan sus herramientas y cómo podrían ser observadas, manipuladas o engañadas. Esto requiere cuestionar las decisiones automatizadas, intervenir cuando sea necesario e investigar anomalías, especialmente cuando el sistema parece confiar en sus conclusiones.

Por eso son importantes las simulaciones prácticas y los equipos rojos centrados en la IA. Los equipos necesitan experiencia en entornos que simulen adversarios adaptativos que ajustan sus tácticas en función de respuestas defensivas. no sólo escenarios de ataque de libros de texto. Necesitan comprender las capacidades de detección de la IA y los riesgos que introducen las configuraciones deficientes o la confianza ciega. La brecha que enfrentan las organizaciones se ha vuelto más cognitiva que tecnológica, y cerrar esa brecha requiere un desarrollo continuo y mensurable de habilidades, incluida la alfabetización en IA, la conciencia ofensiva sobre la IA y la capacidad de evaluar críticamente los resultados automatizados.

En una era en la que la IA es lo primero, la resiliencia ahora depende de cómo una organización se defiende como si estuviera siendo vigilada. El sondeo silencioso permite a los atacantes comprender los umbrales de detección, la velocidad de escalada y la coherencia de la respuesta durante semanas o meses. y la coherencia con la que responden los equipos. Esta tranquila observación puede servir ahora como precursora de un ataque importante a una empresa.

Los líderes de seguridad deben centrarse en lo que sus organizaciones revelan a través del comportamiento defensivo diario. Cuando los atacantes pueden observar, aprender y adaptarse con el tiempo, las respuestas predecibles se convierten en un problema porque son fáciles de estudiar y explotar.

Dimitrios Bougioukas es vicepresidente senior de capacitación en Hack The Box, donde lidera el desarrollo de iniciativas y certificaciones de capacitación avanzada que equipan a los profesionales de la ciberseguridad de todo el mundo con habilidades listas para la misión.

Madhu Gottumukkala dejó el cargo de director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad, y el actual director ejecutivo de ciberseguridad de la agencia, Nick Andersen, lo reemplazó como líder interino.

La noticia de la salida de Gottumukkala llega un día después de que CyberScoop informara sobre la consternación generalizada por el desempeño de la agencia durante el primer año de la administración Trump, con importantes críticas dirigidas al liderazgo de Gottumukkala en ambos lados del pasillo después de una serie de historias poco halagadoras sobre su gestión.

“Madhu Gottumukkala ha hecho un trabajo extraordinario en la ingrata tarea de ayudar a reformar la CISA para que vuelva a su misión estatutaria central”, dijo a CyberScoop el jueves un funcionario del Departamento de Seguridad Nacional. “Abordó la burocracia despierta, armada e inflada que existía en CISA, negociando contratos para ahorrar dólares de los contribuyentes estadounidenses”.

Gottumukkala, se desempeñó como director de información bajo la entonces gobernadora de Dakota del Sur, Kristi Noem, ahora secretaria del DHS, antes de ser elegido subdirector de la agencia. La nominación de Sean Plankey para desempeñarse como director a tiempo completo de CISA se ha estancado, dejando a Gottumukkala como director interino en su lugar.

Gottumukkala asumirá un nuevo rol en el DHS, como director de implementación estratégica. Andersen ha obtenido críticas más favorables de la industria y los profesionales cibernéticos durante su mandato en CISA que Gottumukkala, a quien algunos todavía elogian por su perspicacia técnica.

ABC Noticias reportado por primera vez las noticias sobre los movimientos de Gottumukkala y Andersen. La noticia llega el mismo día que se informa sobre otro cambio de liderazgo en la agencia, con Cybersecurity Dive. primer informe sobre la salida de Robert Costello como CIO de CISA.

Si bien algunos funcionarios con los que CyberScoop habló esta semana para su artículo sobre CISA creían que la agencia tenía cierta duplicación, la mayoría pensó que la administración Trump había hecho recortes mucho más profundos de lo necesario, dañando a la agencia.

Andersen ha ocupado varios puestos en TI y ciberseguridad en el sector público durante las últimas dos décadas, incluidos puestos en la Guardia Costera, la Marina y el Departamento de Energía.

Un comité clave del Senado tomó medidas para promover una legislación que revisaría las prácticas de ciberseguridad en el Departamento de Salud y Servicios Humanos.

La Ley bipartidista de Ciberseguridad y Resiliencia de la Atención Médica fue aprobada por el Comité Senatorial de Salud, Educación y Trabajo el jueves con una votación de 22 a 1, y solo el senador Rand Paul, republicano por Kentucky, se opuso.

El legislaciónpatrocinado por el presidente del comité Bill Cassidy, republicano por La., y los senadores Mark Warner, demócrata por Virginia, John Cornyn, republicano por Texas y Maggie Hassan, demócrata por NH, requeriría que el Secretario de Salud y Servicios Humanos desarrolle un plan de respuesta a incidentes de ciberseguridad para el departamento y lo presente al Congreso para su revisión.

Ordenaría al departamento que se asocie con la Agencia de Seguridad de Infraestructura y Ciberseguridad en la supervisión de la ciberseguridad en los sectores de atención médica y salud pública, crearía una guía específica de ciberseguridad para los proveedores de atención médica rurales y desarrollaría un plan para impulsar la alfabetización en ciberseguridad dentro de la fuerza laboral de atención médica.

Cassidy y otros miembros citaron el ataque de 2024 Change Healthcare como un importante impulsor de la legislación, argumentando que el incidente fue emblemático de un sector que está bajo constante asedio por parte de ciberdelincuentes, actores de ransomware y estados-nación.

“El año pasado hubo más de 730 infracciones cibernéticas que afectaron a más de 270 millones de estadounidenses. [connected to] Change Healthcare, exponiendo los datos de 190 millones de personas y retrasando el acceso a la atención”. Cassidy dijo al inicio de la audiencia.

Otra disposición designaría a la Administración de Preparación y Respuesta Estratégicas del HHS como Agencia de Gestión de Riesgos Sectoriales para los sectores de atención médica y salud pública.

A principios de este mes, un funcionario del HHS de esa oficina hablando en CyberTalks, presentado por CyberScoop, dijo que el ataque a Change Healthcare tomó por sorpresa a muchos defensores de los sectores público y privado, subrayando cómo el compromiso de un proveedor de servicios externo poco conocido concentrado en un solo sector aún puede acabar con amplios sectores de la industria.

«No era un hospital, era una empresa de la que la mayoría de la gente nunca había oído hablar y tuvo grandes impactos en nuestro sector y amenazó la liquidez de todo nuestro sistema de atención médica», dijo Charlee Hess, directora de ciberseguridad del sector de atención médica y salud pública en la división de Administración para la Preparación y Respuesta Estratégica. «Nos recuperamos de eso, pero nos dimos cuenta de que hay riesgos de terceros acechando en nuestro sistema de atención médica, y ni siquiera sabemos que están allí. ¿Dónde están esas entidades o sistemas que tendrán un impacto enorme en nuestro sector?»

El proyecto de ley actualizaría una de las principales leyes de protección de datos del sector, la Ley de Responsabilidad y Portabilidad del Seguro Médico, para garantizar que las entidades reguladas utilicen prácticas modernas de ciberseguridad. También establecería un nuevo programa de subvenciones federales para ayudar a hospitales, centros oncológicos, clínicas de salud rurales, el Servicio de Salud Indígena, centros de salud académicos y organizaciones sin fines de lucro asociadas a adoptar las mejores prácticas de ciberseguridad.

«Los ataques cibernéticos en el sector de la atención médica pueden tener una amplia gama de consecuencias devastadoras, desde exponer información médica privada hasta interrumpir la atención en las salas de emergencia, y puede ser particularmente difícil para los proveedores médicos en comunidades rurales con menos recursos prevenir y responder a estos ataques», dijo Hassan en un comunicado.

Se ha arraigado un esfuerzo mundial de aplicación de la ley para combatir The Com, una red nihilista en expansión de miles de menores y adultos jóvenes involucrados en diversas formas de delitos cibernéticos, incluida la violencia física y la extorsión.

Proyecto Brújulauna operación coordinada por Europol con el apoyo de 28 países, incluidos todos los miembros de los Cinco Ojos, ha dado lugar a la arresto de 30 perpetradores desde que la iniciativa se puso en marcha en enero de 2025, dijeron las autoridades en un comunicado de prensa el jueves.

Las autoridades dijeron que las contramedidas sostenidas han contribuido a la identificación total y parcial de 179 perpetradores, mientras que la operación también ha salvaguardado a cuatro víctimas e identificado hasta 62 víctimas.

El Com se divide en tres subconjuntos principales con diferentes objetivos que el FBI describe como Hacker Com, In Real Life Com y Extortion Com. Los delitos atribuidos a miembros del grupo se han vuelto cada vez más complejos, y los perpetradores hacen todo lo posible para enmascarar identidades, ocultar transacciones financieras y lavar dinero.

«Estas redes apuntan deliberadamente a los niños en los espacios digitales donde se sienten más cómodos», dijo en un comunicado Anna Sjöberg, directora del Centro Europeo Contra el Terrorismo de Europol.

Varias ramas de The Com han sido vinculadas a crímenes de alto perfil en los últimos años, y las fuerzas del orden han respondido con una mayor actividad e interés en las actividades del grupo.

La COM es enorme: muchos perpetradores siguen prófugos y aún más víctimas siguen sufriendo y esperando ayuda.

Este creciente esfuerzo global para frustrar las tendencias cambiantes del crimen con recursos apropiados ha construido una base que fomentará resultados más allá de los logrados hasta la fecha, dijo Allison Nixon, directora de investigación de la Unidad 221B.

«¿Cómo se come un elefante? Un bocado a la vez», dijo a CyberScoop. «La COM representa un importante problema social que afecta a la juventud, y las expectativas de la gente deben ser realistas. Estas primeras cifras y el aumento de los esfuerzos con el tiempo es lo que representa el éxito y debemos fomentarlo».

Una respuesta policial eficaz a The Com requiere una forma diferente de pensar y reequipar, “pero tiene más solución que el crimen que se origina en naciones hostiles”, dijo Nixon.

Project Compass se basa en una red de intercambio de información, que permite a cada uno de los países socios ayudar con las investigaciones en varias unidades especializadas. Los países también están compartiendo consejos sobre medidas preventivas y movilizando grupos de datos para reunir inteligencia para los casos en curso.

«El Proyecto Compass nos permite intervenir antes, salvaguardar a las víctimas y perturbar a quienes explotan la vulnerabilidad con fines extremistas», afirmó Sjöberg. «Ningún país puede hacer frente a esta amenaza por sí solo y, a través de esta cooperación, estamos cerrando las brechas en las que intentan esconderse».

Europol no ha identificado hasta el momento a las 30 personas detenidas en el marco del Proyecto Compass. Sin embargo, al menos algunos de esos casos son públicos.

Durante el año pasado, las autoridades arrestaron a varios miembros de una rama de Com conocida como 764, que es una creciente amenaza en línea para obligar a niños vulnerables a producir material de abuso sexual infantil de ellos mismos, material gor, automutilación, abuso de hermanos, abuso de animales y otros actos de violencia.

Dos presuntos líderes de 764, Leonidas Varagiannis y Prasan Nepal, fueron arrestados y acusados ​​de dirigir y distribuir CSAM en abril.

Tony Christoper Long y Alexis Aldair Chávez se declararon culpables a fines del año pasado de múltiples delitos relacionados con su participación en el grupo extremista. Otros presuntos 764 miembros han sido arrestados en Estados Unidos más recientemente, incluidos Erik Lee Madison y Aaron Corey.

Anthropic está implementando una nueva característica de seguridad para Claude Code que puede escanear las bases de código de software de un usuario en busca de vulnerabilidades y sugerir soluciones de parcheo.

La compañía anunció el viernes que Seguridad del código Claude Inicialmente estará disponible para pruebas en un número limitado de clientes empresariales y de equipos. Esto sigue a más de un año de pruebas de estrés por parte de los miembros internos del equipo rojo, compitiendo en concursos de ciberseguridad Capture the Flag y trabajando con el Laboratorio Nacional del Noroeste del Pacífico para perfeccionar la precisión de las funciones de escaneo de la herramienta.

Los grandes modelos de lenguajes se han mostrado cada vez más prometedores tanto en la generación de código como en las tareas de ciberseguridad en los últimos dos años, acelerando el proceso de desarrollo de software pero también reduciendo el listón técnico necesario para crear nuevos sitios web, aplicaciones y otras herramientas digitales.

«Esperamos que una parte significativa del código mundial sea escaneada por IA en un futuro próximo, dado lo efectivos que se han vuelto los modelos para encontrar errores y problemas de seguridad ocultos durante mucho tiempo», escribió la compañía en un blog. correo.

Esas mismas capacidades también permiten a los delincuentes escanear el entorno de TI de una víctima más rápido para encontrar debilidades que puedan explotar. Anthropic apuesta a que a medida que la “codificación de vibración” se generalice, la demanda de escaneo automatizado de vulnerabilidades superará la necesidad de revisiones de seguridad manuales.

A medida que más personas utilizan la IA para generar su software y aplicaciones, un escáner de vulnerabilidades integrado podría reducir potencialmente la cantidad de vulnerabilidades que lo acompañan. El objetivo es reducir grandes partes del proceso de revisión de seguridad del software a unos pocos clics, y el usuario aprueba cualquier parche o cambio antes de la implementación.

Anthropic afirma que Claude Code Security «lee y razona sobre su código como lo haría un investigador humano», mostrando una comprensión de cómo interactúan los diferentes componentes de software, rastreando el flujo de datos y detectando errores importantes que pueden pasarse por alto con las formas tradicionales de análisis estático.

«Cada hallazgo pasa por un proceso de verificación de varias etapas antes de llegar a un analista. Claude vuelve a examinar cada resultado, intentando probar o refutar sus propios hallazgos y filtrar los falsos positivos», afirmó la empresa. «A los hallazgos también se les asignan clasificaciones de gravedad para que los equipos puedan centrarse primero en las soluciones más importantes».

Los investigadores de amenazas le han dicho a CyberScoop que, si bien las capacidades de ciberseguridad han mejorado claramente en los últimos años, tienden a ser más efectivas para encontrar errores de menor impacto, mientras que en muchas organizaciones todavía se necesitan operadores humanos experimentados para administrar el modelo y lidiar con amenazas y vulnerabilidades de mayor nivel.

Pero herramientas como Claude Opus y XBOW han demostrado la capacidad de descubrir cientos de vulnerabilidades de software, en algunos casos haciendo que el proceso de descubrimiento y parcheo sea exponencialmente más rápido que con un equipo de humanos.

antrópico dicho Claude Opus 4.6 es «notablemente mejor» para encontrar vulnerabilidades de alta gravedad que los modelos anteriores, identificando en algunos casos fallas que «no habían sido detectadas durante décadas».

Los usuarios interesados ​​pueden solicitar el acceso al programa. Anthropic aclara su página de registro que los evaluadores deben aceptar utilizar Claude Code Security únicamente en el código que posee su empresa y que «posee todos los derechos necesarios para escanear», no en códigos con licencia o propiedad de terceros ni en proyectos de código abierto.

Anthropic acusó el lunes a tres laboratorios chinos de inteligencia artificial de intentar desviar sigilosamente las capacidades de Claude para sus propios modelos, potencialmente de una manera que podría impulsar operaciones cibernéticas ofensivas.

La startup estadounidense de inteligencia artificial dijo que los tres laboratorios, DeepSeek, Moonshot y MiniMax, realizaron “campañas a escala industrial” con una táctica conocida como “destilación”. Implica enviar solicitudes masivas a su modelo Claude en un intento por impulsar las suyas propias (en este caso, 16 millones en total). La destilación puede ser una práctica legítima como método de capacitación, dijo la compañía en una publicación de blogpero no cuando se utiliza como atajo para quitar capacidades a los competidores.

“Los modelos elaborados ilícitamente carecen de las salvaguardias necesarias, lo que crea importantes riesgos para la seguridad nacional”, argumentó Anthropic. “Los laboratorios extranjeros que destilan modelos estadounidenses pueden luego incorporar estas capacidades desprotegidas a sistemas militares, de inteligencia y de vigilancia, permitiendo a los gobiernos autoritarios desplegar IA de frontera para operaciones cibernéticas ofensivas, campañas de desinformación y vigilancia masiva”.

No es la primera vez que Anthropic advierte sobre las amenazas chinas derivadas del uso de Claude por parte de la nación. Y Anthropic combinó sus revelaciones sobre la campaña de destilación con repitiendo su llamada para controles más estrictos a las exportaciones.

OpenAI también tiene acusó a DeepSeek de utilizar técnicas de destilación. CyberScoop no pudo comunicarse de inmediato con los tres laboratorios chinos para comentar sobre las afirmaciones de Anthropic.

«Las tres campañas de destilación… siguieron un manual similar, utilizando cuentas fraudulentas y servicios de proxy para acceder a Claude a escala mientras evadían la detección», dijo Anthropic. «El volumen, la estructura y el enfoque de las indicaciones eran distintos de los patrones de uso normales, lo que reflejaba una extracción deliberada de capacidades en lugar de un uso legítimo».

En total, los laboratorios utilizaron 24.000 cuentas fraudulentas, dijo Anthropic. DeepSeek fue responsable de 150.000 de los intercambios, en comparación con 3,4 millones de Moonshot y 13 millones de MiniMax, según la startup. La actividad violó los términos de servicio y las restricciones de acceso regional, dijo.

Lo que hace que la táctica sea ilegítima es que esencialmente roba la propiedad intelectual, la potencia informática y el esfuerzo de Anthropic, dijo Gal Elbaz, cofundador y director de tecnología de Oligo Security, que se anuncia a sí misma como una empresa de seguridad de tiempo de ejecución de IA.

«Lo aterrador es que puedes tomar todo el poder y liberarlo, porque no tienes a nadie que realmente haga cumplir esas barreras en el otro lado», dijo Elbaz a CyberScoop sobre los temores que Anthropic generó sobre los laboratorios que alimentan los ciberataques.

Las propias empresas de IA se han enfrentado a acusaciones de que están robando datos e propiedad intelectual de otros para impulsar sus modelos.

Los ciberataques llegaron a las víctimas más rápido y provinieron de una gama más amplia de grupos de amenazas que nunca el año pasado, dijo CrowdStrike en su informe anual de amenazas globales publicado el martes, y agrega que los ciberdelincuentes y los estados-nación dependen cada vez más de tácticas predecibles para evadir la detección mediante la explotación de sistemas confiables.

El tiempo medio de ruptura (el tiempo que tardaron los atacantes con motivación financiera en pasar de la intrusión inicial a otros sistemas de red) se redujo a 29 minutos en 2025, un aumento del 65% en la velocidad con respecto al año anterior. «El tiempo de fuga más rápido hace un año fue de 51 segundos. Este año es de 27 segundos», dijo a CyberScoop Adam Meyers, jefe de operaciones de contraataque en CrowdStrike.

Los defensores se están quedando atrás porque los atacantes están perfeccionando sus técnicas, utilizando ingeniería social para acceder más rápido a sistemas con altos privilegios y moverse a través de la infraestructura de nube de las víctimas sin ser detectados.

«Los actores de amenazas están explotando esas brechas entre dominios para obtener acceso a los entornos, por lo que se están metiendo entre las costuras de la nube, la identidad, la empresa y los dispositivos de red no administrados», dijo Meyers.

Partiendo de una posición ya de por sí desventajosa, agravada por ataques más rápidos y técnicas de supervivencia, los defensores enfrentan agotamiento, estrés y otros factores que pueden conducir a errores, añadió.

Las innumerables fuentes de estos problemas también se están extendiendo.

CrowdStrike rastreó 281 grupos de amenazas a finales de 2025, incluidas 24 nuevas amenazas que nombró a lo largo del año. Los investigadores de la empresa de ciberseguridad también están rastreando 150 grupos activos de actividades maliciosas y grupos de amenazas emergentes.

Los ciberdelincuentes que buscan un pago y los estados nacionales que cometen espionaje o implantan puntos de apoyo en infraestructuras críticas para un acceso prolongado están aprovechando cada vez más las debilidades de seguridad en los entornos basados ​​en la nube para irrumpir en las redes de las víctimas.

Estos ataques centrados en la nube han experimentado un aumento interanual del 37%, con un aumento del 266% en esta actividad por parte de grupos de amenazas de estados-nación.

La gran mayoría de los ataques detectados el año pasado, el 82%, estaban libres de malware, lo que pone de relieve el cambio duradero de los atacantes hacia operaciones prácticas con el teclado y el abuso de herramientas y credenciales legítimas, afirmó CrowdStrike en el informe. Según CrowdStrike, más de 1 de cada 3 casos de respuesta a incidentes que involucraron intrusiones en la nube el año pasado estuvieron vinculados a una credencial válida o abusada que otorgó acceso a los atacantes.

Los ataques originados o patrocinados por Corea del Norte aumentaron un 130% el año pasado, mientras que los incidentes relacionados con China aumentaron un 38% durante el mismo período.

Los grupos de amenazas chinos lograron acceso inmediato al sistema con dos tercios de las vulnerabilidades que explotaron el año pasado, y el 40% de esas vulnerabilidades se dirigieron a dispositivos periféricos.

Los exploits de día cero (especialmente defectos en dispositivos periféricos como firewalls, enrutadores y redes privadas virtuales) permitieron que grupos de amenazas de cibercrimen y estados-nación ingresaran a los sistemas, ejecutaran códigos y escalaran privilegios sin ser detectados.

CrowdStrike dijo que observó un aumento interanual del 42% en la cantidad de vulnerabilidades de día cero explotadas antes de su divulgación pública el año pasado.

Meyers dijo que espera que ese número crezca aún más, prediciendo una explosión de actividad de atacantes que utilizan inteligencia artificial para encontrar y explotar vulnerabilidades de día cero en varios productos durante los próximos tres a nueve meses.

El informe anual sobre amenazas globales de CrowdStrike está lleno de cifras que van en la dirección equivocada, pero el hallazgo más preocupante para Meyers se reduce a la velocidad de los atacantes.

«La velocidad a la que estamos viendo acelerar estos tiempos de fuga es uno de los marcadores», dijo, y agregó que es sólo cuestión de tiempo antes de que los ataques más rápidos bajen a segundos, si no milisegundos.