Si ejecuta la seguridad en cualquier organización razonablemente compleja, su pila de validación probablemente se vea así: una herramienta BAS en una esquina. Un compromiso de pentesting, o tal vez un producto de pentesting automatizado, en otro. Un escáner de vulnerabilidades que alimenta una plataforma de gestión de superficies de ataque en otro lugar. Cada herramienta te ofrece una porción de la imagen. Ninguno de ellos se habla entre sí de manera significativa.

Mientras tanto, los adversarios no atacan en silos. Una intrusión real podría encadenar una identidad expuesta, una mala configuración de la nube, una oportunidad de detección perdida y una vulnerabilidad sin parchear en una sola operación. Los atacantes entienden que su entorno es un sistema interconectado. Desafortunadamente, la mayoría de los programas de validación todavía lo tratan como un conjunto de partes dispares y desconectadas.

Esta no es una ineficiencia menor. Es un punto ciego estructural. Y ha durado años porque el mercado ha tratado cada disciplina de validación como una categoría separada, con sus propios proveedores, consolas y sus propias evaluaciones de riesgos separadas y muy limitadas.

A medida que los agentes autónomos de IA se vuelven capaces de planificar, ejecutar y razonar en flujos de trabajo complejos, la validación de la seguridad debe entrar en una nueva fase. La disciplina emergente de Validación de exposición a agentes apunta hacia algo mucho más coordinado y capaz que los ciclos de validación manuales fragmentados de hoy. Promete una validación autónoma, continua y consciente del contexto que se adapta mejor a cómo suelen desarrollarse las amenazas modernas.

Qué significa realmente la validación de seguridad hoy en día

Durante años, la validación de la seguridad se ha tratado principalmente como una simulación de ataque. Desplegaste agentes, ejecutaste escenarios y obtuviste un informe que mostraba qué estaba bloqueado y qué no. Hoy eso ya no es suficiente.

La validación de seguridad moderna abarca tres perspectivas distintas. En conjunto, brindan a los defensores una visión mucho más realista de su postura de seguridad integral.

• La perspectiva adversaria pregunta: «¿Cómo puede realmente un atacante entrar en nuestro entorno?» Esto implica pentesting automatizado y validación de rutas de ataque, que se centra en identificar vulnerabilidades explotables y mapear las rutas más fáciles hacia los activos críticos.
• La perspectiva defensiva pregunta: «¿Podemos realmente detenerlos?» Esto incluye la validación del control de seguridad y la validación de la pila de detección, que garantizan que sus firewalls, reglas EDR, IPS, WAF, SIEM y sistemas de alerta funcionen como se espera contra amenazas reales.
• La perspectiva del riesgo pregunta: «¿Realmente importa esta exposición?» Esto implica priorizar la exposición, guiada por controles de compensación, que filtran los riesgos teóricos y centran la remediación en las vulnerabilidades que son realmente explotables en su entorno específico.

Cualquiera de estas perspectivas por sí sola deja lagunas peligrosas. La próxima evolución de la validación de seguridad estará definida por su convergencia en una disciplina de validación unificada.

La IA agente es un punto de inflexión para los defensores

Hoy en día, casi todos los proveedores de ciberseguridad afirman estar impulsados ​​por IA. En muchos casos, eso simplemente significa que se ha agregado un modelo de lenguaje a un panel para resumir los hallazgos o generar informes. Y si bien la tecnología «asistida por IA» puede ser útil, definitivamente no es transformadora.

La IA agente es una propuesta fundamentalmente diferente.

Un contenedor de IA es básicamente una aplicación simple que llama a un modelo de IA y presenta el resultado. Podría formatear, resumir o volver a empaquetar la respuesta, pero en realidad no administrar la tarea misma. La IA agente, por otro lado, se hace cargo de toda la tarea de principio a fin. Determina lo que hay que hacer, lleva a cabo los pasos, evalúa los resultados y ajusta si es necesario sin que un humano necesite dirigir cada paso a lo largo del camino.

En la validación de seguridad, la diferencia es enorme e inmediata.

Consideremos lo que sucede hoy cuando una amenaza crítica aparece en las noticias. Alguien del equipo lee el aviso, determina cuáles de los sistemas de la organización podrían estar expuestos, crea o adapta escenarios de prueba, los ejecuta, revisa los resultados y luego decide qué necesita solución. Incluso en equipos fuertes, esto puede llevar días. Si la amenaza es compleja, puede durar semanas.

La IA agente puede comprimir ese flujo de trabajo en minutos.

No porque alguien haya escrito un guión más rápido, sino porque un agente autónomo manejó la secuencia completa. Analizó la amenaza, la asignó al entorno, seleccionó activos y controles relevantes, ejecutó los flujos de trabajo de validación correctos, interpretó los resultados y sacó a la luz lo más importante.

Así es como la IA agente equilibra la balanza. No se trata sólo de velocidad. Se trata de reemplazar los pasos de validación desconectados e impulsados ​​por humanos con un razonamiento autónomo, coordinado y de un extremo a otro.

La verdadera restricción no es el modelo. Son los datos.

Aquí es donde gran parte del debate sobre la IA sale mal.

Los sistemas agentes son tan fuertes como el entorno sobre el que pueden razonar. Un agente autónomo que ejecute simulaciones de ataques genéricos contra un modelo genérico producirá resultados genéricos. Esto puede parecer impresionante en una demostración, pero no ayuda al equipo de seguridad a tomar decisiones seguras en producción.

El verdadero diferenciador es el contexto.

Es por eso que la arquitectura de datos subyacente es más importante que el modelo por sí solo. Para que la validación agente sea útil, las organizaciones necesitan una capa de datos de seguridad unificada que refleje continuamente lo que existe, lo que está expuesto y lo que realmente funciona.

Puedes pensar en esto como un Tejido de datos de seguridadconstruido a partir de tres dimensiones esenciales.

• Inteligencia de activos cubre el inventario completo de su entorno: servidores, puntos finales, usuarios, recursos de la nube, aplicaciones y contenedores, así como sus relaciones. Porque no puedes validar lo que no puedes ver.
• Inteligencia de exposición abarca vulnerabilidades, configuraciones erróneas, riesgos de identidad y otras debilidades en toda su superficie de ataque. Esta es la materia prima con la que trabajan los atacantes.
• Eficacia del control de seguridad es la dimensión que la mayoría de las organizaciones pasan por alto por completo. No basta con saber que ha implementado un firewall o un agente EDR. Necesita saber, con evidencia, si estos controles realmente bloquearán las amenazas específicas que apuntan a sus activos específicos.

Cuando estas dimensiones se unen, el resultado es más que una base de datos de activos o un feed de vulnerabilidades. Se convierte en un modelo vivo de la realidad de seguridad minuto a minuto de la organización. Ese modelo cambia a medida que cambia el entorno. Aparecen nuevos activos. Se revelan nuevas vulnerabilidades. Los controles se reconfiguran. Surgen nuevas amenazas.

Y ese es exactamente el contexto que necesita la IA agente.

Con una rica estructura de datos de seguridad detrás, una IA agente ya no realiza pruebas únicas para todos. Puede adaptar la validación a la topología real, las joyas de la corona reales de su organización, su cobertura de control real y las rutas de ataque reales.

Esa es la diferencia entre escuchar «Este CVE es crítico» y aprendiendo «Este CVE es fundamental en este servidor, sus controles no bloquean la explotación y existe una ruta validada a uno de sus sistemas comerciales más sensibles».

Hacia dónde se dirige la validación de seguridad

El futuro de la validación de seguridad es claro. Las pruebas periódicas se están convirtiendo en una validación continua. El esfuerzo manual está evolucionando hacia el funcionamiento autónomo. Los productos puntuales se están consolidando en plataformas unificadas. Y los problemas de notificación se están transformando para permitir mejores decisiones de seguridad.

La IA agente es el catalizador, pero sólo funciona con la base adecuada. Los agentes autónomos necesitan un contexto real: una visión precisa y conectada del entorno, no un conjunto fragmentado de herramientas y hallazgos.

Cuando se combinan flujos de trabajo agentes, contexto enriquecido y validación unificada, el resultado es un modelo fundamentalmente diferente. En lugar de esperar a que alguien pregunte si la organización está protegida, el sistema responde continuamente a esa pregunta con evidencia basada en cómo se están produciendo incluso los últimos ataques.

El mercado ya está validando este cambio. En Frost Radar de Frost & Sullivan: validación de seguridad automatizada, 2026Picus Security fue nombrado el Líder del Índice de Innovacióncon sus capacidades de agencia y su arquitectura nativa de CTEM destacadas como diferenciadores clave.

Obtenga su demostración hoy para descubrir cómo Picus ayuda a las organizaciones a unificar la validación de riesgos, defensiva y de confrontación en una única plataforma.

Nota: Este artículo fue escrito por Huseyin Can YUCEEL, líder de investigación de seguridad en Picus Security.

Veeam ha lanzado actualizaciones de seguridad para abordar múltiples vulnerabilidades críticas en su software Backup & Replication que, si se explotan con éxito, podrían resultar en la ejecución remota de código.

El vulnerabilidades son los siguientes –

• CVE-2026-21666 (Puntuación CVSS: 9,9): una vulnerabilidad que permite a un usuario de dominio autenticado realizar la ejecución remota de código en Backup Server.
• CVE-2026-21667 (Puntuación CVSS: 9,9): una vulnerabilidad que permite a un usuario de dominio autenticado realizar la ejecución remota de código en Backup Server.
• CVE-2026-21668 (Puntuación CVSS: 8,8): una vulnerabilidad que permite a un usuario de dominio autenticado evitar restricciones y manipular archivos arbitrarios en un repositorio de respaldo.
• CVE-2026-21672 (Puntuación CVSS: 8,8): una vulnerabilidad que permite la escalada de privilegios locales en servidores Veeam Backup & Replication basados ​​en Windows.
• CVE-2026-21708 (Puntuación CVSS: 9,9): una vulnerabilidad que permite que un visor de copia de seguridad realice la ejecución remota de código como usuario de postgres.

Las deficiencias, que afectan a Veeam Backup & Replication 12.3.2.4165 y a todas las versiones anteriores 12, se abordaron en versión 12.3.2.4465. CVE-2026-21672 y CVE-2026-21708 también se han corregido en Copia de seguridad y replicación 13.0.1.2067junto con dos fallos de seguridad más críticos –

• CVE-2026-21669 (Puntuación CVSS: 9,9): una vulnerabilidad que permite a un usuario de dominio autenticado realizar la ejecución remota de código en Backup Server.
• CVE-2026-21671 (Puntuación CVSS: 9.1): una vulnerabilidad que permite a un usuario autenticado con la función de administrador de respaldo realizar la ejecución remota de código en implementaciones de alta disponibilidad (HA) de Veeam Backup & Replication.

«Es importante tener en cuenta que una vez que se revela una vulnerabilidad y su parche asociado, los atacantes probablemente intentarán aplicar ingeniería inversa al parche para explotar implementaciones sin parches del software Veeam», dijo la compañía en su aviso.

Dado que las vulnerabilidades en el software Veeam han sido explotadas repetidamente por actores de amenazas para llevar a cabo ataques de ransomware en el pasado, es esencial que los usuarios actualicen sus instancias a la última versión para protegerse contra cualquier amenaza potencial.

Apple respaldó el miércoles correcciones para una falla de seguridad en iOS, iPadOS y macOS Sonoma a versiones anteriores después de que se descubrió que se usaba como parte del kit de exploits Coruna.

La vulnerabilidad, rastreada como CVE-2023-43010se relaciona con una vulnerabilidad no especificada en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. El fabricante del iPhone dijo que el problema se solucionó mejorando el manejo.

«Esta solución asociada con el exploit Coruna se envió en iOS 17.2 el 11 de diciembre de 2023», dijo Apple en un aviso. «Esta actualización trae esa solución a los dispositivos que no pueden actualizarse a la última versión de iOS».

Apple lanzó originalmente las correcciones para CVE-2023-43010 en las siguientes versiones:

La última ronda de correcciones lo lleva a versiones anteriores de iOS y iPadOS.

• iOS 15.8.7 y iPadOS 15.8.7 – iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera generación), iPad Air 2, iPad mini (cuarta generación) y iPod touch (séptima generación)
• iOS 16.7.15 y iPadOS 16.7.15 – iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación

Es más, iOS 15.8.7 y iPadOS 15.8.7 incorporan parches para tres vulnerabilidades más asociadas con el exploit Coruna:

• CVE-2023-43000 (Solucionado originalmente en iOS 16.6, lanzado el 24 de julio de 2023): un problema de uso después de la liberación en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados.
• CVE-2023-41974 (Solucionado originalmente en iOS 17, lanzado el 18 de septiembre de 2023): un problema de uso después de la liberación en el kernel que podría permitir que una aplicación ejecute código arbitrario con privilegios del kernel.
• CVE-2024-23222 (Solucionado originalmente en iOS 17.3 lanzado el 22 de enero de 2024): un problema de confusión de tipos en WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados.

Los detalles de Coruña surgieron a principios de este mes después de que Google dijera que el kit de exploits presenta 23 exploits en cinco cadenas diseñadas para apuntar a modelos de iPhone que ejecutan versiones de iOS entre 13.0 y 17.2.1. iVerify, que está rastreando el marco de malware que utiliza el kit de explotación bajo el nombre CryptoWaters, dijo que tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.

El desarrollo se produce en medio de informes de que Coruña probablemente fue diseñado por el contratista militar estadounidense L3Harris y que Peter Williams, un ex gerente general de la compañía que fue sentenciado a más de siete años de prisión por vender varios exploits a cambio de dinero, pudo haberlo pasado al corredor de exploits ruso Operation Zero.

Un aspecto interesante de Coruña es el uso de dos exploits (CVE-2023-32434 y CVE-2023-38606) que se utilizaron como armas de día cero en una campaña denominada Operación Triangulación dirigida a usuarios en Rusia en 2023. Kaspersky dijo a The Hacker News que es posible que cualquier equipo suficientemente capacitado cree sus propios exploits, dado que ambos fallos tienen implementaciones disponibles públicamente.

«A pesar de nuestra extensa investigación, no podemos atribuir la Operación Triangulación a ningún grupo APT conocido o empresa de desarrollo de exploits», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un correo electrónico.

«Para ser precisos: ni Google ni iVerify en su investigación publicada afirman que Coruña reutiliza el código de Triangulación. Lo que identifican es que dos exploits en Coruña – Photon y Gallium – apuntan a las mismas vulnerabilidades. Esa es una distinción importante. En nuestra opinión, la atribución no puede basarse únicamente en el hecho de la explotación de estas vulnerabilidades».

Hace dos años, se reveló que piratas informáticos chinos habían comprometido al menos diez empresas de telecomunicaciones estadounidenses, dándoles amplio acceso a datos telefónicos que afectaban a casi todos los estadounidenses. Desde entonces, los funcionarios públicos encargados de responder a la campaña y reforzar las ciberdefensas del país han informado de un problema común.

Muchos de sus electores luchan por entender por qué los ataques –llevados a cabo por un grupo llamado Salt Typhoon– deberían figurar entre sus principales preocupaciones, o cómo impactan en su vida cotidiana.

A algunos funcionarios estatales y federales les preocupa que esta falta de interés esté privando a los formuladores de políticas de la presión pública necesaria para generar impulso para tomar medidas más contundentes para mejorar la ciberseguridad de las telecomunicaciones del país.

Mike Geraghty, CISO y director de la Célula de Comunicaciones y Ciberseguridad de Nueva Jersey, dijo que Nueva Jersey es el estado más densamente poblado del país, con una alta concentración de infraestructura crítica y una importante huella de telecomunicaciones. Por esa razón, una campaña como Salt Typhoon debería, en teoría, ser de gran interés para los residentes de Garden State.

«Sin embargo, si hablas con una persona en la calle en Nueva Jersey, te dirá a quién le importa que los chinos estén mirando, ya sabes, ¿a qué números llamo?». dijo el miércoles en la Cumbre de Ciberseguridad Local y Estatal de Billington. «Tiene un papel importante que desempeñar en mi trabajo, pero tratar de que la gente entienda lo que eso significa para Nueva Jersey es realmente difícil».

El Congreso no ha aprobado una legislación integral sobre privacidad en décadas. Mientras tanto, los ataques cibernéticos que exponen datos confidenciales están muy extendidos y las empresas estadounidenses recopilan y venden rutinariamente información personal de los clientes. Algunos funcionarios especulan que, en conjunto, estas tendencias han dejado a los estadounidenses insensibles al robo de datos y al uso de datos con fines de lucro, por lo que las filtraciones adicionales se sienten como una gota más en el océano.

Mischa Beckett, subdirectora de seguridad de la información y directora de inteligencia sobre amenazas cibernéticas de GDIT, dijo que el enfoque de Salt Typhoon en los datos de telecomunicaciones puede parecer una amenaza abstracta para muchos estadounidenses. Por el contrario, otras campañas de piratería chinas, como Volt Typhoon, sugieren daños potenciales a las plantas de agua y a las redes eléctricas que son más fáciles de detectar.

«Quizás sea un poco más fácil descartar una pérdida de datos… y seguir adelante, como desafortunado pero no gran cosa», dijo Beckett. «Creo que ese argumento es mucho más difícil de defender cuando hablamos de posicionamiento previo e infraestructura crítica, cosas que afectan nuestras vidas todos los días».

El año pasado, un exfuncionario de inteligencia de la Oficina del Director de Inteligencia Nacional dijo a CyberScoop que la falta de indignación del público tras los ataques del Salt Typhoon estaba frenando el impulso para una regulación o reformas más amplias de la ciberseguridad de las telecomunicaciones.

“No podemos aceptar este nivel de espionaje en nuestras redes”, dijo Laura Galante, quien dirigió el Centro de Integración de Inteligencia de Amenazas Cibernéticas bajo la administración Biden. “Si tuvieras 50 chinos [Ministry of State Security] espías o contratistas sentados dentro de una importante [telecom company’s] edificio, serían expulsados ​​y sería un esfuerzo a gran escala. Eso es a grandes rasgos lo que ha sucedido, pero el acceso fue digital”.

SAP tiene liberado actualizaciones de seguridad para abordar dos fallas de seguridad críticas que podrían explotarse para lograr la ejecución de código arbitrario en los sistemas afectados.

Las vulnerabilidades en cuestión se enumeran a continuación:

• CVE-2019-17571 (Puntuación CVSS: 9,8) – Una vulnerabilidad de inyección de código en la aplicación SAP Quotation Management Insurance (FS-QUO)
• CVE-2026-27685 (Puntuación CVSS: 9,1): una vulnerabilidad de deserialización insegura en la administración de SAP NetWeaver Enterprise Portal

«La aplicación utiliza un artefacto obsoleto de Apache Log4j 1.2.17 que es vulnerable a CVE-2019-17571», la empresa de seguridad SAP Onapsis dicho. «Permite que un atacante sin privilegios ejecute código arbitrario de forma remota en el servidor, lo que provoca un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación».

CVE-2026-27685, por otro lado, se debe a una validación faltante o insuficiente durante la deserialización del contenido cargado, lo que podría permitir a un atacante cargar contenido malicioso o que no es de confianza.

«Sólo el hecho de que un atacante requiera altos privilegios para un exploit exitoso evita que la vulnerabilidad sea etiquetada con una puntuación CVSS de 10», añadió Onapsis.

La divulgación se produce cuando Microsoft envió parches para 84 vulnerabilidades en todos los productos, incluidas docenas de fallas de escalada de privilegios y ejecución remota de código.

El martes, Adobe también anunció parches para 80 vulnerabilidadescuatro de los cuales son fallas críticas que afectan a Adobe Commerce y Magento Open Source y que podrían resultar en una escalada de privilegios y la elusión de funciones de seguridad. Por otra parte, solucionó cinco vulnerabilidades críticas en Adobe Illustrator que podrían allanar el camino para la ejecución de código arbitrario.

Por otra parte, Hewlett Packard Enterprise solucionó cinco deficiencias en Aruba Networking AOS-CX. La más grave de las fallas es CVE-2026-23813 (puntuación CVSS: 9,8), una omisión de autenticación que afecta a la interfaz de administración.

«Se ha identificado una vulnerabilidad en la interfaz de administración basada en web de los conmutadores AOS-CX que podría permitir que un actor remoto no autenticado eluda los controles de autenticación existentes», HPE dicho. «En algunos casos, esto podría permitir restablecer la contraseña de administrador».

«La explotación de esta vulnerabilidad de Aruba potencialmente brinda a los atacantes un control total de los dispositivos de red AOS-CX y la capacidad de comprometer un sistema completo sin ser detectado», dijo Ross Filipek, CISO de Corsica Technologies, en un comunicado.

«Un compromiso exitoso podría provocar la interrupción de las comunicaciones de red o la erosión de la integridad de los servicios comerciales clave. Esta falla es un recordatorio de que las vulnerabilidades en los dispositivos de red se están volviendo más comunes en el mundo hiperconectado de hoy. Cuando los atacantes obtienen acceso privilegiado a estos dispositivos, pone a las organizaciones en un riesgo significativo».

Parches de software de otros proveedores

Otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:

• TEJIDO
• Servicios web de Amazon
• AMD
• Brazo
• Atlassiano
• Bosco
• Broadcom (incluido VMware)
• Canon
• cisco
• bóveda común
• Sistemas Dassault
• Dell
• Devoluciones
• drupal
• Elástico
• F5
• Fortinet
• Fortra
• Software Foxit
• GitLab
• Google Androide y Píxel
• Google Chrome
• Nube de Google
• Reloj Google Pixel
• Sistema operativo Google Wear
• Grafana
• Energía Hitachi
• mielwell
• caballos de fuerza
• HP empresarial (incluyendo Aruba Networking y Redes de enebro)
• IBM
• Intel
• Ivanti
• Jenkins
• lenovo
• Distribuciones de Linux AlmaLinux, Linux alpino, amazonlinux, Arco Linux, Debian, Gentoo, Oráculo Linux, magia, sombrero rojo, Linux rocoso, SUSEy ubuntu
• MediaTek
• Mitsubishi Electrico
• moxa
• Mozilla Firefox, Firefox ESR y Thunderbird
• n8n
• Nvidia
• Redes de Palo Alto
• QNAP
• Qualcomm
• Ricoh
• Samsung
• Electricidad Schneider
• Servicio ahora
• siemens
• Vientos solares
• Splunk
• Sinología
• TP-Link
• Tendencia Micro
• GuardiaGuardia
• Digital occidental
• Zoomy
• Zyxel

Los cazadores de amenazas y un grupo de víctimas no confirmadas están respondiendo a una serie de ataques dirigidos a clientes de Salesforce, que el proveedor reveló en un aviso de seguridad Sábado.

«Salesforce está monitoreando activamente la actividad de amenazas dirigida a sitios públicos de Experience Cloud, incluidos los intentos de aprovechar configuraciones de usuarios invitados demasiado permisivas», dijo la compañía en la alerta.

La campaña marca el tercer ataque generalizado dirigido a clientes de Salesforce en aproximadamente seis meses.

El número de víctimas atrapadas por los últimos ataques no está verificado, pero ShinyHunters, el grupo de amenazas que se atribuye la responsabilidad de los ataques, afirma que unas 100 empresas ya se han visto afectadas.

Los investigadores dijeron a CyberScoop que confían en que el grupo de amenazas detrás de la campaña está asociado con ShinyHunters, un equipo que anteriormente robó datos de instancias de Salesforce para intentos de extorsión.

Salesforce no atribuyó los ataques, pero culpó a un «grupo conocido de actores de amenazas», y agregó que el problema es no debido a una vulnerabilidad en la plataforma de la empresa.

La compañía dijo que la actividad de amenazas refleja una tendencia más amplia de ataques basados ​​en identidad, en este caso configuraciones de usuario invitado configuradas por el cliente que exponen los sitios de Experience Cloud de acceso público a posibles ataques.

«Somos conscientes de un actor de amenazas que intenta identificar configuraciones erróneas dentro de las instancias de Salesforce Experience Cloud», dijo en un comunicado Charles Carmakal, director de tecnología de Mandiant Consulting. «Estamos trabajando estrechamente con Salesforce y nuestros clientes para proporcionar las reglas de detección y telemetría necesarias para mitigar el riesgo potencial».

Salesforce dijo que el actor de amenazas está utilizando una versión modificada de la herramienta de código abierto desarrollada por Mandiant. AuraInspector para buscar sitios públicos de Experience Cloud y robar datos de instancias con un perfil de usuario invitado.

Esta configuración está diseñada para proporcionar a los usuarios no autenticados acceso a datos destinados al consumo público. Sin embargo, los perfiles de invitados con permisos excesivos permiten a los atacantes ver datos adicionales consultando directamente los objetos de Salesforce CRM sin iniciar sesión, explicó la compañía.

Salesforce no dijo cuándo ni cómo se enteró de la última campaña dirigida a sus clientes, ni cuántas empresas ya se han visto afectadas. «No tenemos nada más que agregar en este momento», dijo Nicole Aranda, gerente senior de comunicaciones corporativas de Salesforce.

La empresa recomendó a los clientes que se aseguren de que las configuraciones de los usuarios invitados estén restringidas adecuadamente.

«Cualquier sistema expuesto a Internet debe configurarse con la expectativa de que será escaneado continuamente», dijo en un correo electrónico Shane Barney, director de seguridad de la información de Keeper Security.

“En esencia, se trata de una cuestión de gobernanza del acceso”, añadió. «Las cuentas de invitado, las cuentas de servicio y las integraciones de API deben tratarse con la misma disciplina que los usuarios privilegiados. Aplicar privilegios mínimos, restringir el acceso a la API y auditar continuamente los permisos son controles de seguridad fundamentales».

Los clientes de Salesforce se enfrentaron a un par de ataques que involucraron a proveedores externos el año pasado. Google Threat Intelligence Group dijo en ese momento que tenía conocimiento de más de 200 instancias de Salesforce potencialmente afectadas vinculadas a actividad maliciosa en aplicaciones Gainsight conectadas a entornos de clientes de Salesforce en noviembre.

Una ola de ataques posteriores más extensa descubierta en agosto afectó a más de 700 empresas que integraron el agente de chat de IA Salesloft Drift en sus entornos de Salesforce. ShinyHunters o grupos de amenazas afiliados al grupo de extorsión también participaron en ambas campañas.

La inteligencia artificial puede estar potenciando las amenazas cibernéticas, pero el enfoque defensivo ante esos ataques amplificados por la IA sigue siendo el mismo, dijo el martes un alto funcionario del FBI.

«Hemos visto actores tanto criminales como de estados-nación, que están utilizando absolutamente la IA para su beneficio», dijo Jason Bilnoski, subdirector adjunto de la división cibernética del FBI. «Pero la forma en que se desarrollan los ataques no ha cambiado. Los ciberataques todavía siguen pasos básicos. Simplemente se vuelven a una velocidad increíble ahora».

La mejor manera de lidiar con esos ataques es implementar todas las defensas tradicionales, como las que el FBI ha estado enfatizando como parte de su campaña mediática Operación Winter SHIELD, dijo.

«No se preocupen por la velocidad y la capacidad» de los ataques de IA, dijo Biloski en una conferencia sobre ciberseguridad en Billington. «Si te concentras en lo básico, ayudarás a evitar que ocurra la intrusión real».

Es un mensaje que también compartió en la conferencia el director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Nick Andersen. Hay atacantes sofisticados por ahí, dijo, pero la reciente directiva operativa vinculante de la agencia para que las agencias federales se deshagan de los dispositivos periféricos no compatibles era una forma de apuntalar las vulnerabilidades básicas.

«Seguimos viendo que se siguen explotando días distintos de cero en este entorno», dijo. «Lo mínimo que podemos hacer es reforzar esa ventaja y hacer que sea un poco más difícil aprovechar esa ventaja en ese sentido».

Su consejo a los funcionarios estatales y locales fue adoptar un enfoque de “vuelta a lo básico”, como adoptar la autenticación multifactor.

Bilnoski también ofreció más advertencias sobre la amenaza.

«La identidad es el nuevo perímetro. Estás buscando tráfico legítimo en tu red», dijo. «Así que ya no vemos caer el malware. Ya no vemos estos TTP tan ruidosos [tactics, techniques and procedures]. Son credenciales legítimas que se mueven lateralmente por la red, como si fuera un usuario legítimo en la red. Necesitas cazar a los adversarios como si ya estuvieran en tu red, porque ese es el tipo de actividad que estás buscando”.

Una vulnerabilidad de máxima gravedad en pac4j, una biblioteca de código abierto integrada en cientos de paquetes y repositorios de software, representa una importante amenaza a la seguridad, pero hasta ahora ha recibido escasa atención.

El defecto en el motor de seguridad de Java, que maneja la autenticación a través de múltiples marcos, no ha sido explotado desde que la firma de revisión de código CodeAnt AI publicó un exploit de prueba de concepto la semana pasada. La empresa descubrió la vulnerabilidad y la informó de forma privada al responsable de pac4j, que reveló el defecto y lanzó parches para las versiones afectadas de la biblioteca en dos días.

Algunos investigadores le dijeron a CyberScoop que están preocupados por la vulnerabilidad. CVE-2026-29000 – porque afecta a un motor de seguridad Java ampliamente implementado que los atacantes pueden explotar con relativa facilidad.

«Un actor de amenazas sólo necesita acceder a la clave RSA pública de un servidor para intentar la explotación», dijeron investigadores de Arctic Wolf Labs en un correo electrónico.

Estas claves públicas, que se comparten abiertamente, se utilizan para cifrar datos y permitir la autenticación de identidad. Los atacantes pueden desencadenar el defecto y eludir la autenticación falsificando un JSON Web Token (JWT) o implementando reclamos JSON sin procesar a través de JSON Web Encryption (JWE) en pac4j-jwt para ingresar a un sistema con los privilegios más altos.

«Actualmente es demasiado temprano en el ciclo de vida de esta vulnerabilidad para saber si se materializará en una amenaza importante, pero el hecho de que sea una vulnerabilidad en una biblioteca hace que sea más difícil evaluar el riesgo potencial», dijeron investigadores de Arctic Wolf Labs. «Los consumidores intermedios de la biblioteca pueden terminar necesitando emitir sus propios avisos, como hemos visto con otras vulnerabilidades similares en el pasado».

Amartya Jha, cofundador y director ejecutivo de CodeAnt AI, advirtió que cualquiera con conocimientos básicos de JWT puede lograr la explotación. La vulnerabilidad es una «falla lógica que ningún escáner de coincidencia de patrones o herramienta de prueba de seguridad de aplicaciones estáticas basada en reglas podría detectar, porque no hay una sola línea de código incorrecta».

El riesgo de seguridad posterior, como suele ocurrir con el software de código abierto, está muy extendido. El módulo de autenticación para pac4j está integrado en múltiples marcos, incluidos Spring Security, Play Framework, Vert.x, Javalin y otros, dijo Jha.

Es posible que muchas organizaciones no se den cuenta de que dependen de pac4j-jwt porque no siempre se declara en los archivos de compilación, añadió. CodeAnt dijo que se comunicó con cientos de mantenedores la semana pasada para advertirles que sus paquetes y repositorios se ven afectados por la vulnerabilidad, que tiene una calificación CVSS de 10.

Los investigadores no han observado ningún código de exploit PoC adicional, pero observaron que la ruta del exploit es fácil de reproducir.

«Las condiciones para la explotación son favorables», afirmó Jha. «Es una autenticación previa, no requiere secretos, la PoC es pública y la superficie de ataque incluye cualquier aplicación orientada a Internet o puerta de enlace API que utilice la configuración afectada. La ventana entre la PoC pública y la adopción de parches es donde el riesgo es mayor».

Las organizaciones medianas se esfuerzan constantemente por alcanzar niveles de seguridad a la par de sus pares empresariales. Con una mayor conciencia sobre los ataques a la cadena de suministro, sus clientes y socios comerciales están definiendo el nivel de seguridad que debe cumplir.

¿Qué pasaría si usted pudiera ser el facilitador para que su organización siga siendo competitiva y ayude a ganar negocios demostrando fácilmente que cumple con estos estrictos niveles de seguridad?

El desafío, por supuesto, es cómo hacerlo con un presupuesto pequeño y un equipo de seguridad y TI ágil.

La plataforma de seguridad se ha considerado durante mucho tiempo como el mecanismo para reducir la complejidad mediante la consolidación de herramientas de seguridad. Sin embargo, nunca ha cumplido realmente su promesa. ¿O lo tiene?

Un próximo seminario web explora si el modelo de plataforma de seguridad finalmente puede cumplir su visión original: simplificar las operaciones, reducir costos y fortalecer la postura de seguridad para las organizaciones del mercado medio.

Únase a Bitdefender para aprender cómo Zona de gravedad de Bitdefender está haciendo realidad el sueño de una seguridad asequible y simplificada para los equipos de seguridad y TI eficientes.

Durante esta sesión aprenderás:

• Por qué una plataforma de seguridad es perfecta para organizaciones medianas
• Cómo demostrar un riesgo reducido y una mayor postura de seguridad a sus líderes, socios comerciales y clientes
• Cómo reducir los problemas de seguridad y liberar a su eficiente equipo de TI y seguridad para centrarse en proyectos estratégicos

Para los directores de TI, CISO y líderes de seguridad que operan con limitaciones de recursos, la capacidad de consolidar herramientas sin sacrificar la cobertura puede ser una ventaja competitiva, no solo una mejora técnica.

Si su organización está bajo presión para demostrar resiliencia, cumplir con las expectativas de los socios y mejorar los resultados de seguridad sin aumentar la complejidad, esta sesión le brindará conocimientos prácticos y un camino claro a seguir.

Regístrate ahora para descubrir cómo Bitdefender GravityZone puede ayudarle a lograr seguridad en toda su organización, sin la carga a nivel empresarial.

La mayoría de las organizaciones asumen que los datos cifrados están seguros.

Pero muchos atacantes ya se están preparando para un futuro en el que se podrá romper el cifrado actual. En lugar de intentar descifrar información ahora, están recopilar datos cifrados y almacenarlos para que pueda ser descifrado más tarde utilizando computadoras cuánticas.

Esta táctica, conocida como “cosechar ahora, descifrar después”—significa que los datos confidenciales transmitidos hoy podrían volverse legibles dentro de unos años, una vez que maduren las capacidades cuánticas.

Los líderes de seguridad que quieran comprender este riesgo y cómo prepararse pueden explorarlo en detalle en el próximo seminario web sobre las mejores prácticas de criptografía poscuánticadonde los expertos explicarán formas prácticas en que las organizaciones pueden comenzar a proteger los datos antes de que sea posible el descifrado cuántico.

Por qué es importante la criptografía poscuántica

La computación cuántica avanza rápidamente y la mayoría de los algoritmos de cifrado modernos, como RSA y ECC, no permanecerán seguros para siempre.

Para las organizaciones que deben mantener la confidencialidad de los datos durante muchos años (registros financieros, propiedad intelectual, comunicaciones gubernamentales), esperar no es una opción.

Un enfoque práctico que está surgiendo hoy es criptografía híbridaque combina el cifrado tradicional con algoritmos resistentes a los cuánticos como ML-KEM. Esto permite a las organizaciones fortalecer la seguridad sin alterar los sistemas existentes.

El Seminario web sobre seguridad preparada para el futuro Explicará cómo funciona la criptografía híbrida en entornos reales y cómo las organizaciones pueden comenzar la transición a protecciones de seguridad cuántica.

Preparándose para la era cuántica

Las organizaciones que se preparan para las amenazas cuánticas se están centrando en algunos pasos clave:

• Identificar datos confidenciales que deben permanecer protegidos a largo plazo
• Comprender dónde se utiliza el cifrado en todos los sistemas
• Comience a adoptar estrategias de criptografía híbrida
• Mantenga la visibilidad de los algoritmos criptográficos y las necesidades de cumplimiento.

Al mismo tiempo, los equipos de seguridad aún deben inspeccionar el tráfico cifrado y aplicar políticas en sus redes. Moderno Arquitecturas de confianza cero desempeñan un papel importante en el mantenimiento de este control.

Estas estrategias, y cómo las implementan plataformas como Zscaler, se discutirán durante la conferencia. sesión de seminario web en vivo diseñado para líderes de TI, seguridad y redes.

Lo que aprenderá en el seminario web

Esta sesión cubrirá:

• El creciente riesgo de Ataques de “cosechar ahora, descifrar después”
• Cómo Cifrado híbrido ML-KEM ayuda a las organizaciones a realizar una transición segura
• Cómo inspección de tráfico post-cuántica permite la aplicación de políticas a escala
• Mejores prácticas para proteger datos confidenciales en la era cuántica

La computación cuántica remodelará la ciberseguridad. Las organizaciones que comiencen a prepararse temprano estarán mejor posicionadas para proteger sus datos más críticos.

Únase al seminario web para aprenda cómo construir una estrategia de seguridad práctica y preparada para la tecnología cuántica antes de que la amenaza se vuelva urgente.