Boletín — mayo 2024

Mes denso. Recall se anuncia con bombo el 20 de mayo y diez días después está siendo descrito en DoublePulsar como stealing everything you’ve ever typed or viewed. Mientras Microsoft trabaja en el backpedal, Snowflake empieza a aparecer como vector compartido en una serie de breaches que culminan en el dump de Ticketmaster del 28. Dell pierde 49M registros a una API sin rate limit. GPT-4o se lanza el 13, y la voz “Sky” recuerda demasiado a Scarlett Johansson como para que no haya carta. Patch Tuesday trae dos zero-days en Windows.

Microsoft Recall — del anuncio al backpedal en 18 días

20 de mayo. Microsoft anuncia Copilot+ PCs en un evento en Redmond. La feature estrella, Windows Recall, captura screenshots periódicos del escritorio, hace OCR + embeddings y los indexa para búsqueda semántica. Disponibilidad anunciada: 18 de junio en las primeras máquinas Qualcomm Snapdragon X.

Finales de mayo. Kevin Beaumont publica en DoublePulsar el análisis técnico. La SQLite vive en %localappdata%\CoreAIPlatform.00\UKP\{GUID}\ukg.db sin DPAPI ni protección a nivel de proceso. Alex Hagenah suelta TotalRecall en GitHub el 4 de junio: parsing automatizado de la DB con coste cero. James Forshaw (Project Zero) confirma 48h después que no hace falta admin.

7 de junio. Microsoft publica el update firmado por Pavan Davuluri: Recall pasa a opt-in, requiere Windows Hello para activarse, exige proof of presence para consultar el timeline, y se cifra el índice. El lanzamiento se mueve a Insiders en octubre, luego a diciembre.

Cubrimos el caso entero en el técnico del mes: threat model, mecánica de extracción y por qué la retirada confirma que las mitigaciones eran obvias antes del primer commit.

Fuentes:

• https://blogs.microsoft.com/blog/2024/05/20/introducing-copilot-pcs/
• https://doublepulsar.com/recall-stealing-everything-youve-ever-typed-or-viewed-on-your-own-windows-pc-is-now-possible-da3e12e9465e
• https://blogs.windows.com/windowsexperience/2024/06/07/update-on-the-recall-preview-feature-for-copilot-pcs/

Snowflake — los primeros casos visibles

Mayo es cuando el patrón Snowflake empieza a ser ruidoso, aunque la atribución formal a UNC5537 no llega hasta el informe de Mandiant del 10 de junio. Dos disclosures importantes este mes:

14 de mayo — Santander publica un comunicado reconociendo acceso no autorizado a datos de clientes en Chile, España y Uruguay, además de información de empleados. No menciona Snowflake en el comunicado inicial. Dos semanas después ShinyHunters reclama tener 30M registros de clientes y 28M de tarjetas a la venta en BreachForums (cifras sin verificar oficialmente).

27–28 de mayo — Ticketmaster / Live Nation. ShinyHunters publica en BreachForums (recién reactivado tras el seizure de mediados de mayo) que tiene 1.3 TB de datos de Ticketmaster con detalles de 560M clientes. Pide $500.000. Live Nation confirma el incidente en un 8-K presentado a la SEC el 31 de mayo. Eventualmente el informe de Mandiant explicará el vector: credenciales corporativas extraídas por infostealer (en este caso a través de la cuenta ServiceNow de un empleado de Snowflake-cliente, no de Snowflake directamente) → acceso a cuentas Snowflake sin MFA → exfil masiva vía COPY INTO.

El patrón se va a definir formalmente en junio (lo cubriremos en su técnico). Lo que mayo enseña es la cadena: infostealer en endpoint corporativo → credenciales SaaS → exfil de tenants sin MFA. Snowflake no es vulnerable en el sentido CVE: el default permitía a un cliente desactivar MFA y dejar sus datos detrás de un solo factor.

Fuentes:

• https://www.santander.com/en/press-room/press-releases/2024/05/santander-informs-of-a-customer-data-incident
• https://securityaffairs.com/163999/data-breach/ticketmaster-confirms-data-breach.html
• https://en.wikipedia.org/wiki/Snowflake_data_breach

Dell — 49M registros vía API sin rate limit

9 de mayo. Dell notifica a sus clientes de un incidente de exposición de datos. Una semana antes, un actor identificado como Menelik había publicado en BreachForums el ofrecimiento de 49M registros: nombre, dirección física, etiqueta de servicio, número de serie del sistema, número de cliente, número de orden, y datos de garantía.

El vector documentado por BleepingComputer y confirmado en correos del propio actor: Menelik se registra en el portal de partners/resellers de Dell con nombres de empresa inventados. Le aprueban sin verificación en dos días. Una vez dentro, abusa de un endpoint de consulta de órdenes que no tiene rate limit: 5.000 requests/minuto durante tres semanas. Iteración sobre service tags de 7 dígitos hasta cubrir 49M registros.

Menelik reporta el bug por email a Dell los días 12 y 14 de abril. Dell no responde. Dos semanas después publica los datos. Lo simétrico aquí: el bug no está en el software (el endpoint hace lo que está diseñado) sino en el policy: onboarding sin verificación, ausencia de rate limit, datos lookup-able por enumeración secuencial. La superficie clásica de API que un threat model debería haber cerrado en el primer trimestre.

Fuente: https://www.bleepingcomputer.com/news/security/dell-api-abused-to-steal-49-million-customer-records-in-data-breach/

Patch Tuesday — CVE-2024-30051 (DWM) explotada en zero-day

14 de mayo. Microsoft publica 59 CVEs en su Patch Tuesday. Dos son zero-day:

• CVE-2024-30051: heap-based buffer overflow en Windows DWM Core Library (Desktop Window Manager). Elevation of privilege a SYSTEM. CVSS 7.8. Crédito a Kaspersky, DBAPPSecurity WeBin Lab, Google TAG y Google Mandiant; la concurrencia de descubridores sugiere uso amplio. Kaspersky publica en Securelist que la vulnerabilidad está siendo encadenada por QakBot y otras familias de malware para escalar a SYSTEM tras la infección inicial. La describieron en un archivo subido a VirusTotal durante la investigación de CVE-2023-36033, lo que les permitió pivotar al nuevo bug.
• CVE-2024-30040: bypass de las mitigaciones MotW (Mark-of-the-Web) en OLE de Microsoft 365. También exploited in the wild.

CISA añade CVE-2024-30051 al KEV el mismo 14 de mayo, con plazo de remediación al 4 de junio.

Fuentes:

• https://nvd.nist.gov/vuln/detail/CVE-2024-30051
• https://securelist.com/cve-2024-30051/112618/
• https://www.helpnetsecurity.com/2024/05/14/patch-tuesday-cve-2024-30051-cve-2024-30040/

Veeam Backup Enterprise Manager — CVE-2024-29849 auth bypass

21 de mayo. Veeam publica el aviso KB4581 con cuatro CVEs en Veeam Backup Enterprise Manager (VBEM), el add-on web para administrar Veeam Backup & Replication. El más grave:

• CVE-2024-29849 — Authentication bypass en VBEM. CVSS 9.8. Un atacante no autenticado puede loguearse como cualquier usuario explotando un framework de autenticación mal configurado: el servidor SSO rogue del atacante responde afirmativamente a las validation requests y VBEM acepta el login como admin.

Sina Kheirkhah (summoning.team) publica writeup técnico y PoC al día siguiente. Veeam corrige en VBEM 12.1.2.172. Mitigación interina: restringir acceso a la web interface a IPs conocidas, MFA, monitorizar logs.

No hay evidencia pública de explotación in-the-wild en mayo, pero VBEM cae en la misma categoría que MFT y appliance edge: software de backup expuesto al network, con permisos plenos sobre la infraestructura de respaldo, manejado por equipos que rara vez parchean rápido.

Fuente: https://www.veeam.com/kb4581

OpenAI — GPT-4o, y la voz “Sky”

13 de mayo. OpenAI hace su Spring Update. Lanza GPT-4o (Omni): modelo multimodal nativo (texto, audio, imagen), construido para entender voz en tiempo real sin pasar por una pipeline ASR → texto → TTS. Free tier en ChatGPT. La demo de voz de Mira Murati y el equipo es la pieza central — diálogo natural con interrupciones, latencia subsegundo, tono modulable.

20 de mayo. Sam Altman publica en X el mensaje “her”, en referencia directa a la película de Spike Jonze de 2013 donde Scarlett Johansson dobla a la asistente virtual. Mismo día, Johansson publica un comunicado a través de NPR: nueve meses antes Altman le había propuesto licenciar su voz para la asistente, ella declinó. Dos días antes del Spring Update, Altman vuelve a contactar. Johansson no responde a tiempo; OpenAI lanza “Sky” con un timbre que “sus amigos más cercanos y medios no podían distinguir del suyo”.

21 de mayo. OpenAI publica un blog How the voices for ChatGPT were chosen, donde sostiene que Sky pertenece a otra actriz profesional, casteada antes del primer contacto con Johansson. Pausa el uso de Sky igualmente.

Lo relevante para 2024 desde el ángulo seguridad/AI no es el lío legal, sino el primer caso público de alto perfil donde un modelo de voz convincente convierte la voice identity en un activo sin marco regulatorio claro. La pregunta “¿se puede entrenar un TTS con tu voz si dijiste que no?” va a aparecer en las negociaciones del EU AI Act final (publicación en DOUE el 12 de julio) y en regulación de deepfakes en US durante el segundo semestre.

Fuentes:

• https://openai.com/index/hello-gpt-4o/
• https://www.npr.org/2024/05/20/1252495087/openai-pulls-ai-voice-that-was-compared-to-scarlett-johansson-in-the-movie-her
• https://openai.com/index/how-the-voices-for-chatgpt-were-chosen/

Christie’s — RansomHub paraliza la subasta de primavera

9 de mayo. Christie’s, la mayor casa de subastas del mundo, retira su web pública días antes de su spring auction en Nueva York. Maneja las pujas (~$840M en lotes) a través de un sitio alternativo y por teléfono. La compañía habla de technology security issue sin entrar en detalle.

27 de mayo. RansomHub publica en su leak site la reivindicación: 2 GB de datos sustraídos, incluidos datos sensibles de 500.000 clientes privados (passports, fechas de nacimiento, nombres completos). Plazo de cuatro días antes del leak. Christie’s confirma en un comunicado el 30 de mayo que un actor no autorizado accedió a datos personales de una portion de sus clientes.

RansomHub es el mismo grupo detrás del incidente Change Healthcare de febrero. El playbook se repite: extorsión sin cifrado en el caso de Christie’s, presión vía amenaza de fines GDPR.

Fuente: https://therecord.media/christies-cyberattack-ransomhub-claims

Ollama “Probllama” CVE-2024-37032 — RCE en el servidor de inferencia local más popular

5 de mayo — Wiz Research reporta a Ollama. 7 de mayo — fix en Ollama 0.1.34. 30 de mayo — publicación pública de Probllama. CVE-2024-37032, CVSS 9.8, path traversal en el endpoint /api/pull que descarga modelos de un registry. El parámetro digest controla la ruta donde Ollama escribe el archivo descargado — sin validación, un atacante con acceso a la API hace que Ollama escriba sobre cualquier archivo del sistema. Si el destino es un binario o config que Ollama lee al arrancar, RCE persistente al siguiente restart.

Wiz cifra más de 1.000 instancias Ollama expuestas a internet sin auth al momento de la disclosure. Ollama es el go-to para correr LLMs locales en laptops y servers de desarrollo; muchos despliegues levantan ollama serve sin firewall asumiendo que se quedará en localhost. La realidad de Shodan muestra otra cosa.

Es la primera CVE crítica en un LLM inference server que captura titular. Marca categoría: los servidores que sirven modelos AI son HTTP servers de software con poca exposición previa a security review, y traen consigo todos los patrones clásicos (path traversal, deserialization, info leak) sin las mitigaciones que un nginx o un Tomcat ya tienen normalizadas. Sienta pista para NVIDIA Triton CVE-2025-23319 chain en agosto de 2025 y vLLM CVE-2026-22778 en febrero de 2026.

Fuente: https://www.wiz.io/blog/probllama-ollama-vulnerability-cve-2024-37032 · https://thehackernews.com/2024/06/critical-rce-vulnerability-discovered.html

Resto del mes

• Apple OpenELM (paper arxiv 2404.14619, última revisión 2 de mayo). Familia de modelos open source (270M, 450M, 1.1B, 3B) con layer-wise scaling. Pesos, recipes y training logs publicados. Antesala de la Apple Intelligence que se anunciará en WWDC el 10 de junio.
• BreachForums seizure → resurgimiento. El FBI y el DOJ se quedan con el dominio clearnet a mediados de mayo. ShinyHunters anuncia por Telegram que vuelven a controlar el dominio antes de que termine el mes. El timing del dump de Ticketmaster en BreachForums el 28 es el coming-out del foro reactivado.
• Black Basta + UnitedHealth. Continúa el goteo de notificaciones por el ataque de febrero. CISA, FBI y HHS publican advisory conjunto el 10 de mayo sobre Black Basta TTPs.
• MITRE ATT&CK v15. Publicada a finales de abril, gana adopción durante mayo en herramientas downstream.
• NSA CISA — Deploying AI Systems Securely (15 de abril, sigue siendo lectura del mes). Guía conjunta para organizaciones que despliegan modelos AI de terceros. Útil como checklist defensivo previo al EU AI Act.

Patrón del mes

Tres incidentes diferentes, una asunción común: el dato sensible vive cómodo en un único punto, sin que se haya pensado qué pasa cuando ese punto cae.

• Recall — todo el historial visual del usuario en una SQLite plana.
• Snowflake / Ticketmaster — tenants con datos de cliente final detrás de una sola credencial sin MFA.
• Dell — 49M de tuplas detrás de un endpoint sin rate limit y sin verificación de partner.

La lección operativa común no es “cifra” ni “añade MFA” aisladamente, sino threat modeling explícito del actor “credencial / proceso / API key del usuario comprometido” durante el diseño del producto. Los tres casos asumen implícitamente que el factor de confianza inicial (sesión Windows, cuenta SaaS, registro de partner) no falla. Cuando falla, y en 2024 falla cada mes, el dato sale por completo.

Junio trae el informe de Mandiant sobre UNC5537 que va a explicar el patrón Snowflake en detalle, y un par de retiradas más al estilo Recall.