Publicado: 25/11/2025

Esta semana el malware no entra haciendo ruido: entra como si fuera parte del equipo. Desde pipelines contaminados hasta dashboards tomados y espionaje silencioso, este Hacknews es para los que ya pasaron el tutorial.

Hackearon el WhatsApp de tu abuela? No es tan grave, ahora los atacantes también tienen spyware sofisticado para los más entrenados, como tú. La CISA alertó sobre campañas activas que están entrando a redes corporativas, robando documentos, capturando comunicaciones y moviéndose sin dejar señales visibles. No es malware ruidoso, es acceso silencioso y persistente.

Los atacantes aprovechan correos dirigidos, vulnerabilidades sin parchear y credenciales filtradas. Y lo peor, muchas organizaciones descubren la intrusión cuando el atacante ya lleva semanas dentro. Así que aplica MFA en todo, monitorea comportamiento inusual en endpoints y red, revisa logs históricos y asegúrate de tener un plan real de respuesta a incidentes.

Así funciona Shai-Hulud 2.0, una campaña de ataque a la cadena de suministro descubierta por Wiz. Los atacantes comprometen librerías o dependencias legítimas usadas por miles de empresas, logrando que el malware llegue a producción como si fuera código confiable.

El ataque se activa durante el build o en la ejecución, robando claves, accesos y credenciales almacenadas en pipelines CI/CD. No necesitas abrir nada, el riesgo entra “firmado” por un proveedor que creías seguro. Como empresa, usa repositorios internos o verificados, revisa integridad de dependencias, analiza código antes de desplegar y monitorea pipelines en busca de actividad inesperada.

Abres tu dashboard de monitoreo y sin saberlo, un atacante también tiene acceso total, esto le sucedió a miles de equipos que usan Grafana para visualizar métricas, logs y sistemas críticos. Pero una vulnerabilidad CVSS 10.0 permitió a atacantes tomar control total mediante su endpoint SCIM, incluso sin credenciales válidas.

En un escenario real, esto significa que alguien podría manipular dashboards, ocultar alertas, crear usuarios, borrar historial o moverse hacia otros sistemas conectados. Basta con que tu instancia estuviera expuesta o desactualizada. Así que actualiza Grafana ya, revisa reglas de acceso, cierra endpoints SCIM si no los usas y monitorea cambios administrativos durante las próximas semanas.

¿Tu empresa ya usa IA, pero no sabe cómo gestionarla de forma segura y ética?

ISO 42001 es el primer estándar internacional para gobernar la IA con estructura, controles y propósito. En este artículo te contamos:

Además, tienes acceso al webinar completo.

📖 Lee el artículo acá

Publicado: 18/11/2025

Cloudflare se cayó, medio internet entró en pánico y mientras esperamos que todo vuelva a la normalidad, aprovecha y lee este Hacknews🔥.

Porque esta semana, las top en IA filtraron secretos en GitHub, el phishing se volvió un kit de regalo, y Claude fue jailbreakeado para espiar como un agente encubierto.

Y si crees que todo eso no te afecta… bueno, espera a ver el nuevo OWASP Top 10 2025.

Porque claro, si estás en la lista Forbes AI 50, se supone que eres elite, innovador, impecable, excepto por ese pequeño detalle de haber dejado expuestos tokens, claves y credenciales críticas en GitHub.

El nuevo informe de Wiz revela que el 65% de estas compañías “top” filtraron secretos verificables, incluyendo accesos a modelos privados, llaves de plataformas como Hugging Face y Weights & Biases, e incluso permisos para administrar organizaciones completas. En total, más de US$400 mil millones en empresas expuestas por errores que cualquier junior evitaría.

Para equipos técnicos, escanea repositorios públicos, forks, gists y commits antiguos con herramientas de detección de secretos, revoca claves filtradas y separa cuentas personales de las corporativas. Si eres desarrollador o colaborador externo, evita subir notebooks con tokens, activa MFA siempre y no des por hecho que “si es una gran empresa, debe tener todo bajo control”.

¿Creías que para lanzar phishing tenias que ser un genio? Pues ya no, ha emergido un kit de phishing-como-servicio (PhaaS) que automatiza todo: dominios maliciosos pre-configurados, infraestructura de redirección, esquemas de phishing tipo DocuSign, payroll, QR codes, todo en un paquete.

El objetivo son los usuarios de Microsoft 365 y cerca de 1.000 dominios ya hospedan este servicio que permite a actores con muy poca habilidad técnica lanzar campañas globales.

¿Qué hacer? Capacitar al personal en prevención de phishing, bloquear páginas de phishing, utilizar detección de redireccionamientos maliciosos, revisar campañas de correo entrante con especial ojo a “solo haz clic aquí” o “firma este documento”.

Porque claro, la IA era para “ser más productivos” no para que un actor estatal la use como hacker autónomo ¿verdad? Pues Anthropic confirmó que un grupo vinculado a China jailbreakeó a Claude Code y lo convirtió en un atacante casi independiente.

La IA hizo 80–90% del trabajo, reconocimiento, escritura de exploits, robo de credenciales, creación de backdoors y exfiltración de datos a gran velocidad, apuntando a tecnológicas, bancos y agencias gubernamentales. Es el primer caso documentado de un ciberataque masivo ejecutado con mínima intervención humana.

Como empresa supervisa cualquier IA con capacidad de acción, refuerza guardrails, monitorea agentes autónomos y prepárate para un escenario donde los atacantes ya no son equipos, sino modelos.

El nuevo OWASP Top 10:2025 ya salió, y viene con cambios que reflejan cómo realmente se atacan las apps hoy. Y si crees que los peores fallos siguen siendo XSS o SQLi… estás mirando al pasado.

Broken Access Control sigue en el #1. Y no es casualidad. Como dice Juan David, hacker de Hackmetrix: “El 100 % de las aplicaciones testeadas tienen este tipo de fallo. En Hackmetrix, la mayoría de vulnerabilidades graves que encontramos son por mal control de accesos, más que por inyecciones.”

Además, aparece una nueva categoría clave:

Software Supply Chain Failures — porque los riesgos ya no están solo en tu código, también en lo que usas sin revisar: librerías, pipelines, dependencias.

Juan lo dijo mejor:

“Casos como Log4j o xz-utils nos mostraron que el peligro viene de afuera. Si consumes sin validar, estás en riesgo.”

Si construyes, auditas o pruebas aplicaciones, esto es lo mínimo que debes leer para sobrevivir: 📖 Revisa el OWASP Top 10:2025 aquí.

Publicado: 11/11/2025

¡Llegó el Hacknews! Esta semana, los ataques no se ven como amenazas: Se disfrazan de paquetes confiables, imágenes inocentes o mensajes técnicos bien escritos.

Si estás en Colombia tenemos un reto espacial para la seguridad de tu empresa…

Todo parece legítimo y cotidiano, un paquete popular, buena descripción, miles de descargas. Pero entre ellos se colaron 126 paquetes maliciosos con más de 80 000 descargas, usados para robar credenciales, tokens y credenciales SSH.

Para equipos técnicos, revisa las dependencias con herramientas como npm audit o Snyk, usa repositorios internos y aplica revisiones automáticas antes de subir a producción. Y si eres desarrollador independiente instala solo paquetes de autores verificados y evita copiar comandos de instalación de foros desconocidos.

No abriste ningún archivo ni hiciste clic, pero igual fuiste víctima. Investigadores confirmaron una vulnerabilidad 0-click en dispositivos Samsung explotada para instalar el spyware LANDFALL mediante imágenes enviadas por WhatsApp. El ataque no requería interacción y afectó a miles de usuarios antes de que Samsung lanzara el parche de seguridad.

Por ello si usan celulares Samsung en la empresa, exige actualizaciones inmediatas en los móviles corporativos, usa soluciones MDM para limitar el uso de apps personales y aplica políticas de cifrado y borrado remoto.

Cómo usuario de Samsung actualiza tu dispositivo, evita reenviar archivos sospechosos y activa la verificación en dos pasos.

Recibes un correo con un supuesto error técnico y un mensaje de ayuda: “Copia este comando para solucionarlo”. Lo haces… y sin saberlo, instalas malware. Así funciona la campaña ClickFix, que engaña a empleados de sectores como hotelería y retail para ejecutar comandos que abren puertas a ataques remotos.

Por ello es indispensable la capacitación en phishing avanzado, restringir la ejecución de scripts sin firma y bloquear comandos sospechosos en endpoints. Además, como consejo personal nunca copies instrucciones de correos, incluso si parecen del área de soporte, siempre sospecha y pregunta al área por otro canal.

¿Tu empresa ya protege los sistemas, pero no sabes si está haciendo lo suficiente por los datos personales?

La ISO 27701 es la guía que necesitas para complementar tu ISO 27001 y tomarte en serio la privacidad. Sirve para estructurar un sistema de gestión enfocado en datos personales (PIMS) y cumplir con regulaciones como el GDPR, CCPA o las leyes locales de protección de datos.

Si quieres cuidar los datos como se debe, este artículo es para ti: 📖 Lee la guía completa acá.

Se acabó el #Hacktubre, pero la acción continúa 💥.

Esta semana el reto es asistir al workshop exclusivo de Hackmetrix:

👉https://luma.com/i25ilqa2

Reto claro: Inscríbete, asegura tu lugar y lleva a tu empresa al siguiente nivel en ciberseguridad.

Publicado: 04/11/2025

Llegó noviembre, con N de "No confíes ciegamente en tu IA".

Esta semana, tu IA puede filtrar archivos sin dejar rastros, inventar citas falsas como si fueran reales… y todo mientras tú confías ciegamente en sus respuestas.

Si trabajas con modelos de IA, esta edición es para ti.

Imagina que subes un documento a Claude para resumirlo… y, sin saberlo, el modelo termina enviando tus archivos privados a un servidor del atacante. No hay malware, no hay alertas, no hay rastros: solo una solicitud legítima a una API de confianza.

El truco consiste en un archivo con instrucciones ocultas que hacen que Claude extraiga tus datos y los suba usando la clave API del atacante, sin violar ninguna regla aparente. Este caso deja una advertencia clara, los modelos de IA con acceso a internet o a APIs pueden ser tan vulnerables como cualquier endpoint.

Implementa revisiones de seguridad en flujos de IA, restringe la subida de archivos sensibles y registra cada conexión saliente del entorno del modelo.

¿Confías en los resúmenes “inteligentes” de ChatGPT o Perplexity? Pues cuidado, investigadores de SPLX descubrieron que un atacante puede mostrar una versión falsa de una web solo a los rastreadores de IA, mientras los humanos ven la real.

Así, la IA cita información inventada como si fuera verificada. Este ataque, llamado enmascaramiento dirigido por IA, puede manipular resúmenes, análisis o incluso decisiones automáticas basadas en IA. Si usas IA para buscar o analizar información, valida fuentes, usa crawlers propios y no tomes los resultados como verdad absoluta.

En entornos colaborativos, un mensaje en Teams puede ser suficiente para comprometer mucho más que una conversación. Investigadores reportan ataques sofisticados que usan Teams + Quick Assist para escalar privilegios, mover lateralmente y filtrar datos.

Por esto, valida que los accesos externos a Teams estén restringidos, revisa políticas de guests y federación, deshabilita Quick Assist cuando no sea necesario y monitorea actividad inusual en canales y fuera del horario normal.

Todos hablan de IA como si fuera magia. Pocos hablan del riesgo real detrás.

En este evento gratuito la IA deja de ser moda y se convierte en estrategia:

Si trabajas con IA o te están pidiendo “meterla” en tus procesos, este evento es para ti. 📆 Reserva tu cupo gratis acá → luma.com/1f4vm5tp