El Instituto Nacional de Estándares y Tecnología (NIST) ha anunciado cambios en la forma en que maneja las vulnerabilidades y exposiciones de ciberseguridad (CVE) enumeradas en su Base de datos nacional de vulnerabilidades (NVD), afirmando que solo enriquecerá aquellas que cumplan ciertas condiciones debido a una explosión en las presentaciones de CVE.

«Los CVE que no cumplan esos criterios seguirán figurando en el NVD, pero no se incluirán automáticamente enriquecido por NIST,» él dicho. «Este cambio está impulsado por un aumento en las presentaciones de CVE, que aumentaron un 263 % entre 2020 y 2025. No esperamos que esta tendencia disminuya pronto».

Los criterios de priorización descritos por el NIST, que entraron en vigor el 15 de abril de 2026, son los siguientes:

• CVE que aparecen en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
• CVE para software utilizado dentro del gobierno federal.
• CVE para software crítico según lo define la Orden Ejecutiva 14028: esto incluye software que está diseñado para ejecutarse con privilegios elevados o privilegios administrados, tiene acceso privilegiado a redes o recursos informáticos, controla el acceso a datos o tecnología operativa y opera fuera de los límites de confianza normales con acceso elevado.

Cualquier envío de CVE que no cumpla con estos umbrales se marcará como «No programado». La idea, dijo el NIST, es centrarse en CVE que tengan el máximo potencial de impacto generalizado.

«Si bien los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sistémico que aquellos en las categorías priorizadas», añadió.

El NIST dijo que las presentaciones de CVE durante los primeros tres meses de 2026 son casi un tercio más altas que el año pasado, y está trabajando más rápido que nunca para enriquecer las presentaciones. También dijo que enriqueció casi 42.000 CVE en 2025, un 45% más que cualquier año anterior.

En los casos en los que un CVE de alto impacto se haya clasificado como no programado, los usuarios tienen la opción de solicitar enriquecimiento enviando un correo electrónico a «nvd@nist[.]gov.»Se espera que el NIST revise esas solicitudes y programe el enriquecimiento de los CVE según corresponda.

También se han instituido cambios para varios otros aspectos de las operaciones de NVD. Estos incluyen –

• El NIST ya no proporcionará de forma rutinaria una puntuación de gravedad separada para un CVE cuando la Autoridad de Numeración de CVE ya haya proporcionado una puntuación de gravedad.
• Un CVE modificado se volverá a analizar sólo si «afecta materialmente» los datos de enriquecimiento. Los usuarios pueden solicitar que se vuelvan a analizar CVE específicos enviando un correo electrónico a la misma dirección indicada anteriormente.
• Todos los CVE no enriquecidos actualmente en cartera con una fecha de publicación de NVD anterior al 1 de marzo de 2026 se trasladarán a la categoría «No programado». Esto no se aplica a los CVE que ya están en el catálogo de KEV.
• NIST ha actualizado el Etiquetas y descripciones de estado CVEasí como el Panel de control NVDpara reflejar con precisión el estado de todos los CVE y otras estadísticas en tiempo real.

«El anuncio del NIST no es una gran sorpresa, dado que previamente han telegrafiado su intención de pasar a un modelo de priorización ‘basado en riesgos’ para el enriquecimiento de CVE», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, en un comunicado compartido con The Hacker News.

«En el lado positivo, el NIST está estableciendo clara y públicamente expectativas para la comunidad en medio de un aumento enorme y creciente de nuevas vulnerabilidades. Por otro lado, una parte significativa de las vulnerabilidades ahora parece no tener un camino claro hacia el enriquecimiento para las organizaciones que dependen del NIST como su fuente autorizada (o única) de datos de enriquecimiento CVE».

Los datos de la empresa de ciberseguridad muestran que todavía quedan aproximadamente 10.000 vulnerabilidades a partir de 2025 sin puntuación CVSS. Se estima que el NIST ha enriquecido 14.000 vulnerabilidades ‘CVE-2025’, lo que representa aproximadamente el 32 % de la población CVE de 2025.

«Este anuncio subraya lo que ya sabemos: ya no vivimos en un mundo donde el enriquecimiento manual de nuevas vulnerabilidades es una estrategia factible o efectiva», dijo Condon.

«Incluso sin que el descubrimiento de vulnerabilidades impulsado por IA acelere el volumen de CVE y los desafíos de validación, el clima de amenazas actual exige inequívocamente enfoques distribuidos y a velocidad de máquina para la identificación y el enriquecimiento de vulnerabilidades, junto con una perspectiva genuinamente global sobre el riesgo que reconozca la naturaleza interconectada e interdependiente del ecosistema de software mundial y los atacantes que lo atacan. Después de todo, lo que no priorizamos para nosotros mismos, los adversarios lo priorizarán para nosotros».

David Lindner, director de seguridad de la información de Contrast Security, dijo que la decisión del NIST de priorizar solo las vulnerabilidades de alto impacto marca el final de una era en la que los defensores podrían aprovechar una única base de datos administrada por el gobierno para evaluar los riesgos de seguridad, lo que obligaría a las organizaciones a adoptar un enfoque proactivo para la gestión de riesgos impulsado por la inteligencia de amenazas.

«Los defensores modernos deben ir más allá del ruido del volumen total de CVE y, en cambio, centrar sus recursos limitados en la lista CISA KEV y las métricas de explotabilidad», dijo Lindner.

«Si bien esta transición puede alterar los flujos de trabajo de auditoría heredados, en última instancia hace que la industria madure al exigir que prioricemos la exposición real sobre la gravedad teórica. Depender de un subconjunto curado de datos procesables es mucho más efectivo para la resiliencia nacional que mantener un archivo completo pero inmanejable de cada error menor».

Dos hombres de Nueva Jersey fueron sentenciado el miércoles por facilitar el plan de larga duración de Corea del Norte para colocar a operativos dentro de empresas estadounidenses como empleados, generando más de 5 millones de dólares en ingresos ilícitos para el régimen, dijo el Departamento de Justicia.

Los ciudadanos estadounidenses –Kejia Wang, también conocido como Tony Wang, y Zhenxing Wang, también conocido como Danny Wang– fueron parte de una conspiración de años de duración que colocó a agentes en puestos de trabajo en más de 100 empresas estadounidenses, incluidas muchas compañías Fortune 500, con sede en 27 estados y el Distrito de Columbia.

El elaborado plan involucraba empresas fantasma que se hacían pasar por empresas de desarrollo de software, lavado de dinero y espionaje con implicaciones para la seguridad nacional. Los agentes involucrados en la conspiración robaron archivos confidenciales de un contratista de defensa con sede en California relacionados con la tecnología militar estadounidense controlada bajo el Reglamento de Tráfico Internacional de Armas (ITAR), dijeron funcionarios.

«Los trabajadores de TI de la República Popular Democrática de Corea (RPDC) no se limitan a la generación de ingresos. Cuando se les asigna la tarea, pueden operacionalizar su ubicación y acceso para respaldar los requisitos de inteligencia estratégica, incluido el robo de propiedad intelectual, la interrupción de la red o la extorsión», dijo a CyberScoop Michael Barnhart, investigador del estado nacional en DTEX.

Si bien la mayor parte del plan de Corea del Norte se centra en los ingresos, a veces aplica un enfoque de doble uso, asignando a ciertos trabajadores de TI privilegiados actividades maliciosas que ayudan a otros grupos de piratería respaldados por el estado, añadió Barnhart.

«No todos los trabajadores de TI pueden ser piratas informáticos, pero todos los piratas informáticos norcoreanos pueden o han sido trabajadores de TI», dijo. «Esta distinción es importante para el análisis de amenazas internas porque, a diferencia de las típicas contrataciones fraudulentas motivadas por ganancias financieras personales, los trabajadores de TI pueden infligir daños a nivel de seguridad nacional».

Kejia Wang, de 42 años, Zhenzing Wang, de 39, y sus cómplices robaron las identidades de al menos 80 residentes estadounidenses para facilitar la contratación de agentes norcoreanos y recaudaron al menos 696.000 dólares en honorarios combinados, dijeron funcionarios. Las empresas estadounidenses víctimas también incurrieron en honorarios legales, costos de reparación y otros daños y pérdidas superiores a los 3 millones de dólares.

Ambos hombres se declararon previamente culpables de una variedad de delitos. Kejia Wang fue condenada a nueve años de prisión por conspiración para cometer fraude electrónico y postal, blanqueo de dinero y robo de identidad. Zhenxing Wang fue sentenciado a 92 meses de prisión por conspiración para cometer fraude electrónico y postal y lavado de dinero.

A la pareja también se le ordenó perder un total combinado de 600.000 dólares, de los cuales dos tercios ya han sido pagados, dijeron las autoridades.

La conspiración, que se desarrolló al menos desde 2021 hasta octubre de 2024, se basó en parte en empresas fantasma (Hopana Tech, Tony WKJ y Independent Lab), que los hombres crearon para crear la apariencia de negocios legítimos.

«Al combinar a una persona estadounidense, una dirección estadounidense y una empresa fachada como Independent Lab, los facilitadores crearon la ilusión de un esfuerzo interno legítimo que permitía a los trabajadores de TI presentarse como residentes de Estados Unidos sin despertar sospechas durante la incorporación o los flujos de trabajo diarios», dijo Barnhart.

«Las empresas pantalla pueden actuar como ese flujo financiero intermedio desde las empresas víctimas de regreso a las unidades de la RPDC, lo que luego impulsa fondos hacia arriba a través del Partido de los Trabajadores de Corea para apoyar cualquier programa con el que estuviera alineada la unidad, ya sea desarrollo de armas o prioridades internas», añadió.

Estas empresas fachada reflejan un mayor nivel de habilidad que explota un punto débil en las evaluaciones de riesgos internos porque las amenazas no siempre son una persona maliciosa que intenta ingresar a una red, dijo Barnhart. «A veces parece como si toda una empresa pareciera limpia sobre el papel».

Las autoridades han respondido al plan de Corea del Norte apuntando a facilitadores con sede en Estados Unidos que proporcionan identidades falsificadas o robadas y granjas de computadoras portátiles para agentes norcoreanos, y confiscando criptomonedas vinculadas al robo.

Los triunfos en materia de aplicación de la ley se están acumulando, pero los investigadores advierten que la operación de Corea del Norte es masiva y evoluciona constantemente.

La sentencia de Kejia Wang y Zhenxing Wang se produce menos de un mes después de que un trío de hombres estadounidenses fueran sentenciados por delitos similares, incluida la operación de granjas de computadoras portátiles, fraude electrónico y robo de identidad.

Los Departamentos de Justicia y del Tesoro también han emitido acusaciones y sancionado a personas y entidades presuntamente involucradas en el esfuerzo de Corea del Norte de enviar miles de profesionales técnicos especializados fuera del país para conseguir empleos bajo falsos pretextos y canalizar sus salarios de regreso a Pyongyang.

Puede leer las acusaciones completas contra Kejia Wang y Zhenxing Wang a continuación.

Se ha observado una «novedosa» campaña de ingeniería social que abusa de Obsidian, una aplicación multiplataforma para tomar notas, como vector de acceso inicial para distribuir un troyano de acceso remoto de Windows previamente indocumentado llamado PHANTOMPULSE en ataques dirigidos a individuos en los sectores financiero y de criptomonedas.

Apodado REF6598 Según Elastic Security Labs, se descubrió que la actividad aprovecha elaboradas tácticas de ingeniería social a través de LinkedIn y Telegram para violar los sistemas Windows y macOS, acercándose a personas potenciales bajo la apariencia de una empresa de capital de riesgo y luego trasladando la conversación a un grupo de Telegram donde están presentes varios supuestos socios.

El chat grupal de Telegram está diseñado para darle a la operación una pizca de credibilidad, y los miembros discuten temas relacionados con servicios financieros y soluciones de liquidez de criptomonedas. Luego se le indica al objetivo que use Obsidian para acceder a lo que parece ser un panel compartido conectándose a un bóveda alojada en la nube utilizando las credenciales que se les proporcionaron.

Es esta bóveda la que desencadena la secuencia de infección. Tan pronto como se abre la bóveda en la aplicación para tomar notas, se solicita al objetivo que habilite la sincronización de «Complementos comunitarios instalados», lo que provoca efectivamente la ejecución de código malicioso.

«Los actores de amenazas abusan del ecosistema legítimo de complementos comunitarios de Obsidian, específicamente el Comandos de shell y Ocultador complementos, para ejecutar código silenciosamente cuando una víctima abre una bóveda en la nube compartida», dijeron los investigadores Salim Bitam, Samir Bousseaden y Daniel Stepanic en un desglose técnico de la campaña.

Dado que la opción está deshabilitada de forma predeterminada y no se puede activar de forma remota, el atacante debe convencer al objetivo de que active manualmente la sincronización del complemento comunitario en su dispositivo para que la configuración de la bóveda maliciosa pueda activar la ejecución de comandos a través del complemento Shell Commands. También se utiliza junto con Shell Commands otro complemento llamado Hider para ocultar ciertos elementos de la interfaz de usuario de Obsidian, como la barra de estado, la barra de desplazamiento, la información sobre herramientas y otros.

«Si bien este ataque requiere ingeniería social para cruzar el límite de sincronización de complementos de la comunidad, la técnica sigue siendo notable: abusa de una característica de aplicación legítima como canal de persistencia y ejecución de comandos, la carga útil reside completamente dentro de archivos de configuración JSON que es poco probable que activen AV tradicionales. [antivirus] firmas y la ejecución se realiza mediante una aplicación Electron confiable y firmada, lo que hace que la detección basada en procesos principales sea la capa crítica», dijeron los investigadores.

Las rutas de ejecución dedicadas se activan según el sistema operativo. En Windows, los comandos se utilizan para invocar un script de PowerShell para colocar un cargador intermedio con nombre en código PHANTOMPULL que descifra e inicia PHANTOMPULSE en la memoria.

PHANTOMPULSE es una puerta trasera generada por inteligencia artificial (IA) que utiliza la cadena de bloques Ethereum para resolver su servidor de comando y control (C2) recuperando el última transacción asociado con un dirección de billetera codificada. Al obtener la dirección C2, el malware utiliza WinHTTP para las comunicaciones, lo que le permite enviar datos de telemetría del sistema, buscar comandos y transmitir los resultados de la ejecución, cargar archivos o capturas de pantalla y capturar pulsaciones de teclas.

Los comandos admitidos están diseñados para facilitar el acceso remoto completo:

• inyectarpara inyectar shellcode/DLL/EXE en el proceso de destino
• gotapara colocar un archivo en el disco y ejecutarlo
• captura de pantallapara capturar y cargar una captura de pantalla
• registro de teclaspara iniciar/detener un registrador de teclas
• desinstalarpara iniciar la eliminación de la persistencia y realizar la limpieza
• elevarpara escalar privilegios al SISTEMA a través del Apodo de elevación COM
• degradarpara realizar la transición de SISTEMA a administrador elevado

En macOS, el complemento Shell Commands ofrece un cuentagotas AppleScript ofuscado que itera sobre una lista de dominios codificada, mientras emplea Telegram como un solucionador de caída para la resolución alternativa C2. Este enfoque también ofrece mayor flexibilidad, ya que permite rotar fácilmente la infraestructura C2, lo que hace que el bloqueo basado en dominios sea insuficiente.

En el paso final, el script dropper se pone en contacto con el dominio C2 para descargar y ejecutar una carga útil de segunda etapa a través de osascript. Se desconoce la naturaleza exacta de esta carga útil, dado que los servidores C2 están actualmente fuera de línea. La intrusión finalmente no tuvo éxito, ya que el ataque fue detectado y bloqueado antes de que el adversario pudiera lograr sus objetivos en la máquina infectada.

«REF6598 demuestra cómo los actores de amenazas continúan encontrando vectores de acceso inicial creativos abusando de aplicaciones confiables y empleando ingeniería social dirigida», dijo Elastic. «Al abusar del ecosistema de complementos de la comunidad de Obsidian en lugar de explotar una vulnerabilidad del software, los atacantes eluden por completo los controles de seguridad tradicionales, confiando en la funcionalidad prevista de la aplicación para ejecutar código arbitrario».

La agencia federal encargada de analizar las vulnerabilidades de seguridad está abrumada mientras ella y otras autoridades luchan por seguir el ritmo de una avalancha de defectos que crece cada año. El Instituto Nacional de Estándares y Tecnología anunció el miércoles que ha capitulado ante ese diluvio y redujo las prioridades para su Base de Datos Nacional de Vulnerabilidad.

NIST dijo que solo dará prioridad al análisis de CVE que aparecen en la Agencia de Seguridad de Infraestructura y Ciberseguridad. catálogo de vulnerabilidades explotadas conocidassoftware utilizado en el gobierno federal y software crítico definido en Orden Ejecutiva 14028.

El objetivo de la agencia federal con el cambio es lograr la sostenibilidad a largo plazo y estabilizar el programa NVD, que ha enfrentado desafíos anteriores, en particular una falta de financiamiento a principios de 2024 que obligó al NIST a dejar de proporcionar metadatos clave para muchas vulnerabilidades en la base de datos temporalmente.

La agencia aún no ha eliminado una acumulación de CVE no enriquecidos que se acumularon durante esa pausa y crecieron desde entonces.

El NIST dijo que analizó casi 42.000 vulnerabilidades el año pasado, y agregó que los envíos de CVE aumentaron un 263% entre 2020 y 2025. «No esperamos que esta tendencia disminuya pronto. Los envíos durante los primeros tres meses de 2026 son casi un tercio más altos que en el mismo período del año pasado», dijo la agencia en una publicación de blog anunciando el cambio.

De hecho, las vulnerabilidades están aumentando en todos los ámbitos. Por ejemplo, Microsoft abordó 165 vulnerabilidades el martes, su segundo mayor lote mensual de defectos registrado.

El NIST dijo que los CVE que no se ajusten a sus criterios más estrictos seguirán figurando en el NVD, pero no se enriquecerán automáticamente con detalles adicionales.

«Esto nos permitirá centrarnos en los CVE con mayor potencial de impacto generalizado», dijo la agencia. «Si bien los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sistémico que aquellos en las categorías priorizadas».

Los investigadores y cazadores de amenazas que analizan vulnerabilidades para las autoridades de numeración CVE (CNA) y los proveedores que publican sus propias evaluaciones ven el nuevo enfoque del NIST como inevitable.

«Tenían que hacer algo. El NIST estaba lamentablemente atrasado en la clasificación de CVE y probablemente nunca se habría puesto al día», dijo a CyberScoop Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro.

«No estoy seguro de si fue una tarea hercúlea o sísifo, pero de cualquier manera, estaban destinados al fracaso según su sistema anterior. Este cambio les permite priorizar su trabajo», añadió.

El nuevo enfoque del NIST afectará a la comunidad de investigación de vulnerabilidad en general, pero también pondrá a más empresas y organizaciones privadas en condiciones de ganar más autoridad a medida que los defensores busquen más fuentes alternativas.

Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, dijo anteriormente a CyberScoop que la priorización sigue siendo un problema, ya que demasiados defensores prestan atención a vulnerabilidades que no merecen su tiempo.

De las más de 40.000 vulnerabilidades recientemente publicadas que VulnCheck catalogó el año pasado, sólo el 1% de esos defectos, sólo 422, fueron explotados en estado salvaje.

El NIST también está tratando de reducir otros esfuerzos engañosos con su nuevo enfoque, apoyándose aún más en las CNA. Los CVE que se presenten con una clasificación de gravedad ya no recibirán una puntuación CVSS separada del NIST, dijo la agencia.

Si bien la agencia sigue siendo la autoridad máxima que proporciona un catálogo de evaluaciones de vulnerabilidad respaldado por el gobierno, reconoció que estos cambios afectarán a sus usuarios.

«Este enfoque basado en el riesgo es necesario para gestionar el aumento actual de presentaciones de CVE mientras trabajamos para alinear nuestros esfuerzos con las necesidades de la comunidad NVD», dijo la agencia. «Al hacer evolucionar el NVD para hacer frente a los desafíos actuales, podemos garantizar que la base de datos siga siendo una fuente de información confiable, sostenible y disponible públicamente sobre las vulnerabilidades de ciberseguridad».

Una falla de seguridad crítica recientemente revelada que afecta a nginx-ui, una herramienta de administración de Nginx de código abierto basada en web, ha sido objeto de explotación activa en la naturaleza.

La vulnerabilidad en cuestión es CVE-2026-33032 (puntuación CVSS: 9,8), una vulnerabilidad de omisión de autenticación que permite a los actores de amenazas tomar el control del servicio Nginx. ha sido nombrado en clave MCPwn por Plutón Seguridad.

«La interfaz de usuario nginx MCP (Protocolo de contexto modelo) expone dos puntos finales HTTP: /mcp y /mcp_message», según un consultivo lanzado por los mantenedores de nginx-ui el mes pasado. «Si bien /mcp requiere tanto la lista blanca de IP como la autenticación (middleware AuthRequired()), el punto final /mcp_message solo aplica la lista blanca de IP, y la lista blanca de IP predeterminada está vacía, lo que el middleware trata como ‘permitir todo’».

«Esto significa que cualquier atacante de red puede invocar todas las herramientas MCP sin autenticación, incluido reiniciar nginx, crear/modificar/eliminar archivos de configuración de nginx y activar recargas automáticas de configuración, logrando la toma completa del servicio nginx».

De acuerdo a Seguridad de Plutón El investigador Yotam Perkal, quien identificó e informó la falla, el ataque puede facilitar una adquisición completa en segundos a través de dos solicitudes:

• Una solicitud HTTP GET al punto final /mcp para establecer una sesión y obtener un ID de sesión.
• Una solicitud HTTP POST al punto final /mcp_message utilizando el ID de sesión para invocar cualquier herramienta MCP sin autenticación

En otras palabras, los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas directamente al punto final «/mcp_message» sin encabezados ni tokens de autenticación.

La explotación exitosa de la falla podría permitirles invocar herramientas MCP, modificar los archivos de configuración de Nginx y recargar el servidor. Además, un atacante podría aprovechar esta laguna para interceptar todo el tráfico y recopilar las credenciales de administrador.

Tras una divulgación responsable, la vulnerabilidad se abordó en versión 2.3.4publicado el 15 de marzo de 2026. Como solución alternativa, se recomienda a los usuarios agregar «middleware.AuthRequired()» al punto final «/mcp_message» para forzar la autenticación. Alternativamente, se recomienda cambiar el comportamiento predeterminado de la lista de direcciones IP permitidas de «permitir todo» a «rechazar todo».

La divulgación se produce como Recorded Future, en un informe. publicado esta semana, enumeró CVE-2026-33032 como una de las 31 vulnerabilidades que han sido explotadas activamente por actores de amenazas en marzo de 2026. Actualmente no hay información sobre la actividad de explotación asociada con la falla de seguridad.

«Cuando se incorpora MCP a una aplicación existente, los puntos finales de MCP heredan todas las capacidades de la aplicación, pero no necesariamente sus controles de seguridad. El resultado es una puerta trasera que evita todos los mecanismos de autenticación con los que se creó cuidadosamente la aplicación», dijo Perkal.

Los datos de Shodan muestran que hay alrededor de 2.689 casos expuestos en Internet, la mayoría de ellos ubicados en China, Estados Unidos, Indonesia, Alemania y Hong Kong.

«Dadas las aproximadamente 2.600 instancias de nginx-ui accesibles públicamente que identificaron nuestros investigadores, el riesgo de implementaciones sin parches es inmediato y real», dijo Pluto a The Hacker News. «Las organizaciones que ejecutan nginx-ui deberían tratar esto como una emergencia: actualizar a la versión 2.3.4 inmediatamente o desactivar la funcionalidad MCP y restringir el acceso a la red como medida provisional».

La noticia de CVE-2026-33032 sigue al descubrimiento de dos fallos de seguridad en el servidor MCP de Atlassian («mcp-atlassian») que podrían encadenarse para lograr la ejecución remota de código. Las fallas, rastreadas como CVE-2026-27825 (CVSS 9.1) y CVE-2026-27826 (CVSS 8.2) y denominadas MCPwnfluence, permiten a cualquier atacante en la misma red local ejecutar código arbitrario en una máquina vulnerable sin requerir ninguna autenticación.

«Al encadenar ambas vulnerabilidades, podemos enviar solicitudes al MCP desde la LAN [local area network]redirige el servidor a la máquina atacante, carga un archivo adjunto y luego recibe un RCE completo no autenticado desde la LAN», Pluto Security dicho.

El año pasado, el director ejecutivo de Nvidia, Jensen Huang, negó repetidamente que China estuviera obteniendo los chips más avanzados de Estados Unidos. «No hay evidencia de ningún desvío de chips de IA», dijo, desestimando tales informes en otra ocasión como «cuentos fantásticos».

Los fiscales federales no estarían de acuerdo. Han acusado a seis hombres durante las últimas tres semanas con el contrabando de chips de IA por valor de miles de millones de dólares a China. Las acusaciones, si bien son una victoria táctica, son una advertencia de cuán generalizado se ha vuelto el problema, gracias tanto a las lagunas en la ley federal como a la falta de apoyo a las leyes existentes con una aplicación seria.

Tanto Washington como Beijing han intentado remodelar las cadenas de suministro de chips de IA para reforzar sus respectivas agendas de seguridad nacional. adelante de una cumbre centrada en el comercio prevista para mayo. Mientras que Estados Unidos tiene impuesto controles de exportación de chips avanzados para interrumpir los esfuerzos de modernización militar de China, China ha empujado sus empresas adopten componentes de producción nacional para asegurar su autosuficiencia.

Pero ninguna de las partes puede evitar por completo la Willie Sutton regla. ¿Por qué contrabandear patatas fritas? Porque ahí es donde están las ganancias, particularmente sin suficientes recursos dedicados a la aplicación de la ley.

Un mercado chino cerrado que busca alternativas más poderosas a sus propios productos ofrece un incentivo principal para que las empresas estadounidenses proporcionen componentes a Beijing. El contrabando también transformado una red emergente de infraestructura de centros de datos en todo el sudeste asiático en una fuente de poder informático ilícito para los adversarios estadounidenses.

Los casos recientes resaltan estas características en detalle. En marzo, los fiscales cargado tres personas se conectaron con Super Micro Computer, una empresa informática estadounidense, con el contrabando de chips por un valor estimado de 2.500 millones de dólares a clientes chinos mediante el envío de servidores a las oficinas de la empresa en Taiwán y otras partes de la región. Mientras tanto, el trío diseñó almacenes llenos de productos falsificados para engañar a las autoridades estadounidenses. Una semana después, los fiscales desvelado cargos contra otras tres personas acusadas de conspirar para enviar chips avanzados a China a través de contactos comerciales en Tailandia.

Esta serie de procesamientos sugiere que, a pesar de algunos éxitos de alto perfil, el contrabando sigue siendo un problema generalizado en toda la industria. Si bien esto es en parte un problema de ignorancia declarada, también puede resolverse con una combinación de políticas, personal y vigilancia.

Estados Unidos debe fortalecer los controles sobre las tecnologías emergentes en las fábricas y no en las puertas del aeropuerto. Si bien Washington tiene fuertes leyes de control de exportaciones, estas regulaciones tienen como objetivo evitar que los componentes salgan del país. Sin embargo, no impiden que las empresas chinas compren estas tecnologías dentro del país.

Esta divergencia de intenciones genera dificultades para el procesamiento, ya que los contrabandistas suelen ser únicamente acusado por evadir la aplicación de la ley de aduanas en lugar de ser acusado de obtener ilícitamente los componentes mientras aún se encontraba en suelo estadounidense. Sin embargo, el Congreso puede cerrar esta laguna mediante leyes de diligencia debida más estrictas que requieran un mayor escrutinio de los clientes potenciales antes del proceso de aplicación de la ley aduanera.

Washington también está en una carrera armamentista con las empresas de inteligencia artificial para financiar adecuadamente los mecanismos de aplicación de la ley, una carrera que actualmente está perdiendo. Si bien un solo caso de contrabando involucró 2.500 millones de dólares, el gasto federal en vigilancia de los controles de exportación ascendido a 122 millones de dólares en todo 2025.

Además, este aumento de la inversión en hardware informático tiene un alcance cada vez más global, aumentador la actual escasez de agentes federales responsables de hacer cumplir los controles de exportación en el momento exacto en que tanto aliados como adversarios buscan comprar lotes cada vez mayores de chips avanzados.

Incluso con políticas más estrictas y más personal, perseguir el contrabando de chips de IA también debe seguir siendo una prioridad policial para las autoridades federales. Si bien estos casos suelen ser complejos debido a una serie de desafíos técnicos y jurisdiccionales, así como a una serie de regímenes cambiantes de control de exportaciones, el FBI y el Departamento de Comercio deben seguir comprometidos a rastrear y desbaratar estas redes de contrabando.

Será clave para la administración separar las acciones de aplicación de sus intercambios diplomáticos en curso con Beijing; la eliminación de los procesamientos internos no debe usarse como moneda de cambio para lograr concesiones comerciales durante los próximos viajes del presidente Donald Trump a Beijing.

Necesitamos una aplicación de la ley más estricta para que el próximo caso de contrabando de miles de millones de dólares marque un progreso real, en lugar de exponer cuánto se escapó.

Jack Burnham es analista de investigación senior en el Programa China de la Fundación para la Defensa de las Democracias, y se centra en el ejército, las tecnologías emergentes y la política científica y tecnológica de China. Sigue a Jack en X@JackBurnham802.

La Agencia de Seguridad de Infraestructura y Ciberseguridad ha informado a los participantes del programa de Becas por Servicio del gobierno federal que ha cancelado los programas de pasantías de verano de este año debido a los problemas de financiación actuales en el Departamento de Seguridad Nacional.

Los correos electrónicos de CISA obtenidos por CyberScoop informaron recientemente a los solicitantes que la agencia no incorporará a ningún pasante de CyberCorps: Beca para Servicio este verano debido a los impactos de la interrupción de los fondos federales y la situación administrativa actual en el DHS. Para algunos solicitantes, los representantes de la agencia reconocieron que las cancelaciones representan un segundo año consecutivo de esfuerzos de colocación interrumpidos.

La Fundación Nacional de Ciencias (NSF) dirige y gestiona el programa, en coordinación con la Oficina de Gestión de Personal (OPM) y el DHS. El programa cubre la matrícula y proporciona estipendios para estudiantes especializados en ciberseguridad e inteligencia artificial. A cambio, los graduados deben realizar una pasantía y posteriormente trabajar en el servicio federal por un período igual a la duración de su beca.

Un funcionario de la OPM dijo a CyberScoop que la agencia está “en contacto activo con todas las agencias del gabinete federal sobre este tema y confiamos en que colocaremos a casi todos los participantes elegibles de la Beca para el Servicio dentro de los próximos dos meses”.

Un portavoz de la NSF declinó hacer comentarios. CISA no respondió a la solicitud de comentarios de CyberScoop.

El cierre repentino de las carteras de agencias pone de relieve cómo los solicitantes de empleo federales se encuentran actualmente atravesando un entorno de contratación paralizado, exacerbado por la agitación presupuestaria en el DHS y las reducciones de fuerza laboral propuestas bajo la administración Trump. El presupuesto fiscal de 2027 de la Casa Blanca recortaría el presupuesto de CISA en $707 millonessegún un resumen publicado a principios de este mes, lo que reduciría profundamente una agencia que ya recibió un gran golpe en el primer año del presidente Donald Trump.

Las fuentes dijeron a CyberScoop el martes que CISA se ha estado comunicando con solicitantes de pasantías que habían participado en una feria laboral virtual celebrada en febrero, donde se les dijo que la agencia tendría 100 puestos de pasantías disponibles. Sin embargo, se advirtió a los solicitantes que la agencia no podría contratar a nadie hasta que recibiera fondos.

Los participantes del programa expresaron su pesar a CyberScoop en noviembre pasado por haber participado en una iniciativa que los vincula a un empleador que actualmente no puede contratarlos. Según se informa, los administradores del programa han aconsejado a los estudiantes que sean creativos en su búsqueda de empleo, una directiva que causó frustración entre los participantes que dependen de los canales de colocación federales estándar.

En respuesta a la creciente acumulación de graduados no colocados, la OPM anunció planes para colaborar con la Fundación Nacional de Ciencias en un aplazamiento masivo. El director de la OPM, Scott Kupor, declaró que el aplazamiento se implementará una vez que se resuelva el cierre del gobierno, lo que brindará a los graduados tiempo adicional para asegurar puestos calificados.

El colapso estructural del proyecto CyberCorps presenta desafíos a largo plazo para la capacidad del gobierno federal de reclutar talento técnico. Se estima que Estados Unidos enfrenta actualmente 500.000 puestos vacantes en ciberseguridad. Históricamente, el programa de becas fue visto como un mecanismo confiable para evitar la competencia salarial del sector privado y asegurar talentos al comienzo de su carrera para el gobierno federal.

legisladores Actualmente están luchando por las facturas. eso pondría fin al cierre del DHS.

Tim Starks contribuyó a esta historia.

El grupo de hackers norcoreano rastreado como APT37 (también conocido como ScarCruft) ha sido atribuido a una nueva campaña de ingeniería social de múltiples etapas en la que actores de amenazas se acercaron a objetivos en Facebook y los agregaron como amigos en la plataforma de redes sociales, convirtiendo el ejercicio de creación de confianza en un canal de entrega para un troyano de acceso remoto llamado RokRAT.

«El actor de amenazas utilizó dos cuentas de Facebook con su ubicación establecida en Pyongyang y Pyongsong, Corea del Norte, para identificar y examinar objetivos», dijo el Centro de Seguridad Genians (GSC) dicho en un desglose técnico de la campaña. «Después de generar confianza a través de solicitudes de amistad, el actor trasladó la conversación a Messenger y utilizó temas específicos para atraer objetivos como parte de la etapa inicial de ingeniería social del ataque».

Un elemento central del ataque es el uso de lo que el GSC describe como pretexto, una táctica en la que los actores de la amenaza pretenden engañar a los usuarios desprevenidos para que instalen un visor de PDF dedicado, alegando que el software era necesario para abrir documentos militares cifrados. El visor de PDF utilizado en la cadena de infección es una versión manipulada de Wondershare PDFelement que, cuando se inicia, desencadena la ejecución de un código shell incrustado que permite a los atacantes obtener un punto de apoyo inicial.

Otro aspecto importante de la campaña es que utiliza infraestructura legítima pero comprometida para comando y control (C2), utilizando como arma el sitio web asociado con el brazo de Seúl de un servicio de información inmobiliaria japonés para emitir comandos y cargas útiles maliciosas. Es más, la carga útil toma la forma de una imagen JPG aparentemente inofensiva para entregar RokRAT.

«Esto se considera una estrategia altamente evasiva que combina la manipulación de software legítimo, el abuso de un sitio web legítimo y el enmascaramiento de extensiones de archivos», dijo el GSC.

En la secuencia de ataque detallada por la compañía de ciberseguridad de Corea del Sur, se descubrió que los actores de amenazas crearon dos cuentas de Facebook, «richardmichael0828» y «johnsonsophia0414», ambas creadas el 10 de noviembre de 2025, y entregaron un archivo ZIP después de mover la conversación a Telegram, con el archivo que contiene la versión troyanizada de Wondershare PDFelement junto con cuatro documentos PDF y un archivo de texto que contiene instrucciones para instalar el programa para ver los archivos PDF.

El código shell cifrado ejecutado después del lanzamiento del instalador manipulado le permite establecer comunicación con el servidor C2 («japanroom[.]com») y descargue una carga útil de segunda etapa, una imagen JPG («1288247428101.jpg») que luego se utiliza para la carga útil final de RokRAT.

El malware, por su parte, abusa de Zoho WorkDrive como C2, una táctica también detallada por Zscaler ThreatLabz en febrero de 2026 como parte de una campaña con nombre en código Ruby Jumper, lo que le permite capturar capturas de pantalla, permitir la ejecución remota de comandos a través de «cmd.exe», recopilar información del host, realizar reconocimiento del sistema y evadir la detección de programas de seguridad como 360 Total Security de Qihoo, mientras disfraza el tráfico malicioso.

«Su funcionalidad principal se ha mantenido relativamente estable y se ha reutilizado repetidamente en múltiples operaciones a lo largo del tiempo», dijo el GSC. «Esto muestra que RokRAT se ha centrado menos en cambiar su funcionalidad principal y más en evolucionar su cadena de entrega, ejecución y evasión».

La inteligencia nacional húngara, la policía nacional de El Salvador y varios departamentos de policía y de aplicación de la ley de Estados Unidos han sido atribuidos al uso de un sistema de vigilancia de geolocalización global basado en publicidad llamado Webloc.

La herramienta fue desarrollada por la empresa israelí Cobwebs Technologies y ahora la vende su sucesor Penlink después de la dos empresas se fusionaron en julio de 2023según un informe publicado por el Laboratorio Ciudadano. Penlink, fundada en 1986, es un proveedor de «software de análisis y recolección de evidencia digital y comunicaciones de misión crítica» para agencias policiales en los EE. UU. y en todo el mundo.

Los clientes estadounidenses de Webloc incluyen el Servicio de Inmigración y Control de Aduanas (ICE), el ejército de EE. UU., el Departamento de Seguridad Pública de Texas, el DHS de Virginia Occidental, los fiscales de distrito de Nueva York y varios departamentos de policía en Los Ángeles, Dallas, Baltimore, Tucson, Durham y en ciudades y condados más pequeños como la ciudad de Elk Grove y el condado de Pinal.

«Webloc se vende como un producto complementario a las redes sociales y al sistema de inteligencia web. Enredos«, dijeron los investigadores de Citizen Lab Wolfie Christl, Astrid Perry, Luis Fernando García, Siena Anstis y Ron Deibert. «Webloc brinda acceso a un flujo constantemente actualizado de registros de hasta 500 millones de dispositivos móviles en todo el mundo que contienen identificadores de dispositivos, coordenadas de ubicación y datos de perfil recopilados de aplicaciones móviles y publicidad digital».

El sistema de vigilancia basado en publicidad, en pocas palabras, hace uso de datos adquiridos desde aplicaciones móviles y publicidad digital analizar los comportamientos y movimientos de cientos de millones de personas. Fue anunciado oficialmente por Cobwebs Technologies en octubre de 2020. describiendo es como un «plataforma de inteligencia de ubicación de vanguardia que recopila y analiza datos web fusionados con puntos de datos geoespaciales, utilizando mapas interactivos en capas para conectar el mundo digital con datos físicos».

Los usuarios de la herramienta pueden utilizarla para monitorear la ubicación, los movimientos y las características personales de poblaciones enteras hasta hace tres años. Según la información disponible En el sitio web de Penlink, Webloc se puede utilizar para «investigar e interpretar datos basados ​​en la ubicación para respaldar sus casos». Webloc también tiene la capacidad de inferir la ubicación a partir de direcciones IP e identificar a las personas detrás de los dispositivos recopilando sus direcciones particulares y lugares de trabajo.

Curiosamente, Cobwebs Technologies estuvo entre los siete cibermercenarios que Meta desplazó de la plataforma en diciembre de 2021 por operar alrededor de 200 cuentas para realizar reconocimientos de objetivos e incluso participar en ingeniería social para unirse a comunidades y foros cerrados y engañar a las personas para que revelen información personal.

El gigante de las redes sociales reveló en ese momento que había identificado clientes de Cobwebs Technologies en Bangladesh, Hong Kong, Estados Unidos, Nueva Zelanda, México, Arabia Saudita y Polonia. «Además de los ataques relacionados con actividades policiales, también observamos ataques frecuentes contra activistas, políticos de oposición y funcionarios gubernamentales en Hong Kong y México», señaló Meta.

Informes de 404 Medios, Forbesy Observador de Texas tener reveló que Webloc se puede utilizar para rastrear teléfonos sin orden judicial, con una aviso de adquisiciones destacando la «capacidad de la herramienta para automatizar y monitorear continuamente identificaciones únicas de publicidad móvil, direcciones IP geolocalizadas y análisis de dispositivos conectados».

Un análisis de registros corporativos y otra información pública ha revelado que Cobwebs Technologies comparte enlaces con el proveedor israelí de software espía Quadream a través de Omri Timianker, fundador y ex presidente de Cobwebs Technologies, quien ahora supervisa las operaciones internacionales de Penlink. Se sospecha que la empresa cerró sus operaciones en 2023.

Hasta 219 servidores activos asociados con Implementaciones de productos Cobwebs se han identificado, la mayoría de los cuales están ubicados en los EE. UU. (126), los Países Bajos (32), Singapur (17), Alemania (8), Hong Kong (8) y el Reino Unido (7). También se han detectado posibles servidores de productos en varios países de África, Asia y Europa.

En respuesta al informe, Penlink dijo que los hallazgos «parecen depender de información inexacta o de un malentendido sobre cómo operamos, incluidas prácticas en las que Penlink no participa después de nuestra adquisición de Cobwebs Technologies en 2023». También dijo que cumple con las leyes de privacidad estatales de EE. UU.

«Nuestra investigación muestra que la vigilancia basada en publicidad intrusiva y legalmente cuestionable (es decir, sin una orden judicial o supervisión adecuada) está siendo utilizada por agencias militares, de inteligencia y de aplicación de la ley, hasta unidades de policía locales en varios países de todo el mundo», dijo Citizen Lab.

Si bien gran parte del debate sobre la seguridad de la IA se centra en la protección del consumo de IA «en la sombra» y GenAI, hay una ventana abierta que nadie está protegiendo: las extensiones de navegador de IA.

A Un nuevo informe de LayerX expone cuán profundo es este punto ciego y por qué las extensiones de IA pueden ser la superficie de amenaza de IA más peligrosa en su red que no está en el radar de nadie.

Las extensiones de navegador de IA no activan su DLP y no aparecen en sus registros de SaaS. Viven dentro del propio navegador, con acceso directo a todo lo que sus empleados ven, escriben y permanecen conectados. Las extensiones de IA tienen un 60% más de probabilidades de tener una vulnerabilidad que las extensiones en promedio, tienen 3 veces más probabilidades de tener acceso a cookies, 2,5 veces más probabilidades de poder ejecutar scripts remotos en el navegador y 6 veces más probabilidades de haber aumentado sus permisos en el último año. Estas extensiones se instalan en segundos y pueden permanecer en su entorno indefinidamente.

La superficie de amenazas de la extensión del navegador es para todos, pero nadie está mirando

El primer concepto erróneo es que las extensiones son un riesgo de nicho. Algo limitado a un subconjunto de usuarios o casos extremos. Esa suposición es completamente errónea.

Según el informe, el 99% de los usuarios empresariales ejecutan al menos una extensión de navegador y más de una cuarta parte tiene más de 10 instaladas. Este no es un problema de cola larga; es universal.

Sin embargo, la mayoría de las organizaciones no pueden responder preguntas básicas. ¿Qué extensiones están en uso? ¿Quién los instaló? ¿Qué permisos tienen? ¿A qué datos pueden acceder?

Los equipos de seguridad han pasado años creando visibilidad de redes, puntos finales e identidades. Irónicamente, las extensiones del navegador siguen siendo un importante punto ciego.

Las extensiones de IA son el canal de consumo de IA del que nadie habla

Si bien gran parte de la conversación actual sobre la seguridad de la IA se centra en las plataformas SaaS y las API, este informe destaca un canal diferente y en gran medida ignorado: las extensiones de navegador de IA.

Estas herramientas se están extendiendo rápidamente. Aproximadamente 1 de cada 6 usuarios empresariales ya utiliza al menos una extensión de IA, y ese número no hace más que crecer.

Las organizaciones pueden bloquear o monitorear el acceso directo a las aplicaciones de IA. Pero las extensiones funcionan de manera diferente. Se encuentran dentro del navegador. Pueden acceder al contenido de la página, a las entradas del usuario y a los datos de la sesión sin activar los controles tradicionales.

De hecho, crean una capa no gobernada de uso de IA, que pasa por alto la visibilidad y la aplicación de políticas.

Las extensiones de IA no solo son populares. Son más riesgosos

Sería fácil suponer que las extensiones de IA conllevan un riesgo similar al de otras extensiones. Los datos muestran lo contrario.

Las extensiones de IA son significativamente más peligrosas. Tienen un 60% más de probabilidades que el promedio de tener un CVE, 3 veces más probabilidades de tener acceso a cookies, 2,5 veces más probabilidades de tener permisos de secuencias de comandos y 2 veces más probabilidades de poder manipular las pestañas del navegador.

Cada uno de estos permisos tiene implicaciones reales. El acceso a las cookies puede exponer los tokens de sesión. Los scripts permiten la extracción y manipulación de datos. El control de pestañas puede facilitar el phishing o la redirección silenciosa.

Esta combinación de adopción rápida, acceso elevado y gobernanza débil hace que las extensiones de IA sean un vector de amenaza emergente urgente.

Las extensiones no son estáticas. Cambian con el tiempo

Los equipos de seguridad suelen tratar las extensiones como estáticas. Algo que se puede aprobar una vez y olvidar. Pero no es así como funciona.

Las extensiones evolucionan. Reciben actualizaciones. Cambian de propietario. Amplian permisos.

El informe muestra que las extensiones de IA tienen casi seis veces más probabilidades de cambiar sus permisos con el tiempo, y que más del 60% de los usuarios tienen al menos una extensión de IA que cambió sus permisos durante el último año.

Esto crea un objetivo en movimiento que las listas permitidas tradicionales no pueden seguir. Una extensión que ayer era segura puede no serlo hoy.

La brecha de confianza en las extensiones del navegador es mayor de lo esperado

Los equipos de seguridad se basan en una variedad de señales de confianza para evaluar las extensiones, incluida la transparencia del editor, el recuento de instalaciones, la frecuencia de actualización y la presencia de una política de privacidad. Si bien estos no indican directamente un comportamiento malicioso, son clave para evaluar el riesgo general.

Una parte importante de las extensiones tiene bases de usuarios muy bajas. Más del 10% de todas las extensiones tienen menos de 1.000 usuarios, una cuarta parte tiene menos de 5.000 usuarios y un tercio tiene menos de 10.000 instalaciones. Esto es particularmente un desafío con las extensiones de IA, donde el 33% de las extensiones de IA tienen menos de 5.000 usuarios, y casi el 50% de las extensiones de IA tienen menos de 10.000 usuarios. Una gran base de usuarios es esencial para establecer una confianza continua, pero una vez más, las extensiones de IA están mostrando un riesgo sustancialmente mayor.

Además, alrededor del 40% de las extensiones no han recibido una actualización en más de un año, lo que sugiere que ya no se mantienen activamente. Las extensiones que no se actualizan periódicamente pueden contener vulnerabilidades no resueltas o código obsoleto que los atacantes aprovechan.

Como resultado, la mayoría de las extensiones utilizadas en entornos empresariales muestran señales débiles o faltantes en estas áreas. Esto plantea serias dudas sobre el manejo y el cumplimiento de los datos. También destaca el poco escrutinio que reciben las extensiones en comparación con otros componentes de software.

Convertir el conocimiento en acción: el camino a seguir para los CISO

El informe describe una dirección clara para los equipos de seguridad:

1. Audite continuamente la superficie de amenazas de extensión de la organización: Dado que el 99 % de los usuarios empresariales ejecutan al menos una extensión, un inventario completo es un primer paso obligatorio hacia la reducción de riesgos. Los CISO deben realizar una auditoría de extensión en toda la organización que cubra todos los navegadores, puntos finales administrados y no administrados, en todos los usuarios.
2. Aplique controles de seguridad específicos a las extensiones de IA: Las extensiones de IA representan un riesgo enorme debido a sus permisos elevados que pueden exponer sesiones de SaaS, identidades y datos confidenciales del navegador. Las organizaciones deberían aplicar políticas de gobernanza más estrictas para controlar cómo estas extensiones interactúan con los entornos empresariales.
3. Analice el comportamiento de las extensiones, no solo los parámetros estáticos: Las aprobaciones estáticas no son suficientes. El riesgo debe evaluarse continuamente en función de los permisos, el comportamiento y los cambios a lo largo del tiempo.
4. Hacer cumplir los requisitos de confianza y transparencia: Las extensiones que tienen un número de instalaciones muy bajo, carecen de políticas de privacidad o muestran un historial de mantenimiento deficiente deben tratarse como de mayor riesgo. Establecer criterios mínimos de confianza ayuda a reducir la exposición a extensiones no verificadas o abandonadas.

Una nueva lente sobre un viejo problema

Durante años, las extensiones del navegador se han tratado como una característica conveniente. Algo que permita la productividad y la personalización. Sin embargo, ya no son un riesgo periférico. Son una parte fundamental de la superficie de ataque empresarial. Ampliamente utilizados, altamente privilegiados y en gran medida no monitoreados, crean exposición directa a datos confidenciales y sesiones de usuarios.

Descargue el informe completo de seguridad de extensiones de LayerX para comprender el alcance completo de estos hallazgos, identificar dónde se encuentra realmente su exposición y obtener un camino claro para controlar esta creciente superficie de ataque sin interrumpir la productividad.