⚡ Resumen semanal: Fortinet Exploit, Chrome 0-D...

Esta semana hubo muchos nuevos problemas cibernéticos. Los piratas informáticos atacan Fortinet y Chrome con nuevos errores de 0 días. También irrumpieron en las cadenas de suministro y en las herramientas de SaaS. Muchos se escondieron en aplicaciones confiables, alertas de navegadores y actualizaciones de software.

Las grandes empresas como Microsoft, Salesforce y Google tuvieron que reaccionar con rapidez: detener los ataques DDoS, bloquear los enlaces incorrectos y corregir las fallas existentes. Los informes también mostraron la rapidez con la que aumentan las noticias falsas, los riesgos de la IA y los ataques a los desarrolladores.

Esto es lo que más importó en materia de seguridad esta semana.

⚡ Amenaza de la semana

Fortinet advierte sobre otra falla de FortiWeb parcheada silenciosamente y explotada activamente — Fortinet ha advertido que una nueva falla de seguridad en FortiWeb ha sido explotada en estado salvaje. La vulnerabilidad de gravedad media, registrada como CVE-2025-58034, tiene una puntuación CVSS de 6,7 sobre un máximo de 10,0. Se solucionó en la versión 8.0.2. «La neutralización inadecuada de los elementos especiales utilizados en la vulnerabilidad CWE-78 de un comando del sistema operativo («inyección de comandos del sistema operativo») en FortiWeb puede permitir a un atacante autenticado ejecutar código no autorizado en el sistema subyacente mediante solicitudes HTTP o comandos de CLI diseñados previamente», afirma la empresa. El desarrollo se produjo días después de que Fortinet confirmara que había parcheado silenciosamente otra vulnerabilidad crítica de FortiWeb (CVE-2025-64446, puntuación CVSS: 9.1) en la versión 8.0.2. Aunque la empresa no ha aclarado si la actividad de explotación está vinculada, Orange Cyberdefense afirmó haber realizado «varias campañas de explotación» que encadenaban el CVE-2025-58034 con el CVE-2025-64446 para facilitar la elusión de la autenticación y la inyección de comandos. La forma en que Fortinet ha manejado el tema ha sido objeto de fuertes críticas. Es posible que la empresa lo supiera, pero decidió no divulgarlas para evitar alertar a otros actores de amenazas sobre su existencia hasta que la mayoría de sus clientes hubieran aplicado el parche. Pero lo que es difícil de explicar en este momento es por qué Fortinet optó por revelar las fallas con cuatro días de diferencia.

Ejercicios de mesa Scale IR: mejores prácticas y pasos para elaborar un plan

Descubra cómo una plataforma de validación de exposición adversa (AEV) estandariza, automatiza y escala globalmente los ejercicios de mesa. Conozca las mejores prácticas para medir la preparación humana, fortalecer la IR y alinearse con DORA y NIS2.

Vea la grabación ➝

🔔 Noticias principales

• Google parchea el nuevo Chrome explotado activamente del día 0 — Google publicó actualizaciones de seguridad para su navegador Chrome para corregir dos fallas de seguridad, incluida una que ha sido objeto de explotación activa en estado salvaje. La vulnerabilidad en cuestión es la CVE-2025-13223 (puntuación CVSS: 8,8), una vulnerabilidad de tipo confusión en el motor V8 de JavaScript y WebAssembly que podría aprovecharse para ejecutar código arbitrariamente o provocar bloqueos del programa. A Clément Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, se le atribuye el mérito de descubrir la falla y denunciarla el 12 de noviembre de 2025. Google no ha compartido ningún detalle sobre quién está detrás de los ataques, quién puede haber sido el objetivo ni la magnitud de dichos esfuerzos. Sin embargo, el gigante tecnológico reconoció que «existe un exploit para el CVE-2025-13223 en estado salvaje». Con la última actualización, Google ha subsanado siete fallos de seguridad inexistentes en Chrome que, o bien han sido explotados activamente o bien demostrados como prueba de concepto (PoC) desde principios de año.
• Matrix Push C2 usa extensiones de navegador para llevar a los usuarios a páginas de suplantación de identidad — Los delincuentes utilizan las notificaciones del navegador como vector para los ataques de suplantación de identidad para distribuir enlaces maliciosos mediante una nueva plataforma de comando y control (C2) llamada Matrix Push C2. En estos ataques, se engaña a los posibles objetivos para que permitan que el navegador envíe notificaciones mediante ingeniería social a sitios web maliciosos o legítimos pero comprometidos. Una vez que un usuario acepta recibir notificaciones del sitio, los atacantes aprovechan el mecanismo de notificaciones web push integrado en el navegador web para enviar alertas que parecen haber sido enviadas por el sistema operativo o el propio navegador. El servicio está disponible por unos 150 dólares durante un mes, 405 dólares durante tres meses, 765 dólares durante seis meses y 1500 dólares durante un año completo. El hecho de que la herramienta no dependa de ninguna plataforma significa que los actores de amenazas que buscan robar credenciales, hacer fraudes con pagos y estafas con criptomonedas podrían preferirla. Para contrarrestar estos riesgos, es necesario que los proveedores de navegadores implementen protecciones más estrictas contra el abuso, como utilizar un sistema de reputación para marcar los sitios incompletos y revocar automáticamente los permisos de notificación de los sitios sospechosos.
• PlushDaemon APT usa EdgeSepper para secuestrar actualizaciones de software — Se ha observado que el actor de amenazas conocido como PlushDaemon utilizaba una puerta trasera de red basada en Go, previamente indocumentada, con el nombre en código EdgeStepper para facilitar los ataques de tipo adversario intermedio (AiTM). EdgeStepper se sitúa entre la víctima y el borde de la red, y rastrea las solicitudes de ciertos productos de software chinos populares, como el editor de entradas del método Sogou Pinyin, el servicio en la nube Baidu Netdisk, la mensajería instantánea multipropósito Tencent QQ y la suite ofimática gratuita WPS Office. Si se encuentra una solicitud de actualización de software de este tipo, EdgeStepper la redirigirá a la infraestructura de PlushDaemon, lo que provocará la descarga de una actualización troyanizada. Los ataques conducen al despliegue de SlowStepper.
• Salesforce advierte sobre el acceso no autorizado a los datos a través de aplicaciones vinculadas a Gainsight — Salesforce alertó a los clientes sobre una «actividad inusual» relacionada con las aplicaciones publicadas por GainSight conectadas a la plataforma. La empresa de servicios en la nube dijo que había tomado la medida de revocar todos los tokens de acceso activo y actualizar asociados a las aplicaciones publicadas en Gainsight conectadas a Salesforce. También ha eliminado temporalmente esas aplicaciones de AppExchange mientras continúa su investigación. Gainsight dijo que la aplicación Gainsight se retiró temporalmente del HubSpot Marketplace y que el acceso al conector de Zendesk se revocó como medida de precaución. Google ha atribuido la campaña a ShinyHunters, y se ha determinado que el grupo ha robado datos de más de 200 instancias de Salesforce que podrían estar afectadas. La empresa de ciberseguridad CrowdStrike también dijo despidió a un «informante sospechoso» el mes pasado por supuestamente haber pasado información privilegiada a Scattered LAPSUS$ Hunters. Un miembro de la banda extorsionadora dijo The Register obtuvieron acceso a Gainsight tras el hackeo de Salesloft Drift a principios de este año. El incidente pone de manifiesto una vez más el riesgo de seguridad que supone la cadena de suministro de la integración de SaaS, en la que la intrusión de un solo proveedor actúa como puerta de entrada a docenas de entornos intermedios.
• Microsoft mitiga un ataque DDoS sin precedentes de 15,72 Tbps — Microsoft reveló que detectó y neutralizó automáticamente un ataque de denegación de servicio distribuido (DDoS) dirigido a un único punto final en Australia, que medía 15,72 terabits por segundo (Tbps) y casi 3,64 mil millones de paquetes por segundo (pps). El gigante tecnológico afirmó que fue el mayor ataque DDoS jamás observado en la nube y que se originó a partir de una botnet del Internet de las Cosas (IoT) del tipo Turbomirai conocida como AISURU. Actualmente no se sabe quién fue el objetivo del ataque. Según datos de QianXin xLab, la botnet AISURU funciona con casi 300 000 dispositivos infectados, la mayoría de los cuales son enrutadores, cámaras de seguridad y sistemas de DVR. Se le ha atribuido a algunos de los mayores ataques DDoS registrados hasta la fecha. En un informe publicado el mes pasado, NETSCOUT clasificó la botnet de ataques DDoS a sueldo como una red que operaba con una clientela restringida. QianXin xLab dijo a The Hacker News que una botnet llamada Kimwolf probablemente esté vinculada al grupo detrás de AISURU, y recientemente añadió uno de los dominios C2 de Kimwolf sobrepasó Google en la lista de los 100 principales dominios de Cloudflare, específicamente, 14emeliaterracewestroxburyma02132 [.] su.

‎️ 🔥 CVs de tendencia

Los hackers actúan rápido. Pueden detectar nuevos errores en cuestión de horas. La falta de una actualización puede provocar una violación grave. Estas son las fallas de seguridad más graves de esta semana. Revíselos, corrija primero lo que sea importante y manténgase protegido.

La lista de esta semana incluye: CVE-2025-9501 ( Plugin W3 Total Cache ), CVE-2025-62765 (Puerta de enlace Lynx+), CVE-2025-36251, CVE-2025-36250 (IBM AIX), CVE-2025-60672, CVE-2025-60673, CVE-2025-60674, CVE-2025-60676 (enrutadores D-Link DIR-878), CVE-2025-40547, CVE-2025-40548, CVE-2025-40549 (SolarWinds Serv-U), CVE-2025-40601 (SonicWall en iOS), CVE-2025-50165 (Gráficos de Windows), CVE-2025-9316, CVE-2025-11700 (Tabla N-central), CVE-2025-13315, CVE-2025-13316 (Servidor Twonky), CVE-2024-24481, CVE-2025-13207 (Serie Tenda N300 y Tenda 4G03 Pro), CVE-2025-13051 (UN TUTOR), CVE-2025-49752 (Bastión Azul), CVE-2024-48949, CVE-2024-48948 (elíptica) y un Vulnerabilidad de elusión de verificación TLS en GoSign Desktop (sin CVE).

📰 En todo el mundo cibernético

• Se ha eliminado la extensión maliciosa de VS Code — Se encontró una extensión maliciosa de Visual Studio Code que intentaba capitalizar la marca legítima «Prettier» para recopilar datos confidenciales. La extensión, denominada «publishingsofficial.prettier-vscode-plus», se publicó en Microsoft Extension Marketplace el 21 de noviembre de 2025. La extensión, una vez instalada, lanza un script por lotes que se encarga de ejecutar un archivo de script de Visual Basic diseñado para ejecutar un malware robador. «El sistema de carga útil insertado en la extensión maliciosa parece diseñado para eludir las tácticas habituales de análisis estático y antimalware», explica Checkmarx dijo . «Es un ataque de varias etapas que termina con el despliegue y la ejecución de lo que parece ser una variante del malware Anivia Stealer; este malware adquiere y exfiltra credenciales, metadatos e información privada, como los chats de WhatsApp, de máquinas Windows». Desde entonces, la extensión ha sido eliminada.
• Cientos de sitios web en inglés enlazan con propaganda a favor del Kremlin — Un nuevo estudio del Instituto para el Diálogo Estratégico (ISD) ha revelado que cientos de sitios web en inglés entre julio de 2024 y julio de 2025, incluidos medios de comunicación, verificadores de datos e instituciones académicas, están enlazando a artículos de una red partidaria del Kremlin llamada Pravda eso está inundando Internet con desinformación. «Aproximadamente 900 sitios de todo el espectro político, desde los principales medios de comunicación hasta blogs marginales, han enlazado artículos de la cadena Pravda durante el período de un año observado», dijo el ISD dijo . «Una muestra revisada de más de 300 sitios en inglés incluyó medios de comunicación nacionales y locales de EE. UU., fuentes destacadas de comentarios políticos e instituciones académicas y de verificación de datos». Se estima que la red Pravda utiliza una estrategia de gran volumen para influir en los grandes modelos lingüísticos (LLM), como los de ChatGPT y Gemini, y sembrarlos con narrativas prorrusas, un proceso que se conoce como preparación del LLM. La red ha estado activa desde 2014 y ha publicado más de 6 millones de artículos.
• Anthropic descubre que el hackeo de recompensas conduce a una mayor desalineación — Un nuevo estudio de la empresa de inteligencia artificial (IA) Anthropic reveló que los grandes modelos lingüísticos (LLM) se capacitaron para» truco de recompensa «Al hacer trampa en las tareas de codificación, muestran un comportamiento aún más desalineado, incluido el sabotaje de la investigación sobre seguridad de la IA. «Cuando aprenden a hacer trampa en las tareas de programación de software, pasan a mostrar otros comportamientos aún más desalineados, como consecuencia no deseada», afirman desde la empresa dijo . «Estos incluyen comportamientos preocupantes como la falsificación de alineamientos y el sabotaje de la investigación sobre seguridad de la IA».
• Microsoft incluirá Sysmon en Windows 11 — Microsoft dijo que añadirá Sysmon, una aplicación de terceros del paquete Sysinternals, a las futuras versiones de Windows 11 para ayudar con el análisis de los registros de seguridad. «El año que viene, las actualizaciones de Windows para Windows 11 y Windows Server 2025 llevarán la funcionalidad de Sysmon de forma nativa a Windows», el gigante tecnológico dijo . «La funcionalidad de Sysmon permite utilizar archivos de configuración personalizados para filtrar los eventos capturados. Estos eventos se escriben en el registro de eventos de Windows, lo que permite una amplia gama de casos de uso, incluso en aplicaciones de seguridad».
• Se han encontrado más de 150 servidores Remcos RAT — La plataforma de gestión de superficies de ataque Censys dijo que rastreaba constantemente a más de 150 activos Remcos ART servidores de comando y control (C2) entre el 14 de octubre y el 14 de noviembre de 2025. «La mayoría de los servidores funcionaban en el puerto 2404, comúnmente asociado a Remcos, y además utilizaban los puertos 5000, 5060, 5061, 8268 y 8808, lo que demuestra la flexibilidad de implementación», dijo la empresa dijo . «Un subconjunto de hosts expuso el bloque de mensajes del servidor (SMB) y el Protocolo de escritorio remoto (RDP), lo que sugiere que algunos operadores también utilizan servicios nativos de Windows para la administración. El alojamiento se concentró en los Estados Unidos, los Países Bajos y Alemania, con grupos más pequeños en Francia, el Reino Unido, Turquía y Vietnam».
• PyPI exigirá la verificación del correo electrónico para los inicios de sesión TOTP — El portal Python Package Index (PyPI) ahora requerirá la verificación por correo electrónico para todos los inicios de sesión con contraseña de un solo uso (TOTP) basados en el tiempo que procedan de los nuevos dispositivos de los desarrolladores. «Los usuarios que hayan habilitado WebAuthn (claves de seguridad) o claves de acceso para la autenticación de dos factores no verán ningún cambio, ya que estos métodos son intrínsecamente resistentes a la suplantación de identidad», dijo PyPI dijo . «Vinculan criptográficamente la autenticación al sitio web específico (origen), lo que significa que un atacante no puede engañarte para que te autentiques en un sitio falso, a diferencia de los códigos TOTP, que pueden ser objeto de suplantación de identidad».
• Detallan los ataques multidominio de Blockade Spider — Se ha atribuido a un actor de amenazas con motivaciones financieras conocido como Blockade Spider el uso de técnicas multidominio en sus campañas de ransomware desde al menos abril de 2024. El grupo de ciberdelincuencia utiliza el ransomware Embargo y el robo de datos para monetizar sus operaciones. «Obtienen acceso a través de sistemas no gestionados, descargan las credenciales y se trasladan lateralmente a una infraestructura virtualizada para cifrar archivos de forma remota con el ransomware Embargo», dijo CrowdStrike dijo . «También han demostrado la capacidad de centrarse en entornos de nube». En un caso anterior marcado creado por la empresa, el actor de amenazas añadió usuarios comprometidos a un grupo de Active Directory «sin MFA», eludió los controles de seguridad e implementó ransomware, al tiempo que evadió los sistemas de detección tradicionales.

• JSGuldr Loader entrega Phantom Stealer — Se ha utilizado un nuevo cargador de múltiples etapas de JavaScript a PowerShell en los ciberataques, que ofrece un ladrón de información llamado Phantom Stealer. «Un archivo JavaScript activa PowerShell mediante una llamada COM de Explorer, extrae la segunda etapa de %APPDATA%\ Registreri62 y, a continuación, usa net.WebClient para buscar una carga cifrada de Google Drive en %APPDATA%\ Autorise131 [.] Tel,» ANY.RUN dijo . «La carga útil se decodifica en la memoria y se carga, con PhantomStealer inyectado en msiexec.exe». El ataque combina técnicas de ofuscación y de carga en memoria sin archivos para eludir la detección. Como la carga útil final se ejecuta completamente en la memoria dentro de un proceso confiable, permite a los actores de amenazas moverse sigilosamente por la red y robar datos.
• Apple actualiza las directrices para desarrolladores de la App Store — Apple actualizó sus directrices para desarrolladores para exigir que todas las aplicaciones revelen si recopilan y comparten datos de usuario con empresas de inteligencia artificial, así como que soliciten permisos a los usuarios. «Debes revelar claramente dónde compartirás los datos personales con terceros, incluida la IA de terceros, y obtener un permiso explícito antes de hacerlo», según la regla 5.1.2 (i) de la empresa ahora estados . El cambios entró en vigor el 13 de noviembre de 2025.
• La campaña de malware se dirige a los servidores IIS de Microsoft para implementar malware de IIS de mala reputación — Se ha observado una campaña de malware denominada WEBJACK que compromete los servidores IIS de Microsoft para implementar módulos IIS maliciosos que pertenecen a la familia de malware BadIIS. «Se abusa de los servidores secuestrados para envenenar el SEO y cometer fraudes, redirigiendo a los usuarios a sitios web de casinos, juegos de azar o apuestas», WithSecure dijo . «El actor de la amenaza ha comprometido a objetivos de alto perfil, como instituciones gubernamentales, universidades, empresas de tecnología y muchas otras organizaciones, y ha abusado de la reputación de sus dominios para publicar contenido fraudulento en las páginas de resultados de los motores de búsqueda (SERP)». No se conoce el vector de acceso inicial utilizado en los ataques, aunque las intrusiones anteriores de BADiS se han aprovechado de aplicaciones web vulnerables, han robado credenciales de administrador y han conseguido el acceso a agentes de acceso inicial. Las herramientas y las características operativas observadas apuntan a un fuerte nexo con China, un patrón que se pone de manifiesto con el descubrimiento de clústeres similares en los últimos meses, como GhostRedirector, Operation Rewrite, UAT-8099 y TOLLBOOTH.

• Un esquema de suplantación de identidad apunta a las cuentas — Cientos de víctimas de Oriente Medio, Asia y otros lugares se han visto envueltas en una nueva estafa que aprovecha los portales de inicio de sesión clonados, los dominios de bajo costo y los flujos de trabajo de «dispositivos vinculados» y contraseñas de un solo uso de WhatsApp para secuestrar cuentas de WhatsApp. «Los responsables de esta campaña crean sitios web fraudulentos que imitan fielmente las interfaces legítimas de WhatsApp y utilizan tácticas urgentes para engañar a los usuarios y hacerles perder el acceso a sus cuentas», explica CTM360 dijo . La campaña lleva el nombre en código HackonChat. Hasta la fecha, se han descubierto más de 9000 URL de suplantación de identidad, y los sitios están alojados en dominios registrados en dominios de primer nivel de bajo coste o menos regulados, como .cc, .net, .icu y .top. En los últimos 45 días, se registraron más de 450 incidentes. «Los atacantes se basan en dos técnicas principales: el secuestro de sesiones, en el que se aprovecha la función de un dispositivo vinculado a WhatsApp para secuestrar las sesiones web de WhatsApp, y el robo de cuentas, que consiste en engañar a las víctimas para que revelen su clave de autenticación y así hacerse con la propiedad total de sus cuentas», añadió la empresa. «Los enlaces maliciosos utilizan plantillas de verificación de alertas de seguridad falsas, páginas web engañosas que imitan a WhatsApp y mensajes de invitación grupales falsificados, todo ello diseñado para atraer a los usuarios a caer en estas trampas y facilitar el proceso de hackeo».
• Aumento del escaneo de GlobalProtect en Palo Alto Networks — La firma de inteligencia de amenazas GreyNoise ha advertido sobre otra ola de actividad de escaneo apuntando a los portales GlobalProtect de Palo Alto Networks. «A partir del 14 de noviembre de 2025, la actividad se intensificó rápidamente y culminó con un aumento de 40 veces en 24 horas, lo que marcó un nuevo máximo en 90 días», dijeron desde la empresa dijo . Entre el 14 y el 19 de noviembre, se observaron 2,3 millones de sesiones que accedieron a la URI */global-protect/login.esp. Se considera que estos ataques son obra del mismo actor de amenazas basándose en las firmas TCP/Ja4t recurrentes y la superposición de la infraestructura.
• JustAskJacky es la amenaza más frecuente en octubre de 2025 — Una familia de malware conocida como Pregúntale a Jacky se convirtió en la amenaza más generalizada en octubre de 2025, seguida de KongTuke, Rhadamanthys, NetSupport RAT y Chef manipulado , según dato de Red Canary. JustAskJacky, que surgió a principios de este año, es una «familia de aplicaciones NodeJS maliciosas que se hacen pasar por una útil herramienta de inteligencia artificial o utilitaria mientras realizan tareas de reconocimiento y ejecutan comandos arbitrarios en la memoria en segundo plano».
• NSO Group busca anular el caso de WhatsApp — El mes pasado, un tribunal estadounidense pidió El proveedor de software espía comercial israelí NSO Group dejará de atacar WhatsApp. En respuesta, la empresa ha presentado un recurso ante revocar la sentencia , con el argumento de que la empresa «sufrirá daños irreparables y potencialmente existenciales» y se verá obligada a cerrar sus negocios. «Además, la orden judicial prohíbe a NSO llevar a cabo una conducta totalmente legal para desarrollar, licenciar y vender productos utilizados en investigaciones gubernamentales autorizadas, una prohibición que devastaría el negocio de NSO y podría obligarla a cerrar por completo», dice la moción.
• Contratista de Ohio se declara culpable de hackear a su exempleador — Maxwell Schultz, un hombre de 35 años de Ohio, se declaró culpable de cargos relacionados con el hackeo de la red de su antiguo empleador. El incidente tuvo lugar en 2021, después de que la empresa anónima despidiera a Schultz en su departamento de TI. Según el Departamento de Justicia de los Estados Unidos, Schultz accedió a la red de la empresa haciéndose pasar por otro contratista para obtener las credenciales de inicio de sesión. «Ejecutó un script de PowerShell que restableció aproximadamente 2500 contraseñas, lo que impidió que miles de empleados y contratistas pudieran acceder a sus computadoras en todo el país», dijeron desde el departamento dijo . «Schultz también buscó formas de eliminar los registros, los eventos de las ventanas de PowerShell y borró varios registros del sistema». El incidente causó pérdidas a la empresa por 862.000 dólares. Schultz admitió que llevó a cabo el ataque porque «estaba molesto por haber sido despedido». Se enfrenta a una pena de hasta 10 años en una prisión federal y a una posible multa máxima de 250.000 dólares.
• Fallos de seguridad en la IA de Cline Bot — Se han descubierto vulnerabilidades de seguridad en un asistente de codificación de IA de código abierto llamado Cline que podrían exponerlos a la inyección inmediata y a la ejecución de código malintencionado al abrir repositorios de código fuente especialmente diseñados. Los problemas se solucionaron en la versión 3.35.0 de Cline. «Las instrucciones del sistema no son textos de configuración inofensivos. Moldean el comportamiento de los agentes, influyen en los límites de los privilegios y aumentan considerablemente la ventaja de los atacantes cuando se exponen textualmente», explica Aaron Portnoy, investigador de Mindgard dijo . «Tratar las indicaciones como si no fueran sensibles pasa por alto la realidad de que los agentes modernos combinan el lenguaje, las herramientas y la ejecución de código en una sola superficie operativa. Proteger a los agentes de IA como Cline requiere reconocer que las solicitudes, el cableado de las herramientas y la lógica de los agentes están estrechamente relacionados, y cada uno de ellos debe abordarse como parte del límite de seguridad».

🎥 Seminarios web sobre ciberseguridad

• Barreras para el caos: cómo parchear rápidamente sin abrir la puerta a los atacantes — Las herramientas comunitarias, como Chocolatey y Winget, ayudan a los equipos a actualizar el software rápidamente. Pero también pueden ocultar riesgos: código antiguo, comprobaciones faltantes y actualizaciones no seguras. Gene Moody, de Action1, muestra cómo usar estas herramientas de forma segura, con pasos claros para mantener un equilibrio entre velocidad y seguridad.
• Conozca WormGPT, FraudGPT y SpamGPT: el lado oscuro de la IA que necesita ver — Las herramientas de inteligencia artificial ahora ayudan a los delincuentes a enviar correos electrónicos falsos. Nombres como WormGpt, FraudGpt y SpamGPT pueden escribir o enviar estos mensajes rápidamente. Crean correos electrónicos que parecen reales y pueden engañar a las personas y los filtran. Muchas herramientas de seguridad no pueden mantenerse al día. Los líderes deben ver cómo funcionan estos ataques y aprender a detenerlos antes de que roben las contraseñas.
• Configuraciones incorrectas, uso indebido y advertencias omitidas: la nueva ecuación de seguridad en la nube — Los piratas informáticos están encontrando nuevas formas de entrar en los sistemas en la nube. Algunos utilizan configuraciones de identidad débiles en AWS. Otros ocultan modelos de IA incorrectos copiando modelos reales. Algunos requieren demasiados permisos en Kubernetes. El equipo de Cortex Cloud mostrará cómo sus herramientas pueden detectar estos problemas de forma temprana y ayudar a detener los ataques antes de que ocurran.

🔧 Herramientas de ciberseguridad

• Yama Goya — Una nueva herramienta gratuita de JPCERT/CC. Ayuda a encontrar acciones extrañas o inseguras en Windows en tiempo real. Observa los archivos, los programas y los movimientos de la red, y comprueba la memoria en busca de amenazas ocultas. Utiliza las reglas de Sigma y YARA elaboradas por la comunidad de seguridad. Puede ejecutarlo con una ventana o desde la línea de comandos. También guarda las alertas en los registros de Windows para que otras herramientas puedan leerlas.
• Metis — Una herramienta gratuita creada por el equipo de seguridad de productos de Arm. Utiliza inteligencia artificial para comprobar si hay problemas de seguridad en el código. Ayuda a encontrar pequeños errores que las herramientas normales no detectan. Funciona con C, C++, Python, Rust y TypeScript. Puedes ejecutarlo en tu ordenador o añadirlo a tu sistema de compilación.

Descargo de responsabilidad: Estas herramientas son solo para aprender e investigar. Su seguridad no se ha sometido a pruebas exhaustivas. Si se usan de manera incorrecta, pueden causar daño. Compruebe primero el código, pruébelo solo en lugares seguros y siga todas las normas y leyes.

Conclusión

Cada semana demuestra que el panorama de las ciberamenazas nunca se detiene. Desde corregir vulnerabilidades hasta redes de bots en expansión y nuevos e ingeniosos métodos de ataque, los defensores se enzarzan en una carrera constante para mantenerse a la vanguardia. Incluso los errores más pequeños (una actualización perdida o una integración débil) pueden crear grandes oportunidades para los atacantes.

Mantenerse a la vanguardia exige prestar atención a los detalles, aprender de cada infracción y actuar con rapidez cuando aparecen las alertas. A medida que la frontera entre el software y la seguridad sigue difuminándose, la concienciación sigue siendo nuestra línea de defensa más sólida.

Estén atentos al RESUMEN de la semana que viene, en el que hacemos un seguimiento de las amenazas, los parches y los patrones que configuran el mundo digital.