Las agencias gubernamentales, las empresas de ciberseguridad y los investigadores de amenazas están invirtiendo recursos en estudiar cómo actores maliciosos pueden utilizar herramientas de inteligencia artificial de rápido desarrollo para piratear las organizaciones víctimas.

Pero a medida que la IA agente se integra cada vez más en la infraestructura empresarial, también existe una alta posibilidad de que una infracción pueda ser causada por un interno que guíe la herramienta, ya sea de forma maliciosa o debido a la falta de controles de seguridad.

En investigación compartido exclusivamente con CyberScoop, los investigadores de DTEX detallan cómo un flujo de trabajo común en Claude Cowork de Anthropic utilizado en entornos corporativos ofrece conveniencia para la implementación de agentes de IA pero otorga acceso casi total al sistema.

Claude Cowork incluye herramientas que permiten a los usuarios controlar remotamente a sus agentes. Una herramienta en particular, conocida como Dispatch, transmite comandos desde el teléfono de un usuario a su agente Claude de escritorio. También incluye un complemento para comunicarse con los agentes de Salesforce AI que acceden y transfieren datos.

Los investigadores de DTEX probaron dos escenarios. El primero le pidió a Claude que resumiera información de Salesforce y la pegara en un borrador de correo electrónico de Outlook. El segundo encargó al agente archivar los archivos seleccionados y transferirlos a través de la aplicación Cowork.

En ambos casos, los investigadores utilizaron indicaciones simples de un solo turno y dedicaron entre 10 y 30 minutos a prepararse para filtrar los datos.

Alex Desmond, director de inteligencia e innovación sobre amenazas internas en DTEX, dijo a CyberScoop que tanto las mejoras en los modelos de frontera como una integración más profunda de las herramientas de inteligencia artificial en las operaciones de la red de TI han reducido el tiempo que los defensores tienen para reaccionar ante una infracción.

«En los ciberataques, cuando se habla del tipo de tiempo de ejecución de los adversarios que entran y lanzan ransomware, ahora estamos viendo que la cadena de muerte cae a 30 y 10 minutos dependiendo de lo que estén haciendo», dijo Desmond. «Hace seis meses, eso fue un par de horas».

Pero esa velocidad, cuando se combina con el acceso directo a redes empresariales o servicios en la nube, también puede crear una pesadilla de amenazas internas para las organizaciones que deben monitorear tanto actores maliciosos como posibles errores de empleados legítimos que usan la tecnología.

En los últimos años, las empresas occidentales de TI y ciberseguridad se han visto inundadas de solicitantes de empleo que trabajan en secreto para el gobierno de Corea del Norte. Sus salarios se utilizan para evadir sanciones internacionales y financiar el programa nuclear de Pyongyang, pero también posicionan a las personas para acceder o robar datos o activos confidenciales de estas empresas.

«Tenemos a un actor-estado-nación entrando legítimamente en un entorno», dijo Desmond. «Ahora bien, si además de eso les das acceso a herramientas de inteligencia artificial… piensas: 'aquí están las claves de todo y aquí está esta increíble herramienta que hará que tu trabajo (robar nuestros datos) sea más fácil'».

Las pruebas realizadas por DTEX confirmaron que los agentes efectivamente tenían acceso a sistemas, aplicaciones y datos confidenciales, incluida la capacidad de descargar datos corporativos de SharePoint, documentación de producción en OneDrive, acceso al correo electrónico de Outlook, datos de Salesforce (y todos los datos a los que puede acceder) y cualquier otro archivo en el dispositivo terminal del usuario. Para cada una de estas aplicaciones, Claude Cowork tiene un complemento o API dedicado para compartir externamente si se le solicita.

Para ser claros, la investigación de DTEX no implica explotar un error de software o una vulnerabilidad de configuración, y no viene con un CVE. Es más bien un problema de visibilidad y gobernanza de TI. Las empresas se apresuran a integrar herramientas de inteligencia artificial en su flujo de trabajo y presionan a los empleados para que utilicen la tecnología, mientras no implementan el tipo de controles de seguridad, políticas de acceso y monitoreo necesarios para detectar problemas.

Por ejemplo, puede que no sea posible determinar cómo ocurrió realmente una violación o fuga de datos que involucra a un agente de IA si una organización no registra ni audita sus indicaciones, o si el incidente fue el resultado de que un agente se volviera loco o respondiera a instrucciones potencialmente maliciosas.

Si bien el monitoreo de la red y la nube puede identificar cuándo se accede a los datos o cuándo se descargan desde SharePoint, puede que esa no sea una señal lo suficientemente fuerte como para que los defensores se destaquen.

«Si el flujo de trabajo normal de un usuario es bajar archivos confidenciales para trabajar localmente todo el tiempo, no tienes monitoreo de punto final e introduces un agente de IA, que luego solo tiene acceso a todos esos datos» junto con la capacidad de exfiltrarlos», dijo Desmond.

Los investigadores de ciberseguridad han descubierto una debilidad crítica «por diseño» en la arquitectura del Model Context Protocol (MCP) que podría allanar el camino para la ejecución remota de código y tener un efecto en cascada en la cadena de suministro de inteligencia artificial (IA).

«Esta falla permite la ejecución de comandos arbitrarios (RCE) en cualquier sistema que ejecute una implementación MCP vulnerable, otorgando a los atacantes acceso directo a datos confidenciales del usuario, bases de datos internas, claves API e historiales de chat», dijeron los investigadores de OX Security Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok y Roni Bar. dicho en un análisis publicado la semana pasada.

La compañía de ciberseguridad dijo que la vulnerabilidad sistémica está integrada en el kit de desarrollo de software (SDK) MCP oficial de Anthropic en cualquier lenguaje compatible, incluidos Python, TypeScript, Java y Rust. En total, afecta a más de 7.000 servidores y paquetes de software de acceso público, con un total de más de 150 millones de descargas.

Lo que está en juego son los valores predeterminados inseguros en cómo funciona la configuración de MCP en el ESTDIO (entrada/salida estándar), lo que resultó en el descubrimiento de 10 vulnerabilidades que abarcan proyectos populares como LiteLLM, LangChain, LangFlow, Flowise, LettaAI y LangBot.

• CVE-2025-65720 (Investigador GPT)
• CVE-2026-30623 (LiteLLM) – Parcheado
• CVE-2026-30624 (Agente Cero)
• CVE-2026-30618 (Marco Fay)
• CVE-2026-33224 (Bisheng) – Parcheado
• CVE-2026-30617 (Langchain-Chatchat)
• CVE-2026-33224 (Jaaz)
• CVE-2026-30625 (Upsónico)
• CVE-2026-30615 (Windsurf)
• CVE-2026-26015 (DocsGPT) – Parcheado
• CVE-2026-40933 (Flowise)

Estas vulnerabilidades se dividen en cuatro categorías amplias y activan efectivamente la ejecución remota de comandos en el servidor:

• Inyección de comandos autenticados y no autenticados a través de MCP STDIO
• Inyección de comandos no autenticados a través de configuración STDIO directa con derivación de refuerzo
• Inyección de comandos no autenticados a través de la edición de configuración de MCP mediante inyección de aviso sin hacer clic
• Inyección de comandos no autenticados a través de mercados MCP a través de solicitudes de red, lo que activa configuraciones STDIO ocultas

«El protocolo de contexto modelo de Anthropic ofrece una ejecución directa de configuración a comando a través de su interfaz STDIO en todas sus implementaciones, independientemente del lenguaje de programación», explicaron los investigadores.

«Como este código estaba destinado a usarse para iniciar un servidor STDIO local y devolver un identificador del STDIO al LLM. Pero en la práctica, en realidad permite que cualquiera ejecute cualquier comando arbitrario del sistema operativo, si el comando crea exitosamente un servidor STDIO devolverá el identificador, pero cuando se le da un comando diferente, devuelve un error después de ejecutar el comando».

Curiosamente, durante el año pasado se informaron de forma independiente vulnerabilidades basadas en el mismo problema central. Incluyen CVE-2025-49596 (MCP Inspector), LibreChat (CVE-2026-22252), WeKnora (CVE-2026-22688), @akoskm/create-mcp-server-stdio (CVE-2025-54994) y Cursor (CVE-2025-54136).

Anthropic, sin embargo, se ha negado a modificar la arquitectura del protocolo, citando el comportamiento como «esperado». Si bien algunos de los proveedores han emitido parches, la deficiencia sigue sin abordarse en la implementación de referencia MCP de Anthropic, lo que hace que los desarrolladores hereden los riesgos de ejecución del código.

Los hallazgos resaltan cómo las integraciones impulsadas por IA pueden expandir inadvertidamente la superficie de ataque. Para contrarrestar la amenaza, se recomienda bloquear el acceso de IP pública a servicios confidenciales, monitorear las invocaciones de herramientas MCP, ejecutar servicios habilitados para MCP en una zona de pruebas, tratar la entrada de configuración de MCP externa como no confiable y solo instalar servidores MCP de fuentes verificadas.

«Lo que hizo que esto fuera un evento de la cadena de suministro en lugar de un único CVE es que una decisión arquitectónica, tomada una vez, se propagó silenciosamente a todos los idiomas, a todas las bibliotecas posteriores y a todos los proyectos que confiaron en que el protocolo era lo que parecía ser», dijo OX Security. «Transferir la responsabilidad a los implementadores no transfiere el riesgo. Simplemente oscurece quién lo creó».

Un hacker entregó brevemente malware esta semana a través de un popular proyecto de código abierto para desarrolladores de software que tiene aproximadamente 100 millones de descargas semanales, lo que aumenta la posibilidad de que los compromisos se propaguen ampliamente a través de un ataque a la cadena de suministro.

Axios es una biblioteca cliente de JavaScript que se utiliza en solicitudes web. El atacante desconocido secuestró la cuenta npm (npm es un administrador de paquetes para JavaScript) del principal mantenedor de axios y luego publicó versiones maliciosas de axios con troyanos de acceso remoto en npm. Eso sucedió el domingo por la noche hasta el lunes por la mañana, empresa de ciberseguridad. Cazadora dijo, antes de que se sacaran las versiones envenenadas.

Aikidootra empresa de seguridad, lo calificó como «uno de los ataques a la cadena de suministro de npm más impactantes jamás registrados». Los investigadores de un gran número de empresas cibernéticas han hecho sonar las alarmas sobre el ataque, entre ellas Paso de seguridad, Enchufe, Laboratorios Endor y otros.

Según Step Security, las versiones maliciosas “axios@1.14.1” y “axios@0.30.4” inyectan una nueva dependencia de software, Plain-crypto-js@4.2.1, que actúa como cargador del malware. Está dirigido a dispositivos MacOS, Windows y Linux.

Pero, aunque los investigadores lo describen como malware, señalan que «no hay líneas de código malicioso dentro del propio axios». Más bien, el software simplemente funciona según lo diseñado o rediseñado.

“Ambas versiones envenenadas inyectan una dependencia falsa… nunca importada a ninguna parte de la fuente de axios, cuyo único propósito es ejecutar un [post installation] script que implementa un troyano de acceso remoto multiplataforma”, escribió Ashish Kurmi, director de tecnología y fundador de Step Security.

Feross Aboukhadijeh, director ejecutivo y fundador de Socket, calificó la situación como “un compromiso vivo” con un amplio radio potencial de explosión.

«Este es un software malicioso instalador de la cadena de suministro de libros de texto», Aboukhadijeh escribió el lunes X por la nochey agrega sobre las versiones maliciosas que «Cada instalación de npm que extrae la última versión está potencialmente comprometida en este momento».

El paquete de software introducido por las versiones maliciosas de axios tiene cargas útiles integradas que evaden los métodos estáticos de análisis de ciberseguridad y confunden a los revisores humanos, y elimina y cambia el nombre de los artefactos para destruir la evidencia forense.

Aboukhadijeh dio consejos contundentes a cualquiera que haya descargado o usado axios al menos durante la semana pasada.

«Si usa axios, fije su versión inmediatamente y audite sus archivos de bloqueo», escribió. «No actualice».

Kurmi describió el ataque como de “precisión”, y señaló que la dependencia maliciosa se realizó con menos de 24 horas de anticipación y que ambas versiones maliciosas fueron envenenadas en la misma hora.

Dado el período de tiempo durante el cual las versiones maliciosas de axios estuvieron en línea, eso podría traducirse en aproximadamente 600.000 descargas, dijo Joshua Wright, miembro de la facultad del Instituto SANS y director técnico senior de Counter Hack Innovations.

«Esa es una gran cantidad de compromisos, y tan pronto como se instala el software, se eliminan las credenciales de acceso, por lo que ahora los actores de amenazas podrían recurrir a AWS y a otros paquetes de GitHub a través de claves de GitHub eliminadas, y esa es la parte que es realmente difícil de articular», dijo a CyberScoop, advirtiendo que las consecuencias podrían extenderse durante semanas. «Vamos a ver más y más historias sobre personas que se dan cuenta de que han sido violadas, ya que hoy están tratando de descubrir cuál es el impacto de eso».

El ataque sigue de cerca a otros casos de segmentación orientada al desarrollador.

En septiembre de 2025, Antrópico revelado que un actor de amenazas patrocinado por el estado utilizó un agente de codificación de IA para ejecutar una campaña autónoma de ciberespionaje contra 30 objetivos globales. La IA manejó entre el 80 y el 90 % de las operaciones tácticas por sí sola, realizando reconocimientos, escribiendo códigos de explotación e intentando movimientos laterales a la velocidad de la máquina.

Este incidente es preocupante, pero hay un escenario que debería preocupar aún más a los equipos de seguridad: un atacante que no necesita recorrer la cadena de destrucción en absoluto, porque ha comprometido a un agente de IA que ya vive dentro de su entorno. Uno que ya tenga el acceso, los permisos y una razón legítima para moverse por sus sistemas todos los días.

Un marco creado para las amenazas humanas

La cadena de destrucción cibernética tradicional supone que los atacantes deben ganarse cada centímetro de acceso. es un modelo desarrollado por Lockheed Martin en 2011 para describir cómo los adversarios pasan del compromiso inicial a su objetivo final, y ha dado forma a cómo los equipos de seguridad piensan sobre la detección desde entonces.

La lógica es simple: los atacantes deben completar una secuencia de pasos y los defensores pueden interrumpir la cadena en cualquier punto. Cada etapa por la que tiene que pasar un atacante es otra oportunidad para atraparlo.

Una intrusión típica pasa por distintas etapas:

1. Acceso inicial (explotación de una vulnerabilidad, etc.)
2. Persistencia sin activar alertas
3. Reconocimiento para comprender el entorno.
4. Movimiento lateral para alcanzar datos valiosos
5. Escalada de privilegios cuando el acceso no es suficiente
6. Exfiltración evitando controles DLP

Cada etapa crea oportunidades de detección: la seguridad de los terminales puede detectar la carga útil inicial, el monitoreo de la red puede detectar movimientos laterales inusuales, los sistemas de identidad pueden señalar una escalada de privilegios y las correlaciones SIEM pueden vincular comportamientos anómalos en todos los sistemas. Cuantos más pasos dé un atacante, más posibilidades habrá de tropezar con un cable.

Esta es la razón por la que los actores de amenazas avanzadas como LUCR-3 y APT29 invierten mucho en sigilo, pasando semanas viviendo de la tierra y mezclándose con el tráfico normal. Incluso entonces, dejan artefactos: ubicaciones de inicio de sesión inusuales, patrones de acceso extraños, ligeras desviaciones del comportamiento inicial. Estos artefactos son exactamente para lo que están diseñados los sistemas de detección modernos.

El problema aquí, sin embargo, es que los agentes de IA realmente no siguen este manual.

Lo que ya tiene un agente de IA

Los agentes de IA operan de manera fundamentalmente diferente a los usuarios humanos. Funcionan en todos los sistemas, mueven datos entre aplicaciones y se ejecutan continuamente. Si se ve comprometido, un atacante evita toda la cadena de eliminación: el propio agente se convierte en la cadena de eliminación.

Piense en a qué suele tener acceso un agente de IA. Su historial de actividad es un mapa perfecto de qué datos existen y dónde residen. Probablemente extrae de Salesforce, ingresa a Slack, se sincroniza con Google Drive y actualiza ServiceNow como parte de su flujo de trabajo normal. Se le otorgaron amplios permisos durante la implementación, a menudo acceso a nivel de administrador en múltiples aplicaciones, y ya mueve datos entre sistemas como parte de su trabajo.

Un atacante que compromete a ese agente lo hereda todo al instante. Obtienen el mapa, el acceso, los permisos y una razón legítima para mover datos. ¿Cada etapa de la cadena de destrucción que los equipos de seguridad han pasado años aprendiendo a detectar? El agente los omite todos de forma predeterminada.

La amenaza ya se está desarrollando

El Crisis de OpenClaw nos mostró cómo se ve esto en la práctica:

Aproximadamente el 12% de las habilidades en su mercado público eran maliciosas. Una vulnerabilidad crítica de RCE permitió un compromiso con un solo clic. Más de 21.000 casos fueron expuestos públicamente. Pero la parte más aterradora era a qué podía acceder un agente comprometido una vez conectado a Slack y Google Workspace: mensajes, archivos, correos electrónicos y documentos, con memoria persistente entre sesiones.

El principal problema es que las herramientas de seguridad están diseñadas para detectar comportamientos anormales. Cuando un atacante aprovecha el flujo de trabajo existente de un agente de IA, todo parece normal. El agente accede a los sistemas a los que siempre accede, mueve los datos que siempre mueve y opera en los momentos en que siempre opera.

Esta es la brecha de detección a la que se enfrentan los equipos de seguridad.

Cómo Reco cierra la brecha de visibilidad

La defensa contra agentes de IA comprometidos comienza con saber qué agentes están operando en su entorno, a qué se conectan y qué permisos tienen. La mayoría de las organizaciones no tienen un inventario de los agentes de IA que tocan su ecosistema SaaS. Este es exactamente el tipo de problema para el que Reco fue creado.

Descubra todos los agentes de IA en juego

Agentic AI Security de Reco descubre cada agente de IA, función de IA integrada e integración de IA de terceros en su entorno SaaS, incluidas las herramientas de IA en la sombra conectadas sin la aprobación de TI.

Figura 1: Inventario de agentes de IA de Reco, que muestra los agentes descubiertos y sus conexiones con GitHub.

Alcance de acceso al mapa y radio de explosión

Para cada agente, Reco asigna a qué aplicaciones SaaS se conecta, qué permisos tiene y a qué datos puede acceder. recoco Visualización de SaaS a SaaS muestra exactamente cómo los agentes se integran en su ecosistema de aplicaciones, mostrando combinaciones tóxicas en las que los agentes de IA unen sistemas a través de integraciones MCP, OAuth o API, creando desgloses de permisos que ningún propietario de la aplicación autorizaría.

Figura 2: Gráfico de conocimiento de Reco que muestra una combinación tóxica entre Slack y Cursor a través de MCP.

Marcar objetivos y hacer cumplir el privilegio mínimo

Reco identifica qué agentes representan su mayor exposición al evaluar el alcance del permiso, el acceso entre sistemas y la sensibilidad de los datos. Los agentes asociados a riesgos emergentes se etiquetan automáticamente. Desde allí, Reco le ayuda a acceder al tamaño adecuado a través de gobernanza de identidad y accesolimitando directamente lo que un atacante puede hacer si un agente se ve comprometido.

Figura 3: Verificaciones de postura de la IA de Reco con puntuaciones de seguridad y hallazgos de cumplimiento de IAM.

Detectar actividad anómala del agente

recoco motor de detección de amenazas aplica un análisis de comportamiento centrado en la identidad a los agentes de IA de la misma manera que lo hace con las identidades humanas, distinguiendo la automatización normal de las desviaciones sospechosas en tiempo real.

Figura 4: Una alerta de Reco que señala una conexión ChatGPT no autorizada a SharePoint.

Lo que esto significa para su equipo

La cadena de destrucción tradicional suponía que los atacantes tenían que luchar por cada centímetro de acceso. Los agentes de IA cambian por completo esa suposición.

Un agente comprometido puede brindarle a un atacante acceso legítimo, un mapa perfecto del entorno, amplios permisos y cobertura incorporada para el movimiento de datos, sin un solo paso que parezca una intrusión.

Los equipos de seguridad que todavía se centran exclusivamente en detectar el comportamiento de los atacantes humanos se lo perderán. Los atacantes aprovecharán los flujos de trabajo existentes de sus agentes de IA, invisibles en el ruido de las operaciones normales.

Tarde o temprano, un agente de IA en su entorno será el objetivo. La visibilidad es la diferencia entre detectarlo temprano y descubrirlo durante la respuesta al incidente. Reco le brinda esa visibilidad, en todo su ecosistema SaaS, en minutos.

Obtenga más información aquí: Solicite una demostración: comience con Reco.

El software espía de iOS filtrado tiene a algunos profesionales de la ciberseguridad generando alarmas urgentes sobre posibles compromisos masivos del iPhone, un desarrollo que se combina siniestramente con el reciente descubrimiento de dos sofisticados kits de explotación de iOS.

Al mismo tiempo, otros expertos dicen que las funciones defensivas de Apple para los iPhone siguen siendo de élite. Pero varios factores han creado circunstancias sin precedentes: la accesibilidad pública de una versión de DarkSword, poco después del descubrimiento de la versión original de DarkSword y el descubrimiento anterior de un kit similar conocido como Coruña, y un mercado creciente para exploits para iPhone impulsado por su alto valor como objetivos.

Allan Liska, jefe de seguridad de la información de Recorded Future, dijo que estaba preocupado por lo que la versión filtrada de DarkSword podría hacer para «democratizar» las vulnerabilidades del iPhone.

«En este momento, las explotaciones del iPhone se encuentran entre las más costosas de investigar e implementar, por lo que han sido, en gran medida, dominio de los estados-nación», dijo. «Si alguien puede explotar un iPhone, de repente algo que ha logrado ser relativamente seguro ahora tendrá una superficie de ataque mucho mayor».

Google, iVerify y Lookout publicaron una investigación la semana pasada sobre el descubrimiento de DarkSword, centrada en Ucrania. Google también dijo que vio objetivos en Arabia Saudita, Turquía y Malasia. Y eso fue antes de que apareciera una versión en GitHub, un desarrollo TechCrunch reportado por primera vez y Google e iVerify lo han analizado. (La semana anterior, iVerify y Google descubrieron Coruña. Google se negó a hacer más comentarios para esta historia).

«Es extremadamente alarmante que esto se haya filtrado en GitHub», dijo Rocky Cole, cofundador de iVerify. «Supongo que se está utilizando en todo el mundo, incluido aquí en los Estados Unidos».

Cientos de millones de iPhones con iOS 18 podrían ser vulnerables a DarkSword.

«Creo que los principales problemas aquí son bastante claros: las personas que tienen dispositivos vulnerables deberían actualizarlos lo antes posible», dijo Eva Galperin, directora de ciberseguridad de Electronic Frontier Foundation. «Es muy probable que estas vulnerabilidades se estén utilizando ahora mismo para explotar dispositivos vulnerables a escala, lo cual es inusual para los productos Apple».

El problema de la propagación

Coruña era lo suficientemente preocupante para Apple que tomó la rara medida de respaldar las actualizaciones de seguridad a versiones aún más antiguas de iOS, dijo Cole. El temor, dijo, era que pudiera ser gusano, capaz de propagarse desde un dispositivo a través de mensajes de texto a todos los que están en la lista de contactos de un teléfono.

Pero Cole dijo que Apple no ha lanzado actualizaciones similares centradas en la seguridad para iOS 18, por razones que desconoce.

Apple ha enfatizado los parches que ha publicado, instó a los usuarios a actualizar sus teléfonos y promocionó el modo de bloqueo como defensa contra el software espía.

«Los dispositivos Apple están diseñados con múltiples capas de seguridad para proteger contra una amplia gama de amenazas potenciales, y todos los días los equipos de seguridad de Apple en todo el mundo trabajan incansablemente para proteger los dispositivos y los datos de los usuarios», dijo la portavoz de Apple, Sarah O'Rourke. «Mantener su software actualizado es lo más importante que puede hacer para mantener la seguridad de sus productos Apple, y los dispositivos con software actualizado no estaban en riesgo de sufrir estos ataques reportados».

El uso generalizado de los iPhone los convierte en objetivos de alto valor, lo que alimenta un próspero mercado de exploits. Coruña y DarkSword son indicadores de esta creciente demanda.

«Es hora de que las organizaciones comiencen a pensar en la seguridad móvil de la misma manera que piensan en la seguridad de las computadoras de escritorio, es decir, que todos saben cómo proteger su computadora portátil», dijo Cole. Y en el caso de la caza de exploits para iPhone en particular, «se está empezando a ver que la gente lo hace a nivel masivo». Además, el mercado de reventa es tal que los exploits que antes eran exclusivos ya no lo son, y la IA hace que sea aún más fácil personalizarlos en el código, afirmó.

DarkSword ha llamado la atención federal: la Agencia de Seguridad de Infraestructura y Ciberseguridad agregó esta semana vulnerabilidades que DarkSword explota a la lista que las agencias federales debe parchear.

La cantidad de personas que todavía usan iOS 18 es grande, hasta el 25% de todos los iPhone. Cole dijo que varios factores están contribuyendo a esto, como que los usuarios desconfían de la inteligencia artificial integrada de iOS 26 o de la interfaz Liquid Glass.

Galperin dijo: «Hay muchas razones por las que las personas no mantienen sus dispositivos actualizados, por lo que cuando les digo a las personas 'simplemente parcheen sus cosas', creo que es importante darse cuenta de que hay circunstancias en las que es más fácil decirlo que hacerlo».

Defensas probadas a pesar de los crecientes riesgos

A pesar de las preocupaciones, Cole le dio crédito al iPhone por sus altos estándares de seguridad, en particular por su tienda de aplicaciones.

Para Natalia Krapiva, asesora jurídica y tecnológica senior de Access Now, una conclusión clave es la preocupante proliferación de software espía comercial y capacidades de intrusión cibernética.

“Esto es exactamente sobre lo que los activistas de derechos humanos y los investigadores de seguridad digital han estado advirtiendo a los gobiernos y las empresas: en ausencia de una regulación efectiva para la industria, estos exploits saldrán a la luz y terminarán en manos de adversarios como Rusia, China, Irán o, como en el caso de DarkSword, se filtrarán en línea para que cualquier delincuente los utilice”, dijo.

Por otro lado, el modo de bloqueo y la aplicación de la integridad de la memoria de Apple son medidas defensivas de primer nivel, dijo Krapiva. «Aún no hemos visto ningún iPhone con modo de bloqueo infectado infectado con software espía», afirmó.

«Creo que seguiremos viendo más intentos de explotar los dispositivos Apple y Android a medida que mejoren la seguridad de su software y hardware», afirmó. «Es el viejo juego del gato y el ratón».

Adam Boynton, gerente senior de estrategia empresarial de Jamf, dijo que lo sucedido con Coruña y DarkSword es evidencia del éxito de Apple.

«Lo que es alentador aquí es que el modelo de seguridad de Apple funciona», afirmó. «Coruña omite los dispositivos que ejecutan las últimas versiones de iOS y evita por completo aquellos con el modo de bloqueo habilitado. Esa es una fuerte validación de las defensas que Apple ha construido.

«DarkSword refuerza el mismo principio», continuó. «Cuando Coruña apuntó a versiones anteriores de iOS, DarkSword demuestra que incluso las versiones relativamente actuales pueden ser atacadas por actores determinados. Apple actuó rápidamente para parchear las vulnerabilidades involucradas, y los dispositivos que ejecutan el último iOS están protegidos».

Cuando una carga útil de Magecart se esconde dentro de los datos EXIF ​​de un favicon de terceros cargado dinámicamente, ningún escáner de repositorio la detectará, porque el código malicioso nunca toca su repositorio. A medida que los equipos adoptan Claude Code Security para el análisis estático, este es el límite técnico exacto donde se detiene el escaneo del código de IA y comienza la ejecución del tiempo de ejecución del lado del cliente.

Está disponible un análisis detallado de dónde se detiene Claude Code Security y qué cubre el monitoreo del tiempo de ejecución. aquí.

A Desnatador de carro mágico descubierto recientemente en la naturaleza utilizaba una cadena de carga de tres etapas para ocultar su carga útil dentro de los metadatos EXIF ​​de un favicon: nunca tocaba el código fuente del comerciante, nunca aparecía en un repositorio y se ejecutaba completamente en el navegador del comprador al momento de pagar. El ataque plantea una pregunta que vale la pena precisar: ¿qué categoría de herramienta se supone que debe detectar esto?

Magecart vive fuera de su código base

Los ataques al estilo Magecart rara vez se refieren a vulnerabilidades clásicas en su propio código fuente. Son infiltraciones en la cadena de suministro. El JavaScript malicioso generalmente llega a través de activos de terceros comprometidos: administradores de etiquetas, widgets de pago/pago, herramientas de análisis, scripts alojados en CDN e imágenes que se cargan en el navegador en tiempo de ejecución. La organización víctima no escribió ese código, no lo revisa en las relaciones públicas y, a menudo, ni siquiera existe en su repositorio.

Eso significa que una herramienta de análisis estático basada en repositorio, como Claude Code Security, está limitada por diseño en este escenario, porque solo puede analizar lo que hay en el repositorio o lo que usted le proporciona explícitamente. Cualquier skimmer que viva únicamente en recursos de terceros modificados o archivos binarios cargados dinámicamente en producción nunca entra en su campo de visión. Eso no es un error en el producto; es una discrepancia en el alcance.

El flujo de ataque: cómo se esconde el skimmer

Aquí está el cargador inicial que se ve en los sitios web comprometidos:

Este código auxiliar carga dinámicamente un script desde lo que parece ser una URL CDN legítima de Shopify. Luego, el script cargado construye la URL maliciosa real utilizando matrices de índice ofuscadas:

Una vez decodificado, esto apunta a //b4dfa5[.]xyz/favicon.ico. Lo que sucede a continuación es donde la técnica se vuelve interesante: el script recupera el favicon como datos binarios, analiza los metadatos EXIF ​​para extraer una cadena maliciosa y la ejecuta a través de la nueva Función(): la carga útil se encuentra dentro de los metadatos de la imagen, por lo que es invisible para cualquier cosa que no esté observando el navegador en tiempo de ejecución.

La exfiltración final llama a POST los datos de pago robados de forma silenciosa a un servidor controlado por el atacante:

La cadena tiene cuatro propiedades que son importantes para la discusión sobre herramientas que sigue: el cargador inicial parece una inclusión benigna de terceros; la carga útil está oculta en metadatos de imágenes binarias; la exfiltración ocurre directamente desde el navegador del comprador; y nada de esto requiere tocar el código fuente del propio comerciante.

Lo que Claude Code Security puede y no puede ver

Claude Code Security está diseñado para escanear bases de código, rastrear flujos de datos y sugerir soluciones para vulnerabilidades en el código que usted o sus equipos escriben. Eso lo hace útil para proteger aplicaciones propias, pero también define sus puntos ciegos para esta clase de ataque.

En este escenario, no tiene visibilidad práctica del código malicioso que solo se inyecta en scripts hospedados por terceros, CDN o administradores de etiquetas que nunca se almacenan en sus repositorios. Tampoco puede interrogar cargas útiles ocultas en activos binarios como favicons o imágenes que no forman parte de su árbol de origen. No puede evaluar el riesgo o la reputación activa de los dominios controlados por atacantes que solo aparecen en tiempo de ejecución, y la detección en tiempo real de solicitudes de red anómalas del lado del navegador durante el pago también está fuera de su alcance.

Donde podría contribuir (aunque no como control principal) sería en los casos en que su propio código contenga lógica dinámica de inyección de scripts, un patrón que una herramienta de análisis de código puede marcar como riesgoso. Y si el código propio codifica puntos finales de exfiltración sospechosos o utiliza una lógica de recopilación de datos insegura, el análisis estático puede resaltar esos flujos para su revisión.

Las cuatro filas superiores son las que más importan en un escenario de Magecart, y Claude Code Security no tiene visibilidad en tiempo de ejecución de ninguna de ellas.

Los dos últimos representan una amenaza fundamentalmente diferente: un desarrollador escribe accidentalmente código de apariencia maliciosa en su propio repositorio.

Magecart es un vector, no toda la superficie de ataque

La técnica de esteganografía de favicon anterior es sofisticada, pero es un ejemplo de un patrón más amplio. Los ataques a la cadena de suministro web llegan a través de varios mecanismos distintos, cada uno con la misma característica definitoria: la actividad maliciosa ocurre en tiempo de ejecución, en el navegador, a través de activos que el comerciante no creó. Vea cómo el JavaScript polimórfico generado por IA está aumentando las apuestas →

Algunos otros que vale la pena nombrar:

Inyección maliciosa de iframe. Un widget de terceros comprometido superpone silenciosamente un formulario de pago legítimo con un iframe controlado por un atacante. El usuario ve la página real, pero sus pulsaciones de teclas se envían al atacante. Nada en el repositorio del comerciante cambia.

Abuso del rastreador de píxeles. Los píxeles de análisis y publicidad, casi universales en los sitios de comercio electrónico, se cargan desde CDN externos. Cuando esas CDN se ven comprometidas o se viola el propio proveedor de píxeles, el código de seguimiento que se ejecuta en cada página se convierte en un canal de exfiltración. El código del comerciante todavía llama al mismo punto final de apariencia legítima que siempre llamó.

Recolección de credenciales basada en DOM. Un script cargado a través de un administrador de etiquetas escucha silenciosamente los eventos de los campos de formulario en las páginas de inicio de sesión o de pago, capturando datos antes de enviarlos. El ataque reside completamente en el controlador de eventos registrado en tiempo de ejecución, no en nada que un escáner estático pueda ver.

Cada uno de estos sigue la misma lógica que el caso Magecart: la amenaza vive fuera del repositorio, se ejecuta en un contexto que el análisis estático no puede observar y apunta a la brecha entre lo que usted envió y lo que realmente se ejecuta en los navegadores de sus usuarios. Puedes encontrar el desglose completo de cómo cada vector se asigna a la cobertura de herramientas, y cómo se ve un programa de defensa en profundidad en todos ellos, en la guía vinculada a continuación.

Por qué la supervisión del tiempo de ejecución es fundamental (pero no el único control)

Para amenazas a la cadena de suministro web Al igual que esta campaña de Magecart, el monitoreo continuo de lo que realmente se ejecuta en los navegadores de los usuarios es la capa principal con visibilidad directa del ataque a medida que ocurre. Las plataformas de monitoreo del tiempo de ejecución del lado del cliente responden a un par de preguntas que las herramientas estáticas no pueden responder: «¿Qué código se está ejecutando en los navegadores de mis usuarios en este momento y qué está haciendo?»

Al mismo tiempo, la supervisión del tiempo de ejecución es sólo una parte del panorama. Funciona mejor como parte de una estrategia de defensa en profundidad. El análisis estático y la gobernanza de la cadena de suministro reducen la superficie de ataque, mientras que el monitoreo del tiempo de ejecución detecta lo que se escapa y lo que queda completamente fuera de sus repositorios.

Replantear la «prueba»: categoría, no capacidad

Evaluar una herramienta centrada en repositorios como Claude Code Security contra un ataque en tiempo de ejecución es un error de categoría, no una falla del producto. Es como esperar que un detector de humo apague un incendio. Es la herramienta equivocada para ese trabajo, pero es la ideal para lo que fue diseñada para hacer. Para un edificio a prueba de incendios, necesita detectores de humo y extintores, y para un sitio web seguro, necesita Claude Code Security y monitoreo del tiempo de ejecución en su pila. Para Magecart y ataques similares de skimming del lado del cliente, necesita esa ventana de ejecución en el navegador. El escaneo de repositorios estáticos, por sí solo, simplemente no ve dónde viven realmente estos ataques.

Si está asignando herramientas a clases de amenazas a nivel CISO, hemos elaborado una breve guía sobre cómo la seguridad del código y el monitoreo del tiempo de ejecución encajan en toda la gama de vectores de la cadena de suministro web y dónde cada uno deja de ser útil.

Guía del CISO sobre seguridad del código Claude →