gadgetsgenial.es

Categoría: Seguridad

Noticias relacionadas con la seguridad informática y la privacidad de la información

  • Mythos de Anthropic expuso vulnerabilidades críticas en macOS

    El modelo Mythos de Anthropic sigue encontrando problemas de seguridad, ahora en macOS
    El modelo Mythos de Anthropic sigue encontrando problemas de seguridad, ahora en macOS

    La IA es la nueva frontera de la ciberseguridad

    La carrera armamentística entre la seguridad del software y su explotación ha entrado en una nueva fase. En una demostración importante del poder de la IA de frontera, investigadores han utilizado el modelo “Mythos” de Anthropic para eludir algunos de los sistemas de seguridad más avanzados de Apple, descubriendo una vulnerabilidad que podría permitir a un atacante tomar el control de una Mac.

    Anteriormente ya se había anunciado que el modelo más avanzado de Anthropic había sido capaz de descubrir fallas en el navegador Firefox de Mozilla y en el sistema operativo BSD.

    El hallazgo se logró eludiendo protecciones de hardware

    El descubrimiento fue realizado por investigadores de la firma de ciberseguridad Calif, con sede en Palo Alto. Usando una versión no liberada de Claude Mythos Preview, un modelo potente que Anthropic ha mantenido en gran parte en secreto debido a su capacidad para identificar exploits, el equipo descubrió una cadena de escalada de privilegios del kernel basada solo en datos.

    El exploit se encontró en macOS 26.4.1 ejecutándose en hardware Apple M5. Lo más llamativo es que logró sortear la Memory Integrity Enforcement (MIE), una mitigación asistida por hardware basada en la extensión Memory Tagging de ARM diseñada para hacer casi imposibles los exploits de corrupción de memoria en Apple Silicon.

    Al enlazar dos fallos distintos de macOS, los investigadores consiguieron corromper la memoria del sistema y obtener acceso a shells con privilegios root y a zonas protegidas del dispositivo. Aunque el ataque requiere inicialmente acceso local sin privilegios, combinado con otras técnicas podría permitir comprometer totalmente el sistema.

    La colaboración humano-IA

    A pesar del titular llamativo de una IA “hackeando” una Mac, los investigadores aclaran que Mythos no actuó solo. El exploit fue fruto de una colaboración humano-IA:

    • Mythos aceleró la investigación e identificó distintas clases de fallos.
    • Los especialistas humanos desarrollaron y validaron el exploit.

    Según Thai Dong, CEO de Calif, el modelo actuó como un multiplicador de fuerza, permitiendo crear la cadena de ataque en unos cinco días tras detectar los bugs iniciales.

    Project Glasswing, Mythos una IA para la defensa

    Esta investigación forma parte del Project Glasswing, una iniciativa de Anthropic creada para usar modelos avanzados de forma controlada con grandes empresas tecnológicas. El objetivo es permitir que compañías como Apple encuentren y solucionen vulnerabilidades antes de que los atacantes las exploten.

    Respuesta de Apple

    El hallazgo se trató con urgencia. Calif entregó a Apple un informe técnico de 55 páginas en persona en Cupertino.

    Apple confirmó que está revisando los hallazgos y reiteró que la seguridad es su prioridad. Además, hay indicios de que ya existe una solución en marcha porque en las notas de seguridad de macOS 26.5 mencionan un parche para una vulnerabilidad del kernel y acreditan tanto a Calif como a Anthropic por el descubrimiento.

    Este caso sirve como demostración de que las mismas herramientas de IA capaces de romper las defensas más avanzadas también pueden ser fundamentales para reforzarlas.

  • Google logra detener el primer zero-day desarrollado con ayuda de IA

    Google logra detener el primer zero-day desarrollado con ayuda de IA, evitando un ciberataque masivo
    Google logra detener el primer zero-day desarrollado con ayuda de IA, evitando un ciberataque masivo

    Planeaban un ciberataque brutal

    El escenario que durante años parecía futurista ya es real. Unos investigadores han detectado el primer exploit zero-day creado con ayuda de inteligencia artificial y preparado para una explotación a gran escala. El hallazgo llega desde el equipo de inteligencia de amenazas de Google, marcando un punto de inflexión en la ciberseguridad moderna.

    Google logró evitar un ataque masivo

    Según el informe de mayo de 2026, un grupo criminal planeaba utilizar el exploit contra una popular herramienta open-source de administración de sistemas basada en web.

    El objetivo era ambicioso, ya que lo que buscaban era provocar una explotación masiva capaz de saltarse la autenticación de doble factor (2FA).

    Google detectó la amenaza a tiempo y colaboró con el proveedor del software para parchear la vulnerabilidad antes de que se usara en el mundo real.

    Las “huellas” que delataron a la IA

    Los investigadores no creen que el exploit proceda de modelos conocidos de Anthropic o del propio Gemini de Google, pero el código mostraba señales claras de generación por LLM:

    • Docstrings educativos y extremadamente detallados
    • Menús de ayuda completos
    • Arquitectura limpia y didáctica
    • Un CVSS inventado (alucinación típica de IA)

    Este estilo contrasta con el código desordenado que suelen producir los atacantes humanos.

    El exploit se basaba en la lógica

    No era un bug técnico clásico, porque el exploit detectó una falla semántica en la lógica del sistema.

    El flujo de autenticación asumía que si el usuario tenía credenciales válidas, entonces era confiable, lo que permitía saltarse el 2FA.

    Este tipo de vulnerabilidad es especialmente peligrosa porque:

    • No provoca errores ni fallos visibles
    • Suele escapar a fuzzers y análisis estático
    • Requiere comprender la lógica global del sistema

    Precisamente donde los modelos de IA destacan.

    La industrialización del cibercrimen con IA

    El informe describe una tendencia preocupante:

    • Criminales usando “persona-driven jailbreaking” para convertir la IA en expertos en hacking
    • Alimentación masiva de bases de datos de vulnerabilidades para entrenar exploits
    • Malware con código basura generado por IA para confundir analistas
    • Actores estatales integrando IA en cadenas completas de ataque

    Entre los ejemplos observados:

    • Operadores norcoreanos automatizando pruebas de exploits
    • Actores chinos explorando detección automática de vulnerabilidades
    • Operaciones rusas usando audio generado por IA en campañas de desinformación

    La carrera ya empezó

    El intento falló por errores de implementación, pero el mensaje es claro, la era del hacking asistido por IA ya está aquí.

    Como resumió el analista John Hultquist, la carrera por buscar vulnerabilidades gracias a la IA no es el futuro, ya está ocurriendo.

  • Ciberataque global tumba Canvas tras ataque masivo de ShinyHunters

    El líder del mercado de LMS, Canvas, sufrió un ciberataque masivo que afectó a cientos de miles de usuarios
    El líder del mercado de LMS, Canvas, sufrió un ciberataque masivo que afectó a cientos de miles de usuarios

    El ataque a Canvas paraliza al mundo educativo

    La plataforma educativa Canvas ha sufrido una interrupción mundial tras un ciberataque atribuido al grupo de extorsión ShinyHunters, provocando caos en universidades y colegios de todo el mundo.

    Robo de datos a gran escala

    Según el grupo atacante, se habrían robado casi 280 millones de registros de unas 8.800 instituciones educativas.

    Datos potencialmente comprometidos:

    • Nombres de estudiantes y profesores
    • Correos electrónicos
    • Números de identificación de estudiante
    • Mensajes internos de la plataforma

    La empresa desarrolladora Instructure afirma que no hay evidencias de filtración de:

    • Contraseñas
    • Fechas de nacimiento
    • Datos financieros o identificadores gubernamentales

    Pantallas de rescate y caída global

    El incidente se hizo público el 7 de mayo, cuando estudiantes de universidades como:

    • Harvard University
    • University of California, Irvine

    intentaron entrar en Canvas y encontraron mensajes de rescate del grupo atacante.

    Los hackers afirmaron haber vulnerado el sistema por segunda vez y amenazaron con publicar los datos el 12 de mayo si no se negocia.

    ¿Qué causó la brecha de Canvas?

    La investigación apunta a una vulnerabilidad relacionada con las cuentas “Free-For-Teacher”, que fueron desactivadas temporalmente como medida de contención.

    Acciones tomadas:

    • Canvas se desconectó globalmente de forma preventiva
    • Se inició investigación con expertos forenses externos
    • Sistemas Beta y Test siguen en mantenimiento
    • Persisten problemas con Student ePortfolios

    Riesgos actuales para estudiantes y profesores

    Las universidades están advirtiendo sobre posibles campañas de phishing dirigidas, ya que los atacantes disponen de nombres y correos electrónicos.

    Consejos habituales:

    • Desconfiar de emails relacionados con Canvas
    • Evitar enlaces sospechosos
    • Cambiar contraseñas si se reutilizan en otros servicios

    Un “lado positivo” inesperado

    Al ser Canvas el principal sistema de entrega de trabajos, muchas universidades están concediendo prórrogas generalizadas para tareas y exámenes.

    Un respiro inesperado para millones de estudiantes, aunque provocado por uno de los mayores incidentes de ciberseguridad en educación reciente.

  • Copy Fail: la vulnerabilidad silenciosa que dio acceso root a Linux desde 2017

    Copy Fail: la vulnerabilidad silenciosa que permitía escalar privilegios en Linux desde 2017
    Copy Fail: la vulnerabilidad silenciosa que permitía escalar privilegios en Linux desde 2017

    Escalación de privileges crítica

    Algunas vulnerabilidades se anuncian con fallos visibles. Otras permanecen ocultas durante años. Copy Fail pertenece a esta segunda categoría. Revelada el 29 de abril de 2026 por el equipo de investigación de Xint Code Research Team junto con investigadores de Theori, la vulnerabilidad Copy Fail (CVE-2026-31431) es un fallo crítico del kernel de Linux que permite a un usuario local sin privilegios obtener acceso root usando un script de Python de solo 732 bytes.

    La falla ha estado presente en prácticamente todas las grandes distribuciones Linux desde 2017.

    Anatomía de un exploit perfecto

    Copy Fail destaca por su simplicidad y fiabilidad. A diferencia de fallos famosos como Dirty Cow o Dirty Pipe, no requiere condiciones de carrera ni intentos repetidos. Funciona de forma directa y consistente.

    El exploit es extremadamente portable. El mismo script Python funciona sin dependencias compiladas en distribuciones como Ubuntu, Amazon Linux, RHEL y SUSE. Empresas detrás de estas distribuciones incluyen Canonical, Amazon, Red Hat (IBM) y SUSE.

    El ataque manipula la «page cache», la memoria RAM donde Linux almacena archivos leídos recientemente. Esto permite modificar el código que el sistema ejecuta sin alterar el archivo en disco, evitando que herramientas de integridad detecten cambios.

    Debido a que la page cache se comparte entre procesos, la vulnerabilidad también permite escapar de contenedores y comprometer nodos subyacentes, afectando entornos cloud, pipelines CI/CD y sandboxes de IA. Esto la hace especialmente crítica.

    Cómo funciona Copy Fail

    El fallo surge de la combinación de tres cambios aparentemente inocentes en el kernel a lo largo de varios años.

    El ataque comienza con AF_ALG, un tipo de socket que expone el subsistema criptográfico del kernel a usuarios sin privilegios. Usando la función splice(), los datos pueden transferirse entre descriptores sin copiarse, pasando páginas de la cache por referencia.

    El problema aparece en authencesn, un algoritmo de cifrado autenticado usado por IPsec que escribe temporalmente fuera de su límite de salida al reorganizar bytes de secuencia. Durante años esto fue inofensivo, hasta que en 2017 una optimización permitió ejecutar operaciones criptográficas in-place, compartiendo memoria entre entrada y salida.

    Al encadenar estos elementos, un atacante puede escribir cuatro bytes controlados en la memoria cache de cualquier archivo legible. El objetivo típico es /usr/bin/su, un binario con privilegios root. Al inyectar código malicioso en la cache, se obtiene acceso root inmediato.

    Descubrimiento asistido por IA

    El hallazgo también marca un cambio importante en la investigación de ciberseguridad. El investigador Taeyang Lee planteó la hipótesis de que la interacción entre AF_ALG, splice() y la page cache podía ocultar vulnerabilidades.

    El equipo utilizó Xint Code, una herramienta de análisis automatizado asistida por IA. Tras recibir un prompt sobre el subsistema criptográfico del kernel, el sistema analizó la superficie de ataque y detectó Copy Fail en solo una hora.

    Este caso demuestra cómo la IA acelera el descubrimiento de vulnerabilidades críticas.

    Mitigación y solución

    El equipo de seguridad del kernel fue notificado en marzo de 2026 y el parche está disponible desde el 1 de abril. La solución revierte la optimización de 2017 y separa las referencias de memoria para evitar escrituras en la page cache.

    Se recomienda actualizar inmediatamente el kernel. Si no es posible reiniciar o aplicar parches, se puede mitigar bloqueando la creación de sockets AF_ALG mediante seccomp o deshabilitando el módulo vulnerable.

    Copy Fail recuerda que incluso los proyectos open source más maduros pueden ocultar fallos críticos durante años. Con herramientas de descubrimiento cada vez más rápidas, la velocidad de parcheo se vuelve más crucial que nunca.

  • Cómo un simple git push expuso millones de repositorios en GitHub

    GitHub, de Microsoft, corrigió un problema de seguridad que amenazaba a todos sus usuarios
    GitHub, de Microsoft, corrigió un problema de seguridad que amenazaba a todos sus usuarios

    A un punto y coma del desastre

    Un simple git push. Ese comando cotidiano que millones de desarrolladores ejecutan a diario estuvo, hasta el 4 de marzo de 2026, peligrosamente cerca de convertirse en la puerta de entrada a uno de los incidentes de seguridad más graves en la historia de GitHub.

    Descubierta por Wiz y registrada como CVE-2026-3854, esta vulnerabilidad de ejecución remota de código (RCE) podía permitir el acceso a repositorios privados de prácticamente cualquier organización alojada en la plataforma. Lo más sorprendente es que fue encontrada con ayuda de inteligencia artificial y solucionada en apenas seis horas.

    Lo que ocurre detrás de un git push

    Cuando un desarrollador sube código, el proceso no consiste solo en guardar archivos. El comando atraviesa una cadena de servicios internos escritos en distintos lenguajes que se comunican mediante un encabezado HTTP interno llamado X-Stat.

    Este encabezado funciona como una lista de parámetros clave=valor separados por punto y coma, que controlan reglas críticas como permisos, políticas de tamaño de archivos o nombres de ramas.

    El problema surgió en el primer servicio de la cadena, llamado babeld. Este servicio construía el encabezado X-Stat tras autenticar al usuario, pero cometía un error fatal: no filtraba los puntos y coma en los push options (git push -o).

    Ese pequeño detalle permitía a un atacante inyectar nuevos campos dentro del encabezado. Como el sistema priorizaba el último valor leído, era posible sobrescribir parámetros de seguridad y, combinando tres campos internos específicos, lograr ejecución remota de código en la infraestructura de GitHub.

    Nube vs. servidores empresariales

    La vulnerabilidad afectaba tanto a GitHub.com como a GitHub Enterprise Server (GHES).

    En servidores empresariales el ataque era directo. En la nube, los investigadores descubrieron un paso extra con el que podían activar el “modo Enterprise” mediante otro campo inyectable en el encabezado X-Stat, completando así la cadena de explotación.

    El hallazgo fue posible gracias a ingeniería inversa asistida por IA con la herramienta IDA MCP, marcando uno de los primeros casos importantes de vulnerabilidades críticas descubiertas en software propietario mediante IA.

    Carrera contrarreloj: seis horas

    La respuesta de GitHub fue extremadamente rápida:

    • 40 minutos para reproducir la vulnerabilidad internamente.
    • 2 horas para identificar la causa raíz y desplegar el parche en GitHub.com.
    • 6 horas después, mitigación completa y análisis forense.

    La investigación confirmó que no hubo explotación maliciosa.

    Sin embargo, el problema persistía para instalaciones locales de GHES. Al hacerse pública la vulnerabilidad el 28 de abril, Wiz estimó que el 88% de las instancias seguían vulnerables, requiriendo actualización urgente a la versión 3.19.3 o superior.

    Un momento complicado para GitHub

    Este incidente llegó en un periodo turbulento para la plataforma, propiedad de Microsoft. Días antes, GitHub sufrió una caída importante que revertía commits ya fusionados para algunos usuarios, sumándose a preocupaciones internas sobre fiabilidad y salida de líderes.

    Aun así, la rapidez con la que se solucionó esta vulnerabilidad demuestra la importancia de la colaboración entre investigadores y plataformas. Y por ahora, los desarrolladores pueden respirar tranquilos, ya que el git push vuelve a ser un comando rutinario.

  • ¿El fin de los zero-day? Para Mozilla, Anthropic Mythos cambia las reglas de la ciberseguridad

    Anthropic Mythos cambia las reglas de la ciberseguridad para Mozilla
    Anthropic Mythos cambia las reglas de la ciberseguridad para Mozilla

    La experiencia de Mozilla

    Detrás de las aparentemente rutinarias notas de lanzamiento de Firefox 150 se esconde una revolución silenciosa que podría transformar para siempre la ciberseguridad. Gracias a una colaboración con el modelo de IA Mythos de AnthropicMozilla identificó y corrigió 271 vulnerabilidades en una sola revisión, un avance que podría marcar el principio del fin de los ataques zero-day.

    Para Mozilla, la IA cambia el equilibrio de poder en ciberseguridad

    Durante años, la industria ha librado una guerra desigual. Los atacantes solían tener ventaja al invertir meses en encontrar una sola brecha crítica, mientras los defensores dependían de herramientas automatizadas incapaces de razonar sobre el código fuente. Los expertos humanos quedaban limitados por tiempo y recursos.

    La inteligencia artificial está invirtiendo ese escenario.

    El avance llega con Project Glasswing y el modelo Claude Mythos Preview. Mozilla ya había colaborado con Anthropic utilizando Opus 4.6 para encontrar 22 fallos en Firefox 148, pero el salto a Mythos multiplicó el resultado por doce.

    El CTO de Mozilla, Bobby Holley, admitió que descubrir casi 300 vulnerabilidades al mismo tiempo generó inicialmente una sensación de vértigo. Sin embargo, el impacto pronto se transformó en optimismo ya que dieron cuenta que la IA puede automatizar el razonamiento de los investigadores de élite y de esta forma reducir drásticamente el costo que supone encontrar fallas.

    Vulnerabilidades humanas a escala industrial

    A pesar de las cifras, Mozilla desmitifica algunas ideas alarmistas sobre la IA. Según la organización, el modelo no descubrió fallos incomprensibles o imposibles de detectar para humanos. La diferencia está en la escala.

    El software moderno es complejo, pero las vulnerabilidades son finitas y la IA permite encontrarlas mucho más rápido. Esto reduce la ventaja histórica de los ciberdelincuentes y abre la puerta a una defensa mucho más efectiva.

    Una victoria clave para la IA defensiva

    La validación externa de Mozilla llega en un momento en que la industria cuestiona las promesas de la IA en ciberseguridad. El éxito demuestra que la tecnología puede funcionar como escudo y no solo como arma.

    Por su potencia, el acceso a Mythos sigue limitado a organizaciones seleccionadas. Aun así, los resultados iniciales sugieren que la IA podría convertirse en una herramienta clave para proteger servicios digitales críticos.

  • La amenaza de ciber-robo de $34 billones contra la industria de logística

    El robo de mercancías en EE. UU. a empresas de logística ya no es solo físico.
    El robo de mercancías en EE. UU. a empresas de logística ya no es solo físico.

    Robos digitales, carga real

    El robo de mercancías en EE. UU. a empresas de logística ya no es solo físico, se ha convertido en una operación digital altamente sofisticada. Las pérdidas por carga robada crecieron 27 % en 2024 y podrían aumentar otro 22 % en 2025, llevando el daño anual estimado a 34 mil millones de dólares. Detrás de estas cifras hay redes criminales que hackean empresas de transporte para robar desde bebidas energéticas hasta artículos electrónicos de alto valor.

    Una investigación reciente realizada por Proofpoint reveló en detalle cómo operan estos grupos tras infiltrarse durante más de un mes en un entorno trampa (honeypot) diseñado para poder observarlos.

    La trampa, una empresa de transporte falsa

    En colaboración con Deception.pro, los investigadores crearon una empresa logística ficticia en febrero de 2026.

    Esto se tuvo que hacer de esta forma porque ninguna empresa real hubiera permitido dejar operar a los hackers de forma inmune, solo para observarlos. En ataques reales, las víctimas cortan el acceso rápidamente. El entorno falso permitió ver todo el ciclo del ataque sin interrupciones.

    Gracias a esto, se tuvo una visibilidad completa del comportamiento, herramientas y tácticas del grupo criminal durante más de un mes.

    El ataque, de plataformas de carga al robo físico

    El ataque comienza en los load boards (mercados online donde se publican cargas disponibles).

    Paso a paso del fraude

    1. Los atacantes comprometen cuentas legítimas en estas plataformas.
    2. Publican cargas falsas.
    3. Cuando un transportista responde, envían un “contrato” por email.
    4. El archivo adjunto contiene un script VBS malicioso.

    Al ejecutarlo:

    • Descarga PowerShell.
    • Instala acceso remoto (ScreenConnect).
    • Muestra un contrato falso para no levantar sospechas.

    Luego viene lo más crítico, el robo físico.

    Los atacantes:

    • Eliminan reservaciones reales.
    • Bloquean notificaciones del dispatcher.
    • Redirigen llamadas telefónicas.
    • Reservan cargas reales usando la identidad de la empresa.

    El resultado de todas estas operaciones complejas es que los camiones recogen mercancía legítima, que termina en manos de los criminales.

    Persistencia total con múltiples puertas traseras

    Una vez dentro, los atacantes aseguran su acceso:

    • Instalan 4 instancias de ScreenConnect.
    • Añaden herramientas extra como:
      • Pulseway
      • SimpleHelp

    Si una puerta se cierra, quedan otras abiertas. Esto criminales piensan como arquitectos de TI, redundancia a todos los niveles.

    Malware firmado con una identidad legítima

    Uno de los hallazgos más preocupantes fue el uso de una firma digital fraudulenta.

    Esto hace que:

    • Windows confíe en el archivo.
    • Las herramientas de seguridad lo acepten.

    El certificado fraudulento usado fue emitido a “STEPHEN WHANG, CPA, INC.” y ya fue revocado.

    Además de carga, también buscan dinero

    Tras asegurar el acceso, los criminales realizan espían las computadoras comprometidas:

    • Abren la cuenta PayPal del usuario.
    • Buscan wallets de criptomonedas.

    Entre los objetivos detectados están:

    • Bancos e instituciones financieras
    • Plataformas de contabilidad y pagos
    • Sistemas de tarjetas de combustible
    • Software de logística y gestión de cargas

    Toda la información robada se envía a bots de Telegram controlados por los atacantes.

    Está claro que estos cibercriminales nos solo son expertos en tecnologia sino que tienen un conocimiento profundo de la industria y de las plataformas de software que usan estas empresas.

    Un aviso serio para la industria logística

    Proofpoint ha detectado casi 20 campañas similares en pocos meses.

    Ahora el robo de carga ya no empieza en un almacén, empieza desde un teclado. Por eso, las empresas logísticas deben vigilar especialmente:

    • Herramientas de acceso remoto no autorizadas
    • Actividad sospechosa de PowerShell
    • Accesos anómalos a sistemas financieros y de flota

    El futuro del robo de mercancías es digital, organizado y altamente rentable. Para las empresas del sector, que no suelen invertir lo suficiente en seguridad, es algo sumamente preocupante.

  • Ola de secuestros en Francia para robar criptomonedas

    Ola de secuestros en Francia motivados por el intento de robo de criptomonedas
    Ola de secuestros en Francia motivados por el intento de robo de criptomonedas

    El lado oscuro de la riqueza digital

    Las criptomonedas existen en el mundo virtual, pero los métodos para robarlas se están volviendo peligrosamente físicos. En Francia ha surgido una ola de violencia organizada que afecta a emprendedores, inversores y familiares vinculados al ecosistema cripto.

    El aumento de secuestros, invasiones de viviendas y extorsiones ha sido tan grave que el país ha sido señalado como la capital mundial de los secuestros relacionados con criptomonedas.

    Solo en los primeros meses de 2026 se han reportado al menos 19 incidentes violentos vinculados al robo de activos digitales, lo que confirma una tendencia creciente que preocupa a las autoridades.

    Rescates al amanecer y ataques a plena luz del día

    Uno de los casos más recientes ocurrió en Val-de-Marne, donde la unidad táctica antiterrorista GIGN realizó una redada a las 6:00 de la mañana en una habitación de hotel. Allí encontraron a una madre y a su hijo de 10 años secuestrados horas antes en Borgoña. Los captores exigían cientos de miles de euros al padre del menor, un empresario del sector cripto. Los rehenes fueron rescatados sanos y varios sospechosos detenidos.

    No todos los ataques terminan sin heridos. En el distrito 11 de Paris en 2025, una mujer embarazada de cinco meses, un hombre y un menor, todos familiares de un emprendedor relacionado con criptomonedas, fueron emboscados por atacantes con pasamontañas que intentaron forzarlos a entrar en una furgoneta falsa de Chronopost. El hombre fue brutalmente golpeado antes de que transeúntes intervinieran y frustraran el secuestro.

    Violencia extrema y terror psicológico, todo por las criptomonedas

    Los criminales emplean tácticas de tortura para obligar a las víctimas a entregar claves digitales. En uno de los casos más notorios, el hijo del cofundador de Ledger, David Balland, sufrió la amputación de un dedo durante un secuestro.

    En Saint-Martin-le-Vinoux, una magistrada de 35 años y su madre fueron secuestradas tras un asalto nocturno a su casa. La mujer salía con un empresario de criptomonedas, cuya empresa está en la ciudad de Lyon. Tras 30 horas de cautiverio, fueron encontradas con lesiones faciales graves. En otro caso cerca de Toulouse, una mujer fue asaltada por un falso repartidor acompañado de cómplices armados, quienes lograron robar criptomonedas y joyas antes de huir.

    Inteligencia errónea y víctimas inocentes

    La búsqueda de millones en activos digitales ha llevado a errores terribles. En Anglet, una banda atacó a una familia equivocada tras confundir al propietario de la vivienda con un inversor cripto. En Voiron, un hombre de 74 años fue secuestrado por un rescate de 3 millones de euros en Bitcoin que su hijo no poseía. Ambos casos terminaron con detenciones posteriores.

    Francia responde con unidades especializadas

    Las autoridades han movilizado recursos masivos para combatir esta tendencia. Organismos como la División de Criminalidad Organizada y Especializada, las Jurisdicciones Interregionales Especializadas y el propio GIGN trabajan de forma coordinada. Investigaciones recientes con análisis de cámaras y rastreo telefónico han permitido múltiples arrestos en ciudades como Burdeos, París y Toulouse.

    El eslabón más débil de la riqueza digital

    La popularidad de los activos digitales y el anonimato del blockchain continúan atrayendo al crimen organizado. Para los poseedores de criptomonedas, el mensaje es que las bóvedas digitales pueden ser difíciles de romper, pero la seguridad física de sus familias se ha convertido en el punto más vulnerable.

  • Windows 11 Recall de nuevo con problemas de seguridad

    Windows 11 Recall parece de nuevo tener problemas de seguridad
    Windows 11 Recall parece de nuevo tener problemas de seguridad

    La bóveda de Recall es segura, pero la entrega no

    ¿Recuerdas la polémica inicial del sistema Recall de Microsoft en Windows 11? Cuando la empresa presentó esta función de IA capaz de capturar capturas continuas de la actividad del PC para crear un historial buscable, fue rápidamente catalogada como una pesadilla para la privacidad de los usuarios. Tras descubrirse que almacenaba datos sensibles en texto plano, la compañía retrasó su lanzamiento para rediseñar por completo la herramienta.

    Ahora Recall ha regresado, pero también lo han hecho las preocupaciones de seguridad.

    Una bóveda reforzada con autenticación biométrica

    La nueva versión puso mucho énfasis en proteger la privacidad. Microsoft introdujo una bóveda segura basada en Virtualization Based Security Enclave y vinculó el acceso directamente a Windows Hello. La idea era asegurar que para ver o registrar capturas, el usuario debía autenticarse físicamente mediante reconocimiento facial o huella digital.

    La compañía aseguró que esta arquitectura impediría que ningún malware aprovechara la autenticación del usuario para robar datos.

    El regreso del investigador que descubrió las fallas iniciales de Recall

    El experto en ciberseguridad Alexander Hagenah, quien ya había revelado problemas en la versión original con la herramienta TotalRecall, ha presentado un nuevo exploit llamado TotalRecall Reloaded. Su conclusión es que si bien la bóveda es sólida, el camino que lleva a ella es vulnerable.

    El punto débil está en el proceso AIXHost.exe

    El ataque no rompe la bóveda directamente. En su lugar, ataca el proceso AIXHost.exe, encargado de renderizar la línea temporal de Recall. Según el investigador, este proceso carece de protecciones clave como integridad de código o aislamiento AppContainer.

    Cualquier proceso que se ejecuta con permisos de usuario estándar puede inyectar código y llamar a las mismas APIs COM que utiliza la interfaz oficial.

    Cómo funciona el exploit

    El ataque se ejecuta silenciosamente en segundo plano y activa la línea temporal de Recall para solicitar autenticación con Windows Hello. Cuando el usuario se autentica, el sistema descifra capturas, texto obtenido mediante OCR y metadatos que pasan por AIXHost.exe como objetos COM activos. En ese momento, el exploit puede extraer toda la información.

    Lo preocupante es la facilidad del ataque. No requiere privilegios de administrador, exploits de kernel ni romper cifrado. Solo utiliza llamadas COM estándar.

    El riesgo es enorme porque Recall registra mensajes privados, correos, documentos, historial de navegación y potencialmente datos de pago.

    Microsoft no lo considera crítico

    Hagenah notificó el hallazgo a Microsoft un mes antes de publicar la herramienta. Sin embargo, la respuesta de la compañía sorprendió a la comunidad de seguridad.

    David Weston, vicepresidente corporativo de seguridad, afirmó que el comportamiento observado es consistente con las protecciones previstas y no representa una violación de límites de seguridad ni acceso no autorizado. Según Microsoft, los tiempos de expiración y protecciones contra consultas repetidas limitan el impacto potencial.

    Debate abierto sobre privacidad e IA

    El caso deja a los usuarios indefensos. Aunque Microsoft asegura que el sistema funciona como fue diseñado, el exploit demuestra que actores maliciosos pueden interceptar datos sensibles sin acceso profundo al sistema.

    La integración de la IA en los sistemas operativos avanza rápidamente y el debate sobre Recall recuerda que no basta con construir una bóveda impenetrable. También hay que proteger los caminos que llevan hasta ella. La realidad es que son pocos los usuarios de Windows que realmente usan o se benefician de Recall. Lo más probable es que en algún momento Microsoft decida abandonar este proyecto. Probablemente sea lo mejor para todos.

  • OpenAI lanza GPT-5.4-Cyber para competir con Claude Mythos

    OpenAI lanza GPT-5.4-Cyber para reforzar la seguridad informatica
    OpenAI lanza GPT-5.4-Cyber para reforzar la seguridad informatica

    Marca una nueva era en la ciberdefensa impulsada por IA

    El panorama de la ciberseguridad está viviendo un cambio profundo mientras las principales empresas de inteligencia artificial giran hacia herramientas defensivas diseñadas específicamente para proteger infraestructuras digitales. Apenas una semana después de que Anthropic anunciara su modelo de frontera Mythos, desplegado bajo el proyecto Glasswing para ayudar a organizaciones a descubrir miles de vulnerabilidades de software, OpenAI presentó su propia solución especializada, GPT-5.4-Cyber.

    Un modelo creado para defensa cibernética avanzada

    GPT-5.4-Cyber está diseñado específicamente para tareas de ciberseguridad defensiva. Se trata de una variante ajustada del modelo insignia más reciente de la compañía, con un enfoque cyber permissive que reduce los bloqueos habituales que suelen dificultar la investigación legítima de seguridad.

    Entre sus capacidades más destacadas se encuentra la ingeniería inversa de binarios. Esta función permite a profesionales analizar software compilado para detectar malware, vulnerabilidades estructurales y evaluar su robustez sin necesidad de acceder al código fuente original. Esto supone un avance clave para auditorías de seguridad y análisis de amenazas complejas.

    Acceso restringido para evitar riesgos

    Debido a su diseño altamente permisivo y a la naturaleza de doble uso de las capacidades de ciberseguridad, GPT-5.4-Cyber no estará disponible al público general. Su despliegue será limitado y progresivo, reservado exclusivamente para proveedores de seguridad, organizaciones e investigadores previamente verificados.

    Para gestionar este acceso, la empresa está ampliando su programa Trusted Access for Cyber, conocido como TAC. Lanzado originalmente en febrero, el programa busca reducir fricciones en las salvaguardas de IA para tareas legítimas de seguridad. Ahora se expandirá para incluir a miles de defensores verificados y cientos de equipos que protegen infraestructuras críticas.

    Nuevo sistema de niveles y verificación KYC

    La expansión del programa TAC introduce un sistema de niveles basado en verificación rigurosa de identidad y protocolos Know Your Customer. Los usuarios que acrediten ser profesionales legítimos de ciberseguridad podrán desbloquear capacidades cada vez más avanzadas. El acceso a GPT-5.4-Cyber quedará reservado al nivel más alto del programa.

    El proceso de ingreso es sencillo. Investigadores individuales pueden verificar su identidad mediante el portal cyber dedicado de la compañía, mientras que las empresas pueden solicitar acceso confiable para sus equipos a través de sus representantes.

    Una estrategia más amplia para escalar la defensa digital

    El lanzamiento forma parte de una estrategia más amplia para escalar la defensa cibernética al mismo ritmo que avanzan los modelos de IA. La compañía ha indicado que este sistema prepara el camino para herramientas aún más potentes previstas para finales de año.

    La estrategia se basa en tres principios clave:

    • Acceso democratizado
    • Despliegue iterativo
    • Resiliencia del ecosistema

    Mediante criterios objetivos y verificación automatizada, el objetivo es poner herramientas defensivas avanzadas en manos de actores legítimos sin decidir arbitrariamente quién puede defenderse.

    Resultados tangibles en seguridad

    La estrategia ya muestra resultados. A principios de año se lanzó Codex Security para identificar y corregir vulnerabilidades a gran escala. Desde su despliegue, el sistema ha contribuido a solucionar más de 3,000 vulnerabilidades críticas y de alta gravedad en el ecosistema digital, pasando de auditorías puntuales a una reducción continua del riesgo.

    El futuro de la ciberseguridad impulsada por IA

    A medida que los actores maliciosos experimentan con ataques impulsados por IA, la necesidad de defensas inteligentes es cada vez más urgente. Con GPT-5.4-Cyber, la empresa no solo presenta una nueva herramienta. También establece un marco integral para garantizar que, conforme los modelos de IA sean más capaces, los defensores de la infraestructura digital mantengan siempre la ventaja.