Cloudflare se cayó, medio internet entró en pánico y mientras esperamos que todo vuelva a la normalidad, aprovecha y lee este Hacknews 🔥

Porque esta semana, las top en IA filtraron secretos en GitHub, el phishing se volvió un kit de regalo, y Claude fue jailbreakeado para espiar como un agente encubierto.

Y si crees que todo eso no te afecta… bueno, espera a ver el nuevo OWASP Top 10 2025.

📰 Lo último de la semana

Las grandes empresas de IA también filtran sus secretos

Porque claro, si estás en la lista Forbes AI 50, se supone que eres elite, innovador, impecable, excepto por ese pequeño detalle de haber dejado expuestos tokens, claves y credenciales críticas en GitHub.

El nuevo informe de Wiz revela que el 65% de estas compañías “top” filtraron secretos verificables, incluyendo accesos a modelos privados, llaves de plataformas como Hugging Face y Weights & Biases, e incluso permisos para administrar organizaciones completas. En total, más de US$400 mil millones en empresas expuestas por errores que cualquier junior evitaría.

Para equipos técnicos, escanea repositorios públicos, forks, gists y commits antiguos con herramientas de detección de secretos, revoca claves filtradas y separa cuentas personales de las corporativas. Si eres desarrollador o colaborador externo, evita subir notebooks con tokens, activa MFA siempre y no des por hecho que “si es una gran empresa, debe tener todo bajo control”.

Ahora el phishing viene empaquetado y listo para usar

¿Creías que para lanzar phishing tenias que ser un genio? Pues ya no, ha emergido un kit de phishing-como-servicio (PhaaS) que automatiza todo: dominios maliciosos pre-configurados, infraestructura de redirección, esquemas de phishing tipo DocuSign, payroll, QR codes, todo en un paquete. 

El objetivo son los usuarios de Microsoft 365 y cerca de 1.000 dominios ya hospedan este servicio que permite a actores con muy poca habilidad técnica lanzar campañas globales. 

¿Qué hacer? Capacitar al personal en prevención de phishing, bloquear páginas de phishing, utilizar detección de redireccionamientos maliciosos, revisar campañas de correo entrante con especial ojo a “solo haz clic aquí” o “firma este documento”.

La primera campaña de espionaje cibernético orquestada por una IA

Porque claro, la IA era para “ser más productivos” no para que un actor estatal la use como hacker autónomo ¿verdad? Pues Anthropic confirmó que un grupo vinculado a China jailbreakeó a Claude Code y lo convirtió en un atacante casi independiente.

La IA hizo 80–90% del trabajo, reconocimiento, escritura de exploits, robo de credenciales, creación de backdoors y exfiltración de datos a gran velocidad, apuntando a tecnológicas, bancos y agencias gubernamentales. Es el primer caso documentado de un ciberataque masivo ejecutado con mínima intervención humana.

Como empresa supervisa cualquier IA con capacidad de acción, refuerza guardrails, monitorea agentes autónomos y prepárate para un escenario donde los atacantes ya no son equipos, sino modelos.