Noticias de seguridad informatica

Un nuevo análisis de Unit 42, de Palo Alto Networks, advierte que el auge de la programación asistida por IA acelera el desarrollo de software, pero también expone a las organizaciones a mayores riesgos de ciberseguridad. La promesa del desarrollo asistido por IA, o "vibe coding", es innegable. En un panorama definido por complejas arquitecturas nativas de la nube y una intensa demanda de nuevo software, este factor multiplicador de fuerza se está convirtiendo rápidamente en una práctica habitual. Sin embargo, esta velocidad conlleva un coste considerable, a menudo desatendido. Dado que los agentes de IA que generan código funcional en segundos, con frecuencia no aplican controles de seguridad críticos, lo que genera vulnerabilidades masivas, deuda técnica y escenarios de vulneración reales. Este desafío se puede agravar por el auge de desarrolladores ciudadanos (personal sin experiencia en desarrollo) que carecen de los conocimientos necesarios para revisar o proteger el código generado. Debido a esta falta de experiencia en desarrollo, es posible que los desarrolladores no comprendan plenamente los requisitos de seguridad del ciclo de vida de las aplicaciones, lo que puede requerir formación o experiencia en seguridad de aplicaciones. Para todos los líderes, desde el CEO hasta el CISO, así como para los profesionales técnicos, comprender esta brecha es fundamental. "Hoy basta con que un usuario escriba una instrucción simple para que en segundos aparezcan varias líneas de código funcional. Esa es la nueva realidad del desarrollo de software. Las ganancias de productividad son innegables, pero ya estamos viendo incidentes reales provocados por el uso de estas herramientas sin los controles de seguridad adecuados", detalló Patrick Rinski , Líder de Unit 42 para América Latina. "Cuando el código funciona, pero la seguridad queda atrás El problema no es hipotético. ¿Qué ocurre cuando una función generada por IA obtiene los datos correctamente, pero no incluye controles básicos de autenticación o limitación de solicitudes? ¿O cuando una instrucción maliciosa logra engañar al agente de IA para extraer información sensible? La codificación Vibe ofrece una ventaja, ya que permite a los equipos hacer más con menos. Sin embargo, tras una adopción más generalizada, Unit 42 ha observado que se han producido fallos catastróficos reales: Desarrollo de aplicaciones inseguras que conducen a una violación: una aplicación de ventas fue violada con éxito porque el agente de codificación de vibraciones no incorporó controles de seguridad clave, como los de autenticación y limitación de velocidad, en la compilación. Lógica de plataforma insegura que conduce a la ejecución de código: los investigadores descubrieron una falla crítica a través de la inyección indirecta de indicaciones que permitía la inyección de comandos maliciosos a través de contenido no confiable, ejecutando código arbitrario y permitiendo la exfiltración de datos confidenciales. Lógica de plataforma insegura que conduce a la elusión de la autenticación: una falla crítica en la lógica de autenticación de un programa popular permitió eludir los controles simplemente mostrando la identificación públicamente visible de una aplicación en una solicitud de API. Eliminación no autorizada de una base de datos que provoca pérdida de datos: un agente de IA, a pesar de las instrucciones explícitas de congelar los cambios de producción, eliminó toda la base de datos de producción de una aplicación comunitaria. "La creciente demanda de software, el uso intensivo de tecnologías en la nube y la adopción generalizada de modelos DevOps (una forma de integrar desarrollo y operaciones para entregar software más rápido) están llevando a muchas organizaciones a priorizar la velocidad sobre la seguridad. La programación asistida por IA puede ser un gran habilitador, pero sin una estrategia clara de control de riesgos, también puede convertirse en un acelerador de incidentes graves”, agregó Rinski. Comprender las causas profundas del riesgo en la programación asistida por IA Estos incidentes son síntomas de deficiencias predecibles y fundamentales en el funcionamiento de los modelos de IA. Según el análisis de Unit 42, estos riesgos se agrupan en varias categorías clave: Los modelos priorizan la funcionalidad sobre la seguridad: los agentes de IA están optimizados para proporcionar una respuesta práctica y rápida. No están optimizados intrínsecamente para formular preguntas de seguridad críticas, lo que resulta en una naturaleza insegura por defecto. Ceguera del contexto crítico: un agente de IA carece de la conciencia situacional que posee un desarrollador humano (por ejemplo, distinguir entre entornos de producción y desarrollo). El riesgo de la cadena de suministro "fantasma”: los modelos de IA a menudo generan alucinaciones con bibliotecas o paquetes de código que parecen útiles pero que en realidad no existen, lo que genera dependencias irresolubles. Desarrolladores ciudadanos y exceso de confianza en los desarrolladores: los profesionales sin experiencia en desarrollo carecen de formación para escribir código seguro. La democratización del desarrollo de código acelera la aparición de vulnerabilidades de seguridad y la deuda técnica a largo plazo. Además, el código parece correcto y funciona. Esto crea una falsa sensación de seguridad, lo que acelera la aparición de vulnerabilidades debido a la falta de control de cambios tradicional y revisión segura del código. A través de sus evaluaciones de visibilidad y seguridad de IA, Unit 42 ha descubierto que la mayoría de las organizaciones evaluadas permiten a sus empleados usar herramientas de codificación de vibraciones debido a la ausencia de bloqueos físicos (por ejemplo, herramientas de bloqueo en el firewall). Sin embargo, muy pocas de estas organizaciones han realizado una evaluación formal de riesgos sobre el uso de estas herramientas y muy pocas monitorean las entradas, salidas y resultados de seguridad. Abordar el riesgo a través del marco SHIELD El marco SHIELD es una guía para reducir riesgos de seguridad cuando se usa IA para programar (vibe coding). El objetivo principal es no dejar todo en manos de la inteligencia artificial y mantener controles básicos. Este enfoque práctico se basa en limitar los permisos de la IA, separar funciones críticas, mantener siempre la revisión humana, usar herramientas automatizadas de seguridad y aplicar controles defensivos ante cualquier operación. En resumen, aprovecha la eficiencia de la IA en el desarrollo de software sin comprometer la seguridad de los sistemas ni de la organización. S (Separation of Duties) — Separación de funciones: evitar que los agentes tengan privilegios mezclados que alcancen la producción. Restringir su uso a desarrollo y pruebas. H (Human in the Loop) — Humano en el circuito: exigir revisión obligatoria de código por personal calificado y aprobación de Pull Request (PR) antes del merge, especialmente cuando participan no desarrolladores. I (Input/Output Validation) — Validación de entradas y salidas: separación de instrucciones confiables y datos no confiables (sanitizar prompts con guardrails) y aplicar SAST antes de integrar cambios. E (Enforce Security-Focused Helper Models) — Modelos auxiliares centrados en seguridad: usar herramientas independientes para SAST, escaneo de secretos, verificación de controles y detección de secretos hardcodeados, previo al despliegue. L (Least Agency) — Agentes mínimos: otorgar a los agentes sólo los permisos indispensables, restringir acceso a archivos sensibles y poner límites a comandos destructivos. D (Defensive Technical Controls) — Controles técnicos defensivos: aplicar Software Composition Analysis (SCA) antes de consumir componentes y deshabilitar la auto‑ejecución para asegurar siempre la intervención humana en el despliegue. Fuente: Unit42

La agencia de ciberdefensa estadounidense CISA emitió el jueves una directiva operativa que obliga a las agencias federales a "retirar cualquier dispositivo de hardware y software que ya no cuente con el soporte técnico de su fabricante original". "Los dispositivos sin soporte técnico representan un grave riesgo para los sistemas federales y nunca deben permanecer en las redes empresariales", declaró Madhu Gottumukkala, director interino de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA). La CISA indicó que los cibercriminales explotan cada vez más los dispositivos periféricos que ya no reciben actualizaciones de firmware ni otros parches de seguridad. Estos dispositivos —que incluyen balanceadores de carga, firewalls, routers, switches, puntos de acceso inalámbricos, dispositivos de seguridad de red, dispositivos periféricos del Internet de las cosas (IoT) y más— son "especialmente vulnerables a los cibercriminales persistentes que explotan una vulnerabilidad nueva o conocida". Nick Andersen, subdirector ejecutivo de Ciberseguridad de CISA, declaró a la prensa durante una rueda de prensa que "los atacantes que atacan dispositivos periféricos incluyen aquellos con vínculos con estados-nación". Se negó a identificar los países involucrados ni a explicar los incidentes específicos que motivaron la directiva. "Esto no responde a ningún incidente o vulnerabilidad en particular, sino a un reconocimiento de que los dispositivos sin soporte representan un grave riesgo para los sistemas federales", explicó. Las agencias civiles federales tendrán tres meses para proporcionar a CISA un inventario de todos los dispositivos en sus redes que figuran en una lista de dispositivos al final de su vida útil. Después de un año, todos los dispositivos identificados deberán ser desmantelados y, en un plazo de dos años, se deberá crear un proceso para la detección continua de todos los dispositivos periféricos que puedan estar al final de su vida útil. Las agencias federales también deben actualizar todos los dispositivos y reemplazar los que estén al final de su vida útil por dispositivos que puedan recibir actualizaciones de seguridad. CISA creó una lista de dispositivos perimetrales en estado EOL que contiene información sobre los dispositivos que ya están al final de su vida útil o que lo estarán en los próximos meses. La CISA afirmó que no publicaría la lista de dispositivos al final de su vida útil. "Una buena higiene cibernética comienza con la eliminación de los dispositivos periféricos sin soporte", afirmó Andersen. Los dispositivos periféricos han sido durante mucho tiempo el punto de entrada preferido por los atacantes que buscan acceder a las redes, y actores estatales de China y Rusia han lanzado múltiples campañas dirigidas específicamente a dispositivos de empresas como Barracuda, Ivanti, Fortinet y otras. Los dispositivos periféricos son objetivos atractivos debido a su amplio alcance en la red de una organización y a su integración con los sistemas de gestión de identidades. Estos dispositivos son especialmente vulnerables a ataques cibernéticos dirigidos a vulnerabilidades recién descubiertas y sin parchear. Fuente: TheRecord

La botnet de denegación de servicio distribuido (DDoS), conocida como AISURU/Kimwolf, se ha atribuido a un ataque sin precedentes que alcanzó un máximo de 31,4 terabits por segundo (Tbps) y duró tan solo 35 segundos. Cloudflare, que detectó y mitigó automáticamente la actividad, afirmó que forma parte de un número creciente de ataques DDoS HTTP hipervolumétricos lanzados por la botnet en el cuarto trimestre de 2025. El ataque tuvo lugar en noviembre de 2025. AISURU/Kimwolf también se ha vinculado a otra campaña DDoS, denominada "The Night Before Christmas", que comenzó el 19 de diciembre de 2025. Según Cloudflare, el tamaño promedio de los ataques DDoS hipervolumétricos durante la campaña fue de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 solicitudes por segundo (Mrps), con velocidades máximas de 9 Bpps, 24 Tbps y 205 Mrps. Algunas tendencias destacadas observadas por Cloudflare durante el cuarto trimestre de 2025 son las siguientes: Las empresas de telecomunicaciones y los proveedores de servicios se convirtieron en el sector más atacado, seguido de las tecnologías de la información, los juegos de azar, los videojuegos y el software. China, Hong Kong, Alemania, Brasil, EE. UU., el Reino Unido, Vietnam, Azerbaiyán, India y Singapur fueron los países más atacados. Bangladesh superó a Indonesia como la principal fuente de ataques DDoS. Otras fuentes importantes fueron Ecuador, Indonesia, Argentina, Hong Kong, Ucrania, Vietnam, Taiwán, Singapur y Perú. "Los ataques DDoS aumentaron un 121% en 2025, alcanzando un promedio de 5.376 ataques mitigados automáticamente cada hora", declararon Omer Yoachimik y Jorge Pacheco de Cloudflare. En 2025, el número total de ataques DDoS se duplicó con creces, alcanzando la increíble cifra de 47,1 millones. La empresa de infraestructura web señaló que mitigó 34,4 millones de ataques DDoS a nivel de red en 2025, en comparación con los 11,4 millones de 2024. Solo en el cuarto trimestre de 2025, los ataques DDoS a nivel de red representaron el 78% del total. En conjunto, el número de ataques DDoS aumentó un 3 % con respecto al trimestre anterior y un 58% con respecto a 2024. En el cuarto trimestre de 2025, los ataques hipervolumétricos aumentaron un 40 % en comparación con el trimestre anterior, pasando de 1.304 a 1.824. En el primer trimestre de 2025 se registraron 717 ataques. Este aumento en el número de ataques se vio acompañado de un incremento en su tamaño, que creció más del 700% en comparación con los grandes ataques observados a finales de 2024. AISURU/Kimwolf ha atrapado en su botnet a más de 2 millones de dispositivos Android, la mayoría de los cuales son televisores Android de otras marcas, a menudo mediante túneles a través de redes proxy residenciales como IPIDEA. El mes pasado, Google interrumpió la red proxy e inició acciones legales para desmantelar docenas de dominios utilizados para controlar dispositivos y el tráfico proxy a través de ellos. También se asoció con Cloudflare para interrumpir la resolución de dominios de IPIDEA, lo que afectó su capacidad para controlar los dispositivos infectados y comercializar sus productos. Se ha determinado que IPIDEA ha registrado dispositivos utilizando al menos 600 aplicaciones Android troyanizadas que integraban varios kits de desarrollo de software (SDK) de proxy, y más de 3.000 binarios de Windows troyanizados que se hacían pasar por OneDriveSync o actualizaciones de Windows. Además, la empresa con sede en Pekín ha promocionado varias aplicaciones VPN y proxy que convertían silenciosamente los dispositivos Android de los usuarios en nodos de salida de proxy sin su conocimiento ni consentimiento. Además, se ha descubierto que los operadores gestionan al menos una docena de empresas de proxy residencial que se hacen pasar por servicios legítimos. Tras bambalinas, todas estas ofertas están conectadas a una infraestructura centralizada bajo el control de IPIDEA. Fuente: THN

La monitorización con eBPF está revolucionando la seguridad y gestión en servidores Linux. eBPF permite que se puedan ejecutar programas seguros dentro del kernel de Linux para obtener una visibilidad profunda y en tiempo real.  eBPF es una tecnología que permite ejecutar programas personalizados de forma segura dentro del kernel de Linux sin necesidad de modificar el código fuente o reiniciar el sistema. Se utiliza principalmente para observar el rendimiento, filtrar tráfico de red y fortalecer la seguridad del sistema mediante el análisis de eventos en tiempo real. En la actualidad, los sysadmins usan eBPF para optimizar la observabilidad, seguridad y rendimiento operativo. Por qué eBPF cambia las reglas del juego Si llevas tiempo en esto, sabes que la monitorización siempre ha sido un compromiso. O instalabas agentes pesados que te daban mucha información pero consumían CPU y memoria como si no hubiera un mañana, o te conformabas con métricas superficiales para no lastrar el rendimiento. Con eBPF, esta dicotomía empieza a difuminarse. La idea de poder engancharse directamente al kernel y observar lo que pasa, sin intermediarios, es simplemente revolucionaria. Ya no hablamos de un agente que se ejecuta como un proceso más, compitiendo por recursos. Hablamos de pequeños programas verificados que se ejecutan en un entorno seguro dentro del propio kernel, como una extensión nativa del sistema operativo. Es pasar de tener un espía siguiendo a un objetivo (con el riesgo de que lo descubran y de que haga ruido) a ser el propio suelo que pisa el objetivo, sintiendo cada uno de sus pasos. Los agentes de monitorización tradicionales, ya sean para APM (Application Performance Monitoring) o para métricas de sistema, funcionan en el espacio de usuario. Esto significa que, para obtener datos del kernel (como llamadas al sistema, operaciones de red o accesos a disco), necesitan realizar constantes cambios de contexto (de espacio de usuario a espacio de kernel y viceversa). Cada uno de estos saltos, aunque pequeños, suma y genera una sobrecarga. Si lo multiplicas por miles de eventos por segundo en un servidor concurrido, el overhead se vuelve tangible. eBPF invierte este modelo. En lugar de un agente pesado, cargas «sondas» o programas eBPF extremadamente ligeros y específicos para lo que necesitas. ¿Solo quieres ver la latencia de las consultas DNS? Cargas un programa eBPF que se engancha a las funciones sendto y recvfrom en el socket correspondiente. ¿Necesitas rastrear qué proceso está abriendo un fichero de configuración específico? Enganchas una sonda a la llamada al sistema openat. Estos programas se compilan a un bytecode que es verificado por el kernel antes de cargarse. Este verificador es como un portero de discoteca extremadamente estricto: se asegura de que el programa no pueda caer en bucles infinitos, no acceda a memoria no autorizada ni pueda, en definitiva, colgar el sistema. Una vez aprobado, el JIT (Just-In-Time) compiler del kernel lo traduce a código máquina nativo, haciéndolo increíblemente rápido. El resultado es una monitorización con un impacto en el rendimiento casi nulo, a veces estimado en menos del 1%. eBPF soluciona esto con el Verificador. Antes de que un programa eBPF se cargue y se enganche a un evento del kernel, pasa por un proceso de análisis estático extremadamente riguroso. Si has investigado sobre eBPF antes de, digamos, 2020, probablemente leíste sobre la pesadilla de tener que recompilar tus programas eBPF para cada versión específica del kernel. Ese infierno se acabó gracias a una cosa llamada BTF (BPF Type Format) y el concepto que habilita: CO-RE (Compile Once – Run Everywhere). La buena noticia es que, a día de hoy, en 2026, eBPF ya no es una rareza exótica. Es una tecnología madura y soportada por todas las distribuciones Linux serias. Sin embargo, no todas las «experiencias eBPF» son iguales, y el diablo, como siempre, está en los detalles de la versión. Kernel Linux: El soporte sólido para BTF empezó a tomar forma alrededor del kernel 5.2, pero se ha ido puliendo mucho desde entonces. Para una experiencia sin sobresaltos, cualquier kernel 5.8 o superior es una apuesta segura. Ubuntu: Desde la versión 20.10 en adelante, Ubuntu incluye BTF por defecto. En la última LTS, Ubuntu 24.04, el soporte es de primera clase. RHEL y derivados (CentOS Stream, Rocky Linux, AlmaLinux): A partir de RHEL 8.2, se empezó a incluir el soporte BTF. En RHEL 9 y sus clones, es una característica estándar y robusta. Debian: Debian habilitó BTF por defecto a partir de la versión 11 («Bullseye»). SLES (SUSE Linux Enterprise Server): SLES 15 SP3 y versiones posteriores también vienen con soporte BTF de serie. Ya hemos visto el «porqué», ahora vamos a meternos en el fango y ver el «cómo» funciona esto por dentro. Para usar eBPF de verdad y no solo recitar conceptos, hay que entender sus piezas fundamentales. En este artículo de SysAdminOk desmontar el mecanismo pieza por pieza. Léelo!

El mundo de la seguridad de la identidad está en constante evolución. Lo que antes era una cuestión sencilla de nombres de usuario y contraseñas ha evolucionado a un complejo ecosistema de biometría, tokens de hardware y arquitecturas de confianza cero. De cara al 2026, el ritmo del cambio se acelera. Las fronteras entre nuestras identidades digitales y físicas se difuminan, y el panorama de amenazas se vuelve más sofisticado. Mantenerse a la vanguardia no se trata solo de reaccionar ante las amenazas, sino de anticiparse a ellas para reducir el riesgo. Basándose en las tendencias actuales, aquí se presentan 9 predicciones sobre la seguridad de la identidad para 2026. 1. La IA se convertirá en la principal herramienta de gobernanza de la identidad Las revisiones de acceso manuales y los modelos de control de acceso basado en roles (RBAC) ya están mostrando su antigüedad. Para 2026, la gobernanza y administración de identidades (Identity Governance and Administration - IGA) impulsadas por IA serán la norma. Estos sistemas analizarán continuamente el comportamiento del usuario, la sensibilidad de los recursos y las señales de riesgo para otorgar, modificar o revocar el acceso en tiempo real. Este acceso "justo a tiempo" reducirá drásticamente la superficie de ataque creada por los privilegios existentes. 2. Los deepfakes forzarán la transición a la biometría de "vida" El auge de los deepfakes convincentes hará que los marcadores biométricos tradicionales, como los escaneos faciales estáticos y las huellas de voz, sean poco fiables para la autenticación de alto riesgo. El enfoque se centrará en la detección de "vida". Piense en el análisis facial multiframe que rastrea movimientos musculares sutiles o la autenticación de voz que analiza patrones únicos de las cuerdas vocales. Demostrar que eres una persona viva será tan importante como demostrar quién eres. 3. La identidad descentralizada ganará impulso empresarial La identidad autosoberana (Self-Sovereign Identity SSI) y los identificadores descentralizados (Decentralized Identifiers - DIDs) trascenderán la comunidad criptográfica y se integrarán en la empresa. Las empresas comenzarán a adoptar credenciales verificables, lo que permitirá a los empleados y clientes controlar sus propios datos de identidad. Esto simplificará la incorporación, reducirá los riesgos de almacenamiento de datos para las empresas y brindará a las personas un control sin precedentes sobre su información personal. Su billetera digital contendrá su título, su verificación de empleo y sus credenciales de acceso, todo firmado y verificado en una cadena de bloques. 4. La autenticación sin contraseña se convierte en la norma, no en la excepción El impulso para eliminar las contraseñas se ha prolongado, pero 2026 será el punto de inflexión. La adopción generalizada de claves de acceso, respaldada por grandes empresas como Apple, Google y Microsoft, finalmente convertirá la autenticación multifactor (MFA) sin contraseña en la experiencia de usuario predeterminada. La comodidad y la seguridad superior serán demasiado atractivas para que las organizaciones las ignoren, relegando las contraseñas a los sistemas heredados. 5. La identidad se convierte en el eje central de la seguridad de OT e IoT A medida que la tecnología operativa (OT) y el Internet de las Cosas (IoT) se conectan más, la seguridad de estos dispositivos será una prioridad absoluta. El enfoque pasará de la seguridad a nivel de red a la identidad a nivel de dispositivo. Cada sensor, actuador y controlador en una planta de producción o en un edificio inteligente debe tener una identidad única y verificable. Esto permitirá políticas granulares de confianza cero que impiden que dispositivos no autorizados se comuniquen o ejecuten comandos. 6. La "Identidad de las Cosas" requerirá un nuevo paradigma de seguridad Más allá del IoT empresarial, veremos una explosión de identidades de máquina. Cada microservicio, API y contenedor en un entorno nativo de la nube tendrá su propia identidad. Gestionar el ciclo de vida de estas identidades efímeras y no humanas requerirá herramientas especializadas de Gestión de Derechos de Infraestructura en la Nube (Cloud Infrastructure Entitlement Management - CIEM) y de gestión de identidad de máquina capaces de gestionar millones de credenciales a escala. 7. La computación cuántica impulsará mejores estándares de cifrado. Si bien las computadoras cuánticas a gran escala capaces de romper el cifrado RSA y ECC aún están en el horizonte, la amenaza se tomará en serio para 2026. Los ataques de "Recoger ahora, descifrar después", en los que los adversarios roban datos cifrados hoy para descifrarlos con futuras computadoras cuánticas, impulsarán la primera ola de adopción de la criptografía poscuántica (PQC) en los sistemas de identidad, especialmente en el gobierno y las infraestructuras críticas. 8. El rol de CISO abarcará tanto las funciones de Identidad como las de Confianza El alcance del rol de CISO se ampliará significativamente. A medida que la identidad se convierta en el plano de control central para todos los accesos (empleados, clientes, máquinas y socios), el CISO se convertirá en el principal defensor de la confianza digital. Sus responsabilidades fusionarán la ciberseguridad tradicional con la estrategia de riesgo digital, privacidad e identidad. 9. La seguridad de la identidad se integrará plenamente en el ciclo de vida del desarrollo El concepto de "Desplazamiento a la izquierda" abarcará plenamente la identidad. La seguridad de las aplicaciones ya no será una cuestión de último momento. Los controles de identidad y acceso se definirán e integrarán directamente en el código durante el proceso de desarrollo (Identidad como Código). Los desarrolladores utilizarán bibliotecas estándar y API para gestionar la autenticación y la autorización, convirtiendo el acceso seguro en un componente fundamental de la arquitectura de la aplicación desde el primer día. El camino a seguir El mundo de 2026 estará más conectado, automatizado e inteligente que nunca. Esto ofrece oportunidades increíbles, pero también crea un panorama de amenazas complejo y desafiante. El hilo conductor es la identidad. Es el nuevo perímetro, la clave para impulsar los negocios y la base de la confianza digital. Las organizaciones que prosperen serán aquellas que dejen de tratar la identidad como una simple función de TI y comiencen a considerarla un imperativo estratégico fundamental. Fuente: THN