Publicado: 28/05/2025

🚨 Seguimos con la nueva temporada de Hacknews. Esta semana la inteligencia artificial es protagonista… pero no por las razones que quisiéramos. Desde asistentes de código que filtran información hasta malware escondido en TikTok o anuncios falsos de herramientas "AI", los atacantes están más creativos que nunca.

En este Hacknews te contamos qué está pasando y cómo protegerte (sí, hay una guía de OWASP que deberías leer y un reto).

Alguien deja un comentario en el código o en un commit, parece normal, pero contiene un prompt escondido. El asistente de IA lo interpreta y actúa: puede filtrar código, entregar información sensible o llevarte a un sitio falso. Eso pasó con GitLab Duo, y la vulnerabilidad ya fue corregida.

Pero el riesgo sigue vigente, los modelos de IA pueden ser manipulados si no se controla su entrada de información. Si usas asistentes de IA en tus flujos de desarrollo, actualiza ya, audita las integraciones y capacita a tu equipo para reconocer estos riesgos antes de que alguien los aproveche.

Estás viendo TikTok, ves un “truco” para activar Office o Spotify gratis, el video te dice que pegues un comando en PowerShell y acabas de instalar malware como Vidar o StealC, que roba tus credenciales, criptomonedas y más.

El malware se ejecuta en memoria, evitando que tu antivirus lo detecte. Por eso, si tú o tu equipo usan TikTok, educa a tu equipo y advierte sobre este ataque. No ejecuten comandos que vengan de redes sociales, por muy inofensivos que parezcan.

Estás navegando en Facebook, ves un anuncio de Kling AI que promete generar imágenes increíbles. Das clic, descargas el “programa” y sin saberlo, estás instalando un troyano de acceso remoto (RAT) que da el control de tu equipo a un atacante.

El malware roba credenciales, datos bancarios y hasta criptomonedas, ya se han visto más de 22 millones de víctimas potenciales. Evita que esto te pase: nunca descargues herramientas desde anuncios sin verificar su autenticidad y dile a tu equipo que no todo lo que dice “AI” es confiable.

La inteligencia artificial llegó para quedarse, pero... ¿qué tan seguras son tus aplicaciones que usan modelos de IA? La OWASP (sí, los mismos de las top 10 vulnerabilidades web) lanzó una nueva guía: 📘AI Security & Privacy Guide.

Una hoja de ruta para asegurar aplicaciones que usan modelos de machine learning e inteligencia artificial. Un recurso para proteger modelos de IA frente a ataques como:

💡 Si estás construyendo, integrando o auditando soluciones con IA, esta guía es oro puro.

🧠 Spoiler: En los próximos Hacknews vamos a explicar cada uno de estos puntos clave que propone OWASP, con ejemplos simples y recomendaciones aplicables a tu realidad (sí, también en LATAM). ¡No te los pierdas!

📩 Esta joyita nos llegó directo desde... "Recursos umanos":

¿Te han llegado correos como este? Faltas de ortografía, amenazas absurdas y solicitudes de dinero disfrazadas de trámites laborales. Este tipo de mensajes son intentos burdos (pero peligrosos) de phishing.

Ayúdanos a armar una colección de los peores correos de phishing que llegan. Envía tu captura y ayúdanos a concientizar (y reírnos un poco también).

📬 Puedes mandarlos respondiendo este Hacknews o un correo a [email protected]

Publicado: 20/05/2025

🚨 Seguimos con la nueva temporada de Hacknews. Esta semana viene cargada de actualizaciones que no puedes seguir posponiendo. Amenazas activas, parches urgentes y consejos rápidos para que tu equipo no quede expuesto.

Cada semana irá evolucionando. A veces será más técnico, otras más cotidiano… pero siempre útil, directo y sin bla bla bla. Ahora sí, lo que no te puedes perder esta semana 👇

Recibes un correo con un adjunto “inofensivo”, lo abres… y sin saberlo, acabas de instalar Horabot, un malware que ya está atacando empresas en México, Colombia, Perú, Chile, Argentina y Venezuela.

Horabot roba tus claves, controla tu equipo y usa tu red para atacar a otros. Si operas en la región, refuerza tus filtros de correo, capacita a tu equipo y monitorea tu red como si ya estuviera en riesgo.

Windows, Outlook, SharePoint y otros productos clave tienen fallas que permiten acceso no autorizado, ejecución remota y escalación de privilegios.

Las vulnerabilidades ya están siendo aprovechadas por atacantes, por lo que actualizar no es opcional: es urgente. Revisa tus sistemas, aplica los parches y refuerza tu plan de gestión de vulnerabilidades.

A los ciberatacantes les encanta eso… Una vulnerabilidad en Chrome y navegadores basados en Chromium permite a sitios maliciosos acceder a la información de otras pestañas abiertas, incluyendo sesiones activas y datos internos.

Este exploit ya está en uso, por lo que actualizar el navegador de inmediato es clave. Ve a la parte superior derecha de tu navegador y dale clic en reiniciar para actualizar

¿Y si tu modelo de IA terminará actuando en tu contra?

Una técnica llamada inyección de prompts puede hacer que un modelo como ChatGPT revele datos sensibles, tome decisiones equivocadas o ejecute comandos maliciosos, todo sin que te des cuenta.

Que tu equipo entienda esto es clave para prevenirlo.

👇 Te dejamos una infografía clara y rápida para compartir con todos.

¿3 AM y aún peleando con tu SGSI? Tranquilo, ahora no estás solo. Conoce a Mike, tu nuevo asistente de IA en Hackmetrix 🧠⚡

Mike no se queja y no te deja en visto. Es soporte 24/7 para cuando el café ya no hace efecto, así que hazle preguntas, dale instrucciones, pídele ayuda.

Conoce cómo funciona Mike tu asistente IA

Publicado: 13/05/2025

🚨 ¡Nueva temporada de Hacknews! Te damos la bienvenida a una nueva versión de este espacio donde combinamos noticias clave, retos reales y buenas prácticas de seguridad que sí puedes aplicar (y explicar) en tu día a día.

Cada semana irá evolucionando. A veces será más técnico, otras más cotidiano… pero siempre útil, directo y sin bla bla bla.

Ahora sí, lo que no te puedes perder esta semana 👇. Lo último de la semana…

Crees que lees una reseña real, pero en realidad fue escrita por Claude AI manipulada por cibercriminales. Más de 100 sitios falsos se llenaron con contenido generado a través de trucos para engañar al modelo.

Si estás usando IA en tu empresa, no bajes la guardia: controla los prompts, revisa los resultados y no dejes que la IA trabaje sola sin supervisión.

Descargas una app de edición con IA desde un anuncio en Facebook… y terminas infectado con Noodlophile, un malware que roba tus claves, cripto y todo lo que encuentra.

No importa qué tan buena parezca la oferta, si no conoces la fuente, mejor no te arriesgues.

Si usas macOS y bajaste librerías de npm para el editor Cursor, ojo: más de 3,200 desarrolladores fueron víctimas de paquetes maliciosos que robaban datos y modificaban archivos para evitar ser detectados.

Siempre revisa qué instalas, monitorea los cambios en tu entorno y mantente alerta ante comportamientos inusuales.

¿Quieres subir la montaña de la certificación ISO 27001 sin ser experto y sin frenar tu crecimiento? Multivende lo hizo. Y no lo hizo solo: eligió escalar con alguien que ya conocía el camino.

Mientras su operación despegaba y los grandes clientes exigían estándares más altos, esta empresa de e-commerce tomó una decisión estratégica: certificar su seguridad con ISO 27001 (¡y también ISO 27701!). ¿El resultado?

✅ Cerraron contratos con corporativos que pedían cumplimiento riguroso en seguridad y privacidad.

✅ Aceleraron su certificación gracias a la experiencia y acompañamiento de Hackmetrix.

✅ Consolidaron su expansión sin sacrificar agilidad ni foco comercial.

👉 En este artículo te contamos cómo Multivende convirtió la seguridad en una ventaja competitiva real al elegir escalar con apoyo y visión.

📖 Lee la historia completa acá: https://blog.hackmetrix.com/multivende-escalo-su-seguridad-y-negocio-con-iso-27001/

Situación:

Tu mamá te dice: “Me llegó un código al celular y un señor muy educado me pidió que se lo enviara… así que se lo mandé.”

😱 Alerta máxima: Posiblemente acaba de regalarle su WhatsApp, su cuenta del banco… o ambas.

No basta con decirle “¡mamá, eso no se hace!”. Mejor sigue estos 3 pasos sencillos:

Le va a encantar (y va a aprender más de lo que crees).

🚀 Bonus: Activen juntos la verificación en dos pasos. Es rápido, y le vas a dar un súperpoder digital.

👀 Atent@ a Hackmetrix

Cada semana te traemos lo último en ciberseguridad, noticias clave y buenos datos para que no te agarren desprevenid@ 🔒

📚 ¿Quieres aprender más? Date una vuelta por nuestro blog.

Publicado: 06/05/2025

¿Ya actualizaste hoy? Porque esta semana el Hacknews llega con ataques que no dan tregua, hay módulos que borran servidores Linux, IA que escribe reseñas falsas, parches que nunca llegan a producción y plugins de “seguridad” que abren puertas traseras.

Y sí, este es el último Hacknews….. en este formato, porque la próxima edición llega con nueva cara, más power y aún más🔥. ¡Nos vemos en la próxima versión!

Estás construyendo una aplicación, integras un módulo desde GitHub y, en segundos, tu entorno de desarrollo o servidor Linux queda inutilizado. Tres paquetes de Go, aparentemente legítimos, contenían código oculto que descarga un script destructivo capaz de borrar por completo el disco duro (/dev/sda). Una vez ejecutado, el sistema no vuelve a arrancar y los datos son irrecuperables.

Los módulos maliciosos son:

Este ataque es parte de una ola más amplia de amenazas a la cadena de suministro. También se detectaron paquetes maliciosos en npm y PyPI que roban claves privadas y frases semilla, usando Gmail y WebSockets para evadir detección.

¿Qué hacer? Audita tus dependencias, verifica la reputación de los paquetes y monitorea tráfico saliente inusual. No confíes en un paquete solo por llevar tiempo publicado.

Crees que tu equipo corrigió una vulnerabilidad, pero el parche nunca salió del entorno de desarrollo. Un nuevo estudio revela que el 95% de los fixes de seguridad en aplicaciones no se implementan en producción en tiempo real, quedando solo en ambientes de staging o pruebas.

Las razones van desde flujos DevSecOps mal integrados, demoras en aprobaciones, hasta falta de automatización entre escaneo y despliegue. El resultado: las aplicaciones siguen expuestas, incluso cuando los equipos creen haber corregido los problemas. ¿Qué hacer? Asegura una conexión fluida entre desarrollo y producción, prioriza fixes críticos en los pipelines CI/CD y automatiza las validaciones.

Tu empresa confía en una solución de respaldo para proteger su información más valiosa. Pero, ¿qué pasa cuando esa misma solución es el punto débil? Commvault, proveedor líder en software de backup y recuperación, confirmó que cibercriminales explotaron una vulnerabilidad de día cero en uno de sus servicios expuestos a internet.

El ataque permitió el acceso no autorizado a entornos protegidos por Commvault y, potencialmente, a los datos respaldados. La compañía ha publicado parches de seguridad, así que aplica estas actualizaciones de forma urgente, aísla interfaces expuestas innecesariamente a internet y audita tus respaldos y accesos de administración.

Instalemos un nuevo plugin en WordPress… ¿Cuántas veces has escuchado esto en tu equipo? y así instalan un nuevo plugin de seguridad para reforzar el sitio web corporativo. Todo parece normal, hasta que los atacantes obtienen acceso remoto completo y se infiltran en tu sistema. Así funcionaba un plugin malicioso recientemente descubierto, prometía protección, pero en realidad abría una puerta trasera para cibercriminales.

Una vez instalado, les permitía tomar control total del sitio, con acceso a datos, contenido y configuración. Este tipo de ataque afecta directamente a empresas que dependen de WordPress para sus sitios institucionales o productos digitales. Así que, para prevenirlo, verifica siempre la autenticidad de los plugins, instala solo desde fuentes oficiales y realiza auditorías periódicas de tu sistema de gestión de contenidos.

"Estimado contribuyente, tiene documentos tributarios pendientes. Descargue el archivo adjunto para revisarlos a la brevedad." 📩 Este es el tipo de mensaje que muchos contribuyentes en Chile están recibiendo. Aparenta venir del SII, pero es completamente falso. Se trata de una campaña activa de suplantación de identidad que busca engañar a los usuarios con correos maliciosos.

El Servicio de Impuestos Internos advirtió que no solicita datos personales ni financieros por correo, ni envía archivos o enlaces para descarga. Hacer clic en estos mensajes puede llevar al robo de datos o a la instalación de malware en tu equipo. ¿Qué hacer para protegerte? No abras enlaces ni descargues archivos de correos sospechosos, revisa que el remitente sea una dirección oficial y ante la duda, entra directamente al sitio del SII o revisa sus cuentas.

Una nueva tecnología llamada Wi-R llega para reemplazarlo: es más rápida, consume menos energía y tiene mayor alcance.

Desarrollada por la Universidad de California, Wi-R promete conexiones más estables y sin las típicas fallas del Bluetooth. Ideal para casas inteligentes, realidad virtual y más.

¿Listo para una conexión sin interrupciones?