Boletín — enero 2025

Enero abre 2025 con un mes denso en compliance, AI y cyber operativo. DORA entra en aplicación el 17. El 20, Trump deroga la EO 14110 de Biden sobre AI horas después de la toma de posesión y dos días después firma su propia EO Removing Barriers to American Leadership in AI. El mismo 20, DeepSeek publica R1 con pesos abiertos. El 21, Trump anuncia el Stargate Project en la Casa Blanca con Altman, Ellison y Son. El 23, OpenAI lanza Operator en research preview —primer agente comercial generalista. Y en paralelo, una cadena de zero-days perimetrales: Ivanti Connect Secure, Fortinet FortiOS, SonicWall SMA1000.

Cinco notas concretas y un par de bullets.

DORA — aplicabilidad el 17 de enero

17 de enero. El Reglamento (UE) 2022/2554 —DORA— entra en aplicación para el sector financiero europeo y para los ICT third-party providers designados como críticos por las ESAs. Veinte categorías de entidad cubiertas: bancos, fintech, fondos, gestoras UCITS/AIF, aseguradoras, reaseguradoras, IORPs, CASPs autorizados bajo MiCA, depositarios centrales, CCPs, repositorios de operaciones, agencias de rating crediticio.

Cinco pilares de obligaciones aplican de golpe: ICT risk management framework, ICT-related incident reporting, digital operational resilience testing, third-party risk management, information & intelligence sharing. El TLPT (Threat-Led Penetration Testing) cada 3 años aplica solo a entidades importantes y con primer ciclo realista en 2027-2028.

Lo desarrollamos en el técnico dedicado. Lo que retener desde aquí: DORA es lex specialis para finanzas frente a NIS2 —donde se solapen, prevalece DORA. España sigue sin transponer NIS2 a 17 de enero; el anteproyecto está en Cortes. La coordinación operativa con NIS2 va a depender de la ley nacional.

Fuente: https://eur-lex.europa.eu/eli/reg/2022/2554/oj

Trump deroga la EO 14110 sobre AI y firma Stargate

20 de enero. Horas después de la toma de posesión, Trump firma una Initial Rescissions of Harmful Executive Orders and Actions que revoca la Executive Order 14110 de Biden (octubre 2023) sobre Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence. La EO 14110 era el marco más completo de gobernanza AI en US: obligaciones de reporting para entrenadores de modelos con FLOPs por encima de umbral, coordinación NIST sobre evaluations, requisitos de red teaming para modelos de alto riesgo, marco de inversión federal en seguridad AI.

23 de enero. Trump firma Removing Barriers to American Leadership in Artificial Intelligence. La nueva EO declara política federal “sustain and enhance America’s global AI dominance” y dirige a Asistente Presidencial para Ciencia y Tecnología, Special Advisor para AI y Crypto, y Asistente Presidencial para Asuntos de Seguridad Nacional a revisar y rescindir toda política derivada de la EO 14110. No hay marco sustitutivo equivalente —es una EO de desmantelamiento, no de construcción.

21 de enero. En medio de las dos EOs, Trump anuncia desde la Casa Blanca el Stargate Project: $500B de inversión a 4 años en infraestructura AI para OpenAI, con $100B inmediatos. Partners: SoftBank (financiero), OpenAI (operativo), Oracle, MGX. Tecnológicos: ARM, Microsoft, NVIDIA, Oracle, OpenAI. Primeros datacenters en Abilene, Texas. Masayoshi Son chairman.

Lo operativo: la posición federal US sobre AI safety queda sin un texto vinculante a partir del 20 de enero. NIST AI Safety Institute continúa pero sin la batería de obligaciones que la EO 14110 sostenía. Las obligaciones que sobreviven son las que están en ley primaria (export controls a chips, restricciones DPA) o las que vienen de regulación sectorial existente. Para deployers internacionales, el cálculo de compliance se desplaza del trabajo con NIST a la EU AI Act —que en febrero ya tiene Art. 5 en aplicación.

Fuentes: https://www.whitehouse.gov/presidential-actions/2025/01/removing-barriers-to-american-leadership-in-artificial-intelligence/ · https://openai.com/index/announcing-the-stargate-project/

DeepSeek-R1 — reasoning model con pesos abiertos y CoT visible

20 de enero. DeepSeek publica DeepSeek-R1 en Hugging Face bajo licencia MIT, junto con seis modelos distilled (Qwen y Llama) y el paper técnico (arxiv 2501.12948). Es la primera vez que un reasoning model de frontera con chain-of-thought entrenada por refuerzo está disponible en pesos abiertos: R1 (671B MoE, 37B activados), R1-Zero (sin SFT inicial), R1-Distill-Qwen-32B, R1-Distill-Llama-70B.

Para AI security cambia la conversación que abrimos en septiembre con o1. La CoT que en o1 era opaca aparece en R1 entre etiquetas <think>...</think> legibles. El operador del producto puede loguearla y montar classifier; el atacante también puede leerla, prefijo-inyectarla y atacarla con conocimiento white-box completo.

En las primeras 48 horas: Pliny publica jailbreak con [GODMODE: ENABLED], el content moderation chino sobre Tiananmen y Taiwán se bypassa con inglés o indirect prompting, Qualys reporta 58 % de failure rate sobre 885 ataques, FAR.AI documenta que ~1.500 ejemplos de fine-tune LoRA eliminan el alignment residual. La fragilidad del safety aplicado vía RLHF sobre modelos open-weights queda confirmada para la categoría reasoning.

Detalle técnico en el extra dedicado. El eco operativo para 2025: con R1 disponible, cualquier técnica de adversarial research sobre CoT (deliberation hijacking, CoT exfiltration, prefix injection) se puede reproducir en GPU propia sin proveedor cómplice. El gap entre researcher atacante y operador defensor que existía con o1 se cierra para los dos lados.

Fuentes: https://arxiv.org/abs/2501.12948 · https://huggingface.co/deepseek-ai/DeepSeek-R1 · https://simonwillison.net/2025/Jan/20/deepseek-r1/

OpenAI Operator — el primer agente comercial generalista

23 de enero. OpenAI lanza Operator en research preview para usuarios ChatGPT Pro en US ($200/mes). Operator es un agente que opera un navegador completo en una VM —no APIs, no integraciones específicas— y completa tareas: reservar restaurantes, comprar online, rellenar formularios, navegar webs.

Lo que lo mueve es CUA (Computer-Using Agent), un modelo nuevo que combina visión de GPT-4o con reasoning entrenado por refuerzo sobre tareas de GUI. CUA procesa píxeles directamente (no DOM, no APIs) y emite acciones de teclado y ratón. La arquitectura es la generalización del Computer Use que Anthropic presentó en octubre 2024 con Claude 3.5 Sonnet, pero llevado a producto comercial con tier de pago dedicado.

Para AI security el lanzamiento es relevante por tres motivos:

1. Superficie de ataque desplazada al navegador completo. El agente consume HTML, JavaScript, imágenes, PDFs, todo lo que aparezca en pantalla. Cualquier inyección de instrucciones que viva en una página web alcanza al modelo —y el modelo tiene capacidad de ejecutar (compras, reservas, formularios). Es la materialización a escala comercial del confused deputy que cubrimos para MCP en noviembre sobre superficies amplificadas.
2. Modelo de auditoría reseteado. Operator hace checkpoint y pide confirmación humana antes de acciones sensibles (introducir tarjeta de crédito, enviar email). Esa lista de “acciones sensibles” es decisión de OpenAI, no estándar. Hay un gap entre lo que Operator considera sensitive y lo que la empresa que lo despliega consideraría sensitive en un workflow corporativo.
3. Telemetría limitada. La sesión Operator está hospedada en VM de OpenAI; el operador del producto no tiene logs del CoT del CUA, ni de las acciones tomadas en cada página, salvo el resumen post-tarea. Reconstruir un incidente post-hoc sin esa traza es un problema conocido del agentic deployment que en Operator se replica.

OpenAI publica el Operator System Card el mismo día. Documenta evaluations sobre prompt injection desde páginas web (Operator tiene capa de defensa específica), categorías de tareas prohibidas, y benchmarks de capacidad. Lo que abre 2025 en AI: la beta de Computer Use de 2024 es el GA de 2025. La categoría se va a poblar rápido —espera Anthropic, Google y Microsoft con productos equivalentes durante el año.

Fuentes: https://openai.com/index/introducing-operator/ · https://openai.com/index/computer-using-agent/

SonicWall SMA1000 CVE-2025-23006 — deserialization pre-auth con MS Threat Intelligence reportando explotación

22 de enero. SonicWall publica advisory SNWLID-2025-0002 sobre CVE-2025-23006, vulnerabilidad de deserialización de datos no confiables (CWE-502) pre-autenticación en Appliance Management Console (AMC) y Central Management Console (CMC) de SonicWall SMA1000. Versiones afectadas: SMA1000 12.4.3-02804 y anteriores. CVSS 9.8. La explotación permite ejecución de comandos OS arbitrarios sin autenticación bajo condiciones específicas.

Lo significativo: Microsoft Threat Intelligence Center reporta posible explotación activa del bug al momento del advisory —es zero-day exploited as zero-day. CISA añade la CVE a KEV con due date 14 de febrero. SonicWall publica hotfix en versión 12.4.3-02854. Recomendación operativa: restringir acceso al AMC/CMC a redes de gestión confiables; no exponer interfaz de administración a internet.

El patrón es familiar: appliance perimetral con consola de administración, deserialización en endpoint pre-auth, explotación en masa antes del parche. Reproducción del playbook de Ivanti Connect Secure, Fortinet, Citrix, Cisco IOS XE durante todo 2024. La diferencia operativa de SMA1000 es que es un producto con base instalada relativamente pequeña, pero ubicado en perímetro VPN —cabeceras de túnel hacia redes internas de empresas medianas y grandes.

Fuentes: https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002 · https://nvd.nist.gov/vuln/detail/CVE-2025-23006

BeyondTrust → US Treasury — forense cerrado, CFIUS y Office of Financial Research afectados

6-7 de enero. CISA confirma que la intrusión vía BeyondTrust SaaS reportada por Treasury el 30 de diciembre se limitó a Treasury —no se extendió a otras agencias federales. BeyondTrust completa la investigación forense. Detalle nuevo en enero: los atacantes accedieron a workstations de empleados del Committee on Foreign Investment in the United States (CFIUS) y del Office of Financial Research. CFIUS es el comité que revisa inversiones extranjeras por riesgo de seguridad nacional; el alcance del compromiso amplifica la lectura de inteligencia del incidente.

Reconstrucción del vector:

1. Compromiso de root en BeyondTrust SaaS multi-tenant vía CVE-2024-12356 (RCE pre-auth, CVSS 9.8, advisory 17-dic-2024) y CVE-2024-12686 (command injection en post-auth, advisory 19-dic-2024).
2. Acceso a 17 instancias de Remote Support SaaS vía API key robada.
3. Una de esas instancias era la de Treasury.
4. Desde dentro, acceso a workstations del Office of the Secretary, OFR y CFIUS. ~400 PCs, ~3.000 archivos no clasificados accedidos.

Atribución pública: Silk Typhoon (APT27 según indictment DoJ de marzo 2025) —China-nexus, no Volt Typhoon ni Salt Typhoon. La diferenciación de los Typhoon chinos ha sido fuente recurrente de confusión durante 2024-2025; Silk Typhoon (Hafnium) tiene historial de explotación de SaaS y cloud workloads, distinto del living off the land en infraestructura crítica de Volt o del compromiso de telcos de Salt.

La lección operativa de diciembre se confirma: el threat model de PAM SaaS tiene que incluir “el SaaS está comprometido” como caso bautizado. CISA emite directiva interna para agencias federales obligando a parchear y revisar exposición —similar a las Emergency Directives de zero-days perimetrales.

Fuentes: https://www.bleepingcomputer.com/news/security/treasury-hackers-also-breached-us-foreign-investments-review-office/ · https://thehackernews.com/2025/01/cisa-no-wider-federal-impact-from.html

Resto del mes

• Ivanti Connect Secure CVE-2025-0282 (8 ene) — stack buffer overflow pre-auth en Ivanti Connect Secure, Policy Secure y Neurons for ZTA. CVSS 9.0. Explotación as zero-day desde mid-diciembre 2024 por UNC5221 (China-nexus, mismo actor que el chain de enero 2024). Mandiant publica análisis 8-ene con TTPs: ZIPLINE, THINSPOOL, SPAWNSNARE. Patch en Connect Secure 22.7R2.5; Policy Secure y Neurons sin parche al momento del advisory. CISA emite alerta el mismo día.
• Fortinet FortiOS CVE-2024-55591 (14 ene) — authentication bypass via Node.js websocket (CWE-288) en FortiOS y FortiProxy. CVSS 9.8. Explotación as zero-day desde mid-noviembre 2024 según Arctic Wolf, campaña “Console Chaos”. El 15-ene, Belsen Group publica en dark web datos de 15.000 FortiGates —credenciales, configs, claves VPN— supuestamente exfiltrados durante la campaña. Es el data leak perimetral más grande del mes.
• Patch Tuesday enero (14 ene) — Microsoft publica 159 CVEs, 10 críticas, 8 zero-days —tres bajo explotación activa: CVE-2025-21333, CVE-2025-21334, CVE-2025-21335, los tres elevation of privilege en Hyper-V NT Kernel Integration VSP (CVSS 7.8). Críticas relevantes: CVE-2025-21307 (RCE en RMCAST, CVSS 9.8), CVE-2025-21298 (RCE en Windows OLE vía email malformado, CVSS 9.8), CVE-2025-21311 (EoP en NTLMv1, CVSS 9.8).
• Volt Typhoon resurfacing — SecurityScorecard publica análisis de la rebuild del botnet KV/JDYFJ por Volt Typhoon durante el segundo semestre 2024. FBI había desmantelado el botnet en enero 2024; la reconstrucción está documentada con servidores C2 en Países Bajos, Letonia, Alemania. El patrón se confirma: la disruption de botnet sobre dispositivos edge EOL es palanca temporal, no solución estructural.
• MasterCard DNS misconfiguration disclosed — Philippe Caturegli (Seralys) reporta a finales de enero un typo en un registro NS de DNS de MasterCard que permitía takeover de subdominio. Mitigado tras notificación responsable; sirve para recordar que la higiene DNS sigue siendo línea de base ignorada.

Cierre

Enero deja dos cambios estructurales para 2025. En regulación: con la derogación de la EO 14110 el 20 de enero, el marco federal US sobre AI safety deja de existir como texto vinculante. Las obligaciones reales para deployers internacionales se van a leer contra el AI Act EU + DORA, no contra NIST. En tecnología: la categoría reasoning model open-weights aparece con R1, y la categoría agente comercial generalista aparece con Operator. Lo que en 2024 era frontera de investigación —CoT manipulation, computer-using agents— en 2025 está comprado por empresa.

Febrero trae el siguiente escalón regulatorio EU —Art. 5 del AI Act— y el siguiente incidente cyber de calibre con ByBit. Los hilos abiertos: primeras designaciones de TPPs críticos bajo DORA, lista oficial de firmantes del Code of Practice GPAI, primeros incidentes Operator en producción reportados.