A medida que la IA se convierte en el motor central de la productividad empresarial, los líderes de seguridad finalmente obtienen luz verde (y el presupuesto) para asegurarla. Pero se está desarrollando una crisis silenciosa en la sala de juntas: muchas organizaciones saben que necesitan «gobernanza de la IA», pero no tienen idea de lo que realmente están buscando.

El dilema del CISO: tiene el presupuesto para IA, pero ¿tiene los requisitos?

A medida que la IA se convierte en el motor central de la productividad empresarial, los líderes de seguridad finalmente obtienen luz verde (y el presupuesto) para asegurarla. Pero se está desarrollando una crisis silenciosa en la sala de juntas: muchas organizaciones saben que necesitan «gobernanza de la IA», pero no tienen idea de lo que realmente están buscando.

Sin una forma estructurada de evaluar el creciente mercado de soluciones de control de uso de IA (AUC), los equipos corren el riesgo de «invertir» en herramientas heredadas que nunca se crearon para la era de los flujos de trabajo agentes y las extensiones de navegador oculto.

un nuevo Guía RFP para evaluar soluciones de control de uso y gobernanza de IA ha sido lanzado para resolver este problema exacto. No es sólo una lista de verificación; es un marco técnico diseñado para ayudar a los arquitectos de seguridad y CISO a pasar de objetivos vagos de «seguridad de IA» a criterios de proyecto específicos y mensurables.

Detener la lucha contra la proliferación de aplicaciones; Comience a gobernar las interacciones

La sabiduría convencional dice que para proteger la IA, es necesario catalogar cada aplicación que tocan sus empleados. Esta es una batalla perdida. La Guía RFP aboga por un cambio contrario a la intuición: la seguridad de la IA no es un problema de «aplicaciones»; es un problema de interacción.

Si te concentras en la aplicación, siempre estarás poniéndote al día con las más de 500 nuevas herramientas basadas en GPT que se lanzan cada semana. Si te concentras en el interacción (es decir, en el momento en que se escribe un mensaje o se carga un archivo), usted obtiene un control independiente de las herramientas.

El beneficio para usted: Al utilizar esta RFP para exigir una «inspección a nivel de interacción», deja de ser un cuello de botella para la innovación y comienza a ser un guardián de los datos, independientemente de qué herramienta de «IA en la sombra» acaba de descubrir su equipo de marketing.

Por qué su pila de seguridad actual no pasa la prueba de IA

Muchos proveedores afirman que «hacen seguridad de IA» como una característica de casilla de verificación dentro de su CASB o SSE. La Guía RFP le ayuda a comprender este marketing. La mayoría de las herramientas heredadas dependen de la visibilidad de la capa de red, que no ve lo que sucede dentro de un panel del lado del navegador o un complemento IDE cifrado.

La Guía obliga a los proveedores a responder las preguntas difíciles:

• ¿Puedes detectar el uso de IA en modo incógnito?
• ¿Admite navegadores «nativos de IA» como Atlas, Dia o Comet?
• ¿Puedes distinguir entre una identidad corporativa y una personal en una misma sesión?

El beneficio para usted: Este enfoque estructurado evita el «lavado de funciones» al obligar a los proveedores a demostrar que pueden operar en el punto de interacción sin requerir agentes de punto final pesados ​​ni cambios disruptivos en la red.

Los ocho pilares de un proyecto maduro de gobernanza de la IA

La plantilla RFP proporciona un sistema de calificación técnica en ocho dominios críticos para garantizar que la solución elegida esté preparada para el futuro:

La gobernanza no es un documento de política. Son controles ejecutables y mensurables.

El objetivo de esta RFP no es sólo recopilar datos; es para calificarlo. La Guía incluye un formato de respuesta que requiere que los proveedores proporcionen algo más que un simple «Sí/No». Más bien, deben describir la cómo y proporcionar referencias.

Este nivel de estructura elimina las conjeturas en el ámbito de las adquisiciones. En lugar de un «sentimiento» subjetivo acerca de un proveedor, obtiene una comparación basada en puntajes de cómo manejan los riesgos del mundo real, como inyecciones rápidas y entornos BYOD no administrados.

Su próximo paso: defina sus requisitos antes de que el mercado los defina por usted

Utilice el Guía RFP para evaluar soluciones de control de uso de IA para tomar la iniciativa. Le ayudará a estandarizar su evaluación, acelerar su investigación y, en última instancia, permitir una adopción segura de la IA que crezca con el negocio.

Descargue la guía y la plantilla de RFP aquí para comenzar a construir su marco de gobernanza de IA hoy.

Los investigadores de ciberseguridad han marcado Paquetes PHP maliciosos de Packagist disfrazados de utilidades de Laravel que actúan como conducto para un troyano de acceso remoto (RAT) multiplataforma que funciona en sistemas Windows, macOS y Linux.

Los nombres de los paquetes se enumeran a continuación –

• nhattuanbl/lara-helper (37 Descargas)
• nhattuanbl/simple-queue (29 Descargas)
• nhattuanbl/lara-swagger (49 Descargas)

Según Socket, el paquete «nhattuanbl/lara-swagger» no incorpora directamente código malicioso, sino que enumera «nhattuanbl/lara-helper» como un Dependencia del compositorprovocando que instale el RAT. Los paquetes todavía están disponibles para descargar desde el registro de paquetes PHP.

Se ha descubierto que tanto lara-helper como simple-queue contienen un archivo PHP llamado «src/helper.php», que emplea una serie de trucos para complicar el análisis estático mediante el uso de técnicas como la ofuscación del flujo de control, la codificación de nombres de dominio, nombres de comandos y rutas de archivos, e identificadores aleatorios para nombres de variables y funciones.

«Una vez cargada, la carga útil se conecta a un servidor C2 en helper.leuleu[.]net:2096, envía datos de reconocimiento del sistema y espera comandos, dándole al operador acceso remoto completo al host», dijo el investigador de seguridad Kush Pandya.

Esto incluye el envío de información del sistema y el análisis de comandos recibidos del servidor C2 para su posterior ejecución en el host comprometido. La comunicación se produce a través de TCP utilizando PHP. flujo_socket_client(). La lista de comandos admitidos se encuentra a continuación:

• silbidopara enviar un latido automáticamente cada 60 segundos
• informaciónpara enviar datos de reconocimiento del sistema al servidor C2
• cmdpara ejecutar un comando de shell
• powershellpara ejecutar un comando de PowerShell
• correrpara ejecutar un comando de shell en segundo plano
• captura de pantallapara capturar la pantalla usando imagegrabscreen()
• descargarpara leer un archivo del disco
• subira un archivo en el disco y otorgarle permisos de lectura, escritura y ejecución a todos los usuarios
• deteneral enchufe y salir

«Para la ejecución del shell, RAT prueba las funciones deshabilitadas y elige el primer método disponible entre: popen, proc_open, exec, shell_exec, system, passthru», dijo Pandya. «Esto lo hace resistente a las configuraciones comunes de refuerzo de PHP».

Si bien el servidor C2 actualmente no responde, el RAT está configurado de manera que reintenta la conexión cada 15 segundos en un bucle persistente, lo que lo convierte en un riesgo para la seguridad. Se recomienda a los usuarios que hayan instalado los paquetes que asuman un compromiso, los eliminen, roten todos los secretos accesibles desde el entorno de la aplicación y auditen el tráfico saliente al servidor C2.

Además de los tres paquetes antes mencionados, el actor de amenazas detrás de la operación ha publicado otras tres bibliotecas («nhattuanbl/lara-media», «nhattuanbl/snooze» y «nhattuanbl/syslog») que están limpias, probablemente en un esfuerzo por generar credibilidad y engañar a los usuarios para que instalen los maliciosos.

«Cualquier aplicación Laravel que instale lara-helper o simple-queue ejecuta una RAT persistente. El actor de la amenaza tiene acceso completo al shell remoto, puede leer y escribir archivos arbitrarios y recibe un perfil de sistema continuo para cada host conectado», dijo Socket.

«Debido a que la activación ocurre en el inicio de la aplicación (a través del proveedor de servicios) o en las cargas automáticas de clases (a través de una cola simple), el RAT se ejecuta en el mismo proceso que la aplicación web con los mismos permisos del sistema de archivos y variables de entorno, incluidas las credenciales de la base de datos, las claves API y los contenidos .env».

Investigadores de ciberseguridad han revelado detalles de un grupo de amenazas persistentes avanzadas (APT) denominado Dragón plateado que se ha relacionado con ataques cibernéticos dirigidos a entidades en Europa y el sudeste asiático desde al menos mediados de 2024.

«Silver Dragon obtiene su acceso inicial explotando servidores de Internet públicos y enviando correos electrónicos de phishing que contienen archivos adjuntos maliciosos», Check Point dicho en un informe técnico. «Para mantener la persistencia, el grupo secuestra servicios legítimos de Windows, lo que permite que los procesos de malware se mezclen con la actividad normal del sistema».

Se estima que Silver Dragon opera dentro del marco de APT41. APT41 es el criptonimo asignado a un prolífico grupo de hackers chino conocido por su objetivo de ciberespionaje en los sectores de salud, telecomunicaciones, alta tecnología, educación, servicios de viajes y medios de comunicación ya en 2012. También se cree que participa en actividades con motivación financiera potencialmente fuera del control estatal.

Se ha descubierto que los ataques organizados por Silver Dragon apuntan principalmente a entidades gubernamentales, y el adversario utiliza balizas Cobalt Strike para persistir en los hosts comprometidos. También se sabe que emplea técnicas como el túnel DNS para la comunicación de comando y control (C2) para evitar la detección.

Check Point dijo que identificó tres cadenas de infección diferentes para entregar Cobalt Strike: Secuestro de dominio de aplicaciónDLL de servicio y phishing basado en correo electrónico.

«Las dos primeras cadenas de infección, el secuestro de AppDomain y el Service DLL, muestran una clara superposición operativa», dijo la empresa de ciberseguridad. «Ambas se entregan a través de archivos comprimidos, lo que sugiere su uso en escenarios posteriores a la explotación. En varios casos, estas cadenas se implementaron tras el compromiso de servidores vulnerables expuestos públicamente».

Las dos cadenas utilizan un archivo RAR que contiene un script por lotes, y la primera cadena lo utiliza para colocar MonikerLoader, un cargador basado en NET responsable de descifrar y ejecutar una segunda etapa directamente en la memoria. La segunda etapa, por su parte, imita el comportamiento de MonikerLoader, actuando como un conducto para cargar la carga útil final de la baliza Cobalt Strike.

Por otro lado, la cadena de DLL del servicio utiliza un script por lotes para entregar un cargador de DLL de código shell denominado BamboLoader, que está registrado como un servicio de Windows. Es un malware C++ muy ofuscado que se utiliza para descifrar y descomprimir el código shell almacenado en el disco e inyectarlo en un proceso legítimo de Windows, como «taskhost.exe». El binario destinado a la inyección se puede configurar dentro de BamboLoader.

La tercera cadena de infección implica una campaña de phishing dirigida principalmente a Uzbekistán con accesos directos maliciosos de Windows (LNK) como archivos adjuntos. El archivo LNK armado está diseñado para iniciar código PowerShell mediante «cmd.exe», lo que lleva a la extracción y ejecución de cargas útiles de la siguiente etapa. Esto incluye cuatro archivos diferentes:

• documento señuelo
• Ejecutable legítimo vulnerable a la carga lateral de DLL («GameHook.exe»)
• DLL maliciosa también conocida como BamboLoader («graphics-hook-filter64.dll»)
• Carga útil cifrada de Cobalt Strike («simhei.dat»)

Como parte de esta campaña, el documento señuelo se muestra a la víctima, mientras que, en segundo plano, la DLL maliciosa se descarga a través de «GameHook.exe» para finalmente iniciar Cobalt Strike. Los ataques también se caracterizan por el despliegue de diversas herramientas posteriores a la explotación:

• Pantalla plateadauna herramienta de monitoreo de pantalla .NET utilizada para capturar capturas de pantalla periódicas de la actividad del usuario, incluida la posición precisa del cursor.
• SSHcmduna utilidad SSH de línea de comandos .NET que proporciona ejecución remota de comandos y capacidades de transferencia de archivos a través de SSH.
• Puerta de engranajesuna puerta trasera NET que comparte similitudes con MonikerLoader y se comunica con su infraestructura C2 a través de Google Drive.

Una vez ejecutada, la puerta trasera se autentica en la cuenta de Google Drive controlada por el atacante y carga un archivo de latido que contiene información básica del sistema. Curiosamente, la puerta trasera utiliza diferentes extensiones de archivo para indicar la naturaleza de la tarea a realizar en el host infectado. Los resultados de la ejecución de la tarea se capturan y cargan en Drive.

• *.pngpara enviar archivos de latidos.
• *.pdfpara recibir y ejecutar comandos, enumerar el contenido de un directorio, crear un nuevo directorio y eliminar todos los archivos dentro de un directorio específico. Los resultados de la operación se envían al servidor en forma de archivo *.db.
• *.taxipara recibir y ejecutar comandos para recopilar información del host y una lista de procesos en ejecución, enumerar archivos y directorios, ejecutar comandos a través de «cmd.exe» o tareas programadas, cargar archivos en Google Drive y finalizar el implante. El estado de ejecución se carga como un archivo .bak.
• *.rarpara recibir y ejecutar cargas útiles. Si el archivo RAR se llama «wiatrace.bak», la puerta trasera lo trata como un paquete de actualización automática. Los resultados se cargan como archivos .bak.
• *.7zpara recibir y ejecutar complementos en la memoria. Los resultados se cargan como archivos .bak.

Los vínculos de Silver Dragon con APT41 se derivan de superposiciones comerciales con scripts de instalación posteriores a la explotación anteriores. atribuido a este último y el hecho de que el mecanismo de descifrado utilizado por BamboLoader se ha observado en cargadores de shellcode vinculados a la actividad APT del nexo con China.

«El grupo evoluciona continuamente sus herramientas y técnicas, probando e implementando activamente nuevas capacidades en diferentes campañas», dijo Check Point. «El uso de diversos exploits de vulnerabilidad, cargadores personalizados y comunicación C2 sofisticada basada en archivos refleja un grupo de amenazas adaptable y con buenos recursos».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado una falla de seguridad recientemente revelada que afecta las operaciones de Broadcom VMware Aria a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando explotación activa en la naturaleza.

La vulnerabilidad de alta gravedad, CVE-2026-22719 (Puntuación CVSS: 8,1), se ha descrito como un caso de inyección de comandos que podría permitir que un atacante no autenticado ejecute comandos arbitrarios.

«Un actor malicioso no autenticado puede aprovechar este problema para ejecutar comandos arbitrarios, lo que puede llevar a la ejecución remota de código en VMware Aria Operations mientras se realiza la migración de productos asistida por soporte», dijo la compañía. dicho en un aviso publicado a finales del mes pasado.

La deficiencia se solucionó, junto con CVE-2026-22720, una vulnerabilidad de secuencias de comandos entre sitios almacenados, y CVE-2026-22721, una vulnerabilidad de escalada de privilegios que podría resultar en acceso administrativo. Afecta a los siguientes productos:

• VMware Cloud Foundation y VMware vSphere Foundation 9.xxx: corregido en 9.0.2.0
• Operaciones de VMware Aria 8.x: corregido en 8.18.6

Los clientes que no puedan aplicar el parche inmediatamente pueden descargar y ejecutar un script de shell («aria-ops-rce-workaround.sh») como raíz de cada nodo del dispositivo virtual de operaciones Aria.

Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza, quién está detrás de ella y la escala de dichos esfuerzos.

«Broadcom está al tanto de los informes sobre una posible explotación de CVE-2026-22719 en estado salvaje, pero no podemos confirmar de forma independiente su validez», señaló la compañía en una actualización de su boletín.

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 24 de marzo de 2026.

Los cazadores de amenazas han llamado la atención sobre una nueva campaña en la que los malos actores se hacen pasar por soporte de TI falso para entregar el Estragos marco de comando y control (C2) como precursor de la exfiltración de datos o el ataque de ransomware.

Las intrusiones, identificado realizado por Huntress el mes pasado en cinco organizaciones asociadas, involucró a los actores de amenazas que usaban spam de correo electrónico como señuelo, seguido de una llamada telefónica desde un escritorio de TI que activa un canal de entrega de malware en capas.

«En una organización, el adversario pasó del acceso inicial a nueve puntos finales adicionales en el transcurso de once horas, implementando una combinación de funciones personalizadas. Demonio del caos cargas útiles y herramientas RMM legítimas para la persistencia, y la velocidad del movimiento lateral sugiere fuertemente que el objetivo final era la exfiltración de datos, el ransomware o ambos», dijeron los investigadores Michael Tigges, Anna Pham y Bryan Masters.

Vale la pena señalar que el modus operandi es consistente con el bombardeo de correo electrónico y los ataques de phishing de Microsoft Teams orquestados por actores de amenazas asociados con la operación de ransomware Black Basta en el pasado. Si bien el grupo de delitos cibernéticos parece haber guardado silencio luego de una filtración pública de sus registros de chat internos el año pasado, la presencia continua del manual del grupo sugiere dos escenarios posibles.

Una posibilidad es que los antiguos afiliados de Black Basta hayan pasado a otras operaciones de ransomware y las estén utilizando para montar nuevos ataques, o que dos actores de amenazas rivales hayan adoptado la misma estrategia para realizar ingeniería social y obtener acceso inicial.

La cadena de ataque comienza con una campaña de spam cuyo objetivo es saturar las bandejas de entrada del objetivo con correos electrónicos no deseados. En el siguiente paso, los actores de la amenaza, haciéndose pasar por soporte de TI, contactan a los destinatarios y los engañan para que les otorguen acceso remoto a sus máquinas, ya sea a través de una sesión de Quick Assist o instalando herramientas como AnyDesk para ayudar a solucionar el problema.

Con el acceso implementado, el adversario no pierde tiempo en iniciar el navegador web y navegar a una página de destino falsa alojada en Amazon Web Services (AWS) que se hace pasar por Microsoft e indica a la víctima que ingrese su dirección de correo electrónico para acceder al sistema de actualización de reglas antispam de Outlook y actualizar las reglas de spam.

Al hacer clic en un botón para «Actualizar configuración de reglas» en la página falsificada se activa la ejecución de un script que muestra una superposición que solicita al usuario que ingrese su contraseña.

«Este mecanismo tiene dos propósitos: permite que el actor de amenazas (TA) recopile credenciales que, cuando se combinan con la dirección de correo electrónico requerida, proporciona acceso al panel de control; al mismo tiempo, agrega una capa de autenticidad a la interacción, convenciendo al usuario de que el proceso es genuino», dijo Huntress.

El ataque también depende de la descarga del supuesto parche antispam, que, a su vez, conduce a la ejecución de un binario legítimo llamado «ADNotificationManager.exe» (o «DLPUserAgent.exe» y «Werfault.exe») para descargar una DLL maliciosa. La carga útil de DLL implementa la evasión de defensa y ejecuta la carga útil del código shell Havoc generando un hilo que contiene el agente Demon.

Al menos una de las DLL identificadas («vcruntime140_1.dll») incorpora trucos adicionales para eludir la detección por parte del software de seguridad mediante ofuscación del flujo de control, bucles de retardo basados ​​en tiempos y técnicas como Hell’s Gate y Puerta de Halo a gancho Funciones ntdll.dll y omita las soluciones de detección y respuesta de endpoints (EDR).

«Tras el despliegue exitoso del Havoc Demon en la cabeza de playa, los actores de la amenaza comenzaron a moverse lateralmente a través del entorno de la víctima», dijeron los investigadores. «Si bien la ingeniería social inicial y la entrega de malware demostraron algunas técnicas interesantes, la actividad práctica en el teclado que siguió fue comparativamente sencilla».

Esto incluye la creación de tareas programadas para iniciar la carga útil de Havoc Demon cada vez que se reinician los puntos finales infectados, proporcionando a los actores de amenazas un acceso remoto persistente. Dicho esto, se ha descubierto que el actor de amenazas implementa herramientas legítimas de administración y monitoreo remoto (RMM) como Level RMM y XEOX en algunos hosts comprometidos en lugar de Havoc, diversificando así sus mecanismos de persistencia.

Algunas conclusiones importantes de estos ataques son que los actores de amenazas están más que felices de hacerse pasar por personal de TI y llamar a números de teléfono personales si eso mejora la tasa de éxito, técnicas como la evasión de defensa que alguna vez se limitaron a ataques a grandes empresas o campañas patrocinadas por estados se están volviendo cada vez más comunes, y el malware básico se personaliza para eludir firmas basadas en patrones.

También es de destacar la velocidad a la que los ataques progresan rápida y agresivamente desde el compromiso inicial hasta el movimiento lateral, así como los numerosos métodos utilizados para mantener la persistencia.

«Lo que comienza como una llamada telefónica de ‘soporte de TI’ termina con un compromiso de red totalmente instrumentado: Havoc Demons modificados implementados en los puntos finales, herramientas RMM legítimas reutilizadas como persistencia de respaldo», concluyó Huntress. «Esta campaña es un estudio de caso sobre cómo los adversarios modernos superponen la sofisticación en cada etapa: ingeniería social para entrar por la puerta, descarga de DLL para permanecer invisible y persistencia diversificada para sobrevivir a la remediación».

El actor de amenazas detrás de la campaña asistida por inteligencia artificial (IA) recientemente revelada dirigida a los dispositivos Fortinet FortiGate aprovechó una plataforma de prueba de seguridad nativa de IA de código abierto llamada CyberStrikeAI para ejecutar los ataques.

Los nuevos hallazgos provienen del equipo Cymru, que detectó su uso tras un análisis de la dirección IP («212.11.64[.]250») que fue utilizado por el presunto actor de amenazas de habla rusa para realizar escaneos masivos automatizados en busca de dispositivos vulnerables.

CyberStrikeAI es una «herramienta de seguridad ofensiva (OST) de inteligencia artificial (IA) de código abierto desarrollada por un desarrollador con sede en China que consideramos que tiene algunos vínculos con el gobierno chino», dijo el investigador de seguridad Will Thomas (alias @BushidoToken) dicho.

Los detalles de la actividad impulsada por la IA salieron a la luz el mes pasado cuando Amazon Threat Intelligence dijo que detectó que un atacante desconocido apuntaba sistemáticamente a dispositivos FortiGate utilizando servicios de inteligencia artificial (IA) generativa como Anthropic Claude y DeepSeek, comprometiendo más de 600 dispositivos en 55 países.

Según el descripción En su repositorio de GitHub, CyberStrikeAI está construido en Go e integra más de 100 herramientas de seguridad para permitir el descubrimiento de vulnerabilidades, el análisis de la cadena de ataques, la recuperación de conocimientos y la visualización de resultados. Lo mantiene un desarrollador chino que utiliza el alias en línea Ed1s0nZ.

Team Cymru dijo que observó 21 direcciones IP únicas ejecutando CyberStrikeAI entre el 20 de enero y el 26 de febrero de 2026, con servidores alojados principalmente en China, Singapur y Hong Kong. Se han detectado servidores adicionales relacionados con la herramienta en EE. UU., Japón y Suiza.

La cuenta Ed1s0nZ, además de albergar CyberStrikeAI, ha publicado varias otras herramientas que demuestran su interés en la explotación y el jailbreak de los modelos de IA.

• herramienta de marca de agua, para agregar marcas de agua digitales invisibles a los documentos.
• banana_blackmail, un ransomware basado en Golang,
• PrivHunterAI, una herramienta basada en Golang que utiliza modelos Kimi, DeepSeek y GPT para detectar vulnerabilidades de escalada de privilegios.
• ChatGPTJailbreak, que contiene un archivo README.md con indicaciones para hacer jailbreak a OpenAI ChatGPT engañándolo para que ingrese al modo Do Anything Now (DAN) o pidiéndole que actúe como ChatGPT con el modo de desarrollador habilitado.
• InfiltrateX, un escáner basado en Golang para detectar vulnerabilidades de escalada de privilegios.
• VigilantEye, una herramienta basada en Golang que monitorea la divulgación de información confidencial, como números de teléfono y números de tarjetas de identificación, en bases de datos. Está configurado para enviar una alerta a través de un bot de WeChat Work si se detecta una posible violación de datos.

«Además, las actividades de Ed1s0nZ en GitHub indican que interactúan con organizaciones que apoyan operaciones cibernéticas potencialmente patrocinadas por el gobierno chino», dijo Thomas. «Esto incluye empresas del sector privado chino que tienen vínculos conocidos con el Ministerio de Seguridad del Estado (MSS) chino».

Una de esas empresas que el desarrollador tiene interactuado con es Conocidosec 404un proveedor de seguridad chino que sufrió una fuga importante de más de 12.000 documentos internos a finales del año pasado, exponiendo los datos de los empleados de la empresa, la clientela gubernamental, las herramientas de piratería, grandes volúmenes de datos robados, como registros de llamadas de Corea del Sur e información relacionada con las organizaciones de infraestructura crítica de Taiwán, y el funcionamiento interno de las operaciones cibernéticas en curso dirigidas a otros países.

«Aparentemente, KnownSec parecía ser simplemente otra empresa de seguridad, pero esto es sólo una verdad a medias», DomainTools anotado en un análisis publicado en enero, describiéndolo como un «contratista cibernético alineado con el estado» capaz de apoyar la seguridad nacional, la inteligencia y los objetivos militares de China.

«En realidad, […] tiene una organización en la sombra que trabaja para el EPL, el MSS y los órganos del estado de seguridad chino. Esta filtración expone a una empresa que opera mucho más allá del papel de un proveedor típico de ciberseguridad. Herramientas como ZoomEye y Critical Infrastructure Target Library brindan a China un sistema de reconocimiento global que cataloga millones de IP, dominios y organizaciones extranjeras mapeadas por sector, geografía y valor estratégico».

También se ha observado que Ed1s0nZ realiza modificaciones activas en un archivo README.md ubicado en un repositorio del mismo nombre. eliminando referencias a ellos haber sido honrados con el Premio de Contribución de Nivel 2 a la Base de Datos Nacional de Vulnerabilidad de Seguridad de la Información de China (CNNVD). El desarrollador también ha afirmado que «todo lo que se comparte aquí es puramente para investigación y aprendizaje».

De acuerdo a investigación Publicado por Bitsight el mes pasado, China mantiene dos bases de datos de vulnerabilidades diferentes: CNNVD y la Base de datos nacional de vulnerabilidades de China (CNVD). Mientras que la CNNVD está supervisada por el Ministerio de Seguridad del Estado, la CNVD está controlada por la CNCERT. Los hallazgos anteriores de Recorded Future han reveló que CNNVD tarda más en publicar vulnerabilidades con puntuaciones CVSS más altas que vulnerabilidades con puntuaciones más bajas.

«El reciente intento del desarrollador de eliminar las referencias al CNNVD de su perfil de GitHub apunta a un esfuerzo activo para ocultar estos vínculos estatales, probablemente para proteger la viabilidad operativa de la herramienta a medida que crece su popularidad», dijo Thomas. «La adopción de CyberStrikeAI está a punto de acelerarse, lo que representa una evolución preocupante en la proliferación de herramientas de seguridad ofensivas mejoradas por IA».

Every CISO knows the uncomfortable truth about their Security Operations Center: the people most responsible for catching threats in real time are the people with the least experience. Tier 1 analysts sit at the front line of detection, and yet they are also the most vulnerable to the cognitive and organizational pressures that quietly erode SOC performance over time.

The Paradox at the Gate: Why Tier 1 Carries the Weight but Lacks the Armor

Tier 1 is the layer that processes the highest volume of alerts, performs initial triage, and determines what gets escalated. But it is built on a foundation that is structurally fragile. Entry-level analysts, high turnover rates, and relentless alert queues create conditions where even well-designed detection rules fail to translate into timely, accurate responses.

The paradox is here: 

• Tier 1 performance defines SOC performance;
• But Tier 1 is often the least supported, least empowered, and most cognitively overloaded layer

Tier 1 analysts face a daily avalanche of alerts. Over time, this leads to:

• Alert fatigue: constant exposure to high volumes reduces sensitivity to real danger.
• Decision fatigue: repeated micro-decisions degrade judgment quality.
• Cognitive overload: too many dashboards, too little context.
• False-positive conditioning: when 90% of alerts are benign, skepticism becomes automatic.
• Burnout and turnover: institutional memory evaporates

For CISOs, these are not HR problems. It’s a business risk. When Tier 1 hesitates, misses, or delays escalation:

• Dwell time increases,
• Incident costs rise,
• Detection quality degrades,
• Executive confidence in security drops.

If Tier 1 is weak, the entire SOC becomes reactive rather than predictive.

The Core Engine Room: Monitoring and Triage as Business-Critical Workflows

Tier 1 owns two foundational SOC processes: monitoring and alert triage. Monitoring is the continuous process of ingesting signals from across the environment — endpoints, networks, cloud infrastructure, identity systems — and applying detection logic to surface events of potential concern. 

Triage is what happens next: the structured, human-driven process of evaluating those events, assigning severity, ruling out false positives, and determining whether escalation is warranted.

Basically, these are routine tasks. Watch telemetry. Sort alerts into true positive/false positive/needs escalation. But these also are revenue protection mechanisms since they determine MTTR, MTTD, and resource allocation efficiency. When these workflows are inefficient:

• Tier 2 and Tier 3 drown in noise,
• Incident response begins late,
• Business disruption expands,
• Operational costs increase,
• Regulatory exposure grows.

Intelligence as Oxygen: The Foundation of Tier 1 Effectiveness

Tier 1 cannot operate effectively in a vacuum, and raw alerts without context are just digital shadows. Actionable threat intelligence turns data into decisions. For a Tier 1 analyst asking, “Is this connected to an active campaign targeting our sector?”, it provides: 

• IOC validation,
• Campaign context,
• TTP mapping,
• Infrastructure associations,
• Malware family attribution.

Tier 1 analysts need threat intelligence more urgently than anyone else in the SOC, precisely because they make the most time-sensitive decisions with the least contextual background.

Step 1: Detect What Others Miss. Powering Monitoring with Live Threat Intelligence Feeds

The first step toward a high-impact Tier 1 is upgrading the intelligence foundation of monitoring itself. Most SOC environments rely on detection rules built from static signatures or behavioral heuristics — logic that was accurate when written but degrades as adversaries adapt.

Actionable threat intelligence feeds continuously inject fresh, verified indicators of compromise directly into the detection infrastructure. Rather than flagging anomalies and waiting for an analyst to research them, a feed-enriched monitoring layer flags activity that has already been confirmed as malicious through real-world analysis. Detections become based on behavioral ground truth, not statistical deviation.

The operational effect on early detection is substantial. It compresses the window of exposure and dramatically reduces the cost of eventual containment.

ANY.RUN’s Threat Intelligence Feeds aggregate indicators (malicious IPs, URLs, domains) drawn from a continuously operating malware analysis sandbox that processes real-world threats in real time. This means the data reflects active threat activity observed through dynamic execution analysis, not historical reporting or third-party aggregation alone. Adversaries who modify their malware to evade static signatures cannot easily evade behavioral observation.

TI Feeds: data, benefits, integrations

Delivered in STIX and MISP formats, TI Feeds integrate directly with SIEMs, firewalls, DNS resolvers, and endpoint detection systems. Each indicator carries contextual metadata like malware families and behavioral tags, so that a detection is not just a flag but an explanation. 

For the business, intelligence-powered monitoring reduces MTTD, improves detection precision, and generates a measurable return on the broader security stack investment by ensuring that what gets detected is what actually matters.

Step 2: From Flag to Finding. Enriching Every Alert with the Context Analysts Actually Need

Before an analyst can enrich an alert, they often face a more immediate problem: a suspicious file or link has surfaced, and its nature is genuinely unknown. This is where the ANY.RUN Interactive Sandbox becomes a direct triage asset. 

Rather than relying on static reputation checks alone, analysts can submit the artifact to the sandbox and observe its actual behavior in a live execution environment — watching in real time as the file makes network connections, modifies the registry, drops additional payloads, or attempts to evade detection. Within minutes, the sandbox produces a verdict grounded in what the sample actually does, not just what it looks like. 

View sandbox analysis of a suspicious .exe file

Sandbox detonation detects ScreenConnect malware

But detection is only the beginning of a T1 analyst’s job. Once an alert surfaces, the analyst must determine whether it represents a genuine threat, understand what it means, and decide what to do with it — all under time pressure and against a queue of competing alerts. Without enrichment, this determination relies on analyst experience and manual research, both of which are in short supply at Tier 1.

The quality and speed of enrichment determine the quality and speed of triage. Deep enrichment, grounded in behavioral analysis, allows analysts to reason about the actual risk of a detection rather than guessing at it.

ANY.RUN’s Threat Intelligence Lookup delivers this depth on demand. Analysts can query any indicator — domain, IP, file hash, URL — and receive immediate context drawn from the sandbox’s analysis repository: full behavioral reports showing how the artifact executed, associated malware families and threat categories, network indicators observed during analysis, and connections to broader malicious infrastructure. A lookup is fast enough to fit into the triage workflow rather than interrupting it.

domainName:»priutt-title.com»

TI Lookup domain search with “Malicious” verdict and additional IOCs

A single lookup allows us to understand that a doubtful domain spotted in the network traffic is most probably malicious, engaged in campaigns targeting IT, finance, and educational businesses all over the world right now, and linked to more indicators that can be used for further detection tuning. 

This changes how T1 operates across several dimensions: 

• Analysts make faster, more confident decisions because they have evidence rather than inference. 
• Escalation notes improve because analysts can articulate what they found and why it matters, reducing back-and-forth with Tier 2 and accelerating the handoff.
• False positives are closed with greater certainty, improving the precision of the escalation pipeline. 

For business objectives, enriched triage supports several priorities simultaneously: 

• It accelerates MTTD and MTTR, which are key metrics for both security program effectiveness and regulatory compliance. 
• It improves the quality of incident documentation for post-incident review, insurance claims, and regulatory reporting. 
• It reduces analyst burnout by replacing frustrating ambiguity with actionable clarity. 
• Finally, it ensures that the SOC’s output reflects genuine analysis rather than overwhelmed guesswork.

Step 3: Security That Compounds. Integrating ANY.RUN into Your Existing Stack

Individual capabilities — however strong — deliver limited value when they operate in isolation. The third and most strategically significant step is integration: connecting ANY.RUN’s Threat Intelligence Feeds, Lookup, and Sandbox into the existing security infrastructure so that intelligence flows automatically across every layer of the environment.

This is where investment in T1 intelligence capabilities translates into organization-wide risk reduction. 

• SIEMs that ingest TI Feeds generate higher-precision alerts, because the detection layer is operating from verified behavioral indicators rather than generic rules. 
• Firewalls and DNS resolvers that consume the same feeds block malicious infrastructure at the perimeter, reducing the volume of threats that reach endpoints and analysts in the first place. 
• EDR systems enriched with sandbox-derived behavioral signatures detect malware that evades signature-based approaches. 
• The entire stack becomes more coherent because it shares a common intelligence foundation.

ANY.RUN supports this integration architecture through standard formats and APIs designed for compatibility with the security products already in deployment. STIX and MISP feed delivery integrates with leading SIEM and SOAR solutions. The TI Lookup API enables direct enrichment from within analyst workflows(ticketing systems, investigation dashboards, custom scripts) without requiring analysts to leave their primary interface. The sandbox itself can receive samples programmatically, enabling automated analysis pipelines that feed results back into detection and response systems.

ANY.RUN integration capabilities

For T1 teams, the day-to-day effect of integration is a reduction in the manual effort that currently consumes analyst time. Indicators enriched automatically before triage, feeds that update detection logic without human intervention, escalation data that populates from sandbox analysis rather than manual documentation — these changes shift analyst effort from information gathering to genuine investigation. T1 becomes faster without becoming larger.

For CISOs, the business case for integration centers on compounding returns. Each point of integration multiplies the value of the intelligence investment: a feed consumed by five security controls delivers five times the coverage of a feed consumed by one. 

This coherence also strengthens the organization’s posture in conversations with the board, insurers, and regulators. An integrated, intelligence-driven security architecture demonstrates not just that controls exist, but that they are actively informed by current threat activity, a substantively different claim than checkbox compliance.

Three Steps, One Outcome: A Tier 1 That Actually Protects the Business

The path to a high-impact Tier 1 is not hiring more analysts or writing more detection rules. It lies in addressing the structural shortcomings that make T1 fragile: monitoring that cannot reflect current threats, triage that lacks the context to be decisive, and intelligence capabilities that remain disconnected from the stack they should be informing.

ANY.RUN’s Threat Intelligence Feeds, Lookup, and Interactive Sandbox form a closed loop — from behavioral analysis to detection to investigation — that addresses each of the steps to top performance without adding operational complexity. The Sandbox generates ground truth. The Feeds operationalize it across the detection layer. The Lookup makes the same analytical depth available on demand for every analyst, regardless of experience.

CISOs who prioritize this investment are not just improving SOC metrics. They are changing the equation for every threat actor who targets their organization. A Tier 1 team that detects early, triages with confidence, and escalates accurately is one of the highest-leverage risk reduction assets a security program can build.

Investigadores de ciberseguridad han revelado detalles de una nueva suite de phishing llamada asesino estrella que representa páginas de inicio de sesión legítimas para evitar las protecciones de autenticación multifactor (MFA).

Un grupo de amenazas que se hace llamar Jinkusu lo anuncia como una plataforma de cibercrimen y otorga a los clientes acceso a un panel que les permite seleccionar una marca para hacerse pasar por ella o ingresar la URL real de una marca. También permite a los usuarios elegir palabras clave personalizadas como «iniciar sesión», «verificar», «seguridad» o «cuenta» e integra acortadores de URL como TinyURL para ocultar la URL de destino.

«Se lanza un instancia de Chrome sin cabeza – un navegador que funciona sin una ventana visible – dentro de un contenedor acoplablecarga el sitio web real de la marca y actúa como un proxy inverso entre el sitio objetivo y el legítimo», afirman los investigadores de Abnormal Callie Baron y Piotr Wojtyla. dicho.

«Los destinatarios reciben contenido de página genuino directamente a través de la infraestructura del atacante, lo que garantiza que la página de phishing nunca quede desactualizada. Y debido a que Starkiller representa el sitio real en vivo, no hay archivos de plantilla para que los proveedores de seguridad tomen huellas dactilares o incluyan en la lista de bloqueo».

Esta técnica de proxy de página de inicio de sesión evita la necesidad de que los atacantes actualicen periódicamente sus plantillas de páginas de phishing a medida que se actualizan las páginas reales que están suplantando.

Dicho de otra manera, el contenedor actúa como un proxy inverso de AitM, reenviando las entradas del usuario final ingresadas en la página en vivo falsificada al sitio legítimo y devolviendo las respuestas del sitio. En el fondo, cada pulsación de tecla, envío de formulario y token de sesión se enruta a través de una infraestructura controlada por el atacante y se captura para tomar el control de la cuenta.

«La plataforma agiliza las operaciones de phishing al centralizar la administración de la infraestructura, la implementación de páginas de phishing y el monitoreo de sesiones dentro de un único panel de control», dijo Abnormal. «Combinado con el enmascaramiento de URL, el secuestro de sesiones y la omisión de MFA, brinda a los ciberdelincuentes poco capacitados acceso a capacidades de ataque que antes estaban fuera de su alcance».

El desarrollo se produce cuando Datadog reveló que el kit 1Phish había evolucionado de un recolector de credenciales básico en septiembre de 2025 a un kit de phishing de varias etapas dirigido a los usuarios de 1Password.

La versión actualizada del kit incorpora una capa de validación y huella digital previa al phishing, soporte para capturar códigos de acceso de un solo uso (OTP) y códigos de recuperación, y lógica de huellas digitales del navegador para filtrar bots.

«Esta progresión refleja una iteración deliberada en lugar de una simple reutilización de plantillas», dijo el investigador de seguridad Martin McCloskey. dicho. «Cada versión se basa en la anterior e introduce controles diseñados para aumentar las tasas de conversión, reducir el análisis automatizado y admitir la recolección de autenticación secundaria».

Los hallazgos muestran que soluciones turcas como Starkiller y 1Phish están convirtiendo cada vez más el phishing en flujos de trabajo estilo SaaS, lo que reduce aún más la barrera de habilidades necesarias para llevar a cabo dichos ataques a escala.

También coinciden con una sofisticada campaña de phishing dirigida a empresas y profesionales norteamericanos al abusar del flujo de concesión de autorización de dispositivos OAuth 2.0 para eludir la autenticación multifactor (MFA) y comprometer las cuentas de Microsoft 365.

Para lograrlo, el atacante se registra en la aplicación Microsoft OAuth y genera un código de dispositivo único, que luego se entrega a la víctima a través de un correo electrónico de phishing dirigido.

«La víctima es dirigida al portal legítimo del dominio de Microsoft (microsoft.com/devicelogin) para ingresar un código de dispositivo proporcionado por el atacante«, investigadores Jeewan Singh Jalal, Prabhakaran Ravichandhiran y Anand Bodke dicho. «Esta acción autentica a la víctima y emite un token de acceso OAuth válido a la aplicación del atacante. El robo en tiempo real de estos tokens otorga al atacante acceso persistente a las cuentas de Microsoft 365 y a los datos corporativos de la víctima».

En los últimos meses, las campañas de phishing también se han dirigido a instituciones financieras, específicamente bancos y cooperativas de crédito con sede en Estados Unidos, para obtener credenciales. Se dice que la campaña se desarrolló en dos fases distintas: una ola inicial que comenzó a finales de junio de 2025 y un conjunto más sofisticado de ataques que comenzó a mediados de noviembre de 2025.

«Los actores comenzaron a registrarse [.]co[.]com falsifican sitios web de instituciones financieras y presentan imitaciones creíbles de instituciones financieras reales», afirman los investigadores de BlueVoyant, Shira Reuveny y Joshua Green. dicho. «Estos [.]co[.]Los dominios com sirven como punto de entrada inicial en una refinada cadena de múltiples etapas».

El dominio, cuando se visita desde un enlace en el que se puede hacer clic en un correo electrónico de phishing, está diseñado para cargar una página CAPTCHA de Cloudflare fraudulenta que imita a la institución objetivo. El CAPTCHA no es funcional y crea un retraso deliberado antes de que un script codificado en Base64 redirija a los usuarios a la página de recolección de credenciales.

En un esfuerzo por evadir la detección y evitar que los escáneres automáticos marquen el contenido malicioso, accedan directamente al [.]co[.]Los dominios com desencadenan una redirección a un archivo «www» con formato incorrecto.[.]URL «www».

«El despliegue por parte del adversario de una cadena de evasión de múltiples capas más avanzada, que incorpora validación de referencia, controles de acceso basados ​​en cookies, retrasos intencionales y ofuscación de código, crea efectivamente una infraestructura más resistente que presenta barreras para las herramientas de seguridad automatizadas y el análisis manual», dijo BlueVoyant.

Microsoft advirtió el lunes sobre campañas de phishing que emplean correos electrónicos de phishing y OAuth Mecanismos de redireccionamiento de URL para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores.

La actividad, dijo la compañía, está dirigida a organizaciones gubernamentales y del sector público con el objetivo final de redirigir a las víctimas a la infraestructura controlada por los atacantes sin robar sus tokens. Describió los ataques de phishing como una amenaza basada en la identidad que aprovecha el comportamiento estándar y por diseño de OAuth en lugar de explotar las vulnerabilidades del software o robar credenciales.

«OAuth incluye una característica legítima que permite a los proveedores de identidad redirigir a los usuarios a una página de destino específica bajo ciertas condiciones, generalmente en escenarios de error u otros flujos definidos», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho.

«Los atacantes pueden abusar de esta funcionalidad nativa creando URL con proveedores de identidad populares, como Entra ID o Google Workspace, que utilizan parámetros manipulados o aplicaciones maliciosas asociadas para redirigir a los usuarios a páginas de destino controladas por el atacante. Esta técnica permite la creación de URL que parecen benignas pero que en última instancia conducen a destinos maliciosos».

El punto de partida del ataque es una aplicación maliciosa creada por el actor de la amenaza en un inquilino bajo su control. La aplicación está configurada con una URL de redireccionamiento que apunta a un dominio fraudulento que aloja malware. Luego, los atacantes distribuyen un enlace de phishing OAuth que indica a los destinatarios que se autentiquen en la aplicación maliciosa utilizando un alcance intencionalmente no válido.

El resultado de esta redirección es que los usuarios descargan e infectan inadvertidamente sus propios dispositivos con malware. Las cargas útiles maliciosas se distribuyen en forma de archivos ZIP que, cuando se descomprimen, dan como resultado la ejecución de PowerShell, la carga lateral de DLL y la actividad previa al rescate o de uso del teclado, dijo Microsoft.

El archivo ZIP contiene un acceso directo de Windows (LNK) que ejecuta un comando de PowerShell tan pronto como se abre. La carga útil de PowerShell se utiliza para realizar un reconocimiento del host mediante la ejecución de comandos de descubrimiento. El archivo LNK extrae del archivo ZIP un instalador MSI, que luego suelta un documento señuelo para engañar a la víctima, mientras que una DLL maliciosa («crashhandler.dll») se descarga utilizando el binario legítimo «steam_monitor.exe».

La DLL procede a descifrar otro archivo llamado «crashlog.dat» y ejecuta la carga útil final en la memoria, lo que le permite establecer una conexión saliente a un servidor externo de comando y control (C2).

Microsoft dijo que los correos electrónicos utilizan solicitudes de firma electrónica, grabaciones de Teams, temas de seguridad social, financieros y políticos como señuelos para engañar a los usuarios para que hagan clic en el enlace. Se dice que los correos electrónicos se enviaron a través de herramientas de envío masivo y soluciones personalizadas desarrolladas en Python y Node.js. Los enlaces se incluyen directamente en el cuerpo del correo electrónico o se colocan dentro de un documento PDF.

«Para aumentar la credibilidad, los actores pasaron la dirección de correo electrónico de destino a través del parámetro de estado utilizando varias técnicas de codificación, lo que permitió que se completara automáticamente en la página de phishing», dijo Microsoft. «El parámetro de estado está destinado a generarse aleatoriamente y usarse para correlacionar los valores de solicitud y respuesta, pero en estos casos se reutilizó para llevar direcciones de correo electrónico codificadas».

Si bien se ha descubierto que algunas de las campañas aprovechan la técnica para distribuir malware, otras envían a los usuarios a páginas alojadas en marcos de phishing como EvilProxy, que actúan como un kit de adversario en el medio (AitM) para interceptar credenciales y cookies de sesión.

Desde entonces, Microsoft eliminó varias aplicaciones OAuth maliciosas que fueron identificadas como parte de la investigación. Se recomienda a las organizaciones que limiten el consentimiento del usuario, revisen periódicamente los permisos de las aplicaciones y eliminen las aplicaciones no utilizadas o con privilegios excesivos.

El auge de los MCP en la empresa

El Protocolo de contexto modelo (MCP) se está convirtiendo rápidamente en una forma práctica de impulsar a los LLM del «chat» al trabajo real. Al proporcionar acceso estructurado a aplicaciones, API y datos, MCP habilita agentes de IA impulsados ​​por avisos que pueden recuperar información, tomar medidas y automatizar los flujos de trabajo comerciales de un extremo a otro en toda la empresa. Esto ya se está manifestando en producción a través de asistentes horizontales y agentes verticales personalizados. como Microsoft Copilot, ServiceNow, Zendesk bots y Salesforce Agentforce, con agentes personalizados y verticales moviéndose rápidamente detrás de ellos. Esto se hace eco de la reciente Gartner “Guía de Mercado para Agentes Tutores” informedonde los analistas señalan que la rápida adopción empresarial de estos agentes de IA está superando significativamente la madurez de los controles de gobernanza y políticas necesarios para gestionarlos.

Creemos que la principal desconexión es que estos “colegas” de IA no parecen humanos.

• No se unen ni salen a través de RR.HH.
• No envían solicitudes de acceso.
• No retiran cuentas cuando finalizan los proyectos.

A menudo son invisibles para la IAM tradicional y así es como se convierten en materia oscura de identidad: riesgo de identidad real fuera del tejido de gobernanza. Y los sistemas agentes no sólo utilizan el acceso, sino que buscan el camino de menor resistencia. Están optimizados para terminar el trabajo con una fricción mínima: menos aprobaciones, menos indicaciones, menos bloqueadores. En términos de identidad, eso significa que gravitarán hacia cualquier cosa que ya funcione, cuentas locales en la aplicación, identidades de servicio obsoletas, tokens de larga duración, claves API, omitir rutas de autenticación y, si funciona, se reutilizará.

Equipo8 Encuesta de aldeas CISO 2025 encontró:

• Cerca de El 70% de las empresas ya utilizan agentes de IA (cualquier sistema que pueda responder y actuar) en producción..
• Otro El 23% está planeando implementaciones en 2026..
• dos tercios los están construyendo internamente.

La adopción de MCP no es una cuestión de si; es una cuestión de qué tan rápido y sabiamente. Ya está aquí y sólo se está acelerando. Para complicar aún más esto, está la realidad de los entornos híbridos. Según la investigación de Gartner, parece que las organizaciones enfrentan obstáculos importantes en la gestión de estas identidades no humanas porque los controles de la plataforma nativa y las salvaguardas de los proveedores generalmente no se extienden más allá de los límites de su propia nube o plataforma. Sin un mecanismo de supervisión independiente, las interacciones de los agentes entre nubes permanecen completamente sin control. La verdadera pregunta es si sus agentes de IA se convierten en compañeros de equipo confiables o identidad no gestionada materia oscura?

​​

Cómo el agente-IA abusa de la identidad de la materia oscura

Como agentes autónomos de IA que pueden planificar y ejecutar tareas de varios pasos con una mínima intervención humana, el agente AI es un asistente poderoso pero también un riesgo cibernético importante. Curiosamente, los principales analistas de la industria parecen esperar que la gran mayoría de las acciones de agentes no autorizados se deriven de violaciones de las políticas internas de la empresa, como un comportamiento equivocado de la IA o un intercambio excesivo de información, en lugar de ataques externos maliciosos.

El patrón de abuso típico que vemos es similar, impulsado por la automatización de agentes y la búsqueda de atajos:

• Enumere lo que existe: el agente rastrea aplicaciones e integraciones, enumera usuarios/tokens y descubre rutas de autenticación «alternativas».
• Pruebe primero lo que es fácil: cuentas locales, créditos heredados, tokens de larga duración, cualquier cosa que evite una nueva aprobación.
• Bloquee el acceso «suficientemente bueno»: incluso los privilegios bajos son suficientes para pivotar: leer archivos de configuración, extraer registros, descubrir secretos, mapear la estructura de la organización.
• Actualice silenciosamente: encuentre tokens con un alcance excesivo, derechos obsoletos o identidades inactivas pero privilegiadas y escale con el mínimo ruido.
• Operar a la velocidad de la máquina: miles de pequeñas acciones ocurren en muchos sistemas, demasiado rápidas y demasiado amplias para que los humanos las detecten temprano.

El verdadero riesgo aquí es la escala del impacto: una identidad descuidada se convierte en un atajo reutilizable en todo el patrimonio.

Los riesgos de la materia oscura

Además de abusar de la materia oscura de identidad, si no se controla, los agentes MCP (agentes de IA que utilizan el protocolo MCP para conectarse a aplicaciones, A2A, API y fuentes de datos) introducen sus propias exposiciones ocultas. Orchid descubre estas exposiciones todos los días:

• Acceso con permisos excesivos: los agentes obtienen el «modo dios» para no fallar, y luego ese privilegio se convierte en el estado operativo predeterminado.
• Uso sin seguimiento: los agentes pueden ejecutar flujos de trabajo confidenciales a través de herramientas donde los registros son parciales, inconsistentes o no están correlacionados con un patrocinador.
• Credenciales estáticas: los tokens codificados no sólo «viven para siempre», sino que se convierten en infraestructura compartida entre agentes, canalizaciones y entornos.
• Puntos ciegos regulatorios: los auditores preguntan: «¿quién aprobó el acceso, quién lo utilizó y qué datos se tocaron?». La materia oscura hace que esas respuestas sean lentas o imposibles.
• Desviación de privilegios: los agentes acumulan acceso con el tiempo porque eliminar permisos da más miedo que otorgarlos, hasta que un atacante hereda la deriva.

Creemos que abordar estos puntos ciegos se alinea con la observación de Gartner de que la gobernanza moderna de la IA requiere que la gestión de identidades y acceso converja estrechamente con la gobernanza de la información. Esto garantiza que las organizaciones puedan clasificar dinámicamente la confidencialidad de los datos y monitorear el comportamiento de los agentes en tiempo real en lugar de depender únicamente de credenciales estáticas.

Los agentes de IA no son sólo usuarios sin credenciales. ellos son materia oscura identidades: poderosas, invisibles y fuera del alcance del IAM actual. Y la parte incómoda: incluso los agentes bien intencionados explotarán la materia oscura. No entienden su organigrama ni su intención de gobierno; entienden lo que funciona. si un cuenta huérfana o un token con alcance excesivo es el camino más rápido hacia su finalización, se convierte en la opción «eficiente».

Principios para la adopción segura de MCP

Para evitar repetir los errores del pasado (con cuentas huérfanas o con demasiados privilegios, TI en la sombra, claves no administradas y actividad invisible), las organizaciones deben adaptarse y aplicar principios de identidad básicos a los agentes de IA. Gartner introdujo el concepto de sistemas «guardianes» especializados, soluciones de IA de supervisión que evalúan, monitorean y hacen cumplir continuamente los límites de los agentes que trabajan.

Recomendamos que las organizaciones sigan cinco principios básicos al implementar soluciones agentes basadas en MCP.

1. Emparejar agentes de IA con patrocinadores humanos: Cada agente debe estar vinculado a un operador humano responsable. Si el humano cambia de rol o se va, el acceso del agente debería cambiar con él. Estamos de acuerdo con Gartner en la necesidad de mapear la propiedad, asegurando que se rastree el linaje completo desde la creación hasta la implementación, tanto en la máquina como en su propietario humano.
2. Acceso dinámico y contextual: Los agentes de IA no deberían tener privilegios permanentes y permanentes. Sus derechos deben tener un límite de tiempo, estar conscientes de la sesión y limitarse al privilegio mínimo.
3. Visibilidad y Auditabilidad: Gartner ha estado pidiendo cada vez más a las organizaciones que mantengan un catálogo centralizado de agentes de IA que haga un inventario de todos los agentes oficiales, en la sombra y de terceros, junto con una gestión integral de la postura y pistas de auditoría a prueba de manipulaciones. En nuestra opinión, cada acción que realiza un agente de IA debe registrarse, correlacionarse con su patrocinador humano y estar disponible para su revisión. Esto garantiza la responsabilidad y prepara a las organizaciones para futuros controles de cumplimiento. La visibilidad no es sólo «lo registramos». Es necesario vincular las acciones con el alcance de los datos: a qué accedió el agente, qué cambió, qué exportó y si esa acción tocó conjuntos de datos regulados o confidenciales. De lo contrario, no se podrá distinguir la “automatización útil” del “movimiento silencioso de datos”.
4. Gobernanza a escala empresarial: La adopción de MCP debe extenderse a sistemas nuevos y heredados dentro de un tejido de gobernanza único y consistente, de modo que los equipos de seguridad, cumplimiento e infraestructura no trabajen en silos. Aquí también es donde Gartner enfatiza la importancia de una capa de supervisión de propiedad empresarial, que garantice controles consistentes y reduzca el riesgo de dependencia de un proveedor a medida que se expande la adopción de MCP.
5. Compromiso con una buena higiene IAM: Como ocurre con todas las identidades, los flujos de autenticación, los permisos de autorización y los controles implementados, una fuerte higiene (tanto en el servidor de aplicaciones como en el servidor MCP) es fundamental para mantener a cada usuario dentro de los límites adecuados.

El panorama más amplio

Los agentes de IA plantean un desafío único que va más allá de la mera integración. Representan un cambio en la forma en que se delega y ejecuta el trabajo dentro de las empresas. Si no se administran, seguirán la misma trayectoria que otras identidades ocultas: cuentas locales en la aplicación, identidades de servicios obsoletas, tokens de larga duración, claves API y rutas de autenticación de omisión que se han convertido en materia oscura de identidad con el tiempo. Y debido a que los agentes impulsados ​​por LLM están optimizados para lograr eficiencia, menor fricción y menos pasos, naturalmente gravitarán hacia esas identidades no gobernadas como el camino más rápido hacia el éxito. Si un administrador local huérfano o un token con un alcance excesivo «simplemente funciona», el agente lo usará y lo reutilizará.

La oportunidad es adelantarse a esta curva.

Al tratar a los agentes de IA como identidades de primera clase desde el primer día (descubribles, gobernables y auditables), las organizaciones pueden aprovechar su potencial sin crear puntos ciegos.

Las empresas que hagan esto no sólo reducirán su superficie de ataque inmediata sino que también se posicionarán para las expectativas regulatorias y operativas que seguramente seguirán.

En la práctica, la mayoría de los incidentes de Agent-AI no comenzarán con un día cero. Comenzarán con un atajo de identidad que alguien olvidó limpiar y luego se amplificarán mediante la automatización hasta que parezca una infracción sistémica.

La conclusión

Los agentes de IA están aquí. Ya están cambiando la forma en que operan las empresas.

El desafío no es si utilizarlos, sino cómo gobernarlos.

La adopción segura de MCP requiere aplicar los mismos principios que los profesionales de la identidad conocen bien (privilegio mínimo, gestión del ciclo de vida y auditabilidad) a una nueva clase de identidades no humanas que siguen este protocolo.

Si la materia oscura de la identidad es la suma de lo que no podemos ver ni controlar, entonces los agentes de IA no administrados pueden convertirse en su fuente de más rápido crecimiento. Las organizaciones que actúen ahora para sacarlos a la luz serán las que puedan avanzar rápidamente con la IA sin sacrificar la confianza, el cumplimiento o la seguridad. Es por eso Seguridad de orquídeas está construyendo una infraestructura de identidad para eliminar la materia oscura y hacer que la adopción de Agent AI sea segura para implementar a escala empresarial.