~ / IRONHACKERS
Noticias, writeups, posts técnicos y más.
Destacado
ai-security · 14 min
Tres años de evolución del red team con LLMs. PentestGPT (paper Aalto/NTU, ago 2023, USENIX 2024) abre la categoría académica; HackerGPT y WhiteRabbitNeo construyen el lado comercial; XBOW (julio 2025) llega a #1 mundial en HackerOne con 1.060 vulns reportadas. PoC reproducible con PentestGPT v2 contra HackTheBox.
· Manuel López Pérez
Leer post completo →Annual landscape
ai-security · 32 min
El año en que los tres frentes se hicieron operativos a la vez: agentes en producción real (Operator GA, Project Vend, MCP en clientes), regulación con calendario vinculante (DORA, Art. 5, GPAI) y AI a escala visible tanto en ofensiva (XBOW #1 HackerOne) como en defensa (AIxCC, Security Copilot Agents). Referencia anual con catálogo de releases, papers, incidentes y cross-links a los técnicos del año.
· Manuel López Pérez
Leer reporte completo →Explora los artículos técnicos más recientes, tutoriales y análisis de vulnerabilidades publicados por la comunidad.
noticias · 15 min
El Digital Omnibus cierra acuerdo provisional el 7 de mayo: Anexo III se mueve a diciembre de 2027. España aprueba su Ley de gobernanza de IA el 26 de mayo. Pwn2Own Berlin reparte 1,3 M$ por 47 zero-days con Codex y Claude Code en el menú. Patch Tuesday sin un solo zero-day por primera vez desde junio de 2024. OpenAI lanza Daybreak y Anthropic mueve Mythos hacia GA. Verizon DBIR 2026 corona la explotación de vulnerabilidades como vector número uno. GitHub pierde 3.800 repos internos por una extensión de VS Code.
· Manuel López Pérez
ai-security · 14 min
Tres años de evolución del red team con LLMs. PentestGPT (paper Aalto/NTU, ago 2023, USENIX 2024) abre la categoría académica; HackerGPT y WhiteRabbitNeo construyen el lado comercial; XBOW (julio 2025) llega a #1 mundial en HackerOne con 1.060 vulns reportadas. PoC reproducible con PentestGPT v2 contra HackTheBox.
· Manuel López Pérez
ai-security · 18 min
Pickle como formato heredado roto, inference servers como HTTP attack surface nueva, AI gateways como pivote a la infra y frameworks ML con seguridad de proyecto research. Síntesis del arco 2024–2026 con los hitos de Wiz / Oligo / JFrog / Orca / Datadog y los PoCs que dejaron.
· Manuel López Pérez
noticias · 14 min
El trílogo del Omnibus cierra sin acuerdo el 28 de abril, dejando el deadline AI Act original a tres meses. Patch Tuesday 165 CVEs y SharePoint zero-day activa. Anthropic anuncia Claude Mythos + Project Glasswing — primer frontier model que se queda detrás de un muro defensivo. Pwn2Own Berlin colapsa por sobrecupo. M&S un año después. AESIA publica las guías 13 y 14.
· Manuel López Pérez
compliance · 20 min
El tercer escalón del Reglamento (UE) 2024/1689 entra en aplicación el 2 de agosto de 2026: sistemas de alto riesgo del Anexo III, FRIA, post-market monitoring, marcado CE, registro UE. El Digital Omnibus de la Comisión propone retrasarlo a 2 de diciembre de 2027, pero el trílogo del 28 de abril cierra sin acuerdo. Qué tener listo el 2 de agosto si Bruselas no llega.
· Manuel López Pérez
noticias · 18 min
LiteLLM supply chain: TeamPCP comprometió Trivy primero para llegar a las credenciales PyPI del mantenedor y publicar litellm 1.82.7 / 1.82.8 con payload de 3 etapas. nginx-ui MCPwn (CVE-2026-33032, CVSS 9.8) explotado in the wild. Patch Tuesday ruidoso en AI: XBOW se lleva el CVSS 9.8 del mes. Mandiant M-Trends 2026 reporta 22 segundos entre acceso inicial y ransomware. VMware Aria Operations en CISA KEV. NVIDIA GTC presenta NemoClaw para agentic security. DORA primer Register of Information con deadline 31-mar.
· Manuel López Pérez
