Publicado: 10/02/2026
Tu nuevo auditor de seguridad no es humano.
En el Hacknews de hoy te explicamos las nuevas reglas del juego y por qué la brecha entre los que tienen acceso y los que no, lo cambiará todo.
Tienes una IA capaz de analizar ataques y vulnerabilidades, pero solo si tu identidad y uso están verificados. Eso es Trusted Access for Cyber, una iniciativa que busca limitar el acceso a capacidades avanzadas de IA solo a equipos de ciberseguridad confiables, evitando que estas herramientas terminen en manos equivocadas.
Prepara a tu equipo de seguridad para solicitar acceso confiable (trusted access) y define claramente casos de uso defensivos antes de integrarlo en tus flujos de trabajo. No toda IA debe estar abierta por defecto, especialmente cuando puede usarse tanto para defender como para atacar.
Un día descubres que más de 500 vulnerabilidades críticas estuvieron ahí todo el tiempo sin que nadie las viera. Eso es lo que logró Claude Opus 4.6, al analizar proyectos de código abierto y detectar fallas de alta severidad que habían pasado desapercibidas.
Esto marca un cambio importante, la IA ya no solo acelera el desarrollo, también puede convertirse en un auditor de seguridad permanente. Como recomendación considera integrar herramientas de análisis de IA en tus pipelines de seguridad y pruebas de código, la capacidad de detectar fallas profundas puede ser un multiplicador de defensas en proyectos extensos o con dependencias complejas.
Enfrentas incidentes críticos con un equipo cansado, saturado de alertas y tomando decisiones bajo presión constante. Eso es lo que viven muchos SOC hoy. Los CISOs más avanzados están reconociendo que el burnout no solo afecta a las personas, sino también a la capacidad real de respuesta ante ataques.
Para romper ese ciclo, están cambiando la forma de operar: menos dependencia del análisis manual, más automatización inteligente y uso de sandboxes desde el inicio para ejecutar archivos y enlaces sospechosos sin exponer a los analistas. El resultado es doble: respuestas más rápidas y equipos menos desgastados. Revisa cuántas alertas requieren intervención humana innecesaria, automatiza el triage inicial y prioriza métricas como MTTR y tasa de escalamiento.
El Brief para Sobrevivir…
¿Tu empresa ya cuenta con ISO 27001 y piensa que eso es suficiente, incluso ahora que usa IA?
La realidad es esta: ISO 27001 e ISO 42001 cumplen roles distintos.
🔐 ISO 27001 se encarga de proteger la información: datos, accesos, sistemas y riesgos de seguridad tradicionales.
🤖 ISO 42001 entra cuando aparece la IA: define cómo gobernarla, medir sus riesgos y asegurar un uso seguro, ético y confiable.
Si tu empresa ya está usando IA o está por hacerlo, este artículo te ayuda a entender cuándo necesitas una, la otra o ambas.
🥷 Reto de la semana
La seguridad digital es responsabilidad de todos, no solo de los especialistas.
Esta semana el reto es explorar y completar actividades de CyberScouts OSI 👉 cyberscouts.osi.es
¿Qué harás?
Entra a CyberScouts OSI y recorre los recursos y desafíos disponibles.
Aprende conceptos clave de ciberseguridad de forma práctica y guiada.
Puedes aplicarlo en tu día a día (por ejemplo: proteger cuentas, reconocer amenazas o mejorar hábitos digitales).
¡Recibe todas las semanas las nuevas noticias que te trae Hackmetrix! 🚀
Publicado: 04/02/2026
El MFA no te salva si contestas esta llamada
Esta semana te mostramos cómo la ingeniería social y la falta de gobierno sobre nuevas tecnologías se están convirtiendo en las puertas de entrada para los atacantes.
Imagínate una red social donde no hay personas, solo agentes de IA interactuando entre sí… y de repente esos bots fundan una religión digital completa. En la nueva plataforma Moltbook los agentes generaron espontáneamente una fe llamada Crustafarianism, con doctrina, textos y un creciente “congregación” de seguidores artificiales sin intervención humana directa. Este fenómeno no surgió como parte de un experimento humano: los propios agentes intercambiaron ideas, perfiles, conceptos y creencias hasta formar un sistema de fe digital, lo que plantea preguntas sobre cómo se comportan las IA cuando se les da libertad para interactuar entre sí.
Presta atención a plataformas de IA autónoma y entornos donde agentes pueden auto-organizarse, aunque hoy esto sea curioso, también muestra que comportamientos emergentes impredecibles pueden surgir sin supervisión humana.
Recibes una llamada del equipo de TI pidiéndote validar tu acceso y sin saberlo acabas entregando tu usuario, contraseña y código MFA. Eso es lo que está haciendo el grupo ShinyHunters, combinando vishing con páginas de phishing para robar accesos SSO y tomar control de cuentas corporativas en la nube. En estos ataques, los atacantes se hacen pasar por personal de TI para persuadir a empleados de que actualicen sus ajustes de acceso, engañándolos para que visiten páginas de inicio de sesión falsas. Una vez capturados usuario, contraseña y MFA, los atacantes registran sus propios dispositivos, obtienen acceso a cuentas y empiezan a exfiltrar datos sensibles.
Este tipo de campaña no explota fallas técnicas en los proveedores de identidad, sino que se basa en técnicas de persuasión humana y diseños de phishing muy convincentes, incluso bajo conversación directa con la víctima. Refuerza tus políticas de verificación de identidad, pasa a métodos de MFA resistentes a ingeniería social, y habilita monitoreo y alertas de actividad inusual en SSO y autenticaciones MFA.
Instalas una extensión en Chrome y sin avisarte, termina robando tus datos y hasta tus tokens de ChatGPT. Eso es lo que investigadores descubrieron en una campaña de extensiones maliciosas que exfiltran información y permiten a atacantes acceder a sesiones y conversaciones con la IA. El riesgo es mayor de lo que parece: una sola extensión puede convertirse en puerta de entrada a datos sensibles y herramientas corporativas, sin necesidad de malware tradicional.
Como solución revisa y limita las extensiones en navegadores de trabajo, elimina las no esenciales y controla el acceso a herramientas de IA. En seguridad, lo “pequeño” también compromete lo crítico.
El Brief para Sobrevivir…
¿Tu empresa ya está integrando IA… pero nadie te ha dicho cómo gobernarla de manera segura, ética y medible?
ISO 42001 es el primer estándar internacional que te da ese marco: no es teoría, es gobernanza práctica para usar IA sin perder control ni exponerte a riesgos que nadie mide.
En este artículo aprendes:
Qué es ISO 42001 y por qué importa si tu IA impacta decisiones, datos o personas.
Cómo la norma te ayuda a gestionar riesgos reales de IA con controles claros.
Por qué medir lo que haces con IA es el primer paso para mejorar y demostrar confianza ante clientes, reguladores y tu propio equipo.
Este no es solo otro marco: es la forma de convertir la IA de “caja negra” en un activo que puedes auditar, gobernar y escalar.
🥷 Reto de la semana
Si quieres mejorar tu capacidad para identificar y explotar vulnerabilidades reales (de forma ética), este reto es para ti.
Esta semana el reto es completar Pixel Vault 1 👉 https://thepwnlab.es/retos/pixel-vault-1
¿Qué harás?
Entra al reto Pixel Vault 1 y explora sus desafíos.
Identifica fallos de seguridad y encuentra cómo explotarlos.
Documenta tu enfoque:
¿Qué vulnerabilidad encontraste?
¿Cómo la explotaste?
¿Qué mitigación implementarías en un sistema real?