Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 9-15 mayo
ClaudeBleed: el plugin de Claude para Chrome podía ser secuestrado por cualquier extensión para exfiltrar ficheros
Investigadores de LayerX han identificado una vulnerabilidad estructural en la extensión de Claude para Chrome que rompe el modelo de seguridad del navegador al no verificar el origen de los mensajes recibidos. Cualquier extensión, sin permisos especiales, podía inyectar instrucciones directamente al LLM de Claude a través de un content script, convirtiendo el agente en un confused deputy: el agente ejecutaba órdenes maliciosas creyendo que provenían de una fuente de confianza.
Como prueba de concepto, LayerX demostró cómo forzar a Claude a localizar archivos en Google Drive y compartirlos con una dirección externa, resumir mensajes de Gmail y borrar las evidencias, o exfiltrar código fuente de repositorios GitHub conectados. La evasión de las salvaguardas del LLM se logró mediante approval looping y manipulación del DOM para renombrar botones y ocultar indicadores de acciones sensibles.
Anthropic publicó un parche parcial el 6 de mayo (versión 1.0.70) que añade ventanas de confirmación, pero LayerX comprobó que forzar el modo privileged las elude por completo ya que el problema de fondo, la confianza basada en Origen, permanece sin resolver según los investigadores.
Agentes de IA ejecutan intrusiones completas contra los sectores gubernamental y financiero en Latinoamérica
TrendAI Research ha publicado un análisis detallado de dos campañas independientes, SHADOW-AETHER-040 y SHADOW-AETHER-064, que marcan un hito al emplear agentes de IA para ejecutar operaciones de intrusión de extremo a extremo, desde el acceso inicial hasta la exfiltración de datos, contra entidades gubernamentales en México y organizaciones financieras en Brasil.
SHADOW-AETHER-040 comprometió al menos seis organismos gubernamentales mexicanos entre diciembre de 2025 y enero de 2026 utilizando Claude como motor del agente CLI: el actor instruía al modelo para desplegar webshells Neo-reGeorg, establecer túneles SOCKS5 con Chisel, pivotar mediante ProxyChains y SSH, analizar ficheros de configuración en busca de credenciales embebidas, realizar password spraying con CrackMapExec e Impacket, y exfiltrar bases de datos vía SCP.
Cuando el agente se negaba a actuar contra un objetivo identificado como gubernamental, el operador iteraba con prompts de jailbreak que lo enmarcaban como ejercicio de red team autorizado. SHADOW-AETHER-064 reproduce un patrón tácticamente casi idéntico (ProxyChains, Chisel, CrackMapExec, Impacket) y añade herramientas propias como el proxy HTTP POW y la backdoor de tunelización inversa SOCKS5 SOCKTZ, cuyo código fuente muestra trazas inequívocas de vibe coding asistido por IA.
Ambas campañas demuestran que los agentes de IA no solo aceleran tareas manuales, sino que generan dinámicamente comandos y scripts ad hoc que eluden la detección basada en firmas de herramientas conocidas.
Dos APT vinculadas a Rusia comprometen cinco plantas de agua en Polonia
La Agencia de Seguridad Interior de Polonia (ABW) ha publicado un informe detallado sobre una campaña sostenida contra infraestructuras de agua del país, confirmando brechas de seguridad en cinco instalaciones de tratamiento de agua durante 2025, con capacidad acreditada para alterar configuraciones de equipos ICS. El informe señala que las amenazas rusas APT28 y APT29 lograron acceder a los sistemas de control industrial de las plantas en lo que las autoridades polacas describen como un patrón de guerra híbrida con objetivos más amplios que el daño operacional inmediato.
Primer 0-day desarrollado con IA y diseñado para explotación masiva
Google Threat Intelligence Group (GTIG) ha publicado su informe semestral sobre el uso de IA en operaciones ofensivas, y por primera vez documenta un caso en que actores de amenazas emplearon un modelo de lenguaje para descubrir y armar un 0-day: una vulnerabilidad de bypass de 2FA en una herramienta de administración web de código abierto ampliamente desplegada. Los indicios en el código (docstrings educativos en abundancia, una puntuación CVSS alucinada inexistente y formato Pythonic) apuntan con alta confianza al uso de un LLM, aunque Google descarta que fuera Gemini.
El fallo, un logic bug semántico de alto nivel fruto de una asunción de confianza hardcodeada, es precisamente el tipo de vulnerabilidad que los LLMs detectan mejor que el fuzzing o el análisis estático, al poder razonar sobre la intención del desarrollador. GTIG logró una divulgación responsable con el vendedor afectado y frustró la campaña antes de que se desencadenara la explotación masiva planificada.
El mismo informe detalla el uso de IA por APT45 (Corea del Norte), UNC2814 y APT27 (China) para investigación de vulnerabilidades, y documenta el backdoor Android PROMPTSPY, que integra el API de Gemini como agente autónomo para navegar la interfaz del dispositivo víctima, capturar credenciales biométricas e impedir su desinstalación mediante overlays invisibles.
Vulnerabilidad crítica en NGINX expone un tercio de los servidores web del mundo
Un fallo de corrupción de memoria en el módulo de reescritura de NGINX, introducido en el código fuente en 2008 y presente durante casi dos décadas en todas las distribuciones estándar, ha sido descubierto por investigadores de Depthfirst. El error, rastreado como CVE-2026-42945 (CVSSv4 9.2 según F5), reside en ngx_http_script.c dentro del módulo ngx_http_rewrite_module y se produce por una inconsistencia entre las dos pasadas de procesamiento de directivas rewrite: la primera calcula el tamaño del búfer sin contar el escapado URI, pero la segunda lo aplica, provocando un desbordamiento controlado por el atacante.
Un atacante no autenticado puede enviar una sola petición HTTP especialmente diseñada para derribar los procesos worker de NGINX o, con ASLR desactivado, lograr ejecución remota de código. La arquitectura multiproceso de NGINX facilita además la explotación repetida, ya que el proceso maestro relanza nuevos workers con el mismo layout de memoria.
El alcance es excepcional: NGINX sirve aproximadamente un tercio de todos los sitios web globales, y la vulnerabilidad afecta desde NGINX Open Source 0.6.27 hasta 1.30.0, NGINX Plus hasta R36, y múltiples productos del ecosistema como NGINX App Protect WAF, Gateway Fabric e Ingress Controller. F5 ha publicado versiones corregidas (1.31.0 / 1.30.1 para Open Source, R36 P4 para Plus); como mitigación inmediata si el parche no es viable, sustituir las capturas de regex sin nombre ($1, $2) por capturas con nombre ((?<name>...)) en las directivas rewrite elimina el camino de explotación.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
