Según ReliaQuest, un pequeño grupo de antiguos afiliados de Black Basta ha atacado a más de 100 empleados en docenas de organizaciones para invadir los sistemas de red y potencial robo de datos, implementación de ransomware y extorsión.

La campaña de ingeniería social, que implica bombardeos masivos de correos electrónicos y suplantación de la mesa de ayuda de Microsoft Teams, aumentó el mes pasado y se remonta al menos a mayo de 2025, dijo ReliaQuest en un informe el martes.

Los atacantes se han dirigido principalmente a los altos directivos para obtener un acceso altamente privilegiado. «Aproximadamente tres cuartas partes de los usuarios objetivo eran ejecutivos, directores, gerentes o roles similares de alto valor», dijeron a CyberScoop por correo electrónico los investigadores que trabajaron en el informe.

Los ciberdelincuentes involucrados en Black Basta, una rama de Conti, se dispersaron después de que los registros de chat internos del grupo de amenazas se filtraran en línea en febrero de 2025, proporcionando a los investigadores de amenazas y a las autoridades detalles clave sobre las operaciones del grupo.

La policía alemana identificó públicamente en enero a Oleg Evgenievich Nefedov, un ciudadano ruso, como el presunto líder de Black Basta. Nefedov, un hombre de 35 años que posteriormente fue incluido en las listas de los más buscados Europol y Interpolsupuestamente formó y dirigió Black Basta desde 2022, dijeron las autoridades.

Se le acusa de extorsionar a más de 100 empresas en Alemania y alrededor de 600 países más en todo el mundo.

ReliaQuest dijo que la campaña observada recientemente comparte muchas similitudes con la actividad anterior de Black Basta y sigue el mismo manual (herramientas, orientación y estilo de ejecución) asociado con el otrora prolífico grupo de ransomware.

«Eso incluye el uso repetido de herramientas de acceso remoto, una fuerte concentración en sectores históricamente favorecidos por Black Basta y un nivel de velocidad y coordinación que sugiere que los operadores experimentados están basándose en un manual que ya saben que funciona», dijeron los investigadores.

«Tenemos cuidado de no tratar ningún artefacto en particular como prueba definitiva, pero en conjunto, las similitudes son lo suficientemente fuertes como para evaluar que es muy probable que estén involucrados antiguos afiliados u operadores estrechamente alineados», agregaron los investigadores de ReliaQuest.

El sitio de filtración de datos de Black Basta se cerró poco después de que se filtraran sus chats internos el año pasado, pero los ciberdelincuentes no capturados generalmente se dispersan y se unen a nuevos grupos después de un desmantelamiento o disolución. Los cazadores de amenazas advirtieron que los ex miembros todavía estaban apuntando activamente a víctimas adicionales a principios de este año.

ReliaQuest publicó su informe, que incluye indicadores de compromiso, después de observar un aumento particularmente pronunciado en la actividad en marzo, señalando que el objetivo del grupo se centraba más en los empleados de alto nivel.

«Los operadores se están moviendo muy rápidamente, con partes del flujo de trabajo volviéndose más automatizadas o altamente optimizadas, lo que hace que la campaña sea más fácil de escalar y más difícil para los defensores interrumpirla antes de que se establezca el acceso remoto», dijeron los investigadores.

Los cinco principales sectores objetivo de los recientes ataques al estilo Black Basta incluyen la manufactura, los servicios profesionales, las finanzas y seguros, la construcción y la tecnología, según ReliaQuest.

Los atacantes suelen bombardear a los empleados objetivo con cientos de correos electrónicos en cuestión de minutos y luego contactan a los usuarios objetivo, haciéndose pasar por el soporte de TI a través de mensajes directos en Microsoft Teams o una llamada telefónica. ReliaQuest dijo que ha observado que algunos atacantes logran acceso remoto minutos después de la primera señal de una bomba de correo electrónico.

Los investigadores no dijeron cuántas organizaciones han sido invadidas con éxito como resultado de esta campaña hasta el momento.

Si bien la extorsión parece ser el objetivo más probable, ReliaQuest advirtió que no se debe asumir que cada ataque resulta en cifrado de ransomware.

«Según lo que hemos observado, la cadena de intrusión está diseñada para obtener acceso rápidamente, comprender el entorno y crear opciones para la monetización posterior», dijeron los investigadores. «Eso podría conducir al robo de datos, la extorsión sin cifrado o la implementación de ransomware, dependiendo de la víctima y la oportunidad».

El 23 de marzo, el Senado confirmó al senador Markwayne Mullin como el próximo secretario de seguridad nacional, lo que marca un paso importante en el fortalecimiento del liderazgo durante un momento crítico para la seguridad de nuestra nación.

Pero sólo la mitad del trabajo está hecho.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la principal agencia civil de ciberdefensa del gobierno federal, aún carece de un director confirmado por el Senado. A medida que aumentan las amenazas cibernéticas globales, esta prolongada brecha de liderazgo plantea un riesgo creciente para la seguridad nacional.

Como Director Ejecutivo de la Coalición Nacional de Seguridad Tecnológica (NTSC), represento a los Directores de Seguridad de la Información que son responsables de proteger los sistemas que sustentan la economía y la infraestructura crítica de Estados Unidos. En todos los sectores, energía, atención médica, servicios financieros, manufactura y transporte, existe una preocupación común: el panorama de amenazas se está volviendo más agresivo y nuestras defensas deben mantenerse a la vanguardia.

Nuestros enemigos no están esperando.

Desde el inicio del conflicto con Irán, los expertos en ciberseguridad han informado de un aumento de la actividad cibernética maliciosa dirigida a los sistemas estadounidenses y aliados. Los actores vinculados a Irán han demostrado su capacidad para perturbar operaciones y explotar vulnerabilidades. Mientras tanto, China continúa su esfuerzo a largo plazo para infiltrarse en las redes estadounidenses y posicionarse para una posible interrupción de la infraestructura crítica. Rusia y sus grupos afiliados siguen siendo persistentes, investigando las debilidades de los sistemas occidentales y ejerciendo una presión constante.

Ésta es la realidad del conflicto moderno. Las operaciones cibernéticas se han convertido en un ámbito principal de competencia. En algunos casos, pueden rivalizar con los efectos de la acción militar tradicional, perturbando las economías, las comunicaciones y la seguridad pública únicamente a través del código.

El liderazgo es importante en este entorno.

CISA desempeña un papel clave en la coordinación de la ciberdefensa federal, compartiendo inteligencia sobre amenazas con el sector privado y apoyando a los gobiernos estatales y locales. Sirve como vínculo entre el gobierno y la industria para proteger la infraestructura digital del país. Sin un director confirmado por el Senado, la capacidad de la agencia para establecer prioridades, coordinar esfuerzos y responder rápidamente es limitada.

Ese desafío es cada vez más urgente. El plan presupuestario del presidente para el año fiscal 2027 propone recortes significativos a la financiación de CISA. En un momento en que la agencia enfrenta una presión operativa cada vez mayor, la escasez de recursos hace que un liderazgo fuerte y constante sea aún más crucial.

Éste es el momento en que el liderazgo del secretario Mullin es fundamental.

Como ex miembro del Senado, el secretario Mullin comprende la institución, su dinámica y cómo generar consenso. Está en una posición única para conectarse con colegas anteriores y ayudar a avanzar en el nombramiento de Sean Plankey como Director de CISA.

Plankey está altamente calificado y es ampliamente respetado en la comunidad de la ciberseguridad. Su experiencia en la Guardia Costera de EE. UU., en el Departamento de Energía que protege la infraestructura energética del país y en el sector privado le proporciona una comprensión clara tanto del panorama de amenazas como de la importancia de la colaboración público-privada. En un momento en que la coordinación entre el gobierno y la industria es vital, estas cualidades son esenciales.

El Senado ya ha dado señales de que se toma en serio las ciberamenazas. Recientemente confirmó Teniente general Joshua Rudd para liderar el Comando Cibernético de EE. UU. y servir como director de la Agencia de Seguridad Nacional, asegurando un liderazgo sólido del equipo de defensa cibernética militar de Estados Unidos.

Ahora necesita hacer lo mismo en el lado civil.

Confirmar a Plankey es importante porque la principal agencia civil de ciberdefensa del país necesita un liderazgo establecido para combatir a los adversarios que ya están dentro de nuestras redes, investigando nuestros sistemas y preparándose para la siguiente fase del conflicto.

La brecha de liderazgo en CISA ya ha durado bastante.

El secretario Mullin debe comprometerse. El Senado necesita actuar. Y Sean Plankey debería ser confirmado sin más demora.

Las ciberdefensas de Estados Unidos dependen de ello.

Chris Sullivan es el director ejecutivo de la Coalición Nacional de Seguridad Tecnológica, una organización no partidista y sin fines de lucro que actúa como voz de defensa de los directores de seguridad de la información en todo el país.

un porro informe de Cloud Security Alliance (CSA), el Instituto SANS y el Open Worldwide Application Security Project (OWASP) concluye que, en el corto plazo, es probable que las organizaciones “se vean abrumadas” por actores de amenazas que utilizan IA para encontrar y explotar vulnerabilidades más rápido de lo que los defensores pueden parchearlas.

Si bien esas organizaciones pueden utilizar herramientas de inteligencia artificial para acelerar sus propias defensas, los atacantes «todavía enfrentan una carga relativa más pesada debido a las limitaciones inherentes de la aplicación de parches. Esto a su vez conduce a «beneficios asimétricos» para los atacantes que pueden darse el lujo de adoptar la tecnología sin la misma cautela y burocracia que una empresa multimillonaria.

«El costo y la capacidad para explotar el descubrimiento están cayendo, el tiempo entre la divulgación y el uso de armas se está reduciendo a cero, y las capacidades que antes requerían recursos de los estados-nación ahora se están volviendo ampliamente accesibles», escribieron Robert Lee, director de inteligencia artificial del Instituto SANS, Gadi Evron, director ejecutivo de Knostic y Rich Mogull, analista jefe de CSA, quienes fueron los autores principales.

El informe marca una de las primeras respuestas integrales a las capacidades de Claude Mythos de los EE. UU., que cuenta con luminarias de la ciberseguridad que han establecido políticas en los niveles más altos como autores contribuyentes, incluida Jen Easterly, ex directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Rob Joyce, ex alto funcionario de ciberseguridad de la Casa Blanca y la NSA, y Chris Inglis, ex director nacional de ciberseguridad.

También incluye a incondicionales del sector privado como Heather Adkins, CISO de Google, Katie Moussouris, directora ejecutiva de Luta Security, y Sounil Yu, director de tecnología de Knostic. Otros setenta CISO, CTO y otros ejecutivos de seguridad son nombrados editores y revisores.

También esta semana, el Instituto de Seguridad de IA (AISI) del Reino Unido detallado los resultados de las pruebas que realizó en una versión preliminar de Claude Mythos, calificándolo de «un paso adelante» con respecto a los modelos Anthropic anteriores en el ámbito de la ciberseguridad y capaz de «ejecutar ataques de múltiples etapas en redes vulnerables y descubrir y explotar vulnerabilidades de forma autónoma».

Utilizando una combinación de ejercicios de Capture the Flag y pruebas de alcance cibernético, los investigadores de AISI descubrieron que Mythos no solo elevó el límite de usuarios técnicos no expertos y de nivel aprendiz, sino que redujo la brecha general en la competencia de piratería entre los dos. En otras palabras, cada vez hay menos distinción entre las capacidades de los “script kiddies” aficionados y los hackers de nivel medio con conocimientos técnicos.

Antes de abril de 2025, ningún modelo de lenguaje grande podía completar un único problema CTF de nivel experto. Mythos resolvió con éxito casi tres cuartas partes (73%) de ellos.

En las pruebas de alcance cibernético, que están destinadas a simular ataques multicadena más complejos, los resultados fueron desiguales, pero también representaron un progreso significativo con respecto a los modelos Claude anteriores.

Mythos fue sometido a un manual de ataque de 32 pasos modelado en redes corporativas, que abarca desde el acceso inicial a la red hasta la toma total de control de la misma. En tres de las 10 simulaciones, el modelo completó un promedio de 24 de los 32 pasos. Las versiones más antiguas de Claude y otros modelos fronterizos nunca promediaron más de 16.

Mythos reprobó su prueba contra una torre de enfriamiento de tecnología operativa simulada, pero los investigadores notaron que esto no significa que la IA sea mala para explotar OT: el modelo en realidad falló durante la sección de TI del ejercicio.

Los investigadores del Reino Unido fueron más mesurados en su análisis de Mythos, señalando que sus pruebas indican que es “al menos capaz” de derribar de forma autónoma redes empresariales más pequeñas y débilmente defendidas.

Pero también señalan que sus rangos cibernéticos carecen de características de seguridad (como defensores activos y herramientas defensivas) que serían comunes en muchas redes del mundo real y presentarían obstáculos adicionales, y tampoco penalizaron al modelo por activar alertas de seguridad.

«Esto significa que no podemos decir con seguridad si Mythos Preview sería capaz de atacar sistemas bien defendidos», concluyeron los investigadores.

Deuda técnica vencida

Tanto el informe de EE.UU. como el del Reino Unido coinciden en que los grandes modelos lingüísticos se están moviendo en términos generales en una dirección similar de reducción de la barrera técnica. Los autores estadounidenses piden que las organizaciones adopten más rápidamente la IA para la ciberdefensa y, al mismo tiempo, revisen sus manuales de respuesta a incidentes y sus políticas corporativas para tener en cuenta posturas de defensa más automatizadas.

Por su parte, Anthropic ha dicho que no venderá Mythos comercialmente y la semana pasada anunció que el modelo estaría disponible para Project Glasswing, un consorcio de importantes empresas tecnológicas que lo utilizarán para erradicar y parchear vulnerabilidades en productos y servicios de uso común.

Pero otros expertos han advertido que las empresas y los gobiernos no están bien posicionados para absorber la afluencia de la explotación de vulnerabilidades esperada ni para aprovechar hábilmente sus propias herramientas de inteligencia artificial para contrarrestarlas.

Casey Ellis, director de tecnología y fundador de Bugcrowd, escribió que los recientes avances en las herramientas cibernéticas de IA han tenido éxito en gran medida porque “viven en lugares donde dejamos de mirar hace una década”.

Si bien la comunidad de ciberseguridad ha pasado años enfocándose en la seguridad de las aplicaciones, la clasificación de vulnerabilidades y otros problemas de seguridad de “capa superior”, las herramientas de inteligencia artificial y los grupos de piratería de nivel superior se han estado alimentando de vulnerabilidades en firmware olvidado o enrutadores cuyos fabricantes cerraron hace mucho tiempo.

Esta realidad de que herramientas como Mythos pueden convertir en un arma la enorme deuda técnica de las grandes organizaciones ha tomado el tradicional dilema del defensor y «la perilla que solía ir a diez y la giró a setecientos», escribió Ellis.

Además, las corporaciones y los gobiernos se basan en la creación de consenso, múltiples niveles de jerarquía y cumplimiento legal. Si bien todo esto es necesario cuando se entrega la ciberseguridad a herramientas automatizadas, también puede conducir a un proceso más lento y a una mayor asimetría contra los defensores en el corto plazo.

«La integración a la producción real se convierte en el campo de batalla», escribió Ellis. «El retraso es real. La burocracia es real. Las cadenas de suministro son reales».

OpenAI actualizó sus certificados de seguridad y exige que todos los usuarios de macOS actualicen a las últimas versiones después de determinar que sus productos, junto con muchos otros, eran afectado por una cadena de suministro generalizada ataque que infectó brevemente una popular biblioteca de código abierto a finales de marzo, dijo la compañía en una publicación de blog el viernes.

El proveedor de inteligencia artificial dijo que «no encontró evidencia de que se haya accedido a los datos de los usuarios de OpenAI, de que nuestros sistemas o propiedad intelectual hayan estado comprometidos, o de que nuestro software haya sido alterado».

Sin embargo, debido a que un flujo de trabajo de GitHub que la empresa utiliza para firmar certificados para aplicaciones macOS descargó y ejecutó una versión maliciosa de Axios, la empresa está tratando el certificado que pronto desaparecerá como comprometido.

Un grupo de hackers norcoreano inyectó malware en dos versiones de Axios después de que comprometió la computadora del mantenedor principal a través de ingeniería social y se hizo cargo de sus cuentas de npm y GitHub. Jason Saayman, el principal responsable de mantenimiento de Axios, dijo que las versiones maliciosas del software estuvieron activas durante unas tres horas antes de eliminarlas.

Google Threat Intelligence Group, que rastrea el grupo de amenazas como UNC1069, dijo que el impacto del ataque fue amplio con efectos dominó potencialmente exponiendo otros paquetes populares. Las bibliotecas de JavaScript fluyen hacia el software dependiente a través de más de 100 millones y 83 millones de descargas semanales.

El ataque se descubrió pocas semanas después de que UNC6780, también conocido como TeamPCP, comprometiera una serie de otras herramientas de código abierto, incluido Trivy, lo que resultó en agresivos intentos de extorsión.

OpenAI insiste en que el malware que infectó a Axios no afectó directamente a su certificado, que está diseñado para ayudar a los clientes a confirmar que están descargando software legítimo.

«El certificado de firma presente en este flujo de trabajo probablemente no fue filtrado con éxito por la carga útil maliciosa debido al momento de ejecución de la carga útil, la inyección del certificado en el trabajo, la secuenciación del trabajo en sí y otros factores atenuantes», dijo la compañía en la publicación del blog. «Sin embargo, por precaución, estamos tratando el certificado como comprometido y lo estamos revocando y rotando».

Las versiones anteriores de las aplicaciones macOS de OpenAI pueden perder funcionalidad y ya no serán compatibles cuando el certificado se revoque por completo el 8 de mayo, dijo la compañía.

OpenAI, que contrató a una empresa externa de análisis forense digital y respuesta a incidentes para ayudar en su investigación y respuesta, identificó la causa principal del problema de seguridad en una mala configuración en su flujo de trabajo de GitHub. La compañía dijo que corrigió ese error y trabajó con Apple para garantizar que las aplicaciones fraudulentas que se hacen pasar por OpenAI no puedan usar el certificado afectado.

La ventana de 30 días está diseñada para minimizar las interrupciones para los usuarios, pero OpenAI dijo que acelerará el plazo de revocación si identifica alguna actividad maliciosa. La compañía no respondió de inmediato a una solicitud de comentarios.

El Departamento de Comercio está elaborando un catálogo de herramientas de inteligencia artificial a las que el gobierno federal otorgará un estatus de exportación especial para su venta en el extranjero.

El departamento emitió un convocatoria de propuestas a las empresas participantes en el Registro Federal, buscando crear un “menú de paquetes prioritarios de exportación de IA que el gobierno de EE. UU. promoverá entre aliados y socios de todo el mundo”.

Las empresas y tecnologías incluidas “serán presentadas por representantes del gobierno de EE. UU. como un paquete permanente y completo de exportación de IA estadounidense y pueden recibir promoción gubernamental prioritaria, revisión y procesamiento de licencias de exportación, coordinación entre agencias y referencias de financiamiento, sujeto a la ley aplicable”, dijo el departamento en un aviso del Registro Federal el viernes.

El paquete de exportación fue ordenado a través de la orden ejecutiva de IA del presidente Donald Trump el año pasado, que describía los paquetes de exportación como parte de un esfuerzo mayor para «garantizar que las tecnologías, estándares y modelos de gobernanza de IA estadounidenses se adopten en todo el mundo» y «asegurar nuestro dominio tecnológico continuo».

«El Programa Estadounidense de Exportaciones de IA cumple con la directiva del presidente Trump de garantizar que los sistemas de IA estadounidenses, construidos sobre hardware confiable, datos seguros e innovación líder a nivel mundial, se implementen a escala en todo el mundo», dijo el Secretario de Comercio Howard Lutnick en un declaración a principios de este mes. «Al promover soluciones estadounidenses integrales, estamos fortaleciendo nuestra seguridad económica y nacional, profundizando los vínculos con aliados y socios y garantizando que el futuro de la IA esté liderado por Estados Unidos».

La orden ejecutiva pedía que se incluyeran ciertas tecnologías en el paquete, incluidos modelos y sistemas de inteligencia artificial, pero también chips de computadora, almacenamiento de centros de datos, servicios en la nube y servicios de redes, junto con «medidas» no especificadas para garantizar la seguridad y la ciberseguridad de los sistemas de inteligencia artificial.

El aviso de Comercio prevé ofrecer múltiples paquetes de tecnología de IA de «equipos permanentes de empresas de IA organizadas para ofrecer una pila completa de tecnología de IA estadounidense a los mercados extranjeros de forma continua». No hay límite en el número de empresas que participan en un consorcio, y el Departamento de Comercio dijo que no se requiere «ninguna estructura legal particular».

Si bien la propuesta en varios puntos se refiere a estos paquetes como “IA estadounidense”, el aviso sí especifica que las empresas extranjeras pueden participar.

De hecho, para ciertas categorías como el hardware, el nivel total de contenido fabricado en Estados Unidos sólo necesita ser del 51% o más. Las empresas miembro que proporcionan datos, software, ciberseguridad o servicios de capa de aplicaciones no pueden estar constituidas ni tener su sede principal en países como China o Rusia, donde las leyes de seguridad nacional pueden obligarlas a trabajar con gobiernos extranjeros o entregar datos confidenciales.

El negocio potencial sería amplio y cubriría a compradores extranjeros de los sectores público y privado en mercados globales, regionales y específicos de cada país. También incluye la posible formación de paquetes separados de empresas y productos «bajo demanda» destinados a «oportunidades extranjeras específicas».

Pero el aviso también establece que las decisiones finales serán tomadas sobre la base del “interés nacional” por los directores de los Departamentos de Comercio, Estado, Defensa y Energía, así como por la Oficina de Ciencia, Tecnología y Política de la Casa Blanca.

El Departamento de Comercio no tiene la intención de clasificar formalmente las propuestas ni utilizar fórmulas de puntuación fija para aprobar paquetes de tecnología para el programa de exportación, y el lenguaje del aviso parece dar amplia libertad a los tomadores de decisiones federales para determinar si una propuesta en particular cumple con el umbral de “interés nacional”.

«Una propuesta que realiza esfuerzos razonables para satisfacer la presunción de contenido estadounidense del 51 por ciento del hardware no tiene derecho automáticamente a la designación, y una propuesta que no satisface esa presunción no queda automáticamente descalificada», decía el aviso.

Cuando Google anunció el mes pasado que estaba adelantando su propio cronograma interno para migrar a formas de cifrado resistentes a los cuánticos, inició una conversación más amplia en las comunidades de ciberseguridad y criptografía: ¿qué estaba empujando a una de las empresas tecnológicas más grandes del mundo a acelerar significativamente la adopción de protecciones poscuánticas para sus sistemas, dispositivos y datos?

En las semanas posteriores, nuevas investigaciones han dado peso a esas afirmaciones. Una investigación conjunta papel del Instituto de Tecnología de California, su startup tecnológica Oratomic y la Universidad de California concluyeron que los avances tecnológicos en matrices de átomos neutros indican que una computadora cuántica capaz de romper el cifrado clásico puede requerir tan solo 10.000 bits cuánticos (o qubits), no millones como se pensaba anteriormente.

Qian Xu, investigador de CalTech y coautor del artículo, dijo que los hallazgos son significativos e indican que una computadora de este tipo podría estar operativa a finales de la década.

«Durante décadas, el recuento de qubits ha sido visto como el principal obstáculo para la computación cuántica tolerante a fallos», dijo Xu en un comunicado. «Espero que nuestro trabajo ayude a cambiar esa perspectiva».

de google División de IA cuántica publicó su propio artículo de investigación casi al mismo tiempo, esbozando un disminución de veinte veces en la cantidad de qubits físicos que se cree que son necesarios para romper algunas de las formas más populares de algoritmos de cifrado de curva elíptica de 256 bits que se utilizan actualmente para proteger las criptomonedas.

“Observamos que si bien soluciones viables como [post-quantum cryptography] existen, tomará tiempo implementarlos, lo que genera una urgencia cada vez mayor para actuar”, escribieron Ryan Babbush, director de investigación y Hartmut Neven, vicepresidente de ingeniería de Google.

La decisión de Google de acelerar su cambio hacia el cifrado poscuántico refleja un consenso cada vez mayor. Durante el año pasado, CyberScoop escuchó preocupaciones similares de funcionarios gubernamentales y tecnológicos, generalmente centradas en dos amenazas relacionadas con la cuántica que enfrentan los gobiernos y las empresas en la actualidad.

Una es la capacidad de naciones extranjeras y ciberdelincuentes de recopilar datos confidenciales y cifrados hoy con la esperanza de descifrarlos más adelante con una computadora cuántica. Esta técnica de “cosechar ahora, descifrar después” es una de las principales razones por las que los defensores impulsan una adopción más rápida del cifrado poscuántico.

El segundo surge de una serie de avances notables en la computación cuántica ocurridos en los últimos dos años, muchos de ellos liderados por investigadores en China.

Andrew McLaughlin, director de operaciones de Sandbox AQ, una empresa de computación en la nube que se centra en la aplicación de tecnologías de inteligencia artificial y computación cuántica, dijo que las preocupaciones se pueden resumir en “hardware, matemáticas y China”.

Los avances en áreas como las matrices de átomos neutros han proporcionado a los científicos hardware más potente, mientras que avances en matemáticas como el del artículo de investigación de Google han encontrado formas de utilizar ese hardware de manera más eficiente.

Pero también señaló lo que describió como avances emocionantes (y preocupantes) en el campo por parte de algunos de los mayores rivales internacionales de Estados Unidos.

Beijing tiene invirtió mucho en computación cuántica, brindando a científicos de primer nivel como Pan Jianwei, profesor de la Universidad de Ciencia y Tecnología de China, los recursos y el apoyo para empujar los límites del desarrollo tecnológico y posicionar a China como líder mundial en ciencia cuántica.

A finales del año pasado, los medios estatales chinos reportado que Huanyuan 1, una computadora cuántica de 100 qubits desarrollada por investigadores de la Universidad de Wuhan en un programa de subvenciones del gobierno chino, había sido aprobada para uso comercial. Los informes afirman que ya se han procesado pedidos por valor de más de 40 millones de yuanes (o 5,6 millones de dólares) en ventas, incluso a las filiales de la empresa de telecomunicaciones nacional China Mobile y al gobierno de Pakistán.

Los expertos dicen que las computadoras cuánticas representan una amenaza potencialmente excepcional para las criptomonedas basadas en blockchain.

Nathaniel Szerezla, director de crecimiento de Naoris Protocol, una empresa que desarrolla cifrado resistente a los cuánticos para la infraestructura blockchain, dijo que el documento de Oratomic y Caltech ha «cambiado el cronograma» para la planificación en torno al cifrado cuántico, particularmente para las plataformas de criptomonedas y blockchain.

La suposición subyacente era que una computadora cuántica «tolerante a fallas» (es decir, una capaz de amenazar el cifrado clásico) requeriría millones de qubits, pero el artículo sugiere que en realidad sólo necesitaría tan solo 10.000 qubits.

«En última instancia, hemos pasado de planificar una amenaza durante dos décadas a una que se superpone con sistemas que se están implementando y financiando activamente», dijo Szerezla.

Para los activos digitales como las criptomonedas, las implicaciones son “inmediatas” porque el cifrado de clave privada que sustenta miles de millones de dólares en la cadena de bloques nunca fue diseñado para resistir ataques de una computadora cuántica.

«Migrar una cadena de bloques en vivo a estándares poscuánticos es un problema completamente diferente de actualizar un sistema centralizado», continuó Szerezla. «Se trata de libros de contabilidad inmutables, miles de millones de dólares en liquidez bloqueada y una gobernanza descentralizada que no puede exigir una actualización coordinada».

No todo el mundo cree que estemos al borde de un apocalipsis de la piratería cuántica.

En BlueSky Matthew Green, profesor de informática y experto en criptografía de la Universidad Johns Hopkins, llamado Los artículos de Google y Oratomic son un buen análisis “precautorio” del desafío a largo plazo del cifrado cuántico.

Sin embargo, expresó escepticismo en cuanto a que la computación cuántica tuviera suficientes “aplicaciones inmediatas y lucrativas” para impulsar el campo más allá de su etapa de investigación fundamental hacia aplicaciones más prácticas. También cuestionó si algunos de los algoritmos más nuevos resistentes a los cuánticos examinados por el NIST realmente resistirían a una computadora cuántica real. Fueron diseñados para proteger contra una amenaza que todavía es en gran medida teórica, y varios de los algoritmos poscuánticos inicialmente evaluados por el NIST resultaron contener vulnerabilidades que podrían ser explotadas por computadoras clásicas.

Eso, si es que realmente se llega en la próxima década. Green dijo esta semana que no está convencido de que los hacks cuánticos sean algo de qué preocuparse durante su vida, aunque reconoció que la predicción podría «perseguirlo» algún día.

Sin embargo, «apostaría enormes cantidades de dinero contra una computadora cuántica relevante para 2029 o incluso 2035», escribió.

Las consecuencias y la posible exposición de los ataques respaldados por el Estado de Irán contra la infraestructura crítica de Estados Unidos se extienden a más de 5.200 dispositivos conectados a Internet, dijeron investigadores de Censys en un informe de inteligencia sobre amenazas Miércoles.

De los controladores lógicos programables fabricados por Rockwell Automation/Allen-Bradley que Censys identificó como potencialmente expuestos a atacantes del gobierno iraní, casi 3.900, o alrededor de 3 de cada 4, tienen su sede en Estados Unidos.

La firma de ciberseguridad identificó los dispositivos basándose en detalles que varias agencias federales compartieron en una alerta conjunta el martes y publicó indicadores adicionales de compromiso, incluidas las direcciones IP de los operadores y otras consultas de búsqueda de amenazas.

Las autoridades federales advirtieron a principios de esta semana que los atacantes del gobierno iraní explotaron dispositivos que controlan los procesos de automatización industrial y perturbaron múltiples sectores durante el último mes. Algunas víctimas también sufrieron pérdidas financieras como resultado de los ataques, dijeron las autoridades.

Los dispositivos de tecnología operativa se implementan en el sector energético, los sistemas de agua y aguas residuales y los servicios e instalaciones del gobierno de EE. UU.

Los escaneos de Censys detectaron 5,219 hosts de Rockwell Automation/Allen-Bradley PLC expuestos a Internet poco después de que el FBI, la Agencia de Seguridad Nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad, la Agencia de Protección Ambiental, el Departamento de Energía y el Comando Cibernético de EE. UU. emitieran la alerta conjunta.

Los investigadores de Censys determinaron que la mayoría de los dispositivos expuestos están conectados a través de sistemas celulares, lo que representa un riesgo significativo para las implementaciones de campo remotas. Casi la mitad de los dispositivos a nivel mundial están conectados a la red inalámbrica de Verizon y el 13% está conectado a la infraestructura de AT&T.

«Es casi seguro que estos dispositivos se implementen en infraestructura física (estaciones de bombeo, subestaciones, instalaciones municipales) con módems celulares como única ruta de Internet», escribieron los investigadores de Censys en el informe.

La posible superficie de ataque también se ve amplificada por servicios adicionales expuestos en otros puertos de estos dispositivos, un descubrimiento que Censys advirtió que podría permitir a los atacantes obtener caminos directos a operaciones más allá de la explotación de PLC.

Los investigadores tomaron las huellas digitales de los modelos MicroLogix y CompactLogix expuestos a la última campaña de amenazas y publicaron una lista de los 15 productos más expuestos. Según Censys, muchos de los dispositivos más destacados ejecutan software al final de su vida útil, un riesgo agravante que podría permitir a los atacantes priorizar los dispositivos sin parches al escanearlos.

Los ataques se remontan al menos a marzo, después de la guerra de Estados Unidos e Israel contra Irán, y estaban en marcha mientras otros atacantes respaldados por el gobierno iraní se cobraban otras víctimas, incluidos Stryker y los gobiernos locales.

La reciente operación dirigida por el FBI para expulsar a los piratas informáticos del gobierno ruso de los enrutadores buscaba derribar una campaña de ciberespionaje especialmente insidiosa y amenazadoramente contagiosa, dijo a CyberScoop el principal funcionario cibernético de la oficina, Brett Leatherman.

Los investigadores, junto con agencias gubernamentales estadounidenses y extranjeras, revelaron detalles de la campaña esta semana mediante la cual APT28, también conocido como Forest Blizzard o Fancy Bear, y atribuido a la Dirección Principal de Inteligencia del Estado Mayor (GRU) de Rusia, comprometió más de 18.000 enrutadores TP-Link y se infiltró en más de 200 organizaciones en todo el mundo.

El compromiso de los enrutadores utilizados en oficinas pequeñas y domésticas provocó la operación de eliminación, Operación Mascarada, que implicó enviar comandos a los enrutadores para restablecer la configuración del Sistema de nombres de dominio (DNS) para evitar que los piratas informáticos explotaran ese acceso.

«Lo que es único para mí en este caso es que cuando cambias la configuración de Internet en un enrutador como lo hicieron ellos, se propaga a todos los dispositivos de tu casa», dijo Leatherman, subdirector de la división cibernética del FBI. «Todos esos dispositivos ahora, una vez que están conectados a esa Wi-Fi, obtienen direcciones IP maliciosas a través de las cuales luego enrutan su tráfico, y esto le da al GRU ruso un tremendo acceso al contenido ofrecido a través de un enrutador».

«La dificultad de un ataque como éste es que es prácticamente invisible para los usuarios finales», afirmó. «Los actores no estaban implementando malware como vemos a menudo. Entonces, cuando piensas en la detección de puntos finales en tu computadora o algo así, no ven esa actividad porque no es necesario. Están usando las herramientas en el enrutador para capturar el tráfico de Internet y extenderlo por toda la casa, y las herramientas tradicionales que detectan esa actividad». [are] simplemente no está allí”.

La operación de interrupción está en línea con la estrategia cibernética que la administración Trump publicó el mes pasado, con su énfasis en atacar a los piratas informáticos maliciosos y proteger la infraestructura crítica, dijo Leatherman.

El FBI comprende su papel en la implementación de esa estrategia, dijo, y trabajó con la Oficina del Director Nacional Cibernético y otras agencias para desarrollarla. La Casa Blanca ha mantenido al público y colina del capitolio Sin embargo, no sabemos nada sobre la implementación de la estrategia.

«Tenemos un largo historial de aprovechar autoridades y capacidades únicas para contrarrestar a estos actores, imponer costos y, a través de las 56 oficinas de campo, defender realmente la infraestructura crítica», dijo Leatherman. «Eso es realmente parte de nuestro ADN. Y por eso queremos asegurarnos de continuar alineándolo de la manera más escalable y ágil que podamos, para alinearnos con las prioridades de la estrategia misma».

Leatherman rastreó cómo la Operación Mascarada, cuyo éxito atribuyó a las oficinas del FBI en Boston y a las asociaciones con el sector privado y gobiernos extranjeros, encaja en una serie de perturbaciones dirigidas a los piratas informáticos del gobierno ruso que se remontan a 2018.

Fue entonces cuando la oficina atacó la botnet VPNFilter al apoderarse de un dominio utilizado para comunicarse con enrutadores infectados. En 2022, el FBI se enfrentó a la botnet Cyclops Blink y, en 2024, la Operación Dying Ember fue tras otra red de robots.

«En el transcurso de esas cuatro operaciones, mientras el adversario continuó evolucionando en su oficio, nosotros también», dijo Leatherman. «Pasamos de simplemente bloquear dominios a tomar medidas que los bloquean en la puerta de estos enrutadores, les quitamos cualquier capacidad a esos enrutadores para que ya no pudieran recopilar información confidencial y luego les prohibimos volver a ingresar».

Nuestra nación ha entrado en una nueva carrera armamentista de fraude impulsada por la IA.

Con miles de millones de dólares en pérdidas por fraude aumentando tanto en el sector público como en el privado, está claro que las viejas formas de disuadir el fraude no están funcionando. Es por eso que necesitamos un nuevo manual que comience con la comprensión de cómo operan los estafadores, la evolución de nuestras defensas y el cambio a una postura proactiva que no sólo luche contra el fraude sino que lo persiga activamente.

En la era de la IA, tratar el fraude como un simple problema de puerta de entrada no funcionará. Este momento requiere que la industria, el gobierno y los consumidores trabajen juntos, reduzcan los silos y compartan inteligencia en tiempo real. El objetivo es ir más allá de la detección reactiva al comprender el ciclo de vida de una amenaza (desde su formación hasta su propagación) para que podamos intervenir antes de que establezca un punto de apoyo.

Durante décadas, el fraude ha sido tratado como una serie de incidentes aislados. Esta suposición falsa ha sustentado casi todos los esfuerzos pasados ​​para reprimirlo. Esos esfuerzos, aunque bien intencionados, no han dado en el blanco.

Ahora, a la luz de la decisión de la administración Trump Estrategia cibernética para Estados Unidos y la orden ejecutiva que lo acompaña, es fundamental comprender el panorama moderno del fraude y el papel central que desempeña la explotación de la identidad digital en él.

Nuevo investigación de Socure revela cuán dramáticamente está evolucionando el panorama.

El fraude se ha industrializado y los sindicatos del crimen organizado ejecutan operaciones globales, sistémicas, automatizadas y basadas en inteligencia artificial. Ninguna organización, servicio o programa es seguro. Los estafadores atacan programas gubernamentales, bancos, plataformas de tecnología financiera, empresas de telecomunicaciones y más, desdibujando la línea entre el fraude en el sector público, los delitos financieros y el ciberdelito.

Antes, el fraude podía detectarse mediante la reutilización de elementos de identidad en múltiples aplicaciones: el mismo correo electrónico, dispositivo, número de teléfono o dirección IP utilizados una y otra vez.

Pero los datos son claros: estos vínculos están disminuyendo rápidamente. Los estafadores sofisticados de hoy en día están diseñando sus ataques para evitar los patrones tradicionales de detección de fraude. Nuestra investigación demuestra que los correos electrónicos serán completamente únicos dentro de las poblaciones de fraude a partir de 2027, por lo que no podremos confiar en el correo electrónico para identificar patrones.

La velocidad es otra característica definitoria del fraude de identidad moderno. Los estafadores utilizan la IA para crear identidades limpias, duraderas, sintéticas y robadas a escala. En una campaña observada, se crearon y lanzaron 24.148 identidades sintéticas en menos de un mes, y muchos ataques ocurrieron en 48 horas. Lo que antes llevaba semanas o incluso meses, ahora se puede completar en días.

El rápido aumento de las granjas de identidad es otro indicador de la industrialización del fraude. Las granjas de identidad son operadas por redes criminales para crear sistemáticamente identidades sintéticas o robadas a lo largo del tiempo con el fin de parecerse mucho a identidades legítimas. Las identidades maduras se utilizan para abrir cuentas bancarias, de crédito y de movimiento de dinero, desviar beneficios gubernamentales, lavar fondos y más. Estas granjas de identidad se centran en identidades duraderas que pueden eludir los controles de verificación tradicionales.

Entonces, ¿qué debemos hacer? En pocas palabras, debemos pasar a la ofensiva.

Esto significa tratar la identidad como una infraestructura crítica e implementar estrategias que rastreen cómo se crearon las identidades antes del momento de su aplicación; ampliar el monitoreo de señales para incluir elementos como servidores proxy residenciales, comportamiento del ISP y actividad de registro de dominios; evaluar la velocidad y la orquestación en tiempo real; y tratar la medición continua, la iteración rápida de modelos y la inteligencia entre industrias como capacidades centrales.

Además, dado el rápido aumento del fraude, necesitamos más análisis del ecosistema completo, incluidos factores dinámicos como la información del dispositivo, las huellas digitales y la biometría del comportamiento para que las organizaciones puedan distinguir eficazmente a los humanos genuinos de las máquinas. En última instancia, este enfoque interconectado y en capas hace que sea mucho más difícil para los actores maliciosos recrear o robar identidades a escala.

El fraude ya no es una serie de actos aislados. Es una empresa global coordinada construida sobre la explotación de la identidad. Hasta que nuestros esfuerzos reflejen esta nueva realidad, continuaremos luchando contra una amenaza inminente y continua con herramientas obsoletas y nos quedaremos aún más atrás.

Ahora es el momento de hacer este cambio estratégico y poner finalmente a los estafadores pisándoles los talones.

Mike Cook se desempeña como jefe de conocimientos sobre fraude en Socure, la plataforma de identidad y riesgo para la era de la inteligencia artificial.

Una aparente campaña de piratería informática por parte de un grupo con presuntas conexiones con el gobierno indio se dirigió a periodistas y activistas de Medio Oriente y África del Norte utilizando software espía, dijeron tres organizaciones colaboradoras en informes publicados el miércoles.

Los ataques compartieron infraestructura que apuntaba al grupo de amenaza avanzada persistente conocido como Bitter, que con mayor frecuencia apunta a sectores gubernamentales, militares, diplomáticos y de infraestructura crítica en todo el sur de Asia, según las conclusiones de investigadores de Access Now, Lookout y SMEX.

Cada grupo asumió una pieza diferente del rompecabezas:

• Accede ahora recibió llamadas a su línea de ayuda que lo llevaron a examinar una campaña de phishing en 2023 y 2024. Se comunicó con Lookout para obtener soporte técnico sobre el malware que encontró.
• Estar atento atribuyó el malware a Bitter y concluyó que probablemente se trataba de una campaña de hackeo a sueldo, utilizando el software espía Android ProSpy.
• PYME El año pasado se sumergió en una campaña de phishing dirigida a un destacado periodista libanés y colaboró ​​con Access Now para descubrir una infraestructura compartida entre las campañas.

Una de las víctimas, el periodista independiente egipcio Mostafa Al-A'sar, dijo que se puso en contacto con Access Now después de recibir un enlace sospechoso de alguien con quien había estado hablando sobre un puesto de trabajo. Se mostró escéptico porque su teléfono había sido atacado antes, cuando fue arrestado en Egipto en 2018.

La lección para los periodistas y los grupos de la sociedad civil es que la ciberseguridad “no es un lujo”, afirmó.

«Me siento amenazado», dijo Al-A'sar, y aunque vivía en el exilio, siente que «todavía me siguen. También me sentí preocupado por mi familia, mis amigos, mis fuentes».

La investigación combinada encontró una campaña más amplia que solo las víctimas originales.

“Nuestros hallazgos conjuntos exponen una campaña de espionaje que ha estado operativa desde al menos 2022 hasta el día de hoy, dirigida principalmente a miembros de la sociedad civil y potencialmente a funcionarios gubernamentales en el Medio Oriente”, escribió Lookout. «La operación presenta una combinación de phishing dirigido dirigido a través de cuentas falsas de redes sociales y aplicaciones de mensajería que aprovechan esfuerzos persistentes de ingeniería social, lo que puede resultar en la entrega de software espía de Android dependiendo del dispositivo del objetivo».

El Comité para la Protección de los Periodistas condenó la campaña.

«Espiar a periodistas es a menudo el primer paso en un patrón más amplio de intimidación, amenazas y ataques», dijo la directora regional del grupo, Sara Qudah. «Estas acciones ponen en peligro no sólo la seguridad personal de los periodistas, sino también sus fuentes y su capacidad para hacer su trabajo. Las autoridades de la región deben dejar de utilizar tecnología y recursos financieros como armas para vigilar a los periodistas».

Access Now dijo que no tenía suficiente información para atribuir quién estaba detrás de los ataques que identificó.

ESET publicó por primera vez una investigación sobre el malware ProSpy el año pasado, después de descubrir que estaba dirigido a residentes de los Emiratos Árabes Unidos.