El presupuesto fiscal 2027 del presidente Donald Trump recortaría el total de la Agencia de Seguridad de Infraestructura y Ciberseguridad en $707 millonessegún un resumen publicado el viernes, lo que reduciría profundamente una agencia que ya recibió un gran golpe en el primer año de Trump.

Otro documento presupuestario sugiere un impacto menor, pero aún sustancial, de $361 millones, y la discrepancia posiblemente se deba a los puntos de comparación en medio de la incertidumbre presupuestaria para la agencia matriz de CISA, el Departamento de Seguridad Nacional. DHS y CISA no respondieron de inmediato a una solicitud de aclaración.

“En el momento en que se preparó el Presupuesto, el proyecto de ley de asignaciones de 2026 para el Departamento de Seguridad Nacional no estaba promulgado, y los fondos proporcionados por la última resolución continua bajo la cual había estado operando (Ley de Asignaciones Continuas, 2026, división A de la Ley Pública 119-37, modificada por la división H de la Ley Pública 119-75) habían caducado”, señala el resumen del presupuesto. «Las referencias al gasto de 2026 en el texto y las tablas para programas y actividades normalmente previstas en el proyecto de ley de asignaciones para todo el año reflejan el nivel anualizado proporcionado por la última resolución continua».

Según cualquiera de las mediciones, el presupuesto propuesto recortaría profundamente una agencia que inició la administración Trump con aproximadamente $3 mil millones, y estaría sustancialmente por debajo si el Congreso promulga el último plan. El apéndice del presupuesto dice que CISA terminaría con poco más de 2.000 millones de dólares en financiación discrecional según el plan de Trump. Para el año fiscal 2026, los apropiadores buscaron mitigar algunas de las reducciones CISA propuestas por Trump.

El resumen del presupuesto de 2027 recicla un lenguaje idéntico del resumen del presupuesto de 2026 y hace referencia a la finalización de programas que CISA ya ha cerrado.

“El Presupuesto reenfoca a CISA en su misión principal: la defensa de la red federal y la mejora de la seguridad y la resiliencia de la infraestructura crítica, al tiempo que elimina el uso de armas y el desperdicio”, afirma el resumen en los documentos de 2026 y 2027.

Hace referencia a deshacerse de cosas que ya se han recortado, como «oficinas de participación externa como la gestión del consejo, la participación de las partes interesadas y los asuntos internacionales». Habla de poner fin a los programas centrados en la censura, algo que CISA bajo la administración Biden dijo que nunca había hecho, y de la “llamada” desinformación, que CISA dijo que puso fin durante el mandato del expresidente.

El representante de Mississippi Bennie Thompson, el principal demócrata en el Comité de Seguridad Nacional de la Cámara de Representantes, criticó la propuesta de presupuesto para CISA.

«Al igual que la estrategia cibernética del presidente, el presupuesto CISA del presidente refleja su total falta de comprensión de la urgencia de las amenazas cibernéticas que enfrentamos y de cómo movilizar al gobierno para ayudar a enfrentarlas», dijo en una declaración a CyberScoop. “A partir de 2023, CISA estaba gastando 2 millones de dólares para contrarrestar las operaciones de información, un esfuerzo lanzado inicialmente a instancias de los republicanos del Congreso durante la primera administración Trump.

«No hay nada que justifique un recorte imprudente de 700 millones de dólares al CISA, particularmente en un momento de tensiones intensificadas con Irán y una China cada vez más agresiva», continuó. «Estoy comprometido a trabajar con mis colegas para hacer frente a estos recortes y garantizar que podamos proteger al gobierno y las redes de infraestructura crítica».

A campaña de phishing vinculado al servicio de alojamiento en la nube de IA Railway ha dado a los piratas informáticos acceso a las cuentas en la nube de Microsoft para cientos de empresas, según investigadores de Huntress.

Rich Mozeleski, gerente de producto del equipo de identidad de Huntress, dijo a CyberScoop que la campaña está actualmente vinculada a un actor más pequeño y aproximadamente una docena de direcciones IP, pero ha logrado comprometer cientos de objetivos en las últimas semanas.

A principios de marzo comprometía unas pocas docenas de objetivos por día, pero a partir del 3 de marzo hubo un “aumento masivo” en ese ritmo. Mozeleski dijo que, además de ser más sofisticado de lo habitual, no se utilizaron correos electrónicos ni dominios idénticos, lo que llevó a los investigadores a sospechar que pudieron haber sido generados a través de herramientas de inteligencia artificial. Las plantillas iban desde señuelos de correo electrónico tradicionales hasta códigos QR y sitios cooptados para compartir archivos.

“Solo la cantidad fue como si se hubiera abierto la Caja de Pandora, y la eficacia estaba por las nubes”, dijo Mozeleski.

Un señuelo de phishing de descarga de archivos personalizado utilizado en la campaña. Los investigadores creen que los atacantes utilizaron IA para generar señuelos únicos a escala. (Fuente: Cazadora)

La campaña de phishing explota el flujo de autenticación de Microsoft para dispositivos como televisores inteligentes, impresoras y terminales, lo que le otorga al atacante tokens OAuth válidos para esa cuenta por hasta 90 días sin necesidad de contraseña o autenticación multifactor.

En última instancia, Huntress ha visto a cientos de sus clientes caer en estafas de phishing, aunque afirman haber evitado la actividad posterior al compromiso en todos los casos. Pero también creen que sus clientes representan sólo una pequeña fracción del probable conjunto total de víctimas, que podría ascender a miles.

Las entidades afectadas abarcan una variedad de sectores: empresas de construcción y comercio, bufetes de abogados, organizaciones sin fines de lucro, bienes raíces, manufactura, finanzas y seguros, atención médica, gobierno y organizaciones de seguridad pública se encontraban entre las 344 víctimas detalladas en el blog de Huntress.

Para proteger a los clientes, Mozeleski dijo que Huntress emitió el miércoles una actualización de la política de acceso condicional a 60.000 inquilinos de la nube de Microsoft en correos electrónicos provenientes de dominios Railway, un acto que describió como «nada que hayamos hecho antes».

Armando la infraestructura codificada por vibraciones

Los investigadores creen que los atacantes estaban utilizando la plataforma como servicio de Railway, creada para ayudar a los no codificadores a crear sitios web y herramientas, para activar la infraestructura de recolección de credenciales para la campaña.

Al utilizar dominios comprometidos y lanzar señuelos personalizados, los correos electrónicos de phishing evitan la mayoría de las soluciones comerciales de filtrado de correo electrónico. No está claro si utilizaron la herramienta de inteligencia artificial de Railway o una separada para generar los señuelos. De cualquier manera, todos los ataques que Huntress ha observado provienen de la infraestructura IP de Railway.com.

En respuesta a las preguntas de CyberScoop el viernes, el ingeniero de soluciones ferroviarias Angelo Saraceno dijo que la compañía está al tanto del incidente y Huntress se puso en contacto por primera vez el 6 de marzo con respecto al tráfico de phishing que se origina desde una dirección IP específica y tres dominios. “Las cuentas asociadas fueron prohibidas y los dominios bloqueados”, dijo Saraceno.

«Nuestras heurísticas están diseñadas para detectar correlaciones: tarjetas de crédito repetidas, fuentes de código compartidas, infraestructura superpuesta», escribió en un correo electrónico. «Cuando una campaña evita esas señales, llega más lejos de lo que nos gustaría».

Saraceno calificó la detección de fraudes de Railway como «un equilibrio» entre atrapar a los malos actores y verse inundado de falsos positivos, señalando un incidente en febrero, cuando un ajuste en el sistema automatizado de control de abusos de la empresa provocó una interrupción del servicio del cliente.

El viernes temprano, Mozeleski le dijo a CyberScoop que Huntress seguía viendo más de 50 compromisos por día vinculados a dominios de phishing de Railway. Cuando se le preguntó qué más podría haber hecho Railway para evitar el abuso de su plataforma, dijo que se podría mejorar la investigación y validación del uso gratuito de su producto. Señaló productos con pruebas similares, como MailChimp y HubSpot, que cuentan con controles y supervisión para que los usuarios no puedan «entrar en un millón de contactos y comenzar a enviar spam».

«No permitan que nadie entre, inicie una prueba, active recursos y comience a utilizar su infraestructura» para ataques cibernéticos, dijo.

Uno de los contrastes más sorprendentes de la campaña fue el uso de la IA para crear una infraestructura de phishing similar a la de un actor de amenazas patrocinado por el estado o un grupo cibercriminal avanzado al servicio de una estafa de phishing común y corriente.

Esto refuerza las advertencias de los expertos en ciberseguridad de que los ciberdelincuentes de bajo nivel, a menudo llamados “script kiddies” por su dependencia de herramientas de piratería automatizadas, están preparados para convertirse en uno de los mayores beneficiarios de la era de la IA generativa. El mes pasado, John Hultquist, analista jefe del Threat Intelligence Group de Google, dijo que espera que las herramientas de inteligencia artificial ayuden a «los grupos cibercriminales más pequeños más que a los piratas informáticos patrocinados por el estado».

Los testimonios en el sitio web de Railway promocionan la capacidad del servicio para ofrecer «escala automática vertical lista para usar», mientras que otro dijo que «hace que la creación de herramientas de terceros autohospedadas sea casi sin esfuerzo».

También puede darles una ventaja sobre las organizaciones víctimas que tienen políticas internas más restrictivas en torno al uso de la IA para la ciberdefensa.

«Estamos viendo a los delincuentes como los primeros impulsores de la IA», dijo Prakash Ramamurthy, director de productos de Huntress. «No tienen ningún reparo en la PII, no tienen ningún reparo en el entrenamiento de modelos… y este incidente, simplemente por el ritmo al que ha evolucionado, es una especie de testimonio de ello».