Publicado: 16/12/2025

Cuando el navegador decide por ti, el riesgo también

¡Llegó el Hacknews! Los incidentes de esta semana no son fallas aisladas: son señales de un problema mayor.

La IA ya interactúa con datos, sistemas y decisiones críticas, pero muchas organizaciones aún no tienen un marco claro para gobernarla. Por eso cerramos esta edición con ISO 42001: no como teoría, sino como una respuesta práctica a riesgos que ya están ocurriendo.

Imagina enviar un documento privado a tu asistente de IA para resumirlo… y que ese mismo asistente termine filtrando correos, eventos de calendario y archivos sin que nadie haya tocado un solo link. Eso fue lo que permitió una falla zero-click en Google Gemini Enterprise, donde un atacante puede incrustar instrucciones ocultas en un archivo y obligar a la IA a ejecutar acciones no deseadas sobre datos sensibles sin interacción del usuario.

Este tipo de ataque no requiere que alguien “caiga” en un engaño: basta con que el sistema procese contenido aparentemente legítimo. En un entorno corporativo, eso podría exponer desde comunicaciones internas hasta información estratégica de proyectos. Restringe qué datos pueden procesar los agentes de IA, revisa configuraciones de acceso a fuentes de información corporativa, monitorea patrones de uso inusuales y segmenta datos sensibles de los entornos que los modelos de IA pueden tocar.

Tu equipo lanza una nueva funcionalidad en producción y, sin darte cuenta, un atacante usa una ruta pública para ejecutar código malicioso en tu servidor. Eso fue lo que permitieron las vulnerabilidades CVE-2025-55182 en React y CVE-2025-66478 en Next.js: fallos que pueden ser explotados sin autenticación para tomar control remoto de aplicaciones web modernas.

Estas tecnologías son la base de muchas aplicaciones corporativas front-to-back, y una explotación exitosa puede significar desde robo de datos hasta movidas laterales hacia sistemas internos. Actualiza inmediatamente a las versiones parcheadas de React y Next.js, escanea tu código y dependencias para detectar versiones vulnerables, y aplica firewalls de aplicaciones (WAF) o IPS que bloqueen patrones maliciosos antes de que lleguen al servidor.

Imagina que un colaborador usa un navegador con IA para investigar a un cliente, preparar una propuesta o resumir información interna… y sin darse cuenta, el navegador envía acciones automatizadas a un backend externo que tu empresa no controla. Eso es exactamente lo que preocupa a Gartner, que pidió a las organizaciones pausar el uso de navegadores con IA hasta que existan controles claros de seguridad y gobernanza.

Según el análisis, estos navegadores no solo muestran contenido: actúan de forma autónoma, interpretan páginas, toman decisiones y pueden ejecutar acciones sin que el usuario lo note. En un entorno corporativo, esto abre la puerta a fugas de datos, automatizaciones no supervisadas y exposición de información sensible, todo en nombre de la productividad. Bloquea o restringe navegadores con IA en entornos corporativos, evalúa cuidadosamente qué herramientas tienen acceso a datos internos, define políticas claras sobre automatización y educa a los equipos sobre los riesgos de “delegar decisiones” al navegador. La productividad no sirve de nada si pierdes el control.

¿Tu empresa ya está explorando IA y quieres usarla de forma segura, ética y responsable… pero nadie te ha dicho por dónde empezar?

La ISO 42001 es la primera norma internacional que te da un marco claro para gobernar la IA en tu organización, y no solo hablar de ella como “tendencia”.

En este artículo vas a encontrar:

✅ Qué es la ISO 42001 y por qué importa si usas IA en tu negocio.

✅ Cómo te ayuda a gestionar riesgos reales, desde políticas hasta resultados medibles.

✅ Qué controles y dominios necesitas para aplicar la norma con sentido práctico.

La idea es que no solo entiendas qué es la norma… sino que la apliques para proteger datos, demostrar transparencia y construir confianza en tus soluciones de IA.

📖 Lee el artículo completo acá

Esta Navidad, el mejor regalo para tu equipo no es otro pendiente… es más tiempo y más creatividad. 🎄

Te invitamos a probar Nano Banana Pro 🍌✨ 👉 https://gemini.google/es/overview/image-generation

🎯 El reto:

🎁 Porque esta Navidad, además de automatizar tareas, también puedes entrenar tu creatividad con IA.

¿Aceptas el reto? 🍌✨

Publicado: 09/12/2025

No es un ataque: son tres. Y todos pueden afectarte antes de fin de año

¡Llegó el Hacknews! Esta semana vimos tres ataques que pueden golpear a cualquier empresa en estas fechas: fraude interno millonario sin malware, navegadores que pueden ser manipulados antes de cargar una página y malware móvil diseñado para robar credenciales y saltar hacia tus sistemas corporativos.

Pero todo no es malo, al final encontrarás una forma de aprender de ciberseguridad de forma gratuita.

Imagina que revisas el estado financiero de tu empresa y descubres que alguien interno desvió millones sin usar malware, sin forzar servidores y sin enviar un solo correo malicioso. Eso le pasó a una empresa chilena cuando un colaborador manipuló accesos y aprobaciones internas para robar más de $1.300 millones. No fue un ataque sofisticado, solo fue confianza mal puesta, privilegios excesivos y poca supervisión en un momento del año donde todos están ocupados.

Para protegerte de un empleado con malas intenciones, revisa los accesos privilegiados, habilita MFA en cuentas administrativas, separa funciones críticas y activa alertas para detectar cambios inesperados en roles o usuarios. Si haces esto, rompes el principal vector del fraude, que alguien pueda actuar sin que nadie lo note.

En un mes donde los equipos habilitan funciones nuevas para terminar proyectos o probar herramientas internas, estas automatizaciones se vuelven terreno fértil para un atacante. En pruebas recientes se evidenció que navegadores con capacidades autónomas o integraciones de IA pueden ejecutar acciones antes de que el usuario vea el contenido cargado. No hace falta interacción: una página especialmente preparada puede provocar que el navegador descargue archivos, manipule formularios o ejecute scripts sin que el usuario lo note.

La solución pasa por desactivar funciones autónomas en entornos corporativos, usar un navegador secundario, limpio y sin IA para tareas delicadas, y establecer reglas que eviten automatizaciones no supervisadas.

Imagina que descargas una app que parece legítima, quizá una actualización bancaria y sin darte cuenta tu teléfono empieza a capturar tus claves, tus pantallas, tus SMS y hasta tus frases. Eso están haciendo FvncBot, SeedSnatcher y la nueva variante de ClayRat, tres familias de malware que encontraron en Android el mejor canal para robar credenciales, acceder a MFA y moverse hacia sistemas corporativos.

En diciembre, cuando aumentan los pagos móviles, compras y uso de apps financieras, un celular comprometido puede convertirse en la entrada principal hacia tu organización. Para cortar este riesgo, evita instalaciones desde fuentes no oficiales, revisa permisos de accesibilidad y notificaciones, separa dispositivos personales de los corporativos y aplica controles MDM si tu equipo maneja información sensible.

Esta vez, el reto no es técnico… es profesional.

Estamos elevando el nivel de servicio a nuestros clientes y buscamos a alguien que quiera hacerlo codo a codo con ellos: nuestro nuevo CISO. 👀

Si te apasiona la ciberseguridad, has liderado procesos de ISO 27001, disfrutas meterte en la nube con el equipo de ingeniería y sigues de cerca las últimas tendencias (como IA), este desafío es para vos.

Qué harás:

¿Te interesa? Postula.

¿Quieres aprender ciberseguridad, pero no sabes por dónde empezar?

En YouTube hay verdaderas joyas para formarte gratis

Canales para aprender de todo: Hak5, Network Chuck, David Bombal, Black Hills InfoSec.

Para hackers y bug bounty: Nahamsec, The Cyber Mentor, HackerSploit.

Certificaciones y carrera: Simply Cyber, Professor Messer, Outpost Gray.

Seguridad web y cloud: OWASP Foundation, Null Byte, Day Cyberwox.

Análisis y forense: John Hammond, 13Cubed.

Revisa la selección completa de canales aquí.

Publicado: 02/12/2025

Llegó diciembre y los atacantes lo saben: OpenAI tuvo un incidente con Mixpanel, Android corrigió 107 fallos críticos y FlyCrew casi cae en un fraude.

Pero todo no es malo, hay empresas convirtiendo la seguridad en parte de su ADN con ISO 27001.

Imagina que usas la API de OpenAI en tu empresa y, de pronto, te enteras de que uno de sus proveedores externos fue comprometido. Eso pasó cuando Mixpanel, su servicio de analítica, sufrió un acceso no autorizado que expuso información básica de algunos usuarios: nombre, correo, país, navegador y metadatos de uso.

Lo importante: no se filtraron claves API, chats, contraseñas ni datos sensibles, pero sí suficiente información para que un atacante pueda intentar phishing o suplantación. Así que, activa MFA en todas las cuentas de OpenAI, desconfía de correos que “parezcan” venir de OpenAI y revisa qué proveedores externos manejan tus datos.

Imagina que un colaborador abre un enlace en su Android… y sin hacer nada más, un atacante toma control del dispositivo. Eso es lo que permiten varias de las 107 vulnerabilidades que Google acaba de parchear, incluyendo fallos de ejecución remota y escalación de privilegios.

Exige que todos los dispositivos (propios y de empleados) que usen Android estén actualizados con el parche más reciente. Complementa con políticas que restrinjan apps de fuentes no confiables y no dependas de que todos se actualicen espontáneamente hazlo parte del ciclo de seguridad.

Imagínate revisar tu plataforma y ver cuentas nuevas con nombres raros, productos falsos y compras hechas con tarjetas robadas. Todo armado para que tú transfieras el dinero y ellos desaparezcan. Eso mismo le pasó a FlyCrew la semana pasada.

Por suerte lo pillaron rápido, bloquearon las cuentas, frenaron los pagos y ajustaron sus reglas para que no vuelva a pasar. La lección es clara: cuando tu negocio crece, el fraude también. Por eso monitorea la actividad, detén pagos sospechosos, automatiza bloqueos y usa herramientas que detecten comportamientos extraños.

¿Tus clientes te piden pruebas de seguridad y aún no sabes cómo demostrarla sin parar la operación?

Digifact encontró la respuesta: certificarse en ISO 27001 con acompañamiento de Hackmetrix.

El resultado fue mucho más que un certificado:

Así fue como pasaron de responder cuestionarios, a liderar con evidencia: 👉🏽 Ver caso de Digifact