¡Bienvenidos a nuestra edición semanal! Aquí encontrarás las noticias y tendencias más relevantes del mundo de la ciberseguridad, cuidadosamente seleccionadas y sintetizadas para mantenerte informado y preparado en un entorno de amenazas digitales en constante evolución.

📩 Hoy Recibes:

• 🗞️ Las noticias más importantes: Akira vulnera MFA en SonicWall VPNs; nueva variante crítica de LockBit ataca Windows, Linux y ESXi; zero-days en firewalls Cisco ASA; filtración en Salesforce por IA; y Pandoc usado para robar credenciales de AWS.

• ✍️ Análisis y Opinión: Ciberseguridad en modelos de lenguaje: por qué la gobernanza de la IA debe ser prioridad en la agenda ejecutiva.

Compartir

⚡ TL;DR – Ciberseguridad en 2 minutos, aquí tienes el resumen…

• 🔓 Akira vulnera MFA en SonicWall: El ransomware salta autenticación multifactor con exploits y semillas OTP robadas. Urge actualizar firmware y credenciales.

• 🧊 LockBit 5.0 evoluciona: Nueva variante ataca Windows, Linux y ESXi con precisión quirúrgica. Refuerza controles en entornos híbridos y virtualizados.

• 🔥 Cisco ASA bajo ataque: Zero-days activos permiten ejecutar código remoto. Los firewalls ya no son inmunes: parchea de inmediato y segmenta tu red.

• 🛡️ Salesforce y la IA expuesta: Falla “ForcedLeak” permitió inyecciones de prompt que revelaban datos. Seguridad en CRM + IA ya no puede tratarse aparte.

• 📥 Pandoc como vector de ataque: Hackers usan CVE-2025-51591 para robar credenciales de AWS EC2. Fortalece tu seguridad en entornos cloud y documentales.

🔍 En análisis: La ciberseguridad en IA no puede ser reactiva.

Los modelos de lenguaje ya están en el corazón de las decisiones corporativas. La gobernanza de IA y la prevención ante manipulación deben subir a nivel directivo.

☕️ Noticias de la semana

1. 🔓 Akira Ransomware y la vulneración de MFA en SonicWall

Desde julio de 2025, el ransomware Akira ha estado atacando dispositivos SonicWall SSL VPN. Los atacantes están logrando bypassar la autenticación multifactor (MFA) mediante el uso potencial de credenciales obtenidas a través de la explotación de la vulnerabilidad CVE-2024-40766, junto con posibles semillas One Time Password (OTP) robadas. Este incidente subraya la importancia de la detección temprana y la actualización continua de las medidas de seguridad, ya que los ataques muestran una rápida actividad post-inicio de sesión. Este método de ataque debe alertar a empresas en México y América Latina debido a la posibilidad de réplica en la región, enfatizando la necesidad de proteger infraestructuras críticas de acceso remoto.

📌 Importante:

• Actores involucrados: Grupo de ransomware Akira.

• Vulnerabilidad: Explotación de SonicWall VPN mediante CVE-2024-40766.

• Impacto: Bypass de MFA, acceso no autorizado y exfiltración de datos.

🔒 ¿Cómo protegerse?

1. Restablecer todas las credenciales SSL VPN en dispositivos SonicWall que hayan ejecutado firmware vulnerable a CVE-2024-40766.

2. Actualizar las credenciales de Active Directory en cuentas utilizadas para acceso SSL VPN y sincronización LDAP.

3. Implementar una supervisión exhaustiva de acceso remoto y segmentación adecuada para detectar actividades inusuales con prontitud.

🔗 Fuente: Security Affairs

2. 🔒 Nueva variante LockBit 5.0 afecta a sistemas Windows, Linux y ESXi

Recientemente, se ha identificado una nueva versión del ransomware LockBit, denominado LockBit 5.0, que está afectando sistemas operativos Windows, Linux y ESXi. Este grupo de ransomware, conocido por su sofisticación y persistencia, sigue evolucionando para explotar vulnerabilidades en entornos de múltiples plataformas, aumentando la preocupación a nivel global por su capacidad de adaptarse a distintos sistemas operativos. Este hecho es relevante para empresas en México y América Latina, ya que indica un potencial riesgo de réplica en la región, especialmente para aquellas organizaciones que emplean infraestructuras virtualizadas y multinube similares.

📌 Importante:

• Actores involucrados: Grupo de ransomware LockBit, una de las bandas más activas en el cibercrimen.

• Vulnerabilidades: Las técnicas se dirigen a sistemas Windows, Linux y ESXi; el reporte no especifica CVEs expositivas individuales.

• Impacto: Aumento en la superficie de ataque a través de múltiples plataformas, potencial para severas interrupciones operativas y financieras.

🔒 ¿Cómo protegerse?

1. Asegurar sistemas ESXi: Revise y aplique parches de seguridad más recientes en servidores ESXi. La actualización regular minimiza los riesgos de explotación.

2. Control de acceso estricto: Implementar políticas de acceso mínimas necesarias, especialmente en entornos Linux y Windows, para limitar el movimiento lateral y la instalación de software malicioso.

3. Monitoreo proactivo: Establezca un sistema de detección avanzada de amenazas que permita identificar comportamientos inusuales en la red que puedan indicar la presencia de ransomware.

🔗 Fuente: Trend Micro

3. 🔥 Alerta Crítica: Vulnerabilidades Zero-Day en Firewalls de Cisco ASA

Recientemente, Cisco ha emitido una advertencia urgente sobre la explotación activa de vulnerabilidades zero-day en sus firewalls ASA. Estas vulnerabilidades permiten a los atacantes saltarse autenticaciones y potencialmente ejecutar códigos maliciosos de forma remota. El impacto principal de estas fallas es crítico, ya que los firewalls son la primera línea de defensa en la infraestructura de red empresarial. Esto importa porque comprometen gravemente la seguridad al dejar la red expuesta a invasores.

Aunque el ataque ha sido identificado en otra región, las infraestructuras en México y América Latina que emplean dispositivos Cisco ASA podrían ser objetivos potenciales de ataques de copia. La rápida difusión de información sobre estas vulnerabilidades incrementa el riesgo de explotación similar en nuestra región.

📌 Importante:

• Actores involucrados: Cisco ha detectado ciberatacantes explotando zero-days en sus dispositivos ASA.

• Vulnerabilidades: Fallos en los sistemas ASA que permiten la evasión de autenticación con ejecución remota de código.

• Impacto: Riesgo de compromiso total de la red empresarial que utiliza estos firewalls.

🔒 ¿Cómo protegerse?

1. Actualice inmediatamente a las versiones más recientes de software proporcionadas por Cisco que aborden estas vulnerabilidades específicas.

2. Implementar una política estricta de monitoreo de tráfico de red para detectar y bloquear actividades sospechosas.

3. Mantener una segmentación adecuada de la red para limitar el impacto si un firewall ASA llega a ser comprometido.

🔗 Fuente: BleepingComputer

4. 🛡️ Parche Crítico en Salesforce Muestra Riesgos de Exposición de Datos

Recientemente, Salesforce ha corregido una vulnerabilidad crítica denominada “ForcedLeak” que permitía la exposición de datos sensibles a través de inyecciones de prompts en sistemas de inteligencia artificial. Este fallo afectaba al entorno de gestión de relaciones con clientes (CRM) de la compañía, comprometiendo potencialmente información confidencial de las empresas que utilizan esta plataforma. Esta noticia es relevante para las organizaciones en México y América Latina debido a la creciente adopción de soluciones CRM basadas en la nube y el uso intensivo de inteligencia artificial, lo que podría replicar vulnerabilidades similares si no se toman medidas preventivas adecuadas.

📌 Importante:

• Actores involucrados: Salesforce, usuarios de su plataforma CRM.

• Vulnerabilidad: Inyección de prompts en AI, conocida como “ForcedLeak”.

• Impacto: Exposición de datos CRM sensibles, riesgo para la privacidad y seguridad de la información empresarial.

🔒 ¿Cómo protegerse?

1. Asegúrese de actualizar la plataforma Salesforce de inmediato para aplicar los últimos parches de seguridad.

2. Revise las configuraciones de acceso y permisos de sus herramientas CRM para limitar el riesgo de explotación por inyección de prompts.

3. Manténgase informado sobre actualizaciones y mejores prácticas de seguridad específicas para plataformas de CRM y sus integraciones de IA.

🔗 Fuente: The Hacker News

5. 🚨 Hackers explotan Pandoc para robar credenciales de AWS

Un grupo de hackers está explotando la vulnerabilidad CVE-2025-51591 en Pandoc, un popular convertidor de documentos, para acceder al servicio del servidor de metadatos de instancias (IMDS) de AWS y robar credenciales IAM de EC2. Este ataque destaca la sofisticación y adaptación de los cibercriminales a través del uso de herramientas legítimas para obtener acceso no autorizado a servicios en la nube. Este tipo de amenaza es particularmente relevante para empresas en México y América Latina que también utilizan AWS, ya que podrían ser susceptibles a este mismo vector de ataque si no fortalecen su seguridad en torno a sus configuraciones de nube.

📌 Importante:

• Actores: Grupo de hackers (no identificado hasta el momento).

• Vulnerabilidad: CVE-2025-51591 en Pandoc.

• Impacto: Robo de credenciales IAM de AWS, afectando potencialmente a datos y servicios sensibles.

🔒 ¿Cómo protegerse?

1. Actualizar a la última versión de Pandoc inmediatamente para cerrar la brecha CVE-2025-51591.

2. Revisar y asegurar las configuraciones del sistema de metadatos de instancias (IMDS) en AWS, restringiendo accesos innecesarios.

3. Monitorear activamente los logs de acceso a AWS para detectar comportamientos inusuales o intentos de acceso no autorizados.

🔗 Fuente: The Hacker News

✍️ Análisis y Opinión - Ciberseguridad en modelos de lenguaje: por qué la gobernanza de la IA debe ser prioridad en la agenda ejecutiva

La inteligencia artificial ya no es aquella promesa distante. Hoy es pieza vital en la arquitectura tecnológica de las empresas, visible en el flujo diario de decisiones, análisis y comunicación. Modelos de lenguaje como GPT o sus equivalentes ya forman parte tanto de los debates en los consejos directivos como de procesos críticos: desde la atención a clientes hasta las recomendaciones que guían niveles de riesgo o inversión. Ante este escenario, la interrogante dejó de ser si debemos sumarnos, sino cómo avanzar sin dar pasos en falso. El imperativo es claro: aprovechar la velocidad que exige el mercado y, al mismo tiempo, protegerse frente a riesgos que evolucionan al ritmo de la innovación. En ese cruce, apenas explorado, aparece un nuevo desafío: la integridad de los modelos de IA frente a ataques diseñados para explotarlos.

El reporte más reciente de Trend Micro ha hecho sonar una alarma elocuente. Ya no hablamos de fantasías apocalípticas sobre IA fuera de control. El peligro se presenta de modo más cotidiano y sigiloso. Los modelos de lenguaje, por su diseño abierto y dependencia de datos y comandos externos, han empezado a mostrar fisuras propias. Pensemos en una “inyección de prompt”: basta una instrucción, hábilmente disfrazada entre los datos de entrada, para alterar el comportamiento del modelo. En lugar de la respuesta prevista, encontramos un modelo que revela información sensible o ejecuta acciones contrarias al interés de la organización. En sectores como banca, salud o servicios públicos, esta manipulación puede traducirse en filtración de datos de clientes, recomendaciones alteradas o decisiones comprometidas, con impacto directo en la confianza y la reputación.

Frente a este nuevo terreno, las fronteras entre la ciberseguridad tradicional y la gobernanza de IA comienzan a difuminarse. Así como antes se diseñaron controles estrictos para APIs públicas, hoy cada punto de contacto donde un modelo de lenguaje responde sobre asuntos críticos merece reglas propias, monitoreo permanente y revisión ética constante. ¿Quién supervisa que las respuestas de un chatbot corporativo no hayan sido distorsionadas? ¿Bajo qué estándares se auditan las decisiones automatizadas de estos sistemas? Estas preguntas no pueden quedar en el aire. Es hora de definir responsables claros: desde equipos de auditoría especializados en IA, hasta la creación de comités internos con capacidad de decisión transversal, integrando áreas técnicas, legales y éticas.

Para los equipos ejecutivos, el momento demanda elevar la discusión: no basta un listado de controles técnicos. Integrar la ciberseguridad de IA en el análisis de riesgos estratégicos es una prioridad. Es crucial que los consejos revisen de manera regular la evolución de amenazas específicas para modelos de lenguaje, y consideren la posibilidad de asignar nuevos roles o pactar alianzas con expertos externos. Por ejemplo, un banco en México que gestione miles de interacciones diarias con usuarios a través de IA debe incorporar especialistas en ciberseguridad de IA en su comité de riesgo y analizar incidentes reportados en otras latitudes para anticiparse. Este es un desafío de gobierno y cultura, no solo técnico. No hacerlo implica ceder la iniciativa y permitir que otros —los atacantes— establezcan las reglas del juego.

En lo operativo, los equipos que monitorean riesgos a diario deben ajustar sus herramientas y capacidades. Ahora se requiere, además de la tradicional prevención contra malware o acceso indebido, una vigilancia sobre la calidad y origen de los “prompts”, los datos fuente y cualquier evento sorpresivo en los registros del sistema. Es recomendable que los Centros de Operaciones de Seguridad (SOC) y los equipos de respuesta a incidentes desarrollen nuevas competencias en IA, adoptando soluciones de “observabilidad” capaces de identificar patrones anómalos no previstos por controles convencionales. Herramientas de observabilidad permiten ver, en tiempo real, cómo se comporta el modelo ante determinados estímulos y reconocer señales tempranas de manipulación. Esta capacidad de alerta puede marcar la diferencia entre un incidente menor y una brecha mayor.

De fondo, conviene tener claro que el aprendizaje automático es tan dinámico como susceptible de ser alterado. Nuestro deber es diseñar pensando en la posibilidad, cada vez más real, de intentos de manipulación, privilegiando siempre la resiliencia sobre la ingenuidad. En América Latina, la confianza digital es una necesidad y una aspiración. El liderazgo, aquí y ahora, será de quienes tomen este reto en serio. Ser inclusivos en la conversación ejecutiva significa abrir espacios donde técnicos, abogados, expertos en ética y representantes de los usuarios planteen riesgos, alternativas y límites, sin silos ni jerarquías que frenen la respuesta.

Tres pasos urgentes pueden orientar la acción de cualquier CEO o líder latinoamericano:

1. Incorporar en el comité de seguridad un punto fijo sobre riesgos de IA

2. Solicitar un diagnóstico externo sobre la exposición de los modelos de lenguaje

3. Fomentar ejercicios internos de simulación para responder a incidentes de manipulación.

La experiencia regional ya ofrece ejemplos valiosos:

1. Un consorcio financiero colombiano que requiere que se audite semanalmente los logs de interacción de sus asistentes virtuales

2. Una empresa de retail en México que bajo cada liberación de módulos internos que utilizan IA nos solicita evaluar la robustez de su sistemas ante intentos de manipulación.

Cuidar un modelo de lenguaje es hoy cuidar el pulso operativo de la organización, como en otras épocas protegimos datos y sistemas esenciales. No se trata de ceder ante el miedo, sino de prevenir con inteligencia.

La IA aprende de nosotros, de nuestras preguntas y también de nuestros descuidos. El verdadero diferencial será la capacidad de cada empresa para anticipar riesgos, convocar a todos los actores y adaptarse con la misma velocidad con la que evoluciona la tecnología. Como sucede en toda transformación profunda, el progreso más seguro será fruto de un diálogo constante y abierto. La conversación apenas comienza; el compromiso no puede esperar.

Gracias por leer nuestro resumen semanal. Recuerda, estamos aquí para ayudarte a navegar el complejo mundo de la ciberseguridad. No dudes en responder a este correo con tus preguntas o inquietudes.

¡Hasta la próxima semana! 🎯

Te invitamos a compartir esta publicación, visitar nuestro sitio web y conectar en redes sociales.