Saltar al contenido
Volver al Blog

noticias · 5 min de lectura

Boletín — septiembre 2023

ChatGPT lanza DALL-E 3 y voz, MGM y Caesars caen por ingeniería social, Microsoft IT account leak filtra 38 TB internos. Storm-0558 sigue dando lectura. AI agents en producto y red-teaming sobre la mesa.

· Manuel López Pérez · noticias

ChatGPT lanza DALL-E 3 y voz, MGM y Caesars caen por ingeniería social, Microsoft IT account leak filtra 38 TB internos. Storm-0558 sigue dando lectura. AI agents en producto y red-teaming sobre la mesa.

Septiembre cierra el verano con tres incidentes que ilustran tres patrones distintos de social engineering moderno: MGM y Caesars caen en cuestión de días por vishing contra IT helpdesks; Microsoft admite haber expuesto 38 TB de datos internos por una URL SAS mal configurada; y OpenAI anuncia ChatGPT con voz y DALL-E 3 — los modelos multimodales pasan de demo a producto.

ChatGPT voice + DALL-E 3

21 de septiembre. OpenAI anuncia voz para ChatGPT (5 voces, text-to-speech y speech-to-text) y la integración de DALL-E 3 directamente en ChatGPT Plus. La novedad técnica: el modelo de imagen entiende mejor el prompt porque, internamente, ChatGPT re-escribe el prompt del usuario para alimentar DALL-E 3 con un texto más explícito.

Para AI security esto abre dos categorías de problema nuevas:

  • Indirect injection vía imagen — Riley Goodside ya había mostrado en agosto que una imagen subida con texto invisible incrustado puede inyectar instrucciones (variante del patrón Greshake aplicada a multimodal input). Con GPT-4V (la versión vision) y DALL-E 3 en producto, la superficie se generaliza.
  • Voice deepfake como vector — la voz generada por ChatGPT es indistinguible de humana para muchos casos. La amenaza es producto, no investigación.

OpenAI dice que ha aplicado red-teaming extensivo. El detalle público es escaso. El campo se prepara para los primeros incidentes documentados de multimodal prompt injection en producción durante Q4.

MGM y Caesars — vishing contra IT helpdesk

Mid-septiembre. MGM Resorts y Caesars Entertainment confirman intrusiones que paralizan operaciones (máquinas tragaperras, llaves de hotel, sistemas de reservas) durante días. Atribución: el cluster que la industria llama Scattered Spider / UNC3944 — actores jóvenes (varios menores de 25 años), angloparlantes, con tradecraft de social engineering por encima de habilidad técnica.

El vector inicial en ambos casos: llamada de teléfono al IT helpdesk pretendiendo ser un empleado que ha “olvidado” sus credenciales. El helpdesk, sin verificación adicional fuerte, hace reset del MFA y devuelve credenciales válidas. El atacante entra como empleado, escalation lateral hasta sistemas críticos.

Caesars paga ~$15M de rescate (parcialmente cubierto por seguro). MGM se niega. El daño operativo en MGM se estima en >$100M.

Lección operativa: cualquier verificación de identidad para reset de credenciales que dependa de información conocida por el atacante (nombre, fecha de nacimiento, ID de empleado) es derrotable. La defensa pasa por verificación out-of-band (call back al teléfono registrado, en persona, hardware token físico) o por restringir quién puede pedir un reset.

Fuente: https://www.bloomberg.com/news/articles/2023-09-13/mgm-cyber-attack-causes-machine-failures-on-casino-floors · https://www.reuters.com/technology/cybersecurity/caesars-paid-tens-millions-stop-hackers-releasing-data-wsj-2023-09-14/

Microsoft — 38 TB filtrados por SAS mal configurada

Microsoft — 38 TB filtrados por SAS mal configurada

18 de septiembre. Wiz Research publica que un repositorio público de GitHub de Microsoft AI contenía un enlace SAS (Shared Access Signature) que daba acceso de lectura/escritura a 38 TB de datos del storage account interno. Incluía: backups completos del workstation de dos ingenieros de Microsoft, +30.000 mensajes de Microsoft Teams del equipo, secretos de servicio, claves privadas.

El bug está en la configuración del SAS token: en lugar de apuntar a un blob específico, apuntaba al storage account completo con permisos amplios y sin expiración. El propietario del repo no se dio cuenta de que el SAS link expuesto en README.md cubría más que el archivo de ejemplo.

Microsoft confirma que el repo era usado para distribuir datasets de research, que no hubo otros accesos no autorizados, y revoca el SAS al recibir el aviso. Pero el caso ilustra un patrón sistémico: SAS tokens son fáciles de mal-configurar, raramente tienen telemetría detallada, y los proveedores de cloud no avisan automáticamente cuando un SAS expone más que un blob.

Fuente: https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers

Storm-0558 — la actualización

Microsoft publica un post-mortem extendido sobre Storm-0558. Confirma que la clave robada llegó al atacante a través de un crash dump de un sistema de producción que se trasladó a un entorno de desarrollo con menor seguridad. Reconoce que su key management no detectó la salida de la clave. Anuncia que va a publicar logs detallados de auditoría en todas las licencias E3+ a partir de octubre — el cambio operacional del año en cloud.

CSRB (Cyber Safety Review Board) inicia su investigación formal en septiembre. El report final se publica en abril 2024.

Confused deputy en ChatGPT plugins

Hemos publicado el análisis del patrón confused deputy en agents con tools — con PoC reproducible: el agente, al leer una URL controlada por atacante, manda email con contexto privado del usuario a un destino del atacante. Es el siguiente paso natural tras Sydney (febrero), markdown exfil (abril) y GCG (julio).

Resto del mes

  • Cisco ISE / Catalyst — múltiples advisories de severidad alta durante el mes.
  • Apple iOS 16.6.1 (7 sept) — patches para 3 zero-days explotados como parte de operaciones spyware (Citizen Lab atribuye a Pegasus).
  • Notepad++ supply-chain — un fork malicioso notepad-plus-plus en npm imitando el nombre del editor real.
  • MOVEit — final de septiembre: 1.000+ organizaciones afectadas confirmadas.
  • VOIDFASCISTS / China-nexus intrusiones reportadas contra entidades de telecomunicaciones europeas.

Patrón transversal

El mes lo une un hilo: identidad sin verificación robusta. MGM y Caesars caen por reset de MFA sin verificación out-of-band. Microsoft expone 38 TB porque un SAS token actúa con identidad de everyone. Storm-0558 mantuvo acceso porque el key issuer confundió consumer y enterprise. ChatGPT plugins, como vimos, ejecuta acciones sin verificar la autoría de la instrucción.

La defensa que se ve obligada a madurar en Q4 2023 es verificación de identidad/autoridad para cada acción crítica, no solo para login inicial. Donde se ha hecho (Caesars vs MGM tras incident; OpenAI con user authorization gates en plugins críticos), funciona. Donde no, el daño aumenta.

Share:
Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Boletín — julio 2023

noticias · 5 min

Boletín — julio 2023

GCG suffix de Zou et al. automatiza el jailbreak. Storm-0558 robó una clave de firma de Microsoft y leyó email de gobierno US. EU AI Act se publica en DOUE. Citrix NetScaler con CVE-2023-3519 explotado in-the-wild.

· Manuel López Pérez

Boletín — marzo 2026

noticias · 18 min

Boletín — marzo 2026

LiteLLM supply chain: TeamPCP comprometió Trivy primero para llegar a las credenciales PyPI del mantenedor y publicar litellm 1.82.7 / 1.82.8 con payload de 3 etapas. nginx-ui MCPwn (CVE-2026-33032, CVSS 9.8) explotado in the wild. Patch Tuesday ruidoso en AI: XBOW se lleva el CVSS 9.8 del mes. Mandiant M-Trends 2026 reporta 22 segundos entre acceso inicial y ransomware. VMware Aria Operations en CISA KEV. NVIDIA GTC presenta NemoClaw para agentic security. DORA primer Register of Information con deadline 31-mar.

· Manuel López Pérez

Boletín — noviembre 2025

noticias · 13 min

Boletín — noviembre 2025

Anthropic publica el primer caso de espionaje con coding agent autónomo. Microsoft Ignite y AWS re:Invent meten "agent security" en producto: Entra Agent ID GA, AgentCore Policy en preview con Cedar. FortiWeb 0-day CVE-2025-64446 explotado in the wild. Cloudflare cae 4 horas el 18 por un feature file mal generado. Logitech entra al cluster Cl0p / Oracle E-Business. Patch Tuesday con CVE-2025-62215 zero-day en Windows Kernel.

· Manuel López Pérez