“Vigila lo que subes a redes sociales”, comenta la creadora de contenido y experta en seguridad en internet en un vídeo de TikTok. Una simple imagen en un lugar aparentemente poco conocido puede dar mucha más información de la que parece para personas malintencionadas.

La ubicación exacta en cuestión de segundos

María Aperador ha mostrado un vídeo en el que una mujer descubre la ubicación exacta de otra persona. Al inicio parece una imagen inocente de un aparcamiento en la calle de una ciudad cualquiera, pero ofrece mucha más información.

La mujer solo ha tenido que fijarse en detalles como una pequeña señal en el fondo de la imagen, luego la ha buscado en internet y ha descubierto que se utiliza en algunos países de la Unión Europea. La investigación solo había comenzado, estaba dispuesta a encontrar la ubicación exacta.

Tras una búsqueda rápida, descubrió que la señal B6a1 solo se utiliza en Francia, luego descubrió los números 04.92.57 junto al texto “Sixième Avenue”. La mujer ha introducido la información en Google y ha descubierto que se trataba de un anuncio de una inmobiliaria en la localidad de Gap, cerca de la frontera con Italia.

Todo esto se ha descubierto en cuestión de segundos, pero aún es necesario encontrar la ubicación exacta. Para ello se ha fijado en unas letras pintadas en el suelo que indican “arrêt minutes” junto a una zona de aparcamiento naranja.

Una búsqueda en Google Maps

Gap es una localidad de poco más de 39.000 habitantes, por lo que tiene pocas zonas naranjas de aparcamiento entre las que buscar. El estafador o ladrón solo tendrá que utilizar Google Maps para encontrar el lugar.

A continuación, solo debe activar la opción de Street View y caminar por la zona prestando atención a los establecimientos. Un local con el nombre Glow que se ve en la imagen inicial ha sido la pista definitiva.

Desde allí se puede ver la zona con el letrero “arrêt minutes”. Si juegas con la perspectiva, incluso podrás hacer que coincida el ángulo para adivinar el edificio desde el que se ha tomado la imagen publicada en redes sociales.

“Así de fácil los ciberdelincuentes o las personas malintencionadas pueden saber tu ubicación”, advierte María Aperador. Con la llegada de la inteligencia artificial, incluso es mucho más simple, solo tendrás que compartir la imagen con ChatGPT o cualquier asistente y te dará la ubicación exacta del lugar o una aproximación si tiene dudas.

El objetivo principal de esta mejora es contener incidentes de seguridad en cuanto se detecta una actividad sospechosa. Cuando un dispositivo se considera potencialmente comprometido, el sistema puede desconectarlo automáticamente de la red de la organización, reduciendo así el riesgo de propagación de malware, robo de datos o ataques de ransomware.

A pesar de este aislamiento, el equipo afectado no queda completamente desconectado dado que sigue manteniendo conexión con el servicio de Microsoft Defender for Endpoint, lo que permite continuar con la monitorización y el análisis del incidente en tiempo real.

Microsoft explica que esta función está diseñada para actuar de forma preventiva. En palabras de la compañía, cuando un dispositivo se sospecha comprometido, puede ser aislado automáticamente dentro del sistema de interrupción de ataques. Esto ayuda a limitar el impacto del incidente, frenar el movimiento lateral del atacante y evitar consecuencias más graves como la exfiltración de datos o la propagación de ransomware.

Actualmente, el aislamiento automático solo se aplica a dispositivos de usuario final que estén correctamente integrados en la plataforma de seguridad de Microsoft. Sin embargo, los administradores de sistemas mantienen el control total y pueden revertir el aislamiento en cualquier momento una vez que se haya investigado el incidente y se hayan aplicado las medidas correctivas necesarias.

Para restaurar el acceso de un equipo aislado, los responsables de seguridad pueden acceder al inventario de dispositivos o a la ficha del endpoint afectado y seleccionar la opción de “liberar de aislamiento” desde el menú de acciones.

También se están probando nuevas herramientas que permiten bloquear automáticamente el tráfico hacia dispositivos no detectados dentro de la red, reforzando así la protección frente a intrusiones laterales.

En las últimas semanas, el nombre de Copy Fail ha sonado bastante. Hablamos de un problema detectado en Linux que está provocando un pequeño caos. En concreto, se ha descubierto un fallo bautizado como Copy Fail que llevaba dentro del kernel de Linux desde 2017.

Pese al trabajo continuo de todos aquellos programadores que se dedican a mantener el sistema limpio y seguro, este error ha pasado totalmente desapercibido para los expertos.

La vulnerabilidad, identificada de forma técnica como CVE-2026-31431, es lo que los informáticos llaman un fallo de lógica. De forma simple, no es que el sistema se haya roto, es que hace algo que no debería bajo unas condiciones muy concretas.

¿Qué es CopyFail?

CopyFail es el nombre informal de una vulnerabilidad del kernel de Linux identificada como CVE-2026-31431, vinculada al subsistema criptográfico y, en concreto, a la interfaz algif_aead. De forma simple, se trata de un fallo lógico en el manejo de ciertas operaciones que permite a un atacante provocar una escalada de privilegios hasta root.

Este precisamente es su gran peligro. Permite una "escalada de privilegios locales" (LPE). Esto significa que cualquier usuario que ya tenga un acceso básico al sistema —un empleado con ciertos permisos o una aplicación con pocos privilegios— puede convertirse en un superusuario que tiene control absoluto sobre el hardware y los datos.

Técnicamente, el fallo aprovecha la manera en que Linux gestiona la memoria intermedia. Cuando el kernel carga un programa para ejecutarlo, lee la información de la "caché de páginas" en lugar de acudir directamente al disco duro cada vez, con la idea de ser lo más eficiente posible. Copy Fail permite modificar esa copia en memoria.

Además, y ya rizando el rizo, al alterar la caché y no el archivo físico en el disco, no se activan los sistemas de defensa.

Un error de cuatro bytes que abre las puertas a una vulnerabilidad tras nueve años en la sombra

El descubrimiento ha venido acompañado de una demostración: un script programado en Python que ocupa menos que un mensaje de texto largo (apenas 732 bytes) y tiene solo diez líneas de código.

Con ese pequeño programa, investigadores de la empresa Theori han demostrado que se puede tomar el control de casi cualquier distribución de Linux actual.

Aunque el ataque no se puede hacer de forma remota por sí solo y necesitas estar dentro del sistema para ejecutarlo, lo peor sucede cuando se combinan con otros fallos.

Por ejemplo, un servidor que tiene cientos de páginas web de distintos clientes. Si un atacante consigue colarse en una de esas webs mediante un fallo normal, podría usar Copy Fail para hacerse con el control de todo el servidor físico y de todos los demás clientes.

Sin ir más lejos, la agencia CISA de Estados Unidos desde un primer momento dio la voz de alarma, afirmando que hubo indicios de que este error fue explotado en el mundo real.

Apenas se hizo público el error, los equipos de seguridad de las distribuciones más importantes se pusieron manos a la obra para protegerse

Por suerte, la comunidad de Linux reacciona a una velocidad increíble. En cuanto se enteraron de la gravedad del asunto, los equipos de las versiones más conocidas de Linux (lo que los informáticos llaman distros) se pusieron a trabajar día y noche para tapar el agujero.

A día de hoy, las versiones más famosas como Ubuntu, Red Hat, Debian y Fedora ya han sacado la solución. Si usas Linux en tu ordenador o usas servidores en tu trabajo, el consejo es muy simple: actualiza ya. Un par de clics para instalar los últimos parches de seguridad te van a ahorrar un disgusto enorme.

Los expertos recomiendan, además de parchear, revisar los registros de actividad o logs en busca de comportamientos raros. Si ves procesos que no deberían tener permisos elevados haciendo cosas extrañas en la memoria, podrías haber sido una de las víctimas de estos primeros ataques.

El "botón de pánico": la idea en Linux para que esto no vuelva a pasar

Lo cierto es que esta no ha sido la única vulnerabilidad descubierta en 2026. El problema no es solo que existan fallos, sino que, una vez que se hacen públicos, los hackers corren más que las empresas que deben arreglarlos, dejando millones de servidores expuestos durante días.

Con esto como base, los desarrolladores han dicho basta y Sasha Levin, uno de los pesos pesados del mantenimiento del kernel de Linux, ha propuesto activar un Killswitch o botón del pánico.

La idea es que, si mañana aparece un fallo crítico en una función específica del sistema, el administrador pueda darle a un interruptor virtual y desactivar esa función al momento, sin esperar a que salga una actualización oficial y, lo más importante, sin tener que reiniciar el ordenador. Es, literalmente, cortar por lo sano para evitar que el problema se siga esparciendo por el kernel.

Esto es algo básico que se debería empezar a hacer de cara a proteger a las empresas que tienen muchos ordenadores con Linux. Por ejemplo, en una empresa con 10.000 servidores, actualizar el kernel y reiniciar cada máquina puede durar días.

Durante todo ese tiempo, la ventana está abierta para los hackers. Con el Killswitch, el administrador lanza un comando y, en segundos, todos quedan protegidos frente a ese ataque. No es la solución definitiva, ya que es vital crear un parche, pero actúa como un perfecto cortafuegos.

Por supuesto, todo tiene una cara B y desactivar funciones del sistema puede romper otras. Si apagas el motor de red para evitar un hackeo, podrías quedarte sin internet. Pero Levin argumenta que es mejor tener una función estropeada temporalmente que tener a un hacker accediendo a todo.

Actualmente, esta propuesta está en fase de revisión y se está debatiendo entre los desarrolladores más expertos de Linux para ver si realmente tiene o no futuro. Como suele ocurrir si hablamos de este SO, no todos están de acuerdo, ya que tocar el núcleo del sistema siempre da respeto,. Sin embargo, parece que el apoyo es mayoritario.

Según el informe de la empresa de seguridad Push Security, los atacantes están utilizando dominios reales asociados a ChatGPT para generar confianza. A simple vista, estos enlaces parecen inofensivos, ya que utilizan la estructura oficial de ChatGPT, lo que reduce la probabilidad de que sistemas de seguridad o filtros web los detecten como peligrosos.

La campaña comienza con anuncios patrocinados en Google que se hacen pasar por descargas oficiales de ChatGPT o versiones de escritorio del servicio. Al hacer clic, el usuario es redirigido a una página que simula un entorno legítimo dentro de un enlace de compartición del chatbot.

En estas páginas falsas se muestra un mensaje diseñado para generar urgencia, como supuestos problemas de mantenimiento o alta carga del sistema. El objetivo es convencer a la víctima de descargar una supuesta aplicación de escritorio que en realidad contiene malware.

Si el usuario continúa con la descarga, lo dirige a dominios externos que imitan la apariencia de software oficial de OpenAI. Desde allí se distribuyen cargas maliciosas tanto para Windows como para macOS, incluyendo herramientas de robo de información conocidas como infostealers.

En algunos casos, el malware es capaz de detectar si está siendo ejecutado en un entorno de análisis o máquina virtual, ocultando su comportamiento para evitar ser descubierto por investigadores de seguridad.

Los expertos señalan que este tipo de ataques forman parte de una tendencia más amplia en la que los ciberdelincuentes utilizan inteligencia artificial para mejorar sus campañas. Esto incluye la creación de mensajes de phishing más realistas, código ofuscado y páginas web diseñadas automáticamente para parecer legítimas.

A medida que estas herramientas de IA se vuelven más accesibles, los expertos advierten que los usuarios deben extremar la precaución al descargar software o hacer clic en enlaces, incluso si parecen provenir de fuentes confiables.

Los secuestros de cuentas, las estafas por suplantación y el espionaje mediante archivos maliciosos han crecido al ritmo del uso masivo de la plataforma. Lo sorprendente es que muchas de estas amenazas pueden evitarse con herramientas que ya están dentro de la app, pero que casi nadie activa.

Cabe mencionar que la mayoría de usuarios confía en que el cifrado extremo a extremo es suficiente, cuando en realidad la seguridad depende de configuraciones que rara vez se revisan.

WhatsApp incluye funciones capaces de bloquear accesos no autorizados, ocultar información, impedir la instalación de malware y reforzar la identidad del usuario. Están disponibles tanto en iOS como en Android, pero permanecen ocultas en menús que pocos exploran.

Son ocho mecanismos de protección diseñados para frenar los ataques más comunes dentro de la app. Por ello, activarla ahora mismo cambia por completo el nivel de exposición de cualquier cuenta.

Las ocho funciones que blindan tu cuenta de WhatsApp y cómo activarlas

Desactivar las descargas automáticas de contenido multimedia: Evita que imágenes, vídeos o documentos enviados por desconocidos se guarden sin tu permiso. Se configura desde Almacenamiento y datos, desactivando la descarga automática en WiFi y datos móviles.

Desactivar las confirmaciones de lectura: Impide que otros sepan cuándo has leído un mensaje y reduce la exposición de tus patrones de actividad. Es útil para evitar que terceros infieran horarios, disponibilidad o hábitos. Puedes hacerlo en Ajustes > Privacidad, desmarcando la opción Confirmaciones de lectura.

Privacidad avanzada del chat: Incluye ajustes como ocultar la foto de perfil, limitar quién puede ver tu información, bloquear la vista previa de mensajes en notificaciones y restringir quién puede añadirte a grupos. Estos controles reducen la exposición y dificultan la suplantación de identidad. Haz clic en el chat que seas editar, luego pulsa en Ver contacto > Privacidad avanzada del chat.

Configuración de seguridad avanzada: Reúne funciones como la verificación automática de claves de cifrado y la protección de dirección IP en llamadas. Esta última oculta tu IP real para evitar rastreos o ataques dirigidos durante una llamada de voz. Se encuentra en Privacidad > Avanzada > Bloquear mensajes de cuentas desconocidas.

Bloqueo de la app y bloqueo de chats: Permite proteger WhatsApp con huella, PIN o reconocimiento facial, y añadir una capa adicional a chats concretos. Es esencial si alguien accede físicamente a tu móvil o si compartes el dispositivo. Se activa en Ajustes> Privacidad > Bloqueo de aplicación.

Autenticación en dos pasos (PIN de seguridad): Añade un PIN que se solicita al registrar tu número en un nuevo dispositivo. Es la defensa más eficaz contra el secuestro de cuentas mediante códigos enviados por SMS. Puedes activarla en Ajustes de WhatsApp > Cuenta > Verificación en dos pasos > Activar PIN.

Mensajes que desaparecen: Elimina automáticamente los mensajes tras un periodo determinado, por lo que reduce el riesgo de que conversaciones sensibles queden almacenadas o puedan ser vistas por terceros. Se activa en cada chat, seleccionando la duración deseada. Ajustes > Privacidad > Temporizador de mensajes.

Revisión de privacidad: Un asistente interno que revisa tu configuración y te guía para reforzarla, y que permite ajustar permisos, visibilidad, seguridad y controles de contenido en pocos pasos. Está disponible en Ajustes > Privacidad > Revisión de privacidad.

Funciones que frenan ataques reales

La seguridad en WhatsApp no depende de memorizar trucos ni de instalar aplicaciones externas, sino de entender qué información dejamos expuesta y qué puertas mantenemos abiertas sin darnos cuenta.

Estas ocho funciones no convierten el móvil en un búnker, pero sí cambian el equilibrio, ya que obligan al atacante a enfrentarse a un sistema menos previsible, con menos puntos débiles y con menos datos disponibles para explotarlos.

Configurar bien la aplicación es una forma de reducir riesgos sin complicarse la vida. WhatsApp ya ofrece las herramientas; lo que falta es que el usuario tome el control de su propia superficie de exposición.

Pero desde hace un par de años todo parece haber cambiado, con exploits que los ciberdelincuentes han creado para vulnerar dispositivos móviles de Apple, como son sus iPhone o iPad.

Uno de estos últimos kits de explotación de vulnerabilidades de día cero ha sido Coruna, investigada por el equipo de inteligencia de Google y otras compañías especializadas en ciberseguridad.

Este exploit se centra en los iPhone de Apple que cuentan con la versión iOS 13.0, que fue lanzada en septiembre de 2019, por lo que los expertos recomiendan actualizar inmediatamente para no ser víctimas silenciosas de los ciberdelincuentes.

Lo que hace de este exploit el más peligroso del ecosistema de Apple es que mantiene una colección completa de este tipo de ataques, consiguiendo omitir numerosas técnicas de mitigación.

Aunque no es el único kit de explotación que ha aparecido en el ecosistema de Apple, que parece ser un objetivo cada vez más jugoso para los ciberdelincuentes.

Apple, en el punto de mira de China y Rusia

Como ya ha evidenciado el equipo de inteligencia de Google, el exploit Coruna se pudo observar el año pasado con origen en el grupo UNC6353, presuntamente asociado a Rusia y con varios ataques contra Ucrania.

Más adelante, el grupo UNC6691, un actor de amenazas persistentes que opera desde China, logró lanzar una campaña masiva con este exploit, aunque se desconoce concretamente cómo alcanzó a tantos dispositivos.

La hipótesis más plausible es que este tipo de ataques se centran en el mercado de segunda mano, precisamente en el que aparecen más exploits de día cero, aquellos que nunca antes han identificado los equipos especializados en ciberseguridad.

Más allá de estas derivaciones de ataques que comenzaron en Ucrania como campo de pruebas para tumbar diferentes webs oficiales, a Apple le continúan creciendo los enanos.

Así, durante los últimos meses también ha aparecido DarkSword, un exploit crítico que puede afectar al editor de enlaces dinámicos de Apple, saltándose la conocida como protección PAC –Pointer Authentication Codes–, presente en los chips propios de la compañía.

Dentro de este kit, también aparecen otras vulnerabilidades críticas, como los fallos de corrupción de memoria en los motores de Safari y el WebKit de Apple, un punto de entrada para infectar un iPad o iPhone simplemente al cargar una página.

O lo que es lo mismo, un conocido como zero-click, que infecta el dispositivo sin que el usuario tenga que interactuar siquiera, con el riesgo evidente que esto conlleva para la seguridad consciente para cualquier usuario, incluso los más avanzados en ciberseguridad.

Vulnerabilidades de día cero, la kriptonita de Apple

Aunque la superficie y la idiosincrasia de Android permite que los atacantes sean capaces de conseguir exploits mucho más afinados, Apple se ha enfrentado desde el año pasado a numerosas vulnerabilidades de este tipo.

Estas son aquellas que los atacantes aprovechan sin que el fabricante o el usuario lo sepa, logrando comprometer el dispositivo hasta que la propia Apple saque un parche o publique una actualización del sistema operativo.

En conjunto, la compañía de Cupertino tuvo que hacer frente en 2025 a 9 vulnerabilidades de día cero, las cuales aprovecharon los ciberdelincuentes para infectar dispositivos con iOS, sin cifras exactas concretadas por Apple.

Tal y como asegura el mismo equipo de inteligencia de Google, este crecimiento se debe a un extenso mercado de segunda mano en el que múltiples actores consiguen adquirir técnicas ya explotadas y reutilizarlas.

Con ello, los ataques tienen un coste más bajo y, por supuesto, requieren de técnicas menos complejas, ya que solo habría que modificar el exploit para adaptarlo a las nuevas actualizaciones.

De momento, Apple ha parcheado todas estas vulnerabilidades, aunque son una prueba evidente de que su ecosistema es la diana perfecta para numerosos grupos de ciberdelincuentes debido a su incremento de popularidad.

Si eres usuario de Chrome, es muy probable que uses la sesión de tu cuenta de Google (y toda la información sensible que esta contiene) en varios dispositivos diferentes, como tu smartphone, tu tablet, tu smart TV, tu ordenador personal o tu ordenador de trabajo, entre las muchas combinaciones posibles.

Los ciberdelincuentes saben que la costumbre de la mayoría de personas es dejar su sesión de Google abierta en todos sus dispositivos, y cuando uno de ellos no está bien protegido o ya tiene malware, esto abre la puerta a que los cibercriminales puedan llegar a hacerse con la información del navegador en otros equipos.

Ahora, la última actualización de seguridad que acaba de anunciar Google para Chrome busca hacer que esta amenaza sea mucho menor a partir de ahora, como ha explicado la compañía estadounidense en un comunicado.

Credenciales de sesión vinculadas al dispositivo (DBSC): qué son y por qué pueden marcar la diferencia

Hace menos de un año, Google presentó una característica de seguridad llamada Credenciales de sesión vinculadas al dispositivo (DBSC, por sus siglas en inglés), por aquel entonces aún en fase beta.

Gracias a esta tecnología, Google comienza a utilizar una cookies para identificar desde qué usuario ha iniciado sesión el usuario en Chrome. Estos archivos los utilizan las páginas web para recordar la información del usuario, de forma que asegura que solo se pueda usar la sesión en ese dispositivo, pero no en el resto.

El principal objetivo es que los ciberdelincuentes no puedan atacarte a través de cookies robadas en otros dispositivos, incluso si estos ya tienen algún malware, a través de diferentes técnicas como el tabnabbing, que se aprovecha de tu desorden con las pestañas de Chrome.

Tras la experiencia adquirida con la beta, Google ahora aplica las credenciales de sesión vinculadas al dispositivo, o DBSC, de forma general y de hecho esta ya es la configuración por defecto para los usuarios de Google Workspace desde ordenadores Windows.

La nueva función comenzó a llegar a los usuarios el pasado 25 de mayo, y su lanzamiento se producirá de forma progresiva durante los próximos 60 días en todo el mundo. Al estar habilitado por defecto, no tendrás que hacer nada para contar con esta protección.

La empresa detrás de Windows ha llegado a asegurar en su Learning Center que “para muchos usuarios de Windows 11, Microsoft Defender Antivirus cubre el riesgo cotidiano sin necesidad de software adicional”.

Microsoft da marcha atrás con no instalar un antivirus

Microsoft aseguraba que “la decisión de añadir un antivirus de terceros depende de cómo uses tu PC y qué características valoras”. Si realizas un uso doméstico estándar, Defender es suficiente, solo tendrás que instalar un antivirus si manejas datos sensibles.

Los de Redmond han dado marcha atrás en su recomendación de no pagar por un antivirus en Windows 11. Según confirman desde Neowin, Microsoft ha eliminado la publicación que realizó en el mes de abril.

Las recomendaciones para su sistema operativo se publicaron el 9 de abril en el Centro de aprendizaje de Microsoft y estuvo disponible al menos hasta el 11 de mayo, poco después lo eliminaron sin ninguna explicación.

La compañía explicaba los beneficios de utilizar Microsoft Defender Antivirus y otras herramientas como Microsoft Defender SmartScreen, Smart App Control o los procesos nativos de mitigación de ransomware. Los de Redmond estaban convencidos de que no era necesario utilizar un antivirus en 2026.

“La protección antivirus de Windows suele ser suficiente cuando Windows 11 se ejecuta con las protecciones predeterminadas activadas, se instalan las actualizaciones periódicamente y las descargas de software se realizan de forma controlada. Microsoft Defender Antivirus y SmartScreen ya abordan amenazas comunes como archivos maliciosos, sitios de phishing e instaladores inseguros”, comentaban.

Una protección del 93% en Windows 11

Desde Microsoft aseguraban que solo era necesario instalar un antivirus “si gestionas varios dispositivos, los compartes con miembros de la familia o deseas servicios como la monitorización de la identidad o el control parental, deberías considerar la posibilidad de instalar software de seguridad adicional”.

Esta sensación de seguridad de Microsoft en sus sistemas de seguridad nativos ha desaparecido. Microsoft Defender tiene una puntuación algo mejorable en detección de phishing y ransomware con una protección del 93%.

Los antivirus de pago rozan el 100% de efectividad contra ciberataques, ese 7% puede marcar la diferencia. Depender únicamente de Microsoft Defender es un peligro, 7 de cada 100 amenazas consiguen colarse.

Un grupo de informáticos acaba de encontrar una técnica nueva y un tanto extraña que permite a una página web espiarte analizando, ni más ni menos, el comportamiento físico del disco duro SSD de tu ordenador.

Ha sido bautizado con el nombre de FROST y, al contrario que los virus, esta tecnología no necesita infectar tu equipo con un archivo ni pedirte permisos extraños para cotillear tus datos. Con el simple hecho de que entres a una página web que esconda este truco, el sistema es capaz de monitorizar qué otros sitios tienes abiertos en ese mismo momento en otras pestañas, aunque sea en otros navegadores, y averiguar qué aplicaciones o programas tienes ejecutándose.

Para entender cómo es posible, hay que mencionar lo que los expertos en seguridad llaman canales laterales de competencia. Básicamente, se trata de medir cómo compiten diferentes programas informáticos por usar un mismo recurso del ordenador.

Cuando abres un programa de edición de fotos o cargas un vídeo en otra pestaña, tu disco duro SSD se pone a trabajar. Lo que hace el código espía de FROST es hacer lecturas constantes en su propia parte del disco y cronometrar al milisegundo cuánto tarda en recibir la información.

Si el SSD se retrasa aunque sea una parte ínfima de un segundo, la web sabe que hay otra aplicación tirando de los recursos del disco duro.

El algoritmo que adivina qué estás haciendo midiendo el trabajo que hace el disco duro

Para que entiendas paso a paso cómo funciona, explicarte que, al entrar en una página web que contiene el código de ataque, este utiliza JavaScript para crear un archivo de gran tamaño (de un gigabyte o más) en el sistema de archivos privado del navegador (OPFS), alojado en tu disco duro SSD.

El código de la web empieza a realizar operaciones de lectura aleatoria sobre ese archivo gigante sin parar. Al mismo tiempo, mide con un reloj los milisegundos exactos que tarda el SSD en responder a cada solicitud de lectura.

Cuando tú abres otra aplicación en tu dispositivo o cargas una página web en otra pestaña diferente, esos programas también envían órdenes de entrada y salida de datos (I/O) al mismo disco duro SSD. Como el hardware tiene que procesar todas las solicitudes a la vez, se produce una saturación por la competencia del recurso.

Debido a esa saturación física del SSD, las operaciones de lectura que estaba haciendo la web del atacante empiezan a tener unos pequeños retrasos y variaciones de tiempo, es decir, latencia.

Al cruzar esos registros de velocidad con una inteligencia artificial entrenada, la web puede asociar los patrones de retraso con programas específicos, adivinando si estás usando Spotify, editando un documento de texto o mirando una red social cualquiera.

Para probar si realmente funcionaba, se probó en ordenadores Mac equipados con los procesadores M2 de Apple. También probaron el sistema en ordenadores con sistema operativo Linux, dejando claro en todos los casos que la medición de los retrasos del disco duro funciona exactamente igual de bien.

Aunque el sistema operativo Windows de Microsoft se quedó fuera de las pruebas por falta de tiempo, los autores, que presentarán todo lo obtenido de forma oficial en el congreso de ciberseguridad DIMVA en julio, aseguran que el truco funciona en cualquier plataforma.

El problema aquí es que este sistema espía solo funciona si el archivo de la web y los programas que estás usando están instalados físicamente dentro de la misma unidad de almacenamiento SSD. Esto significa que si tienes un ordenador con dos discos duros diferentes, la página web se quedará totalmente a ciegas y no podrá saber la actividad que ocurre en la segunda unidad.

Para solucionar este problema de seguridad, ya han enviado una serie de propuestas a los grandes desarrolladores de navegadores de internet del mundo.

Como consecuencia de ello, los riesgos son ahora mayores. Un ejemplo reciente es una técnica descrita por investigadores de seguridad y analizada por Ars Technica que permite a una página web espiar indirectamente la actividad de un ordenador. Para ello solo necesita el comportamiento del SSD, el disco duro de almacenamiento presente en la mayoría de equipos actuales.

Lo complicado de este método, denominado FROST (Fingerprinting Remotely using OPFS-based SSD Timing), no necesita malware, permisos especiales, acceso administrativo ni nada por el estilo. Basta con que el usuario visite una página web. Es inquietante porque no roba datos de forma directa. En lugar de acceder a archivos, historiales o contraseñas, la técnica analiza pequeñas variaciones en el tiempo de respuesta del disco duro para inferir qué otras aplicaciones o sitios web están activos en el sistema.

El funcionamiento se basa en una característica moderna de los navegadores llamada OPFS (Origin Private File System), un sistema diseñado para que las aplicaciones web puedan almacenar archivos localmente de manera eficiente. Esta función es útil para herramientas complejas ejecutadas dentro del navegador, como editores de vídeo, suites ofimáticas online o aplicaciones de diseño.

Pero hay algo más. Los investigadores descubrieron que también puede utilizarse para medir con enorme precisión el comportamiento del almacenamiento del ordenador. La página web crea un archivo muy grande dentro del navegador y realiza operaciones continuas de lectura y escritura mientras monitoriza los tiempos de respuesta.

Cuando otras aplicaciones usan simultáneamente el SSD -por ejemplo otra pestaña del navegador, un editor, una app de mensajería o incluso un videojuego- aparecen pequeñas fluctuaciones en la latencia. Esos microretrasos generan patrones suficientemente característicos como para que un sistema de inteligencia artificial pueda analizarlos e identificar actividad concreta.

El ataque no "ve" directamente lo que hace el usuario.

Lo deduce observando cómo reacciona el hardware compartido del sistema. Este tipo de técnicas pertenece a una categoría conocida como side-channel attacks o ataques por canal lateral. En vez de romper la seguridad de forma convencional, estos ataques explotan señales indirectas generadas por el funcionamiento físico del ordenador: consumo eléctrico, temperatura, ruido electromagnético, tiempos de respuesta o actividad de memoria.

Históricamente este tipo de ataques se asociaba a laboratorios especializados o investigaciones académicas muy avanzadas, pero el problema es que ahora empiezan a ser viables incluso desde una simple página web.

Los investigadores afirman que su sistema logró identificar sitios web abiertos en otras pestañas y ciertas aplicaciones activas con niveles de precisión sorprendentemente altos, especialmente en ordenadores Mac con SSD rápidos y arquitecturas modernas.

¿Tiene aún este método limitaciones prácticas? Los propios expertos admiten que sí. No obstante, el simple hecho de que funcione ya resulta preocupante.

Ahora nuevamente vuelve a llamar la atención de los medios ante el crecimiento de los delitos de ciberseguridad en España. El robo masivo de datos y la vulnerabilidad de los sistemas institucionales han sido temas discutidos en el reciente juicio.

Por lo visto, el presunto ciberdelincuente habría estado realizando ransomware masivo en administraciones públicas y ahora está pasando por las consecuencias legales.

Cómo se ejecutó el ciberataque al CGPJ y la filtración masiva de datos bancarios de Alcasec

El auge del hacking organizado en Europa es algo de lo que se habla cada vez más y, lamentablemente, ya se han presentado diversos casos de phishing en toda España.

Esta vez el foco está en el hacker José Luis Huertas, alias "Alcasec", de 22 años, quien presenta un juicio tras estar involucrado en un ciberataque ocurrido durante octubre de 2022.

La víctima fue el Punto Neutro Judicial (PNJ) del Consejo General del Poder Judicial (CGPJ), donde hay una conexión con diversos organismos judiciales del país.

Esto quiere decir que varios sectores públicos fueron afectados en el año mencionado, con un ataque organizado que parece que fue diseñado en tres fases:

• Robo de certificados digitales.
• Infiltración en la red SARA.
• Página falsa para obtener credenciales de funcionarios

La estrategia fue considerada como parte de un método phishing institucional y es que con estas acciones, el hacker junto a sus cómplices, logró extraer cuentas internas, mientras que 438.000 consultas de la Agencia Tributaria fueron ejecutadas.

Toda la información manipulada estaba enfocada en la información bancaria ampliada, dando como resultado un total de 574.908 registros de datos bancarios.

La táctica no finalizaba ahí, sino que, después de la recopilación, se vendían a través de una plataforma llamada "uSms" y los interesados podían hacer transacciones para obtener los datos a través de criptomonedas con la pasarela Plisio.

el uso de tecnologías descentralizadas para ocultar operaciones ilícitas. Esta dinámica convierte este caso en un referente dentro del análisis de cibercrimen financiero y economía digital ilegal.

El pacto con la Fiscalía y las claves de la condena con el hacker español

El juicio se llevó a cabo con otros implicados en el delito, como Daniel B.E. y Juan Carlos O.G. (principal comprador de la información extraída a través de la Agencia Tributaria empleando certificados de la DGT y webs falsas).

Tras las evidencias y los cargos, el caso llegó a un acuerdo con los acusados. Alcasec acordó con la fiscalía reducir la pena de 3 años de prisión a 2 años y 7 meses, un lapso que ha conseguido al confesar. Juan Carlos O.G. ha aceptado 2 años y 2 meses y el otro 1 año y 3 meses.

Las autoridades lograron incautar dinero físico y activos digitales, aproximadamente una recuperación de 863.000 euros. Las herramientas para el ciberataque también fueron obtenidas y analizadas.

Alcasec ya se encontraba en prisión provisional por otra acusación con una red de ciberataques de alto alcance y esto se está sumando a su registro.

Una vez más se vuelve a demostrar que en España sigue habiendo puntos críticos en la ciberseguridad y se necesitan expertos que sirvan para contraatacar a los piratas informáticos.

Este es solo uno de los muchos casos que podría haber en curso y por eso es que se recomienda tanto a las empresas como a los usuarios que mantengan sus datos con protección máxima.

Entre las aplicaciones imitadas aparecían nombres reconocibles como TikTok, Minecraft, Grand Theft Auto, Threads o Facebook Messenger. Una vez instaladas, estas apps activaban suscripciones premium sin permiso del usuario, generando cargos automáticos que terminaban reflejándose en la factura mensual del operador móvil.

El malware destacaba por utilizar técnicas especialmente avanzadas para evitar ser detectado. Según los investigadores, algunas variantes empleaban inyección de código JavaScript, automatización de páginas ocultas y hasta interceptación de códigos SMS de un solo uso. Todo ello permitía completar registros automáticos en servicios de pago sin que la víctima llegara a darse cuenta.

Los atacantes seleccionaban objetivos concretos dependiendo de la tarjeta SIM y del operador telefónico utilizado. Más de la mitad de los afectados estaban en Malasia, aunque también se detectaron víctimas en Tailandia, Rumanía y Croacia.

El software malicioso incluso mostraba páginas aparentemente inocentes si detectaba que el usuario no pertenecía a una operadora concreta, dificultando todavía más su descubrimiento.

Uno de los elementos más preocupantes del informe es que algunos de los ataques utilizaban funciones legítimas de Android, como la API de recuperación de SMS o herramientas internas para gestionar cookies. Esto permitía mantener sesiones activas con los portales de facturación de las compañías telefónicas y automatizar completamente el fraude.

Desde Google aseguran que ninguna de estas aplicaciones estaba disponible en la tienda oficial Google Play y recuerdan que Google Play Protect protege automáticamente frente a versiones conocidas del malware.

Aun así, expertos en ciberseguridad consideran que el caso demuestra las dificultades actuales para controlar las aplicaciones distribuidas fuera de las tiendas oficiales.

De forma casi imparable, este fallo ha dado pie a un efecto dominó que afecta a los servidores que hacen funcionar a los agentes de inteligencia artificial de las mayores empresas de tecnología.

El problema que han encontrado precisamente está en que estos sistemas usan un protocolo para conectarse con bases de datos externas, cuentas de correo electrónico, calendarios y todo tipo de archivos de los usuarios. Para poder entrar a todo esto y ayudarte en el día a día, estos agentes de IA necesitan guardar de forma segura las contraseñas y credenciales de acceso.

Con este agujero de seguridad recién descubierto, los atacantes tienen la puerta totalmente abierta para entrar sin problema alguno a esos espacios protegidos y llevarse todo lo que haya dentro.

Una grave vulnerabilidad que deja en jaque a los grandes agentes de IA

El fallo ha sido bautizado por los expertos con el nombre de BadHost y está registrado oficialmente bajo el código CVE-2026-48710. Lo que más preocupa a los expertos en ciberseguridad no es solo la cantidad de servidores expuestos, sino lo fácil que es explotarlos para cualquiera con conocimientos bastante básicos.

Si un sistema no se encuentra protegido por un cortafuegos configurado sin error alguno, el ataque funciona de forma casi automática.

Además de afectar a FastAPI, que es la estructura que usan casi todos los programadores de Python para crear servicios web, el agujero ha salpicado a herramientas vitales de inteligencia artificial como vLLM y LiteLLM, que se usan cada día para ejecutar y gestionar los modelos de lenguaje más potentes.

Ahora bien, ¿qué es realmente lo que ha sucedido para que esto ocurra? Tal y como explican los expertos, el ataque consiste en inyectar un solo carácter extraño en la cabecera de la petición web que se envía al servidor.

Cuando Starlette recibe esa petición, se confunde por completo a la hora de reconstruir la dirección web y procesar la ruta de acceso. Al interpretar la información mal, el sistema colapsa y se salta por completo las barreras de autenticación.

En pocas palabras, el programa cree que quien quiere acceder tiene permiso para entrar. Directamente se lo da sin pedirle ninguna contraseña.

Por suerte para todos, uno de los desarrolladores de Starlette lanzó hace unos días la versión 1.0.1, que soluciona este fallo. El problema ahora es de tiempos. Aunque el parche ya existe y es gratuito, son los administradores de sistemas y las empresas de IA de todo el mundo los que tienen que descargarse la actualización, probar que se puede integrar en sus herramientas y aplicarla en sus servidores lo antes posible.

Por suerte, el experimento ha sido descubierto por hackers de seguridad de China y Singapur, y no por ciberdelincuentes. Van a presentar su estudio en el Simposio del IEEE sobre Seguridad y Privacidad. De momento no hay un “antídoto” para solucionar el problema.

Los asistentes personales con voz tipo Siri o Alexa existen desde hace una década, pero lo que podían hacer era muy limitado. Ahora los chatbots con IA como ChatGPT o Gemini tienen acceso a nuestros datos y pueden manipular el móvil o PC, por eso este tipo de ataques son mucho más peligrosos.

Hackeando un chatbot con un sonido inaudible

Imagina que estás escuchando una canción que te has bajado de Internet, o viendo un vídeo en TikTok o YouTube. Sin que lo sepas, porque es inaudible, una onda de sonido introducida en la música por un ciberdelincuente, es escuchada por el chatbot de inteligencia artificial que tienes activo, porque ha sido diseñada para eso.

Este audio pirata contiene órdenes que le dicen a la IA que busque tus datos personales, u otro contenido, y se los envíe a los ciberdelincuentes. Es un hackeo sin necesidad de instalar malware, indetectable por los antivirus.

“Solo se tarda media hora en entrenar esta señal y, dado que es independiente del contexto, se puede utilizar para atacar el modelo objetivo en cualquier momento, independientemente de lo que diga el usuario”, explica el autor principal, Meng Chen, de la Universidad de Zhejiang (China), en la web de IEEE Spectrum. “Estas defensas puntuales tienen dificultades para resistir nuestro ataque porque hemos descubierto que a estos modelos les resulta muy difícil distinguir entre la intención normal del usuario y nuestro ataque adversario”.

La única condición es que los hackers tengan acceso al código de la IA, algo que hoy en día es fácil porque muchas IA de Microsoft, Mistral, Meta o DeepSeek, son de código abierto.

Microsoft ya está al tanto de la vulnerabilidad, y la ha comentado en un comunicado: “Agradecemos el trabajo de los investigadores por contribuir a una mejor comprensión de este tipo de técnicas. El estudio evalúa la resiliencia de los modelos mediante interacciones controladas y directas con el propio modelo, lo que nos ayuda a definir nuestro enfoque para desarrollar la resiliencia de los modelos. Ofrecemos a los desarrolladores herramientas y orientación que pueden utilizar para implementar capas adicionales de protección que ayuden a salvaguardar a los usuarios”.

No aclara cómo van a combatirlo, porque por ahora no hay una solución directa. La onda de voz hacker está diseñada para que la IA no la distinga de una orden de su usuario, así que es difícil de detectar.

Por ahora, si usas una IA de código abierto con acceso a tus datos, algo bastante frecuente si utilizas Ollama u OpenClaw, apaga la IA o cierra el micrófono de tu dispositivo cuando escuches música de Internet. Por si acaso...

Sí, se trata de la recopilación de datos masiva que podría ponerte en riesgo cuando menos lo esperas o convertirse en una vulnerabilidad explotada por los hackers si llegan a ver tus publicaciones de Instagram, Facebook y TikTok.

Más allá de esto, todas las compañías ofrecen protección si la usas adecuadamente, pero mucho cuidado cuando generas imágenes con estilo Ghibli, Funko Pop! o incluso si creas fotos de IA con famosos, porque es ahí donde se pone en juego la biometría.

¿Por qué sigue siendo un riesgo real (y qué puedes hacer)?

En el caso de que todavía no te hayas enterado, hay que tener mucho cuidado hoy en día porque los hackers están utilizando la inteligencia artificial hasta para hacer phishing y suplantación de identidad.

Hoy en día, donde es cada vez más común compartir la vida y seguir las tendencias en las redes sociales, es más fácil para los ciberdelincuentes aprovechar las características de la IA para causar estragos en toda internet.

Con el tiempo, se ha vuelto muy popular adjuntar una foto de ti, con tu rostro o amigos, para recrearlas a un estilo específico, como los populares Ghibli, figura de acción y otros diseños que llaman la atención e incluso han sido la base de muchas tendencias.

Ahora, podría ser un riesgo y es que el informe compartido por Techspot destaca que un simple selfie en Instagram subiendo los dedos para hacer la señal de paz (V), es suficiente para que se conviertan en técnicas de extracción de datos biométricos.

Si estas son retocadas por ChatGPT, Gemini, Claude, Copilot u otros chatbots, existe una posibilidad de que esas fotos sean analizadas exhaustivamente para contener suficiente información para reconstruir huellas dactilares.

De hecho, esto proviene de varios debates que surgieron tras revelarse unos estudios en China, donde las imágenes captadas a aproximadamente 1,5 metros de distancia pueden revelar detalles en las crestas de los dedos si hay iluminación y resolución decente.

El experto financiero Li Chang ha mencionado que las herramientas modernas que mejoran la nitidez podrían ser usadas para la acción de intentar conseguir esos datos biométricos.

Por ejemplo, hay un caso registrado por el experto alemán Jan Krissler del Chaos Computer Club, quien vulneró el sistema Touch ID de Apple en 2013.

¿Por qué sigue siendo un riesgo real (y qué puedes hacer)?

Eso no es todo, investigaciones recientes de Kraken Security Labs destacan que ese proceso de recolección se simplificó mucho en pleno 2021 con Photoshop y una impresora láser.

Sumando el avance de la inteligencia artificial, ya se puede tener una idea de hasta qué punto puede llegar. Teléfonos, tablets y portátiles dependen de sensores de huellas para desbloqueo y validación de pagos.

Eso quiere decir que tu huella digital y el desbloqueo facial son suficientes para los hackers que buscan robar dinero o acceder a tus cuentas para hacerse pasar por ti.

No se trata de dejar de usar este método de acceso ni de eliminar la IA completamente de tu vida, sino de hacerlo de manera inteligente. Evita mostrar dedos o palmas en las imágenes, al menos hasta que los expertos de ciberseguridad aseguren que está bien.

Por otro lado, revisa la configuración de privacidad de tus redes sociales, limita la resolución a un punto moderado en las fotografías y refuerza la seguridad combinando métodos, como el uso de PIN o autenticación de dos factores (2FA).

El FBI advierte que los tokens de acceso de Microsoft 365 son el nuevo objetivo de una plataforma de phishing como servicio (PhaaS, por sus siglas en inglés) llamada Kali365. La estafa se ha detectado por primera vez en abril de 2026.

Una forma de romper la autenticación de Microsoft

Kali365 se ha distribuido a través de Telegram durante el último mes. Los ciberdelincuentes pueden obtener tokens de acceso a Microsoft 365 con esta herramienta y romper la autenticación multifactor sin necesidad de robar las credenciales de los usuarios.

“Kali365 reduce las barreras de entrada, proporcionando a los atacantes con menos conocimientos técnicos acceso a señuelos de phishing generados con IA, plantillas de campaña automatizadas, paneles de seguimiento de individuos/entidades específicos en tiempo real y capacidades de captura de tokens OAuth”, comenta el organismo estadounidense.

Este tipo de ataque es extremadamente simple. Los estafadores engañan a los usuarios para que inicien sesión en su cuenta de Microsoft a través de una herramienta de autenticación legítima, luego roban sus tokens de acceso. Este fraude es casi indetectable.

El ataque comienza con un correo electrónico

Este tipo de ciberataques tienen un patrón común, la mayoría se inician con un correo electrónico que suplanta la identidad de un servicio e incluye un código del dispositivo desde el que se está iniciando sesión. Los estafadores aportan las instrucciones para acceder a una página de verificación legal de Microsoft, nada lleva a sospechar.

A continuación, la víctima autoriza el acceso desde ese dispositivo e introduce el código de verificación. El ciberataque acaba de comenzar sin saberlo, ahora el atacante puede guardar los tokens de acceso y actualización de OAuth para seguir accediendo a Microsoft 365 y todas sus aplicaciones como Outlook, Teams y OneDrive.

El estafador no necesitará una contraseña ni realizar la autenticación multifactor (MFA), tiene acceso ilimitado a la cuenta de Microsoft. Desde el FBI advierten que esta práctica se está popularizando durante este año.

Kali365 es solo el inicio, los servicios de phishing se multiplican en Telegram. Los investigadores han alertado de otras plataformas PhaaS como EvilTokens, que proporciona campañas de phishing prefabricadas de inicio de sesión, automatización de la API de Microsoft y correos generados con inteligencia artificial.

Debido a esto, se ha llegado al punto de que mucha gente ya evita responder cualquier número que no tenga guardado en la agenda, sobre todo porque muchas de estas llamadas son intentos de fraude, robo de datos o técnicas de ingeniería social.

Precisamente por esta razón, la Policía Nacional lleva tiempo recomendando varias medidas concretas para reducir gran parte de estas comunicaciones, ya que se han vuelto una gran "epidemia" para casi todas las personas en España.

Qué son las llamadas SPAM

Cabe señalar que las llamadas SPAM son contactos masivos realizados con fines comerciales o fraudulentos utilizando sistemas automáticos y bases de datos con millones de números de teléfono.

Muchas empresas obtienen esos números cuando los usuarios aceptan condiciones comerciales sin leerlas, participan en sorteos, se registran en aplicaciones o introducen sus datos en formularios online.

A partir de aquí, los centros de llamadas utilizan marcadores automáticos capaces de lanzar miles de llamadas diarias.

El resultado es una saturación constante que ha cambiado incluso la forma en que usamos el teléfono. Y es que cada vez más personas desconfían automáticamente de cualquier número desconocido.

Parte del problema está en que muchas estafas actuales utilizan exactamente los mismos métodos que las llamadas comerciales normales.

Algunas suplantan bancos, operadoras telefónicas o empresas conocidas utilizando números falsificados que aparentan ser legítimos. Otras intentan generar sensación de urgencia para conseguir datos personales, contraseñas o información bancaria.

La tecnología actual permite incluso modificar el identificador de llamada para que parezca que el contacto procede de España o de una empresa aparentemente fiable. Por eso las autoridades insisten en extremar precauciones.

Lo que recomienda la Policía Nacional

Una de las principales recomendaciones de la Policía Nacional consiste en inscribirse en listas de exclusión publicitaria para limitar legalmente el uso comercial del número de teléfono.

Las dos plataformas más conocidas son Lista Robinson y Lista Stop Publicidad. Ambos sistemas permiten solicitar que las empresas dejen de utilizar tus datos para campañas comerciales, llamadas publicitarias, SMS o correos promocionales.

La Lista Robinson funciona como un registro de exclusión que, cuando una persona se inscribe, las empresas adheridas están obligadas a consultar esa base de datos antes de iniciar campañas comerciales.

Eso no elimina absolutamente todas las llamadas, especialmente las fraudulentas o las procedentes de empresas que incumplen la normativa, pero sí reduce gran parte de la publicidad legal.

Por otro lado, está la Lista Stop Publicidad, que actúa de forma similar a la anterior y se centra también en limitar el uso publicitario de datos personales.

Por qué siguen llegando llamadas SPAM incluso después

Uno de los errores más comunes es pensar que estas herramientas funcionan como un bloqueo total, pero en realidad reducen sobre todo las comunicaciones comerciales legales.

Las llamadas fraudulentas operan fuera de esos sistemas y muchas utilizan números temporales o plataformas automáticas difíciles de rastrear.

Aun así, las listas de exclusión siguen siendo una de las medidas más efectivas para disminuir gran parte del SPAM diario.

El aumento de este tipo de llamadas refleja un problema mucho mayor relacionado con privacidad, datos personales y publicidad. Y es que el móvil se ha convertido en uno de los principales canales para campañas automatizadas y fraudes.

Precisamente por eso, herramientas legales como las listas de exclusión de publicidad, como las que recomienda la Policía Nacional, empiezan a ser casi tan importantes como los propios filtros anti SPAM del teléfono.

Esta nueva estafa es prácticamente imposible de detectar. Los ciberdelincuentes pueden crear nuevas cuentas de Microsoft y explotar ese acceso para enviar correos electrónicos suplantando la identidad del gigante tecnológico.

Microsoft tiene un enorme problema con su correo

Los estafadores están empezando a enviar correos electrónicos con una estructura muy similar a la de Microsoft, con asuntos y enlaces a sitios web fraudulentos de los de Redmond, uno de ellos es msonlineservicesteam@microsoftonline.com, una cuenta que se utilizaba para enviar códigos de autenticación de dos factores y alertas críticas.

Los ciberdelincuentes tan solo tienen que copiar los asuntos de notificaciones reales y crear un mensaje creíble. Los correos fraudulentos alertaban de supuestas amenazas en los pagos o problemas en la cuenta de Microsoft.

La organización sin fines de lucro The Spamhaus Project ha denunciado esta práctica. Los expertos en ciberseguridad confirman haber detectado un uso fraudulento en la dirección de correo electrónico de notificación de cuentas de Microsoft.

Este correo electrónico se ha utilizado recientemente para enviar spam, aseguran que esta actividad se remontaba a "varios meses atrás". “Los sistemas de notificación automatizados no deberían permitir este nivel de personalización”, comenta Spamhaus.

No hay una solución para acabar con el spam

The Spamhaus Project y otros expertos en seguridad han notificado este problema, pero Microsoft aún no ha encontrado la solución. Los de Redmond deben blindar sus direcciones de correo para evitar que se puedan crear nuevas “cuentas legítimas”.

“Estamos investigando activamente estos informes de phishing y tomando medidas para proteger a nuestros clientes. Esto incluye reforzar nuestros mecanismos de detección y bloqueo, así como eliminar las cuentas que infrinjan nuestras Condiciones de uso”, según un comunicado de Emelia Katon, portavoz de Microsoft.

Este no es un caso aislado de Microsoft, los ciberdelincuentes empiezan a utilizar cuentas oficiales de las empresas para enviar mensajes spam o estafas. La empresa financiera Betterment sufrió una situación muy similar con correos que prometían triplicar el valor de las criptomonedas que los usuarios enviaran, un fraude evidente.

La compañía tecnológica presentó esta IA hace solo unas semanas, que recibe el nombre oficial de Claude Mythos y que es capaz de destapar vulnerabilidades críticas en sistemas como Windows, navegadores como Firefox y servidores globales.

A diferencia de Claude, una IA que ya tiene unas capacidades de altísimo nivel, Claude Mythos es capaz de comprender la lógica de un sistema operativo completo para proporcionar posibles mejoras o encontrar brechas de seguridad.

Su poder es tan grande que muchos han visto esta IA como una amenaza para los milllones de empleos relacionados con la programación y la ciberseguridad, motivo suficiente para que Anthropic haya optado por aislarla.

Esto significa que no está disponible para el público, a fin de que terceros puedan utilizarla y moldearla a su conveniencia, sino que se emplea bajo el conocido Proyecto Glasswing.

Se trata de una iniciativa impulsada por la firma en colaboración con otras grandes tech y que tiene como objetivo "garantizar la seguridad del software crítico para la era de la IA", tal y como señala la propia empresa en su página web.

Más de 10.000 vulnerabilidades solo un mes después de su lanzamiento

Las grandes presentaciones de modelos de IA se reducen a ofrecer parámetros y comparaciones con otros, así como a comentar sus diferentes capacidades, pero no tanto a demostrar cómo son en la práctica.

Anthropic, en cambio, no ha necesitado mucho tiempo para revelar que Claude Mythos es lo que prometía y, tan solo un mes después de su presentación, esta IA ya ha marcado un récord, al encontrar más de 10.000 vulnerabilidades en total.

Así lo ha explicado la compañía recientemente, que ha afirmado que la tasa de detección de errores de sus socios se ha multiplicado por más de diez. Tanto es así que Cloudflare ha advertido 2.000 errores y 400 de los ellos son de gravedad alta o crítica.

Claude Mythos, que, por el momento, está en fase de prueba, también ha analizado 1.000 proyectos de código abierto y ha encontrado 6.202 vulnerabilidades de gravedad alta y crítica de un total de 23.019 analizada, tal y como recoge Engadget.

Mozilla, por su parte, también ha empleado esta herramienta de inteligencia artificial para descubrir posibles vulnerabilidades de Firefox y, según sus últimos informes, Claude Mythos le ha permitido encontrar y corregir 271 vulnerabilidades.

"Contamos con muchos años de experiencia analizando el trabajo de los mejores investigadores de seguridad del mundo y Mythos Preview es igual de capaz", concretó la compañía en un comunicado compartido hace solo unos días.

Entonces, también evaluó el escenario actual con respecto al uso de esta herramienta y qué suponía para el sector sus altísimas capacidades. "Puede resultar aterrador a corto plazo, pero en última instancia es una excelente noticia para los defensores", sostuvo.

Según el último informe global de Kaspersky, Supply chain reaction: securing the global digital ecosystem in an age if interdependence, del conjunto de 17 países encuestados, destaca España como uno en los que más escasez de profesionales en seguridad IT existe.

Concretamente, casi la mitad (42%) de las organizaciones encuestadas consideran difícil mitigar los riesgos asociados a la cadena de suministro y a las relaciones de confianza con otros actores, debido a la falta de priorización en materias de seguridad y a la escasez de profesionales cualificados.

"Cuando los equipos de seguridad están sobrecargados, carecen de personal suficiente y se ven obligados a priorizar tareas urgentes frente a objetivos de resiliencia a largo plazo, las organizaciones quedan expuestas a amenazas que pueden propagarse de forma silenciosa a través de su ecosistema de proveedores", explica Sergey Soldatov, responsable del Centro de Operaciones de Seguridad en Kaspersky.

Con ello, España se sitúa como uno de los países donde más se echa en falta esta ausencia de profesionales, junto a otros alrededor del planeta, como Vietnam, Emiratos Árabes Unidos y México.

Todo ello en un escenario en el que los ataques a la cadena de suministro se posicionan ya como el principal peligro identificado por las organizaciones, incluso por delante de campañas de phishing o de ingeniería social.

Para la mayoría de organizaciones, la ciberseguridad es secundaria

A pesar de que la ciberseguridad es clave ante ataques que puedan afectar a la cadena de suministro y, con ello, a terceros, lo cierto es que el 39% de encuestados asegura que sus contratos con proveedores no incluyen obligaciones claras en esta materia.

Una situación especialmente grave si se mira a países como España, Vietnam, Turquía y México, a lo que se suma un 32% que afirma que el personal no especializado en seguridad IT no comprende plenamente los riesgos.

Y, curiosamente, tampoco grandes potencias se salvan: en todo el mundo, el 85% considera que necesita mejorar las medidas de protección frente a los riesgos en la cadena de suministro, mientras que apenas el 15% cree que sus controles actuales son eficaces.

Aquí cabe destacar que el porcentaje de confianza baja en países vitales para la seguridad global, como Alemania (6%), Turquía (7%), Italia (8%), Brasil (8%), Rusia (8%) o Arabia Saudí (9%).

"Para romper este ciclo, es necesario adoptar estrategias de mitigación más unificadas y coherentes, desde evaluaciones estandarizadas de proveedores hasta una mayor concienciación entre equipos", añade Soldatov.

A pesar de esta premisa por cumplir, la falta de profesionales se traduce en la ausencia de planes claros en ciberseguridad, incluso en muchos casos sin tener herramientas básicas de seguridad que suelen usar todos los usuarios.

Apenas un 38% usa la autenticación en 2 factores

En lo general, ninguna de las prácticas básicas en seguridad para empresas supera una adopción del 40%; incluso en el caso de la más básica, como es la autenticación en 2 factores, apenas es utilizada por un 38% de los encuestados.

Como consecuencia, esto puede llevar al compromiso de los datos de la propia organización y de terceros, mediante campañas de phishing que consigan suplantar la identidad de algún empleado o cargo directivo.

Aunque, según los ataques experimentados por las organizaciones encuestadas durante los últimos 12 meses, el 31% se ha tenido que enfrentar a ataques en la cadena de suministro, seguido de cerca por los ataques impulsados por IA (30%) y campañas de phishing (28%).

Adicionalmente, apenas un 35% realiza revisiones periódicas de la seguridad de sus proveedores, lo que se conocen como pruebas de penetración, algo vital para descubrir vulnerabilidad en las organizaciones.

En definitiva, una tarea pendiente que puede comprometer todo el sistema si no se toman las medidas adecuadas, comenzando por la contratación de profesionales cualificados.

"La seguridad de la cadena de suministro debe convertirse en una responsabilidad compartida y exigible en toda la red empresarial", concluye el experto de Kaspersky.