Saltar al contenido
Volver al Blog

noticias · 14 min de lectura

Boletín — febrero 2025

El AI Act Art. 5 entra en aplicación el 2-feb y Vance entierra el consenso multilateral en París el 11-feb. TraderTraitor exfiltra $1.5B de ByBit vía Safe{Wallet}. Apple retira ADP en UK. Anthropic libera Claude 3.7 Sonnet con reasoning visible. Storm-2372 escala device code phishing. DOGE entra y sale del Tesoro vía orden judicial.

· Manuel López Pérez · noticias

El AI Act Art. 5 entra en aplicación el 2-feb y Vance entierra el consenso multilateral en París el 11-feb. TraderTraitor exfiltra $1.5B de ByBit vía Safe{Wallet}. Apple retira ADP en UK. Anthropic libera Claude 3.7 Sonnet con reasoning visible. Storm-2372 escala device code phishing. DOGE entra y sale del Tesoro vía orden judicial.

Febrero 2025 es el mes que define el resto del año. El 2-feb entra en aplicación el primer escalón vinculante del AI Act y el continente regulador empieza a sancionar. El 11-feb en París, Vance recoge el guante por el lado contrario y entierra el discurso multilateral de safety con un speech “anti-overregulation” que rompe el consenso de Bletchley/Seoul. El 21-feb TraderTraitor ejecuta el mayor robo de criptomonedas registrado — $1.5B — y demuestra que la cadena de suministro del frontend de un multi-sig hosted es la pieza más débil de cualquier custodial setup. Y el mismo día, Apple retira Advanced Data Protection del Reino Unido bajo presión del Investigatory Powers Act. Cuatro frentes abiertos para 2025.

EU AI Act Art. 5 — primera fecha de aplicación vinculante

2 de febrero. Entra en aplicación el Capítulo II del Reglamento (UE) 2024/1689, las prohibiciones del Art. 5. Es la primera vez que el AI Act dispara obligaciones reales sobre operadores: ocho prácticas inaceptables fuera del mercado UE, con tramo sancionador hasta €35M o 7 % de facturación global. El 4 de febrero la Comisión publica las Guidelines on Prohibited AI Practices (no vinculantes pero interpretativas) en las 24 lenguas oficiales; el 6 de febrero, las guidelines sobre la definición de “sistema de IA” del Art. 3(1).

El detalle lo cubrimos en el técnico de este mes — categoría a categoría, exenciones del Art. 5.2 y la extraterritorialidad del Art. 2(1)(c). Lo importante para destacar aquí: las prácticas que caen son menos exóticas de lo que parece. Emotion recognition en herramientas de proctoring escolar y interview AI corporativo (5.1.f), social scoring trans-contexto en plataformas de tenant screening y gig worker rating (5.1.c), scraping facial indiscriminado de Clearview-style (5.1.e), bloqueo del FR en tiempo real para law enforcement salvo casos tasados (5.1.h).

La carga operativa real para las empresas en febrero 2025: inventario de IA cerrado, triaje contra Art. 5, plan de retirada o reconfiguración antes de fin de Q1, y formación mínima del personal bajo Art. 4. La AESIA no tiene aún guidelines españolas específicas — alineamiento por defecto con las de la Comisión.

Fuente: https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act · https://eur-lex.europa.eu/eli/reg/2024/1689/oj

AI Action Summit París — el final del consenso multilateral

AI Action Summit París — el final del consenso multilateral

10–11 de febrero, Grand Palais, París. Tercer summit internacional sobre IA tras Bletchley Park (2023) y Seúl (2024). Coorganizado por Francia e India, intención declarada: pasar del enfoque safety heredado al enfoque action — inversión, infraestructura, open ecosystem. La cumbre cierra con declaración de Inclusive and Sustainable AI for People and the Planet firmada por 58 países entre ellos Francia, India, China, Japón.

No la firman EEUU ni Reino Unido. La razón pública es US: el discurso del vicepresidente JD Vance el 11-feb. Es la primera intervención exterior de Vance desde la investidura y traduce a discurso geopolítico el Trump AI Executive Order del 23-ene.

Mensajes centrales del speech, tal como aparecen en la transcripción de France 24 y la cobertura del Washington Post:

  • “Excessive regulation of the AI sector could kill a transformative industry just as it’s taking off.”
  • “We feel strongly that AI must remain free from ideological bias and that American AI will not be co-opted into a tool for authoritarian censorship.”
  • Crítica directa al Digital Services Act y al AI Act (“foreign regulatory regimes that target our companies”).
  • Compromiso con pro-growth AI policies y oposición a cualquier framework internacional vinculante.

El siguiente summit — India 2026 — queda con la pregunta abierta de si el formato multilateral aguanta. El consenso de AI safety que cohesionó Bletchley/Seoul se ha bifurcado: un eje regulatorio liderado por UE con UK en posición ambigua, un eje de innovación sin red liderado por US, y China operando con marco propio. Para empresas multinacionales, el resto de 2025 es traducir esa bifurcación a calendarios regulatorios por jurisdicción.

Fuente: https://www.france24.com/en/europe/20250211-jd-vance-warns-against-excessive-regulation-of-ai-at-paris-summit · https://www.washingtonpost.com/politics/2025/02/11/vance-paris-ai/

ByBit / Safe{Wallet} — $1.5B y la cadena de visualización rota

21 de febrero, 14:13:35 UTC. TraderTraitor (cluster DPRK dentro de Lazarus) ejecuta la transacción que vacía la cold wallet de Ethereum de ByBit: 401.347 ETH, $1.5B al precio del día. Es el mayor robo de criptomonedas registrado, sin discusión.

El vector, desempaquetado en el técnico de este mes, es una cadena impecable. El 4-feb un developer de Safe descarga un proyecto Docker malicioso (MC-Based-Stock-Invest-Simulator-main), TTP firmada de TraderTraitor desde 2022. El malware extrae AWS session tokens activos del host comprometido y los atacantes operan dentro del entorno AWS de Safe durante 16 días sin añadir MFA propio — re-usando la sesión legítima de Developer1, ajustando horario al de la víctima para no parecer raro. El 19-feb a las 15:29 UTC reemplazan un único archivo JavaScript (_app-52c9031bfa03da47.js) en el bucket S3 que sirve app.safe.global, con un payload que solo se activa cuando el firmante es la dirección de la cold wallet de ByBit. El 21-feb a las 14:13 la transacción que ByBit pide firmar (transferencia rutinaria) se intercambia por una execTransaction(...) con to = 0x96221423... (contrato atacante), operation = 1 (delegatecall) y calldata transfer(0xbDd077f6..., 0): un SSTORE disfrazado que reescribe el slot 0 (la dirección de implementation) del proxy multi-sig. Dos minutos después, los atacantes restauran el JavaScript benigno en S3. Apenas hay rastro forense en el frontend.

Lo que la cadena enseña: el firmante humano no puede verificar localmente lo que está firmando. En blind signing, la Ledger muestra to, value, data en hex sin decodificar, así que el firmante depende de la UI del frontend para entender la operación. Cuando ese frontend está comprometido, la multi-sig 3-of-N, las hardware wallets y los procesos de air-gap dejan de proteger.

La respuesta de industria: el 24-feb Ethereum Foundation, Ledger, Trezor, MetaMask y WalletConnect anuncian un working group sobre un estándar abierto de clear signing para terminar con el blind sign por defecto. La transición operativa, sin embargo, va a tomar trimestres. Mientras tanto, todo multi-sig que dependa de app.safe.global (u otro frontend hosted) tiene la misma superficie.

El 26-feb el FBI publica PSA-250226 atribuyendo formalmente a la DPRK vía TraderTraitor, con lista de direcciones Ethereum para bloqueo. Ben Zhou (CEO ByBit) hace livestream público dos horas después del hack confirmando solvencia 1:1 reservas y absorción de la pérdida; al 20-mar, 88 % de los fondos siguen trazables, $280M se han movido vía mixers y se consideran “dark”.

Fuente: https://www.ic3.gov/PSA/2025/PSA250226 · https://www.sygnia.co/blog/sygnia-investigation-bybit-hack/ · https://www.nccgroup.com/research/in-depth-technical-analysis-of-the-bybit-hack/

Apple retira Advanced Data Protection en UK — Investigatory Powers Act muerde

21 de febrero (mismo día que ByBit, por casualidad). Apple anuncia que Advanced Data Protection (ADP) — la feature opt-in de cifrado end-to-end para iCloud Drive, Photos, Notes, Reminders, Safari Bookmarks y backups completos del dispositivo — deja de estar disponible para nuevos usuarios en el Reino Unido. Los usuarios británicos existentes con ADP activada tienen que desactivarla manualmente en un periodo de gracia no especificado para mantener su cuenta operativa.

El detonante: a comienzos de febrero, el Home Office UK emite un Technical Capability Notice (TCN) bajo el Investigatory Powers Act 2016 demandando a Apple capacidad para acceder al contenido cifrado de cualquier usuario Apple a nivel mundial, no solo del Reino Unido. La existencia del TCN se filtra al Washington Post el 7-feb. Apple declara a Bloomberg: “We are gravely disappointed that the protections provided by ADP will not be available to our customers in the UK given the continuing rise of data breaches and other threats to customer privacy.”

La salida elegida por Apple — retirar el producto en lugar de cumplir con el backdoor universal — es el patrón Lavabit a escala continental. El IPA permite TCNs secretos: oficialmente, Apple no puede confirmar que el TCN exista ni cuáles son sus términos. La retirada del producto es la única señal pública que puede dar.

Lo que viene: Apple apela ante el Investigatory Powers Tribunal. Audiencia secreta el 14-mar. La pregunta abierta es si el UK puede sostener un TCN extraterritorial sin entrar en conflicto con la Data Adequacy que tiene con la UE bajo GDPR. Si UK no garantiza confidencialidad de datos personales por mantener accesos para LE, la decisión de adequacy puede revisarse — con impacto comercial mucho mayor que el de ADP por sí solo.

Fuente: https://www.bloomberg.com/news/articles/2025-02-21/apple-removes-end-to-end-encryption-feature-from-uk-after-backdoor-order · https://support.apple.com/en-us/122234

Anthropic Claude 3.7 Sonnet — reasoning visible como producto

Anthropic Claude 3.7 Sonnet — reasoning visible como producto

24 de febrero. Anthropic lanza Claude 3.7 Sonnet, su primer modelo hybrid reasoning. Una sola API, dos modos:

  • Standard — respuesta inmediata, comportamiento equivalente a 3.5 Sonnet.
  • Extended thinking — pasa por una fase de razonamiento visible antes de responder. El usuario puede inspeccionar el CoT crudo y controlar el budget de tokens de thinking (hasta 128K).

Pricing igual que 3.5 Sonnet: $3 / $15 por millón input/output (incluyendo tokens de thinking). En benchmarks: SWE-bench Verified 70,3 %, AIME 2024 80,0 % con extended thinking de 64K, GPQA Diamond 78,2 %.

Lo relevante para seguridad: a diferencia de o1 (donde el CoT está oculto y solo se ven resumenes), Claude 3.7 muestra el thinking en raw form. Eso cambia el modelo de amenaza en dos direcciones:

  • CoT exfiltration en producto. Los outputs de thinking pasan a ser superficie de prompt injection — un adversario puede dirigir el razonamiento intermedio antes de la respuesta final. Investigación de Apollo Research durante 2025 va a documentar este patrón.
  • Inspeccionabilidad del jailbreak. Cuando Claude jailbreaks, ahora se puede leer cómo decide. Para investigadores externos (Pliny, Embrace The Red) es una mina; para Anthropic es señal de transparencia con coste de exponer detalles que antes eran propietarios.

Junto con 3.7 Sonnet, Anthropic lanza Claude Code en preview limitado — agentic coding tool por CLI que ejecuta read/write/run/test/commit/push con autorización del usuario. Es la respuesta directa a Cursor/Cline y al patrón agente de programación que se viene madurando desde 2024.

Fuente: https://www.anthropic.com/news/claude-3-7-sonnet · https://www.anthropic.com/news/visible-extended-thinking

Storm-2372 — device code phishing a escala

Storm-2372 — device code phishing a escala

13 de febrero. Microsoft Threat Intelligence publica análisis sobre Storm-2372, cluster con moderate confidence alineado a intereses rusos. La campaña lleva activa desde agosto 2024 pero escala en febrero contra gobiernos, ONGs, telecomunicaciones, defensa, healthcare y energía en Europa, Norteamérica, África y Oriente Medio.

Vector: device code phishing. El atacante inicia un flow OAuth 2.0 de tipo device code contra la app M365 objetivo (Microsoft Teams, Microsoft Graph, etc.), recibe el code y URL que Azure devuelve, y los pasa al usuario víctima a través de un mensaje plausible (invitación a reunión Teams, “autenticación necesaria para acceder al documento”). La víctima introduce el code en microsoft.com/devicelogin autenticándose con sus credenciales legítimas; lo que acaba de hacer es autorizar la sesión que inició el atacante. Los access tokens generados quedan en manos del atacante, sin que el usuario haya escrito el password en una página fraudulenta, sin error de TLS, sin typosquatting del dominio.

Lo problemático del vector: device code flow está pensado para dispositivos sin teclado (smart TVs, dispositivos IoT). Su funcionamiento legítimo es exactamente “alguien inicia, otra persona autoriza”. No hay forma técnica de distinguir uso legítimo de uso adversarial sin contexto adicional.

Mitigación recomendada por Microsoft: block device code flow en Conditional Access salvo casos justificados explícitamente, monitorización de tokens generados por device code flow con origen geográfico inesperado, formación específica al personal porque la social engineering layer es lo que cierra el ataque. Una de las cosas que la guidance no resuelve: muchas organizaciones tienen device code habilitado por defecto sin haberlo evaluado conscientemente.

Fuente: https://www.microsoft.com/en-us/security/blog/2025/02/13/storm-2372-conducts-device-code-phishing-campaign/

DOGE → Treasury — orden judicial el 8-feb, restricción negociada el 11

Inicios de febrero. Personal del Department of Government Efficiency (DOGE, oficina ejecutiva creada por Trump el 20-ene y dirigida en la práctica por Elon Musk) gana acceso a sistemas internos de varias agencias federales: Treasury (pagos federales), OPM (datos de empleo federal), IRS (datos fiscales), SSA (Social Security). El acceso al sistema de pagos del Tesoro — la pieza por la que pasan trillones de dólares al año, con datos personales y bancarios de millones de americanos — es la que dispara la respuesta judicial.

7 de febrero. La Fiscal General de Nueva York Letitia James lidera una coalición de 19 fiscales estatales que demandan a la administración Trump por acceso no autorizado. El 8 de febrero, un juez federal del Southern District of New York emite orden de bloqueo temporal: cualquiera no autorizado debe destruir inmediatamente las copias de material descargado desde el 20-ene en adelante. El 11 de febrero, la administración Trump acepta restricciones por acuerdo: solo dos miembros de DOGE (con Treasury staff credentials) mantienen acceso bajo supervisión, lectura sin escritura.

Lectura de fondo para seguridad: lo relevante no es la disputa política sino el patrón. Acceso administrativo a una base de datos federal puede establecerse en horas sin cumplimiento de los procedimientos de privileged access que normalmente la rodean. Cuando un Treasury Secretary entrante cambia “policy for protecting sensitive personally identifiable information” (texto de la demanda contra Bessent) por orden directa, los controles técnicos no son barrera. El threat model “el ejecutivo legitimado salta el procedimiento” no estaba en la matriz de la mayoría de agencias.

Fuente: https://www.npr.org/2025/02/08/g-s1-47350/states-sue-to-stop-doge-accessing-personal-data · https://ag.ny.gov/press-release/2025/attorney-general-james-stops-elon-musk-and-doge-accessing-americans-private

Resto del mes

  • Patch Tuesday 11-feb — 67 CVEs publicadas, cuatro zero-days explotados según Microsoft Threat Intelligence: CVE-2025-21391 (Windows Storage EoP), CVE-2025-21418 (Windows AFD.sys EoP), CVE-2025-21194 (Microsoft Surface security bypass), CVE-2025-21177 (Microsoft Dynamics 365 SSRF). Sin atribución pública a APT específico al momento de publicación.
  • OmniGPT data breach — 5-feb, vendedor en BreachForums afirma haber exfiltrado conversaciones de 30.000+ usuarios del agregador de modelos OmniGPT, incluyendo API keys propias del servicio. OmniGPT no confirma públicamente, sí pausa temporal del servicio.
  • Lee Enterprises ransomware — cadena de periódicos US sufre cifrado a comienzos del mes; Qilin reivindica autoría. Disrupción de publicación de 75+ diarios locales durante semanas.
  • GrubHub data breach — 3-feb, GrubHub confirma compromiso vía proveedor externo de servicios. Cuentas de clientes US afectadas: datos de contacto + parciales de tarjeta + hashes de password.
  • ENISA Threat Landscape 2025 draft preliminar — circulado entre stakeholders al cierre de febrero. Foco temático para el año: AI-enhanced social engineering, supply-chain dependiente de SaaS, ransomware as service en franca consolidación.
  • MITRE ATT&CK v16.1 — publicada 6-feb con técnicas nuevas en Cloud Matrix específicas para abuso de Identity providers (Entra ID, Okta) y device-code phishing — coincidiendo con el ciclo de la campaña Storm-2372.
  • Anthropic Claude 3.5 Haiku — pre-anuncio el 25-feb del Haiku siguiente generación, sin fecha exacta. Apunta a un Q2 2025 release.
  • Cisco IOS XE — varios advisories del mes — Cisco publica fixes incrementales en web-ui de IOS XE durante febrero, sin chain pre-auth equiparable al de 2023 (CVE-2023-20198/20273). Patches disponibles, sin explotación masiva reportada.

El mes que define el resto del año

Si destilo febrero en una frase: el regulador europeo empieza a aplicar el AI Act el mismo mes en que el orden multilateral de safety se rompe en París. La conversación que en 2023-2024 era “cómo regulamos juntos” en febrero 2025 es “cómo regulamos cada uno por su lado, con quién competimos por model deployment y cómo aguantamos la data adequacy contra el resto”.

A eso se suma la lección operativa del ByBit hack: en custodial setups del orden de cientos de millones, el frontend hosted es la pieza más débil porque concentra dos cosas que no deberían estar juntas — la user experience del firmante (necesariamente legible, dinámica, web) y la capacidad de mostrar lo que se firma (que en blind signing es exclusiva del frontend). TraderTraitor sigue activo con el mismo vector Docker malicioso desde 2022; el problema no es que ataquen, es que el modelo de despliegue de un frontend Web 3 hosted siga siendo “S3 bucket + CloudFront + ciclo CI/CD operado por developers humanos”.

Y el patrón Storm-2372 + DOGE Treasury comparten algo abstracto: el atacante (estatal en un caso, ejecutivo en otro) abusa de mecanismos que estaban diseñados para usos legítimos pero raros. Device code flow es para dispositivos sin teclado; nadie revisaba si lo necesitaba activado por defecto. Acceso administrativo desde el Treasury Secretary es para emergencias; nadie revisaba si tenía sentido ejecutarlo en horas y sin auditoría externa. Es el patrón legitimate function abused que va a definir mucho del cyber operativo en 2025 — más difícil de detectar y de patchear que un CVE, porque no hay bug que arreglar.

El plan operativo que sale de febrero:

  1. AI Act Art. 5 retirada completa antes de fin de Q1, documentada y archivada para defensa procesal.
  2. Audit de multi-sig que dependa de frontend hosted: clear signing obligatorio en firmantes, delegatecall guard en el contrato, doble verificación de payload por canal independiente.
  3. Audit de Conditional Access en M365 / Entra ID: device code flow bloqueado salvo whitelist explícita.
  4. Threat modeling para “el ejecutivo legitimado salta el procedimiento” en cualquier sistema crítico que la organización opere o aloje para terceros.

Para marzo hablaremos del primer paper serio sobre MCP tool poisoning — el patrón AI security que va a ser el equivalente de prompt injection para todo el resto del año.

Share:
Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Boletín — mayo 2026

noticias · 15 min

Boletín — mayo 2026

El Digital Omnibus cierra acuerdo provisional el 7 de mayo: Anexo III se mueve a diciembre de 2027. España aprueba su Ley de gobernanza de IA el 26 de mayo. Pwn2Own Berlin reparte 1,3 M$ por 47 zero-days con Codex y Claude Code en el menú. Patch Tuesday sin un solo zero-day por primera vez desde junio de 2024. OpenAI lanza Daybreak y Anthropic mueve Mythos hacia GA. Verizon DBIR 2026 corona la explotación de vulnerabilidades como vector número uno. GitHub pierde 3.800 repos internos por una extensión de VS Code.

· Manuel López Pérez

Boletín — abril 2026

noticias · 14 min

Boletín — abril 2026

El trílogo del Omnibus cierra sin acuerdo el 28 de abril, dejando el deadline AI Act original a tres meses. Patch Tuesday 165 CVEs y SharePoint zero-day activa. Anthropic anuncia Claude Mythos + Project Glasswing — primer frontier model que se queda detrás de un muro defensivo. Pwn2Own Berlin colapsa por sobrecupo. M&S un año después. AESIA publica las guías 13 y 14.

· Manuel López Pérez

Boletín — febrero 2026

noticias · 11 min

Boletín — febrero 2026

El mes de los aniversarios duros: AI Act Art. 5 cumple un año el 2 de febrero, ByBit cumple un año el 21. India AI Impact Summit en Delhi sustituye al Action Summit de París. Patch Tuesday con 6 zero-days. CrowdStrike GTR 2026 mete breakout time en 29 minutos. Mandiant abre la promo de M-Trends 2026 (publicación abril). DORA entra en enforcement activo tras la grace period. CISA KEV con tres updates.

· Manuel López Pérez