Los investigadores explican que cada vez más equipos de seguridad utilizan IA para analizar malware y acelerar tareas. Sin embargo, este nuevo caso está diseñado específicamente para entorpecer ese tipo de sistemas, no solo para evadir antivirus tradicionales.

El archivo malicioso está desarrollado en Rust e incluye funciones típicas de backdoor y robo de información, algo común en este tipo de amenazas. Pero su rasgo más llamativo es un pequeño bloque oculto de unos 3,5 KB que contiene decenas de mensajes falsos de sistema.

Estos mensajes imitan errores reales de software, como fallos de memoria, problemas de red, errores en bases de datos o alertas de seguridad. Están formateados como si fueran logs de depuración legítimos, con estructuras técnicas y texto tipo Markdown, lo que hace más fácil que una herramienta automatizada los confunda con información real del sistema.

Entre los ejemplos aparecen supuestos fallos como errores de memoria, problemas con tokens de acceso, caídas de procesos o posibles vulnerabilidades de inyección SQL. Ninguno de estos mensajes refleja el comportamiento real del malware, sino que son señuelos diseñados para engañar al análisis.

Según los investigadores, el objetivo no es tanto evitar que el archivo se ejecute en un entorno controlado, sino interferir en la interpretación que hacen los sistemas de IA. Al introducir este “ruido” dentro del código, el malware intenta provocar que los modelos de lenguaje duden, se confundan o incluso detengan el análisis.

Este tipo de técnica se enmarca dentro de lo que se conoce como prompt injection aplicado a la ciberseguridad, donde el ataque no se dirige al sistema en sí, sino a cómo la IA interpreta la información que lee.

Por ahora no hay pruebas de que este método sea suficiente para derrotar plataformas de seguridad basadas en IA, pero sí muestra una tendencia clara donde los atacantes empiezan a diseñar malware pensando directamente en cómo lo analizarán las inteligencias artificiales.

El problema aquí no es que un hacker haya entrado directamente en tu móvil u ordenador, sino que los ciberdelincuentes han hackeado los servidores de grandes plataformas donde compras, juegas o trabajas. Al robar los archivos de esas empresas, se llevan listas gigantescas con millones de correos y claves que luego se venden en la dark web al mejor postor.

De ahí que muchos usuarios reciban correos raros o intentos de acceso en sus perfiles sin entender muy bien el motivo y sabiendo que, por su parte, han hecho siempre bien las cosas.

Esto es algo de lo que los expertos llevan años avisando. Muchos grupos de ciberdelincuentes no van buscando a personas concretas, sino que utilizan programas automáticos que prueban los datos robados en cientos de páginas web a la vez. Si cometes el error de usar la misma contraseña para el correo electrónico, la cuenta del banco y una red social, les estás regalando las llaves de acceso a todo.

Por eso, que una sola compañía cometa un error de ciberseguridad (que ya ves que es realmente sencillo por las noticias que salen cada día) puede acabar provocando un agujero enorme en tu privacidad.

A todo esto se le suma que, a veces, las compañías tardan semanas o incluso meses en descubrir que han sufrido un ataque en sus sistemas, y otros tantos en avisar a sus usuarios o clientes. Durante todo ese tiempo, los datos de acceso se comparten en foros. Cuando te llega el correo de aviso para que cambies tus credenciales, el daño ya está hecho.

Con todo esto, Don Paquito nos ofrece una forma de saber si alguna de nuestras credenciales realmente se ha visto comprometida. "Entra en tu gestor de contraseñas de Google y accede a Revisión. Este número de aquí arriba que te sale en rojo significa que muchas de tus contraseñas están completamente vendidas".

Añade una segunda forma de comprobar: la mítica web Have I Been Pwned, donde solo tienes que escribir tu dirección de correo electrónico. El sistema contrastará tu dirección con las listas de los mayores robos de la historia y te dirá en qué plataformas se han filtrado tus datos y qué tipo de información ha quedado expuesta. Si tu correo sale marcado en rojo, significa que deberías cambiar las credenciales.

Esta es la nueva arma de los hackers para hacerse con tus contraseñas

Rizando el rizo, y para que veas lo realmente importante que es que protejas tus contraseñas y revises de vez en cuando su estado, la realidad es que los hackers no necesitan grandes ordenadores para hacerse con tus claves. No necesitan una potencia de cálculo increíble si saben exactamente qué palabras usas en tu día a día. La IA ni es necesaria para adivinarlas porque, una vez más, los humanos son demasiado predecibles.

Cuando una empresa te obliga a cambiar la contraseña cada tres meses y te pone reglas de complejidad, te inventas algo aleatorio y, normalmente, buscas algo que tienes delante. Los atacantes lo saben y han empezado a usar herramientas que leen tu entorno antes de atacarte.

Aquí es donde entra en juego una herramienta que está en boca de todos los expertos en seguridad: CeWL. Es un programa de código abierto que se dedica a rastrear sitios web para absorber todas las palabras que aparecen.

En lugar de intentar adivinar tu contraseña probando 123456, este software crea una lista personalizada con los términos que tú y tu entorno usáis constantemente.

Una vez que tiene toda esa jerga corporativa, el hacker ya tiene el 90% del trabajo hecho. Ya no tiene que probar millones de combinaciones al azar; solo tiene que coger esas palabras y añadirles el típico 2026!, una mayúscula al principio o un símbolo de exclamación al final.

El gran consejo es que te pases a los gestores de contraseñas o, mejor aún, a las passkeys o llaves digitales. Si la clave la genera una máquina de forma aleatoria, no hay rastro web ni palabra corporativa que valga para adivinarla.

Los datos que ha aportado la marca demuestran que no estamos ante un problema que haya afectado de forma aislada o solo a un determinado tipo de objetivo. Afirman que estamos ante una campaña con un alcance global. La lista de países afectados incluye a España, México, Brasil, India, Singapur, Reino Unido, Taiwán, Australia, Rusia, Vietnam y Malasia.

Lo peor de todo, como ves, es que el mensaje te llega desde el chat de un amigo real o un compañero de trabajo porque los hackers han conseguido robar la cuenta de esa persona minutos antes. Al ver que el archivo te lo manda alguien conocido, la mayoría de la gente confía y cae pinchando en el enlace sin pensarlo.

Para que comprendas cómo sucede todo esto realmente, a nivel técnico se basa en un archivo con un formato llamado VBScript que está muy oculto para que el antivirus del ordenador no salte.

Para engañar a la víctima, los atacantes cambian el nombre del documento según el idioma del país que quieren atacar.

Desde Kaspersky explican que, mirando las quejas de los usuarios en redes sociales y los virus analizados, los delincuentes entran en las listas de contactos de las cuentas robadas y empiezan a lanzar el archivo infectado sin miramientos para ver cuántos realmente pueden llegar a caer. De momento, los investigadores todavía no saben qué método usan para robar las cuentas de WhatsApp.

Una vez que la víctima cae en la trampa y descarga el documento en su ordenador, se activa una cadena que funciona por detrás sin que se note nada en la pantalla. El primer archivo se conecta a internet y se descarga otros dos códigos que se encargan de cambiar los ajustes de Windows para quitar el Control de Cuentas de Usuario.

Una vez que el sistema operativo se queda sin ningún tipo de protección, el virus se descarga un paquete completo con un programa llamado ManageEngine Endpoint Central, que sirve para que los informáticos de una compañía controlen ordenadores a distancia, y lo conecta directamente con los servidores de los hackers.

¿Cómo funciona el nuevo virus de WhatsApp y qué peligro corren tus datos personales?

Para que te hagas una idea, el peligro de este ataque es que los ciberdelincuentes no usan un virus de toda la vida, sino que, como ves, instalan una aplicación de control remoto legal para poder acceder a tu PC como si nada, estén donde estén.

Una vez sucede esto, pueden ver todo lo que haces, robar tus contraseñas del banco guardadas en el navegador, ver tus fotos o instalar otros programas que te vigilen, sin que te enteres, para que seas tú mismo el que le dé las claves de toda su vida.

Con todo esto, hay un aspecto importante que debes conoces. Si estás utilizando WhatsApp Web en navegadores como Chrome o Edge, el sistema te obliga a descargar primero el archivo malicioso, lo que te va a dar una pequeña oportunidad de, al menos, sospechar y dar marcha atrás, teniendo en cuenta lo que está sucediendo.

Evita hacer clic y comunícate vía llamada con esa persona para saber si lo ha mandado ella o no.

Sin embargo, no puedes escapar si tienes instalada la aplicación de WhatsApp Desktop en Windows, ya que desde ahí el código oculto se puede abrir de forma directa con un doble clic debido a las herramientas internas del propio sistema operativo.

Aparte de todo esto, parece que el mensaje que llega es de tranquilidad. Parece que ya han encontrado los primeros hilos de los que tirar y todo indica a ataques chinos. Lo más probable es que no tarden demasiado es cerrar esta brecha.

La parte negativa es que, detrás de esta decisión, más allá del miedo que ha generado en población, empresas y gobiernos de todo el mundo, muchos consideran que hay más marketing que realidad.

Sin ir más lejos, el creador de cURL, una de las herramientas más importantes de Internet, quiso hace unos meses desmontar el miedo al apocalipsis de la nueva IA de Anthropic. Afirma que es una increíble campaña de publicidad.

"El gran revuelo en torno a este modelo hasta ahora fue principalmente marketing. No veo ninguna evidencia de que esta configuración detecte problemas con mayor precisión o agudeza que las herramientas anteriores a Mythos. Quizás este modelo sea un poco mejor, pero incluso si lo es, no lo suficiente como para marcar una diferencia significativa en el análisis de código", comenta.

Con dos bandos muy diferenciados (los que afirman que es una eminencia para la ciberseguridad y los que lo tachan de puro humo), un desarrollador independiente ha querido ponerlo a prueba. El experto ha creado un banco de pruebas utilizando código limpio y real para medir las capacidades de los modelos de inteligencia artificial que cualquiera puede usar hoy en día.

El experimento consiste en coger varios errores informáticos muy difíciles que Mythos descubrió en su día, buscar cómo estaba escrito ese programa justo antes de que se arreglara el fallo y ponérselo delante a otras inteligencias artificiales del mercado para ver si son capaces de encontrarlos.

Los primeros datos que consiguió extraer son un tanto agridulces, ya que se dio cuenta de que encontrar fallos dentro de un solo archivo de texto es algo más o menos sencillo, pero la cosa se complica cuando el error está escondido en una maraña de documentos. Lo que sí que pudo comprobar es que estos modelos demostraron tener bastantes puntos flacos, lo que da bastantes puntos a la idea de que Mythos está bastantes pasos por delante.

¿Qué modelos de inteligencia artificial son los mejores para buscar fallos de seguridad según las pruebas?

Tal y como pudo comprobar, y para sorpresa de muchos, los modelos de IA más top del mercado no es que hayan salido especialmente bien parados. No ha ocurrido lo mismo con los modelos chinos y los que son totalmente gratuitos.

En concreto, el modelo GPT-5.5 Pro de OpenAI consiguió un buen porcentaje de aciertos, pero la gran sorpresa la han dado herramientas mucho más baratas como MiMo o DeepSeek, que han conseguido cazar la misma cantidad de errores graves por una décima parte del dinero que cuesta usar los servidores de las marcas americanas.

Por otro lado, destaca algunas inteligencias artificiales como Qwen 3.6, un modelo que el experto pudo ejecutar de forma local en su propio ordenador con 128 gigabytes de memoria RAM. A pesar de funcionar en un PC de casa y ser un poco más lento, encontró más fallos reales y se inventó menos peligros falsos que Gemini 3.1 Pro.

Pero esto no es todo, porque parece que Europa no sale muy bien parada en este experimento. Mistral Medium, el modelo creado por esta empresa de inteligencia artificial de la Unión Europea, demostró ser un auténtico desastre.

Con todo esto, y volviendo al tema que nos compete, las pruebas dejan bien claro que, si bien no es una IA que vaya a tirar por completo la ciberseguridad mundial tal y como muchos quieren hacer ver, sí que es cierto que está un paso por delante de cualquier otro modelo tope de gama del mercado.

Para que te hagas una idea, esta tecnología es la que se encarga de revisar que nadie haya metido un virus en tu PC antes de que se cargue el sistema operativo.

Para evitar que millones de PC se vuelvan vulnerables de golpe o dejen de encender, Microsoft ahora mismo está en pleno despliegue para instalar unas nuevas claves criptográficas directamente en la placa base de los usuarios.

En cuanto a Linux, debes saber que, si quieres instalarlo en tu ordenador, el sistema de arranque (UEFI) de tu placa base va a comprobar si el instalador de Linux está firmado por una llave de confianza.

Como las placas base solo traen las llaves de Microsoft, versiones como Ubuntu o Fedora tuvieron que pedirle a Microsoft que firmara digitalmente una pequeña pieza de su software para que los ordenadores de cualquier marca les permitiesen arrancar.

Con todo esto, el objetivo es frenar los conocidos como bootkits, una especie de virus que no ataca a tus programas, sino que se mete directamente en la placa base del ordenador, en el antiguo sistema conocido como BIOS o el actual UEFI.

Como este código maligno se activa antes incluso de que cargue la pantalla de inicio de tu sesión, los antivirus normales no lo detectan y es casi imposible de borrar de la memoria.

Si está vencido, no tiene la capacidad de analizar y validar que todo está bien, por lo que los atacantes podrían pasar desapercibidos a pesar de tener antivirus instalado. Es decir, el SO va a iniciar igual, pero con un constante riesgo de seguridad.

¿Cómo puedo comprobar si mi ordenador se ha actualizado bien?

Normalmente, estos certificados duran alrededor de 15 años en vigencia. En este caso, todos los de 2011 caducan oficialmente en junio de 2026 y la mayoría de los dispositivos con la versión 11 van a recibir el reemplazo del nuevo certificado 2023 Microsoft Windows PCA automáticamente gracias a Windows Update.

Si tu ordenador no recibe la actualización de las claves antes del 24 de junio, no significa que vaya a dejar de funcionar o que la pantalla se vaya a quedar en negro al encenderlo. El PC seguirá arrancando, pero se quedará desprotegido. Aquí, el peligro real está en los ordenadores que tienen ya unos cuantos años o en aquellos que llevan meses sin conectarse a internet para actualizarse.

De nuevo, lo normal es que en tu caso todo esto suceda de forma automática, pero si quieres confirmar, ve a Configuración, Seguridad de Windows, Seguridad del Dispositivo, Arranque Seguro. Si aparece un icono de check verde, es porque todos los certificados están al día.

Si hablamos de Windows 10, si tienes el programa extendido que dura hasta octubre de 2026, es posible instalarlo, pero lo más recomendado es actualizar al nuevo sistema operativo de Microsoft.

En cuanto a Linux, los creadores de las distros ya están distribuyendo sus propios parches para cambiar las firmas viejas de 2011 por las modernas, por lo que deberías echar un vistazo a tu gestor de actualizaciones de Linux.

Por supuesto, estas claves también se van a caducar en no demasiados años. Microsoft ha comentado que tienen una fecha de caducidad fijada en el año 2038. No obstante, se prevé que, a partir del año 2030, entrará en vigor una orden global para implementar la criptografía poscuántica.

Un grupo de expertos en virus informáticos de la empresa Qianxin ha descubierto un programa nuevo, llamado AryStinger, que ya se ha metido en más de 4.000 dispositivos D-Link de varios países.

El objetivo de este ataque no es dejarte sin internet y acabar con el router, sino convertirlo en una especie de trabajador que opera para los delincuentes sin que tú te enteres de nada.

Esta red de equipos infectados se dedica a usar la potencia y la conexión de las casas para llevar a cabo todo tipo de actividades ilegales. Los investigadores explican que los atacantes usan estos routers de la marca D-Link como un puente para esconder sus huellas, usando todos los dispositivos que tienen secuestrados para lanzar diferentes ataques.

De esta forma, cuando intentan hackear una empresa o una página web, el rastro que dejan no va a parar a sus propios ordenadores, sino a las conexiones de personas que no han hecho nada.

Pero no solo los usan para atacar a otros. El hackeo también puede ir directo a ti. Por ejemplo, y al modificar los servidores, puedes pensar que estás accediendo a la web de tu banco, pero, en realidad, es una página modificada para que introduzcas tu usuario y contraseña y roben todo tu dinero.

Los modelos que más están sufriendo las infecciones son el D-Link DIR-850L y el D-Link DIR-818LW. Los hackers han conseguido entrar en ellos aprovechando fallos de seguridad antiguos que nadie ha arreglado porque son dispositivos que ya han dejado de recibir soporte oficial por parte de la compañía.

Según los datos de los expertos, casi la mitad de los usuarios afectados viven en Corea del Sur, seguidos por algunos en China, Suecia y Malasia, aunque el peligro afecta a cualquier lugar del mundo donde sigan funcionando estos modelos.

¿Cómo puedes saber si tu router WiFi está infectado y qué puedes hacer para proteger tus datos?

En este caso tan concreto, y al ser un programa que trabaja en las sombras y no muestra anuncios ni ventanas raras, no hay realmente muchas formas de saberlo, aunque sí que hay ciertas pistas que puedes encontrarte.

Por ejemplo, si de repente internet te va muy lento, los vídeos se cortan o las páginas tardan mucho en cargar (y ya has comprobado que no es un problema de tu operadora), es muy probable que el virus esté usando tu conexión.

Por otro lado, si al intentar entrar en una web el navegador te avisa todo el tiempo de que la conexión no es segura o te redirige a páginas raras que se ven un tanto extrañas, el virus podría haber cambiado los DNS de tu router para intentar robarte tus contraseñas.

Otro aspecto que podría darte pistas está en el propio router WiFi. Si ves que las luces del aparato parpadean mucho, incluso cuando tienes el móvil y el ordenador apagados, significa que hay un tráfico de datos masivo y que algo está pasando.

Para solucionar el problema, los expertos recomiendan actualizar el software del router a la última versión, cambiar la contraseña que viene de fábrica para entrar a los ajustes y apagar la opción de control remoto para que nadie pueda entrar desde fuera de casa.

Además, muchos de los virus que infectan a los routers se borran por completo con un reinicio. Pero si sospechas que la infección es grave, lo mejor es hacer un reset de fábrica. Busca un agujero minúsculo en la parte trasera del router que pone Reset, mete la punta de un clip durante 10 o 15 segundos y el aparato volverá al estado en el que salió de la caja, borrando cualquier problema.

La vulnerabilidad, bautizada como usbliter8, ha sido descubierta por el equipo de investigación Paradigm Shift y afecta a una parte fundamental del hardware conocida como BootROM. Este componente participa en el arranque inicial del dispositivo y está grabado físicamente en el chip, por lo que cualquier error presente en él permanece para siempre.

Según los investigadores, el exploit aprovecha una combinación de un fallo de hardware en el controlador USB y una configuración específica del firmware. Mediante el envío de datos especialmente diseñados a través de una conexión USB, un atacante podría alterar el proceso de inicio del dispositivo y ejecutar código propio antes de que iOS llegue a cargarse.

Los modelos afectados incluyen los iPhone XR, iPhone XS, iPhone XS Max, iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max y el iPhone SE de segunda generación. También se han identificado otros dispositivos de Apple con los mismos procesadores, como determinados iPad, Apple Watch e incluso el HomePod mini.

A diferencia de muchas vulnerabilidades descubiertas en los últimos años, esta no puede solucionarse con una actualización de iOS. Al encontrarse en una parte física del chip, Apple no tiene forma de modificarla mediante software. Los investigadores aseguran que la medida más eficaz para eliminar completamente el riesgo pasa por utilizar hardware más moderno que no incorpore estos procesadores.

No obstante, el problema tiene importantes limitaciones. Para explotar la vulnerabilidad es necesario disponer de acceso físico al dispositivo y colocarlo en modo DFU, un modo especial utilizado para restauraciones y tareas avanzadas de mantenimiento. Además, el fallo no compromete directamente el Secure Enclave, el sistema encargado de proteger datos sensibles como contraseñas, claves de cifrado y otra información privada del usuario.

Aun así, los expertos advierten de que esta puerta de entrada podría facilitar ataques más complejos en determinadas circunstancias. Por ese motivo han decidido publicar los detalles técnicos del descubrimiento con el objetivo de que la comunidad de seguridad pueda estudiar mejor sus implicaciones.

Según los investigadores de Zimperium, Rokarolla se distribuye a través de páginas web fraudulentas que se hacen pasar por sitios legítimos de descarga de aplicaciones populares como Google Chrome o TikTok. Los usuarios que caen en la trampa descargan una aplicación maliciosa que aparenta ser segura, pero que en realidad instala el malware en segundo plano.

Durante el proceso de instalación, la amenaza suplanta la identidad de Google Play Protect, el sistema de protección integrado de Android. De esta forma, intenta generar confianza y convencer a la víctima para que conceda permisos sensibles al programa.

Una vez ejecutado, Rokarolla solicita acceso a funciones críticas del sistema, incluyendo los servicios de accesibilidad, las notificaciones, los mensajes SMS y las llamadas telefónicas. Con estos permisos, los atacantes pueden obtener una gran cantidad de información del dispositivo y controlar múltiples funciones de forma remota.

El malware recopila inicialmente datos técnicos del terminal, como el modelo del teléfono, la versión de Android, el idioma configurado, la capacidad de almacenamiento y la memoria disponible. Posteriormente, compara las aplicaciones instaladas con una lista de 217 objetivos potenciales relacionados con entidades financieras y plataformas de criptomonedas.

Cuando detecta una aplicación compatible, Rokarolla muestra pantallas falsas de inicio de sesión que imitan a las originales. El objetivo es que la víctima introduzca sus credenciales, números de tarjeta u otros datos sensibles sin sospechar que están siendo enviados directamente a los ciberdelincuentes.

Sin embargo, sus capacidades van mucho más allá. El troyano puede registrar todas las pulsaciones del teclado, robar mensajes SMS, acceder a la lista de contactos, recopilar información de WhatsApp, capturar capturas de pantalla e incluso manipular el contenido copiado en el portapapeles.

Además, utiliza técnicas avanzadas para ocultar su actividad. Entre ellas se encuentran la ocultación del icono de la aplicación, la desactivación de alertas sonoras, el bloqueo de llamadas entrantes y la superposición de ventanas falsas para impedir que el usuario detecte comportamientos sospechosos.

Los investigadores no han encontrado Rokarolla en Google Play, por lo que recomiendan descargar aplicaciones únicamente desde fuentes oficiales y desconfiar de cualquier APK obtenida desde páginas externas.

El motivo, como seguramente ya has escuchado o leído, es el enorme potencial militar y de hackeo que tienen estos sistemas de IA. Desde que Mythos vio la luz en abril, sus propios creadores advirtieron que la herramienta tiene una doble cara muy peligrosa.

Por un lado, es capaz de revisar el código de cualquier programa para descubrir fallos de seguridad y ayudar a los programadores a protegerse; por el otro, esto también sirve para crear ataques informáticos masivos.

Para intentar evitar problemas, la empresa lanzó primero una versión controlada llamada Mythos Preview a un grupo cerrado de expertos conocido como Proyecto Glasswing. La semana pasada hicieron lo mismo con la versión completa, mientras que el modelo Claude Fable 5 se abrió al público general con filtros para que no respondiera a preguntas sobre ciberseguridad o biología.

Sin embargo, la administración de Donald Trump decidió intervenir de golpe al considerar que estos frenos que han puesto ciertamente se pueden saltar con facilidad.

El problema es que no todo el mundo está de acuerdo con parar en seco el progreso. Expertos aseguran que la decisión del gobierno es absurda y que solo sirve para frenar algo inevitable. Afirman que se está dedicando demasiado esfuerzo por una herramienta que finalmente verá la luz y que, por supuesto, la competencia está a punto de lanzar modelos similares.

Por ejemplo, OpenAI ya ha contraatacado con Daybreak, una nueva IA que en realidad es una plataforma con diversas herramientas desarrolladas con sus socios de seguridad.

Mientras que Mythos es una IA que busca vulnerabilidades en el código, Daybreak tiene un enfoque diferente. También hace eso, pero al mismo tiempo aprovecha sus conocimientos hacker para crear código que bloquee de antemano esas vulnerabilidades.

La idea de OpenAI es que los desarrolladores usen Daybreak para ir revisando el código mientras lo escriben, para tapar las vulnerabilidades antes de lanzar la aplicación. Adelantarse a la IA mal usada de los ciberdelincuentes. Como ves, lo mismo que Anthropic.

Las tres razones por las que el gobierno ataca a Anthropic y no a OpenAI

Por un lado, la razón por la que la administración Trump intervino el 12 de junio de 2026 fue un informe técnico. Investigadores de Amazon descubrieron un fallo de seguridad grave en el modelo Claude Fable 5.

Este fallo permitía saltarse por completo los filtros de protección de la IA para obligarla a buscar y explotar vulnerabilidades. Amazon compartió lo encontrado con el gobierno y, ante el miedo de que países extranjeros descubrieran el mismo truco y lo usaran para lanzar ciberataques, la Casa Blanca exigió su bloqueo.

Por otro lado, la diferencia con OpenAI no está en que sus modelos sean menos potentes, sino en cómo los distribuyen. Por un lado, Anthropic ha tenido desde el lanzamiento de Mythos una estrategia completamente abierta (y esto le está pasando factura).

Aunque Mythos 5 era privado, Anthropic lanzó Claude Fable 5 (que comparte la misma potencia interna) al mundo, confiando en que sus filtros de texto impedirían que la gente hiciera preguntas peligrosas. Cuando el filtro falló, el modelo quedó expuesto para cualquiera.

En contraposición, OpenAI, como siempre, actúa de forma más cautelosa, como un búnker hermético, pero que, si lo piensas, tiene en sus manos el mismo poder.

Por ejemplo, en abril de 2026, OpenAI lanzó su modelo especializado en ciberseguridad, GPT-5.4-Cyber. Sin embargo, en lugar de abrirlo al público, crearon un programa restringido llamado Trusted Access for Cyber. Para usarlo, los ingenieros tienen que subir su documento de identidad y pasar una verificación del gobierno. Aquí no ha habido apertura alguna al mundo, por lo que el gobierno no ha tenido que meter mano.

A todo esto hay que sumarle la tensión entre Anthropic y Donald Trump. Todo esto llega tras meses de tensión entre la cúpula de la empresa y el Pentágono. En febrero de 2026, el CEO de Anthropic, Dario Amodei, rechazó varias exigencias del Departamento de Defensa para permitir el uso libre de su tecnología en sistemas de vigilancia militar y armas autónomas.

De hecho, el Pentágono llegó a clasificar formalmente a Anthropic como un "riesgo para la cadena de suministro de la seguridad nacional", por lo que esto también va más allá de si realmente hablamos de peligro para la humanidad o no.

La diferencia con las estafas que ya hemos ido contando estos años y meses es que, en este caso, los ciberdelincuentes no quieren echarte de tu propia cuenta. Ahora ya no buscan que caigas en la trampa de entregarles el típico código que te llega por SMS. Con el Ghostpairing la situación cambia por completo y se meten en tu perfil sin que te enteres, así que tú puedes seguir enviando mensajes, fotos y notas de voz con normalidad mientras ellos lo leen todo.

Para engañarte, los estafadores vuelven a usar el truco más viejo del mundo: la curiosidad.

Tal y como se ha podido conocer, todo empieza cuando te llega un mensaje de WhatsApp que parece de un amigo, de tu primo o de alguien de confianza. El problema es que a esa persona ya le han robado la cuenta antes y tú estás viendo un mensaje automático. Al pinchar en el enlace que acompaña ese chat, el móvil te lleva a una página web falsa que es exactamente igual a la de Facebook o Instagram.

Una vez que estás dentro de esa web falsa y sigues los pasos que te va marcando, el sistema te pide que pongas tu número de teléfono. Al ponerlo, lo que estás haciendo en realidad, y sin saberlo, es conectar tu cuenta de WhatsApp al ordenador o a la tablet de los ciberdelincuentes.

Es exactamente el mismo proceso que haces tú cuando vinculas tu móvil a WhatsApp Web o a la aplicación del ordenador. En cuanto se completa ese paso, los atacantes ya pueden ver todos tus chats guardados, las fotos que envías y los datos de tus contactos.

¿Cómo saber si han duplicado mi cuenta de WhatsApp y qué pasos debo seguir para desvincularla?

En este caso, lo más importante es echarlos de tu WhatsApp. Para comprobarlo es muy fácil: abre la aplicación en tu móvil, vete a la parte de ajustes o configuración y busca donde pone Dispositivos vinculados. Ahí te va a salir una lista con todos los ordenadores o navegadores que tienen permiso para leer tus mensajes. Si ves que hay alguno que no te encaja, una ubicación extraña o un sistema operativo que tú no usas, pulsa encima y dale a Cerrar sesión.

Cuando ya hayas hecho esto, la tarea aún no ha terminado y te toca limpiar el móvil por si acaso. Pásale un buen antivirus al móvil para asegurarte de que ese link no te ha metido un virus o un programa espía dentro del sistema operativo.

Ya rizando el rizo, si has estado hablando de temas privados, contraseñas o has enviado algún dato por tus chats últimamente, cámbialo todo en tus cuentas del banco o del correo porque los hackers habrán podido leerlo mientras estaban conectados a tu perfil.

Si se han dado prisa y han usado tu cuenta para pedirle dinero prestado a tus contactos fingiendo que eres tú, va a tocar seguir un paso más. Haz capturas de pantalla de todo lo que puedas para tener pruebas y acude a una comisaría de la Policía o de la Guardia Civil para poner una denuncia. Tampoco te olvides de mandar un mensaje rápido a tus grupos y familiares para avisarles de que te han hackeado el WhatsApp.

Por último, si te preocupa que tus datos personales estén circulando por internet, los expertos recomiendan hacer egosurfing. Esto no es más que poner tu nombre, tu DNI o tu número de teléfono en Google para ver qué sale publicado sobre ti en la red. Si encuentras alguna web que está usando tus datos privados sin tu permiso tras el hackeo, estás en tu derecho de ponerte en contacto con ellos para pedirles que borren tu rastro de internet usando el derecho al olvido.

El malware, identificado como una evolución de NFCShare, se está distribuyendo a través de repositorios de GitHub que aparentan ser legítimos. Los atacantes utilizan páginas de phishing que simulan ser bancos reales y persuaden a las víctimas para descargar una supuesta actualización de su aplicación bancaria. En realidad, lo que instalan es un archivo APK malicioso diseñado para robar información financiera.

Una vez instalado, el malware muestra una pantalla de verificación falsa que solicita al usuario acercar su tarjeta bancaria al teléfono. Bajo este engaño, el sistema aprovecha la tecnología NFC del dispositivo para leer los datos de la tarjeta mediante interfaces legítimas de Android.

El objetivo es capturar información sensible como el número de tarjeta, la fecha de caducidad, el tipo de tarjeta e incluso un código PIN de cuatro cifras introducido por la propia víctima bajo la falsa creencia de que forma parte de un proceso de seguridad.

Toda esta información es enviada posteriormente a servidores controlados por los atacantes mediante conexiones ocultas, lo que permite su uso en fraudes financieros y sistemas de pago fraudulentos.

Investigadores de seguridad han detectado que esta variante de NFCShare ha evolucionado respecto a versiones anteriores. Inicialmente, el malware se dirigía únicamente a clientes de bancos concretos pero ahora ha ampliado su alcance para incluir entidades financieras de varios países europeos, incluidos bancos de Italia y España.

Entre las apps falsas detectadas se encuentran imitaciones de servicios como CaixaBank, Banca Sella o Nexi, todas ellas distribuidas como archivos APK alojados en GitHub.

Uno de los aspectos más preocupantes de esta campaña es el uso de técnicas para dificultar el análisis del malware. Los archivos APK maliciosos incluyen estructuras alteradas dentro del paquete que pueden confundir algunas herramientas automáticas de seguridad, aunque no impiden su análisis manual.

Además, los atacantes combinan la distribución del malware con técnicas de ingeniería social, como mensajes de texto o llamadas falsas en las que se hacen pasar por empleados del banco para presionar a la víctima.

Los expertos en ciberseguridad recomiendan descargar aplicaciones bancarias únicamente desde fuentes oficiales como Google Play, mantener activado Google Play Protect y desconfiar de cualquier mensaje que solicite realizar verificaciones mediante NFC o la instalación de archivos externos.

El autor de esta ciberamenaza se conoce como TA4922. El hacker chino está vinculado con ataques que tenían como objetivo vulnerar redes para cometer fraudes, robar datos y vender en la dark web.

Atlas RAT vuelve a resurgir en Europa

La empresa de ciberseguridad Proofpoint apunta que TA4922 podría estar detrás de otras amenazas como Silver Fox y Void Arachne, más relacionadas con el cibercrimen. El malware Atlas RAT está destinado al espionaje.

Proofpoint confirma que la actividad del hacker chino ha aumentado desde marzo, aunque el mes de abril fue el más letal. El atacante utiliza señuelos mediante phishing para enviar mensajes como avisos de nómina, facturas, auditorías fiscales, declaraciones de IVA o notificaciones gubernamentales a compañías de todo el mundo.

“TA4922 lleva a cabo actualmente más campañas únicas que cualquier otro actor de ciberdelincuencia rastreando en los datos de amenazas de Proofpoint, lo que demuestra un alto ritmo operativo, una variedad de señuelos y múltiples objetivos”, según la empresa de ciberseguridad para Bleeping Computer.

Un ataque a través de WhatsApp y Teams

Atlas RAT se inicia con un simple mensaje a través de WhatsApp, la aplicación de mensajería LINE y Microsoft Teams. Los ciberdelincuentes solo deben infectar un documento para introducir un malware de espionaje.

El objetivo es comercializar esta información instalando Atlas RAT, un troyano de acceso remoto. Los atacantes tendrán control total en descargas de plugins y cargas útiles, sistemas de reconocimiento del sistema, archivos, registro de pulsaciones de teclas, captura de pantalla, grabación de audio y cámara web, historial de navegación de Google y comandos de apagado y reinicio del sistema.

Además, los investigadores han descubierto un nuevo cargador de malware llamado RomulusLoader. TA4922 puede descargar y ejecutar cargas útiles adicionales mediante la manipulación de procesos con permisos a través de herramientas legítimas de gestión en remoto muy populares en China como AnyDesk y SyncFuture.

Proofpoint confirma que TA4922 es responsable de "más campañas únicas" que se distribuyen con rapidez. “Se considera que el responsable actúa por motivos económicos, las capacidades del malware incluyen la posibilidad de realizar tareas de vigilancia, que podrían ser utilizadas por grupos de espionaje o vendidas a ellos”, asegura.

Sin embargo, esta forma de jugar, tan protegida por la comunidad, se ha convertido en el gancho perfecto para activar una de las mayores campañas de virus de los últimos años. Una operación de software malicioso bautizada como WeedHack ha conseguido infectar a más de 116.000 PC en todo el mundo en apenas unos meses.

El truco era simple, ya que estos virus estaban perfectamente escondidos dentro de esos archivos que muchos descargaban con total confianza. El problema es que ha usado YouTube como gancho para que los usuarios cayesen.

En concreto, los ciberdelincuentes subían vídeos mostrando el mod en su máxima expresión con voces, música y todo tipo de ediciones totalmente creíbles. Los enlaces de descarga se colocaban en las descripciones y en los comentarios fijados. Si el usuario hacía clic, era redirigido a páginas web falsas que imitaban perfectamente las webs oficiales.

Y, por si fuese poco, para asegurarse de que vieses sus vídeos entre los miles que existen de Minecraft en YouTube, utilizaban técnicas de posicionamiento web para que apareciesen en los primeros resultados de los buscadores.

Los datos recopilados por McAfee muestran que WeedHack ya ha afectado exactamente a 116.464 ordenadores, con un ritmo de contagio de entre 2.000 y 3.000 nuevas víctimas cada 24 horas. Aunque se sabe que esto está afectando a nivel mundial, la mayoría de los usuarios afectados se concentran en países como Estados Unidos, Alemania, India y el Reino Unido.

Tal y como explican, los atacantes han creado una infraestructura con más de 240 direcciones web de descarga falsas y unos 3.820 archivos infectados.

El Netflix de los virus: un panel de control para cualquiera

Lo peor de WeedHack no es el virus en sí, sino lo fácil que es usarlo. Antes, para hackear a alguien, necesitabas un mínimo de conocimiento informático. Ahora, los creadores de este virus han montado una página web normal y corriente donde cualquiera puede registrarse.

Al entrar, ese potencial cliente se encuentra con un panel de control muy sencillo. Ahí puede rellenar un formulario para generar un archivo trucado compatible con las versiones más recientes de Minecraft y, por supuesto, puede ver los resultados en una pantalla, las fichas de las personas que han ido infectando, con todo lo que les han robado bien ordenado.

Por si todo esto fuese poco, casi todas las plataformas de virus cobran desde el primer día, pero WeedHack ofrece una versión básica completamente gratuita. El objetivo es simple: conseguir que se corra la voz y enganchar a miles de usuarios.

Con esta cuenta gratis, cualquier persona puede crear un enlace falso, convencer a otro jugador para que se lo descargue y, automáticamente, robarle contraseñas, datos de pago, accesos a plataformas e incluso claves de aplicaciones de criptomonedas.

El canal de Telegram de este proyecto cuenta ya con más de 800 usuarios, y los expertos comentan que muchos de los compradores son adolescentes que usan estas herramientas para chantajear a otros jugadores.

Si ya conocías a Claude como un modelo centrado en la seguridad y la ética, Mythos es su hermano mayor, diseñado específicamente con una capacidad de razonamiento que roza lo sobrehumano. No se trata de una IA para charlar o que te responda a preguntas; Mythos es un modelo especializado en el análisis de código y sistemas.

Es capaz de leer millones de líneas de código y encontrar fallos que han estado ahí durante 20 años sin que nadie los viera. Teniendo todo esto en cuenta, en un inicio la compañía convocó a 50 compañías de software para probarla y corregir sus vulnerabilidades. Luego esta lista se ha ido ampliando hasta que le ha llegado el turno a nuestro país.

Por supuesto, todo esto nace de la insistencia de Europa para formar parte de estas pruebas iniciales antes de que se abra la veda mundial y casi cualquiera pueda acceder a esta IA. El ministro de Economía español, Carlos Cuerpo, lideró las presiones a principios de mayo exigiendo un acceso temprano para las instituciones europeas, dejando claro que nuestras infraestructuras no podían quedarse atrás.

La insistencia ha funcionado. Anthropic ha decidido incluir formalmente a la Agencia de la Unión Europea para la Ciberseguridad (ENISA) dentro del Proyecto Glasswing.

Este grupo, como antes se ha comentado, es un club cerrado de apenas 150 instituciones y empresas repartidas en 15 países que tienen el poder de probar la versión preliminar de Mythos.

La idea con esto es permitir que los expertos de todo tipo de empresas se anticipen a los riesgos, entiendan cómo piensan los atacantes y refuercen las infraestructuras antes de que sea demasiado tarde.

Detrás de Claude Mythos se esconde una buena dosis de marketing

Lo cierto es que llevamos semanas escuchando que este nuevo modelo secreto por ahora de Anthropic es casi un arma de destrucción masiva, una IA muy peligrosa que es capaz de tumbar gobiernos a nivel de ciberseguridad.

La verdad es que leer este tipo de cosas da bastante miedo y, sean ciertas o no, queda claro que ninguna agencia gubernamental o empresa ha querido quedarse atrás para comprobarlo cuando sea demasiado tarde. Sin embargo, en los últimos días, aquellos que ya han tenido la oportunidad de ver qué hay dentro, parece que no han quedado tan sorprendidos como nos quieren algunos hacer ver.

Una de estas figuras que ha querido acabar con el hype ha sido Daniel Stenberg, el creador de cURL.

A través de la Linux Foundation, se le ofreció pasar por el ojo de Mythos las 178.000 líneas de código en lenguaje C que forman cURL. Tras semanas de retrasos, el informe llegó y el resultado fue, cuanto menos, nada esperado: el modelo que, supuestamente, iba a romper Internet se quedó en un análisis correcto, normal como otro cualquiera, pero lejos de ser la revolución que la compañía vendió.

"El gran revuelo en torno a este modelo hasta ahora fue principalmente marketing. No veo ninguna evidencia de que esta configuración detecte problemas con mayor precisión o agudeza que las herramientas anteriores a Mythos. Quizás este modelo sea un poco mejor, pero incluso si lo es, no lo suficiente como para marcar una diferencia significativa en el análisis de código", comenta Stenberg.

Aunque reconoce que Mythos es una herramienta potente, no ha encontrado nada que otros modelos de OpenAI o herramientas como AISLE o Zeropath no hubieran detectado ya en los meses anteriores. De hecho, estas otras ya habían ayudado a meter cientos de parches en cURL antes de que Mythos apareciese. Para él, el peligro del que hablaba Anthropic parece ser más una estrategia de ventas que una realidad.

Tal y como afirma, las capacidades de Mythos no son cosa de magia o un potencial sobrenatural; es simplemente una capacidad de lectura masiva y contextual que, si bien es realmente buena, no justifica el pánico generalizado que se está tratando de crear en el mundo.

Pese a todo esto, Stenberg defiende a capa y espada el uso de estas tecnologías. "Permítanme recalcar y reiterar lo que ya he dicho: los analizadores de código con IA son significativamente mejores para encontrar fallos de seguridad y errores en el código fuente que cualquier analizador de código tradicional del pasado. Todos los modelos de IA modernos son buenos en esto ahora", afirma.

La vulnerabilidad descubierta, llamada GHSL-2026-140, fue hallada en abril. Permite a un hacker introducir malware o desbordar la memoria para un ataque DDoS, desde un simple enlace con un fichero comprimido.

7-Zip es un programa muy utilizado que lleva muchos años en activo. Windows 11 y otros sistemas ya incluyen su propio descomprensor de ficheros, pero 7-Zip comprime aún más en un formato propio, es de código abierto, y se puede manejar con línea de comandos, lo que resulta muy útil en ciertas configuraciones profesionales.

Así te afecta la grave vulnerabilidad de 7-Zip

Este bug se produce por la forma en que la aplicación asigna la memoria RAM cuando va a comprimir o descomprimir un archivo.

Un atacante malintencionado puede manipular el archivo para que produzca un desbordamiento del búfer, un tipo de vulnerabilidad de corrupción de memoria que puede explotarse para activar malware en la memoria dinámicamente.

El bug ya fue corregido hace un par de semanas, pero ahora se ha publicado un documento que explica el fallo y detalla una prueba de concepto para comprobar cómo el ataque funciona en versiones antiguas, pero se bloquea en la última actualización.

Por eso los creadores de 7-Zip han pedido a todos los usuarios actualizar a la versión 7-Zip 26.01. Comprueba la versión que tienes, y si no es esa, actualiza inmediatamente. Puedes descargarla de forma segura desde este enlace de TechSpot.

Es un bug grave porque precisamente esta aplicación se usa para comprimr y descomprimir archivos, y tiene cientos de millones de usuarios que descargan desde todo tipo de fuentes, algunas no muy fiables.

Como vemos, los ciberdelicuentes siempre están probando nuevas formas de colar malware, y las aplicaciones populares son su principal blanco.

En las últimas semanas, el nombre de Copy Fail ha sonado bastante. Hablamos de un problema detectado en Linux que está provocando un pequeño caos. En concreto, se ha descubierto un fallo bautizado como Copy Fail que llevaba dentro del kernel de Linux desde 2017.

Pese al trabajo continuo de todos aquellos programadores que se dedican a mantener el sistema limpio y seguro, este error ha pasado totalmente desapercibido para los expertos.

La vulnerabilidad, identificada de forma técnica como CVE-2026-31431, es lo que los informáticos llaman un fallo de lógica. De forma simple, no es que el sistema se haya roto, es que hace algo que no debería bajo unas condiciones muy concretas.

¿Qué es CopyFail?

CopyFail es el nombre informal de una vulnerabilidad del kernel de Linux identificada como CVE-2026-31431, vinculada al subsistema criptográfico y, en concreto, a la interfaz algif_aead. De forma simple, se trata de un fallo lógico en el manejo de ciertas operaciones que permite a un atacante provocar una escalada de privilegios hasta root.

Este precisamente es su gran peligro. Permite una "escalada de privilegios locales" (LPE). Esto significa que cualquier usuario que ya tenga un acceso básico al sistema —un empleado con ciertos permisos o una aplicación con pocos privilegios— puede convertirse en un superusuario que tiene control absoluto sobre el hardware y los datos.

Técnicamente, el fallo aprovecha la manera en que Linux gestiona la memoria intermedia. Cuando el kernel carga un programa para ejecutarlo, lee la información de la "caché de páginas" en lugar de acudir directamente al disco duro cada vez, con la idea de ser lo más eficiente posible. Copy Fail permite modificar esa copia en memoria.

Además, y ya rizando el rizo, al alterar la caché y no el archivo físico en el disco, no se activan los sistemas de defensa.

Un error de cuatro bytes que abre las puertas a una vulnerabilidad tras nueve años en la sombra

El descubrimiento ha venido acompañado de una demostración: un script programado en Python que ocupa menos que un mensaje de texto largo (apenas 732 bytes) y tiene solo diez líneas de código.

Con ese pequeño programa, investigadores de la empresa Theori han demostrado que se puede tomar el control de casi cualquier distribución de Linux actual.

Aunque el ataque no se puede hacer de forma remota por sí solo y necesitas estar dentro del sistema para ejecutarlo, lo peor sucede cuando se combinan con otros fallos.

Por ejemplo, un servidor que tiene cientos de páginas web de distintos clientes. Si un atacante consigue colarse en una de esas webs mediante un fallo normal, podría usar Copy Fail para hacerse con el control de todo el servidor físico y de todos los demás clientes.

Sin ir más lejos, la agencia CISA de Estados Unidos desde un primer momento dio la voz de alarma, afirmando que hubo indicios de que este error fue explotado en el mundo real.

Apenas se hizo público el error, los equipos de seguridad de las distribuciones más importantes se pusieron manos a la obra para protegerse

Por suerte, la comunidad de Linux reacciona a una velocidad increíble. En cuanto se enteraron de la gravedad del asunto, los equipos de las versiones más conocidas de Linux (lo que los informáticos llaman distros) se pusieron a trabajar día y noche para tapar el agujero.

A día de hoy, las versiones más famosas como Ubuntu, Red Hat, Debian y Fedora ya han sacado la solución. Si usas Linux en tu ordenador o usas servidores en tu trabajo, el consejo es muy simple: actualiza ya. Un par de clics para instalar los últimos parches de seguridad te van a ahorrar un disgusto enorme.

Los expertos recomiendan, además de parchear, revisar los registros de actividad o logs en busca de comportamientos raros. Si ves procesos que no deberían tener permisos elevados haciendo cosas extrañas en la memoria, podrías haber sido una de las víctimas de estos primeros ataques.

El "botón de pánico": la idea en Linux para que esto no vuelva a pasar

Lo cierto es que esta no ha sido la única vulnerabilidad descubierta en 2026. El problema no es solo que existan fallos, sino que, una vez que se hacen públicos, los hackers corren más que las empresas que deben arreglarlos, dejando millones de servidores expuestos durante días.

Con esto como base, los desarrolladores han dicho basta y Sasha Levin, uno de los pesos pesados del mantenimiento del kernel de Linux, ha propuesto activar un Killswitch o botón del pánico.

La idea es que, si mañana aparece un fallo crítico en una función específica del sistema, el administrador pueda darle a un interruptor virtual y desactivar esa función al momento, sin esperar a que salga una actualización oficial y, lo más importante, sin tener que reiniciar el ordenador. Es, literalmente, cortar por lo sano para evitar que el problema se siga esparciendo por el kernel.

Esto es algo básico que se debería empezar a hacer de cara a proteger a las empresas que tienen muchos ordenadores con Linux. Por ejemplo, en una empresa con 10.000 servidores, actualizar el kernel y reiniciar cada máquina puede durar días.

Durante todo ese tiempo, la ventana está abierta para los hackers. Con el Killswitch, el administrador lanza un comando y, en segundos, todos quedan protegidos frente a ese ataque. No es la solución definitiva, ya que es vital crear un parche, pero actúa como un perfecto cortafuegos.

Por supuesto, todo tiene una cara B y desactivar funciones del sistema puede romper otras. Si apagas el motor de red para evitar un hackeo, podrías quedarte sin internet. Pero Levin argumenta que es mejor tener una función estropeada temporalmente que tener a un hacker accediendo a todo.

Actualmente, esta propuesta está en fase de revisión y se está debatiendo entre los desarrolladores más expertos de Linux para ver si realmente tiene o no futuro. Como suele ocurrir si hablamos de este SO, no todos están de acuerdo, ya que tocar el núcleo del sistema siempre da respeto,. Sin embargo, parece que el apoyo es mayoritario.

Según el informe de la empresa de seguridad Push Security, los atacantes están utilizando dominios reales asociados a ChatGPT para generar confianza. A simple vista, estos enlaces parecen inofensivos, ya que utilizan la estructura oficial de ChatGPT, lo que reduce la probabilidad de que sistemas de seguridad o filtros web los detecten como peligrosos.

La campaña comienza con anuncios patrocinados en Google que se hacen pasar por descargas oficiales de ChatGPT o versiones de escritorio del servicio. Al hacer clic, el usuario es redirigido a una página que simula un entorno legítimo dentro de un enlace de compartición del chatbot.

En estas páginas falsas se muestra un mensaje diseñado para generar urgencia, como supuestos problemas de mantenimiento o alta carga del sistema. El objetivo es convencer a la víctima de descargar una supuesta aplicación de escritorio que en realidad contiene malware.

Si el usuario continúa con la descarga, lo dirige a dominios externos que imitan la apariencia de software oficial de OpenAI. Desde allí se distribuyen cargas maliciosas tanto para Windows como para macOS, incluyendo herramientas de robo de información conocidas como infostealers.

En algunos casos, el malware es capaz de detectar si está siendo ejecutado en un entorno de análisis o máquina virtual, ocultando su comportamiento para evitar ser descubierto por investigadores de seguridad.

Los expertos señalan que este tipo de ataques forman parte de una tendencia más amplia en la que los ciberdelincuentes utilizan inteligencia artificial para mejorar sus campañas. Esto incluye la creación de mensajes de phishing más realistas, código ofuscado y páginas web diseñadas automáticamente para parecer legítimas.

A medida que estas herramientas de IA se vuelven más accesibles, los expertos advierten que los usuarios deben extremar la precaución al descargar software o hacer clic en enlaces, incluso si parecen provenir de fuentes confiables.

Un grupo de informáticos acaba de encontrar una técnica nueva y un tanto extraña que permite a una página web espiarte analizando, ni más ni menos, el comportamiento físico del disco duro SSD de tu ordenador.

Ha sido bautizado con el nombre de FROST y, al contrario que los virus, esta tecnología no necesita infectar tu equipo con un archivo ni pedirte permisos extraños para cotillear tus datos. Con el simple hecho de que entres a una página web que esconda este truco, el sistema es capaz de monitorizar qué otros sitios tienes abiertos en ese mismo momento en otras pestañas, aunque sea en otros navegadores, y averiguar qué aplicaciones o programas tienes ejecutándose.

Para entender cómo es posible, hay que mencionar lo que los expertos en seguridad llaman canales laterales de competencia. Básicamente, se trata de medir cómo compiten diferentes programas informáticos por usar un mismo recurso del ordenador.

Cuando abres un programa de edición de fotos o cargas un vídeo en otra pestaña, tu disco duro SSD se pone a trabajar. Lo que hace el código espía de FROST es hacer lecturas constantes en su propia parte del disco y cronometrar al milisegundo cuánto tarda en recibir la información.

Si el SSD se retrasa aunque sea una parte ínfima de un segundo, la web sabe que hay otra aplicación tirando de los recursos del disco duro.

El algoritmo que adivina qué estás haciendo midiendo el trabajo que hace el disco duro

Para que entiendas paso a paso cómo funciona, explicarte que, al entrar en una página web que contiene el código de ataque, este utiliza JavaScript para crear un archivo de gran tamaño (de un gigabyte o más) en el sistema de archivos privado del navegador (OPFS), alojado en tu disco duro SSD.

El código de la web empieza a realizar operaciones de lectura aleatoria sobre ese archivo gigante sin parar. Al mismo tiempo, mide con un reloj los milisegundos exactos que tarda el SSD en responder a cada solicitud de lectura.

Cuando tú abres otra aplicación en tu dispositivo o cargas una página web en otra pestaña diferente, esos programas también envían órdenes de entrada y salida de datos (I/O) al mismo disco duro SSD. Como el hardware tiene que procesar todas las solicitudes a la vez, se produce una saturación por la competencia del recurso.

Debido a esa saturación física del SSD, las operaciones de lectura que estaba haciendo la web del atacante empiezan a tener unos pequeños retrasos y variaciones de tiempo, es decir, latencia.

Al cruzar esos registros de velocidad con una inteligencia artificial entrenada, la web puede asociar los patrones de retraso con programas específicos, adivinando si estás usando Spotify, editando un documento de texto o mirando una red social cualquiera.

Para probar si realmente funcionaba, se probó en ordenadores Mac equipados con los procesadores M2 de Apple. También probaron el sistema en ordenadores con sistema operativo Linux, dejando claro en todos los casos que la medición de los retrasos del disco duro funciona exactamente igual de bien.

Aunque el sistema operativo Windows de Microsoft se quedó fuera de las pruebas por falta de tiempo, los autores, que presentarán todo lo obtenido de forma oficial en el congreso de ciberseguridad DIMVA en julio, aseguran que el truco funciona en cualquier plataforma.

El problema aquí es que este sistema espía solo funciona si el archivo de la web y los programas que estás usando están instalados físicamente dentro de la misma unidad de almacenamiento SSD. Esto significa que si tienes un ordenador con dos discos duros diferentes, la página web se quedará totalmente a ciegas y no podrá saber la actividad que ocurre en la segunda unidad.

Para solucionar este problema de seguridad, ya han enviado una serie de propuestas a los grandes desarrolladores de navegadores de internet del mundo.

Ahora nuevamente vuelve a llamar la atención de los medios ante el crecimiento de los delitos de ciberseguridad en España. El robo masivo de datos y la vulnerabilidad de los sistemas institucionales han sido temas discutidos en el reciente juicio.

Por lo visto, el presunto ciberdelincuente habría estado realizando ransomware masivo en administraciones públicas y ahora está pasando por las consecuencias legales.

Cómo se ejecutó el ciberataque al CGPJ y la filtración masiva de datos bancarios de Alcasec

El auge del hacking organizado en Europa es algo de lo que se habla cada vez más y, lamentablemente, ya se han presentado diversos casos de phishing en toda España.

Esta vez el foco está en el hacker José Luis Huertas, alias "Alcasec", de 22 años, quien presenta un juicio tras estar involucrado en un ciberataque ocurrido durante octubre de 2022.

La víctima fue el Punto Neutro Judicial (PNJ) del Consejo General del Poder Judicial (CGPJ), donde hay una conexión con diversos organismos judiciales del país.

Esto quiere decir que varios sectores públicos fueron afectados en el año mencionado, con un ataque organizado que parece que fue diseñado en tres fases:

• Robo de certificados digitales.
• Infiltración en la red SARA.
• Página falsa para obtener credenciales de funcionarios

La estrategia fue considerada como parte de un método phishing institucional y es que con estas acciones, el hacker junto a sus cómplices, logró extraer cuentas internas, mientras que 438.000 consultas de la Agencia Tributaria fueron ejecutadas.

Toda la información manipulada estaba enfocada en la información bancaria ampliada, dando como resultado un total de 574.908 registros de datos bancarios.

La táctica no finalizaba ahí, sino que, después de la recopilación, se vendían a través de una plataforma llamada "uSms" y los interesados podían hacer transacciones para obtener los datos a través de criptomonedas con la pasarela Plisio.

el uso de tecnologías descentralizadas para ocultar operaciones ilícitas. Esta dinámica convierte este caso en un referente dentro del análisis de cibercrimen financiero y economía digital ilegal.

El pacto con la Fiscalía y las claves de la condena con el hacker español

El juicio se llevó a cabo con otros implicados en el delito, como Daniel B.E. y Juan Carlos O.G. (principal comprador de la información extraída a través de la Agencia Tributaria empleando certificados de la DGT y webs falsas).

Tras las evidencias y los cargos, el caso llegó a un acuerdo con los acusados. Alcasec acordó con la fiscalía reducir la pena de 3 años de prisión a 2 años y 7 meses, un lapso que ha conseguido al confesar. Juan Carlos O.G. ha aceptado 2 años y 2 meses y el otro 1 año y 3 meses.

Las autoridades lograron incautar dinero físico y activos digitales, aproximadamente una recuperación de 863.000 euros. Las herramientas para el ciberataque también fueron obtenidas y analizadas.

Alcasec ya se encontraba en prisión provisional por otra acusación con una red de ciberataques de alto alcance y esto se está sumando a su registro.

Una vez más se vuelve a demostrar que en España sigue habiendo puntos críticos en la ciberseguridad y se necesitan expertos que sirvan para contraatacar a los piratas informáticos.

Este es solo uno de los muchos casos que podría haber en curso y por eso es que se recomienda tanto a las empresas como a los usuarios que mantengan sus datos con protección máxima.

Como ocurre varias veces al año, la razón detrás de esto tiene que ver con la evolución del software y la seguridad de la propia aplicación. Mantener una app como esta en sistemas operativos ya bastante anticuados es muy complejo y ya poco se puede hacer en materia de ciberseguridad para que Meta se pueda asegurar de que tus conversaciones están protegidas.

Estos móviles, ya considerados a nivel general como antiguos, no tienen la capacidad ni la potencia para soportar los nuevos sistemas de cifrado, las herramientas de inteligencia artificial o los parches que lanzan para corregir vulnerabilidades.

Por eso, a partir de junio, si tu móvil no cumple con los nuevos requisitos mínimos, la aplicación dejará de abrirse o empezará a dar fallos hasta quedar totalmente inservible.

Móviles Android e iOS que se quedarán sin WhatsApp el 1 de junio de 2026

Yendo al grano, y para los usuarios de Apple, desde junio, WhatsApp solo dará soporte técnico a aquellos smartphones que tengan instalado el sistema operativo iOS 15.1 o una versión posterior.

Esto significa que quedan fuera de la lista de dispositivos compatibles modelos como el iPhone 5s, el iPhone 5c, el iPhone 6 y el iPhone 6 Plus, además de todos los modelos anteriores. Quienes sigan utilizando estos móviles en su día a día, lo cierto es que esta app ya pueden ir borrándola.

Si nos vamos a Android, teniendo en cuenta la cantidad de marcas que hay, esto se vuelve un poco más lioso. Primero, decir que, en una primera etapa, desde el 1 de junio, la aplicación exigirá tener como mínimo la versión Android 5.0. Sin embargo, el próximo 8 de septiembre, el listón subirá todavía más y solo se permitirá el acceso a dispositivos que funcionen con Android 6 o superior.

En cuanto a la lista, aquí la tienes desglosada:

Samsung Galaxy S3, Samsung Galaxy S4 Mini, Samsung Galaxy Ace 4 y Samsung Galaxy Core II. Por otro lado, los modelos de Sony afectados son: Xperia Z, Xperia M, Xperia E1, Xperia L, Xperia SP.

Los móviles de HTC que se quedan fuera son: One M7, Desire 500, Desire 300, Desire 601. También caen algunos de Motorola, como el Moto G (1.ª generación), Moto E (1.ª generación), Moto X (1.ª generación).

Por último, Huawei. Estos son los afectados: Ascend P6, Ascend G6 y Ascend Y530. Si tu móvil actual es alguno de estos o fue fabricado antes de 2014, toca despedirte, al menos, de esta app.

Hay que tener muy en cuenta que, más allá de la molestia que supone quedarte sin poder usar esta aplicación, los expertos en ciberseguridad advierten que estos móviles antiguos se van a convertir en un auténtico chollo para los estafadores.

Cuando una aplicación tan importante como WhatsApp deja de actualizarse en un sistema operativo ya antiguo, cualquier fallo de seguridad que se descubra a partir de ese momento se queda abierto para siempre. Los ciberdelincuentes conocen perfectamente estas listas de móviles obsoletos y las aprovechan para lanzar ataques específicos, sabiendo que las víctimas no cuentan con las defensas necesarias.

Con todo esto, si tu móvil aparece en la lista, comentarte que tu cuenta de WhatsApp y tu número de teléfono no van a desaparecer; simplemente ya no podrás usarlos desde ese dispositivo antiguo. La recomendación principal es entrar hoy mismo a los ajustes de la aplicación y hacer una copia de seguridad completa en la nube.

De esta manera, todas tus conversaciones, fotografías y documentos se guardarán y podrás recuperarlos de forma automática en cuanto configures tu cuenta en un smartphone más moderno.

Añadir otro punto importante. Uno de los grandes trucos es el de utilizar la versión de escritorio de la aplicación o WhatsApp Web a través del navegador de internet del propio móvil viejo. La empresa ya ha confirmado que esta alternativa no servirá de nada, ya que la versión web necesita obligatoriamente que la cuenta principal esté activa y funcionando sin errores en un móvil compatible para poder sincronizar los mensajes.

La empresa le ha cerrado el perfil después de que este informático haya publicado a bombo y platillo varias herramientas y códigos listos para atacar ordenadores con Windows. El investigador acusa directamente a Microsoft de haberle arruinado la vida.

Más allá de este acto en sí, que podría ser calificado como muy poco ético, lo que llama aún más la atención es la frase del investigador. Para que te hagas una idea, Microsoft ofrece recompensas que van desde los 30.000 hasta los 100.000 dólares si les descubres un fallo grave que ellos no conocían. Esta cifra puede subir hasta los 250.000 dólares en casos muy especiales.

El analista asegura que, a pesar de haberles dado información sobre seis fallos críticos de Windows, la empresa no le pagó ni un solo céntimo por su trabajo.

Varias vulnerabilidad de Windows ahora al descubierto ¿por culpa de la propia Microsoft?

Con esto como base, parece que Nightmare-Eclipse se cansó de esperar y publicó sin avisar a nadie un código de ataque llamado BlueHammer, rompiendo el pacto de silencio de 90 días que se suele respetar para dar tiempo a las empresas a arreglar sus errores.

Desde ese momento, las publicaciones en el blog personal del informático han ido escalando en peligrosidad por lo publicado, sumado al enfado contra los responsables de seguridad de Microsoft.

El experto deja muy claro que la empresa ha ignorado por completo todas sus advertencias, ha dejado de hablar con él y, como esto, asegura, le ha causado un gran daño económico, ha llegado a decir que tiene preparado un plan de venganza con más filtraciones para el próximo 14 de julio.

Esta situación lo que ha provocado es una división total de bandos, aunque parece que la comunidad se decanta a favor del investigador. Muchos de ellos afirman que las grandes compañías funcionan cada vez peor por culpa de los recortes.

Algunos expertos comentan que Microsoft podría haber despedido a parte de sus mejores técnicos para ahorrar costes, dejando el trabajo en manos de personal no demasiado cualificado.

De hecho, se rumorea que el caso de este programador se cerró simplemente porque se negó a enviar un vídeo demostrando cómo funcionaba el fallo, un requisito que Microsoft pide ahora, pero que muchos ven absurdo si el código ya demuestra el error por sí solo.

De momento, Microsoft ha preferido guardar silencio y no ha dado detalles sobre los motivos de la expulsión ni sobre el estado de los fallos encontrados.

Sin embargo, la comunidad está abiertamente en contra de echar al usuario de GitHub, ya que se considera una medida que no soluciona nada. Teniendo en cuenta que ya ha sido todo publicado, el código probablemente ya lo han copiado otras personas y el analista simplemente se ha ido a GitLab.

En cuanto a qué es realmente lo que ha descubierto, hablamos de fallos denominados como BlueHammer y RedSun, que son capaces de tomar el control total de un ordenador utilizando debilidades del propio antivirus Windows Defender.

También diseñó UnDefend (gracias a una brecha descubierta), una utilidad específica para apagar por completo las defensas de Windows, y GreenPlasma, que se infiltra en los equipos a través del sistema de texto. Por si fuera poco, su última filtración, llamada YellowKey, permite saltarse el cifrado de disco BitLocker, abriendo los ordenadores protegidos sin problema alguno.

Entre las aplicaciones imitadas aparecían nombres reconocibles como TikTok, Minecraft, Grand Theft Auto, Threads o Facebook Messenger. Una vez instaladas, estas apps activaban suscripciones premium sin permiso del usuario, generando cargos automáticos que terminaban reflejándose en la factura mensual del operador móvil.

El malware destacaba por utilizar técnicas especialmente avanzadas para evitar ser detectado. Según los investigadores, algunas variantes empleaban inyección de código JavaScript, automatización de páginas ocultas y hasta interceptación de códigos SMS de un solo uso. Todo ello permitía completar registros automáticos en servicios de pago sin que la víctima llegara a darse cuenta.

Los atacantes seleccionaban objetivos concretos dependiendo de la tarjeta SIM y del operador telefónico utilizado. Más de la mitad de los afectados estaban en Malasia, aunque también se detectaron víctimas en Tailandia, Rumanía y Croacia.

El software malicioso incluso mostraba páginas aparentemente inocentes si detectaba que el usuario no pertenecía a una operadora concreta, dificultando todavía más su descubrimiento.

Uno de los elementos más preocupantes del informe es que algunos de los ataques utilizaban funciones legítimas de Android, como la API de recuperación de SMS o herramientas internas para gestionar cookies. Esto permitía mantener sesiones activas con los portales de facturación de las compañías telefónicas y automatizar completamente el fraude.

Desde Google aseguran que ninguna de estas aplicaciones estaba disponible en la tienda oficial Google Play y recuerdan que Google Play Protect protege automáticamente frente a versiones conocidas del malware.

Aun así, expertos en ciberseguridad consideran que el caso demuestra las dificultades actuales para controlar las aplicaciones distribuidas fuera de las tiendas oficiales.

De forma casi imparable, este fallo ha dado pie a un efecto dominó que afecta a los servidores que hacen funcionar a los agentes de inteligencia artificial de las mayores empresas de tecnología.

El problema que han encontrado precisamente está en que estos sistemas usan un protocolo para conectarse con bases de datos externas, cuentas de correo electrónico, calendarios y todo tipo de archivos de los usuarios. Para poder entrar a todo esto y ayudarte en el día a día, estos agentes de IA necesitan guardar de forma segura las contraseñas y credenciales de acceso.

Con este agujero de seguridad recién descubierto, los atacantes tienen la puerta totalmente abierta para entrar sin problema alguno a esos espacios protegidos y llevarse todo lo que haya dentro.

Una grave vulnerabilidad que deja en jaque a los grandes agentes de IA

El fallo ha sido bautizado por los expertos con el nombre de BadHost y está registrado oficialmente bajo el código CVE-2026-48710. Lo que más preocupa a los expertos en ciberseguridad no es solo la cantidad de servidores expuestos, sino lo fácil que es explotarlos para cualquiera con conocimientos bastante básicos.

Si un sistema no se encuentra protegido por un cortafuegos configurado sin error alguno, el ataque funciona de forma casi automática.

Además de afectar a FastAPI, que es la estructura que usan casi todos los programadores de Python para crear servicios web, el agujero ha salpicado a herramientas vitales de inteligencia artificial como vLLM y LiteLLM, que se usan cada día para ejecutar y gestionar los modelos de lenguaje más potentes.

Ahora bien, ¿qué es realmente lo que ha sucedido para que esto ocurra? Tal y como explican los expertos, el ataque consiste en inyectar un solo carácter extraño en la cabecera de la petición web que se envía al servidor.

Cuando Starlette recibe esa petición, se confunde por completo a la hora de reconstruir la dirección web y procesar la ruta de acceso. Al interpretar la información mal, el sistema colapsa y se salta por completo las barreras de autenticación.

En pocas palabras, el programa cree que quien quiere acceder tiene permiso para entrar. Directamente se lo da sin pedirle ninguna contraseña.

Por suerte para todos, uno de los desarrolladores de Starlette lanzó hace unos días la versión 1.0.1, que soluciona este fallo. El problema ahora es de tiempos. Aunque el parche ya existe y es gratuito, son los administradores de sistemas y las empresas de IA de todo el mundo los que tienen que descargarse la actualización, probar que se puede integrar en sus herramientas y aplicarla en sus servidores lo antes posible.

Por suerte, el experimento ha sido descubierto por hackers de seguridad de China y Singapur, y no por ciberdelincuentes. Van a presentar su estudio en el Simposio del IEEE sobre Seguridad y Privacidad. De momento no hay un “antídoto” para solucionar el problema.

Los asistentes personales con voz tipo Siri o Alexa existen desde hace una década, pero lo que podían hacer era muy limitado. Ahora los chatbots con IA como ChatGPT o Gemini tienen acceso a nuestros datos y pueden manipular el móvil o PC, por eso este tipo de ataques son mucho más peligrosos.

Hackeando un chatbot con un sonido inaudible

Imagina que estás escuchando una canción que te has bajado de Internet, o viendo un vídeo en TikTok o YouTube. Sin que lo sepas, porque es inaudible, una onda de sonido introducida en la música por un ciberdelincuente, es escuchada por el chatbot de inteligencia artificial que tienes activo, porque ha sido diseñada para eso.

Este audio pirata contiene órdenes que le dicen a la IA que busque tus datos personales, u otro contenido, y se los envíe a los ciberdelincuentes. Es un hackeo sin necesidad de instalar malware, indetectable por los antivirus.

“Solo se tarda media hora en entrenar esta señal y, dado que es independiente del contexto, se puede utilizar para atacar el modelo objetivo en cualquier momento, independientemente de lo que diga el usuario”, explica el autor principal, Meng Chen, de la Universidad de Zhejiang (China), en la web de IEEE Spectrum. “Estas defensas puntuales tienen dificultades para resistir nuestro ataque porque hemos descubierto que a estos modelos les resulta muy difícil distinguir entre la intención normal del usuario y nuestro ataque adversario”.

La única condición es que los hackers tengan acceso al código de la IA, algo que hoy en día es fácil porque muchas IA de Microsoft, Mistral, Meta o DeepSeek, son de código abierto.

Microsoft ya está al tanto de la vulnerabilidad, y la ha comentado en un comunicado: “Agradecemos el trabajo de los investigadores por contribuir a una mejor comprensión de este tipo de técnicas. El estudio evalúa la resiliencia de los modelos mediante interacciones controladas y directas con el propio modelo, lo que nos ayuda a definir nuestro enfoque para desarrollar la resiliencia de los modelos. Ofrecemos a los desarrolladores herramientas y orientación que pueden utilizar para implementar capas adicionales de protección que ayuden a salvaguardar a los usuarios”.

No aclara cómo van a combatirlo, porque por ahora no hay una solución directa. La onda de voz hacker está diseñada para que la IA no la distinga de una orden de su usuario, así que es difícil de detectar.

Por ahora, si usas una IA de código abierto con acceso a tus datos, algo bastante frecuente si utilizas Ollama u OpenClaw, apaga la IA o cierra el micrófono de tu dispositivo cuando escuches música de Internet. Por si acaso...

Si tienes un ordenador con Windows 11, deberías tener muy en cuenta esta nueva cuenta atrás que los de Redmond han decidido iniciar. En junio de 2026, los certificados originales del sistema de Arranque Seguro (conocido como Secure Boot), que han existido desde el año 2011, van a caducar.

Para que te hagas una idea, esta tecnología es la que se encarga de revisar que nadie haya metido un virus en tu PC antes de que se cargue el sistema operativo. Para evitar que millones de PC se vuelvan vulnerables de golpe o dejen de encender, Microsoft ahora mismo está en pleno despliegue para instalar unas nuevas claves criptográficas directamente en la placa base de los usuarios.

El problema es que, como este cambio implica tocar directamente el firmware del ordenador, el proceso es muy delicado y no todos los usuarios están seguros de que la compañía vaya a hacer las cosas correctamente.

Para aclarar las cosas, altos cargos de seguridad de Microsoft han explicado punto por punto todo el proceso. La compañía ha dejado muy claro cómo va a funcionar, qué ordenadores se actualizarán solos y, sobre todo, las consecuencias si decides saltarte los avisos.

Un punto importante a comentar es que el sistema de actualización es lo suficientemente inteligente como para no dejar fritos ordenadores antiguos por error.

Si tu PC es muy viejo y todavía utiliza el sistema de arranque clásico, Windows detectará automáticamente que el equipo no es capaz de ejecutar el Arranque Seguro y se saltará el proceso sin problema aparente alguno.

Sin embargo, hay un requisito muy importante para los ordenadores más actuales: el Arranque Seguro debe estar activado en el menú de la placa base para recibir las claves de 2023. Si lo tienes desactivado, Windows bloqueará la actualización para evitar problemas al encender.

¿Qué pasa si decides no actualizar? La respuesta de Microsoft es bastante clara

La compañía ha sido clara y tu PC, en caso de no actualizar, se va a convertir en una máquina totalmente inservible el día que llegue la fecha límite de junio de 2026 y funcionará totalmente desprotegida.

Al no tener instaladas las nuevas claves, tu ordenador no podrá ejecutar las versiones del gestor de arranque de Windows. Además, Microsoft dejará de enviarte parches de seguridad del sistema operativo.

Por suerte para ti, saber si tu ordenador ya se ha actualizado es muy fácil gracias a los últimos parches de Windows 11. Solo tienes que abrir la aplicación de Seguridad de Windows, pinchar en la sección de Seguridad del dispositivo y buscar el apartado dedicado al Arranque Seguro.

Si te aparece un icono de verificación en color verde, significa que tu ordenador ya cuenta con los nuevos certificados de 2023 y que no tienes nada más que hacer. Si te aparece un aviso amarillo o rojo, el propio sistema te guiará con los pasos a seguir.

Por supuesto, estas claves también se van a caducar en no demasiados años. Microsoft ha comentado que tienen una fecha de caducidad fijada en el año 2038. No obstante, se prevé que, a partir del año 2030, entrará en vigor una orden global para implementar la criptografía poscuántica.

Esto significa que los ordenadores de dentro de unos pocos años ya vendrán de fábrica con certificados preparados para aguantar ataques de ordenadores cuánticos. Eso sí, todo esto te obligará a repetir este proceso dentro de unos años.

Se han necesitados cuatro años de investigación y la participación de agentes, investigadores y hackers policiales de 16 países, para desmantelar una VPN que “ha aparecido en casi todas las investigaciones importantes sobre ciberdelincuencia respaldadas por Europol en los últimos años”.

Los cibercriminales usaban First VPN para ocultar sus pasos, realizar ataques de ransomware, esconder infraestructura, practicar robos de datos e identidad, fraudes y estafas, y otras actividades ilegales.

Así operaba First VPN

La policía europea ha cerrado los dominios 1vpns.com, 1vpns.net, y 1vpns.org, y ha capturado la base de datos con sus usuarios, que han sido identificados.

La investigación comenzó en 2021, como Europol descubrió en foros de hackers de habla rusa, la existencia de una VPN montada con el único propósito de ocultar actividades delictivas.

Expertos de Francia y Suecia, en colaboración con la firma de seguridad rumana BitDefender, comenzaron a investigar para dar con los responsables de esta herramienta de anonimización.

Precisamente por su carácter anónimo y de ciberseguridad, la investigación requirió varios años y la participación de hasta 16 países, entre ellos España, para localizar a sus administradores en Ucrania, así como 33 servidores ubicados en 27 países de Europa.

El pasado 19 de mayo se inició la operación de arresto que acabó con la detención de los responsables, y la desmantelación de la infraestructura de la VPN maligna.

Igual de importante que eliminar esta capa de anonimato de los ciberdelincuentes, es que la información obtenida de su base de datos ha permitido investigar a 506 usuarios de esta VPN, y se ha ha avanzado en 21 investigaciones de Europol.

Una policía al servicio de la Unión Europea

“Durante años, los ciberdelincuentes consideraron este servicio de VPN como una puerta de acceso al anonimato. Creían que les mantendría fuera del alcance de las fuerzas del orden. Esta operación demuestra que estaban equivocados", explica Edvardas Šileris, Director del Centro Europeo contra la Ciberdelincuencia de Europol.

Y continúa: "Su desactivación elimina una capa de protección fundamental de la que dependían los delincuentes para actuar, comunicarse y eludir a las fuerzas del orden”.

El cibercrimen no descansa, pero la policía europea tampoco. La colaboración de todos los países es vital para resolver los casos más difíciles.

Una vulnerabilidad con nombre YellowKey permite a cualquiera saltarse por completo esa protección. Lo único que necesita es tener el ordenador delante, apagarlo y meterle un pendrive modificado en el puerto USB.

Lo peor es que esta alerta llega un poco tarde, ya que los detalles de este hackeo ya se han filtrado sin que a Microsoft le haya dado tiempo de corregirlo. El error ha sido registrado de forma oficial con el código CVE-2026-45585 y afecta a las versiones más actuales del sistema operativo, incluyendo Windows 11 y Windows Server 2025.

Teniendo en cuenta que el mapa para llevar esto a cabo ya se ha publicado, a Microsoft no le ha quedado más remedio que publicar una guía de urgencia con instrucciones manuales para que los administradores de sistemas de las empresas puedan tapar el agujero.

Tal y como el experto bajo el pseudónimo de Chaotic Eclipse comenta (es quien ha descubierto este agujero), el problema de BitLocker no está en el sistema de cifrado en sí, sino en el entorno de recuperación de Windows (el menú de pantalla azul WinRE que sale cuando el ordenador falla).

El ataque aprovecha un exceso de confianza del propio sistema informático. Al colocar unos archivos especiales con el formato FsTx dentro de una memoria USB y conectarla al equipo, el atacante puede forzar al ordenador a reiniciarse en el modo de recuperación.

El truco sucede precisamente durante el arranque en esa pantalla de recuperación: si el atacante mantiene pulsada la tecla Control en un momento muy concreto del inicio, el sistema operativo se confunde y abre una ventana de comandos del sistema con los máximos permisos posibles. A partir de ese momento, tiene vía libre y sin restricciones a todos los archivos que supuestamente estaban protegidos.

La solución definitiva: es hora de volver a usar un código PIN

Más allá de esa guía manual que ha publicado Microsoft, la compañía ha comentado en su comunicado que hay que dejar de confiar solo en el chip automático del ordenador. Están aconsejando a todas las empresas cambiar su configuración de BitLocker al modo TPM+PIN.

Es decir, quieren que las empresas dejen a un lado esa configuración de BitLocker de modo solo TPM.

Con este sistema, al que se le añade el PIN, el chip de seguridad ya no desbloqueará el disco duro por su cuenta al encender el equipo; en su lugar, obligará al usuario a teclear un código PIN en una pantalla negra de seguridad antes de que el propio Windows empiece a cargarse.

De esta forma, si un hacker intenta usar el truco de la memoria USB bajo esta configuración, se topará con una segunda barrera que directamente resultará infranqueable.

El problema es que hablamos de GitHub y aquí trabajan más de 180 millones de desarrolladores y unas cuatro millones de organizaciones en todo el planeta. Básicamente, el 90% de las empresas de la lista Fortune 100 guarda su código allí.

El ataque fue tan rápido que los sistemas de defensa no lo detectaron a tiempo e inyectaron más de 5.700 modificaciones de código (commits) en un total de 5.561 repositorios independientes.

El ataque no tuvo que hackear los ordenadores de los programadores uno por uno. En lugar de eso, se dedicó a meter el código malicioso en los sistemas automáticos que usan las empresas para preparar, probar y subir sus aplicaciones a internet.

Para conseguirlo, los hackers usaron cuentas falsas con nombres aleatorios. Además, se hicieron pasar por los robots automáticos de mantenimiento que las propias empresas configuran. Para cualquiera que revisara el historial del trabajo, el cambio parecía una actualización normal sin problemas aparentes.

Pero el verdadero peligro de Megalodon está en las dos opciones que los atacantes crearon para que todo saliese perfecto. La primera, llamada SysDiag, era una versión del ataque que hacía que el código malicioso se ejecutara de forma automática cada vez que alguien subía un cambio al proyecto.

La segunda variante, llamada Optimize-Build, era más peligrosa: cambiaba las tareas por una orden silenciosa que se quedaba dormida. Esto permitía a los atacantes activar el hackeo a distancia cuando quisieran.

Lo peor que puede suceder con este ataque es que acabe salpicando a un proyecto importante que, a su vez, contagie a miles de empresas más. Eso es exactamente lo que le pasó a Tiledesk, una plataforma de chat en vivo que usan muchas páginas web.

Los atacantes eligieron este proyecto como su blanco principal y metieron la variante Optimize-Build directamente en sus archivos. El creador de la plataforma, sin saber que algo malo estaba sucediendo, siguió con su día a día y publicó las nuevas versiones de su programa, repartiendo el problema a cualquiera.

Una vez que todo se ponía en marcha, el código infectado iniciaba un robo total de información en los servidores de las empresas afectadas. El virus se llevaba claves de Amazon Web Services (AWS), códigos de acceso de Google Cloud, contraseñas de bases de datos y llaves de seguridad de Azure.

Por suerte, la empresa de seguridad SafeDep consiguió dar la voz de alarma gracias a un sistema automático que detectó el código escondido dentro del programa de Tiledesk. Tras investigar lo que estaba pasando, descubrieron que todos los caminos llevaban a un único servidor central controlado por los hackers bajo la dirección de internet 216.126.225.129:8443. Parece que este fallo ya se está cerrando para que todo quede perfectamente limpio.

No es el único hackeo a GitHub: TeamPCP ha robado unos 4.000 repositorios con código interno

Aunque perfectamente podría estar relacionado, lo cierto es que hablamos de dos casos totalmente distintos. Hace unos días, se pudo saber que el grupo de ciberdelincuentes TeamPCP afirmaba haber conseguido entrar en la infraestructura privada de la plataforma y haber robado unos 4.000 repositorios con código interno.

Por si fuese poco, han puesto un anuncio de venta en el foro Breached pidiendo un mínimo de 50.000 dólares a quien quiera hacerse con lo secuestrado. Estos han dejado claro que su idea no es extorsionar a la propia GitHub.

Prefieren que sea un comprador individual el que se haga con todo. Tal y como afirman, si nadie paga, lo van a filtrar todo de forma totalmente gratuita.

Por ahora, la compañía propiedad de Microsoft ha querido mandar un mensaje de calma. Confirman que están investigando este "acceso no autorizado" a sus repositorios internos, pero aseguran que, con los datos que tienen ahora mismo sobre la mesa, no hay pruebas de que el código o la información privada de los clientes finales se haya visto afectada.

Lo peor de todo es que este fallo lleva años circulando por Google y, debido a un despiste, la compañía lo ha filtrado por accidente en su foro público antes de lanzar un parche real que lo solucione.

Que Chromium sea el protagonista significa que esto afecta a Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi o Arc. Si usas cualquiera de ellos, estás expuesto.

La alerta la dio en su momento Lyra Rebane, una investigadora de ciberseguridad que descubrió el problema en diciembre de 2022. La experta avisó a Google de que un atacante podía usar los llamados Service Workers (unos scripts que los navegadores usan en segundo plano para tareas como gestionar descargas) para mantener la web ejecutándose para siempre. Al entrar en el sitio web corrupto, el código se queda anclado a tu dispositivo.

Esto abre las puertas a lo que se conoce como una botnet y los ciberdelincuentes pueden usar tu conexión para lanzar ataques de denegación de servicio (DDoS) contra otras empresas, ocultar tráfico ilegal usando tu dirección IP o redirigir tu navegación sin que te enteres.

El problema de todo esto, teniendo en cuenta que hablamos de 2022 y ahora un error enorme de filtración, es que, aun así, un desarrollador de la propia empresa avisó a finales de 2024 de que esto era una vulnerabilidad seria y que requería prioridad absoluta.

Pues han tenido que pasar otros dos años más (en febrero de 2026) para que se pusiesen manos a la obra. Tras esto, los sistemas automáticos marcaron el fallo como solucionado para poder tramitar la recompensa de 1.000 dólares a la investigadora. El problema es que el parche real nunca se llegó a enviar a las actualizaciones de los usuarios, pero el software de Google creyó que el trabajo ya estaba hecho y programó una cuenta atrás.

El gran error de Google: El temporizador que desató el pánico

Dejando totalmente a un lado el proceso habitual a la hora de tratar los fallos resueltos, el rastreador de errores de Chromium retiró de forma automática todas las restricciones de privacidad el 20 de mayo, al cumplirse las 14 semanas desde que el caso se marcó como cerrado en el sistema informático.

En ese momento, los detalles técnicos del fallo quedaron expuestos a los ojos de cualquier persona, incluidos los hackers. Al darse cuenta de la apertura del hilo, Lyra Rebane decidió descargar las versiones de prueba más recientes de Chrome y Edge para comprobar lo bien que funcionaba la solución de Google, llevándose la sorpresa.

El parche de seguridad era inexistente. Al ejecutar la prueba de concepto en Chrome Dev 150 y Edge 148, comprobó que el fallo seguía estando. De hecho, la situación era incluso más preocupante que en 2022: debido a cambios en el diseño del propio navegador, la pequeña ventana emergente que antes avisaba de que había una descarga en curso ya no aparecía. La ejecución de código se había vuelto completamente invisible para la víctima.

Aunque Google reaccionó a las pocas horas devolviendo el hilo al estado privado, el error de que todo estuviese expuesto duró el tiempo suficiente para que los datos técnicos circularan libremente por internet.

Ahora que los detalles del código son de dominio público, la pelota está en el tejado de Google, que se ha visto obligada a activar su gabinete de crisis. Lo más probable es que veas actualizaciones de emergencia en los ordenadores en las próximas horas para tapar un agujero que ya debía estar corregido hace bastantes años.

Mientras tanto, la recomendación, mientras los ingenieros lanzan el parche definitivo, es extremar la precaución al usar internet, evitando hacer clic en enlaces raros o visitar páginas web extrañas que puedan activar estos scripts invisibles. Alternativamente, utilizar de forma temporal navegadores basados en motores totalmente independientes, como Firefox, no es del todo una mala idea.

Algunos de los problemas de seguridad de Windows 11 provienen de los ficheros heredados que contiene, para asegurar la compatibilidad con el hardware y software de hace décadas. Es algo de lo que no se puede culpar a Microsoft: muchas empresas siguen usando aplicaciones de hace décadas. Y resulta importante que instales un viejo juego o programa del siglo pasado, y siga funcionando en Windows 11.

Pero a veces hay debate sobre si un fichero heredado causa más problemas de los que soluciona. Parece que es el caso de MSHTA, según BitDefender.

MSHTA, un coladero de malware

Microsoft HTML Application Host o Host de aplicaciones HTML de Microsoft, abreviado a MSHTA, es un fichero ejecutable (mshta.exe) incluido en Windows 11, que tiene más de 30 años. Era una de las herramientas asociadas al navegador Internet Explorer.

El mítico navegador de Microsoft, que fue el más usado del mundo hasta que llegó Chrome, ya ha desaparecido de Windows, pero no así MSHTA.

Se trata de un software que ejecuta aplicaciones HTML con extensión .hta. Estas aplicaciones son una mezcla de HTML y lenguajes de script como VBScript o JScript. En el pasado se usaba para ejecutar apps de escritorio que empleaban el motor de Internet Explorer.

Microsoft ha detectado que hay gente que aún usa estas aplicaciones, por eso lo mantiene. El problema, según BitDefender, es que los ciberdelincuentes están usando MSHTA para introducir malware en el PC como LummaStealer, Amatera, ClipBanker, PurpleFox y CountLoader.

Lo que hacen es ejecutar scripts HTA a través de MSHTA para introducir malware directamente en memoria, sin necesidad de usar ficheros infectados, sorteando así los antivirus. Como MSHTA es una aplicación legítima de Windows, no levanta sospechas por sí misma.

BitDefender ha rastreado el uso de MSHTA en campañas masivas de distribución de malware y en amenazas más sofisticadas orientadas al sigilo, la persistencia y el control prolongado de sistemas comprometidos.

Hay poco que se pueda hacer, porque si borras mshta.exe, al ser un archivo del sistema, Windows volverá a instalarlo. Puedes bloquearlo aplicando políticas de grupo, para que no se ejecute. Pero lo más seguro sigue siendo lo de siempre, hace un examen rápido de tu sistema con el antivirus de vez en cuando.

Los sistemas heredados de Windows son necesarios, pero pueden ser usados para instalar malware, como ocurre con MSHTA. Por eso hay que estar siempre alerta frente a comportamientos extraños de tu ordenador. Tienes más información técnica sobre esta investigación en la web de BitDefender.

Tal y como algunos afirman, esta tecnología es tan potente que ha obligado al Instituto de Seguridad de la IA del Reino Unido (AISI) a emitir un informe de advertencias. Aseguran que las capacidades de este modelo son tan grandes que es capaz de colarse en redes informáticas con una facilidad que no se había visto hasta ahora.

Todo este alarmismo nace de una prueba controlada en la que Mythos simuló entrar en la red informática de una gran corporación. La idea de estos experimentos, conocidos como capturar la bandera, es que una máquina debe intentar romper las defensas de otra.

La IA de Anthropic no solo superó las expectativas, sino que completó con éxito un ataque simulado de 32 pasos que ningún otro modelo en la historia había conseguido resolver.

Ante esta situación, la propia Anthropic ha decidido curarse en salud y ha publicado su propio informe de evaluación técnica. En él describen a Claude Mythos como un sistema de propósito general, pero con unas habilidades de ciberseguridad tan avanzadas que se considera una herramienta de "doble uso".

Esto significa que sirve tanto para que un informático bueno busque fallos en su empresa y los arregle, como para que un atacante tire por completo una infraestructura crítica. Por este motivo, la compañía sigue con esa idea de, por el momento, no lanzar el modelo al público general y mantener un acceso cerrado y vigilado.

Claude Mythos ha encontrado fallos críticos en "todos los grandes sistemas operativos y navegadores"

Las pruebas con esta IA no paran y para muchos la preocupación ya es extrema. Sin ir más lejos, la compañía afirma que esta IA ha localizado fallos críticos en casi todos los grandes sistemas operativos y navegadores web del mercado.

La situación ha escalado tanto que Anthropic ha sido llamada a declarar ante el Consejo de Estabilidad Financiera (FSB), el organismo internacional que vigila los riesgos económicos del G20. De hecho, Andrew Bailey, gobernador del Banco de Inglaterra, ha sido quien ha coordinado la comparecencia de urgencia de la empresa ante los reguladores globales.

La preocupación del FSB y de los bancos no se centra en las intenciones de Anthropic, sino en lo que podría suceder si cae en malas manos. Si una IA puede automatizar la búsqueda de fallos críticos en el software de gestión bancaria, el riesgo de un ataque es inevitable y sus consecuencias podrían ser potencialmente devastadoras.

Sin embargo, los expertos en seguridad piden mantener la calma y no tratar a Claude Mythos como si fuera el principio del fin de la ciberseguridad mundial.

Varios expertos del sector coinciden en que esta inteligencia artificial "amplifica los problemas actuales, pero no los soluciona". Esto significa que la IA no inventa formas de hackear mágicas; lo que hace es explotar de manera muy rápida los fallos de siempre: contraseñas débiles, sistemas que llevan meses sin actualizarse y malas costumbres de higiene digital por parte de los empleados. La base del peligro sigue siendo el descuido humano.

Dejan bastante claro que, por muy inteligente que sea el algoritmo de Anthropic u otros que salgan en el futuro, siempre se van a encontrar con un muro: el que la propia empresa decida levantar con su propia ciberseguridad.

La magia de Mythos es que es capaz de leer millones de líneas de código y encontrar fallos que han estado ahí durante 20 años sin que nadie los viera. Quizá esta sea la oportunidad de oro para que todas esas compañías revisen realmente lo que tienen por debajo de sus infraestructuras.

El problema se agrava cuando es GitHub la plataforma de la que hablamos: en ella trabajan más de 180 millones de desarrolladores y unos cuatro millones de organizaciones en todo el planeta. Básicamente, el 90% de las empresas de la lista Fortune 100 guarda su código allí.

Por ahora, la compañía propiedad de Microsoft ha querido mandar un mensaje de calma. Confirman que están investigando este "acceso no autorizado" a sus repositorios internos, pero aseguran que, con los datos que tienen ahora mismo sobre la mesa, no hay pruebas de que el código o la información privada de los clientes finales se haya visto afectada.

Sin embargo, el grupo TeamPCP, que no son precisamente unos novatos en este campo, ha puesto un anuncio de venta en el foro Breached pidiendo un mínimo de 50.000 dólares a quien quiera hacerse con lo secuestrado. Estos han dejado claro que su idea no es extorsionar a la propia GitHub.

Prefieren que sea un comprador individual el que se haga con todo. Tal y como afirman, si nadie paga, lo van a filtrar todo de forma totalmente gratuita.

El currículum de TeamPCP pone a temblar a cualquier gran empresa

En los últimos meses se les ha relacionado con varios ataques dirigidos contra plataformas utilizadas por desarrolladores, como Docker, PyPI o NPM.

Este grupo se ha especializado en lo que técnicamente se conoce como ataques a la cadena de suministro. En lugar de intentar echar abajo la ciberseguridad de una gran multinacional, lo que hacen es infectar las herramientas de desarrollo, los lenguajes de programación o las plataformas de automatización que los programadores usan cada día, como las antes comentadas.

Esta es la forma de distribuir malware más fácil que existe, teniendo en cuenta los millones de personas que usan estas herramientas. Llega de golpe a miles de empresas sin apenas hacer ruido.

En cuanto a su modus operandi, se ha descubierto que usan scripts que leen la memoria de los servidores de desarrollo en busca de contraseñas de acceso y tokens de seguridad que los ingenieros se dejan olvidados por descuido.

Esto se considera una llave maestra, por lo que, una vez que la tienen, van de un proyecto a otro de forma automatizada, acumulando información. En el caso de GitHub, si consiguen analizar el código fuente de cómo funciona la propia plataforma, podrían encontrar fallos de estructura que les permitan crear ataques devastadores.

La situación en GitHub pende de un hilo muy fino y no solo por los ciberataques

Lo cierto es que la plataforma no está atravesando un buen año. A este tipo de problemas que empañan la imagen del considerado como hogar predilecto de millones de desarrolladores, se le suman las quejas y problemas que estos mismos ya no están dispuestos a soportar.

Sin ir más lejos, Mitchell Hashimoto, creador de Ghostty (una de las apps de terminal más top de la actualidad) y usuario número 1.299 en registrarse en GitHub en 2008, ha decidido hacer las maletas. Ha anunciado que se lleva sus proyectos grandes a otra parte porque ya no puede confiar en el servicio.

Como ha explicado Hashimoto, parece que no se ha ido por un fallo puntual, por muy desastroso que sea. Se habla de un gran cúmulo de errores.

El desarrollador decidió llevar un diario durante un mes, marcando con una X cada día que un fallo de GitHub le impedía trabajar. Casi todos los días tenían una marca. En su última entrada explicaba que no pudo revisar ni una sola línea de código durante dos horas porque el sistema de automatización (GitHub Actions) estaba caído.

Como él mismo dice, GitHub ya no es un lugar para el "trabajo serio" si te bloquea durante horas todos los días.

El gran problema es que, ahora que la plataforma es más grande, parece que el mantenimiento se les está yendo de las manos. La sensación es que se han centrado tanto en meter nuevas funciones y en integrar la inteligencia artificial en cada rincón (exactamente como está ocurriendo con Windows 11) que se han olvidado de lo más básico.

Según la investigación que se ha llevado a cabo, el incidente no ha afectado a datos de clientes ni a sistemas, por lo que afirman que el impacto no ha sido extremo. Aun así, el robo de código es algo que hay que tomarse muy en serio.

Los responsables de Grafana afirman que detectaron la actividad sospechosa recientemente y activaron de inmediato un protocolo para hacer frente a este problema. Eso incluyó el cierre de accesos, la invalidación de credenciales robadas y el inicio de una auditoría para realmente saber cómo los atacantes consiguieron entrar.

Pero esto no se ha quedado aquí y los hackers han querido ir más allá. Quieren sacar provecho de lo robado y están tratando de extorsionar a la compañía. Exigen un pago a cambio de no publicar el código robado. Sin embargo, la empresa ha decidido no ceder al chantaje, siguiendo las recomendaciones básicas de ciberseguridad.

Una decisión que no es sencilla: no ceder al chantaje aunque tu código fuente penda de un hilo

Esto es algo que, aunque parezca complicado (realmente lo es), sigue al pie de la letra las indicaciones de organismos como el FBI. Este lleva años advirtiendo de que el pago de rescates no garantiza que vayas a recuperar los datos y, además, alimenta este tipo de ataques. Puedes encontrarte con otro nuevo chantaje si decides pagar el primero y ellos ven realmente tu desesperación por recuperar lo robado.

Tal y como se ha podido saber, el grupo detrás del ataque no ha sido confirmado oficialmente, aunque todo apunta a una organización conocida como CoinbaseCartel. Este grupo se dedica de forma íntegra y especializada al robo de datos y la extorsión.

Tras haber investigado a fondo lo sucedido, parece que los atacantes habrían tenido acceso al entorno de desarrollo durante un periodo de tiempo aún no determinado. El hecho de desconocer esto es lo que realmente pone los pelos de punta. Podrían haber estado horas copiando código, viendo repositorios internos y moviéndose sin ser detectados.

Grafana ha dejado claro que, al menos tras lo investigado, no hay indicios de que los sistemas de clientes fueran accesibles desde el entorno que ha sido comprometido. Sin embargo, esto tan solo podría ser el principio de una oleada de malware que podría venir después.

Una situación que Claude ha vivido recientemente y que los hackers ya están usando para colarte 'malware'

Sin ir más lejos, hace poco más de un mes, Anthropic sufrió algo parecido con Claude. En este caso no fue un robo como tal, pero parte de su código interno quedó expuesto por un fallo en el empaquetado de una actualización.

El problema es que todo ese material empezó a circular por repositorios públicos como GitHub. Este error rápidamente se convirtió en un imán para hackers que vieron una oportunidad perfecta.

A los pocos días, expertos en ciberseguridad detectaron campañas donde el nombre de Claude se utilizaba como gancho para distribuir software malicioso. Los atacantes crearon repositorios falsos que prometían versiones mejoradas o desbloqueadas del código filtrado, pero en realidad venían con programas creados para robar datos.

Una vez descargados, podían instalar infostealers, programas que buscan contraseñas, credenciales de acceso o incluso datos bancarios almacenados en el navegador del usuario.

Lo cierto es que esta IA, a finales de abril de 2026, cayó como una bomba en el sector, poniendo patas arriba lo que hasta ahora se consideraba como IA potente.

Anthropic anunció que Claude Mythos, era tan "peligrosamente bueno" encontrando fallos de seguridad que no podían lanzarlo al público todavía. De ahí que solo unas pocas empresas tendrían acceso controlado para parchear los problemas que encontrasen antes de que el resto del mundo pudiera probarlo.

Ahora parece que, poco a poco, van saliendo a la luz los resultados de todos esos análisis y, como muchos esperaban, no parecen muy positivos para todas esas grandes compañías.

La situación ha escalado tanto que Anthropic ha sido llamada a declarar ante el Consejo de Estabilidad Financiera (FSB), el organismo internacional que vigila los riesgos económicos del G20. De hecho, Andrew Bailey, gobernador del Banco de Inglaterra, ha sido quien ha coordinado la comparecencia de urgencia de la empresa ante los reguladores globales.

La preocupación del FSB y de los bancos no se centra en las intenciones de Anthropic, sino en lo que podría suceder si cae en malas manos. Si una IA puede automatizar la búsqueda de fallos críticos en el software de gestión bancaria, el riesgo de un ataque es inevitable y sus consecuencias podrían ser potencialmente devastadoras.

El problema viene ahora. Decenas de empresas tecnológicas y de infraestructuras críticas han suplicado a Anthropic que les dé acceso a Mythos para poder proteger sus propios sistemas antes de que sea tarde.

Sin embargo, y para la mala suerte de todos ellos, las solicitudes van a cer en saco roto: una orden directa de la administración estadounidense de Donald Trump ha bloqueado por completo la distribución del software. El gobierno de EEUU considera que Mythos es un arma digital de doble uso que debe ser custodiada bajo estricto secreto.

"El gran revuelo en torno a este modelo hasta ahora fue principalmente marketing"

Pese a todos estos titulares que realmente dan miedo, lo cierto es que, según algunos expertos, la gravedad con respecto a Mythos es más marketing que realidad.

Esto es algo que Daniel Stenberg, el hombre detrás de cURL, afirma de forma contundente.

A través de la Linux Foundation, se le ofreció pasar por el ojo de Mythos las 178.000 líneas de código en lenguaje C que forman cURL. Tras semanas de retrasos, el informe llegó y el resultado fue, cuanto menos, nada esperado: el modelo que, supuestamente, iba a romper Internet se quedó en un análisis correcto, normal como otro cualquiera, pero lejos de ser la revolución que la compañía vendió.

Tras horas de análisis humano, la lista se redujo a una sola vulnerabilidad real de severidad baja. Las otras cuatro eran falsos positivos o errores que de poco servían a los ciberdelincuentes.

"El gran revuelo en torno a este modelo hasta ahora fue principalmente marketing. No veo ninguna evidencia de que esta configuración detecte problemas con mayor precisión o agudeza que las herramientas anteriores a Mythos. Quizás este modelo sea un poco mejor, pero incluso si lo es, no lo suficiente como para marcar una diferencia significativa en el análisis de código", comenta Stenberg.

Aunque reconoce que Mythos es una herramienta potente, no ha encontrado nada que otros modelos de OpenAI o herramientas como AISLE o Zeropath no hubieran detectado ya en los meses anteriores. De hecho, estas otras ya habían ayudado a meter cientos de parches en cURL antes de que Mythos apareciese. Para él, el peligro del que hablaba Anthropic parece ser más una estrategia de ventas que una realidad.

No importa si tienes un modelo Samsung, Xiaomi, Huawei o los dispositivos de Apple, podrías ser una víctima más si no tomas las precauciones necesarias. Evidentemente, hay varios consejos de ciberseguridad que puedes seguir para que no se generen estas situaciones.

De igual manera, la Agencia de Seguridad Nacional de EE.UU. (NSA) ha recomendado una estrategia efectiva para desmantelar los intentos de los ciberdelincuentes y muy fácil de llevar a cabo. En efecto, podría ser la clave para disminuir las probabilidades de que tu teléfono sea infectado.

Este truco solo requiere de unos segundos y podría salvarte de muchos virus en el móvil

Según el informe de Forbes, hay una forma de impedir que los ciberdelincuentes se salgan con la suya y no requiere de instalar de programas adicionales o de hacer procedimientos avanzados en donde hay que invertir mucho tiempo.

La NSA ha compartido cuál es el gesto simple que debes hacer cada cierto tiempo para que los hackers no tengan oportunidad de ejecutar estrategias de spear phishing, callback phishing, ransomware, spyware, exploits de cero clic y muchas más.

Se trata simplemente de reiniciar el dispositivo, pero no desde la función Reinicio, sino apagarlo por completo y volverlo a encender. Sí, aunque parece algo sumamente básico y que no podría ser de utilidad, en realidad es una de las acciones más recomendadas para enfrentar las amenazas.

El informe de “guía de buenas prácticas” de los agentes de los Estados Unidos, confirma que aplicar estos pasos semanalmente podría ser la clave para mantener alejado al software malicioso no persistente.

“Las amenazas a los dispositivos móviles son cada vez más frecuentes y su alcance y complejidad aumentan. Los usuarios desean aprovechar al máximo las funciones disponibles, pero muchas de ellas ofrecen comodidad y funcionalidad, pero sacrifican la seguridad. Esta guía de prácticas recomendadas describe los pasos que los usuarios pueden seguir para proteger mejor sus dispositivos e información personal”. — NSA.

Es decir, todos aquellos entes malignos que influyan en el dispositivo mientras está encendido o ejecuta un proceso determinado que puede ser interrumpido, como el “zero-click”, que se encarga de instalar virus en el dispositivo sin levantar sospechas y lo hace consecutivamente hasta conseguir sus objetivos.

En la mayoría de las veces, los piratas informáticos se centran en robar tus datos personales o bancarios para extorsionarte o hacer otras cosas negativas con la información, por lo que es un gran peligro.

Con este gesto, una gran parte de tus preocupaciones sobre las vulnerabilidades se irán. Por supuesto, esto tampoco hace milagros, pero sin duda es una muy buena ayuda. En otras ocasiones, para fortalecer las defensas de tu móvil han recomendado otras maneras de minimizar los riesgos.

Por ejemplo, es necesario que mantengas el sistema operativo actualizado, no conectarse automáticamente a puntos de WiFi o Bluetooth y contar con medidas de protección adicionales con código PIN robusto o bloqueo biométrico.

Además, es fundamental que se eviten cosas como pulsar ventanas emergentes y tener mucho cuidado con los correos electrónicos maliciosos de Gmail y Outlook que podrían contener tácticas de phishing.

Como adicional, el FBI también ha advertido sobre los convertidores de formatos en los navegadores que podrían manipular los archivos para acoplar malware. Hoy en día los atacantes llegan de cualquier lado y sumar prácticas beneficiosas como reiniciar el móvil cada cierto tiempo es algo que no requiere de mucho esfuerzo.

Otros artículos interesantes:

• 5 indicios que podrían significar que tu móvil tiene spyware
• Señales de que tu móvil Android podría estar infectado con un virus

Según investigación de ReliaQuest, los atacantes están aprovechando la confianza que los empleados depositan en herramientas internas como Teams para ejecutar técnicas de ingeniería social muy efectivas. En algunos casos, las redes pueden quedar comprometidas en menos de cinco minutos.

El ataque comienza con un mensaje enviado a través de Microsoft Teams desde cuentas externas que aparentan ser personal de soporte técnico o del departamento de TI. Los ciberdelincuentes intentan generar urgencia y confianza para convencer a la víctima de ejecutar un comando de PowerShell aparentemente legítimo.

Ese comando descarga posteriormente un archivo comprimido desde servicios como Dropbox, que contiene un entorno portátil de WinPython. A partir de ahí, se despliega el malware ModeloRAT, capaz de obtener control remoto del sistema, capturar pantallas, recopilar información del usuario y robar archivos sensibles.

Uno de los aspectos más peligrosos de esta campaña es la credibilidad del canal utilizado. Al tratarse de Microsoft Teams, una herramienta ampliamente utilizada en entornos corporativos, los mensajes maliciosos parecen más fiables, lo que facilita que los usuarios caigan en la trampa.

Los investigadores señalan además que los atacantes rotan entre múltiples entornos de Microsoft 365 para evitar ser bloqueados, y utilizan técnicas avanzadas como espacios Unicode ocultos para simular identidades internas de soporte técnico.

La versión más reciente de ModeloRAT incluye mecanismos de persistencia mejorados, con servidores de control redundantes, rutas aleatorias y sistemas de autoactualización. También puede mantenerse activo mediante tareas programadas, claves de registro y accesos automáticos al inicio del sistema, lo que dificulta su eliminación completa.

Microsoft ya ha trabajado en mejorar las protecciones contra phishing en Teams, pero este tipo de ataques demuestra que la plataforma sigue siendo un objetivo atractivo para los ciberdelincuentes debido a su uso masivo en empresas.

¿Por qué esto se convierte en un problema? Si bien es cierto que muchas empresas necesitan información básica para poder ofrecer servicios y garantizar una buena experiencia, en el tiempo se han generado preocupaciones sobre la privacidad.

En efecto, una gran parte de los hackers se enfocan en atacar puntos específicos para hacerse con los detalles personales y venderlos en la dark web o realizar ransomware. Hasta para las grandes compañías se ha convertido en un grave problema tras numerosas crisis de seguridad que se han presentado.

Por eso, el enfoque de evitar las vulnerabilidades, proteger infraestructuras completas y reforzar las defensas ante los ciberataques es lo único de lo que hay que preocuparse. El experto Steve Durbin advierte que esto está cambiando y ahora hay que estar muy atentos a qué se le confían los datos.

¿Por qué la confianza en los datos se convierte en la nueva preocupación de la ciberseguridad?

Está más que claro que todos los tipos de defensas que se puedan tener para protegerse virtualmente siempre van a sumar, pero no basta con tener solamente lo básico, especialmente cuando se trata de los equipos empresarios.

La información confidencial que se maneja en las compañías siempre está en riesgo y por eso es crucial trabajar minuciosamente con respecto a los datos de grandes organizaciones.

Según los especialistas, este tipo de archivos pasa por diferentes filtros y es posible que también sean manipulados por diferentes entes, ya que en un grupo se puede pasar desde marketing hasta modelos de predicción financiera.

Esto hace que ya muchas cosas en juego y que la integridad se degrade sin que se note a simple vista. De esto es lo que habla el experto Steve Durbin, muy conocido por tratar temas de ciberseguridad, y es que destaca el concepto de data trust (confianza en los datos).

Ahora no solamente hay que preocuparse por el robo de información a través de virus o ciberataques directos, sino también por la manipulación de los mismos.

Tal y como se ha mencionado, al pasar por distintas etapas en una empresa, pueden transformarse al recibir cambios constantes y aquí también se incluye la inteligencia artificial.

Este tipo de herramientas de productividad que han revolucionado por completo la industria tecnológica y están marcando un antes y un después en el mundo, también tienen sus puntos negativos.

Tanto ChatGPT como Gémini, Copilot, Claude y otros chatbots pueden sufrir de problemas como resultados incorrectos, alucinaciones, sesgos y otros errores.

Considerando que muchos equipos están implementando modelos de IA para automatizar tareas básicas, este filtro podría ser peligroso porque se podría modificar inadecuadamente la información.

Al principio no parece algo grave, pero con el tiempo se vuelve un riesgo silencioso que podría generar otros fallos en toda la estructura de la organización. Durbin dice que se debe cuestionar frecuentemente la validez de los datos para saber si de verdad todo está bien.

No solo con asistentes virtuales, sino también con los distintos sistemas que se implementan hoy en día. La supervisión es la clave para que de verdad haya privacidad y protección en cualquiera de los escenarios.

El talón de Aquiles de la IA: datos incorrectos que pasan desapercibidos

Desde que las grandes marcas implementan inteligencia artificial en sus negocios, han ocurrido algunos inconvenientes que han hecho que la transición no sea tan abrupta, como en los bancos de Australia, por ejemplo.

Los datos de los equipos gigantes deben ser protegidos con sistemas de seguridad virtual avanzados, pero también sumar un trabajo minucioso ante la información confidencial para que no haya vulnerabilidades que permitan errores graves o ciberataques.

Actualmente, detectar anomalías es mucho más complejo que antes al tener archivos que se actualizan en tiempo real y se comparten entre plataformas o dispositivos. En sí, cuando no hay herramientas adecuadas que indiquen cambios extraños, solo se reacciona a los síntomas y no a las causas.

El escenario se ha vuelto aún más descontrolado debido al auge de la IA, una tecnología que está cambiando el mundo por completo, trayendo beneficios, pero también desventajas como otorgar resultados incompletos o manipulados con las automatizaciones.

Lo que indica el especialista no se trata únicamente de despojarse por completo de esta herramienta, sino tener un enfoque más estratégico con infraestructuras que sean precisas, confiables y trazables. Como advierte Durbin, el verdadero riesgo no es perder datos, sino basarte en datos que ya están comprometidos sin saberlo.

El problema no es solo que existan estos fallos, sino que, una vez que se hacen públicos, los hackers corren más que las empresas que deben arreglarlos, dejando millones de servidores expuestos durante días.

Por si esto no fuese suficiente, han descubierto un nuevo fallo al que han denominado Fragnesia. Hablamos de un fallo de seguridad que permite a cualquier usuario, sin ningún tipo de privilegio, convertirse en el administrador absoluto (root) de la máquina.

Este nombre tiene bastante sentido, ya que hace referencia a una especie de amnesia que sufre el sistema. Básicamente, el kernel de Linux se olvida de que un fragmento de memoria está siendo compartido entre varios procesos y acaba corrompiendo datos que jamás debería haber tocado.

El problema aquí es que, a diferencia de otros fallos que necesitan que coincidan varios factores al mismo tiempo, Fragnesia funciona siempre a la primera. Ha sido descubierta por William Bowling, un investigador del equipo de seguridad V12.

En concreto, el fallo se encuentra en una parte muy concreta del sistema encargada de procesar las conexiones de internet seguras. Cuando el ordenador está recibiendo datos de un archivo y, de repente, la conexión cambia a este modo seguro, el kernel se confunde.

Piensa que las páginas del archivo que estaban en cola son datos cifrados y, al intentar descifrarlos, acaba inyectando letras y números falsos directamente en la memoria caché del equipo, de forma totalmente limpia y controlada por el atacante.

Esta técnica permite a un hacker elegir qué letra o número quiere cambiar de un archivo, modificándolo carácter a carácter. Al sobreescribir apenas los primeros 192 bytes de una herramienta del sistema tan importante como /usr/bin/su (la que se usa para cambiar de usuario), consiguen que, al ejecutarla, el móvil o el servidor les abra una ventana de comandos con el control total del equipo.

Por si esto fuese poco, los antivirus no son capaces de reconocer que algo está yendo mal.

Es por eso que los expertos afirman que la única forma de limpiar el sistema una vez que ha sido atacado es forzar al ordenador a vaciar la memoria caché mediante comandos específicos o, directamente, haciendo un reinicio completo al servidor.

La vulnerabilidad afecta a una gran cantidad de ordenadores Linux en todo el mundo

Tal y como han advertido, cualquier versión del kernel de Linux que sufriera el fallo anterior, Dirty Frag, y que no haya sido actualizada antes de este 13 de mayo de 2026, está totalmente expuesta a esta otra vulnerabilidad.

Aunque ya hay parche con la solución y ya se está comenzando a distribuir, hay otro punto importante que comentar.

Ya se ha publicado un código de demostración gratuito en GitHub que enseña paso a paso cómo explotar este fallo. Esto quiere decir que cualquier programador puede intentar atacar un sistema vulnerable.

No ha sido un error de programación ni un fallo del sistema, sino un ataque que ha aprovechado una brecha en la seguridad de uno de los propios colaboradores del proyecto para ir directo a por el corazón del programa.

Tal y como se ha podido saber, todo esto sucedió entre el 6 y el 12 de mayo de 2026. Durante esos días, cualquiera que entrara en el GitHub oficial de Cemu para descargar la versión 2.6 en formato AppImage o el archivo ZIP para Ubuntu, se estaba bajando algo que no debía.

Lo peor de todo es que el archivo parecía totalmente normal y legítimo porque estaba en la página oficial. Si bajaste el emulador en esas fechas y, lo que es más importante, llegaste a ejecutarlo, tu sistema está oficialmente comprometido.

En cuanto a la forma en la que los hackers consiguieron meterse en Cemu, todo empezó cuando uno de los programadores del equipo ejecutó sin querer un paquete de Python malicioso en su propio equipo.

Este paquete le robó su token de acceso a GitHub, es decir, la llave maestra que le permite subir archivos al proyecto sin pasar por más filtros. Los atacantes usaron esa llave para sustituir los archivos limpios por versiones que incluían un código espía.

Según el International Cyber Digest, los grupos de ciberdelincuentes se han dado cuenta de que es mucho más eficiente infectar una herramienta que usan miles de personas que intentar hackearlas una a una. Al envenenar la cadena de suministro, el virus se ha propagado solo, aprovechando la confianza de los usuarios.

Pero esto no es todo, porque los desarrolladores de Cemu han descubierto en su análisis que el virus tiene una función específica para usuarios en Israel: si detecta que el ordenador está en ese país, el malware activa una sirena a través de los altavoces y procede a borrar por completo todo el sistema de archivos.

Para el resto de usuarios del mundo, aunque no se te borre el disco duro de golpe, el peligro es igual de real. El malware actúa como un recolector de credenciales. Está diseñado para esconderse en las carpetas del sistema y vigilar todo lo que escribes o guardas: desde la contraseña de tu Gmail hasta las llaves SSH que usas para trabajar.

El equipo de Cemu admite que todavía no conocen todas las capacidades del virus, por lo que mucho cuidado, ya que podría haber funciones de espionaje que aún no han salido a la luz.

¿Qué puedes hacer si crees que eres una víctima del hackeo a Cemu?

Los expertos afirman que, si ejecutaste esa versión de Cemu, la única forma 100% segura de limpiar tu PC es reinstalar el sistema operativo desde cero. Borrar solo el archivo del emulador no sirve de nada porque el virus ya se habrá copiado en otras partes del sistema. Además, deberías cambiar todas tus contraseñas importantes y resetear cualquier clave de acceso que tuvieras guardada en el ordenador.

Afortunadamente, no todas las versiones de Cemu fueron atacadas. Si instalaste el emulador a través de Flatpak (la tienda de apps común en muchas distribuciones de Linux) o si usas la versión de Windows, estás a salvo.

El ataque se centró solo en los archivos binarios directos para Linux que se subieron a GitHub. Por su parte, se sabe que el equipo ya ha recuperado el control, ha limpiado los archivos y ha implementado medidas de seguridad para que ningún colaborador pueda subir nada sin que pase por un doble control humano.

Era un tiempo más que suficiente para que los programadores no trabajaran a contrarreloj y los usuarios estuvieran protegidos. Pero ese pacto se ha acabado. Los expertos advierten que la era de los 90 días ha muerto, y el culpable es la inteligencia artificial. Con herramientas capaces de analizar código a una velocidad nunca antes vista, lo que antes llevaba semanas de investigación ahora se resuelve en una hora.

El problema es que la IA nunca descansa y es una máquina perfecta reconociendo patrones de programación erróneos. Si un hacker (de los buenos) encuentra una vulnerabilidad, puedes estar seguro de que un hacker (de los malos) está usando un modelo de lenguaje para encontrar exactamente lo mismo. Ya no hay margen de maniobra.

Sin ir más lejos, se han conocido hace escasos días casos como los fallos Copy Fail o Dirty Frag en Linux que han demostrado con creces que, entre que se descubre el problema y se publica el parche, los atacantes ya tienen el exploit listo para entrar en tu sistema. De ahí que la comunidad de desarrolladores de Linux haya puesto en marcha un botón rojo de emergencia para desactivar funciones antes de que llegue el parche.

Himanshu Anand, investigador de seguridad, ha dado la voz de alarma sobre esto, advirtiendo que la IA puede convertir un parche en un arma en apenas 30 minutos. Esto se consigue de una forma muy sencilla.

Los atacantes ya no esperan a que salga una noticia que alerta sobre un fallo de seguridad en Windows 11, por ejemplo; se dedican a vigilar los cambios en el código de los repositorios públicos. En cuanto ven que un programador sube una corrección, usan la IA para analizar la diferencia entre el código viejo y el nuevo, entienden dónde estaba el fallo y crean un ataque automático antes de que tú hayas tenido tiempo de actualizar tu PC para eliminar ese fallo.

Una nueva era: cada fallo de seguridad crítico hay que solucionarlo de inmediato

El consejo de los expertos es claro: hay que tratar cada vulnerabilidad crítica como una prioridad absoluta (P0) y parchearla al momento. Ya no vale eso de esperar al martes de parches de cada mes como hace Microsoft.

Esa estrategia de lanzar actualizaciones cada 30 días asume que el atacante es más lento que tú, y eso en 2026 es el mayor mito que te puedes encontrar. A día de hoy, los desarrolladores tienen que integrar la propia IA en sus procesos de despliegue de código para que sea la máquina la que detecte y bloquee el fallo antes de que salga a la luz.

Equipos como el de Mozilla están demostrando que se puede hacer frente a esta nueva era y en un solo mes llegaron a publicar más de 400 correcciones de seguridad. Esa es la velocidad que se exige ahora mismo; una agilidad que las empresas de software cerrado como Microsoft, Apple o Google van a tener que copiar sí o sí.

Y es que, en las últimas semanas, este sistema operativo se ha visto comprometido por varias vulnerabilidades (dos muy concretas) con nombre Copy Fail y Dirty Frag. El problema no es solo que existan estos fallos, sino que, una vez que se hacen públicos, los hackers corren más que las empresas que deben arreglarlos, dejando millones de servidores expuestos durante días.

En el caso de Copy Fail, hablamos de un fallo crítico que llevaba dentro del kernel de Linux desde 2017.

Aquí el problema está en cómo Linux actúa ante ciertas funciones de criptografía. Si alguien sabe cómo engañar a esta función enviándole datos de una forma específica, puede conseguir que el kernel sobrescriba partes de la memoria. Con solo cambiar 4 bytes en el lugar correcto, un usuario normal puede convertirse en superusuario y tener poder absoluto.

Y por si fuera poco, a los pocos días apareció Dirty-Frag, otra vulnerabilidad que permite que cualquier usuario, sin permisos, se convierta en root, es decir, en un superusuario que tiene las llaves de todo el sistema y puede hacer lo que quiera con el equipo. Como ves, calcado a Copy Fail.

Con esto como base, los desarrolladores han dicho basta y Sasha Levin, uno de los pesos pesados del mantenimiento del kernel de Linux, ha propuesto activar un Killswitch o botón del pánico.

La idea es que, si mañana aparece un fallo crítico en una función específica del sistema, el administrador pueda darle a un interruptor virtual y desactivar esa función al momento, sin esperar a que salga una actualización oficial y, lo más importante, sin tener que reiniciar el ordenador. Es, literalmente, cortar por lo sano para evitar que el problema se siga esparciendo por el kernel.

Cortar por lo sano para evitar que la vulnerabilidad se expanda y afecte a más partes del kernel: así funciona el botón del pánico de Linux

Actualmente, si un fallo está en un módulo, puedes descargarlo y listo. Pero muchos fallos viven en el corazón mismo del sistema, incrustados en la estructura principal. La propuesta de Levin permite que un administrador ordene a una función específica que deje de ejecutarse y devuelva un valor fijo sin llegar a procesar el código que tiene el virus.

Esto es algo básico que se debería empezar a hacer de cara a proteger a las empresas que tienen muchos ordenadores con Linux. Por ejemplo, en una empresa con 10.000 servidores, actualizar el kernel y reiniciar cada máquina puede durar días.

Durante todo ese tiempo, la ventana está abierta para los hackers. Con el Killswitch, el administrador lanza un comando y, en segundos, todos quedan protegidos frente a ese ataque. No es la solución definitiva, ya que es vital crear un parche, pero actúa como un perfecto cortafuegos.

Por supuesto, todo tiene una cara B y desactivar funciones del sistema puede romper otras. Si apagas el motor de red para evitar un hackeo, podrías quedarte sin internet. Pero Levin argumenta que es mejor tener una función estropeada temporalmente que tener a un hacker accediendo a todo.

Actualmente, esta propuesta está en fase de revisión y se está debatiendo entre los desarrolladores más expertos de Linux para ver si realmente tiene o no futuro. Como suele ocurrir si hablamos de este SO, no todos están de acuerdo, ya que tocar el núcleo del sistema siempre da respeto,. Sin embargo, parece que el apoyo es mayoritario.

Tras todo el caos de los últimos meses, la comunidad se ha dado cuenta de que no pueden seguir volcando toda su fe en que los parches lleguen a tiempo. Necesitan una defensa que pueda actuar de inmediato y esta parece la solución más sensata.

Anthropic anunció que su nuevo modelo, Claude Mythos, era tan "peligrosamente bueno" encontrando fallos de seguridad que no podían lanzarlo al público todavía. De ahí que solo unas pocas empresas tendrían acceso controlado para parchear los problemas que encontrasen antes de que el resto del mundo pudiera probarlo.

Literalmente, parecía el principio del fin de la ciberseguridad tal y como la conocemos, pero Daniel Stenberg, el hombre detrás de cURL, tiene una visión más centrada en la realidad.

Para aquellos que no le conozcan, es el creador de una de las herramientas más usadas en el mundo. Se ha instalado más de 20.000 millones de veces en todo tipo de móviles y dispositivos de gran calado. De ahí que Anthropic le tuviese en cuenta para poner a prueba Mythos.

A través de la Linux Foundation, se le ofreció pasar por el ojo de Mythos las 178.000 líneas de código en lenguaje C que forman cURL. Tras semanas de retrasos, el informe llegó y el resultado fue, cuanto menos, nada esperado: el modelo que, supuestamente, iba a romper Internet se quedó en un análisis correcto, normal como otro cualquiera, pero lejos de ser la revolución que la compañía vendió.

Para poner un poco más de contexto, cURL es probablemente uno de los proyectos más auditados del planeta. Ha pasado por análisis y revisiones de seguridad profesionales durante años. Por eso, cuando Mythos afirmaba haber encontrado cinco vulnerabilidades, el equipo de Stenberg sospechó.

Tras horas de análisis humano, la lista se redujo a una sola vulnerabilidad real de severidad baja. Las otras cuatro eran falsos positivos o errores que de poco servían a los ciberdelincuentes.

"El gran revuelo en torno a este modelo hasta ahora fue principalmente marketing. No veo ninguna evidencia de que esta configuración detecte problemas con mayor precisión o agudeza que las herramientas anteriores a Mythos. Quizás este modelo sea un poco mejor, pero incluso si lo es, no lo suficiente como para marcar una diferencia significativa en el análisis de código", comenta Stenberg.

Aunque reconoce que Mythos es una herramienta potente, no ha encontrado nada que otros modelos de OpenAI o herramientas como AISLE o Zeropath no hubieran detectado ya en los meses anteriores. De hecho, estas otras ya habían ayudado a meter cientos de parches en cURL antes de que Mythos apareciese. Para él, el peligro del que hablaba Anthropic parece ser más una estrategia de ventas que una realidad.

Para Daniel Stenberg todo es marketing y no, Mythos no es el demonio del código que prometían

El problema es que están surgiendo todo tipo de informes que dejan claro el potencial de esta herramienta de IA. Para él, muchos de ellos son solo ruido.

Tal y como afirma, las capacidades de Mythos no son cosa de magia o un potencial sobrenatural; es simplemente una capacidad de lectura masiva y contextual que, si bien es realmente buena, no justifica el pánico generalizado que se está tratando de crear en el mundo.

Pese a todo esto, Stenberg defiende a capa y espada el uso de estas tecnologías. "Permítanme recalcar y reiterar lo que ya he dicho: los analizadores de código con IA son significativamente mejores para encontrar fallos de seguridad y errores en el código fuente que cualquier analizador de código tradicional del pasado. Todos los modelos de IA modernos son buenos en esto ahora", afirma.

"No usar analizadores de código con IA en su proyecto significa darles a los adversarios y atacantes tiempo y oportunidad para encontrar y explotar los fallos que usted no detecta", añade.

Con esto, deja claro que, en este caso, cURL es seguro no porque una IA lo diga, sino porque cientos de humanos llevan décadas centrados en la calidad. El hype de Anthropic es más humo que realidad, pero también es cierto que ha servido para poner el foco en la seguridad de las compañías.

La compañía acaba de encontrar el primer ataque de "día cero", es decir, una vulnerabilidad que nadie conocía y para la que no hay parche alguno, diseñado no por un humano, sino con la ayuda directa de una inteligencia artificial.

El problema es el tipo de ataque del que estamos hablando. Se llaman así porque el atacado tiene cero días para arreglarlos antes de que empiecen a causar daños. Si a esa peligrosidad le sumas la velocidad de una IA que opera sin descanso, el resultado es muy peligroso.

En concreto, en un informe publicado, detallan cómo un grupo de hackers consiguió explotar un fallo de seguridad crítico que fue descubierto y desarrollado mediante el uso de modelos de lenguaje avanzados. Lo que antes le llevaba semanas de investigación a un equipo de los mejores hackers, ahora una IA puede identificarlo en cuestión de segundos analizando millones de líneas de código.

Google ha tenido que avisar a la empresa afectada (cuyo nombre no han dado por seguridad) para que lancen un parche antes de que el desastre vaya a mayores.

John Hultquist, analista jefe de Google, ha sido muy claro al respecto: "Por cada vulnerabilidad de día cero que podemos atribuir a la IA, probablemente existan muchas más". La sospecha es que esto solo es el principio (o simplemente uno de tantos hackeos).

El foco está puesto en los llamados modelos frontera, como el nuevo GPT-5.5-Cyber de OpenAI

Por el momento, Google descarta que se usara Claude Mythos de Anthropic para llevar a cabo el ataque, pero queda claro que en 2026 están saliendo a la luz modelos de IA que realmente escapan a nuestro conocimiento y que podrían suponer un grave problema si caen en malas manos.

Por ejemplo, el nuevo GPT-5.5-Cyber de OpenAI tiene capacidades tan grandes para encontrar fallos que asustan hasta a sus propios creadores. Actualmente, ya hay programas que no solo encuentran el fallo, sino que escriben el virus y lo lanzan sin que un ser humano tenga que pulsar ni una sola tecla.

De ahí que la estrategia de empresas como OpenAI o Anthropic haya sido lanzar estos modelos de forma escalonada. Primero, se les da acceso a investigadores y agencias de seguridad para que encuentren los parches antes de que los hackers puedan actuar.

Rob Bair, jefe de política ciber en Anthropic, lo llama la "ventaja del defensor". El problema es que esa ventaja, según él mismo admite, se mide en meses, no en años. Es una ventana de oportunidad muy pequeña.

Hackers están clonando el cerebro de la IA de Gemini para una nueva ola de peligrosos ciberataques

Sin ir más lejos, los ciberdelincuentes están poniendo todo de su parte para tratar de ir siempre un paso por delante del resto, aunque no tengan acceso a esos modelos tan potentes.

Por ejemplo, Google destapó hace unos meses cómo grupos de hackers están clonando la mente de su IA para lanzar ataques que son, literalmente, imposibles de detectar con los métodos de siempre.

Según el último informe del Google Threat Intelligence Group (GTIG), el cerebro de esta IA se ha convertido en el nuevo juguete para los ciberdelincuentes más peligrosos del mundo.

Hackers con gran experiencia respaldados por gobiernos de Rusia, China, Irán y Corea del Norte están usando los modelos de lenguaje de Google no solo para escribir código malicioso, sino para clonar la lógica de la IA y usarla como un arma.

Tal y como se confirma, estos grupos están aplicando una técnica llamada destilación de conocimiento. Consiste en lanzar miles de preguntas estratégicas a la IA para ver cómo razona y cómo toma decisiones. Una vez que entienden cómo piensa Gemini, se llevan ese conocimiento a sus propios sistemas para crear una copia pirata de su cerebro, pero sin los filtros de seguridad que le pone Google.

Como resultado, consiguen que los ciberataques de gran calado sean más sencillos de ejecutar que nunca. Antes, un grupo de hackers podía tardar semanas en investigar a una empresa, traducir textos para que un correo de phishing no pareciera una estafa y probar si un virus funcionaba.

Ahora, usan la IA de Google para automatizarlo todo. Se inventan escenarios ficticios, le piden a la IA que analice vulnerabilidades y, en cuestión de minutos, tienen un plan de ataque listo para ejecutar contra objetivos críticos, especialmente en Estados Unidos y Europa.

No buscan dinero inmediato; buscan espionaje a largo plazo, que es más valioso. Saben que el eslabón más débil es el empleado que trabaja desde casa o el proveedor que no tiene las mismas medidas de seguridad que una gran multinacional. La IA sirve para ir directos a por ellos.

Lo peor de todo es que esto realmente ya se ha puesto en marcha y los expertos de Google ya han detectado virus que llevan la firma de la IA en su interior.

¿Esa clave es lo suficientemente robusta? ¿Se te olvida con frecuencia? Aunque eso es el método tradicional y una forma de proteger tus datos, no es suficiente.

No basta solamente con tener una contraseña en tus redes sociales, cuentas bancarias, perfiles de tiendas online o cualquier otra plataforma que uses a diario. Con una sola vulnerabilidad o si llegas a ser víctima de las campañas de phishing, podrías estar en grave riesgo.

Además de hacer uso de la verificación de dos pasos y apps de autentificación, también es hora de que sepas qué son las claves de acceso o passkeys. Este es un sistema más moderno para garantizar un inicio de sesión seguro y rápido.

Si te preocupa la ciberseguridad, es mejor que no pases por alto este método porque podría ser todo lo que necesitas para disminuir los riesgos de ser afectado por ciberataques.

¿Qué son las passkeys y cómo funcionan?

Se trata de un método que cuenta con compatibilidad para casi todos los sistemas operativos, navegadores y gestores de contraseñas.

Funciona básicamente como un "reemplazo" de la contraseña tradicional y, a pesar de que no es algo nuevo, muchas personas la pasan por alto por no saber qué es en realidad.

Solo por su nombre es frecuentemente confundida con aplicaciones de autenticación que ofrecen códigos temporales o las famosas llaves de seguridad físicas que se pueden utilizar en pendrive o guardar como archivos.

Sin embargo, una passkey es otro método de autenticación digital que permite un fácil acceso a las apps o sitios web donde tienes cuentas registradas.

En este caso, tu dispositivo guarda una clave privada que nunca se elimina del equipo, por ejemplo, el mismo PIN con el que inicias sesión todos los días para acceder al sistema operativo de Windows 11 con tus cuenta.

Cuando usas una passkey, el PIN se vuelve "universal". Eso quiere decir que, en los servicios online, utilizarías la misma que tu cuenta del ordenador.

Lo interesante de esto es que también puedes utilizar la biometría, teniendo opciones como huella o reconocimiento facial si el dispositivo es compatible.

El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) explica que es como un tipo de "sello digital" que se mantiene guardado de manera segura en el equipo personal, ya sea smartphone o PC.

Su activación es realmente sencilla porque se encuentra disponible en la mayoría de las configuraciones de seguridad o privacidad de las cuentas populares.

En efecto, la transición hacia este sistema va en crecimiento, pues hasta Google ha confirmado que más del 50% de los usuarios usan este tipo de servicios en el Reino Unido.

Ventajas de las passkeys frente a las contraseñas tradicionales: deberías usarlas a partir de ahora

No solamente simplifica el acceso a las plataformas a no tener que recordar combinaciones complejas o tener que realizar demasiados pasos, sino que también resuelve problemas como la reutilización de contraseñas y sin datos que viajan a través de la red, solo de manera local.

Las ventajas en ciberseguridad son realmente grandes porque no pueden ser robadas a través de tácticas de phishing y tampoco ser manipuladas a través de malware o ciberataques de control en remoto debido a que no se puede escribir ni copiar.

Esto le complica las cosas a los ciberdelincuentes al no poder obtener datos para hackear cuentas personales, de banco o vender información personal en la dark web.

Dave Chismon, especialista senior en tecnología del NCSC, explica que las "contraseñas nunca han sido una solución perfecta" porque siguen siendo susceptibles a ser vulneradas. Las claves de acceso no por su estructura principal de biometría o PIN.

Por eso mismo es que los expertos recomiendan hacer uso de esta característica siempre que sea posible, más aún cuando los casos de robo de datos siguen aumentando de manera exponencial a nivel mundial.

Sin embargo, las grandes tecnológicas quieren ir más allá. Esto forma parte de su negocio, por lo que la idea es siempre escalar. Esto es precisamente lo que ha hecho Anthropic.

Imagínate por un momento que una máquina no solo entiende cómo funciona un programa, sino que es capaz de ver los errores que ningún humano ha detectado en años. Hasta hace nada, encontrar estos fallos era casi imposible; un trabajo que requería a los mejores hackers del mundo trabajando durante meses.

Pero esto ha cambiado. Ha aparecido una IA que ha demostrado que lo que a los humanos les lleva una vida entera, a él le lleva unos segundos. Y lo ha demostrado a lo grande: ha empezado a destapar vulnerabilidades críticas en sistemas como Windows, navegadores como Firefox, servidores globales...

Con nombre Claude Mythos, muchos lo catalogan como un salto enorme que ha puesto en jaque la seguridad mundial tal y como se conoce.

¿Qué es Claude Mythos?

Claude Mythos es la versión más avanzada y experimental de la inteligencia artificial desarrollada por Anthropic. Si ya conocías a Claude como un modelo centrado en la seguridad y la ética, Mythos es su hermano mayor, diseñado específicamente con una capacidad de razonamiento que roza lo sobrehumano. No se trata de una IA para charlar o que te responda a preguntas; Mythos es un modelo especializado en el análisis de código y sistemas.

Lo que diferencia a Claude Mythos de cualquier otra IA que hayas visto antes es su tasa de éxito en la detección de vulnerabilidades. Mientras que otros modelos pueden darte mejoras o encontrar errores básicos, Mythos es capaz de entender la lógica de un sistema operativo completo.

Es capaz de leer millones de líneas de código y encontrar fallos que han estado ahí durante 20 años sin que nadie los viera.

Anthropic lo describe como un modelo de "razonamiento de alta fidelidad". Esto significa que no solo adivina qué palabra viene después, como hacen los chatbots normales, sino que simula internamente cómo funcionaría un programa y detecta dónde se puede romper.

A partir de una instrucción simple, el modelo puede escanear código de sistemas operativos, navegadores, librerías y herramientas muy usadas, buscando bugs y, en algunos casos, incluso diseñando cómo aprovecharlos.

Para que te hagas una idea, su poder es tan grande que, en las primeras pruebas a puerta cerrada, ha sido capaz de comprometer sistemas que se consideraban blindados.

Claude Mythos viene acompañado de una advertencia de seguridad a nivel global

Ahora bien, ¿de dónde nace todo este revuelo? Mythos ha demostrado ser capaz de encontrar vulnerabilidades de día cero, es decir, fallos que nadie conoce y para los que no hay parche, de forma masiva.

Sin ir más lejos, Mozilla Foundation ha confirmado que esta IA detectó nada menos que 271 vulnerabilidades en una versión de prueba de Mozilla Firefox antes de su lanzamiento oficial.

Según Mozilla, estas vulnerabilidades estaban escondidas en el código del navegador y habrían necesitado de semanas o incluso meses de trabajo de expertos en seguridad para ser detectadas manualmente (si es que lo conseguían). La IA, en cambio, las cazó en un análisis automático previo al lanzamiento.

Por eso, Anthropic ha decidido no lanzarlo al público general de forma abierta. En su lugar, la compañía ha convocado a 50 compañías de software para corregir esas vulnerabilidades.

Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Fundación Linux, Microsoft, Nvidia y Palo Alto Networks ya están convocadas, y pronto se unirán 40 más. Compartirá con ellos las vulnerabilidades críticas que Claude Mythos ha encontrado, para corregirlas antes que una IA parecida caiga en malas manos.

¿Cómo es posible que encuentre fallos que los humanos no ven?

Hasta hace unos meses, los ordenadores eran completamente incapaces de hacer lo que hace Mythos. Las herramientas de seguridad de toda la vida funcionaban buscando patrones que daban lugar a errores. Pero Mythos no busca patrones; entiende la intención.

Por ejemplo, puede analizar cómo interactúa una pequeña línea de código en la base de datos con una interfaz de usuario a kilómetros de distancia. Por supuesto, a diferencia de un humano, no se cansa. Puede probar miles de combinaciones lógicas por segundo hasta encontrar el camino que lleva al error.

Además, tiene lo que se conoce como aprendizaje cruzado. Es decir, lo que aprende analizando Windows, lo aplica al momento para encontrar fallos en Linux o en un servidor de Google.

En el caso de Firefox, la IA analizó partes del código que se consideraban estables desde hacía una década. Mientras que los ingenieros humanos daban por hecho que esa parte estaba bien, Mythos encontró agujeros críticos que permitían ejecutar código malicioso de forma remota.

Poniendo otro ejemplo, una de las vulnerabilidades que encontró era un fallo de 27 años en OpenBSD, un sistema pensado precisamente para ser muy difícil de vulnerar, que se usa en muchos routers y firewalls de internet.

El dilema de Anthropic: ¿héroe o amenaza?

Esta es la gran pregunta de ahora. Por un lado, es el mejor aliado que los humanos podrían tener. Si se permite que Mythos analice todo el software del mundo, sería como encontrar la vacuna universal contra los hackers.

Sin embargo, esto es demasiado idílico. Si alguien consigue liberar a Claude Mythos o engañarlo para que trabaje para estas personas, el daño sería aún mayor. Anthropic se encuentra en una posición delicada: tienen la llave para poder al menos arreglar el código de cientos de enormes compañías mundiales, pero esa misma llave puede usarse para tirar por tierra todo internet.

Sin ir más lejos, esta IA ya está en el primer puesto de objetivos de los hackers. Los expertos de ciberseguridad aseguran que un pequeño grupo de usuarios de Discord ha tenido acceso a una versión preliminar de Mythos.

Eso sí, los expertos confirman que el grupo de hackers buscaba experimentar con nuevos modelos. No querían esperar al lanzamiento oficial de Claude Mythos, aunque su objetivo no era causar estragos en Anthropic.

¿Llegará la humanidad a probar Claude Mythos algún día?

Es la pregunta del millón. Actualmente, Anthropic está utilizando Mythos de forma altruista y privada, colaborando con grandes empresas tecnológicas para parchear sus sistemas. Sin embargo, hay rumores de que una versión capada o más segura podría llegar a los usuarios Pro de Claude en el futuro, aunque con limitaciones muy claras.

El hallazgo, atribuido a los expertos de Cisco Talos, revela que este ataque lleva activo al menos desde enero de 2026. El objetivo principal de los ciberdelincuentes es robar credenciales y códigos OTP (contraseñas de un solo uso), utilizados habitualmente en sistemas de verificación en dos pasos.

La clave del ataque está en un plugin malicioso llamado Pheno, integrado en el conocido troyano de acceso remoto CloudZ. Este componente es capaz de detectar si el usuario tiene activa la conexión de Enlace móvil entre su ordenador y su smartphone. A partir de ahí, accede a una base de datos local del sistema donde se almacenan mensajes y notificaciones sincronizadas.

Esto significa que los atacantes pueden leer SMS y códigos de autenticación directamente desde el PC, sin comprometer el dispositivo móvil. En otras palabras, el usuario puede tener su teléfono seguro, pero aun así ver comprometidos sus datos si su ordenador está infectado.

Además de esta función, CloudZ incluye capacidades avanzadas típicas de este tipo de malware. Puede gestionar archivos, ejecutar comandos remotos, grabar la pantalla e incluso instalar o eliminar módulos adicionales según las necesidades del atacante. También emplea técnicas para camuflar su tráfico como si fuera navegación web legítima, dificultando su detección.

El proceso de infección comienza, según los investigadores, mediante una falsa actualización de software que engaña al usuario. Tras su ejecución, se instala una cadena de cargas maliciosas que acaba desplegando el RAT en el sistema y garantizando su persistencia mediante tareas programadas. Además, incorpora mecanismos para evitar ser detectado en entornos de análisis o máquinas virtuales.

Los expertos recomiendan extremar las precauciones. Entre las medidas más importantes destacan evitar el uso de SMS como método de verificación cuando sea posible y optar por aplicaciones de autenticación más seguras.

Hugging Face es una plataforma donde desarrolladores e investigadores comparten herramientas de inteligencia artificial y modelos ya entrenados. Precisamente por eso, también se ha convertido en un objetivo para ataques en los que se suplantan proyectos legítimos con otros falsos.

Según investigadores de la empresa de ciberseguridad HiddenLayer, el repositorio fue detectado el 7 de mayo. Usaba un nombre muy parecido al original de OpenAI y copiaba casi todo el contenido descriptivo del proyecto real para parecer auténtico y engañar a los usuarios.

El archivo más peligroso del proyecto era uno que aparentaba ser parte de una herramienta de inteligencia artificial, pero en realidad ejecutaba acciones ocultas en el sistema. Entre ellas, descargaba instrucciones desde internet y las ejecutaba en segundo plano sin que el usuario lo viera.

Esas instrucciones terminaban instalando un programa malicioso más avanzado, capaz de desactivar protecciones del sistema y robar información del ordenador.

El malware estaba diseñado para recopilar datos sensibles como contraseñas guardadas en el navegador, cookies, sesiones abiertas, credenciales de Discord, carteras de criptomonedas, claves de acceso a servicios como SSH o VPN, y otros archivos personales. Incluso podía hacer capturas de pantalla del equipo infectado.

Toda la información robada se enviaba después a un servidor externo controlado por los atacantes. Además, el programa estaba preparado para ocultarse y evitar ser detectado, comprobando si se estaba ejecutando en máquinas virtuales o entornos de análisis.

No está claro cuántas personas resultaron afectadas, aunque los investigadores creen que muchas de las interacciones con el repositorio podrían haber sido automatizadas, lo que infló las cifras de popularidad.

Tras el descubrimiento, se encontraron otros repositorios relacionados que usaban el mismo sistema de ataque. Los expertos recomiendan a cualquier persona que lo haya descargado reinstalar el sistema, cambiar todas sus contraseñas y cerrar sesiones abiertas en sus cuentas.

El caso ha sido bautizado como CallPhantom, y las aplicaciones prometían algo extremadamente polémico: acceder al historial de llamadas, registros SMS e incluso supuestos datos de llamadas de WhatsApp de cualquier número de teléfono. Todo ello a cambio de una suscripción de pago.

El problema es que las aplicaciones no ofrecían ninguna información real. Según los investigadores, todo el contenido mostrado era completamente falso y generado automáticamente para convencer a los usuarios de que estaban obteniendo datos privados auténticos.

Las apps utilizaban distintos métodos para simular los resultados. En algunos casos generaban números aleatorios y los asociaban con nombres ficticios, horarios de llamadas y duraciones inventadas. Otras pedían el correo electrónico del usuario y prometían enviar los registros tras completar el pago, algo que nunca ocurría realmente.

Lo más sorprendente del caso es que muchas de estas aplicaciones lograron permanecer durante meses en Google Play sin solicitar permisos especialmente peligrosos ni mostrar comportamientos típicos de malware. Algunas incluso utilizaban el sistema oficial de pagos de Google Play, mientras que otras derivaban a plataformas externas para saltarse las políticas de la tienda.

ESET asegura que notificó el problema a Google en diciembre de 2025 y, desde entonces, todas las aplicaciones relacionadas con CallPhantom han sido eliminadas de la Play Store.

Los investigadores también explican que la mayoría de víctimas se encontraban en India y otros países de Asia-Pacífico, aunque cualquier usuario podía descargar las aplicaciones desde Android.

Los expertos recuerdan que este tipo de aplicaciones suelen aprovecharse de usuarios que buscan funciones invasivas o poco éticas, como espiar llamadas o acceder a información privada de terceros. Precisamente por eso recomiendan desconfiar de cualquier app que prometa obtener datos personales de otros usuarios.

Para evitar este tipo de fraudes, los especialistas aconsejan descargar únicamente aplicaciones de desarrolladores reconocidos, revisar opiniones reales, mantener actualizado Android y activar herramientas de seguridad como Google Play Protect.

El incidente fue descubierto después de que varios usuarios comenzaran a notar algo extraño al descargar el software. Uno de ellos publicó en Reddit que Windows SmartScreen mostraba alertas sospechosas y que el instalador aparecía firmado por una empresa desconocida en lugar del desarrollador legítimo. Poco después, el propio equipo de JDownloader confirmó públicamente que la web había sido comprometida.

Según explicaron los responsables del programa, los atacantes explotaron una vulnerabilidad de seguridad sin parchear que les permitió modificar los permisos internos del sitio web sin necesidad de autenticarse. Gracias a ello, pudieron cambiar los enlaces oficiales de descarga por archivos maliciosos preparados para infectar los equipos de las víctimas.

El ataque afectó especialmente a la página de descargas alternativas de Windows, donde todos los instaladores fueron sustituidos por ejecutables no firmados y potencialmente peligrosos. También se vio comprometido el instalador para Linux mediante código malicioso añadido al script original.

La parte positiva es que no todos los sistemas de distribución fueron afectados. El archivo principal, las versiones para macOS y los paquetes distribuidos mediante otras plataformas permanecieron intactos gracias al uso de infraestructuras separadas y sistemas de verificación mediante firmas digitales.

Algunos usuarios que ejecutaron los archivos infectados aseguran que el malware llegó incluso a desactivar automáticamente Windows Defender, lo que hace pensar en una amenaza especialmente agresiva.

Este tipo de ataques se están convirtiendo en una de las técnicas favoritas de los ciberdelincuentes, ya que aprovechan la confianza de los usuarios en programas muy conocidos.

Lo cierto es que Linux no está atravesando definitivamente por un buen momento porque también hace unos días se supo que también rondaba Quasar Linux (QLNX), un malware creado específicamente para cazar a desarrolladores, administradores de sistemas y expertos en el sector y cuyo objetivo es conseguir infiltrarse en sus cuentas.

El problema es que esta ha conseguido colarse en repositorios de código como npm, PyPI y GitHub, además de entornos de nube como AWS, Docker y Kubernetes.

Volviendo a Dirty Frag, lo peor no es solo que el fallo exista, sino cómo la comunidad se ha enterado. Normalmente, estas cosas se avisan de forma rápida y en secreto a los programadores para que preparen el parche antes de que los hackers lo activen. Pero con Dirty Frag, alguien ha roto ese pacto de silencio y ha llegado la información donde no debía antes de tiempo.

Como resultado, ahora mismo la vulnerabilidad es pública, pero no hay parches oficiales disponibles.

Rizando el rizo, este fallo también ha estado en el código de Linux desde 2017 (al igual que Copy Fail). Eso significa que casi cualquier versión que estés usando ahora mismo, desde la última de Ubuntu (la 24 o la 26) hasta Arch, Fedora, RHEL o incluso el sistema Linux que corre dentro de Windows (WSL2), es vulnerable.

Pero lo que hace que este sea incluso más peligroso es que afecta a módulos que tienen que ver con las conexiones de red seguras (IPSec). Técnicamente, el fallo se aprovecha de una función que debería ahorrar trabajo al procesador al mover datos, pero que acaba permitiendo que un atacante "escriba" donde no debe dentro de la memoria del sistema.

Un script de pocos segundos que puede desencadenar un caos total en Linux y que ya circula por internet

Lo peor es que se encuentra en lugares como GitHub un código de prueba (PoC) que cualquiera puede descargar y compilar.

Afortunadamente, aunque no haya parche oficial, hay una forma de arreglar este problema. La vulnerabilidad vive en unos módulos con nombre esp4, esp6 y rxrpc.

Estos se usan sobre todo para redes VPN y comunicaciones muy específicas. La gran noticia es que la gran mayoría de los servidores y ordenadores de usuarios no los necesitan para funcionar en el día a día. Así que, si quieres protegerte ahora mismo, lo mejor que puedes hacer es apagarlos manualmente. Para hacerlo, solo tienes que ejecutar un comando que bloquee estos módulos.

Mientras tanto, los grandes equipos de seguridad de Canonical, Red Hat y el propio Linus Torvalds están trabajando para evitar mayores problemas. Se espera que en las próximas horas empiecen a llegar las primeras actualizaciones de seguridad.

Teniendo en cuenta que hablamos de Linux, tiene a miles de programadores en todo el mundo revisando el sistema al mismo tiempo. No importa la gravedad, y da exactamente igual lo complejo que sea un bug. En cuanto se detecta un fallo, la comunidad entera se pone manos a la obra para acabar con él. Será cuestión de horas.

Por último, seguramente muchos se preguntan qué hace ahí un fallo durante tantos años sin ser descubierto. Al igual que la otra vulnerabilidad comentada, la inteligencia artificial está siendo la encargada de revisar el código y encontrar todos estos fallos. De otra forma, y teniendo en cuenta la antigüedad, resulta casi imposible para el ser humano.