Atacantes patrocinados por el Estado ruso comprometieron más de 18.000 enrutadores repartidos en más de 120 países para obtener un acceso más profundo a redes sensibles para una campaña de espionaje a gran escala antes de que fuera neutralizada recientemente, dijeron investigadores y autoridades el martes.

Forest Blizzard, también conocido como APT28 y Fancy Bear, aprovechó vulnerabilidades conocidas para robar credenciales de miles de enrutadores TP-Link globalmente. El grupo de amenazas, que se atribuye a la Unidad Militar 26165 de la Dirección Principal de Inteligencia del Estado Mayor General (GRU) de Rusia, secuestró la configuración del sistema de nombres de dominio y robó credenciales y tokens adicionales a través del tráfico redirigido, dijo el Departamento de Justicia.

El grupo de amenazas estableció una extensa red de espionaje mediante sistemas intrusos de más de 200 organizacionesafectando al menos a 5.000 dispositivos de consumo, dijo Microsoft Threat Intelligence en un informe.

Operación Mascarada, una operación de derribo colaborativa dirigida por el FBI, con la ayuda de fiscales federales, la sección Cibernética de Seguridad Nacional de la División de Seguridad Nacional, Laboratorios del Loto Negro de Lumen y Microsoft Threat Intelligence, implicó una serie de comandos diseñados para restablecer la configuración de DNS y evitar que el grupo de amenazas explote aún más su medio de acceso inicial.

«Los actores del GRU comprometieron enrutadores en Estados Unidos y en todo el mundo, secuestrándolos para realizar espionaje. Dada la escala de esta amenaza, hacer sonar la alarma no fue suficiente», dijo en un comunicado Brett Leatherman, subdirector de la división cibernética del FBI. «El FBI llevó a cabo una operación autorizada por el tribunal para reforzar los enrutadores comprometidos en todo Estados Unidos».

La campaña generalizada de Forest Blizzard involucró ataques de adversario intermedio contra dominios que imitaban servicios legítimos, incluido Microsoft Outlook Web Access. Esto permitió a los atacantes interceptar contraseñas, tokens de OAuth, credenciales de cuentas de Microsoft y otros servicios y contenido alojado en la nube.

Microsoft insiste en que los activos o servicios de propiedad de la empresa no se vieron comprometidos como parte de la campaña.

El grupo de amenazas apuntó a dispositivos de borde de red, incluidos enrutadores TP-Link y MicroTik, de manera oportunista antes de identificar objetivos sensibles de interés de inteligencia para el gobierno ruso, incluidas personas en los sectores militar, gubernamental y de infraestructura crítica.

Las víctimas, según los investigadores, incluyen agencias gubernamentales y organizaciones de los sectores de TI, telecomunicaciones y energía. Lumen identificó a otras víctimas asociadas con el gobierno de Afganistán y otras vinculadas con asuntos exteriores y agencias nacionales de aplicación de la ley en el norte de África, América Central y el sudeste asiático. La plataforma de identidad nacional de un país europeo anónimo también se vio afectada, dijo la compañía.

Lumen no encontró evidencia de ninguna agencia gubernamental estadounidense comprometida como parte de esta campaña, pero advirtió que la actividad representa una grave amenaza a la seguridad nacional.

Si bien el alcance total de los logros de Forest Blizzard sigue bajo investigación, los investigadores confían en que la difusión de información confidencial se ha detenido.

«La campaña ha cesado», dijo a CyberScoop Danny Adamitis, distinguido ingeniero de Black Lotus Labs. «Hemos observado una disminución gradual en las comunicaciones asociadas con esta infraestructura durante las últimas semanas».

Lumen dijo que observó una explotación generalizada de enrutadores y redirección de DNS a partir de agosto, el día después de que el Centro Nacional de Seguridad Cibernética del Reino Unido publicara un informe de análisis de malware sobre una herramienta utilizada para robar credenciales de Microsoft Office. El NCSC del Reino Unido publicó el martes detalles sobre La campaña de secuestro de DNS de APT28incluidos indicadores de compromiso.

El Departamento de Justicia y el FBI, actuando por orden judicial, remediaron los enrutadores comprometidos en los Estados Unidos después de recopilar evidencia sobre la actividad de Forest Blizzard. El FBI dijo que el GRU de Rusia utilizó enrutadores propiedad de estadounidenses en más de 23 estados para robar información confidencial gubernamental, militar y de infraestructura crítica.

Los piratas informáticos del gobierno iraní están lanzando ciberataques disruptivos contra la infraestructura energética y hídrica estadounidense, advirtieron “urgentemente” el martes agencias del gobierno estadounidense.

Los piratas informáticos apuntan a dispositivos y sistemas que controlan procesos industriales y han dañado a víctimas en el último mes tras el inicio de los ataques de Estados Unidos e Israel contra Irán, según el alerta conjunta del FBI, la Agencia de Seguridad Nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad, la Agencia de Protección Ambiental, el Departamento de Energía y el Comando Cibernético.

“Los actores de amenazas persistentes avanzadas (APT) afiliados a Irán están llevando a cabo actividades de explotación dirigidas a dispositivos de tecnología operativa (OT) conectados a Internet, incluidos controladores lógicos programables (PLC) fabricados por Rockwell Automation/Allen-Bradley”, afirma la alerta. «Esta actividad ha provocado interrupciones de PLC en varios sectores de infraestructura crítica de EE. UU. a través de interacciones maliciosas con el archivo del proyecto y la manipulación de datos en la interfaz hombre-máquina (HMI) y en las pantallas de control de supervisión y adquisición de datos (SCADA)».

agencias gubernamentales de EE. UU. he advertido antes sobre piratas informáticos iraníes que persiguen objetivos similares con métodos similares. La primera advertencia de este tipo se produjo después de que un grupo vinculado al gobierno iraní se atribuyera el mérito de atacar una instalación de agua de Pensilvania a finales de 2023.

Sin embargo, desde marzo de este año, las agencias dijeron que han visto surgir nuevas víctimas de un grupo de amenaza persistente avanzado vinculado a Irán.

«Las agencias autoras identificaron (a través de compromisos con organizaciones de víctimas) un grupo APT afiliado a Irán que interrumpió el funcionamiento de los PLC», se lee en la alerta. «Estos PLC se implementaron en múltiples sectores de infraestructura crítica de EE. UU. (incluidos servicios e instalaciones gubernamentales, WWS y sectores de energía) dentro de una amplia variedad de procesos de automatización industrial. Algunas de las víctimas experimentaron interrupciones operativas y pérdidas financieras».

La campaña anterior comprometió al menos 75 dispositivos, según la alerta.

Las últimas interrupciones incluyen «interactuar maliciosamente con archivos de proyectos y manipular datos mostrados en pantallas HMI y SCADA», según la advertencia de las agencias.

Después de que comenzó el conflicto entre Estados Unidos e Israel con Irán, los piratas informáticos conectados a Teherán se cobraron víctimas, incluida la importante empresa de tecnología médica Stryker, gobiernos locales y más.

El FBI advirtió el mes pasado que piratas informáticos iraníes estaban implementando malware en la aplicación Telegram, aunque esa campaña también es anterior al actual conflicto con Irán.

Las principales empresas de tecnología han unido fuerzas en un esfuerzo por utilizar inteligencia artificial avanzada para identificar y abordar fallas de seguridad en los sistemas de software más críticos del mundo, lo que marca un cambio significativo en la forma en que la industria aborda las amenazas de ciberseguridad.

Anthropic anunció el martes el Proyecto Glasswing, que reúne a Amazon, Apple, Broadcom, Cisco, CrowdStrike, Linux Foundation, Microsoft y Palo Alto Networks. La iniciativa se centra en Claude Mythos Preview, un modelo de IA inédito que Anthropic pondrá a disposición exclusivamente de los socios del proyecto y aproximadamente 40 organizaciones adicionales responsables de la infraestructura de software crítica.

Según Anthropic, el modelo ya ha identificado miles de vulnerabilidades previamente desconocidas en su fase de prueba inicial, incluidas fallas de seguridad que han existido en sistemas ampliamente utilizados durante décadas. Entre los descubrimientos se encuentra un error de hace 27 años en OpenBSDun sistema operativo conocido principalmente por su enfoque en la seguridad, y una vulnerabilidad de 16 años en FFmpegun programa de software de vídeo ampliamente utilizado que las herramientas de prueba automatizadas no pudieron detectar a pesar de ejecutar la línea de código afectada cinco millones de veces. La empresa se ha puesto en contacto con los encargados del mantenimiento del software correspondiente y se han solucionado todas las vulnerabilidades encontradas.

Anthropic comprometerá hasta 100 millones de dólares en créditos de uso para el proyecto, junto con 4 millones de dólares en donaciones directas a organizaciones de seguridad de código abierto. La compañía ha declarado que no planea poner Mythos Preview a disposición del público en general, citando preocupaciones sobre el posible mal uso del modelo.

La iniciativa refleja la creciente preocupación dentro del sector tecnológico sobre la naturaleza de doble uso de los sistemas avanzados de IA. Si bien Mythos Preview no fue capacitado específicamente para fines de ciberseguridad, sus capacidades de codificación y razonamiento han demostrado ser efectivas para identificar fallas de seguridad sutiles que han eludido a los analistas humanos y las herramientas automatizadas convencionales.

«Aunque los riesgos de los ciberataques potenciados por la IA son graves, hay motivos para el optimismo: las mismas capacidades que hacen que los modelos de IA sean peligrosos en las manos equivocadas los hacen invaluables para encontrar y corregir fallas en software importante y para producir software nuevo con muchos menos errores de seguridad», dijo la compañía. en una publicación de blog. «El Proyecto Glasswing es un paso importante para brindar a los defensores una ventaja duradera en la próxima era de ciberseguridad impulsada por la IA».

El proyecto surge cuando la industria ha predicho que capacidades similares de IA pronto se generalizarán. Los ejecutivos de Anthropic han indicado que sin una acción coordinada, dichas herramientas podrían eventualmente llegar a actores que podrían implementarlas con fines maliciosos en lugar de trabajos de seguridad defensiva.

Las organizaciones participantes deberán compartir sus hallazgos con la industria en general. El proyecto pone especial énfasis en el software de código abierto, que forma la base de la mayoría de los sistemas modernos, incluida la infraestructura crítica, pero cuyos mantenedores históricamente han carecido de acceso a recursos de seguridad sofisticados.

«El software de código abierto constituye la gran mayoría del código en los sistemas modernos, incluidos los mismos sistemas que los agentes de IA utilizan para escribir nuevo software. Al brindar a los mantenedores de estas bases de código abierto críticas acceso a una nueva generación de modelos de IA que pueden identificar y corregir de manera proactiva vulnerabilidades a escala, el Proyecto Glasswing ofrece un camino creíble para cambiar esa ecuación», dijo Jim Zemlin, director ejecutivo de la Fundación Linux. «Así es como la seguridad aumentada por IA puede convertirse en un compañero confiable para todos los encargados del mantenimiento, no solo para aquellos que pueden permitirse costosos equipos de seguridad».

Además, Anthropic dice que ha entablado conversaciones en curso con funcionarios del gobierno de EE. UU. sobre las capacidades de Mythos Preview. La compañía ha enmarcado el proyecto en términos de seguridad nacional, argumentando que mantener el liderazgo en tecnología de inteligencia artificial representa una prioridad estratégica para Estados Unidos y sus aliados. Antrópico ha sido atrapado en una disputa de alto riesgo con el Departamento de Defensa sobre el uso por parte del ejército estadounidense del modelo Claude AI de la startup en operaciones del mundo real.

El éxito del proyecto dependerá en parte de si el enfoque colaborativo puede seguir el ritmo de los rápidos avances en las capacidades de IA. Anthropic ha indicado que es probable que los sistemas fronterizos de inteligencia artificial avancen sustancialmente en unos meses, creando potencialmente un entorno dinámico donde las capacidades defensivas y ofensivas evolucionan en paralelo.

«El Proyecto Glasswing es un punto de partida», escribió Anthropic en una publicación de blog. «Ninguna organización puede resolver estos problemas de ciberseguridad por sí sola: los desarrolladores de IA de vanguardia, otras empresas de software, los investigadores de seguridad, los mantenedores de código abierto y los gobiernos de todo el mundo tienen roles esenciales que desempeñar. El trabajo de defender la ciberinfraestructura mundial podría llevar años; es probable que las capacidades de IA de vanguardia avancen sustancialmente en los próximos meses. Para que los ciberdefensores salgan adelante, debemos actuar ahora».

El ciberdelito sigue siendo un negocio en auge.

Las pérdidas anuales por delitos cibernéticos ascendieron a casi 20.900 millones de dólares el año pasado, lo que refleja un aumento del 26% desde 2024, dijo el Centro de Quejas de Delitos en Internet (IC3) del FBI en su informe. informe anual Martes.

El estudio exhaustivo expone un entorno de delincuencia digital que empeora y que está generando pérdidas financieras, con un impulso que avanza en la dirección equivocada y se agrava a un ritmo alarmante. Las pérdidas anuales por delitos cibernéticos han aumentado casi un 400% desde los 4.200 millones de dólares en 2020, y las pérdidas acumuladas en ese período de cinco años superaron los 71.300 millones de dólares.

El IC3 del FBI, que se formó como el centro central del país para informar sobre delitos cibernéticos en 2000, está más ocupado que nunca. «Ahora tenemos un promedio de casi 3.000 quejas por día», escribió en el informe José Pérez, director de operaciones del FBI para su rama criminal y cibernética.

El informe anual sobre delitos en Internet destaca tendencias crecientes y sostenidas. Sin embargo, el alcance del estudio es limitado y se basa enteramente en incidentes de delitos cibernéticos presentados al FBI.

El impacto total del delito cibernético sigue siendo turbio, ya que un número desconocido de víctimas sufren en las sombras y nunca denuncian los delitos que sufren.

El FBI recibió más de 1 millón de quejas el año pasado, y las víctimas mayores de 60 años reportaron la mayor cantidad de delitos que también resultaron en la mayor cantidad de pérdidas totales por grupo de edad. Las víctimas de al menos 60 años presentaron 201.000 quejas con pérdidas por un total de casi 7.750 millones de dólares, o alrededor del 37% de todas las pérdidas relacionadas con los delitos cibernéticos el año pasado.

El fraude relacionado con inversiones siguió siendo el mayor componente de las pérdidas por delitos cibernéticos en 2025, alcanzando casi 8.650 millones de dólares. Las amenazas de correo electrónico empresarial ocuparon el segundo lugar con casi 3.050 millones de dólares en pérdidas, seguidas por las estafas de soporte técnico con más de 2.100 millones de dólares.

Según el informe, las criptomonedas fueron el principal conducto para el fraude relacionado con estafas de inversión y soporte técnico el año pasado, mientras que las transferencias electrónicas constituyeron la mayor parte del fraude resultante de la vulneración del correo electrónico empresarial.

El phishing fue el tipo de delito cibernético más comúnmente denunciado el año pasado, seguido de la extorsión, las estafas de inversión y las violaciones de datos personales. El FBI contabilizó pérdidas por valor de 122,5 millones de dólares por extorsión y 32,3 millones de dólares por ransomware el año pasado.

El FBI también recibió más de 75.000 informes de sextorsión el año pasado, incluidas más de 5.700 presentaciones que fueron remitidas al Centro Nacional para Niños Desaparecidos y Explotados.

Las cinco principales amenazas cibernéticas reportadas a IC3 en 2025 incluyeron violaciones de datos con un 39%, ransomware con un 36%, intercambio de SIM con un 10%, malware con un 9% y botnets con un 7%.

El FBI recibió más de 3.600 quejas sobre ransomware el año pasado. Las cinco variantes más reportadas incluyeron Akira, Qilin, INC, BianLian y Play.

Cada uno de los 16 sectores de infraestructura crítica reportaron ataques de ransomware el año pasado, y los más atacados incluyeron atención médica, manufactura, servicios financieros, gobierno y TI.

El IC3 recibe principalmente quejas de residentes y empresas estadounidenses, pero también recibió quejas de más de 200 países el año pasado, lo que representó casi 1.600 millones de dólares en pérdidas totales.

Si bien las pérdidas y la gran cantidad de delitos cibernéticos continuaron aumentando el año pasado, “el FBI continúa perturbando y disuadiendo a los actores cibernéticos maliciosos y trasladando el costo de las víctimas a nuestros adversarios”, escribió Pérez en el informe.

«Nunca ha sido más importante ser diligente con la ciberseguridad, la huella en las redes sociales y las interacciones electrónicas», añadió. «Las amenazas cibernéticas y los delitos cibernéticos seguirán evolucionando a medida que el mundo adopte tecnologías emergentes como la inteligencia artificial».

Los investigadores de seguridad de Noma Security han revelado una nueva vulnerabilidad a la que llaman GrafanaGhost, un exploit capaz de robar silenciosamente datos confidenciales de entornos Grafana encadenando múltiples desvíos de seguridad, incluido un método que elude las barreras del modelo de IA de la plataforma sin requerir ninguna interacción del usuario.

Grafana se implementa ampliamente en organizaciones empresariales como un centro central para la observabilidad y el monitoreo de datos, y generalmente alberga métricas financieras en tiempo real, datos sobre el estado de la infraestructura, registros privados de clientes y telemetría operativa, entre otros usos. Esa concentración de información confidencial es lo que convierte a la plataforma en un objetivo importante. GrafanaGhost aprovecha cómo los componentes de inteligencia artificial de Grafana procesan la entrada controlada por el usuario para cerrar la brecha entre un entorno de datos privados y un servidor externo controlado por un atacante.

El ataque no requiere credenciales de inicio de sesión y no depende de que el usuario haga clic en un enlace malicioso. Comienza cuando un atacante crea una ruta URL específica utilizando parámetros de consulta que se originan fuera del entorno de la organización víctima. Debido a que Grafana maneja registros de entrada, un atacante puede obtener acceso a un entorno empresarial al que no tiene una conexión legítima. Luego, el atacante inyecta instrucciones ocultas que la IA de Grafana procesa (una táctica conocida como inyección rápida) utilizando palabras clave específicas para hacer que el modelo ignore sus propias barreras de seguridad.

Grafana tiene protecciones integradas diseñadas para evitar la inyección rápida, pero los investigadores de Noma encontraron una falla en la lógica subyacente a esa protección, una que podría explotarse formateando una dirección web de una manera que el control de seguridad de Grafana interpretara erróneamente como segura, mientras que el navegador la tratara como una solicitud a un servidor externo controlado por el atacante. La brecha entre lo que el control de seguridad creía que estaba permitiendo y lo que realmente sucedió fue suficiente para abrir la puerta al ataque.

El último obstáculo fue el propio instinto de autodefensa del modelo de IA. Cuando los investigadores intentaron por primera vez pasar instrucciones maliciosas, el modelo reconoció el patrón y se negó. Después de estudiar más a fondo cómo el modelo procesaba diferentes tipos de entradas, encontraron una palabra clave específica que provocó que se retirara, tratando lo que efectivamente era una instrucción de ataque como una solicitud rutinaria y legítima.

Con las tres circunvalaciones colocadas, el ataque se ejecuta por sí solo. La IA procesa la instrucción maliciosa, intenta cargar una imagen desde el servidor del atacante y, al hacerlo, transporta silenciosamente los datos confidenciales de la víctima junto con esa solicitud en una etiqueta de imagen. Los datos desaparecen antes de que alguien en la organización sepa que se realizó una solicitud.

Los investigadores de Noma notaron que había múltiples capas de seguridad presentes en la implementación de Grafana, pero cada una contenía su propia debilidad explotable. La lógica de validación del dominio, las barreras del modelo de IA y los controles de seguridad del contenido fallaron cuando se abordaron en secuencia.

Debido a que el exploit se activa mediante una inyección indirecta en lugar de un enlace sospechoso o una intrusión obvia, no hay nada que un usuario pueda notar, ningún error de acceso denegado que un administrador pueda encontrar y ningún evento anómalo que un equipo de seguridad deba investigar. Para un equipo de datos, un ingeniero de DevSecOps o un CISO, la actividad es indistinguible de los procesos rutinarios.

«La carga útil se encuentra dentro de lo que parece una fuente de datos externa legítima. La exfiltración ocurre a través de un canal que la propia IA inicia, lo que parece un comportamiento normal de la IA para cualquier observador. Las reglas SIEM tradicionales, las herramientas DLP y el monitoreo de endpoints no están diseñados para interrogar si la llamada saliente de una IA fue instruida por un usuario o por un mensaje inyectado», dijo a CyberScoop Sasi Levi, líder de investigación de vulnerabilidades en Noma Labs. «Sin una protección en tiempo de ejecución que entienda el comportamiento específico de la IA, monitoreando lo que se le preguntó al modelo, lo que recuperó y las acciones que tomó, este ataque sería efectivamente invisible».

El ataque es otro ejemplo de un cambio más amplio en la forma en que los adversarios abordan los entornos empresariales que tienen funciones integradas asistidas por IA. En lugar de explotar el código de aplicación roto en el sentido tradicional, los atacantes apuntan cada vez más a superficies de seguridad de IA débiles y métodos de inyección rápida indirecta que les permiten acceder y extraer activos de datos críticos mientras permanecen completamente invisibles para los equipos de seguridad responsables de protegerlos.

nomá ha encontrado problemas similares durante el año pasadoy Levi le dijo a CyberScoop que los investigadores siguen viendo la misma brecha fundamental: las funciones de IA se están incorporando a plataformas que nunca fueron diseñadas teniendo en mente modelos de amenazas específicos de IA.

«La superficie de ataque no es un firewall mal configurado o una biblioteca sin parches, sino que es la utilización como arma del propio razonamiento y comportamiento de recuperación de la IA. Estas plataformas confían demasiado implícitamente en el contenido que ingieren», dijo Levi.

La investigación es otro ejemplo de cómo los atacantes pueden convertir la IA en un arma de una manera que las defensas actuales no pueden seguir, lo que hace extremadamente difícil para los defensores mantener el ritmo.

“Los investigadores ofensivos y, cada vez más, los actores de amenazas sofisticados están muy por delante de la mayoría de los defensores empresariales en esto”, dijo Levi. «Los marcos, las firmas de detección y los manuales de respuesta a incidentes para ataques nativos de IA simplemente no existen a escala todavía. Lo que nos da cierto optimismo es que la conciencia está creciendo rápidamente, pero la conciencia y la preparación son cosas muy diferentes».

Grafana Labs fue notificado a través de protocolos de divulgación responsable, trabajó con Noma para validar los hallazgos y emitió una solución.

Fortinet lanzó una actualización de software de emergencia durante el fin de semana para abordar una vulnerabilidad explotada activamente en FortiClient EMS, una herramienta de administración de terminales para dispositivos de clientes.

La vulnerabilidad de día cero CVE-2026-35616 – tiene una calificación CVSS de 9,8 y se agregó a la Agencia de Seguridad de Infraestructura y Ciberseguridad catálogo de vulnerabilidades explotadas conocidas Lunes.

Fortinet dijo un sábado aviso de seguridad que ha visto la vulnerabilidad siendo explotada activamente en la naturaleza. La compañía emitió una revisión y planea lanzar una actualización de software más completa más adelante, aunque esa actualización aún no está disponible.

El proveedor de seguridad no dijo cuándo ocurrió el primer exploit conocido ni cuántas instancias ya se han visto afectadas.

Se observó por primera vez a atacantes desconocidos intentando explotar la vulnerabilidad el 31 de marzo, dijo a CyberScoop Benjamin Harris, fundador y director ejecutivo de watchTowr.

«Los intentos de explotación y las investigaciones fueron inicialmente limitados, lo que refleja el deseo típico de los atacantes de intentar evitar el uso de un día cero desde el descubrimiento y la observación», añadió. «A partir del 6 de abril, dada la atención y Fortinet emitiendo una revisión, la explotación ha aumentado, lo que indica un creciente interés de los atacantes y probablemente un objetivo más amplio».

Escaneos de Shadowserver encontrados casi 2.000 casos expuestos públicamente de FortiClient EMS el domingo. No está claro cuántas de esas instancias ejecutan versiones vulnerables del software.

El día cero recientemente descubierto comparte similitudes con CVE-2026-21643otro defecto no autenticado de FortiClient EMS que Fortinet revelado 6 de febrero. El vendedor y autoridades cibernéticas La semana pasada advirtió que CVE-2026-21643 había sido explotado en estado salvaje.

Los investigadores aún tienen que encontrar un vínculo significativo entre las vulnerabilidades o atribuir los ataques a actores de amenazas conocidos, pero ambos defectos fueron explotados activamente en un corto período de tiempo y ambos permiten a los atacantes ejecutar código de forma remota.

«Las soluciones de Fortinet son objetivos populares para los actores de amenazas en general, por lo que la explotación no es necesariamente sorprendente», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck.

CISA ha añadido 10 defectos de Fortinet a su catálogo de vulnerabilidades explotadas conocidas desde principios de 2025.

Si bien no existe un parche completo para CVE-2026-35616, Harris le dio crédito a Fortinet por lanzar una revisión durante un fin de semana festivo, y agregó que refleja la urgencia con la que la compañía está tratando el asunto.

«El momento en el que se intensifica la explotación salvaje de este día cero probablemente no sea una coincidencia», afirmó. «Los atacantes han demostrado repetidamente que los fines de semana festivos son el mejor momento para actuar. Los equipos de seguridad están a la mitad de sus efectivos, los ingenieros de guardia están distraídos y la ventana entre el compromiso y la detección se extiende de horas a días. La Semana Santa, como cualquier otro día festivo, representa una oportunidad».

Un portavoz de Fortinet dijo que los esfuerzos de respuesta y remediación están en curso y que la compañía se está comunicando directamente con los clientes para asesorarlos sobre las acciones necesarias.

«El mejor momento para aplicar la revisión fue ayer», dijo Harris. «El segundo mejor momento es ahora».

Un juez federal condenó al fabricante de stalkerware pcTattleTale, que cerró después de una violación de datos, a liberación supervisada y una multa de 5.000 dólares.

Bryan Fleming se declaró culpable en enero de un cargo de fabricación, posesión o venta intencional de un dispositivo a sabiendas de que se utilizaría principalmente para la interceptación subrepticia de comunicaciones. El viernes, un juez dictó la sentencia de Fleming.

Fue la primera condena por stalkerware desde 2014, cuando el fabricante de StealthGenie se declaró culpable y tampoco cumplió condena en prisión, sino que recibió una condena. Multa de 500.000 dólares de la corte.

Según el acuerdo de culpabilidad de Fleming, su actividad incriminatoria comenzó ya en 2017, como propietario de Fleming Technologies LLC.

«El software del demandado permitió a los compradores monitorear de forma encubierta y remota las actividades informáticas y del teléfono celular de la víctima, incluidos mensajes de texto, correos electrónicos, llamadas telefónicas, ubicación geográfica y navegación web», establece el acuerdo. «El acusado comenzó a anunciar directamente su software de espionaje a personas que querían espiar a sus cónyuges o parejas sin su conocimiento».

Continuó: «El software de espionaje del acusado creó de manera encubierta un video cada vez que se usaba el dispositivo de la víctima, que capturaba toda la actividad que ocurría en el dispositivo. La persona que monitoreaba el dispositivo podía iniciar sesión en un panel remoto y monitorear la actividad en el dispositivo de la víctima».

Un agente encubierto de Investigaciones de Seguridad Nacional, una división del Servicio de Inmigración y Control de Aduanas de EE. UU., se hizo pasar por un afiliado de marketing y cliente para comunicarse con Fleming, según un acusación 2022.

pcTattletale salió del negocio en 2024 tras sufrir una filtración de datos. Los investigadores han descubierto que las aplicaciones de stalkerware a menudo no protegen la información personal recopilada durante su uso.

Un abogado de Fleming no respondió de inmediato a una solicitud de comentarios el lunes por la mañana.

El senador Ron Wyden, demócrata por Oregón, advirtió al jefe de la Administración de la Seguridad Social, Frank Bisignano, que cualquier seguimiento de la orden ejecutiva del presidente Donald Trump que crea una nueva base de datos de votantes estadounidenses utilizando datos de la agencia sería visto por los demócratas como una elección consciente por parte de los funcionarios de la SSA de participar en una “descarada supresión de votantes”.

«Facilitar la directiva de Donald Trump de crear una base de datos de votantes defectuosa sería participar voluntariamente en una flagrante supresión de votantes antes de las consiguientes elecciones de mitad de período», escribió Wyden, el principal demócrata en el Comité de Finanzas del Senado, en un carta a Bisignano enviado el viernes.

El orden ejecutivaemitido el 31 de marzo, ordena al secretario de Seguridad Nacional, al director de los Servicios de Inmigración y Ciudadanía de EE.UU. y al comisionado de la Administración de la Seguridad Social que recopilen listas de votantes estadounidenses para cada estado, incluido su supuesto estatus de ciudadanía.

Para construir las listas, las agencias se basarían en la controvertida base de datos de Verificación Sistemática de Derechos de Extranjeros que el DHS ha estado construyendo bajo la administración Trump, así como en los registros federales de ciudadanía y naturalización del Seguro Social y.

Esas listas luego se transmitirían a los estados, la mayoría de los cuales ya han rechazado esfuerzos anteriores de la administración Trump para recopilar datos de votantes o dictar listas de registro de votantes. Otra sección de la orden ordenaría al director general de correos que desarrollara una lista similar, estado por estado, de votantes elegibles para votar por correo.

“La clara intención de esta orden ejecutiva es socavar el voto por correo y privar de sus derechos a los votantes elegibles”, escribió Wyden. «La SSA tiene el deber de garantizar que sus datos no se utilicen indebidamente como parte de este esfuerzo».

Wyden se hizo eco de numerosos funcionarios estatales y expertos electorales al calificar la orden ejecutiva de la administración Trump como una usurpación inconstitucional por parte del poder ejecutivo de las autoridades electorales que la Constitución de los Estados Unidos define claramente para el Congreso y los estados.

La orden ejecutiva de la Casa Blanca ya ha sido impugnada en demandas de funcionarios estatales y defensores del derecho al voto, y una orden ejecutiva anterior, menos ambiciosa, emitida el año pasado que intentaba hacer valer autoridades similares del poder ejecutivo fue revocada en gran medida por los tribunales estadounidenses.

La misiva de Wyden esencialmente le pide a Bisignano que considere si seguir la orden de la administración Trump entraría en conflicto con su responsabilidad de salvaguardar los registros del Seguro Social bajo leyes como la Ley de Privacidad y la Ley del Seguro Social.

Pregunta cómo se asegurará la agencia de no privar de sus derechos a los votantes y si solicitó permiso a los ciudadanos para utilizar sus datos del Seguro Social para una lista de elecciones federales, y señala que las propias regulaciones de la agencia limitan el intercambio de datos del Seguro Social al «uso rutinario para determinar la elegibilidad o la cantidad de beneficios en un programa de salud o mantenimiento de ingresos».

Ampliar el papel de la agencia a las elecciones -un área en la que no tiene antecedentes ni experiencia- estaría en conflicto directo con esas reglas.

«En pocas palabras, compartir los datos personales de los estadounidenses con el DHS para crear una lista de 'ciudadanía estatal' no cumple con este estándar», escribió Wyden.

El presupuesto fiscal 2027 del presidente Donald Trump recortaría el total de la Agencia de Seguridad de Infraestructura y Ciberseguridad en $707 millonessegún un resumen publicado el viernes, lo que reduciría profundamente una agencia que ya recibió un gran golpe en el primer año de Trump.

Otro documento presupuestario sugiere un impacto menor, pero aún sustancial, de $361 millones, y la discrepancia posiblemente se deba a los puntos de comparación en medio de la incertidumbre presupuestaria para la agencia matriz de CISA, el Departamento de Seguridad Nacional. DHS y CISA no respondieron de inmediato a una solicitud de aclaración.

“En el momento en que se preparó el Presupuesto, el proyecto de ley de asignaciones de 2026 para el Departamento de Seguridad Nacional no estaba promulgado, y los fondos proporcionados por la última resolución continua bajo la cual había estado operando (Ley de Asignaciones Continuas, 2026, división A de la Ley Pública 119-37, modificada por la división H de la Ley Pública 119-75) habían caducado”, señala el resumen del presupuesto. «Las referencias al gasto de 2026 en el texto y las tablas para programas y actividades normalmente previstas en el proyecto de ley de asignaciones para todo el año reflejan el nivel anualizado proporcionado por la última resolución continua».

Según cualquiera de las mediciones, el presupuesto propuesto recortaría profundamente una agencia que inició la administración Trump con aproximadamente $3 mil millones, y estaría sustancialmente por debajo si el Congreso promulga el último plan. El apéndice del presupuesto dice que CISA terminaría con poco más de 2.000 millones de dólares en financiación discrecional según el plan de Trump. Para el año fiscal 2026, los apropiadores buscaron mitigar algunas de las reducciones CISA propuestas por Trump.

El resumen del presupuesto de 2027 recicla un lenguaje idéntico del resumen del presupuesto de 2026 y hace referencia a la finalización de programas que CISA ya ha cerrado.

“El Presupuesto reenfoca a CISA en su misión principal: la defensa de la red federal y la mejora de la seguridad y la resiliencia de la infraestructura crítica, al tiempo que elimina el uso de armas y el desperdicio”, afirma el resumen en los documentos de 2026 y 2027.

Hace referencia a deshacerse de cosas que ya se han recortado, como «oficinas de participación externa como la gestión del consejo, la participación de las partes interesadas y los asuntos internacionales». Habla de poner fin a los programas centrados en la censura, algo que CISA bajo la administración Biden dijo que nunca había hecho, y de la “llamada” desinformación, que CISA dijo que puso fin durante el mandato del expresidente.

El representante de Mississippi Bennie Thompson, el principal demócrata en el Comité de Seguridad Nacional de la Cámara de Representantes, criticó la propuesta de presupuesto para CISA.

«Al igual que la estrategia cibernética del presidente, el presupuesto CISA del presidente refleja su total falta de comprensión de la urgencia de las amenazas cibernéticas que enfrentamos y de cómo movilizar al gobierno para ayudar a enfrentarlas», dijo en una declaración a CyberScoop. “A partir de 2023, CISA estaba gastando 2 millones de dólares para contrarrestar las operaciones de información, un esfuerzo lanzado inicialmente a instancias de los republicanos del Congreso durante la primera administración Trump.

«No hay nada que justifique un recorte imprudente de 700 millones de dólares al CISA, particularmente en un momento de tensiones intensificadas con Irán y una China cada vez más agresiva», continuó. «Estoy comprometido a trabajar con mis colegas para hacer frente a estos recortes y garantizar que podamos proteger al gobierno y las redes de infraestructura crítica».

El Servicio de Inmigración y Control de Aduanas confirmó que está utilizando el software espía Paragon, lo que provocó indignación el jueves por parte de un trío de demócratas de la Cámara de Representantes.

En respuesta a una carta de los legisladores preguntando sobre el uso de Paragon, el director interino de ICE, Todd Lyons, escribió que había autorizado el uso de “herramientas tecnológicas de vanguardia” para ayudar a la división de Investigaciones de Seguridad Nacional a luchar contra el fentanilo, particularmente contra organizaciones que utilizan comunicaciones cifradas.

“Cualquier uso de la tecnología cumplirá con los requisitos constitucionales y se coordinará con la Oficina del Asesor Legal Principal de ICE”, escribió Lyons el miércoles, sin nombrar específicamente a Paragon. «Además, el uso de la tecnología se alineará y apoyará las iniciativas estratégicas del Grupo de Trabajo de Seguridad Nacional para identificar, desarticular y desmantelar organizaciones terroristas extranjeras, abordar la creciente epidemia de fentanilo y salvaguardar la seguridad nacional».

Pero los representantes demócratas Summer Lee de Pensilvania, Shontel Brown de Ohio y Yassamin Ansari de Arizona no quedaron satisfechos con la respuesta de ICE.

“Es indignante que [the Department of Homeland Security] e ICE están utilizando este software espía sin supervisión del Congreso y con una falta total de estándares de cumplimiento», dijeron en una declaración conjunta compartida con CyberScoop. «Dado el historial de la Administración Trump, el cumplimiento fingido de ICE con los estándares existentes no significa mucho; Necesitamos ver pruebas y evidencias de salvaguardias férreas.

“Por eso solicitamos tanta documentación, que no nos han proporcionado en absoluto”, continuaron. «Los demócratas de la Cámara de Representantes seguirán exigiendo más información y responsabilizando a ICE por sus abusos».

Lyons escribió que certificó el uso de la tecnología, que, según dijo, cumplía con una orden ejecutiva de 2023 emitida por el entonces presidente Joe Biden. Esa orden ejecutiva requiere la certificación de que el uso de software espía comercial no plantearía riesgos de seguridad nacional o de contrainteligencia, ni crearía riesgos significativos de uso indebido por parte de un gobierno extranjero.

En 2024, el contrato de ICE por valor de 2 millones de dólares con Paragon fue objeto de revisión por la Casa Blanca. Pero el año pasado, ICE levantó una orden de suspensión de trabajo.

ICE no respondió de inmediato a una solicitud de comentarios sobre la reacción de los demócratas. El uso de tecnología de vigilancia por parte de ICE ha preocupación dibujada de grupos de libertades civiles.

La tecnología Graphite de Paragon se ha encontrado en los teléfonos de periodistas y se sospecha que se utiliza en varios países. WhatsApp dijo el año pasado que había interrumpido una campaña que empleaba software espía contra sus usuarios.

Bloomberg reportado por primera vez sobre la carta de Lyons.