Como cuando pensábamos que todo dependía del login… y luego no. Hoy TikTok, Nu y Claude reflejan un acceso más continuo y menos visible.

📰 Lo último de la semana

TikTok Business se convierte en objetivo de phishing avanzado con robo de sesiones

Una mañana, de la nada pierdes el control de tu cuenta de TikTok Business sin haber entregado tu contraseña. Atacantes están utilizando técnicas de Adversary-in-the-Middle (AiTM) para interceptar sesiones activas y robar cookies de autenticación. Este tipo de ataque no solo captura credenciales, sino que permite a los atacantes entrar directamente a cuentas empresariales, ejecutar campañas fraudulentas o acceder a datos internos sin necesidad de login tradicional.

La sofisticación del ataque radica en que el usuario cree estar en un entorno legítimo mientras su sesión está siendo clonada en tiempo real. Recuerda implementar MFA resistente a phishing, monitorea sesiones activas y evita acceder a cuentas empresariales desde enlaces externos.

Nu Colombia enfrenta filtración de datos que expone información de clientes

¿Te imaginas que los datos de más de 30.000 clientes queden expuestos por un proveedor externo? Eso es lo que ocurrió con Nu Colombia, donde una filtración en un tercero comprometió información sensible de usuarios.

Aunque la brecha no ocurrió directamente dentro de Nu, el incidente demuestra un problema creciente: el riesgo ya no está solo en tu empresa, sino en toda tu cadena de proveedores. Este tipo de filtraciones puede derivar en fraudes, suplantación de identidad y campañas de phishing altamente dirigidas. Como recomendación, evalúa la seguridad de proveedores, limita el acceso a datos sensibles y aplica controles de terceros.

Claude en Chrome ejecutaba órdenes ocultas sin que hicieras clic

Entras a una página web y que, sin hacer nada, tu asistente de IA empieza a ejecutar instrucciones como si tú las hubieras escrito. Eso fue lo que ocurrió con la extensión de Claude en Google Chrome, donde una vulnerabilidad permitió ataques “zero-click” mediante prompt injection. El fallo combinaba una mala validación de dominios con una vulnerabilidad XSS en un subdominio de Claude, lo que permitía que cualquier sitio web inyectara instrucciones directamente en el asistente. 

Anthropic ya corrigió el problema en la versión 1.0.41, reforzando los controles de origen y cerrando la vulnerabilidad. Atualiza extensiones de IA de inmediato, limita permisos en el navegador y evita confiar en que “no hiciste nada”.