Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1664
)
-
▼
marzo
(Total:
172
)
-
Las IA son capaces de descubrir la identidad real ...
-
Descubren que dos IA están hablando entre ellas y ...
-
Windows 11 quiere darle una nueva vida a "Impr Pan...
-
Niño de 12 años construye un dispositivo de fusión...
-
NVIDIA lanza el driver 595.76 y corrige cuatro pro...
-
WikiFlix, la plataforma de streaming gratis que re...
-
Trabajadores de OpenAI y Google se rebelan contra ...
-
EE.UU: Pese a desterrar a Antrophic, su IA Claude ...
-
App para móviles Android te avisa cuando alguien c...
-
Explotación de vulnerabilidad 0-day de Cisco SD-WAN
-
Europol desmantela LeakBase: cae uno de los mayore...
-
Un simple typo provoca un 0-day de ejecución remot...
-
Nueva vulnerabilidad en MongoDB permite bloquearlo
-
CyberStrikeAI: La nueva herramienta de IA que los ...
-
Ray-Ban Meta: empleados en Kenia pueden estar vien...
-
Bill Gates logra la aprobación para construir su p...
-
Seagate revive los discos duros con sus HDD Mozaic...
-
Europa logra récord de transferencia de datos a un...
-
Vulnerabilidad en Cisco Secure Firewall permite ej...
-
Marca china económica descubierta en estafa de CPU...
-
El presidente de Intel, Frank Yeary, se retira; Cr...
-
Samsung presenta la serie Galaxy Book6 con GPU ded...
-
Miles de controladores de gestión de edificios Hon...
-
Micron muestra los primeros módulos de memoria SOC...
-
Meta reconoce fallos en la privacidad en el uso de...
-
El navegador Comet de Perplexity secuestrado media...
-
Los bots se lanzan a por la DDR5: hasta 10 millone...
-
¿Y si no pudieras entrar más en una red social? Es...
-
CISA advierte sobre vulnerabilidad de corrupción d...
-
AMD alerta de una posible escasez de CPUs
-
Campaña de malvertising distribuye el infostealer ...
-
Google presenta certificados de árbol de Merkle pa...
-
Nuevo disco duro de ADN puede "borrarse y sobrescr...
-
Microsoft advierte de un nuevo ataque de phishing ...
-
Google presenta Gemini 3.1 Flash-Lite, su IA más r...
-
Una API robada les cuesta 82.314$ por usar Google ...
-
En Japón puedes jugar al Tetris en unas escaleras ...
-
Vulnerabilidad en HPE AutoPass permite a atacantes...
-
Casio presenta su reloj inteligente híbrido G-Shoc...
-
Meta cree que Instagram no afectó la salud mental ...
-
Roban más de 600.000 datos de pacientes de clínica...
-
Kit de exploits Coruna con 23 exploits hackeó mile...
-
China lanza el primer "Windows" gratuito para comp...
-
China destroza las estadísticas de Steam y convier...
-
Agricultor de 86 años se convierte en el líder de ...
-
Apple filtra accidentalmente su portátil económico...
-
Seagate comienza a enviar discos duros de 44TB con...
-
CISA advierte sobre vulnerabilidad en VMware Aria ...
-
Usan Telegram para acceder a VPN, RDP y entornos e...
-
Apple M5 Max y M5 Pro: los nuevos procesadores más...
-
Confirmado por Microsoft: si quieres esta función ...
-
Un analista de seguridad de Google avisa sobre Irá...
-
Bots de DRAM supuestamente usados para acaparar ch...
-
Intel Nova Lake-S: especificaciones, modelos, sock...
-
Una de las funciones más útiles de Claude ahora es...
-
"Ya lo solucionaremos" no es una estrategia, es un...
-
Ataque AirSnitch evita el cifrado de Wi-Fi
-
TCL Tbot, un robot asistente con IA para niños, qu...
-
No solo Qualcomm: MediaTek apuesta por IA, 6G y Wi...
-
Qué es ‘Microslop’ y por qué Microsoft no quiere q...
-
Un bot ataca a Microsoft y DataDog por mala config...
-
Google prepara Chrome contra hackers cuánticos: lo...
-
Intel presentaXeon 6+ Clearwater Forest con 288 E-...
-
Nuevo malware Dohdoor ataca escuelas y sector salu...
-
Los infostealers impulsan ataques masivos de fuerz...
-
Microsoft Highlight Reels: la NPU de tu consola o ...
-
JEDEC lanza UFS 5.0 y UFSHCI 5.0 para aumentar la ...
-
Vulnerabilidades críticas en Trend Micro Apex One ...
-
Llista IPTV con más de 39.000 canales de televisió...
-
Cuidado: están vendiendo portátiles con 1,2 TB de ...
-
Los procesadores móviles de Intel han logrado hast...
-
CPU a 40 °C gracias a un cubo de hielo perpetuo: e...
-
Configuraciones prácticas de Gmail
-
El Pixel 11 deja ver su Tensor G6 en pruebas
-
Gemini se actualiza: ya permite enviar hasta 10 im...
-
Disco de juego ultra raro destrozado por Aduanas d...
-
Linux Mint Xfce es una Distro ultraligera de Linux...
-
Vulnerabilidad OpenClaw de cero clics permite a si...
-
Microsoft prepara Copilot Canvas: la pizarra con I...
-
Team Mirai, el «partido de la IA» que quiere revol...
-
Microsoft Edge abrirá Copilot automáticamente al h...
-
China ya tiene su procesador fotónico LightGen, 10...
-
YouTube prueba IA en Shorts: te va a permitir tran...
-
Comando peform /report en Windows analiza porqué t...
-
Ataques con drones dañan centros de datos de AWS d...
-
Operación Filtración desmantela foro cibercriminal...
-
AMD lanza su Ryzen 5 5500X3D en China: la tecnolog...
-
EE.UU. usó supuestamente a Claude en ataques a Irá...
-
AMD presenta Ryzen AI 400 para escritorio con hast...
-
Trump ordena eliminar la IA de Anthropic de las ag...
-
Nuevo FRITZ!Box 6835 5G: Internet de alto rendimie...
-
Qualcomm FastConnect 8800 traerá el Wi-Fi 8 a los ...
-
Intel revela las especificaciones de sus Xeon 600 ...
-
Los drivers GeForce 595.71 WHQL introdujeron nuevo...
-
iPhone 17e: Apple apuesta sobre seguro
-
Oppo lanzará por primera vez en España su móvil má...
-
Así son las "autopistas" de los satélites que orbi...
-
Actores de amenazas despliegan 'AuraStealer' con 4...
-
Apple lanza el iPhone 17e, su móvil más barato
-
Apple anuncia el iPad Air con M4, más rápido y mej...
-
-
▼
marzo
(Total:
172
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
China ha desarrollado el procesador fotónico LightGen , 100 veces más potente que el Nvidia A100 , utilizando neuronas fotónicas para elimi... -
Un ingeniero de Microsoft revela que MS-DOS podía generar gráficos desde hace casi 30 años, pero la compañía optó por una interfaz mediocr...
Alerta de Ciberseguridad: Claves de API de Google «Inofensivas» ahora Exponen Datos Críticos de Gemini AI
Investigadores descubren que claves de API de Google Cloud antes consideradas inofensivas ahora exponen datos críticos de Gemini AI, poniendo en riesgo privacidad corporativa y estabilidad financiera de miles de organizaciones.
- Lo que ayer era una práctica común y segura, hoy se ha convertido en una vulnerabilidad crítica que compromete la privacidad de datos corporativos y la estabilidad financiera de miles de organizaciones. Una investigación reciente ha revelado que antiguas claves de API de Google Cloud, tradicionalmente consideradas como identificadores públicos de bajo riesgo para servicios como Google Maps o YouTube embeds, ahora otorgan acceso no autorizado al potente asistente de inteligencia artificial Gemini.
El origen del problema: El cambio en los privilegios de Google Cloud
Históricamente, los desarrolladores de aplicaciones web han integrado claves de API directamente en el código del lado del cliente (client-side code). Estas claves permitían funciones básicas como mostrar un mapa interactivo o rastrear el uso de Firebase sin representar una amenaza mayor, ya que su alcance estaba estrictamente limitado. Sin embargo, con el despliegue masivo del ecosistema de IA de Google, la arquitectura de permisos ha sufrido una transformación silenciosa.
Al introducir Gemini AI, Google unificó la autenticación bajo el paraguas de las claves de Google Cloud. Esto significa que una clave que fue creada hace años para una tarea trivial ahora posee, por defecto, la capacidad de autenticar peticiones hacia el Generative Language API. El riesgo reside en que miles de estas claves siguen expuestas en el código fuente de sitios web públicos, listas para ser recolectadas por actores malintencionados.
Análisis técnico: ¿Cómo ocurre la exposición?
Investigadores de la firma de seguridad TruffleSecurity identificaron este fallo tras analizar el conjunto de datos de Common Crawl de noviembre de 2025. Los hallazgos son alarmantes: se localizaron más de 2,800 claves de API activas y expuestas en sitios de instituciones financieras, empresas de reclutamiento y firmas de seguridad de alto nivel.
El proceso de explotación es sencillo:
- Un atacante inspecciona el código fuente (JavaScript) de una página web legítima.
- Copia la clave de API expuesta.
- Utiliza dicha clave para realizar llamadas al endpoint de Gemini API (
/models), saltándose los controles de seguridad previstos para datos privados.
| Elemento Afectado | Descripción del Riesgo |
| Tipo de Clave | Claves de API de Google Cloud heredadas (Maps, YouTube, Firebase). |
| Privilegios | Escalada automática de privilegios hacia servicios de IA generativa. |
| Impacto Financiero | Cargos imprevistos de miles de dólares por uso excesivo de la API. |
| Fuga de Datos | Acceso potencial a datos privados procesados a través de Gemini. |
Impacto Potencial: Más allá de la privacidad
El peligro no se limita únicamente a la lectura de información sensible. Dado que el uso de la API de Gemini tiene un coste asociado, un ciberdelincuente podría utilizar una clave robada para alimentar sus propios proyectos de IA o realizar ataques de denegación de servicio económico. Según TruffleSecurity, un actor de amenazas que maximice las llamadas a la API podría generar facturas de miles de dólares al día en una sola cuenta de víctima, dependiendo del modelo y la ventana de contexto utilizados.
Incluso la propia infraestructura de Google se vio afectada, con claves incrustadas en sitios web públicos de productos de la compañía que databan de febrero de 2023, demostrando que ni siquiera los gigantes tecnológicos están exentos de errores en la gestión de secretos.
Respuesta de Google y Medidas de Mitigación
Tras ser notificada, Google clasificó inicialmente el hallazgo como una «escalada de privilegios de servicio único». Desde entonces, la compañía ha implementado medidas proactivas para mitigar el impacto. Un portavoz de Google confirmó que han comenzado a bloquear el acceso a Gemini desde claves detectadas como filtradas y que las nuevas claves generadas en AI Studio tendrán, por defecto, un alcance limitado únicamente a Gemini para evitar confusiones.
Recomendaciones de Seguridad
Para proteger sus activos digitales, desde Hispasec recomendamos a los administradores de sistemas y desarrolladores seguir estos pasos inmediatos:
- Auditoría de Inventario: Revisar todos los proyectos de Google Cloud y verificar si el Generative Language API está habilitado innecesariamente.
- Rotación de Secretos: Si alguna clave de API está presente en el código fuente de una web pública, debe ser rotada de inmediato.
- Restricciones de API: Configurar restricciones de aplicación (por dirección IP o referente HTTP) y restricciones de API (limitar la clave solo al servicio que realmente necesita, como Maps).
- Herramientas de Detección: Implementar herramientas de escaneo de secretos como TruffleHog en los flujos de CI/CD para evitar que nuevas claves lleguen a entornos públicos.
Más información:
- Previously harmless Google API keys now expose Gemini AI data – https://www.bleepingcomputer.com/news/security/previously-harmless-google-api-keys-now-expose-gemini-ai-data/
Fuentes:
https://unaaldia.hispasec.com/2026/02/alerta-de-ciberseguridad-claves-de-api-de-google-inofensivas-ahora-exponen-datos-criticos-de-gemini-ai.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.