⚡ Resumen semanal: malware para Hyper-V, bots d...

Las ciberamenazas no disminuyeron la semana pasada, y los atacantes son cada vez más inteligentes. Estamos viendo cómo el malware se oculta en las máquinas virtuales, las filtraciones por canales secundarios que dejan al descubierto los chats de inteligencia artificial y el spyware ataca discretamente a los dispositivos Android de forma espontánea.

Pero eso es solo la superficie. El resumen de esta semana pone de manifiesto un cambio evidente: la ciberdelincuencia evoluciona rápidamente y las líneas que separan el sigilo técnico de la coordinación estratégica se están difuminando.

Vale la pena tu tiempo. Todas las historias que presentamos aquí tratan sobre riesgos reales que tu equipo debe conocer ahora mismo. Lee el resumen completo.

⚡ Amenaza de la semana

Curly ComRades abusa de Hyper-V para ocultar malware en máquinas virtuales Linux — Se ha observado que Curly ComRades, un actor de amenazas que apoya los intereses geopolíticos de Rusia, abusa del hipervisor Hyper-V de Microsoft en máquinas Windows comprometidas para crear una máquina virtual oculta basada en Alpine Linux e implementar cargas maliciosas. Este método permite que el malware se ejecute completamente fuera de la visibilidad del sistema operativo anfitrión, eludiendo de manera efectiva las herramientas de seguridad de los terminales. La campaña, que tuvo lugar en julio de 2025, implicó el despliegue de CurlyShell y CurlyCat. Las víctimas no fueron identificadas públicamente. Se dice que los atacantes configuraron la máquina virtual para que utilizara el adaptador de red del conmutador predeterminado de Hyper-V para garantizar que el tráfico de la máquina virtual viajara a través de la pila de red del host mediante el servicio interno de traducción de direcciones de red (NAT) de Hyper-V, lo que hacía que todas las comunicaciones salientes malintencionadas parecieran provenir de la dirección IP de la máquina host legítima. Una investigación más profunda reveló que los atacantes utilizaron por primera vez la herramienta de línea de comandos de administración y servicio de imágenes de implementación de Windows (DISM) para habilitar el hipervisor Hyper-V y, al mismo tiempo, deshabilitaron su interfaz gráfica de administración, Hyper-V Manager. A continuación, el grupo descargó un archivo RAR que se hacía pasar por un archivo de vídeo MP4 y extrajo su contenido. El archivo contenía dos archivos VHDX y VMCX correspondientes a una máquina virtual Alpine Linux prediseñada. Por último, los atacantes utilizaron los cmdlets PowerShell Import-VM y Start-VM para importar la máquina virtual a Hyper-V y lanzarla con el nombre de WSL, una táctica de engaño destinada a dar la impresión de que se utilizaba el subsistema de Windows para Linux. «La sofisticación demostrada por Curly ComRades confirma una tendencia clave: a medida que las soluciones EDR/XDR se convierten en herramientas básicas, los actores de amenazas son cada vez más capaces de eludirlas mediante herramientas o técnicas como el aislamiento de máquinas virtuales», afirma Bitdefender. Los hallazgos muestran la imagen de un actor de amenazas que utiliza métodos sofisticados para mantener el acceso a largo plazo a las redes objetivo, dejando al mismo tiempo una huella forense mínima.

Keeper Security fue reconocida en el Cuadrante Mágico™ de Gartner® para PAM de 2025

Las soluciones de administración de acceso privilegiado (PAM) heredadas son complejas, costosas y difíciles de escalar. Keeper Security ha sido reconocida en el Cuadrante Mágico™ de Gartner® para PAM de 2025, lo que creemos que valida aún más nuestra plataforma. Acceda hoy mismo al informe MQ de Gartner de forma gratuita para obtener más información.

Más información ➝

🔔 Noticias principales

• «Whisper Leak» que identifica los temas de chat de IA en el tráfico cifrado — Microsoft ha revelado detalles de un novedoso ataque de canal lateral dirigido a modelos lingüísticos remotos que podría permitir a un adversario pasivo con la capacidad de observar el tráfico de la red obtener detalles sobre temas de conversación modelo a pesar de las protecciones de cifrado. «Los ciberatacantes que puedan observar el tráfico cifrado (por ejemplo, un actor de un estado-nación a nivel de proveedor de servicios de Internet, alguien de la red local o alguien conectado al mismo router Wi-Fi) podrían utilizar este ciberataque para deducir si el mensaje del usuario trata sobre un tema específico», afirma la empresa. El nombre clave del ataque es Whisper Leak. En una prueba de concepto (PoC), los investigadores descubrieron que es posible extraer temas de conversación de los modelos de Alibaba, DeepSeek, Mistral, Microsoft, OpenAI y xAI con una tasa de éxito superior al 98%. En respuesta, OpenAI, Mistral, Microsoft y xAI han implementado medidas de mitigación para contrarrestar el riesgo.
• La falla de Samsung Mobile explotó como día cero para implementar el software espía LANDFALL para Android — Una falla de seguridad ahora corregida en los dispositivos Android Samsung Galaxy fue aprovechada como un día cero para lanzar un software espía Android de «nivel comercial» denominado LANDFALL en ataques de precisión en Irak, Irán, Turquía y Marruecos. La actividad implicó la explotación del CVE-2025-21042 (puntuación CVSS: 8,8), una falla de escritura fuera de límites en el componente «libimagecodec.quram.so» que podría permitir a los atacantes remotos ejecutar código arbitrario, según la Unidad 42 de Palo Alto Networks. El problema fue abordado por Samsung en abril de 2025. LANDFALL, una vez instalado y ejecutado, actúa como una herramienta de espionaje integral, capaz de recopilar datos confidenciales, como la grabación del micrófono, la ubicación, las fotos, los contactos, los SMS, los archivos y los registros de llamadas. Si bien la Unidad 42 dijo que la cadena de exploits podría haber implicado el uso de un enfoque sin hacer clic para desencadenar la explotación del CVE-2025-21042 sin requerir ninguna interacción del usuario, actualmente no hay indicios de que haya ocurrido o de que exista un problema de seguridad desconocido en WhatsApp que respalde esta hipótesis. El software espía para Android está diseñado específicamente para atacar los dispositivos de las series Galaxy S22, S23 y S24 de Samsung, junto con el Z Fold 4 y el Z Flip 4. Aún no hay pistas concluyentes sobre quién está involucrado, ni está claro cuántas personas fueron atacadas o explotadas.
• Las bombas lógicas ocultas en paquetes NuGet maliciosos explotan años después de su despliegue — Se ha identificado un conjunto de nueve paquetes NuGet maliciosos capaces de lanzar cargas útiles retrasadas para sabotear las operaciones de las bases de datos y corromper los sistemas de control industrial. Los paquetes fueron publicados en 2023 y 2024 por un usuario llamado «shanhai666" y están diseñados para ejecutar código malintencionado después de determinadas fechas de activación (agosto de 2027 y noviembre de 2028), con la excepción de una biblioteca, que afirma ampliar la funcionalidad de otro paquete NuGet legítimo llamado Sharp7. Sharp7Extend, como se llama, está configurado para activar su lógica maliciosa inmediatamente después de la instalación y continúa hasta el 6 de junio de 2028, cuando el mecanismo de terminación se detiene por sí solo.
• Las fallas en los equipos de Microsoft exponen a los usuarios a riesgos de suplantación de identidad — Un conjunto de cuatro vulnerabilidades de seguridad ahora corregidas en Microsoft Teams podría haber expuesto a los usuarios a graves ataques de suplantación de identidad e ingeniería social. Las vulnerabilidades «permitían a los atacantes manipular las conversaciones, hacerse pasar por colegas y aprovechar las notificaciones», según Check Point. Estas deficiencias permiten modificar el contenido de los mensajes sin dejar la etiqueta «Editado» ni la identidad del remitente, y modificar las notificaciones entrantes para cambiar el remitente aparente del mensaje, lo que permite a un atacante engañar a las víctimas para que abran mensajes malintencionados haciéndoles parecer que provienen de una fuente fiable, incluidos altos ejecutivos de la alta dirección. Las fallas también permitían cambiar los nombres mostrados en las conversaciones de chat privadas modificando el tema de la conversación, así como modificar arbitrariamente los nombres mostrados en las notificaciones de llamadas y durante la llamada, lo que permitía a un atacante falsificar la identidad de las personas que llamaban en el proceso. Desde entonces, Microsoft ha abordado los problemas.
• Tres grupos de alto perfil se unen — Scattered LAPSUS$ Hunters (SLH), una fusión formada entre Scattered Spider, LAPSUS$ y ShinyHunters, ha recorrido no menos de 16 canales de Telegram desde el 8 de agosto de 2025. El grupo, que ha anunciado una oferta de extorsión como servicio y que también está probando el ransomware «Sh1nySp1d3r», ha sido identificado ahora no solo como una colaboración fluida, sino también como una alianza coordinada que combina las tácticas operativas de los tres grupos delictivos de alto perfil bajo un lema común para la extorsión, el reclutamiento y el control de la audiencia. El nuevo grupo está reuniendo deliberadamente el capital reputacional asociado a las marcas para crear una identidad de amenaza potente y unificada. Esta iniciativa se considera la primera alianza cohesionada dentro de The Com, una red tradicionalmente poco unida, que aprovecha la fusión como multiplicador de fuerzas para los ataques por motivos financieros.

‎️ 🔥 CVs de tendencia

Los hackers se mueven rápido. Suelen aprovechar las nuevas vulnerabilidades en cuestión de horas, lo que convierte un único parche perdido en una brecha importante. Un CVE sin parches puede ser todo lo que se necesita para lograr un compromiso total. A continuación se muestran las vulnerabilidades más críticas de esta semana que están atrayendo la atención de todo el sector. Revíselas, priorice sus soluciones y cierre la brecha antes de que los atacantes se aprovechen de ellas.

La lista de esta semana incluye: CVE-2025-20354, CVE-2025-20358 (Cisco Unified CCX), CVE-2025-20343 (Motor de servicios de identidad de Cisco), CVE-2025-62626 ( AMD ), CVE-2025-5397 (Tema Noo JobMonster), CVE-2025-48593, CVE-2025-48581 (Android), CVE-2025-11749 (complemento AI Engine), CVE-2025-12501 (IDE de GameMaker), CVE-2025-23358 (Aplicación NVIDIA para Windows), CVE-2025-64458 , CVE-2025-64459 (Django), CVE-2025-12058 (Keras AI), CVE-2025-12779 (cliente de Amazon WorkSpaces para Linux), CVE-2025-12735 (evaluación expresa de JavaScript), CVE-2025-62847, CVE-2025-62848, CVE-2025-62849 (QNAP QTS y QuTS hero), CVE-2024-12886 , CVE-2025-51471 , CVE-2025-48889 (Ollama), CVE-2025-34299 (Monsta FTP), CVE-2025-31133, CVE-2025-52565, CVE-2025-52881 (ejecución C), CVE-2025-55315 (servidor ASP.NET Core Kestrel), CVE-2025-64439 (punto de control de Langgraph), CVE-2025-37735 (Elastic Defend en Windows) y siete vulnerabilidades en django-allauth.

📰 En todo el mundo cibernético

• Cuentas RDP violadas para eliminar el ransomware Cephalus — Un nuevo ransomware basado en Go llamado Cephalus ha estado violando organizaciones robando credenciales a través de cuentas de Protocolo de escritorio remoto (RDP) que no tienen habilitada la autenticación multifactor (MFA) desde mediados de junio de 2025. Actualmente no se sabe si funciona bajo un ransomware como servicio (RaaS). «Al ejecutarse, desactiva la protección en tiempo real de Windows Defender, elimina las copias de seguridad de VSS y detiene servicios clave como Veeam y MSSQL para aumentar su tasa de éxito de cifrado y reducir las posibilidades de recuperación», explica AhnLab dijo . «Cephalus utiliza una única clave AES-CTR para el cifrado, y esta clave se gestiona para minimizar la exposición en el disco y en la memoria. Por último, la clave AES se cifra mediante una clave pública RSA integrada, lo que garantiza que solo los atacantes que dispongan de la clave privada RSA correspondiente puedan descifrar la clave. Interrumpe el análisis dinámico al generar una clave AES falsa».
• WhatsApp implementará protecciones mejoradas para cuentas de alto riesgo — Los usuarios que corran un mayor riesgo de ser blanco de intentos de hackeo pronto tendrán la opción de habilitar un conjunto adicional de funciones de seguridad en WhatsApp, según una versión beta de la aplicación analizada por Información de WaBeta . Similar al de Apple Modo de bloqueo , la función bloquea los archivos multimedia y adjuntos de remitentes desconocidos, añade restricciones de llamadas y mensajes y permite otros ajustes, como silenciar a las personas desconocidas, restringir las invitaciones grupales automáticas a contactos conocidos, deshabilitar la vista previa de los enlaces, notificar a los usuarios los cambios en el código de cifrado, activar la verificación en dos pasos y limitar la visibilidad de la información personal de los contactos desconocidos.
• Aurologic proporciona alojamiento a entidades sancionadas — El proveedor de alojamiento alemán aurologic GmbH se ha convertido en un «nexo central dentro del ecosistema mundial de infraestructuras maliciosas» que proporciona servicios de centro de datos y de tránsito ascendente a una gran concentración de redes de alojamiento de alto riesgo, incluidas Red de desinformación Doppelgänger y el recientemente sancionado Grupo Aeza, junto con Metaspinner net GmbH (Asyncrat, NJRAT, Quasar RAT), Femo IT Solutions Limited (CastleLoader y otros programas maliciosos), Global-Data System IT Corporation (Cobalt Strike, Sliver, Quasar RAT, Remcos RAT y otros programas maliciosos) y Railnet. La empresa se estableció en octubre de 2023. «A pesar de centrarse principalmente en las operaciones legítimas de redes y centros de datos, Aurologic se ha convertido en el centro de algunas de las redes más abusivas y de mayor riesgo que operan dentro del ecosistema de alojamiento global», dijo Recorded Future dijo .
• Australia sanciona a los actores de amenazas norcoreanos — El Gobierno australiano ha impuesto sanciones financieras y prohibiciones de viaje a cuatro entidades y una persona -- Park Jin Hyok, Kimsuky, Lazarus Group, Andariel y Chosun Expo, por participar en la ciberdelincuencia para apoyar y financiar los programas ilegales de armas de destrucción masiva y misiles balísticos de Corea del Norte. «La magnitud de la participación de Corea del Norte en actividades cibernéticas malintencionadas, como el robo de criptomonedas, el trabajo fraudulento de TI y el espionaje, es sumamente preocupante», señala el Ministerio de Asuntos Exteriores dijo .
• El Reino Unido toma medidas contra los números móviles falsificados — Los operadores de telefonía móvil del Reino Unido mejorarán sus redes para «eliminar la posibilidad de que los centros de llamadas extranjeros falsifiquen los números del Reino Unido». Las empresas marcarán cuando las llamadas lleguen del extranjero para evitar que los estafadores se hagan pasar por números de teléfono del Reino Unido. Las empresas también implementarán una «tecnología avanzada de rastreo de llamadas» para que las fuerzas del orden cuenten con las herramientas necesarias para localizar a los estafadores que operan en todo el país y desmantelar sus operaciones. «A los delincuentes les resultará más difícil que nunca engañar a las personas mediante llamadas fraudulentas, utilizando tecnología de vanguardia para sacar a la luz a los defraudadores y llevarlos ante la justicia», afirma el gobierno del Reino Unido dijo .
• Fallo de seguridad en Advanced Installer — Se ha descubierto una vulnerabilidad en Advanced Installer (versión 22.7), un marco para crear instaladores de Windows. Este error puede permitir a los atacantes secuestrar los mecanismos de actualización de las aplicaciones y ejecutar código externo malintencionado si los paquetes de actualización no están firmados digitalmente. Por defecto, y en la práctica habitual, no están firmados digitalmente, señaló Cyderes. Según su sitio web , los desarrolladores y administradores de sistemas de más de 60 países utilizan Advanced Installer «para empaquetar o volver a empaquetar todo, desde pequeños productos de shareware, aplicaciones internas y controladores de dispositivos hasta sistemas masivos de misión crítica». El riesgo de seguridad supone un riesgo importante para la cadena de suministro, debido a la popularidad de Advanced Installer, que abre la puerta a Bring Your Own Updates (BYOU), que permite a los atacantes secuestrar actualizadores de confianza para ejecutar código arbitrario sin pasar por los controles de seguridad. «Estos ataques son especialmente peligrosos porque aprovechan la confianza y la escala: una sola actualización envenenada de una herramienta muy utilizada (por ejemplo, un instalador o una herramienta de creación como Advanced Installer) puede distribuir de forma silenciosa malware firmado y confiable a innumerables empresas globales, lo que provoca un amplio robo de datos, interrupciones operativas, sanciones reglamentarias y graves daños a la reputación en muchos sectores», dijo el investigador de seguridad Reegun Jayapaul dijo .
• Detección de jailbreak en la aplicación Authenticator — Microsoft anunció que introducirá la detección de jailbreak/root para las credenciales de Microsoft Entra en la aplicación Authenticator a partir de febrero de 2026. «Esta actualización refuerza la seguridad al impedir que las credenciales de Microsoft Entra funcionen en dispositivos rooteados o con jailbreak. Se borrarán todas las credenciales existentes en dichos dispositivos para proteger a su organización», dijo . El cambio se aplica a los dispositivos Android e iOS.
• Los malos actores explotan las fallas del software RMM — Se ha descubierto que los actores de amenazas explotan vulnerabilidades de seguridad conocidas en la plataforma SimpleHelp Remote Monitoring and Management (RMM) (CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728) para obtener acceso descendente a los entornos de los clientes e implementar los ransomware Medusa y DragonForce. «Al comprometer los servidores RMM de terceros que funcionan como SYSTEM, los atacantes lograron el control total de las redes de las víctimas, desplegaron herramientas de detección, deshabilitaron las defensas, filtraron datos a través de rClone y Restic y, por último, cifraron los sistemas», Zensec dijo .
• Camboya allana complejos fraudulentos en la ciudad de Bavet — El gobierno camboyano allanado dos complejos de ciberestafas en la ciudad de Bavet el 4 de noviembre de 2025, que detuvieron a más de 650 sospechosos, en su mayoría ciudadanos extranjeros. Un complejo de estafas se especializó en hacerse pasar por autoridades gubernamentales para amenazar a las víctimas, mientras que el segundo publicó falsas inversiones con altos beneficios, plataformas bancarias falsificadas, estafas románticas, inscripciones falsas para maratones y el uso de vídeos e imágenes con tecnología de inteligencia artificial para falsificar identidades.
• El cofundador de Samourai Wallet es sentenciado a 5 años de prisión — Keonne Rodriguez, cofundadora y directora ejecutiva del servicio de mezcla de criptomonedas Samourai Wallet, fue sentenciado a cinco años de prisión. Autoridades cerrar el sitio web de Samourai Wallet en abril de 2024. El servicio se utilizó para blanquear más de 237 millones de dólares en criptomonedas vinculadas a la piratería informática, el fraude en línea y el tráfico de drogas. Se espera que el director de tecnología de Samourai Wallet, William Lonergan Hill, sea sentenciado a finales de este mes. Ambos individuos se declaró culpable a cargos de lavado de dinero en agosto.
• Hombre ruso se declara culpable de los ataques de Yanluowang — Un ciudadano ruso de 25 años, Aleksei Olegovich Volkov, ha suplicó culpable para hackear empresas estadounidenses y vender el acceso a grupos de ransomware. Volkov se conectó a Internet con el nombre de hacker chubaka.kor y trabajó como intermediario de acceso inicial (IAB) para el ransomware Yanluowang explotando fallos de seguridad entre julio de 2021 y noviembre de 2022. Hasta siete empresas estadounidenses fueron atacadas durante ese período, de las cuales una empresa de ingeniería y un banco pagaron un total de 1,5 millones de dólares en rescates. Volkov fue arrestado el 18 de enero de 2024 en Roma y posteriormente fue extraditado a Estados Unidos para ser acusado.
• Los bots maliciosos de IA se hacen pasar por agentes legítimos — Se ha descubierto que los actores de amenazas desarrollan e implementan bots que se hacen pasar por agentes de IA legítimos de proveedores como Google, OpenAI, Grok y Anthropic. «Los actores malintencionados pueden aprovechar las políticas actualizadas sobre bots falsificando las identidades de los agentes de inteligencia artificial para eludir los sistemas de detección, lo que podría llevar a cabo ataques de robo de cuentas (ATO) a gran escala y de fraude financiero», señala Radware dijo . «Los atacantes solo necesitan falsificar el agente de usuario de ChatGPT y utilizar proxies residenciales o técnicas de suplantación de IP para clasificarse como un «buen bot de IA» con permisos POST».
• Los instaladores falsos imitan las herramientas de productividad en las campañas en curso — Las campañas de robo de información aprovechan a instaladores malintencionados que se hacen pasar por herramientas de productividad legítimas con capacidad de puerta trasera, que probablemente se creen utilizando Evil AI para distribuir malware conocido como TamperedChef/Baoloader. «La puerta trasera también es capaz de extraer los secretos de la DPAPI y ofrece una funcionalidad completa de comando y control, que incluye la ejecución arbitraria de comandos, la carga y descarga de archivos y la exfiltración de datos», dijo CyberProof dijo . «En la mayoría de los casos observados, el malware continúa con el despliegue de archivos binarios de segunda etapa y establece mecanismos de persistencia adicionales, como las claves de ejecución del registro ASEP y los archivos de inicio .LNK».

🎥 Seminarios web sobre ciberseguridad

• Descubra cómo los mejores expertos protegen las cargas de trabajo multinube sin ralentizar la innovación — Únase a esta sesión dirigida por expertos para aprender a proteger sus cargas de trabajo en la nube sin ralentizar la innovación. Descubrirá formas sencillas y comprobadas de controlar las identidades, cumplir con las normas de cumplimiento globales y reducir el riesgo en los entornos de múltiples nubes. Ya sea que trabaje en tecnología, finanzas u operaciones, saldrá con medidas claras y prácticas para reforzar la seguridad y mantener su empresa ágil, compatible y preparada para lo que viene.
• Barreras, no conjeturas: cómo los equipos de TI maduros protegen sus canalizaciones de parches — Únase a esta sesión para aprender a aplicar parches más rápido sin perder la seguridad. Verás ejemplos reales de cómo los repositorios comunitarios, como Chocolatey y Winget, pueden exponer tu red si no se gestionan de forma segura, y obtendrás medidas de protección claras y prácticas para evitarlo. Gene Moody, director de tecnología de campo de Action1, le mostrará exactamente cuándo confiar en los repositorios comunitarios, cuándo recurrir directamente al proveedor y cómo equilibrar la velocidad con la seguridad para que la aplicación de parches sea rápida, fiable y segura.
• Descubra cómo las empresas líderes están reduciendo el tiempo de exposición a la mitad con DASR — Únase a esta sesión en directo para descubrir cómo la reducción dinámica de la superficie de ataque (DASR) le ayuda a superar un sinfín de listas de vulnerabilidades y detener los ataques antes de que ocurran. Verás cómo la automatización inteligente y las decisiones basadas en el contexto pueden reducir la superficie de ataque, cerrar los puntos de entrada ocultos y liberar a tu equipo del cansancio provocado por las alertas. Lánzate con un plan claro para reducir la exposición con mayor rapidez, reforzar las defensas y estar un paso por delante de los piratas informáticos, sin añadir esfuerzo adicional.

🔧 Herramientas de ciberseguridad

• FuzzForge es una herramienta de código abierto que ayuda a los ingenieros e investigadores de seguridad a automatizar las pruebas de seguridad ofensiva y de aplicaciones mediante IA y fuzzing. Permite realizar análisis de vulnerabilidades, gestionar los flujos de trabajo y utilizar agentes de inteligencia artificial para analizar el código, encontrar errores y comprobar los puntos débiles en diferentes plataformas. Está diseñado para que las pruebas en la nube y AppSec sean más rápidas, inteligentes y fáciles de escalar para individuos y equipos.
• Mayordomo es una herramienta que escanea todos los repositorios de una organización de GitHub para encontrar y revisar los flujos de trabajo, las acciones, los secretos y las dependencias de terceros. Ayuda a los equipos de seguridad a entender qué es lo que se ejecuta en su entorno de GitHub y produce informes HTML y CSV fáciles de leer para las auditorías, las comprobaciones de cumplimiento y la gestión del flujo de trabajo.
• Encuentra WSUS es una herramienta de PowerShell que ayuda a los equipos de seguridad y a los administradores de sistemas a encontrar todos los servidores WSUS definidos en la política de grupo. Comprueba tanto la configuración normal de las políticas como las preferencias ocultas de las políticas de grupo que no aparecen en los informes estándar. Esto es importante porque un servidor WSUS comprometido puede enviar actualizaciones falsas y tomar el control de todos los ordenadores del dominio. El uso de Find-WSUS garantiza que sabrá exactamente dónde están configurados sus servidores de actualización, antes de que lo sepan los atacantes.

Descargo de responsabilidad: Estas herramientas son únicamente para uso educativo y de investigación. No se han sometido a pruebas de seguridad exhaustivas y podrían suponer un riesgo si se utilizan de forma incorrecta. Revisa el código antes de probarlos, pruébalo solo en entornos seguros y sigue todas las normas éticas, legales y organizativas.

🔒 Consejo de la semana

Impida que los datos confidenciales lleguen a los chats de IA — Muchos equipos utilizan herramientas de chat de IA para hacer las cosas más rápido, como escribir guiones, corregir errores o acortar los informes. Sin embargo, todo lo que se escribe en estos sistemas sale de la red de la empresa y puede almacenarse, registrarse o reutilizarse. Si esos datos incluyen credenciales, código interno o información de clientes, se convierten fácilmente en un punto de filtración.

Los atacantes y las personas con información privilegiada pueden recuperar estos datos más adelante, o los modelos podrían exponerlos accidentalmente en futuros resultados. Un aviso descuidado puede exponer mucho más de lo esperado.

✅ Agregue una capa de seguridad antes de la IA. Utilice OpenGuardrails o marcos de código abierto similares para escanear y bloquear el texto confidencial antes de enviarlo al modelo. Estas herramientas se integran directamente en sus aplicaciones o sistemas de chat internos.

✅ Combínelo con la supervisión de DLP. Herramientas como MyDLP u OpenDLP pueden observar los datos salientes en busca de patrones como contraseñas, claves de API o identificadores de clientes.

✅ Cree políticas rápidas. Defina lo que los empleados pueden y no pueden compartir con los sistemas de IA. Trate las solicitudes como si fueran datos y abandonen su red.

No confíe en las empresas de inteligencia artificial para mantener sus secretos a salvo. Agregue barreras a su flujo de trabajo y vigile lo que sale de su espacio. No quieres que los datos confidenciales acaben entrenando el modelo de otra persona.

Conclusión

No basta con leer los titulares. Estos ataques muestran lo que vendrá después: más ocultos, más concentrados y más difíciles de detectar.

Ya sea que trabajes en seguridad o simplemente quieras mantenerte al tanto, esta actualización lo desglosa rápidamente. Claro, útil, sin ruido adicional. Tómate unos minutos y déjate atrapar antes de que llegue la próxima gran amenaza.