Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1603
)
-
▼
febrero
(Total:
811
)
-
Demis Hassabis (Google DeepMind) cree que la AGI l...
-
Otra tienda filtra que GTA 6 costará 100 euros: si...
-
El Galaxy S26 Ultra se queda atrás en sensores de ...
-
Sam Altman lo tiene claro: "El 'AI washing' es rea...
-
Herramienta de IA OpenClaw borra el buzón del dire...
-
Cuando nadie responde por tu GPU: RX 7900 XT MBA c...
-
Múltiples vulnerabilidades en CPSD CryptoPro Secur...
-
Explotan vulnerabilidad en servidor Apache ActiveM...
-
DJI demanda a la FCC por prohibir la importación d...
-
Nvidia aún no ha vendido ni un H200 a China casi t...
-
ONLYOFFICE Docs 9.3: nueva versión de la suite ofi...
-
MSI renueva su línea de placas base económicas par...
-
Le pide 4 dólares a un agente de IA por contagiar ...
-
Qué servicios de Windows deberías deshabilitar y c...
-
El uso de IPTV piratas se dispara en Europa, y los...
-
Vulnerabilidades críticas en SolarWinds Serv-U per...
-
Desarrollador ingenioso crea emulador de CPU x86 s...
-
Este modelo de IA español está comprimido, es grat...
-
Ataques OAuth en Entra ID pueden usar ChatGPT para...
-
Paquetes NuGet maliciosos roban credenciales de de...
-
CISA confirma explotación activa de vulnerabilidad...
-
Microsoft advierte de ataques a desarrolladores co...
-
Un manitas construye un visor de realidad virtual ...
-
Intel apuesta por la inferencia de IA con sus CPU ...
-
Fortinet avisa de la explotación activa de la vuln...
-
La IA impulsó la economía estadounidense en "práct...
-
El 65% de las organizaciones financieras son blanc...
-
Actores de amenazas usan herramientas de IA para a...
-
Pillan a dos estudiantes de 15 y 13 años fabricand...
-
Reddit multado con 14,47 millones de libras por fa...
-
Singularity Computers Penta Node: controla hasta 5...
-
EE. UU. sanciona red de intermediarios que robaron...
-
GitHub Copilot explotado para tomar control total ...
-
PayPal confirma una exposición de datos de seis me...
-
SanDisk presenta su nueva generación de SSD portát...
-
¿Tienes un móvil roto y no sabes qué hacer con él?...
-
29 minutos es el tiempo que necesita un atacante p...
-
Cómo eliminar anuncios en Windows con Winaero Tweaker
-
Así es la Honor Magic Pad 4, la tablet más delgada...
-
Así funcionarán las pantallas táctiles en los MacB...
-
Microsoft dejará de dar soporte a Windows Server 2...
-
EE.UU. invierte más de 30.000 millones de dólares ...
-
Qué es el puerto SFP+ de un router: la conexión pr...
-
Los propietarios de Lenovo y Asus con Ryzen Z1 Ext...
-
Fuga de datos de Conduent: el mayor ciberataque en...
-
La gravedad contra tu CPU: la orientación del disi...
-
El chip AI100 de Qualcomm de 2019 logra un gran de...
-
Habilidades maliciosas de OpenClaw engañan a usuar...
-
Nueva vulnerabilidad de deserialización en trabaja...
-
El gobierno de EE.UU. advirtió a los CEOs de Nvidi...
-
Ingenieros de la NASA reprogramaron el chip Snapdr...
-
La nueva herramienta de IA de Anthropic escribe có...
-
NVIDIA viene fuerte: sella alianzas con Lenovo y D...
-
Múltiples vulnerabilidades en VMware Aria permiten...
-
PC de 99 kg integrado en un radiador victoriano de...
-
Un ladrón aficionado roba tres GPUs por 11.000$ de...
-
Samsung integra Perplexity en sus móviles mediante...
-
Grupo cibercriminal ruso Diesel Vortex roba más de...
-
Dispositivo óptico transmite datos a 25 Gbps media...
-
Cuando "Vibe Coding" se convierte en una pesadilla...
-
Desarrollador ambicioso presenta un juego tipo Qua...
-
ATABoy conecta discos IDE antiguos al siglo XXI co...
-
Usan imágenes esteganográficas para eludir escaneo...
-
Qué es Citrini Research y por qué ha causado el ca...
-
CISA alerta de explotación activa de dos vulnerabi...
-
Actores norcoreanos usan falsos trabajadores de TI...
-
El último modelo de IA chino de DeepSeek se ha ent...
-
GrayCharlie inyecta JavaScript malicioso en sitios...
-
El mapa de España que muestra las antenas que tien...
-
Nuevo RAT personalizado MIMICRAT descubierto en so...
-
Presunto robo de 21 millones de registros de Odido...
-
ASML aumenta la potencia de sus sistemas de litogr...
-
China muestra el rival del Apple MacBook Air: el M...
-
Adiós al cable submarino que cambió Internet
-
Samsung activa la era PCIe 6.0: prepara la producc...
-
El MIT crea una impresora 3D capaz de fabricar un ...
-
Anthropic acusa a DeepSeek y otras IA chinas de co...
-
WhatsApp lanza función opcional de contraseña para...
-
Qué tiene dentro una SIM, la tecnología que no ha ...
-
Panasonic deja de fabricar televisores, el fin de ...
-
Usan DeepSeek y Claude para atacar dispositivos Fo...
-
OpenClaw lanza la versión 2026.2.23 con actualizac...
-
Vía libre para los procesadores NVIDIA N1, un dolo...
-
Ring no quiere problemas con sus timbres y ofrece ...
-
La marca Xbox morirá lentamente, dice el creador d...
-
Todos los datos de altos cargos del INCIBE Español...
-
Detenidos los cuatro miembros principales del grup...
-
Microsoft planea añadir agentes IA integrados en W...
-
Visto en China: máquinas robots recolectores de fr...
-
Mil millones de registros de datos personales expu...
-
Tesla deja sin pagar un pedido de 4.000 pasteles y...
-
Código *#9900# para móviles Samsung Galaxy te da a...
-
¿Qué es 'ghost tapping', la estafa silenciosa, que...
-
Visto en China: autobuses con semáforos en tiempo ...
-
Sam Altman, CEO de OpenAI: "Los humanos consumen t...
-
Nuevo marco de phishing Starkiller clona páginas d...
-
Google decide cambiar las descripciones generales ...
-
Los relojes de Huawei ya permiten los pagos sin co...
-
Amazon da un paso atrás con la IA, y retira su fla...
-
Anthropic lanza Claude Code Security para analizar...
-
-
▼
febrero
(Total:
811
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
Agente asistido por IA compromete dispositivos FortiGate en Latinoamérica
Un actor de amenazas rusoparlante con motivaciones financieras utilizó herramientas comerciales de IA generativa para comprometer más de 600 dispositivos FortiGate en 55 países, explotando puertos de administración expuestos y credenciales débiles sin vulnerabilidades conocidas. La IA permitió a un atacante con capacidades técnicas limitadas escalar ataques, incluyendo robo de configuraciones, acceso a Active Directory y preparación para ransomware. Los dispositivos afectados se concentran en Latinoamérica, Asia y Europa, y el ataque se basó en escaneos automatizados de puertos y credenciales reutilizadas. Amazon recomienda proteger interfaces de administración, usar autenticación multifactor y auditar accesos no autorizados.
Según nuevos hallazgos de Amazon Threat Intelligence, un actor de amenazas rusoparlante con motivaciones financieras se ha estado aprovechando de servicios comerciales de inteligencia artificial (IA) generativa para comprometer más de 600 dispositivos FortiGate ubicados en 55 países.
"No se observó explotación de las vulnerabilidades de FortiGate; en cambio, esta campaña tuvo éxito al explotar puertos de administración expuestos y credenciales débiles con autenticación de un solo factor, brechas de seguridad fundamentales que la IA ayudó a un actor poco sofisticado a explotar a gran escala", declaró CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security, en un informe.
El gigante tecnológico describió al actor de amenazas como poseedor de capacidades técnicas limitadas, una limitación que superaron al recurrir a múltiples herramientas comerciales de IA generativa para implementar diversas fases del ciclo de ataque, como el desarrollo de herramientas, la planificación del ataque y la generación de comandos.
Si bien una herramienta de IA sirvió como eje principal de la operación, los atacantes también recurrieron a una segunda herramienta de IA como respaldo para facilitar su adaptación dentro de una red comprometida específica. No se revelaron los nombres de las herramientas de IA.
Se considera que el actor de amenazas busca obtener beneficios económicos y no está asociado con ninguna amenaza persistente avanzada (APT) con recursos estatales. Como destacó recientemente Google, los actores de amenazas están adoptando cada vez más herramientas de IA generativa para escalar y acelerar sus operaciones, incluso si no les proporcionan usos novedosos de la tecnología.
En todo caso, la aparición de herramientas de IA ilustra cómo capacidades que antes estaban fuera del alcance de actores de amenazas novatos o con dificultades técnicas se están volviendo cada vez más viables, lo que reduce aún más la barrera de entrada para la ciberdelincuencia y les permite desarrollar metodologías de ataque.
"Probablemente se trate de una persona o un pequeño grupo con motivaciones económicas que, mediante la mejora de la IA, alcanzaron una escala operativa que antes habría requerido un equipo significativamente mayor y más capacitado", afirmó Moses.
La investigación de Amazon sobre la actividad del actor de amenazas ha revelado que ha comprometido con éxito los entornos de Active Directory de varias organizaciones, ha extraído bases de datos de credenciales completas e incluso ha atacado la infraestructura de copias de seguridad, probablemente como paso previo a la implementación del ransomware.
Lo interesante es que, en lugar de idear maneras de persistir en entornos reforzados o que empleaban controles de seguridad sofisticados, el actor de amenazas optó por abandonar el objetivo por completo y centrarse en una víctima relativamente más vulnerable. Esto indica el uso de IA como una forma de cubrir sus necesidades de habilidades y obtener presas fáciles.
Amazon afirmó haber identificado infraestructura de acceso público administrada por los atacantes que albergaba diversos artefactos relacionados con la campaña. Esto incluía planes de ataque generados por IA, configuraciones de víctimas y código fuente para herramientas personalizadas. Todo este modus operandi es similar a una "cadena de montaje impulsada por IA para el cibercrimen", añadió la compañía.
En esencia, los ataques permitieron al atacante vulnerar los dispositivos FortiGate, extrayendo configuraciones completas de los dispositivos, lo que a su vez permitió obtener credenciales, información de topología de red y configuración de los dispositivos.
Esto implicó el escaneo sistemático de las interfaces de administración de FortiGate expuestas a internet a través de los puertos 443, 8443, 10443 y 4443, seguido de intentos de autenticación utilizando credenciales comúnmente reutilizadas. La actividad fue independiente del sector, lo que indica un escaneo masivo automatizado en busca de dispositivos vulnerables. Los escaneos se originaron desde la dirección IP 212[.]11.64.250 y 185[.]196.11.225
Acceso inicial: Abuso masivo de credenciales
El vector de acceso inicial del atacante fue el acceso basado en credenciales a las interfaces de administración de FortiGate expuestas a internet. El análisis de las herramientas del atacante permitió un escaneo sistemático de las interfaces de administración en los puertos 443, 8443, 10443 y 4443, seguido de intentos de autenticación utilizando credenciales comúnmente reutilizadas.
Los archivos de configuración de FortiGate representan objetivos de alto valor porque contienen:
- Credenciales de usuario SSL-VPN con contraseñas recuperables
- Credenciales administrativas
- Topología de red completa e información de enrutamiento
- Políticas de firewall que revelan la arquitectura interna
- Configuraciones de pares VPN IPsec
El atacante desarrolló scripts de Python asistidos por IA para analizar, descifrar y organizar estas configuraciones robadas.
Los datos robados se utilizaron posteriormente para profundizar en las redes objetivo y realizar actividades posteriores a la explotación, incluyendo el reconocimiento para el escaneo de vulnerabilidades mediante Nuclei, la vulneración de Active Directory, la recolección de credenciales y los intentos de acceder a la infraestructura de respaldo, que se alinean con las operaciones típicas de ransomware.
Los datos recopilados por Amazon muestran que la actividad de escaneo resultó en una vulnerabilidad a nivel organizacional, lo que provocó el acceso a múltiples dispositivos FortiGate pertenecientes a la misma entidad. Los clústeres comprometidos se han detectado en el sur de Asia, Latinoamérica, el Caribe, África Occidental, el norte de Europa y el sudeste asiático.
"Tras el acceso VPN a las redes de las víctimas, el actor de amenazas implementa una herramienta de reconocimiento personalizada, con diferentes versiones escritas tanto en Go como en Python", declaró la compañía. "El análisis del código fuente revela claros indicadores de desarrollo asistido por IA: comentarios redundantes que simplemente reformulan los nombres de las funciones, una arquitectura simplista con una inversión desproporcionada en formato en lugar de funcionalidad, análisis ingenuo de JSON mediante coincidencia de cadenas en lugar de una deserialización adecuada, y correcciones de compatibilidad para las funciones integradas del lenguaje con fragmentos de documentación vacíos".
A continuación, se enumeran algunos de los demás pasos que el actor de amenazas realizó tras la fase de reconocimiento:
- Comprometer el dominio mediante ataques DCSync.
- Moverse lateralmente por la red mediante ataques pass-the-hash/pass-the-ticket, ataques de retransmisión NTLM y ejecución remota de comandos en hosts Windows.
- Atacar los servidores de Veeam Backup & Replication para implementar herramientas y programas de recolección de credenciales destinados a explotar vulnerabilidades conocidas de Veeam (p. ej., CVE-2023-27532 y CVE-2024-40711).
Otro hallazgo destacable es el patrón del actor de amenazas de experimentar repetidamente fallos al intentar explotar cualquier método que vaya más allá de las "rutas de ataque más directas y automatizadas", y su propia documentación registra que los objetivos habían parcheado los servicios, cerrado los puertos necesarios o no tenían vectores de explotación vulnerables.
Dado que los dispositivos Fortinet se están convirtiendo en un objetivo atractivo para los ciberdelincuentes, es fundamental que las organizaciones se aseguren de que las interfaces de administración no estén expuestas a internet, cambien las credenciales predeterminadas y comunes, roten las credenciales de usuario SSL-VPN, implementen la autenticación multifactor para el acceso administrativo y VPN, y auditen las cuentas o conexiones administrativas no autorizadas.
También es fundamental aislar los servidores de respaldo del acceso general a la red, garantizar que todos los programas de software estén actualizados y supervisar la exposición no intencionada de la red.
Fuente: THN
Fuentes:
http://blog.segu-info.com.ar/2026/02/agente-asistido-por-ia-compromete.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.