Antes existía tiempo entre descubrir una falla y explotarla. Hoy Claude acelera el hallazgo, OAuth evita fricción y TrapDoor llega directo al entorno del desarrollador.

📰 Lo último de la semana

Claude Mythos anticipa una era donde parchear lento ya es perder

Usas una app que siempre consideraste segura. Todo funciona normal, pero mientras tú apenas revisas una notificación, otro sistema ya fue capaz de analizar miles de líneas de código y encontrar una grieta antes que el propio equipo que debía protegerla. Anthropic informó que Claude Mythos Preview ya identificó más de 10.000 vulnerabilidades críticas y, al analizar 1.000 proyectos de código abierto, detectó 23.019 vulnerabilidades, de las cuales 6.202 eran de gravedad alta o crítica. 

La búsqueda de fallos dejó de depender solo de equipos humanos y empieza a escalar con modelos capaces de recorrer software crítico a una velocidad muy superior. Eso comprime las ventanas de exposición, acelera la explotación potencial y castiga a las empresas que todavía operan con remediación lenta. Frente a este escenario, se necesita reducir el tiempo entre el hallazgo y la toma de decisiones, priorizar activos sistémicos y no solo vulnerabilidades con CVSS altos, además de revisar software crítico con un criterio alineado al impacto real para el negocio.

TrapDoor movió el ataque al workstation del desarrollador

Recibes una dependencia con nombre razonable, parece una librería más del flujo normal. Nadie piensa que instalar un paquete puede abrir la puerta a secretos de nube, wallets y credenciales de producción. Según Socket Security, la campaña TrapDoor distribuyó más de 34 paquetes maliciosos en npm, PyPI y Crates.io, con más de 384 versiones asociadas. 

El malware roba claves de wallets, tokens, secretos de infraestructura, variables de entorno y accesos remotos. En algunos casos se ejecuta al instalar, en otros, al compilar o importar. También intenta manipular asistentes de programación con IA mediante archivos de configuración ocultos. Ante este tipo de amenazas, las organizaciones necesitan controlar dependencias no aprobadas, auditar secretos en equipos de desarrollo, endurecer CI/CD y tratar al desarrollador como infraestructura crítica.

OAuth ya está saltando la MFA sin robar contraseñas

Abres Microsoft, completas tu MFA y sigues con tu día. Desde el punto de vista del usuario, todo parece normal y desde el punto de vista del atacante, ya consiguió lo que necesitaba. El caso descrito alrededor de EvilTokens muestra una evolución, el phishing ya no busca siempre credenciales, sino consentimiento y tokens. 

En cinco semanas, la operación habría comprometido a más de 340 organizaciones de Microsoft 365. La víctima no entrega usuario y contraseña, entrega un refresh token válido al aceptar un flujo legítimo de OAuth. No rompe MFA, la atraviesa porque ya ocurrió. El frente expuesto no es la contraseña. Es la gobernanza de permisos. Para mayor seguridad, audita aplicaciones OAuth conectadas a Microsoft 365 y Google Workspace y limita el consentimiento de usuarios finales.