Newsletter - 2025-8

Tabla de Contenidos
  1. Newsletter - 2025-8
    1. La nueva táctica de los ciberdelincuentes: Ataques telefónicos dirigidos
    2. Vulnerabilidad en Amazon Machine Image permite ejecución de código remoto en AWS
    3. El auge de la inteligencia artificial generativa en los ataques de ingeniería social
    4. Nueva Estrategia de Ataque: Smishing Dirigido a Usuarios de Peajes
    5. El auge de los ataques de ingeniería social potenciados por la inteligencia artificial
    6. La importancia de la autenticación multifactor en la protección empresarial
    7. Ciberataques dirigidos a dispositivos móviles vulnerables

La nueva táctica de los ciberdelincuentes: Ataques telefónicos dirigidos

Categoría Seguridad Móvil
Nombre del tema La nueva táctica de los ciberdelincuentes: Ataques telefónicos dirigidos
Brecha Vulnerabilidad en la instalación de aplicaciones desde fuentes desconocidas durante llamadas telefónicas
Criticidad
Solución propuesta Implementación de restricciones en Android para bloquear cambios de configuración durante llamadas
Beneficios esperados Reducción significativa del éxito de ataques TOAD y limitación en la instalación de malware
Artículo original The Hacker News

Seguridad Móvil

En los últimos tiempos, los ciberdelincuentes han desarrollado nuevas tácticas para atacar a los usuarios de dispositivos móviles mediante ataques telefónicos dirigidos, una estrategia conocida como TOAD (Telephone-Oriented Attack Delivery). Esta modalidad de ataque involucra el envío de mensajes SMS a posibles víctimas, induciéndolas a realizar llamadas a números específicos bajo un falso sentido de urgencia. Durante estas llamadas, los atacantes intentan persuadir a las víctimas para que realicen acciones específicas que comprometan la seguridad de sus dispositivos.

Google ha tomado medidas significativas para contrarrestar este tipo de ataques con la introducción de una nueva característica de seguridad en Android 16 Beta 2. Esta funcionalidad bloquea la capacidad de los usuarios para cambiar configuraciones sensibles durante una llamada telefónica, previniendo la activación de opciones como la instalación de aplicaciones desde fuentes desconocidas y el acceso a servicios de accesibilidad.

Los usuarios que intentan realizar estos cambios durante una llamada reciben el siguiente mensaje de advertencia: “Los estafadores a menudo solicitan este tipo de acción durante conversaciones telefónicas, por lo que está bloqueado para protegerte. Si alguien que no conoces te guía a realizar esta acción, podría ser una estafa.” Esta medida crea una barrera adicional contra las tácticas de ingeniería social utilizadas por los atacantes.

La implementación de esta funcionalidad en Android 16 Beta 2 forma parte de un esfuerzo más amplio de Google para incrementar la seguridad de sus dispositivos móviles. El objetivo es introducir más fricción en las tácticas comúnmente abusadas por actores malintencionados para distribuir malware. Este enfoque se ha vuelto crucial tras los hallazgos del NCC Group y el Centro Nacional de Ciberseguridad de Finlandia (NCSC-FI) que revelaron cómo los ciberdelincuentes estaban distribuyendo aplicaciones maliciosas mediante una combinación de mensajes SMS y llamadas telefónicas para engañar a las víctimas e instalar malware como Vultr.

Además de bloquear cambios de configuración durante llamadas, Google también ha expandido las configuraciones restringidas para cubrir más categorías de permisos, impidiendo que las aplicaciones instaladas desde fuera de la tienda oficial accedan a datos sensibles. En mercados como Brasil, Hong Kong, India, Kenia, Nigeria, Filipinas, Singapur, Sudáfrica, Tailandia y Vietnam, Google ha implementado la capacidad de bloquear automáticamente la instalación de aplicaciones potencialmente inseguras, como una medida para combatir el fraude.

Este enfoque integral de seguridad móvil no solo se centra en la protección durante llamadas telefónicas, sino también en la prevención de la instalación de software malicioso desde fuentes no verificadas. La implementación de estas medidas de seguridad en Android 16 Beta 2 es un paso significativo hacia la mejora de la resiliencia contra ataques móviles y la protección de los usuarios contra el creciente número de amenazas cibernéticas.

En conclusión, la nueva táctica de ataques telefónicos dirigidos representa una amenaza significativa para la seguridad móvil. Sin embargo, con la introducción de restricciones durante llamadas telefónicas y la expansión de configuraciones de seguridad en Android, Google está liderando la lucha contra estas amenazas. Es crucial que los usuarios de dispositivos móviles permanezcan informados y adopten prácticas de seguridad recomendadas para minimizar el riesgo de ser víctimas de estos ataques. Mantener el software actualizado, no instalar aplicaciones desde fuentes desconocidas y estar alerta a posibles intentos de ingeniería social son pasos esenciales para protegerse en el entorno digital actual.

Vulnerabilidad en Amazon Machine Image permite ejecución de código remoto en AWS

Categoría Seguridad en la Nube
Nombre del tema Vulnerabilidad en Amazon Machine Image permite ejecución de código remoto en AWS
Brecha Falta de especificación de parámetros críticos al buscar AMIs, lo que permite la inclusión de AMIs maliciosas
Criticidad
Solución propuesta Implementación de controles de seguridad que aseguren la especificación del propietario de la AMI y uso de filtros adecuados
Beneficios esperados Reducción del riesgo de ejecución de código malicioso, mejora de la seguridad de las instancias EC2 y prevención de ataques de cadena de suministro
Artículo original The Hacker News

Seguridad en la Nube

Investigadores de seguridad han descubierto un nuevo tipo de ataque de confusión de nombre denominado whoAMI. Este ataque permite a cualquier persona que publique una Amazon Machine Image (AMI) con un nombre específico obtener la ejecución de código dentro de la cuenta de Amazon Web Services (AWS) de la víctima. Si se ejecuta a gran escala, este ataque podría utilizarse para acceder a miles de cuentas.

En esencia, la técnica es una subcategoría de un ataque a la cadena de suministro que implica la publicación de un recurso malicioso y engañar al software mal configurado para que lo use en lugar del recurso legítimo. El ataque explota el hecho de que cualquiera puede publicar una AMI, una imagen de máquina virtual utilizada para iniciar instancias de Elastic Compute Cloud (EC2) en AWS, en el catálogo comunitario, y que los desarrolladores podrían omitir mencionar el atributo “–owners” al buscar una a través de la API ec2:DescribeImages.

Para que el ataque de confusión de nombre tenga éxito, deben cumplirse las siguientes tres condiciones cuando una víctima recupera el ID de la AMI a través de la API:

  1. Uso del filtro de nombre,
  2. Falta de especificar los parámetros de propietario, alias del propietario o ID del propietario,
  3. Recuperación de la imagen más reciente de la lista devuelta de imágenes coincidentes (“most_recent=true”).

Esto lleva a una situación en la que un atacante puede crear una AMI maliciosa con un nombre que coincida con el patrón especificado en los criterios de búsqueda, resultando en la creación de una instancia de EC2 utilizando la AMI del atacante. Esto, a su vez, otorga capacidades de ejecución de código remoto (RCE) en la instancia, permitiendo a los atacantes iniciar diversas acciones de post-explotación.

Todo lo que un atacante necesita es una cuenta de AWS para publicar su AMI con puerta trasera en el catálogo público de AMIs comunitarias y optar por un nombre que coincida con las AMIs buscadas por sus objetivos.

“Es muy similar a un ataque de confusión de dependencias, excepto que en el último, el recurso malicioso es una dependencia de software (como un paquete pip), mientras que en el ataque de confusión de nombre whoAMI, el recurso malicioso es una imagen de máquina virtual,” comentó Seth Art, investigador de Datadog Security Labs.

Datadog informó que aproximadamente el 1% de las organizaciones monitoreadas por la compañía fueron afectadas por el ataque whoAMI, y que encontraron ejemplos públicos de código escrito en Python, Go, Java, Terraform, Pulumi y Bash shell utilizando los criterios vulnerables.

Tras la divulgación responsable el 16 de septiembre de 2024, el problema fue abordado por Amazon tres días después. Al ser contactada para comentar, AWS informó a The Hacker News que no encontraron evidencia de que la técnica haya sido abusada en el mundo real. “Todos los servicios de AWS están operando según lo diseñado. Basado en un análisis extenso de registros y monitoreo, nuestra investigación confirmó que la técnica descrita en esta investigación solo ha sido ejecutada por los investigadores autorizados, sin evidencia de uso por otras partes,” indicó la compañía.

“Esta técnica podría afectar a los clientes que recuperan IDs de Amazon Machine Image (AMI) a través de la API ec2:DescribeImages sin especificar el valor del propietario. En diciembre de 2024, introdujimos Allowed AMIs, una nueva configuración a nivel de cuenta que permite a los clientes limitar el descubrimiento y uso de AMIs dentro de sus cuentas de AWS. Recomendamos a los clientes evaluar e implementar este nuevo control de seguridad.”

Desde noviembre pasado, HashiCorp Terraform ha comenzado a emitir advertencias a los usuarios cuando “most_recent = true” se usa sin un filtro de propietario en la versión 5.77.0 del proveedor de Terraform para AWS. Se espera que la advertencia diagnóstica se actualice a un error efectivo en la versión 6.0.0.

El auge de la inteligencia artificial generativa en los ataques de ingeniería social

Categoría Seguridad en Aplicaciones
Nombre del tema El auge de la inteligencia artificial generativa en los ataques de ingeniería social
Brecha Falta de medidas de seguridad robustas contra ataques impulsados por GenAI, como deepfakes y vishing
Criticidad
Solución propuesta Implementación de autenticación multifactor, monitoreo avanzado de comportamientos sospechosos y formación continua del personal
Beneficios esperados Mitigación de riesgos asociados a ataques de ingeniería social, mejora de la detección de fraudes y fortalecimiento de la resiliencia organizacional
Artículo original The Hacker News

Seguridad en Aplicaciones

La ingeniería social está avanzando rápidamente, impulsada por la inteligencia artificial generativa (GenAI). Esto ofrece a los actores maliciosos múltiples nuevas herramientas y técnicas para investigar, evaluar y explotar organizaciones. En una reciente comunicación, el FBI señaló: “A medida que la tecnología sigue evolucionando, también lo hacen las tácticas de los ciberdelincuentes”.

Este artículo explora algunos de los impactos de esta aceleración impulsada por la GenAI y examina lo que significa para los líderes de TI responsables de gestionar las defensas y mitigar las vulnerabilidades.

Más realismo, mejor pretexting y escenarios de ataque multilingües

Los métodos tradicionales de ingeniería social suelen implicar la suplantación de alguien que el objetivo conoce. El atacante puede ocultarse detrás de un correo electrónico para comunicarse, añadiendo algunos desencadenantes psicológicos para aumentar las posibilidades de una brecha exitosa. Tal vez una solicitud para actuar con urgencia, para que el objetivo sea menos propenso a detenerse y desarrollar dudas. O hacer que el correo electrónico provenga del CEO del empleado, esperando que el respeto del empleado por la autoridad signifique que no cuestionará el mensaje.

Si se usa la voz, el atacante puede fingir ser alguien con quien el objetivo no ha hablado (y reconocería la voz). Tal vez pretendiendo ser de otro departamento o socio externo.

Por supuesto, estos métodos a menudo se desmoronan cuando el objetivo quiere verificar su identidad de alguna manera. Ya sea queriendo comprobar su apariencia, o cómo escriben en un chat en tiempo real.

Sin embargo, ahora que la GenAI ha entrado en la conversación, las cosas han cambiado.

El aumento de los videos deepfake significa que los adversarios ya no necesitan esconderse detrás de teclados. Estos mezclan grabaciones genuinas para analizar y recrear los gestos y el habla de una persona. Luego, simplemente se trata de dirigir el deepfake para decir cualquier cosa, o usarlo como una máscara digital que reproduce lo que el atacante dice y hace frente a la cámara.

El aumento del trabajo digital primero, con trabajadores remotos acostumbrados a reuniones virtuales, significa que es más fácil explicar posibles señales de advertencia. ¿Movimientos antinaturales o voz que suena ligeramente diferente? Culpa a una mala conexión. Al hablar cara a cara, esto añade una capa de autenticidad que respalda nuestro instinto natural de pensar que “ver es creer”.

La tecnología de clonación de voz significa que los atacantes también pueden hablar con cualquier voz, llevando a cabo ataques de phishing de voz, también conocidos como vishing. La creciente capacidad de esta tecnología se refleja en la recomendación de Open AI para que los bancos comiencen a “eliminar la autenticación basada en voz como una medida de seguridad para acceder a cuentas bancarias y otra información sensible”.

La comunicación basada en texto también se transforma con la GenAI. El aumento de los modelos de lenguaje de gran tamaño (LLM) permite a los actores maliciosos operar a nivel de hablante casi nativo, con salidas que pueden entrenarse en dialectos regionales para una mayor fluidez. Esto abre la puerta a nuevos mercados para ataques de ingeniería social, con el idioma ya no siendo un obstáculo al seleccionar objetivos.

Ordenando el OSINT no estructurado con GenAI

Si alguien alguna vez ha estado en línea, habrá dejado una huella digital en algún lugar. Dependiendo de lo que compartan, esto a veces puede ser suficiente para revelar suficiente información para suplantarlos o comprometer su identidad. Pueden compartir su cumpleaños en Facebook, publicar su lugar de empleo en LinkedIn y poner fotos de su hogar, familia y vida en Instagram.

Estas acciones ofrecen formas de construir perfiles para usar en ataques de ingeniería social contra las personas y organizaciones a las que están conectados. En el pasado, reunir toda esta información sería un proceso largo y manual. Buscar en cada canal de redes sociales, tratando de unir los puntos entre las publicaciones de las personas y la información pública.

Ahora, la IA puede hacer todo esto a velocidad hipersónica, rastreando internet en busca de datos no estructurados, para recuperar, organizar y clasificar todas las posibles coincidencias. Esto incluye sistemas de reconocimiento facial, donde es posible subir una foto de alguien y dejar que el motor de búsqueda encuentre todos los lugares en los que aparece en línea.

Además, dado que la información está disponible públicamente, es posible acceder y agregar esta información de manera anónima. Incluso al usar herramientas GenAI de pago, las cuentas robadas están a la venta en la web oscura, dando a los atacantes otra forma de ocultar su actividad, uso y consultas.

Convertir montones de datos en montones de tesoros

Las filtraciones de datos a gran escala son un hecho de la vida digital moderna, desde que más de 533 millones de usuarios de Facebook vieron comprometidos detalles (incluidos cumpleaños, números de teléfono, ubicaciones) en 2021, hasta más de 3 mil millones de usuarios de Yahoo que tuvieron información sensible expuesta en 2024. Por supuesto, examinar manualmente estos volúmenes de datos no es práctico ni posible.

En cambio, ahora las personas pueden aprovechar las herramientas GenAI para clasificar de manera autónoma grandes volúmenes de contenido. Estas pueden encontrar cualquier dato que pueda usarse maliciosamente, como para extorsión, aprovechar discusiones privadas o robar propiedad intelectual oculta en documentos.

La IA también mapea a los creadores de los documentos (usando una forma de reconocimiento de entidades nombradas), para establecer cualquier conexión incriminatoria entre diferentes partes, incluidos transferencias de dinero y discusiones confidenciales.

Muchas herramientas son de código abierto, lo que permite a los usuarios personalizarlas con complementos y módulos. Por ejemplo, Recon-ng se puede configurar para casos de uso como recolección de correos electrónicos y recopilación de OSINT. Otras herramientas no son de uso público, como Red Reaper. Esta es una forma de IA de espionaje, capaz de examinar cientos de miles de correos electrónicos para detectar información sensible que podría usarse contra organizaciones.

El genio GenAI está fuera de la botella: ¿está expuesta su empresa?

Los atacantes ahora pueden usar internet como una base de datos. Solo necesitan un dato como punto de partida, como un nombre, dirección de correo electrónico o imagen. La GenAI puede ponerse a trabajar, ejecutando consultas en tiempo real para extraer, descubrir y procesar conexiones y relaciones.

Luego se trata de elegir la herramienta adecuada para los exploits, a menudo a escala y funcionando de manera autónoma. Ya sea videos deepfake y clonación de voz, o ataques impulsados por conversaciones basadas en LLM. Estos habrían estado limitados a un grupo selecto de especialistas con el conocimiento necesario. Ahora, el panorama está democratizado con el auge del “hacking como servicio” que hace gran parte del trabajo duro para los ciberdelincuentes.

Entonces, ¿cómo puede saber qué información potencialmente comprometedora está disponible sobre su organización?

Hemos creado una herramienta de monitoreo de amenazas que le dice. Rastreará cada rincón de internet, informándole qué datos están disponibles y podrían ser explotados para crear pretextos de ataque efectivos, para que pueda actuar antes de que un atacante lo haga primero.

Nueva Estrategia de Ataque: Smishing Dirigido a Usuarios de Peajes

Categoría Seguridad en Aplicaciones
Nombre del tema Smishing Dirigido a Usuarios de Peajes
Brecha Falta de concienciación y medidas de seguridad adecuadas para prevenir smishing
Criticidad
Solución propuesta Implementación de programas de concienciación, mejoras en la detección de smishing y autenticación multifactor
Beneficios esperados Reducción del riesgo de robo de datos y fraude financiero, mejora de la seguridad de los usuarios
Artículo original The Hacker News

Seguridad en Aplicaciones

En los últimos tiempos, se ha observado un incremento significativo en los mensajes de texto fraudulentos (phishing por SMS o “smishing”) en Estados Unidos, dirigidos a usuarios de operadores de peajes como E-ZPass. Estos mensajes advierten a los destinatarios sobre multas por tarifas de peaje no pagadas, instándoles a proporcionar datos de tarjetas de pago y, eventualmente, contraseñas de un solo uso enviadas a través de SMS o aplicaciones de autenticación móvil.

Este fenómeno está vinculado a la adición de nuevas funciones a un kit de phishing comercial popular en China, que facilita la creación de señuelos convincentes que suplantan a los operadores de peajes en varios estados de EE.UU. La semana pasada, el Departamento de Transporte de Massachusetts (MassDOT) alertó a los residentes sobre una nueva estafa de smishing dirigida a los usuarios del programa de peajes electrónicos EZDriveMA. Los informes de ataques similares surgieron simultáneamente en otros estados como Florida, Texas, California, Colorado, Connecticut, Minnesota y Washington.

La metodología de estos ataques se basa en la ingeniería social para generar una sensación de urgencia y preocupación en las víctimas. Los mensajes fraudulentos suelen contener enlaces que redirigen a páginas web diseñadas para parecer legítimas, donde se solicita a los usuarios que ingresen información personal y financiera. Una vez que los datos son ingresados, los atacantes pueden utilizarlos para cometer fraudes financieros y otros tipos de delitos cibernéticos.

La sofisticación de estos ataques ha aumentado gracias a la disponibilidad de kits de phishing comerciales que incluyen funciones avanzadas para evadir la detección. Estos kits permiten a los ciberdelincuentes personalizar los mensajes y páginas de phishing para que sean más convincentes y difíciles de identificar como fraudulentos. Además, los kits de phishing modernos a menudo incluyen mecanismos para eludir las herramientas de seguridad tradicionales, como los filtros de spam y los sistemas de detección de fraudes.

Para protegerse contra este tipo de ataques, es esencial que los usuarios estén bien informados sobre las tácticas utilizadas por los ciberdelincuentes y adopten medidas de seguridad adecuadas. Entre las recomendaciones clave se incluyen no hacer clic en enlaces sospechosos, verificar la autenticidad de los mensajes contactando directamente con el proveedor de servicios, y utilizar la autenticación multifactor para proteger las cuentas sensibles.

Las organizaciones también tienen un papel crucial en la prevención del smishing. Deben implementar programas de concienciación que eduquen a los empleados y clientes sobre los riesgos del phishing y cómo identificar posibles ataques. Además, las empresas pueden utilizar tecnologías avanzadas de detección y respuesta para identificar y mitigar los intentos de smishing antes de que lleguen a los usuarios finales.

En resumen, el aumento de los ataques de smishing dirigidos a usuarios de peajes en Estados Unidos destaca la necesidad de una mayor concienciación y medidas de seguridad tanto a nivel individual como organizacional. Adoptar un enfoque proactivo para la ciberseguridad puede ayudar a reducir significativamente el riesgo de ser víctima de estas estafas y proteger la información sensible de los usuarios.

En los últimos tiempos, se ha observado un incremento significativo en los mensajes de texto fraudulentos (phishing por SMS o “smishing”) en Estados Unidos, dirigidos a usuarios de operadores de peajes como E-ZPass. Estos mensajes advierten a los destinatarios sobre multas por tarifas de peaje no pagadas, instándoles a proporcionar datos de tarjetas de pago y, eventualmente, contraseñas de un solo uso enviadas a través de SMS o aplicaciones de autenticación móvil.

Este fenómeno está vinculado a la adición de nuevas funciones a un kit de phishing comercial popular en China, que facilita la creación de señuelos convincentes que suplantan a los operadores de peajes en varios estados de EE.UU. La semana pasada, el Departamento de Transporte de Massachusetts (MassDOT) alertó a los residentes sobre una nueva estafa de smishing dirigida a los usuarios del programa de peajes electrónicos EZDriveMA. Los informes de ataques similares surgieron simultáneamente en otros estados como Florida, Texas, California, Colorado, Connecticut, Minnesota y Washington.

A widespread phishing campaign has been observed leveraging bogus PDF documents hosted on the Webflow content delivery network (CDN) with an aim to steal credit card information and commit financial fraud.

“The attacker targets victims searching for documents on search engines, resulting in access to malicious PDF that contains a CAPTCHA image embedded with a phishing link, leading them to provide sensitive information,” Netskope Threat Labs researcher Jan Michael Alcantara said. Cybersecurity

The activity, ongoing since the second half of 2024, entails users looking for book titles, documents, and charts on search engines like Google to redirect users to PDF files hosted on Webflow CDN.

These PDF files come embedded with an image that mimics a CAPTCHA challenge, causing users who click on it to be taken to a phishing page that, this time, hosts a real Cloudflare Turnstile CAPTCHA.

In doing so, the attackers aim to lend the process a veneer of legitimacy, fooling victims into thinking that they had interacted with a security check, while also evading detection by static scanners.

Users who complete the genuine CAPTCHA challenge are subsequently redirected to a page that includes a “download” button to access the supposed document. However, when the victims attempt to complete the step, they are served a pop-up message asking them to enter their personal and credit card details. CAPTCHA Trick on Webflow

“Upon entering credit card details, the attacker will send an error message to indicate that it was not accepted,” Michael Alcantara said. “If the victim submits their credit card details two or three more times, they will be redirected to an HTTP 500 error page.”

The development comes as SlashNext detailed a new phishing kit named Astaroth (not to be confused with a banking malware of the same name) that’s advertised on Telegram and cybercrime marketplaces for $2,000 in exchange for six-months of updates and bypass techniques. Cybersecurity

Like other phishing-as-a-service (PhaaS) offerings, it allows cyber crooks the ability to harvest credentials and two-factor authentication (2FA) codes via bogus login pages that mimic popular online services.

“Astaroth utilizes an Evilginx-style reverse proxy to intercept and manipulate traffic between victims and legitimate authentication services like Gmail, Yahoo, and Microsoft,” security researcher Daniel Kelley said. “Acting as a man-in-the-middle, it captures login credentials, tokens, and session cookies in real time, effectively bypassing 2FA.”

El auge de los ataques de ingeniería social potenciados por la inteligencia artificial

Categoría Seguridad en Aplicaciones
Nombre del tema El auge de los ataques de ingeniería social potenciados por la inteligencia artificial
Brecha Vulnerabilidades en la autenticación y autorización de usuarios en aplicaciones impulsadas por IA
Criticidad
Solución propuesta Implementación de medidas de autenticación avanzadas y monitoreo continuo del tráfico de aplicaciones
Beneficios esperados Mejora en la detección de actividades sospechosas, reducción de acceso no autorizado y aumento de la seguridad en las aplicaciones
Artículo original The Hacker News

Seguridad en Aplicaciones

En la era de la inteligencia artificial (IA), las aplicaciones y servicios están siendo transformados de manera significativa, proporcionando beneficios notables a los usuarios y empresas. No obstante, la integración de IA en estas plataformas también ha traído consigo nuevos y complejos desafíos de seguridad, principalmente relacionados con la identidad y la autenticación de usuarios. Este artículo se centra en los riesgos que afectan a las aplicaciones impulsadas por IA y cómo enfrentarlos de manera eficaz.

Para entender mejor estos desafíos, es importante desglosar las diferentes tecnologías que caen bajo el paraguas de la IA. Por ejemplo, la IA simbólica utiliza tecnologías como la programación lógica, sistemas expertos y redes semánticas. Por otro lado, enfoques más modernos emplean redes neuronales y modelos de aprendizaje automático (ML) y modelos de lenguaje a gran escala (LLM) para generar contenido como texto, imágenes y videos. La mayoría de las aplicaciones que utilizamos hoy en día, como chatbots y herramientas de creación de contenido, están impulsadas por ML y LLM.

Las aplicaciones impulsadas por IA tienen distintos niveles de complejidad y están expuestas a diversos riesgos. Generalmente, una vulnerabilidad en un sistema de IA también afecta a las aplicaciones que dependen de él. A continuación, se detallan los principales requisitos de seguridad relacionados con la identidad en aplicaciones de IA y cómo abordarlos.

Autenticación de usuarios: Es crucial que la aplicación o agente de IA sepa quién es el usuario. Por ejemplo, un chatbot necesita conocer el historial de chat del usuario o su ubicación para personalizar las respuestas. Esto requiere una forma de identificación, que puede lograrse mediante autenticación.

Llamadas a APIs en nombre de los usuarios: Las aplicaciones de IA se conectan a muchas más aplicaciones que una típica aplicación web. A medida que las aplicaciones de IA se integran con más productos, será fundamental realizar llamadas a APIs de manera segura.

Flujos de trabajo asíncronos: Los agentes de IA pueden necesitar más tiempo para completar tareas o esperar a que se cumplan condiciones complejas. Estos casos se implementarán como flujos de trabajo asíncronos, con agentes que funcionan en segundo plano. Los humanos actuarán como supervisores, aprobando o rechazando acciones cuando no estén frente al chatbot.

Autorización para la Generación Aumentada por Recuperación (RAG): Casi todas las aplicaciones de IA pueden alimentar información de múltiples sistemas a modelos de IA para implementar RAG. Para evitar la divulgación de información sensible, todos los datos alimentados a los modelos de IA deben ser datos a los que el usuario tenga permiso de acceso.

Integración de IA en la estrategia de seguridad de identidad: La integración de IA en la estrategia de seguridad de identidad puede ayudar a detectar bots, sesiones robadas o actividades sospechosas. Esto incluye:

  • Realizar análisis de señales inteligentes para detectar intentos de acceso no autorizados o sospechosos.
  • Analizar diversas señales relacionadas con la actividad de acceso a aplicaciones y compararlas con datos históricos para identificar patrones comunes.
  • Terminar una sesión automáticamente si se detecta actividad sospechosa.

El auge de las aplicaciones impulsadas por IA ofrece un gran potencial, pero también introduce riesgos significativos que deben considerarse al construir aplicaciones de IA. La integración segura de la IA en las aplicaciones es crucial para maximizar sus beneficios y minimizar los riesgos de seguridad.

La otra cara de la IA es cómo puede ayudar con las amenazas de seguridad tradicionales. Las aplicaciones de IA enfrentan problemas de seguridad similares a las aplicaciones tradicionales, como el acceso no autorizado a la información, pero con el uso de nuevas técnicas de ataque por parte de actores maliciosos.

La IA es una realidad, para bien o para mal. Trae innumerables beneficios a los usuarios y desarrolladores, pero también preocupaciones y nuevos desafíos en el ámbito de la seguridad. Con la plataforma Auth0, Okta está aquí para ayudar a abordar la pieza de seguridad. Aprende más sobre cómo construir aplicaciones de IA de manera segura en auth0.ai.

La importancia de la autenticación multifactor en la protección empresarial

Categoría Seguridad de Redes
Nombre del tema La importancia de la autenticación multifactor en la protección empresarial
Brecha Falta de implementación universal de MFA en las empresas
Criticidad
Solución propuesta Adopción masiva de MFA y combinación con SSO para minimizar fricciones
Beneficios esperados Mejora significativa en la seguridad de las cuentas empresariales y reducción de accesos no autorizados
Artículo original The Hacker News

Seguridad de Redes

La autenticación multifactor (MFA) ha evolucionado rápidamente de ser una medida de seguridad de nicho a convertirse en el estándar para proteger cuentas empresariales. Sin embargo, a pesar de su indudable eficacia para mantener a los malos actores fuera, la implementación de soluciones MFA puede ser un enredo de diseños y enfoques competidores. Para las empresas y los empleados, la realidad es que la MFA a veces se siente como demasiado de algo bueno.

Razones por las que la MFA no se implementa más universalmente

  1. Las empresas ven la MFA como un centro de costos: La MFA para las empresas no es gratuita, y los costos pueden acumularse con el tiempo. Las soluciones de MFA de terceros vienen con costos de suscripción, típicamente cargados por usuario. Incluso las opciones integradas como las características de MFA de Microsoft 365 pueden costar extra dependiendo de la licencia de Microsoft Entra. Además, está el costo de entrenar a los empleados para usar la MFA y el tiempo que TI toma para inscribirlos. Si la MFA aumenta las llamadas al servicio de asistencia, también suben los costos de soporte. Aunque estos gastos son mucho menores que el costo de una brecha de seguridad (4,88 millones de dólares el año pasado), las empresas no siempre ven esa conexión claramente.

  2. La experiencia del usuario es un punto de dolor persistente: No importa cómo se mire, la MFA también trae pasos adicionales. Después de ingresar una contraseña, los usuarios deben completar otro paso de verificación. Esto inevitablemente añade fricción. Los administradores necesitan considerar la forma de MFA utilizada, con qué frecuencia es requerida, y equilibrar ambos con el riesgo. Combinar la MFA con SSO puede aliviar la carga de seguridad permitiendo a los usuarios autenticar una vez para acceder a múltiples aplicaciones, en lugar de iniciar sesión por separado en cada una. Esto reduce la fricción para los usuarios, para que la MFA no interfiera con el trabajo. Más allá del SSO, mantén a los usuarios finales contentos optando por una plataforma de MFA con configuraciones de políticas flexibles. Por ejemplo, el acceso a estaciones de trabajo internas probablemente no necesita MFA tan a menudo como el acceso remoto a través de VPN, RDP u otras conexiones externas.

  3. La implementación de MFA trae trampas ocultas: Desplegar MFA y entrenar a los usuarios no es una tarea pequeña. El primer paso es crear y gestionar un sistema que mantenga las cosas simples, desde la inscripción del usuario hasta el monitoreo de la actividad de la MFA. Elige una MFA que se lleve bien con la configuración de identidad actual de tu organización. Asegurar el acceso a una mezcla de Active Directory (AD) en las instalaciones e infraestructura en la nube puede significar gestionar múltiples identidades por usuario, creando una sobrecarga de gestión y una brecha de seguridad de identidad híbrida. La escalabilidad también es un factor: a medida que la base de usuarios crece, ¿puede el sistema mantenerse al día? Si dependes de un servicio de MFA de terceros, ¿qué sucede si se cae? Luego está el problema de la conectividad. Muchas soluciones de MFA asumen que los usuarios están siempre en línea. Pero, ¿qué pasa si están desconectados o en una red aislada con conectividad limitada? Considera cómo y dónde inician sesión tus usuarios y evalúa si tu MFA debería soportar mensajes locales para autenticar a los usuarios, incluso cuando su dispositivo no está conectado a Internet.

  4. La MFA por sí sola no es suficiente: Claro, la MFA aumenta la seguridad, pero ningún método de MFA es infalible. Cada enfoque tiene sus propias debilidades que los atacantes pueden explotar. Por ejemplo, la MFA basada en SMS (ya no recomendada) es vulnerable a ataques de intercambio de SIM, mientras que las notificaciones push pueden ser víctimas de la fatiga de MFA, donde los usuarios son bombardeados con solicitudes de inicio de sesión repetidas por atacantes que ya han comprometido sus contraseñas. Los atacantes más avanzados tienen herramientas para robar cookies de sesión, lo que les permite eludir la MFA por completo en algunas situaciones. El SSO, aunque conveniente, puede exacerbar el problema: si un atacante rompe una barrera de MFA, puede acceder a múltiples aplicaciones.

La MFA no tiene que ser tan difícil

La conclusión es que la MFA necesita ser parte de una estrategia más amplia que incluya monitoreo y registro para dar visibilidad a los administradores sobre las actividades de autenticación. Mientras que la MFA es una capa crucial en la defensa contra el acceso no autorizado, su despliegue traerá desafíos. Planifica para ellos. Para una implementación exitosa de MFA, entiende los costos, considera la experiencia del usuario y toma un enfoque proactivo para mitigar sus limitaciones.

Ciberataques dirigidos a dispositivos móviles vulnerables

Categoría Seguridad Móvil
Nombre del tema Ciberataques dirigidos a dispositivos móviles vulnerables
Brecha Vulnerabilidades en sistemas operativos y aplicaciones móviles
Criticidad
Solución propuesta Actualización regular de sistemas y aplicaciones, uso de software de seguridad móvil, y adopción de prácticas de seguridad recomendadas
Beneficios esperados Reducción de la probabilidad de ataques exitosos y protección de datos sensibles
Artículo original The Hacker News

Seguridad Móvil

En los últimos años, los dispositivos móviles se han convertido en un objetivo principal para los ciberdelincuentes debido a su omnipresencia y al acceso que tienen a información sensible. Los ciberataques a dispositivos móviles pueden tomar muchas formas, desde malware y ransomware hasta phishing y exploits de vulnerabilidades no parcheadas en sistemas operativos y aplicaciones.

Tipos de ciberataques móviles

  1. Malware: El malware móvil puede incluir troyanos, spyware, adware y ransomware. Estos programas maliciosos se instalan en el dispositivo sin el conocimiento del usuario y pueden robar información, rastrear actividades o bloquear el acceso a datos hasta que se pague un rescate.

  2. Phishing: Los ataques de phishing móviles, también conocidos como smishing (phishing por SMS) y vishing (phishing por voz), intentan engañar a los usuarios para que revelen información personal o financiera. Los mensajes de phishing pueden parecer que provienen de fuentes confiables, como bancos o proveedores de servicios, y suelen incluir enlaces a sitios web fraudulentos.

  3. Exploits de vulnerabilidades: Los atacantes pueden explotar vulnerabilidades conocidas en sistemas operativos y aplicaciones móviles para obtener acceso no autorizado. Estas vulnerabilidades pueden ser resultado de errores en el código o configuraciones de seguridad incorrectas.

  4. Ataques de red: Los dispositivos móviles pueden ser atacados a través de redes Wi-Fi públicas o inseguras. Los atacantes pueden interceptar comunicaciones, robar credenciales de acceso y distribuir malware a través de redes comprometidas.

Brechas de seguridad en dispositivos móviles

Las brechas de seguridad en dispositivos móviles pueden deberse a varios factores:

  • Falta de actualizaciones: Muchos usuarios no actualizan regularmente sus dispositivos y aplicaciones, dejando abiertas vulnerabilidades conocidas que los atacantes pueden explotar.
  • Aplicaciones no confiables: Descargar aplicaciones de fuentes no oficiales o desconocidas puede aumentar el riesgo de instalar software malicioso.
  • Configuraciones de seguridad débiles: Configuraciones predeterminadas que no están optimizadas para la seguridad pueden dejar los dispositivos expuestos a ataques.
  • Uso de redes inseguras: Conectarse a redes Wi-Fi públicas o no seguras puede exponer los dispositivos a ataques de intermediario (man-in-the-middle).

Medidas de protección

Para protegerse de los ciberataques móviles, se recomiendan las siguientes medidas:

  1. Mantener el software actualizado: Instalar las actualizaciones de sistema operativo y aplicaciones tan pronto como estén disponibles para cerrar vulnerabilidades conocidas.

  2. Usar software de seguridad móvil: Instalar aplicaciones de seguridad que puedan detectar y eliminar malware, así como ofrecer protección contra phishing y otras amenazas.

  3. Descargar aplicaciones de fuentes oficiales: Solo descargar aplicaciones de tiendas oficiales como Google Play Store y Apple App Store para minimizar el riesgo de instalar software malicioso.

  4. Configurar adecuadamente la seguridad: Revisar y ajustar las configuraciones de seguridad del dispositivo para asegurar que estén optimizadas, incluyendo el uso de contraseñas fuertes y autenticación de dos factores.

  5. Evitar redes Wi-Fi públicas: Siempre que sea posible, evitar conectarse a redes Wi-Fi públicas o no seguras. Si es necesario utilizarlas, emplear una red privada virtual (VPN) para cifrar las comunicaciones.

Beneficios esperados

Implementar estas medidas de seguridad puede traer numerosos beneficios, entre ellos:

  • Reducción del riesgo de ataques: Minimizar las probabilidades de que los dispositivos móviles sean comprometidos por ciberdelincuentes.
  • Protección de datos sensibles: Asegurar que la información personal y profesional almacenada en los dispositivos móviles esté protegida contra accesos no autorizados.
  • Mejora de la privacidad: Evitar que los atacantes puedan rastrear actividades o robar información confidencial.
  • Fortalecimiento de la resiliencia: Aumentar la capacidad de los usuarios y organizaciones para detectar y responder a incidentes de seguridad móvil.

En conclusión, la seguridad móvil es una preocupación crítica en la era digital. Los dispositivos móviles son herramientas poderosas que, si no se protegen adecuadamente, pueden convertirse en puertas de entrada para los ciberdelincuentes. Al adoptar prácticas de seguridad adecuadas y mantenerse informados sobre las amenazas emergentes, los usuarios pueden disfrutar de la comodidad de sus dispositivos móviles sin comprometer su seguridad.