Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3758
)
-
▼
mayo
(Total:
455
)
-
WhatsApp añade conversaciones privadas con la IA
-
Actualizaciones de Dell SupportAssist causan bucle...
-
Vulnerabilidad crítica de NGINX de 18 años permite...
-
NVIDIA consigue el permiso de Trump para vender la...
-
Vulnerabilidad crítica de MongoDB permite ejecutar...
-
PS5 y Xbox Series X: ¿agotadas o infrautilizadas?
-
Configura varias VLAN para segmentar la red en un ...
-
En Japón, los SSD han aumentado su precio en casi ...
-
Un exploit zero-day llamado YellowKey permite abri...
-
Packagist pide actualizar Composer tras filtración...
-
Demanda colectiva a OpenAI por compartir datos de ...
-
Vulnerabilidad Fragnesia en Linux permite acceso r...
-
Microsoft prioriza Windows 11 sobre Windows 12
-
Un buen relato biográfico de Kevin Mitnick, probab...
-
Móviles de 2.000 euros por el nuevo Snapdragon 8 E...
-
GTA VI: precompra inminente
-
Apple romperá su dependencia conTSMC: Intel fabric...
-
Xbox Project Helix eliminará el lector de discos
-
EE. UU. imputa al presunto administrador de Dream ...
-
WhatsApp añade chats incógnito con Meta AI
-
Seedworm APT usa binarios de Fortemedia y Sentinel...
-
Andrew Ng critica despidos justificados con la IA
-
Los precios de las tarjetas gráficas bajan en Euro...
-
Fragnesia, la secuela de Dirty Frag, concede acces...
-
Los AMD EPYC representan el 46,2% del gasto total ...
-
NVIDIA presume de la burbuja de la IA: sus GPU “an...
-
UE busca prohibir redes sociales a menores de 16 años
-
Descubren un grave fallo de seguridad en el popula...
-
Android 17 será un sistema inteligente
-
Vulnerabilidad de 18 años en el módulo de reescrit...
-
Jonsbo DS339: así es el mini monitor USB para ver ...
-
IA obliga a parchear fallos de seguridad al instante
-
Teclado Razer Huntsman V3 TKL
-
Ataques contra PraisonAI por CVE-2026-44338: salto...
-
Microsoft soluciona 138 vulnerabilidades, incluyen...
-
Vulnerabilidades Zero-Day en Windows permiten salt...
-
Nueva vulnerabilidad de Exim BDAT GnuTLS permite a...
-
CVE-2026-33017 de Langflow usado para robar claves...
-
IA desborda a las universidades prestigiosas
-
Fracaso de Google Gemini en cafetería
-
iOS 26.5 trae RCS cifrado entre iPhone y Android
-
DeepMind fusiona el cursor con IA
-
Google lleva Gemini Intelligence a Android
-
AWS soluciona vulnerabilidad de salto de autentica...
-
Fragnesia: Nuevo fallo en el kernel de Linux permi...
-
Guerra en Irán obliga a marca de snacks a eliminar...
-
Grupos iraníes atacan a gigante electrónico de Cor...
-
Repositorio falso de filtro de privacidad de OpenA...
-
Móviles con Gemini Intelligence filtrados
-
Impactante Patch Tuesday incluye 30 vulnerabilidad...
-
Sovereign Tech Fund dona un millón de euros a KDE
-
¿Googlebook sustituirá a Chromebook?
-
Consiguen localizar la posición e identificar a us...
-
El Wi-Fi de tu casa capaz de ver a través de las p...
-
Kingston celebra 100 millones de ventas de los SSD...
-
Linux integra funciones de Windows para mejorar lo...
-
Japón planea un anillo solar lunar
-
Nueva campaña de Vidar Stealer evade EDR y roba cr...
-
Empleados de Amazon usan IA sin sentido para escal...
-
Tendencia de portátiles semiabiertos entre program...
-
Microsoft imita a Google para engañar usuarios
-
El sistema de IA MDASH de Microsoft detecta 16 fal...
-
Google iguala a AirDrop entre Android e iPhone
-
Steam Machine: cuatro modelos y reservas antiespec...
-
Altman afirma que Musk quería ceder el control a s...
-
Vulnerabilidades en Zoom Rooms y Workplace permite...
-
Ciberdelincuentes usan IA de Vercel para crear sit...
-
Samsung dejará de fabricar RAM LPDDR4 y afectará a...
-
Vulnerabilidad crítica de SandboxJS permite tomar ...
-
GIGABYTE AORUS RTX 5090 INFINITY: la gráfica con d...
-
Sony lanza el Xperia 1 VIII desde 1.499 euros
-
Vulnerabilidad en extensión de Chrome de Claude pe...
-
Vulnerabilidad crítica en agente IA Cline permite ...
-
Google: Cibercriminales aprovecharon la IA para cr...
-
Foxconn confirma ciberataque tras denuncias de rob...
-
SAP soluciona vulnerabilidades críticas en Commerc...
-
El grupo de malware TeamPCP libera el código fuent...
-
Jensen Huang insta a los universitarios a adoptar ...
-
Usan falsos repositorios de DeepSeek TUI en GitHub...
-
Malware ODINI usa emisiones magnéticas de CPU para...
-
Vietnam impulsará su propia nube para dejar de dep...
-
La RTX 5090 revienta casi la mitad de las contrase...
-
Paquete oficial de CheckMarx para Jenkins comprome...
-
Apple lanza iOS 26.5 con novedades clave
-
84 paquetes npm de TanStack hackeados en ataque a ...
-
Kenia: Centro de datos de Microsoft podría dejar a...
-
iOS 26.5 introduce los mensajes RCS con cifrado de...
-
Nuevo ataque de BitUnlocker en Windows 11 accede a...
-
El primer ministro de Japón ordena revisar la cibe...
-
Ciberdelincuentes emplean IA para crear el primer ...
-
Alerta de seguridad en librería Go fsnotify por ca...
-
Fortinet alerta sobre vulnerabilidades críticas de...
-
Vulnerabilidad de Open WebUI permite ataque RCE me...
-
Xbox y Discord potencian Game Pass
-
Google y SpaceX llevarán la IA al espacio
-
Forza Horizon 6 filtrado por error en Steam
-
El último baile de las viejas GPU ATI en Linux: Me...
-
Škoda Auto sufrió una brecha de seguridad en su ti...
-
El Congreso investiga la filtración de Canvas desp...
-
Samsung lleva la IA a sus neveras Bespoke
-
-
▼
mayo
(Total:
455
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
FluentCleaner es una app gratuita para Windows 11 que limpia archivos innecesarios y optimiza el sistema con mayor control y seguridad ... -
Microsoft busca incrementar la velocidad de Windows 11 hasta un 40% mediante el nuevo modo de baja latencia de la CPU "LLP" , el...
AWS soluciona vulnerabilidad de salto de autenticación que afectaba a pocos usuarios
Fog Security descubrió un fallo de autorización en Amazon Quick que permitía a usuarios saltarse las restricciones de acceso a los agentes de IA. Aunque AWS solucionó el problema rápidamente, minimizó la gravedad calificándola como nula y alegando que no hubo riesgo de datos porque casi ningún cliente usaba esa función específica. El autor critica esta actitud, advirtiendo que AWS está poniendo en riesgo la confianza en su seguridad fundamental al ignorar fallos críticos en sus nuevos servicios de IA.
La mayoría de los usuarios soportan AWS de la misma manera que soportas la oficina de tráfico. Digo esto con cariño, pero es difícil negar que la interfaz de usuario es horrible. La consola es una cápsula del tiempo de UX, si es que a las cápsulas del tiempo no se les permitiera parecerse a otras cápsulas del tiempo. Las páginas de precios fueron diseñadas por alguien que te odia personalmente, y aceptas todo esto porque lo único que AWS ha hecho bien históricamente son las cosas aburridas e importantes. El modelo de seguridad. El lenguaje IAM que a nadie le gusta, pero en el que todos confían. El límite entre tu cuenta y la de otra persona. Si fallan en eso, todo el trato se derrumba.
Así que cuando Fog Security reveló una omisión de autorización en Amazon Quick el 12 de mayo (ese servicio de BI anteriormente conocido como QuickSight, brevemente como Quick Suite, y ahora aparentemente solo Quick, pero vuelve a consultar la próxima semana) y AWS respondió con una declaración afirmando que "ningún dato del cliente estaba en riesgo", es justo preguntar qué definición de datos del cliente están utilizando. Porque no es una obvia, y ciertamente no es la mía.
Fog informa que cuando un administrador de Amazon Quick (lo cual es un insulto personal absolutamente devastador) utiliza "permisos personalizados" para denegar explícitamente el acceso a los Agentes de Chat de IA, la interfaz de usuario oculta correctamente la función. ¡Genial! ¡Impresionante! ¡Ojalá pudiera hacer eso con los buckets de S3 a los que no tengo acceso! Notablemente, no hay otra forma de que un administrador haga esto: o son permisos personalizados o nada.
La API, sin embargo, estaba perfectamente dispuesta a seguir respondiendo solicitudes de chat para cualquier usuario de la cuenta que supiera cómo enviarlas. La prueba de concepto de Fog consistió en un usuario no administrador preguntando al agente "Háblame de los mangos" desde una sesión que, sobre el papel, estaba totalmente bloqueada del agente. El agente le habló de los mangos.
AWS implementó la solución entre el 11 y el 12 de marzo, ocho días después de que Fog lo reportara a través de HackerOne. Hasta aquí, todo coordinado. En serio, para una empresa de esta escala, es una velocidad de superhéroe con los calzoncillos por fuera. Bien por ustedes; estrella dorada.
Donde esto se vuelve incómodo es en la respuesta. AWS clasificó la severidad como "ninguna". No emitió ninguna notificación al cliente. No publicó ningún aviso.
Después de que Fog revelara el informe de HackerOne y publicara una entrada en su blog, AWS proporcionó una declaración a Fog Security que decía, íntegramente: "Agradecemos la divulgación coordinada de Fog Security. Este problema fue abordado en marzo de 2026. Ningún dato del cliente estuvo en riesgo y no se requiere ninguna acción por parte del cliente. Como siempre, los clientes pueden contactar al Soporte de AWS con cualquier pregunta o inquietud sobre la seguridad de su cuenta".
Analiza esa frase y observa cuánto trabajo está haciendo la expresión "ningún dato del cliente estuvo en riesgo".
Amazon Quick se describe en su propia página de producto como un asistente de IA que "conecta Slack, Microsoft Teams y Outlook, CRMs, bases de datos y documentos en un solo lugar" y "fundamenta cada respuesta en sus datos reales de negocio". El agente de chat predeterminado, que se provisiona automática y molestamente en el instante en que se activa Quick, quiera el cliente esas funciones de IA o no, es el front-end de esos datos. Es el propósito fundamental del front-end de esos datos.
Ahora considera el escenario real que AWS acaba de parchear. Un administrador en, digamos, un banco regulado (un banco no regulado se llama "una empresa criminal que aún no ha sido atrapada") configura permisos personalizados denegando el acceso al agente de chat a un grupo grande de usuarios. Tal vez esos usuarios son contratistas. Tal vez están en una unidad de negocio que no tiene autorización para usar herramientas de IA. Tal vez la postura de cumplimiento del banco prohíbe rotundamente el uso de IA en la sombra sobre datos internos. Hasta hace dos meses, cada uno de esos usuarios podía enviar una solicitud HTTP directamente al endpoint del agente y obtener una respuesta.
Fog preguntó sobre los mangos porque son una firma de seguridad realizando una divulgación limpia, no un infiltrado malicioso. Un infiltrado malicioso no habría preguntado por los mangos.
La pregunta para AWS, sin retórica: ¿En qué sentido los datos del cliente no estuvieron en riesgo? O bien el agente de chat no tiene realmente acceso a los datos que la página del producto dice que tiene (en cuyo caso el departamento de marketing tiene que dar muchas explicaciones), o usuarios no autorizados podían consultar un agente conectado a los datos del cliente, en cuyo caso "los datos del cliente estuvieron en riesgo" es la descripción correcta de la situación en inglés.
Después de que esta historia empezara a circular, AWS ofreció un comentario de seguimiento que agradezco sinceramente, porque es mucho más honesto que el primero. Según un portavoz de AWS que parecía acosado: "El investigador estaba utilizando la capacidad de Control de Administrador que ningún cliente estaba utilizando activamente cuando la validación del lado del servidor no estaba presente".
Leer eso dos veces no ayuda. Permítanme traducir.
AWS está diciendo: Sí, faltaba la comprobación de autorización del lado del servidor. Sí, un usuario autenticado en su cuenta de Quick podía saltarse el único mecanismo de control de acceso que ofrece el servicio. La razón por la que esto está bien, aparentemente, es que ningún cliente real se había molestado en configurar ese control de acceso durante la ventana de tiempo en que no funcionaba.
¿Eh... qué?
La defensa no es "el error no era real", que es lo que podrías haber entendido en la primera declaración de AWS. La defensa tampoco es "el error no podría haber hecho lo que Fog dice que podría haber hecho", que es la implicación aún más fuerte de su primera declaración. La defensa es "el control de acceso no aplicaba lo que dijimos que hacía, pero por suerte nadie dependía de él". Esto es el equivalente en comunicación corporativa a decir: "la cerradura de la puerta principal no funcionaba, pero nadie la había cerrado de todos modos, así que ¿por qué estás molesto?".
También es una afirmación de telemetría sorprendentemente específica. AWS afirma saber que cero clientes habían configurado permisos personalizados para denegar el acceso al agente de chat durante la ventana de exposición. Eso es algo muy seguro de decir, y algo aún más interesante de ofrecer como defensa, porque funciona como una crítica demoledora del modelo de gestión de accesos de Quick: la única perilla que el servicio proporciona para este propósito, la que la propia documentación de AWS dice explícitamente a los administradores que utilicen, tiene cero adopción registrada.
El mismo seguimiento también remitió al hilo de HackerOne para demostrar que AWS dijo a Fog durante toda la ventana de divulgación que "la autorización basada en el usuario se mantuvo aplicada". Traducción: necesitabas credenciales autenticadas en la misma cuenta de Quick para explotar esto. Sí. Eso es el alcance intra-cuenta, que Fog documentó en su análisis, y que es precisamente el alcance en el que los permisos personalizados deberían funcionar como un límite de seguridad. Que AWS diga que "la autorización basada en el usuario estaba bien" es decir "no podías explotar esto anónimamente desde internet", que nunca fue el modelo de amenaza en cuestión. El modelo de amenaza es el contratista con credenciales SSO válidas cuyo administrador intentó bloquearlo de algunos conjuntos de datos.
El modelo de acceso de Amazon Quick ya es un caso atípico: las políticas de IAM no rigen al Agente de Chat de IA de Quick, las SCP no se aplican y las RCP no se aplican. Los permisos personalizados son la única perilla que proporciona el servicio. Si esos no se aplican, nada más lo hace. Y según el propio seguimiento de AWS, literalmente nadie los estaba usando de todos modos. Ambas mitades de esa frase deberían ser alarmantes, y AWS las ofrece como tranquilidad.
El foso competitivo de AWS durante la última década no ha sido el precio. Desde luego no ha sido la experiencia del desarrollador, la documentación, el diseño de la consola o la inescrutable poesía de los nombres de los servicios. Ha sido la creencia bien ganada de que AWS hace bien las cosas fundamentales: límites, identidad, durabilidad, confiabilidad y las partes que los clientes no pueden verificar fácilmente por sí mismos. Los clientes han pagado la prima de AWS porque confiaban en las cosas aburridas.
Este año esa confianza se está poniendo a prueba de una manera que no había ocurrido antes. La cadencia de avisos de seguridad de AWS de 2025–2026 ha aumentado notablemente, por razones que aún no están claras. Las divulgaciones coordinadas de investigadores independientes siguen revelando comprobaciones de autorización ausentes en servicios más nuevos y relacionados con la IA.
Las correcciones llegan rápido, lo cual es bueno. La comunicación con el cliente no llega en absoluto, lo cual es, siendo caritativos, una elección. Una calificación de "severidad: ninguna" en una omisión del único control de acceso que ofrece un servicio no es tanto un hallazgo de seguridad objetivo como una decisión de comunicación. Y la decisión de comunicación ahora se lee, con el beneficio del seguimiento de AWS: "Arreglaremos el error, no te diremos que existió y, si preguntas, te explicaremos que de todos modos no estabas usando la función".
AWS recibe mucho perdón en las cosas pequeñas porque son dueños de las cosas grandes. Quizás quieran reconsiderar cuántas de las cosas grandes siguen clasificando como "ninguna".
Fuente:
TheRegister
La mayoría de los usuarios soportan AWS de la misma manera que soportas la oficina de tráfico. Digo esto con cariño, pero es difícil negar que la interfaz de usuario es horrible. La consola es una cápsula del tiempo de UX, si es que a las cápsulas del tiempo no se les permitiera parecerse a otras cápsulas del tiempo. Las páginas de precios fueron diseñadas por alguien que te odia personalmente, y aceptas todo esto porque lo único que AWS ha hecho bien históricamente son las cosas aburridas e importantes. El modelo de seguridad. El lenguaje IAM que a nadie le gusta, pero en el que todos confían. El límite entre tu cuenta y la de otra persona. Si fallan en eso, todo el trato se derrumba.
Así que cuando Fog Security reveló una omisión de autorización en Amazon Quick el 12 de mayo (ese servicio de BI anteriormente conocido como QuickSight, brevemente como Quick Suite, y ahora aparentemente solo Quick, pero vuelve a consultar la próxima semana) y AWS respondió con una declaración afirmando que "ningún dato del cliente estaba en riesgo", es justo preguntar qué definición de datos del cliente están utilizando. Porque no es una obvia, y ciertamente no es la mía.
Lo que encontró Fog
Fog informa que cuando un administrador de Amazon Quick (lo cual es un insulto personal absolutamente devastador) utiliza "permisos personalizados" para denegar explícitamente el acceso a los Agentes de Chat de IA, la interfaz de usuario oculta correctamente la función. ¡Genial! ¡Impresionante! ¡Ojalá pudiera hacer eso con los buckets de S3 a los que no tengo acceso! Notablemente, no hay otra forma de que un administrador haga esto: o son permisos personalizados o nada.
La API, sin embargo, estaba perfectamente dispuesta a seguir respondiendo solicitudes de chat para cualquier usuario de la cuenta que supiera cómo enviarlas. La prueba de concepto de Fog consistió en un usuario no administrador preguntando al agente "Háblame de los mangos" desde una sesión que, sobre el papel, estaba totalmente bloqueada del agente. El agente le habló de los mangos.
AWS implementó la solución entre el 11 y el 12 de marzo, ocho días después de que Fog lo reportara a través de HackerOne. Hasta aquí, todo coordinado. En serio, para una empresa de esta escala, es una velocidad de superhéroe con los calzoncillos por fuera. Bien por ustedes; estrella dorada.
Lo que vino después
Donde esto se vuelve incómodo es en la respuesta. AWS clasificó la severidad como "ninguna". No emitió ninguna notificación al cliente. No publicó ningún aviso.
Después de que Fog revelara el informe de HackerOne y publicara una entrada en su blog, AWS proporcionó una declaración a Fog Security que decía, íntegramente: "Agradecemos la divulgación coordinada de Fog Security. Este problema fue abordado en marzo de 2026. Ningún dato del cliente estuvo en riesgo y no se requiere ninguna acción por parte del cliente. Como siempre, los clientes pueden contactar al Soporte de AWS con cualquier pregunta o inquietud sobre la seguridad de su cuenta".
Analiza esa frase y observa cuánto trabajo está haciendo la expresión "ningún dato del cliente estuvo en riesgo".
Amazon Quick se describe en su propia página de producto como un asistente de IA que "conecta Slack, Microsoft Teams y Outlook, CRMs, bases de datos y documentos en un solo lugar" y "fundamenta cada respuesta en sus datos reales de negocio". El agente de chat predeterminado, que se provisiona automática y molestamente en el instante en que se activa Quick, quiera el cliente esas funciones de IA o no, es el front-end de esos datos. Es el propósito fundamental del front-end de esos datos.
Ahora considera el escenario real que AWS acaba de parchear. Un administrador en, digamos, un banco regulado (un banco no regulado se llama "una empresa criminal que aún no ha sido atrapada") configura permisos personalizados denegando el acceso al agente de chat a un grupo grande de usuarios. Tal vez esos usuarios son contratistas. Tal vez están en una unidad de negocio que no tiene autorización para usar herramientas de IA. Tal vez la postura de cumplimiento del banco prohíbe rotundamente el uso de IA en la sombra sobre datos internos. Hasta hace dos meses, cada uno de esos usuarios podía enviar una solicitud HTTP directamente al endpoint del agente y obtener una respuesta.
Fog preguntó sobre los mangos porque son una firma de seguridad realizando una divulgación limpia, no un infiltrado malicioso. Un infiltrado malicioso no habría preguntado por los mangos.
La pregunta para AWS, sin retórica: ¿En qué sentido los datos del cliente no estuvieron en riesgo? O bien el agente de chat no tiene realmente acceso a los datos que la página del producto dice que tiene (en cuyo caso el departamento de marketing tiene que dar muchas explicaciones), o usuarios no autorizados podían consultar un agente conectado a los datos del cliente, en cuyo caso "los datos del cliente estuvieron en riesgo" es la descripción correcta de la situación en inglés.
AWS aclara, y dice la parte callada en voz alta
Después de que esta historia empezara a circular, AWS ofreció un comentario de seguimiento que agradezco sinceramente, porque es mucho más honesto que el primero. Según un portavoz de AWS que parecía acosado: "El investigador estaba utilizando la capacidad de Control de Administrador que ningún cliente estaba utilizando activamente cuando la validación del lado del servidor no estaba presente".
Leer eso dos veces no ayuda. Permítanme traducir.
AWS está diciendo: Sí, faltaba la comprobación de autorización del lado del servidor. Sí, un usuario autenticado en su cuenta de Quick podía saltarse el único mecanismo de control de acceso que ofrece el servicio. La razón por la que esto está bien, aparentemente, es que ningún cliente real se había molestado en configurar ese control de acceso durante la ventana de tiempo en que no funcionaba.
¿Eh... qué?
La defensa no es "el error no era real", que es lo que podrías haber entendido en la primera declaración de AWS. La defensa tampoco es "el error no podría haber hecho lo que Fog dice que podría haber hecho", que es la implicación aún más fuerte de su primera declaración. La defensa es "el control de acceso no aplicaba lo que dijimos que hacía, pero por suerte nadie dependía de él". Esto es el equivalente en comunicación corporativa a decir: "la cerradura de la puerta principal no funcionaba, pero nadie la había cerrado de todos modos, así que ¿por qué estás molesto?".
También es una afirmación de telemetría sorprendentemente específica. AWS afirma saber que cero clientes habían configurado permisos personalizados para denegar el acceso al agente de chat durante la ventana de exposición. Eso es algo muy seguro de decir, y algo aún más interesante de ofrecer como defensa, porque funciona como una crítica demoledora del modelo de gestión de accesos de Quick: la única perilla que el servicio proporciona para este propósito, la que la propia documentación de AWS dice explícitamente a los administradores que utilicen, tiene cero adopción registrada.
El mismo seguimiento también remitió al hilo de HackerOne para demostrar que AWS dijo a Fog durante toda la ventana de divulgación que "la autorización basada en el usuario se mantuvo aplicada". Traducción: necesitabas credenciales autenticadas en la misma cuenta de Quick para explotar esto. Sí. Eso es el alcance intra-cuenta, que Fog documentó en su análisis, y que es precisamente el alcance en el que los permisos personalizados deberían funcionar como un límite de seguridad. Que AWS diga que "la autorización basada en el usuario estaba bien" es decir "no podías explotar esto anónimamente desde internet", que nunca fue el modelo de amenaza en cuestión. El modelo de amenaza es el contratista con credenciales SSO válidas cuyo administrador intentó bloquearlo de algunos conjuntos de datos.
Por qué esto importa más de lo que parece
El modelo de acceso de Amazon Quick ya es un caso atípico: las políticas de IAM no rigen al Agente de Chat de IA de Quick, las SCP no se aplican y las RCP no se aplican. Los permisos personalizados son la única perilla que proporciona el servicio. Si esos no se aplican, nada más lo hace. Y según el propio seguimiento de AWS, literalmente nadie los estaba usando de todos modos. Ambas mitades de esa frase deberían ser alarmantes, y AWS las ofrece como tranquilidad.
El foso competitivo de AWS durante la última década no ha sido el precio. Desde luego no ha sido la experiencia del desarrollador, la documentación, el diseño de la consola o la inescrutable poesía de los nombres de los servicios. Ha sido la creencia bien ganada de que AWS hace bien las cosas fundamentales: límites, identidad, durabilidad, confiabilidad y las partes que los clientes no pueden verificar fácilmente por sí mismos. Los clientes han pagado la prima de AWS porque confiaban en las cosas aburridas.
Este año esa confianza se está poniendo a prueba de una manera que no había ocurrido antes. La cadencia de avisos de seguridad de AWS de 2025–2026 ha aumentado notablemente, por razones que aún no están claras. Las divulgaciones coordinadas de investigadores independientes siguen revelando comprobaciones de autorización ausentes en servicios más nuevos y relacionados con la IA.
Las correcciones llegan rápido, lo cual es bueno. La comunicación con el cliente no llega en absoluto, lo cual es, siendo caritativos, una elección. Una calificación de "severidad: ninguna" en una omisión del único control de acceso que ofrece un servicio no es tanto un hallazgo de seguridad objetivo como una decisión de comunicación. Y la decisión de comunicación ahora se lee, con el beneficio del seguimiento de AWS: "Arreglaremos el error, no te diremos que existió y, si preguntas, te explicaremos que de todos modos no estabas usando la función".
AWS recibe mucho perdón en las cosas pequeñas porque son dueños de las cosas grandes. Quizás quieran reconsiderar cuántas de las cosas grandes siguen clasificando como "ninguna".
Fuente:
TheRegister
Etiquetas:
amazon
,
autorización
,
aws
,
inteligencia-artificial
,
nube
,
seguridad
,
software
,
vulnerabilidad
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.