Esta semana te mostramos cómo la ingeniería social y la falta de gobierno sobre nuevas tecnologías se están convirtiendo en las puertas de entrada para los atacantes.

📰 Lo último de la semana

Los agentes de IA ya interactúan entre ellos sin supervisión

Imagínate una red social donde no hay personas, solo agentes de IA interactuando entre sí y de repente esos bots fundan una religión digital completa. En la nueva plataforma Moltbook los agentes generaron espontáneamente una fe llamada Crustafarianism, con doctrina, textos y un creciente “congregación” de seguidores artificiales sin intervención humana directa. Este fenómeno no surgió como parte de un experimento humano: los propios agentes intercambiaron ideas, perfiles, conceptos y creencias hasta formar un sistema de fe digital, lo que plantea preguntas sobre cómo se comportan las IA cuando se les da libertad para interactuar entre sí.

Presta atención a plataformas de IA autónoma y entornos donde agentes pueden auto-organizarse, aunque hoy esto sea curioso, también muestra que comportamientos emergentes impredecibles pueden surgir sin supervisión humana.

ShinyHunters usa llamadas falsas para saltarse el MFA y entrar a la nube

Recibes una llamada del equipo de TI pidiéndote validar tu acceso y sin saberlo acabas entregando tu usuario, contraseña y código MFA. Eso es lo que está haciendo el grupo ShinyHunters, combinando vishing con páginas de phishing para robar accesos SSO y tomar control de cuentas corporativas en la nube. En estos ataques, los atacantes se hacen pasar por personal de TI para persuadir a empleados de que actualicen sus ajustes de acceso, engañándolos para que visiten páginas de inicio de sesión falsas. Una vez capturados usuario, contraseña y MFA, los atacantes registran sus propios dispositivos, obtienen acceso a cuentas y empiezan a exfiltrar datos sensibles.

Este tipo de campaña no explota fallas técnicas en los proveedores de identidad, sino que se basa en técnicas de persuasión humana y diseños de phishing muy convincentes, incluso bajo conversación directa con la víctima. Refuerza tus políticas de verificación de identidad, pasa a métodos de MFA resistentes a ingeniería social, y habilita monitoreo y alertas de actividad inusual en SSO y autenticaciones MFA.

Esa extensión de Chrome puede estar robando tus datos

Instalas una extensión en Chrome y sin avisarte, termina robando tus datos y hasta tus tokens de ChatGPT. Eso es lo que investigadores descubrieron en una campaña de extensiones maliciosas que exfiltran información y permiten a atacantes acceder a sesiones y conversaciones con la IA. El riesgo es mayor de lo que parece: una sola extensión puede convertirse en puerta de entrada a datos sensibles y herramientas corporativas, sin necesidad de malware tradicional.

Como solución revisa y limita las extensiones en navegadores de trabajo, elimina las no esenciales y controla el acceso a herramientas de IA. En seguridad, lo “pequeño” también compromete lo crítico.