CSIRT-CAN – Centro de Respuesta a Incidentes de Seguridad de Canarias

Listas de Blogs

¿Los nuevos modelos de IA ponen en riesgos las infraestructuras críticas?

Mythos es un nuevo modelo de IA de Anthropic que destaca por su capacidad de programar a muy alto nivel y detectar vulnerabilidades de ciberseguridad y proponer cómo explotarlas. Reuters dice que esa combinación ha llevado a supervisores y reguladores a tratarlo como un posible nuevo foco de riesgo, especialmente para banca e infraestructuras con sistemas heredados.Los supervisores del Banco Central Europeo (BCE) están a punto de interrogar a los banqueros sobre los riesgos de que el nuevo modelo de inteligencia artificial de Anthropic pueda potenciar los ciberataques, dijo una fuente familiarizada con la situación a Reuters el miércoles.Las capacidades de Mythos para programar a alto nivel le han otorgado una capacidad potencialmente sin precedentes para “identificar vulnerabilidades de ciberseguridad e idear formas de explotarlas”. El secretario del Tesoro de EE. UU., Scott Bissent, y el presidente de la Reserva Federal, Jerome Powell, convocaron la semana pasada una reunión urgente con los directores ejecutivos de los bancos para advertirles sobre los riesgos. Alberto Musalem dijo a Reuters que el desarrollo subrayaba la necesidad de que el banco central de EE. UU. "revise cómo pensamos sobre la ciberseguridad" y de consultar con los bancos sobre su propia "resiliencia y robustez frente al riesgo cibernético en este nuevo mundo."La secretaria de Tecnología británica, Liz Kendall, y el ministro de Seguridad Dan Jarvis lanzaron una advertencia similar a las empresas el miércoles, afirmando que Mythos era "sustancialmente más capaz en ciberdelitos" que cualquier modelo previamente probado por el Instituto de Seguridad de IA del gobierno.El gobernador del Banco de Inglaterra, Andrew Bailey, dijo esta semana que los bancos centrales y los reguladores financieros deben comprender rápidamente las implicaciones del nuevo modelo. 

Leer más

TIPOS DE IA: ¿EN QUÉ SE DIFERENCIAN?

La inteligencia artificial (IA) es una de las herramientas de innovación más poderosas de nuestro siglo. Sin embargo, hay distintos tipos que tienen diversas funciones complementarias. Así que hoy analizamos las diferencias entre IA generativa (Chat GPT) y la IA predictiva (Google Maps). 1) Objetivo principalLa IA generativa aprende patrones de grandes volúmenes de datos y luego genera una salida nueva, como texto, imágenes, audio, vídeo o código. La IA predictiva usa datos históricos para estimar resultados futuros o asignar una categoría: por ejemplo, prever ventas, detectar fraude, estimar abandono de clientes o decidir si un correo es spam.  2) Tipo de salidaLa salida de la IA generativa suele ser algo “creado”: un borrador de email, una imagen, un resumen, una respuesta conversacional o una pieza de código.  La salida de la IA predictiva/tradicional suele ser una probabilidad, etiqueta, puntuación, recomendación o decisión: “riesgo alto”, “cliente con 82% de probabilidad de cancelar”, “aprobado/rechazado”, “producto recomendado”.  3) Cómo “piensan”En términos simples: •    La predictiva intenta responder: “¿qué va a pasar?” o “¿a qué categoría pertenece esto?”.   •    La generativa intenta responder: “¿cómo sería un ejemplo nuevo parecido a lo aprendido?”. 4) Datos y entrenamientoLa IA generativa suele entrenarse con conjuntos de datos muy grandes y variados porque necesita aprender la estructura del contenido para poder producir nuevas salidas convincentes.  La IA predictiva puede trabajar con datos más enfocados y etiquetados para una tarea concreta, como impago sí/no, churn sí/no, demanda por semana o diagnóstico por clase.   5) Ejemplos cotidianos Generativa•    Redactar un correo.•    Crear una imagen.•    Resumir un informe.•    Generar código.•    Producir una transcripción o una respuesta conversacional. Predictiva •    Filtro de spam.•    Scoring de crédito.•    Detección de fraude.•    Predicción de ventas.•    Recomendadores.•    Clasificación de documentos o imágenes. 6) Una forma fácil de recordarlo•    Generativa: redacta el informe.•    Predictiva: calcula la probabilidad de que ocurra algo. 

Leer más

Mirai: una infraestructura para el cibercrimen

Mirai es un malware que infecta dispositivos como cámaras, aparatos de wifi, televisiones inteligentes.Convierte estos dispositivos en una red controlada por atacantes, a los que denominados botnet. Este malware se ha utilizado para lanzar ataques masivos coordinados. Sin embargo, hay actualizaciones en su configuración.Las nuevas variantes han mejorado los ataques DDoS. Ahora son más grandes, más distribuidos, más difíciles de bloquear. Además, la novedad clave está en el uso de nuevos proxies malicioso. •    El atacante redirige tráfico a través de ellos•    Parecen “usuarios normales” desde fueraEsto permite:•    Ocultar la identidad del atacante•    Evadir bloqueos y sistemas de seguridad•    Simular tráfico legítimoEs parecido a usar una VPN… pero ilegal y con dispositivos hackeados.Estas innovaciones se pueden utilizar principalmente para preservar el anonimato de los atacantes y lanzar ataques a mayor escala. A diferencia de hace unos pocos meses, este malware podía tumbar una web, ahora puede mantener el anonimato y preservar un fraude. Se vuelven plataformas multifunción, no solo herramientas de ataque. Y esto es extremadamente preocupante:•    Hay millones de dispositivos IoT vulnerables•    Los ataques ahora son:o    Más difíciles de detectaro    Más rentables para los atacanteso    Más persistentesAdemás, el malware Mirai ya es como un “modelo base” que otros reutilizan constantemente. Mirai ha evolucionado de una herramienta de DDoS a una infraestructura completa de cibercrimen. 

Leer más

El FBI desarticula grupos hacktivistas pro-iraní

El FBI (Oficina Federal de Investigaciones de EE. UU.) incautó esta semana dos sitios web vinculados a un grupo de hackers pro iraní conocido como Handala Hack Team. La acción se realizó junto con el Departamento de Justicia de EE. UU. como parte de una operación coordinada para interrumpir actividades cibernéticas consideradas maliciosas y vinculadas a un actor extranjero. Los dos dominios que fueron tomados por el FBI:1.    Uno funcionaba como sitio central donde el grupo Handala publicaba información sobre sus operaciones de hackeo.2.    El otro se usaba para publicar datos personales (“doxing”) de personas supuestamente vinculadas a empresas de defensa o tecnología israelíes (como Elbit Systems o NSO Group).Ambos sitios ahora muestran un avisooficial indicando que la infraestructura ha sido incautada por autoridades federales de EE. UU. porque se determinó que se usaban para “facilitar actividades cibernéticas maliciosas en nombre de, o en coordinación con, un actor estatal extranjero.” Handala Hack Team es un grupo de hacktivistas que se presenta como pro palestino, y ha estado activo al menos desde finales de 2023. Aunque el grupo se autodefine a sí mismo como “activista”, existen indicios de que podría operar con al menos el apoyo tácito de actores estatales iraníes, o acuar como faceta menos oficial de operaciones vinculadas a Irán. Este grupo ha reivindicado ataques de tipo político, incluyendo la eliminación de datos de redes, filtración de información y publicación de listas de objetivos.La operación policial llega justo después de que Handala reclamara responsabilidad por un ciberataque significativo contra Stryker Corporation, una gran empresa de tecnología médica con decenas de miles de empleados. Según el grupo:•    Accedieron a una cuenta administrativa interna de Windows.•    Controlaron el sistema de gestión Microsoft Intune.•    Y, desde ahí, borraron datos de decenas de miles de dispositivos corporativos y personales. Este incidente subraya cómo las operaciones cibernéticas se han vuelto parte integral de las tensiones geopolíticas actuales, donde no solo los estados lanzan ataques, sino también grupos afines o financiados por gobiernos pueden participar en campañas digitales con objetivos políticos o estratégicos. Tras el ataque a Stryker, agencias como la CISA (Cybersecurity and Infrastructure Security Agency de EE. UU.) y Microsoft han emitido recomendaciones para reforzar sistemas de gestión de dispositivos, como controles más estrictos de acceso, autenticación multifactor y políticas de privilegios mínimos. 

Leer más

Microsoft Teams sufre una campaña de ingeniería social en pleno auge

Una campaña de ingeniería social que abusa de Microsoft Teams y Windows Quick Assist está en pleno auge.BlueVoyant advierte que los atacantes están implementando una familia de malware recientemente identificada, llamada A0Backdoor, tras convencer a los empleados de que cedan el acceso remoto.Esta actividad se superpone con tácticas previamente vinculadas a Blitz Brigantine, también identificado como Storm-1811, un clúster con fines financieros que Microsoft ha vinculado con las operaciones del ransomware Black Basta.Según BlueVoyant, los ataques suelen comenzar con un bombardeo de correo electrónico, en el que el objetivo recibe una gran cantidad de mensajes basura y luego es contactado por alguien que se hace pasar por el soporte técnico interno a través de Microsoft Teams.El atacante ofrece ayuda para solucionar el problema del correo electrónico y convence al empleado para que inicie Quick Assist, una herramienta legítima de soporte remoto de Microsoft que permite compartir la pantalla y controlar el dispositivo.BlueVoyant descubrió que los instaladores colocaban archivos en rutas AppData del usuario que imitaban ubicaciones legítimas de software de Microsoft y luego recurrían a la instalación de DLL para ejecutar código malicioso.La campaña es importante porque muestra que el mismo manual que los defensores han seguido desde 2024 todavía funciona, pero con herramientas renovadas y un comando y control más encubierto.Para los defensores, la lección es clara: tratar Microsoft Teams como un canal de acceso inicial, no solo como una aplicación de colaboración. Las organizaciones deben restringir o eliminar la Asistencia Rápida donde no sea necesaria, supervisar los chats externos no solicitados de Teams e investigar los instaladores MSI firmados o los binarios de Microsoft que aparecen en directorios inusuales con permisos de escritura para el usuario.

Leer más

¿Qué es CSIRT-CAN?

El CSIRT-CAN (Centro de Respuesta a Incidentes de Seguridad de Canarias) es una entidad dedicada a la protección y resiliencia de las infraestructuras digitales en Canarias. Nuestro centro se especializa en la detección, análisis y mitigación de incidentes de seguridad cibernética, brindando soporte técnico y estratégico a organizaciones públicas y privadas.

Reportar un Incidente
CAPTCHA de imagen
Get new captcha!
Introduzca los caracteres mostrados en la imagen.

¿Qué hacemos por ti?

CSIRT-CAN ofrece diferentes servicios para la prevención y pronta solución de incidentes relacionados con la ciberseguridad.

Tarjeta de Links

Información es PREVENCIÓN

Reporte de INCIDENTES

Proactividad y FORMACIÓN

Está pasando

Tendencias

Slider Principal

¡Cuidado con lo que buscas en Google!

Leer más

Múltiples vulnerabilidades en Power…

Leer más

[SCI] Inyección de comandos en…

Leer más

Vulnerabilidad que permite ejecución…

Leer más

Servicios por perfiles

Públicos Objetivo