El Instituto Nacional de Estándares y Tecnología (NIST) ha anunciado cambios en la forma en que maneja las vulnerabilidades y exposiciones de ciberseguridad (CVE) enumeradas en su Base de datos nacional de vulnerabilidades (NVD), afirmando que solo enriquecerá aquellas que cumplan ciertas condiciones debido a una explosión en las presentaciones de CVE.

«Los CVE que no cumplan esos criterios seguirán figurando en el NVD, pero no se incluirán automáticamente enriquecido por NIST,» él dicho. «Este cambio está impulsado por un aumento en las presentaciones de CVE, que aumentaron un 263 % entre 2020 y 2025. No esperamos que esta tendencia disminuya pronto».

Los criterios de priorización descritos por el NIST, que entraron en vigor el 15 de abril de 2026, son los siguientes:

• CVE que aparecen en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
• CVE para software utilizado dentro del gobierno federal.
• CVE para software crítico según lo define la Orden Ejecutiva 14028: esto incluye software que está diseñado para ejecutarse con privilegios elevados o privilegios administrados, tiene acceso privilegiado a redes o recursos informáticos, controla el acceso a datos o tecnología operativa y opera fuera de los límites de confianza normales con acceso elevado.

Cualquier envío de CVE que no cumpla con estos umbrales se marcará como «No programado». La idea, dijo el NIST, es centrarse en CVE que tengan el máximo potencial de impacto generalizado.

«Si bien los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sistémico que aquellos en las categorías priorizadas», añadió.

El NIST dijo que las presentaciones de CVE durante los primeros tres meses de 2026 son casi un tercio más altas que el año pasado, y está trabajando más rápido que nunca para enriquecer las presentaciones. También dijo que enriqueció casi 42.000 CVE en 2025, un 45% más que cualquier año anterior.

En los casos en los que un CVE de alto impacto se haya clasificado como no programado, los usuarios tienen la opción de solicitar enriquecimiento enviando un correo electrónico a «nvd@nist[.]gov.»Se espera que el NIST revise esas solicitudes y programe el enriquecimiento de los CVE según corresponda.

También se han instituido cambios para varios otros aspectos de las operaciones de NVD. Estos incluyen –

• El NIST ya no proporcionará de forma rutinaria una puntuación de gravedad separada para un CVE cuando la Autoridad de Numeración de CVE ya haya proporcionado una puntuación de gravedad.
• Un CVE modificado se volverá a analizar sólo si «afecta materialmente» los datos de enriquecimiento. Los usuarios pueden solicitar que se vuelvan a analizar CVE específicos enviando un correo electrónico a la misma dirección indicada anteriormente.
• Todos los CVE no enriquecidos actualmente en cartera con una fecha de publicación de NVD anterior al 1 de marzo de 2026 se trasladarán a la categoría «No programado». Esto no se aplica a los CVE que ya están en el catálogo de KEV.
• NIST ha actualizado el Etiquetas y descripciones de estado CVEasí como el Panel de control NVDpara reflejar con precisión el estado de todos los CVE y otras estadísticas en tiempo real.

«El anuncio del NIST no es una gran sorpresa, dado que previamente han telegrafiado su intención de pasar a un modelo de priorización ‘basado en riesgos’ para el enriquecimiento de CVE», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, en un comunicado compartido con The Hacker News.

«En el lado positivo, el NIST está estableciendo clara y públicamente expectativas para la comunidad en medio de un aumento enorme y creciente de nuevas vulnerabilidades. Por otro lado, una parte significativa de las vulnerabilidades ahora parece no tener un camino claro hacia el enriquecimiento para las organizaciones que dependen del NIST como su fuente autorizada (o única) de datos de enriquecimiento CVE».

Los datos de la empresa de ciberseguridad muestran que todavía quedan aproximadamente 10.000 vulnerabilidades a partir de 2025 sin puntuación CVSS. Se estima que el NIST ha enriquecido 14.000 vulnerabilidades ‘CVE-2025’, lo que representa aproximadamente el 32 % de la población CVE de 2025.

«Este anuncio subraya lo que ya sabemos: ya no vivimos en un mundo donde el enriquecimiento manual de nuevas vulnerabilidades es una estrategia factible o efectiva», dijo Condon.

«Incluso sin que el descubrimiento de vulnerabilidades impulsado por IA acelere el volumen de CVE y los desafíos de validación, el clima de amenazas actual exige inequívocamente enfoques distribuidos y a velocidad de máquina para la identificación y el enriquecimiento de vulnerabilidades, junto con una perspectiva genuinamente global sobre el riesgo que reconozca la naturaleza interconectada e interdependiente del ecosistema de software mundial y los atacantes que lo atacan. Después de todo, lo que no priorizamos para nosotros mismos, los adversarios lo priorizarán para nosotros».

David Lindner, director de seguridad de la información de Contrast Security, dijo que la decisión del NIST de priorizar solo las vulnerabilidades de alto impacto marca el final de una era en la que los defensores podrían aprovechar una única base de datos administrada por el gobierno para evaluar los riesgos de seguridad, lo que obligaría a las organizaciones a adoptar un enfoque proactivo para la gestión de riesgos impulsado por la inteligencia de amenazas.

«Los defensores modernos deben ir más allá del ruido del volumen total de CVE y, en cambio, centrar sus recursos limitados en la lista CISA KEV y las métricas de explotabilidad», dijo Lindner.

«Si bien esta transición puede alterar los flujos de trabajo de auditoría heredados, en última instancia hace que la industria madure al exigir que prioricemos la exposición real sobre la gravedad teórica. Depender de un subconjunto curado de datos procesables es mucho más efectivo para la resiliencia nacional que mantener un archivo completo pero inmanejable de cada error menor».

Un banco aprobó un píxel Taboola. Ese píxel redirigió silenciosamente a los usuarios que iniciaron sesión a un punto final de seguimiento de Temu. Esto ocurrió sin el conocimiento del banco, sin el consentimiento del usuario y sin que un solo control de seguridad registrara una infracción.

Lea el desglose técnico completo en el Resumen de inteligencia de seguridad. Descargar ahora →

El punto ciego del «sesgo del primer salto»

La mayoría de las pilas de seguridad, incluidos WAF, analizadores estáticos y CSP estándar, comparten un modo de falla común: evalúan la origen declarado de un guión, no del destino de tiempo de ejecución de su cadena de solicitudes.

Si sync.taboola.com está en la lista permitida de su Política de seguridad de contenido (CSP), el navegador considera que la solicitud es legítima. Sin embargo, no revalida contra el destino terminal de un redirección 302. Cuando el navegador llega a temu.com, ha heredado la confianza otorgada a Taboola.

El rastro forense

Durante una auditoría realizada en febrero de 2026 de una plataforma financiera europea, Reflectiz identificó la siguiente cadena de redireccionamiento que se ejecuta en páginas de cuentas en las que se ha iniciado sesión:

1. Solicitud inicial: Una solicitud GET a https://sync.taboola.com/sg/temurtbnative-network/1/rtb/.
2. La redirección: El servidor respondió con un 302 encontradoredirigiendo el navegador a https://www.temu.com/api/adx/cm/pixel-taboola?….
3. La carga útil: La redirección incluía el encabezado crítico Access-Control-Allow-Credentials: true.

Este encabezado indica específicamente al navegador que incluya cookies en la solicitud de origen cruzado al dominio de Temu. Este es el mecanismo mediante el cual Temu puede leer o escribir identificadores de seguimiento en un navegador que ahora sabe que visitó una sesión bancaria autenticada.

Por qué las herramientas convencionales no lo lograron

«`html

«`

Las consecuencias regulatorias

Para las entidades reguladas, la ausencia de robo directo de credenciales no limita la exposición al cumplimiento. Nunca se informó a los usuarios que el comportamiento de su sesión bancaria estaría asociado con un perfil de seguimiento de PDD Holdings, una falla de transparencia según el art. 13. El enrutamiento en sí involucra infraestructura en un país no adecuado, y sin Cláusulas Contractuales Estándar que cubran esta relación específica de cuarto partido, la transferencia no está respaldada por el Capítulo V del RGPD. «No sabíamos que el píxel hacía eso» no es una defensa disponible para un controlador de datos según el art. 24.

La exposición al PCI DSS agrava esto. Una cadena de redireccionamiento que termina en un dominio de terceros no previsto queda fuera del alcance de cualquier revisión que evalúe sólo al proveedor principal, que es precisamente lo que Requerido 6.4.3 fue escrito para cerrar.

Inspeccionar el tiempo de ejecución, no sólo las declaraciones

En este momento, la misma configuración de píxeles de Taboola se ejecuta en miles de sitios web. La pregunta no es si se están produciendo cadenas de redireccionamiento como ésta. Ellos son. La pregunta es si su pila de seguridad puede ver más allá del primer salto, o si se detiene en el dominio que usted aprobó y da por terminado.

Para equipos de seguridad: inspeccionar el comportamiento del tiempo de ejecución, no solo las listas de proveedores declaradas.

Para equipos legales y de privacidad: Las cadenas de seguimiento a nivel del navegador en páginas autenticadas garantizan el mismo rigor que las integraciones de backend.

La amenaza entró por la puerta grande. Su CSP lo dejó entrar.

El registro completo de evidencia técnica se encuentra en el Security Intelligence Brief. Descárgalo aquí →

Una empresa se despierta con una noticia que afirma que ha sufrido una importante filtración de datos. Los detalles son específicos, técnicos y convincentes. Pero la infracción no se produjo. Ningún sistema se vio comprometido. No se tomaron datos. Un modelo de lenguaje generó la historia completa, completando detalles plausibles desde cero. Y antes de que la empresa pueda descubrir qué está pasando, un periodista de un medio de renombre retoma la historia y solicita comentarios. En cuestión de horas, la empresa está redactando declaraciones y movilizando a su equipo de comunicaciones para abordar un evento ficticio.

Un segundo incidente comienza con algo real. Años antes, una empresa había sufrido una auténtica infracción que recibió una amplia cobertura mediática. El incidente fue investigado, resuelto y cerrado. Luego, uno de los medios que informó originalmente sobre ello rediseñó su sitio web. Los artículos antiguos recibieron nuevas URL y marcas de tiempo actualizadas, y los motores de búsqueda los volvieron a indexar como contenido nuevo. Los agregadores de noticias impulsados ​​por inteligencia artificial captaron la señal y la marcaron como una historia en desarrollo. La empresa se encontró atendiendo consultas sobre un incidente que se había resuelto años antes.

[Ed. note: The authors are withholding full specifics about the incidents because full disclosure could cause harm, yet CyberScoop confirmed with the authors that the incidents did in fact take place].

Un tercer incidente introduce otra dimensión. Una publicación de ciberseguridad publicó una historia sobre un ataque de compromiso de correo electrónico empresarial que le costó a una empresa del Reino Unido cerca de mil millones de libras. El artículo citado un conocido investigador de seguridadpero en realidad no había hablado con la publicación. AI generó las citas, se las asignó con total confianza y la publicación las publicó como si fueran un hecho.

En conjunto, estos tres casos exponen una amenaza para la que la mayoría de las organizaciones aún no se han preparado. La IA ha desarrollado la capacidad de fabricar incidentes de seguridad convincentes a partir de la nada, con detalles técnicos, fuentes nombradas y credibilidad suficiente para desencadenar respuestas a crisis a gran escala. Cualquier organización que trate esto como un problema distante o teórico corre el riesgo de aprender por las malas cuán rápido la ficción generada por IA puede convertirse en una emergencia del mundo real.

La suposición que ya no se cumple

La respuesta a las crisis cibernéticas siempre se ha basado en una premisa simple: sucede algo real y luego se responde. Esa premisa se está rompiendo. Los sistemas de inteligencia artificial ahora generan, amplifican y validan reclamos antes de que los equipos de seguridad confirmen algo. Una vez que una narrativa ingresa al ecosistema, se puede incorporar a fuentes de inteligencia sobre amenazas, plataformas de calificación de riesgos y flujos de trabajo automatizados. La ficción se convierte en señal.

Para los equipos de seguridad, esto crea una nueva clase de falso positivo. No es una alerta ruidosa de una herramienta mal configurada, sino una narrativa externa completamente formada que parece creíble. Una infracción alucinada puede desencadenar investigaciones internas, escalada ejecutiva y acciones defensivas. El tiempo y los recursos se desvían hacia refutar algo que nunca sucedió.

Peor aún, puede influir en el comportamiento de un atacante real. Los actores de amenazas pueden utilizar como pretexto narrativas inventadas sobre violaciones. Los correos electrónicos de phishing que hacen referencia a un «incidente conocido» se vuelven más creíbles. La suplantación de equipos de TI o de respuesta a incidentes se vuelve más efectiva. La narrativa se convierte en parte de la superficie de ataque.

Qué significa esto para los equipos de seguridad

Los equipos de seguridad están acostumbrados a monitorear indicadores de compromiso. Ahora necesitan monitorear los indicadores de narrativa. Los canales de inteligencia de código abierto están cada vez más automatizados. Si esos oleoductos ingieren información falsa, los sistemas posteriores actuarán en consecuencia. Eso incluye el enriquecimiento de SIEM, la puntuación de riesgos de terceros e incluso decisiones de contención automatizadas en algunos entornos.

La implicación práctica es que los equipos de seguridad necesitan visibilidad de cómo se representa externamente su organización, no solo de lo que sucede internamente. Esta no es una inteligencia de amenazas tradicional, pero se comporta como tal. La detección temprana cambia los resultados.

También es necesaria una mayor integración con las comunicaciones. Cuando surge una narrativa falsa, la realidad técnica y la percepción externa divergen. Ambos deben gestionarse en paralelo.

Qué significa esto para los equipos de comunicaciones

Para los equipos de comunicaciones, el cronograma se ha colapsado. Es posible que la primera señal de una “infracción” no provenga del SOC. Puede provenir de un periodista, un cliente o una alerta automática.

El silencio ya no es neutral. Si existe una narrativa, los sistemas de IA llenarán los vacíos con cualquier información disponible. Eso puede reforzar las imprecisiones con cada iteración. Las respuestas deben diseñarse tanto para el consumo de las máquinas como para las audiencias humanas. Lenguaje claro y declarativo. Hechos comprobables. Declaraciones estructuradas que se pueden analizar y reutilizar fácilmente. El objetivo es establecer una presencia competitiva en la cadena de suministro de información.

La preparación se vuelve crítica. Lenguaje preaprobado que se puede implementar rápidamente. Coordinación establecida con el departamento legal y de seguridad antes de que surja algo.

Implicaciones compartidas

Tanto el equipo de seguridad como el de comunicaciones operan ahora en el mismo entorno, lo reconozcan o no. Una infracción alucinada puede desencadenar una verdadera perturbación operativa. Es posible que se interrumpan las relaciones con los proveedores, que se corten las conexiones con sistemas de terceros, que los reguladores se interesen y que los mercados reaccionen. Nada de eso requiere un compromiso real. Y esto crea un circuito de retroalimentación. Las narrativas externas impulsan las acciones internas. Las acciones internas, si son visibles, refuerzan las narrativas externas.

Romper ese círculo requiere velocidad, coordinación y claridad.

Auditorías de IA como mecanismo de control

Uno de los controles más eficaces en este nuevo entorno es la auditoría sistemática de la IA. Probar periódicamente cómo los sistemas de IA describen su organización, su postura de seguridad y cualquier presunto incidente. Esto proporciona visibilidad de lo que las máquinas «creen» antes de que esa creencia se difunda. Permite a las organizaciones identificar y corregir narrativas falsas de manera temprana, antes de que se propaguen a las herramientas, la toma de decisiones y el comportamiento de los atacantes. También destaca dónde debe existir información precisa. No en cualquier lugar en línea, sino en fuentes que los sistemas de inteligencia artificial priorizan.

El cambio de mentalidad

Esto marca un cambio de la respuesta al incidente a la respuesta narrativa. Los equipos de seguridad deben tratar cada alerta como potencialmente inventada. Los equipos de comunicación deben prepararse para narrativas que se formen independientemente de lo que realmente sucedió. Ambos deben operar con el entendimiento de que la percepción por sí sola puede desencadenar consecuencias reales. En este entorno, la capacidad de detectar y responder a narrativas falsas es tan importante como la capacidad de detectar y responder a violaciones reales.

Mary Catherine Sullivan es directora senior de Ciencia de Datos para Digital & Insights, dentro del segmento de Comunicaciones Estratégicas de FTI. Es líder en comunicaciones y ciencia de datos y se especializa en pruebas de mensajes, investigación de audiencias, análisis de comunicaciones digitales y evaluación de riesgos reputacionales. Como parte del equipo de ciencia de datos de FTI Consulting, desarrolla inteligencia artificial, procesamiento de lenguaje natural, aprendizaje automático y modelos estadísticos de última generación para analizar los ecosistemas de medios, el discurso de las partes interesadas y la respuesta de la audiencia, lo que respalda la toma de decisiones informada y defendible para los clientes que navegan en entornos reputacionales complejos.

Brett Callow es asesor senior en Comunicaciones de Ciberseguridad y Privacidad de Datos en FTI Consulting. Con más de dos décadas de conocimiento de la legislación y las políticas de ciberseguridad y una amplia experiencia en comunicaciones de ciberseguridad, la experiencia de Brett es ampliamente reconocida dentro de la industria, por los responsables políticos y los medios de comunicación. Ha estado involucrado en algunos de los incidentes de ransomware más destacados y ha participado en paneles y debates relacionados con políticas, incluso en la Oficina del Director de Inteligencia Nacional y el Instituto Aspen, y ha formado parte de la Junta Asesora del proyecto Ransomware Harms del Royal United Services Institute.

El director nacional de ciberseguridad, Sean Cairncross, espera más órdenes ejecutivas de la Casa Blanca como parte de la implementación de la estrategia nacional de ciberseguridad, dijo el miércoles.

El personal del Capitolio y otros en el mundo cibernético han estado esperando las directrices de implementación que la administración Trump había proclamado acompañarían a la estrategia publicada el mes pasado.

Cuando se le preguntó en un evento de Semafor si eso incluiría órdenes ejecutivas, Cairncross respondió: «Creo que ese es el caso».

La administración emitió una orden ejecutiva sobre fraude el mismo día que publicó su estrategia cibernética, el 6 de marzo. Parte de esa orden abordaba el delito cibernético.

«Esto está avanzando activamente y se debe esperar que haya más ejecución y acción en línea con nuestros objetivos estratégicos», dijo.

Cairncross citó otra actividad administrativa que encaja en la estrategia, como la primera condena la semana pasada bajo la Ley Take It Down, una ley por la que abogó la primera dama Melania Trump que busca combatir las imágenes sexualmente explícitas no consensuadas generadas por IA, las amenazas violentas y el acoso cibernético.

Se negó a dar una vista previa de cualquier plan de implementación futuro y dijo que esperaba que llegaran “relativamente pronto”.

Una pieza central de la estrategia de la administración es confrontar a los adversarios para asegurarse de que sufran las consecuencias por su piratería de objetivos estadounidenses.

Cairncross no dijo explícitamente si Trump, en su visita a Beijing el próximo mes, abordaría la piratería informática china.

«Cuando comenzamos a ver cosas como el preposicionamiento en infraestructura crítica, es algo que debe abordarse», dijo. Cuando se le preguntó si eso significaba que lo cibernético estaría en la agenda durante la visita, Caincross dijo: «Esperaría que la seguridad del pueblo estadounidense sea lo primero y más importante, como siempre lo es para el presidente».

Cairncross elogió el ingenio estadounidense para producir un modelo de inteligencia artificial como Claude Mythos de Anthropic, en lugar de desarrollarlo bajo la dirección de rivales cibernéticos estadounidenses como China o Rusia. Él informes reconocidos sobre la celebración de reuniones por parte de la administración sobre los riesgos y beneficios cibernéticos de algo como Mythos – “el modelo en este momento del que todo el mundo habla” – y agregó que la administración está buscando equilibrar los peligros y las capacidades positivas de la IA en el ciberespacio.

«Yo diría que desde la perspectiva de la Casa Blanca, estamos trabajando muy estrechamente con la industria», dijo Cairncross. «Hemos estado en estrecha colaboración con las empresas modelo de toda la agencia para asegurarnos de que estamos evaluando y haciendo esto».

OpenAI actualizó sus certificados de seguridad y exige que todos los usuarios de macOS actualicen a las últimas versiones después de determinar que sus productos, junto con muchos otros, eran afectado por una cadena de suministro generalizada ataque que infectó brevemente una popular biblioteca de código abierto a finales de marzo, dijo la compañía en una publicación de blog el viernes.

El proveedor de inteligencia artificial dijo que «no encontró evidencia de que se haya accedido a los datos de los usuarios de OpenAI, de que nuestros sistemas o propiedad intelectual hayan estado comprometidos, o de que nuestro software haya sido alterado».

Sin embargo, debido a que un flujo de trabajo de GitHub que la empresa utiliza para firmar certificados para aplicaciones macOS descargó y ejecutó una versión maliciosa de Axios, la empresa está tratando el certificado que pronto desaparecerá como comprometido.

Un grupo de hackers norcoreano inyectó malware en dos versiones de Axios después de que comprometió la computadora del mantenedor principal a través de ingeniería social y se hizo cargo de sus cuentas de npm y GitHub. Jason Saayman, el principal responsable de mantenimiento de Axios, dijo que las versiones maliciosas del software estuvieron activas durante unas tres horas antes de eliminarlas.

Google Threat Intelligence Group, que rastrea el grupo de amenazas como UNC1069, dijo que el impacto del ataque fue amplio con efectos dominó potencialmente exponiendo otros paquetes populares. Las bibliotecas de JavaScript fluyen hacia el software dependiente a través de más de 100 millones y 83 millones de descargas semanales.

El ataque se descubrió pocas semanas después de que UNC6780, también conocido como TeamPCP, comprometiera una serie de otras herramientas de código abierto, incluido Trivy, lo que resultó en agresivos intentos de extorsión.

OpenAI insiste en que el malware que infectó a Axios no afectó directamente a su certificado, que está diseñado para ayudar a los clientes a confirmar que están descargando software legítimo.

«El certificado de firma presente en este flujo de trabajo probablemente no fue filtrado con éxito por la carga útil maliciosa debido al momento de ejecución de la carga útil, la inyección del certificado en el trabajo, la secuenciación del trabajo en sí y otros factores atenuantes», dijo la compañía en la publicación del blog. «Sin embargo, por precaución, estamos tratando el certificado como comprometido y lo estamos revocando y rotando».

Las versiones anteriores de las aplicaciones macOS de OpenAI pueden perder funcionalidad y ya no serán compatibles cuando el certificado se revoque por completo el 8 de mayo, dijo la compañía.

OpenAI, que contrató a una empresa externa de análisis forense digital y respuesta a incidentes para ayudar en su investigación y respuesta, identificó la causa principal del problema de seguridad en una mala configuración en su flujo de trabajo de GitHub. La compañía dijo que corrigió ese error y trabajó con Apple para garantizar que las aplicaciones fraudulentas que se hacen pasar por OpenAI no puedan usar el certificado afectado.

La ventana de 30 días está diseñada para minimizar las interrupciones para los usuarios, pero OpenAI dijo que acelerará el plazo de revocación si identifica alguna actividad maliciosa. La compañía no respondió de inmediato a una solicitud de comentarios.

La inteligencia nacional húngara, la policía nacional de El Salvador y varios departamentos de policía y de aplicación de la ley de Estados Unidos han sido atribuidos al uso de un sistema de vigilancia de geolocalización global basado en publicidad llamado Webloc.

La herramienta fue desarrollada por la empresa israelí Cobwebs Technologies y ahora la vende su sucesor Penlink después de la dos empresas se fusionaron en julio de 2023según un informe publicado por el Laboratorio Ciudadano. Penlink, fundada en 1986, es un proveedor de «software de análisis y recolección de evidencia digital y comunicaciones de misión crítica» para agencias policiales en los EE. UU. y en todo el mundo.

Los clientes estadounidenses de Webloc incluyen el Servicio de Inmigración y Control de Aduanas (ICE), el ejército de EE. UU., el Departamento de Seguridad Pública de Texas, el DHS de Virginia Occidental, los fiscales de distrito de Nueva York y varios departamentos de policía en Los Ángeles, Dallas, Baltimore, Tucson, Durham y en ciudades y condados más pequeños como la ciudad de Elk Grove y el condado de Pinal.

«Webloc se vende como un producto complementario a las redes sociales y al sistema de inteligencia web. Enredos«, dijeron los investigadores de Citizen Lab Wolfie Christl, Astrid Perry, Luis Fernando García, Siena Anstis y Ron Deibert. «Webloc brinda acceso a un flujo constantemente actualizado de registros de hasta 500 millones de dispositivos móviles en todo el mundo que contienen identificadores de dispositivos, coordenadas de ubicación y datos de perfil recopilados de aplicaciones móviles y publicidad digital».

El sistema de vigilancia basado en publicidad, en pocas palabras, hace uso de datos adquiridos desde aplicaciones móviles y publicidad digital analizar los comportamientos y movimientos de cientos de millones de personas. Fue anunciado oficialmente por Cobwebs Technologies en octubre de 2020. describiendo es como un «plataforma de inteligencia de ubicación de vanguardia que recopila y analiza datos web fusionados con puntos de datos geoespaciales, utilizando mapas interactivos en capas para conectar el mundo digital con datos físicos».

Los usuarios de la herramienta pueden utilizarla para monitorear la ubicación, los movimientos y las características personales de poblaciones enteras hasta hace tres años. Según la información disponible En el sitio web de Penlink, Webloc se puede utilizar para «investigar e interpretar datos basados ​​en la ubicación para respaldar sus casos». Webloc también tiene la capacidad de inferir la ubicación a partir de direcciones IP e identificar a las personas detrás de los dispositivos recopilando sus direcciones particulares y lugares de trabajo.

Curiosamente, Cobwebs Technologies estuvo entre los siete cibermercenarios que Meta desplazó de la plataforma en diciembre de 2021 por operar alrededor de 200 cuentas para realizar reconocimientos de objetivos e incluso participar en ingeniería social para unirse a comunidades y foros cerrados y engañar a las personas para que revelen información personal.

El gigante de las redes sociales reveló en ese momento que había identificado clientes de Cobwebs Technologies en Bangladesh, Hong Kong, Estados Unidos, Nueva Zelanda, México, Arabia Saudita y Polonia. «Además de los ataques relacionados con actividades policiales, también observamos ataques frecuentes contra activistas, políticos de oposición y funcionarios gubernamentales en Hong Kong y México», señaló Meta.

Informes de 404 Medios, Forbesy Observador de Texas tener reveló que Webloc se puede utilizar para rastrear teléfonos sin orden judicial, con una aviso de adquisiciones destacando la «capacidad de la herramienta para automatizar y monitorear continuamente identificaciones únicas de publicidad móvil, direcciones IP geolocalizadas y análisis de dispositivos conectados».

Un análisis de registros corporativos y otra información pública ha revelado que Cobwebs Technologies comparte enlaces con el proveedor israelí de software espía Quadream a través de Omri Timianker, fundador y ex presidente de Cobwebs Technologies, quien ahora supervisa las operaciones internacionales de Penlink. Se sospecha que la empresa cerró sus operaciones en 2023.

Hasta 219 servidores activos asociados con Implementaciones de productos Cobwebs se han identificado, la mayoría de los cuales están ubicados en los EE. UU. (126), los Países Bajos (32), Singapur (17), Alemania (8), Hong Kong (8) y el Reino Unido (7). También se han detectado posibles servidores de productos en varios países de África, Asia y Europa.

En respuesta al informe, Penlink dijo que los hallazgos «parecen depender de información inexacta o de un malentendido sobre cómo operamos, incluidas prácticas en las que Penlink no participa después de nuestra adquisición de Cobwebs Technologies en 2023». También dijo que cumple con las leyes de privacidad estatales de EE. UU.

«Nuestra investigación muestra que la vigilancia basada en publicidad intrusiva y legalmente cuestionable (es decir, sin una orden judicial o supervisión adecuada) está siendo utilizada por agencias militares, de inteligencia y de aplicación de la ley, hasta unidades de policía locales en varios países de todo el mundo», dijo Citizen Lab.

Una vulnerabilidad de seguridad crítica en marimoun cuaderno Python de código abierto para análisis y ciencia de datos, ha sido explotado dentro de las 10 horas posteriores a su divulgación pública, según recomendaciones de Sysdig.

La vulnerabilidad en cuestión es CVE-2026-39987 (Puntuación CVSS: 9,3), una vulnerabilidad de ejecución remota de código previamente autenticada que afecta a todas las versiones de Marimo anteriores a la 0.20.4 incluida. La cuestión ha sido abordada en versión 0.23.0.

«El terminal WebSocket /terminal/ws carece de validación de autenticación, lo que permite a un atacante no autenticado obtener un shell PTY completo y ejecutar comandos arbitrarios del sistema», mantuvieron Marimo. dicho en un aviso a principios de esta semana.

«A diferencia de otros puntos finales de WebSocket (por ejemplo, /ws) que llaman correctamente a validar_auth() para la autenticación, el punto final /terminal/ws solo verifica el modo de ejecución y el soporte de la plataforma antes de aceptar conexiones, omitiendo por completo la verificación de autenticación».

En otras palabras, los atacantes pueden obtener un shell interactivo completo en cualquier instancia de Marimo expuesta a través de una única conexión WebSocket sin necesidad de credenciales.

Sysdig dijo que observó el primer intento de explotación dirigido a la vulnerabilidad dentro de las 9 horas y 41 minutos de su divulgación pública, con una operación de robo de credenciales ejecutada en minutos, a pesar de que no había ningún código de prueba de concepto (PoC) disponible en ese momento.

Se dice que el actor de amenazas desconocido detrás de la actividad se conectó al punto final /terminal/ws WebSocket en un sistema honeypot e inició un reconocimiento manual para explorar el sistema de archivos y, minutos más tarde, intentó recolectar sistemáticamente datos del archivo .env, así como buscar claves SSH y leer varios archivos.

El atacante regresó al honeypot una hora más tarde para acceder al contenido del archivo .env y verificar si otros actores de amenazas estaban activos durante el período de tiempo. No se instalaron otras cargas útiles, como mineros de criptomonedas o puertas traseras.

«El atacante creó un exploit funcional directamente a partir de la descripción del aviso, se conectó al terminal no autenticado y comenzó a explorar manualmente el entorno comprometido», dijo la compañía de seguridad en la nube. «El atacante se conectó cuatro veces durante 90 minutos, con pausas entre sesiones. Esto es consistente con un operador humano que trabaja en una lista de objetivos y regresa para confirmar los hallazgos».

La velocidad a la que se están utilizando como arma las fallas recientemente reveladas indica que los actores de amenazas están vigilando de cerca las revelaciones de vulnerabilidades y explotándolas rápidamente durante el tiempo entre la divulgación y la adopción del parche. Esto, a su vez, ha reducido el tiempo que los defensores deben responder una vez que se anuncia públicamente una vulnerabilidad.

«La suposición de que los atacantes sólo apuntan a plataformas ampliamente implementadas es errónea. Cualquier aplicación orientada a Internet con un aviso crítico es un objetivo, independientemente de su popularidad».

Si bien gran parte del debate sobre la seguridad de la IA se centra en la protección del consumo de IA «en la sombra» y GenAI, hay una ventana abierta que nadie está protegiendo: las extensiones de navegador de IA.

A Un nuevo informe de LayerX expone cuán profundo es este punto ciego y por qué las extensiones de IA pueden ser la superficie de amenaza de IA más peligrosa en su red que no está en el radar de nadie.

Las extensiones de navegador de IA no activan su DLP y no aparecen en sus registros de SaaS. Viven dentro del propio navegador, con acceso directo a todo lo que sus empleados ven, escriben y permanecen conectados. Las extensiones de IA tienen un 60% más de probabilidades de tener una vulnerabilidad que las extensiones en promedio, tienen 3 veces más probabilidades de tener acceso a cookies, 2,5 veces más probabilidades de poder ejecutar scripts remotos en el navegador y 6 veces más probabilidades de haber aumentado sus permisos en el último año. Estas extensiones se instalan en segundos y pueden permanecer en su entorno indefinidamente.

La superficie de amenazas de la extensión del navegador es para todos, pero nadie está mirando

El primer concepto erróneo es que las extensiones son un riesgo de nicho. Algo limitado a un subconjunto de usuarios o casos extremos. Esa suposición es completamente errónea.

Según el informe, el 99% de los usuarios empresariales ejecutan al menos una extensión de navegador y más de una cuarta parte tiene más de 10 instaladas. Este no es un problema de cola larga; es universal.

Sin embargo, la mayoría de las organizaciones no pueden responder preguntas básicas. ¿Qué extensiones están en uso? ¿Quién los instaló? ¿Qué permisos tienen? ¿A qué datos pueden acceder?

Los equipos de seguridad han pasado años creando visibilidad de redes, puntos finales e identidades. Irónicamente, las extensiones del navegador siguen siendo un importante punto ciego.

Las extensiones de IA son el canal de consumo de IA del que nadie habla

Si bien gran parte de la conversación actual sobre la seguridad de la IA se centra en las plataformas SaaS y las API, este informe destaca un canal diferente y en gran medida ignorado: las extensiones de navegador de IA.

Estas herramientas se están extendiendo rápidamente. Aproximadamente 1 de cada 6 usuarios empresariales ya utiliza al menos una extensión de IA, y ese número no hace más que crecer.

Las organizaciones pueden bloquear o monitorear el acceso directo a las aplicaciones de IA. Pero las extensiones funcionan de manera diferente. Se encuentran dentro del navegador. Pueden acceder al contenido de la página, a las entradas del usuario y a los datos de la sesión sin activar los controles tradicionales.

De hecho, crean una capa no gobernada de uso de IA, que pasa por alto la visibilidad y la aplicación de políticas.

Las extensiones de IA no solo son populares. Son más riesgosos

Sería fácil suponer que las extensiones de IA conllevan un riesgo similar al de otras extensiones. Los datos muestran lo contrario.

Las extensiones de IA son significativamente más peligrosas. Tienen un 60% más de probabilidades que el promedio de tener un CVE, 3 veces más probabilidades de tener acceso a cookies, 2,5 veces más probabilidades de tener permisos de secuencias de comandos y 2 veces más probabilidades de poder manipular las pestañas del navegador.

Cada uno de estos permisos tiene implicaciones reales. El acceso a las cookies puede exponer los tokens de sesión. Los scripts permiten la extracción y manipulación de datos. El control de pestañas puede facilitar el phishing o la redirección silenciosa.

Esta combinación de adopción rápida, acceso elevado y gobernanza débil hace que las extensiones de IA sean un vector de amenaza emergente urgente.

Las extensiones no son estáticas. Cambian con el tiempo

Los equipos de seguridad suelen tratar las extensiones como estáticas. Algo que se puede aprobar una vez y olvidar. Pero no es así como funciona.

Las extensiones evolucionan. Reciben actualizaciones. Cambian de propietario. Amplian permisos.

El informe muestra que las extensiones de IA tienen casi seis veces más probabilidades de cambiar sus permisos con el tiempo, y que más del 60% de los usuarios tienen al menos una extensión de IA que cambió sus permisos durante el último año.

Esto crea un objetivo en movimiento que las listas permitidas tradicionales no pueden seguir. Una extensión que ayer era segura puede no serlo hoy.

La brecha de confianza en las extensiones del navegador es mayor de lo esperado

Los equipos de seguridad se basan en una variedad de señales de confianza para evaluar las extensiones, incluida la transparencia del editor, el recuento de instalaciones, la frecuencia de actualización y la presencia de una política de privacidad. Si bien estos no indican directamente un comportamiento malicioso, son clave para evaluar el riesgo general.

Una parte importante de las extensiones tiene bases de usuarios muy bajas. Más del 10% de todas las extensiones tienen menos de 1.000 usuarios, una cuarta parte tiene menos de 5.000 usuarios y un tercio tiene menos de 10.000 instalaciones. Esto es particularmente un desafío con las extensiones de IA, donde el 33% de las extensiones de IA tienen menos de 5.000 usuarios, y casi el 50% de las extensiones de IA tienen menos de 10.000 usuarios. Una gran base de usuarios es esencial para establecer una confianza continua, pero una vez más, las extensiones de IA están mostrando un riesgo sustancialmente mayor.

Además, alrededor del 40% de las extensiones no han recibido una actualización en más de un año, lo que sugiere que ya no se mantienen activamente. Las extensiones que no se actualizan periódicamente pueden contener vulnerabilidades no resueltas o código obsoleto que los atacantes aprovechan.

Como resultado, la mayoría de las extensiones utilizadas en entornos empresariales muestran señales débiles o faltantes en estas áreas. Esto plantea serias dudas sobre el manejo y el cumplimiento de los datos. También destaca el poco escrutinio que reciben las extensiones en comparación con otros componentes de software.

Convertir el conocimiento en acción: el camino a seguir para los CISO

El informe describe una dirección clara para los equipos de seguridad:

1. Audite continuamente la superficie de amenazas de extensión de la organización: Dado que el 99 % de los usuarios empresariales ejecutan al menos una extensión, un inventario completo es un primer paso obligatorio hacia la reducción de riesgos. Los CISO deben realizar una auditoría de extensión en toda la organización que cubra todos los navegadores, puntos finales administrados y no administrados, en todos los usuarios.
2. Aplique controles de seguridad específicos a las extensiones de IA: Las extensiones de IA representan un riesgo enorme debido a sus permisos elevados que pueden exponer sesiones de SaaS, identidades y datos confidenciales del navegador. Las organizaciones deberían aplicar políticas de gobernanza más estrictas para controlar cómo estas extensiones interactúan con los entornos empresariales.
3. Analice el comportamiento de las extensiones, no solo los parámetros estáticos: Las aprobaciones estáticas no son suficientes. El riesgo debe evaluarse continuamente en función de los permisos, el comportamiento y los cambios a lo largo del tiempo.
4. Hacer cumplir los requisitos de confianza y transparencia: Las extensiones que tienen un número de instalaciones muy bajo, carecen de políticas de privacidad o muestran un historial de mantenimiento deficiente deben tratarse como de mayor riesgo. Establecer criterios mínimos de confianza ayuda a reducir la exposición a extensiones no verificadas o abandonadas.

Una nueva lente sobre un viejo problema

Durante años, las extensiones del navegador se han tratado como una característica conveniente. Algo que permita la productividad y la personalización. Sin embargo, ya no son un riesgo periférico. Son una parte fundamental de la superficie de ataque empresarial. Ampliamente utilizados, altamente privilegiados y en gran medida no monitoreados, crean exposición directa a datos confidenciales y sesiones de usuarios.

Descargue el informe completo de seguridad de extensiones de LayerX para comprender el alcance completo de estos hallazgos, identificar dónde se encuentra realmente su exposición y obtener un camino claro para controlar esta creciente superficie de ataque sin interrumpir la productividad.

A medida que las herramientas de IA se vuelven más accesibles, los empleados las adoptan sin la aprobación formal de los equipos de seguridad y TI. Si bien estas herramientas pueden aumentar la productividad, automatizar tareas o llenar vacíos en los flujos de trabajo existentes, también operan fuera de la visibilidad de los equipos de seguridad, eludiendo los controles y creando nuevos puntos ciegos en lo que se conoce como IA en la sombra. Si bien es similar al fenómeno de la TI en la sombra, la IA en la sombra va más allá del software no aprobado al involucrar sistemas que procesan, generan y potencialmente retienen datos confidenciales. El resultado es una categoría de riesgo que la mayoría de las organizaciones aún no están preparadas para gestionar: exposición incontrolada de datos, superficies de ataque ampliadas y seguridad de identidad debilitada.

¿Por qué la IA en la sombra se está extendiendo tan rápidamente?

La IA en la sombra se está expandiendo rápidamente en todas las organizaciones porque es fácil de adoptar y útil al instante, aunque en gran medida no está regulada. A diferencia del software empresarial tradicional, la mayoría de las herramientas de inteligencia artificial requieren poca o ninguna configuración, lo que permite a los empleados comenzar a utilizarlas de inmediato. Según un 2024 fuerza de ventas En la encuesta, el 55 % de los empleados informaron que utilizaban herramientas de inteligencia artificial que no habían sido aprobadas por su organización. Dado que muchas organizaciones carecen de políticas claras de uso de la IA, los empleados deben decidir por sí mismos qué herramientas usar y cómo usarlas, a menudo sin comprender las implicaciones de seguridad.

Los empleados pueden utilizar herramientas de IA generativa como ChatGPT o Claude en los flujos de trabajo cotidianos y, si bien esto puede mejorar la productividad, puede dar lugar a que datos confidenciales se compartan externamente sin supervisión. El hecho de que el proveedor de IA utilice o no esos datos para la capacitación del modelo depende de la plataforma y el tipo de cuenta, pero en cualquier caso, los datos han salido de los límites de seguridad de la organización.

A nivel de departamento, la IA en la sombra puede aparecer cuando los equipos integran API de IA o modelos de terceros en aplicaciones sin una revisión de seguridad formal. Estas integraciones pueden exponer datos internos e introducir nuevos vectores de ataque que los equipos de seguridad no pueden ver ni controlar. En lugar de intentar eliminar por completo la IA en la sombra, las organizaciones deben gestionar activamente los riesgos que crea.

Cómo la IA en la sombra es un problema de seguridad

La IA en la sombra a menudo se plantea como una cuestión de gobernanza, pero en esencia es un problema de seguridad. A diferencia de la TI en la sombra tradicional, donde los empleados adoptan software no aprobado, la IA en la sombra implica sistemas que procesan y almacenan datos activamente más allá del alcance de los equipos de seguridad, lo que convierte el uso no autorizado de la IA en un riesgo más amplio de exposición a los datos y uso indebido del acceso.

La IA en la sombra puede provocar fugas de datos imposibles de rastrear

Los empleados pueden compartir datos de clientes, información financiera o documentos comerciales internos con herramientas de inteligencia artificial para completar tareas de manera más eficiente. Los desarrolladores que solucionan problemas de código pueden pegar sin darse cuenta scripts que contienen claves API codificadas, credenciales de bases de datos o tokens de acceso, exponiendo credenciales confidenciales sin darse cuenta. Una vez que los datos llegan a una plataforma de inteligencia artificial de terceros, las organizaciones pierden visibilidad de cómo se almacenan o utilizan. Como resultado, los datos pueden dejar a una organización sin un rastro de auditoría, lo que hace difícil, si no imposible, rastrear o contener una infracción. Según el RGPD y la HIPAA, este tipo de transferencia de datos incontrolada puede constituir una infracción denunciable.

Shadow AI expande rápidamente la superficie de ataque

Cada herramienta de IA crea un nuevo vector de ataque potencial para los ciberdelincuentes. Cuando se adoptan herramientas no aprobadas sin supervisión, pueden incluir API o complementos no aprobados que son inseguros o maliciosos. Los empleados que acceden a las plataformas de IA a través de cuentas o dispositivos personales colocan esa actividad completamente fuera de los controles de seguridad de la organización, y el monitoreo de red tradicional no puede verla. A medida que las organizaciones comienzan a implementar agentes de IA que operan de forma autónoma dentro de los flujos de trabajo, el riesgo se vuelve aún más grave. Estos sistemas interactúan con múltiples aplicaciones y plataformas, creando vías complejas y en gran medida ocultas que los ciberdelincuentes pueden aprovechar.

Shadow AI elude los controles de seguridad tradicionales

Los controles de seguridad tradicionales no se crearon para manejar el uso actual de la IA. La mayoría de las plataformas de IA operan a través de HTTPS, lo que significa que las reglas de firewall estándar y el monitoreo de red no pueden inspeccionar el contenido de esas interacciones sin una inspección SSL, un control que muchas organizaciones no han implementado. Las interfaces de IA conversacional tampoco se comportan como aplicaciones tradicionales, lo que dificulta que las herramientas de seguridad monitoreen o registren la actividad. Debido a esto, los datos se pueden compartir con sistemas de inteligencia artificial externos sin activar ninguna alerta.

La IA en la sombra afecta la seguridad de la identidad

Shadow AI presenta serios desafíos en la gestión de identidades y accesos (IAM). Por ejemplo, los empleados pueden crear varias cuentas en plataformas de inteligencia artificial, lo que genera identidades fragmentadas y no administradas. Los desarrolladores pueden incluso conectar herramientas de inteligencia artificial a sistemas mediante cuentas de servicio, creando Identidades no humanas (NHI) sin una supervisión adecuada. Si las organizaciones carecen de una gobernanza centralizada, estas identidades pueden quedar mal monitoreadas y ser difíciles de gestionar durante todo su ciclo de vida, lo que aumenta el riesgo de acceso no autorizado y exposición a largo plazo.

Cómo las organizaciones pueden reducir el riesgo de la IA en la sombra

A medida que la IA se integra más en los flujos de trabajo diarios, las organizaciones deben apuntar a reducir el riesgo y al mismo tiempo permitir un uso seguro y productivo. Esto requiere que los equipos de seguridad pasen de bloquear por completo las herramientas de inteligencia artificial a administrar cómo se utilizan en el lugar de trabajo, enfatizando la visibilidad y el comportamiento del usuario. Las organizaciones pueden reducir el riesgo de la IA en la sombra siguiendo estos pasos:

• Establezca políticas claras de uso de IA: Defina qué herramientas de IA están permitidas y qué datos se pueden compartir. Las políticas de seguridad deben ser fáciles de seguir e intuitivas, ya que las reglas demasiado restrictivas sólo empujarán a los empleados a utilizar herramientas no autorizadas.
• Proporcionar alternativas de IA aprobadas: Cuando los empleados no tienen acceso a herramientas útiles, es más probable que encuentren las suyas propias. Ofrecer soluciones de IA seguras y aprobadas que cumplan con los estándares organizacionales reduce la necesidad de IA en la sombra.
• Mejore la visibilidad de los patrones de uso de la IA: Si bien no siempre es posible una visibilidad total, las organizaciones deben monitorear el tráfico de la red, el acceso privilegiado y la actividad de API para comprender mejor cómo los empleados usan la IA.
• Educar a los empleados sobre los riesgos de seguridad de la IA: Muchos empleados se centran únicamente en las ventajas de productividad de las herramientas de inteligencia artificial en lugar de en los riesgos de seguridad. Proporcionar capacitación sobre el uso seguro de la IA y el manejo de datos puede reducir drásticamente la exposición involuntaria.

Beneficios de gestionar eficazmente la IA en la sombra

Las organizaciones que gestionen proactivamente la IA en la sombra obtendrán un mayor control sobre cómo se utiliza la IA en sus entornos. La gestión eficaz de la IA en la sombra proporciona varios beneficios, entre ellos:

• Visibilidad total de qué herramientas de IA están en uso y a qué datos acceden
• Reducción de la exposición regulatoria en marcos como GDPR, HIPAA y la Ley de IA de la UE
• Adopción de IA más rápida y segura con herramientas examinadas y directrices exhaustivas
• Mayor adopción de herramientas de IA aprobadas, lo que reduce la dependencia de alternativas inseguras

La seguridad debe tener en cuenta la IA en la sombra

La adopción de la IA se está normalizando en el lugar de trabajo y los empleados seguirán buscando herramientas que les ayuden a trabajar más rápido. Dado lo fácil que es acceder a las herramientas de IA y cuán rara vez las políticas de uso siguen el ritmo de la adopción, es inevitable cierto grado de IA en la sombra en cualquier organización grande. En lugar de intentar bloquear por completo las herramientas de IA, las organizaciones deberían centrarse en permitir su uso seguro mejorando la visibilidad de la actividad de la IA y garantizando que tanto las identidades humanas como las de las máquinas estén gobernadas adecuadamente.

guardián® respalda este enfoque directamente, ayudando a las organizaciones a controlar el acceso privilegiado a los sistemas con los que interactúan las herramientas de IA, imponer el acceso con privilegios mínimos para todas las identidades, incluidos los usuarios humanos y los agentes de IA, y mantener un seguimiento de auditoría completo de la actividad en toda la infraestructura crítica. A medida que los agentes de IA se vuelven más frecuentes en los flujos de trabajo empresariales, gobernar las identidades y las rutas de acceso de las que dependen se vuelve tan importante como gobernar las herramientas mismas.

Nota: Este artículo fue escrito cuidadosamente y contribuido para nuestra audiencia por Ashley D’Andrea, redactora de contenido de Keeper Security.

El ciberdelito sigue siendo un negocio en auge.

Las pérdidas anuales por delitos cibernéticos ascendieron a casi 20.900 millones de dólares el año pasado, lo que refleja un aumento del 26% desde 2024, dijo el Centro de Quejas de Delitos en Internet (IC3) del FBI en su informe. informe anual Martes.

El estudio exhaustivo expone un entorno de delincuencia digital que empeora y que está generando pérdidas financieras, con un impulso que avanza en la dirección equivocada y se agrava a un ritmo alarmante. Las pérdidas anuales por delitos cibernéticos han aumentado casi un 400% desde los 4.200 millones de dólares en 2020, y las pérdidas acumuladas en ese período de cinco años superaron los 71.300 millones de dólares.

El IC3 del FBI, que se formó como el centro central del país para informar sobre delitos cibernéticos en 2000, está más ocupado que nunca. «Ahora tenemos un promedio de casi 3.000 quejas por día», escribió en el informe José Pérez, director de operaciones del FBI para su rama criminal y cibernética.

El informe anual sobre delitos en Internet destaca tendencias crecientes y sostenidas. Sin embargo, el alcance del estudio es limitado y se basa enteramente en incidentes de delitos cibernéticos presentados al FBI.

El impacto total del delito cibernético sigue siendo turbio, ya que un número desconocido de víctimas sufren en las sombras y nunca denuncian los delitos que sufren.

El FBI recibió más de 1 millón de quejas el año pasado, y las víctimas mayores de 60 años reportaron la mayor cantidad de delitos que también resultaron en la mayor cantidad de pérdidas totales por grupo de edad. Las víctimas de al menos 60 años presentaron 201.000 quejas con pérdidas por un total de casi 7.750 millones de dólares, o alrededor del 37% de todas las pérdidas relacionadas con los delitos cibernéticos el año pasado.

El fraude relacionado con inversiones siguió siendo el mayor componente de las pérdidas por delitos cibernéticos en 2025, alcanzando casi 8.650 millones de dólares. Las amenazas de correo electrónico empresarial ocuparon el segundo lugar con casi 3.050 millones de dólares en pérdidas, seguidas por las estafas de soporte técnico con más de 2.100 millones de dólares.

Según el informe, las criptomonedas fueron el principal conducto para el fraude relacionado con estafas de inversión y soporte técnico el año pasado, mientras que las transferencias electrónicas constituyeron la mayor parte del fraude resultante de la vulneración del correo electrónico empresarial.

El phishing fue el tipo de delito cibernético más comúnmente denunciado el año pasado, seguido de la extorsión, las estafas de inversión y las violaciones de datos personales. El FBI contabilizó pérdidas por valor de 122,5 millones de dólares por extorsión y 32,3 millones de dólares por ransomware el año pasado.

El FBI también recibió más de 75.000 informes de sextorsión el año pasado, incluidas más de 5.700 presentaciones que fueron remitidas al Centro Nacional para Niños Desaparecidos y Explotados.

Las cinco principales amenazas cibernéticas reportadas a IC3 en 2025 incluyeron violaciones de datos con un 39%, ransomware con un 36%, intercambio de SIM con un 10%, malware con un 9% y botnets con un 7%.

El FBI recibió más de 3.600 quejas sobre ransomware el año pasado. Las cinco variantes más reportadas incluyeron Akira, Qilin, INC, BianLian y Play.

Cada uno de los 16 sectores de infraestructura crítica reportaron ataques de ransomware el año pasado, y los más atacados incluyeron atención médica, manufactura, servicios financieros, gobierno y TI.

El IC3 recibe principalmente quejas de residentes y empresas estadounidenses, pero también recibió quejas de más de 200 países el año pasado, lo que representó casi 1.600 millones de dólares en pérdidas totales.

Si bien las pérdidas y la gran cantidad de delitos cibernéticos continuaron aumentando el año pasado, “el FBI continúa perturbando y disuadiendo a los actores cibernéticos maliciosos y trasladando el costo de las víctimas a nuestros adversarios”, escribió Pérez en el informe.

«Nunca ha sido más importante ser diligente con la ciberseguridad, la huella en las redes sociales y las interacciones electrónicas», añadió. «Las amenazas cibernéticas y los delitos cibernéticos seguirán evolucionando a medida que el mundo adopte tecnologías emergentes como la inteligencia artificial».