compliance · 14 min
El 17 de enero de 2025 entra en aplicación DORA. Aplica a bancos, aseguradoras, fondos, fintech, IORPs, CASPs regulados bajo MiCA y a los ICT third-party providers críticos designados por las ESAs. Cinco pilares de obligaciones, TLPT cada tres años para entidades importantes, registro de proveedores ICT, y lex specialis frente a NIS2 para finanzas.
· Manuel López Pérez
noticias · 13 min
Cl0p reincide con Cleo MFT y rompe el primer patch. BeyondTrust SaaS lleva a Treasury (Silk Typhoon, no Volt). 12 días de Shipmas de OpenAI. Gemini 2.0, Phi-4, DeepSeek-V3. DORA empieza el 17 de enero. Retrospectiva 2024.
· Manuel López Pérez
ai-security · 11 min
No es ranking ni listicle. Cinco patrones del año con análisis y cross-links a los técnicos del año: long context as attack surface, agentes en producción, jailbreaks por optimización, launches sin amenaza modeling, reasoning models como nueva superficie.
· Manuel López Pérez
tutoriales · 11 min
Huntress detecta el 3 de diciembre explotación as zero-day de un bug en Cleo Harmony, VLTrader y LexiCom. El patch inicial 5.8.0.21 no mitiga; sale CVE-2024-55956 y un segundo patch 5.8.0.24. Cl0p reivindica el 14 de diciembre. Tercer MFT del grupo en dos años.
· Manuel López Pérez
noticias · 9 min
Anthropic publica MCP el 25 de noviembre. Palo Alto suma CVE-2024-0012 + CVE-2024-9474 al catálogo KEV, explotación as zero-day documentada por watchTowr. T-Mobile aparece en el listado oficial de Salt Typhoon. Hot Topic ve 56 millones de cuentas filtradas. HellCat reincide contra Schneider Electric. Connor Moucka consiente extradición.
· Manuel López Pérez
ai-security · 14 min
Anthropic publica MCP el 25 de noviembre. La conexión modelo ↔ herramientas externas pasa a ser un spec abierto con tres primitivas: tools, resources, prompts. El spec dice que el host SHOULD pedir consentimiento; reconoce que el protocolo no lo puede forzar. El patrón confused deputy que documentamos en septiembre 2023 vuelve, ahora como integración estándar.
· Manuel López Pérez
noticias · 10 min
La semana en que el agente AI movió el ratón: Anthropic lanza computer use el 22-oct y Rehberger publica el primer ZombAI el 24. Detrás: FortiManager exploited as zero-day, Internet Archive expone 31M cuentas, Ivanti CSA con tres CVEs en explotación, NIS2 vence sin transponer en España. Microsoft cierra dos zero-days en Patch Tuesday y OpenAI lanza ChatGPT Search.
· Manuel López Pérez
ai-security · 10 min
Anthropic lanza el 22 de octubre Claude 3.5 Sonnet (new) con capability de control del SO vía screenshots. Dos días después Johann Rehberger publica el primer PoC público: una página web indirect-injecta al agente para descargar y ejecutar un implante Sliver. Confused deputy a nivel sistema operativo.
· Manuel López Pérez
compliance · 10 min
El 17 de octubre de 2024 expira el plazo para transponer la Directiva (UE) 2022/2555. España llega sin ley aprobada y sin anteproyecto del Consejo de Ministros. Lo que se sabe del calendario nacional, qué obligaciones aplican mientras tanto vía ENS y NIS1, y dónde están los gaps.
· Manuel López Pérez
noticias · 10 min
El mes en que Salt Typhoon dejó de ser hipotético. OpenAI estrena o1, el FBI desmantela la botnet de Flax Typhoon, Cisco Smart Licensing aparece con credenciales hardcoded, 23andMe paga 30 millones por el breach de 2023, y un proveedor pone explosivos dentro de los pagers de Hezbollah.
· Manuel López Pérez
ai-security · 14 min
El 12 de septiembre OpenAI lanza o1-preview con cadena de pensamiento entrenada por RL y oculta al usuario. El día siguiente ya hay capturas que muestran cómo inyectar instrucciones en esa cadena. Qué cambia cuando aparece un canal intermedio que el atacante no ve y el defensor tampoco loguea.
· Manuel López Pérez
noticias · 8 min
EU AI Act en vigor el 1 de agosto. PKfail expone PKs de prueba en producción. National Public Data confirma 2.9B registros expuestos. Black Hat trae Windows Downdate y CVE-2024-38063 wormable; DEF CON 32 trae AMD Sinkclose. Halliburton fuera por RansomHub.
· Manuel López Pérez
