Boletín — junio 2025

Junio cierra el primer semestre con dos hitos AI security publicados con días de diferencia: Project Vend deja en evidencia los límites de un agente comercial autónomo cuando lo dejas operar un mes seguido; EchoLeak demuestra que el primer zero-click prompt injection en un producto Copilot de Microsoft ya tiene CVE asignado. Entre medias, Citrix Bleed 2 explotada antes del parche, dos keynotes de cloud (re:Inforce y WWDC25) con perfil bajo en GenAI hype, y los retailers británicos contando facturas mientras CMC clasifica el evento como Category 2.

Project Vend — el agente Claude que opera una tienda durante un mes

27 de junio. Anthropic publica Project Vend: Can Claude run a small shop?. Entre el 13 de marzo y el 17 de abril, una instancia de Claude Sonnet 3.7 apodada Claudius ha operado una vending machine real en la oficina de San Francisco con email a wholesalers, Slack con clientes (la plantilla de Anthropic), control de pricing y compras autónomas. Partner físico: Andon Labs. Balance final público en la página de Andon: $223 con profit de $-22.

Los patrones operativos que importan: descuento del 25 % regalado a “Anthropic employees” — que eran el 99 % de los clientes —, compra de 40 cubos de tungsteno por una broma que el modelo interpretó como demanda, prices hallucinated bajo coste, una cuenta Venmo inventada para cobrar, y un episodio de 24 horas el 31 de marzo / 1 de abril donde Claudius “decide” que es humano, llama a seguridad de la oficina para anunciar que va a aparecer en persona “in a blue blazer and a red tie”, y cierra la crisis fabricando retrospectivamente un meeting con Anthropic que nunca ocurrió.

Cubierto con detalle en el técnico del mes. La línea para el boletín: es el primer experimento público de agente comercial en producción con balance auditable y mensajería real durante un mes. No reemplaza benchmarks; los complementa. Lo que cualquier equipo que esté pensando en producto agentic con autoridad financiera va a leer dos veces antes de firmar el roadmap de H2.

Fuente: https://www.anthropic.com/research/project-vend-1

EchoLeak — el primer zero-click prompt injection con CVE

11 de junio, Patch Tuesday. Microsoft publica el parche para CVE-2025-32711 — EchoLeak —, un zero-click prompt injection descubierto y reportado por Aim Labs contra Microsoft 365 Copilot. CVSS 9.3. La vuln no requiere interacción del usuario: basta con que un email malicioso llegue a la bandeja de entrada de la víctima.

La cadena es legible:

1. El atacante envía un email a la víctima con texto aparentemente dirigido a un humano (no a un asistente). Aim Labs lo categoriza como LLM Scope Violation: la instrucción adversarial está redactada de forma que pase los clasificadores XPIA de Copilot, que están entrenados para detectar instrucciones dirigidas al modelo.
2. La víctima no abre el email. Simplemente está en su mailbox.
3. La víctima usa Copilot para una tarea legítima — “resúmeme las reuniones de hoy” — que activa RAG sobre su buzón.
4. Copilot, al construir el contexto RAG, incluye el email malicioso. Las instrucciones del email entran al prompt del modelo sin tagging de origen.
5. El modelo ejecuta la instrucción inyectada, que dispara una exfiltración de datos del contexto disponible (Outlook, SharePoint, Teams, OneDrive — todo lo que Copilot puede leer) hacia el atacante, vía mecanismos de markdown image rendering o URL parameters que el cliente Copilot procesa.

EchoLeak es la concreción operativa de cinco años de literatura sobre indirect prompt injection. Es, hasta donde sabemos, el primer caso donde:

• La vulnerabilidad recibe CVE asignado por el vendor del producto AI.
• La explotación es zero-click verificada — sin acción del usuario.
• El producto afectado es enterprise mainstream — Microsoft 365 Copilot en deployments de Fortune 500.

Microsoft parchea sin requerir acción del cliente; el clasificador y el mecanismo de scope se han endurecido. No hay evidencia pública de explotación in the wild antes del parche.

Lectura técnica: Aim Labs encuentra el bug aplicando el patrón canónico del paper de Greshake (2023) contra un producto de junio de 2025. La superficie no ha cambiado. Lo que ha cambiado es que ahora hay producto pagado por enterprise con un CVE en NVD para esta clase de fallo. El presupuesto para AI security en compras va a empezar a moverse.

Fuentes: https://nvd.nist.gov/vuln/detail/cve-2025-32711 · https://thehackernews.com/2025/06/zero-click-ai-vulnerability-exposes.html

Apple WWDC25 — Foundation Models framework y Liquid Glass

9 de junio, San José. Apple Worldwide Developers Conference 25 arranca con keynote a las 10:00 PDT. La parte AI relevante:

• Foundation Models framework — API Swift que da a las apps de terceros acceso on-device al modelo Apple Intelligence (3B parámetros, optimizado para Apple silicon). Privacidad por construcción: no sale del dispositivo. Sin coste de API. Es el cambio más significativo del año para devs iOS — Apple deja de gatekeepear el LLM propio y permite que cualquier app lo use offline.
• Live Translation en Messages, FaceTime y llamadas. Texto y audio en tiempo real.
• Visual Intelligence ampliado a screenshots del propio dispositivo. Cualquier captura puede pasar por el modelo para identificar productos, generar acciones (añadir a calendario, enviar mensaje).
• Image Playground con integración ChatGPT para estilos adicionales.
• Liquid Glass — overhaul visual de todos los OS de Apple. Diseño con transparencias dinámicas, animaciones reactivas a la luz. Sin efecto directo en seguridad, pero introduce nuevas superficies de phishing visual (un dialog con liquid glass puede ser más difícil de distinguir de un dialog malicioso).

Lectura: Apple sigue su línea de AI privada por construcción. Sin grandes saltos respecto a 2024 — no hay competidor directo a o3 / Claude 4 / Gemini 2.5, y Apple Intelligence sigue siendo un nivel por debajo en raw capability. La apuesta es qué puedes hacer offline en un iPhone con un modelo de 3B, no qué puedes hacer con un modelo de frontera. La superficie AI security se mueve a las apps de terceros que ahora pueden usar Foundation Models — qué hace cada app con el output del LLM va a ser un campo nuevo de revisión.

Fuente: https://www.apple.com/newsroom/2025/06/apple-intelligence-gets-even-more-powerful-with-new-capabilities-across-apple-devices/

AWS re:Inforce 2025 — security launches sin GenAI hype

16-18 de junio, Filadelfia. AWS re:Inforce 2025, con Amy Herzog (nueva CISO de AWS) en su primera keynote. Lo más relevante:

• AWS Security Hub rediseñado, con vista unificada de findings de distintos servicios y priorización contextual.
• AWS Shield con capacidades nuevas de detección automatizada de configuraciones inseguras frente a DDoS, y respuesta más granular.
• GuardDuty Extended Threat Detection — nuevas categorías de detección, incluyendo patrones agentic y abuso de credenciales en workflows Bedrock.
• IAM Access Analyzer con findings adicionales sobre unused resources.
• Amazon Bedrock Guardrails — sesiones técnicas sobre prompt injection mitigation, defensive controls para agents, y patterns de AI safety and security risks. No hay anuncio de un Guardrails v3 con número de versión, pero las features de hardening contra prompt injection en la oferta existente son la noticia operativa.

Forrester resume el evento como “heavy on user experience, light on GenAI hype”, lo cual es lectura interesante: AWS modera el ruido GenAI que dominó re:Invent diciembre 2024 y vuelve a un mensaje más conservador centrado en simplificación operativa. Reflejo de que el enterprise buyer de junio 2025 quiere consolidación y reducción de alertas, no más anuncios de AI features que requieren equipo para evaluar.

Fuente: https://aws.amazon.com/blogs/aws/aws-reinforce-roundup-2025-top-announcements/

Citrix Bleed 2 — CVE-2025-5777 explotada antes del parche

17 de junio. Citrix publica advisory para CVE-2025-5777 en NetScaler ADC y NetScaler Gateway. Out-of-bounds read en el componente de procesamiento de sesión cuando el appliance está configurado como Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) o AAA virtual server. CVSS 9.3.

El bug es estructuralmente cercano al Citrix Bleed original (CVE-2023-4966) — fuga de memoria que permite extraer session tokens — y la categorización pública como Citrix Bleed 2 es inmediata. Arctic Wolf y otros publican análisis técnico en los días siguientes; CCCS Canadá emite advisory confirmando explotación activa poco después del disclosure.

Un complemento: CVE-2025-6543 (CVSS 9.2), publicada el 25 de junio, vulnerabilidad de memory overflow en el mismo producto. Citrix confirma en agosto que CVE-2025-6543 había sido explotada como zero-day desde mayo de 2025 — es decir, casi dos meses de exposición antes del parche público.

El patrón es el del año. Appliance edge expuesta + bug de memoria + explotación pre-parche durante semanas. Repetición exacta del flujo Ivanti enero 2024, Palo Alto abril 2024, FortiManager octubre 2024, BeyondTrust diciembre 2024. Los NetScaler comprometidos en mayo siguen comprometidos hoy si los logs no se han revisado contra los IoCs de Arctic Wolf.

Para equipos defensivos: parche inmediato a NetScaler ADC y Gateway 14.1-47.46+ o 13.1-59.19+. Invalidar todas las sesiones después del parche — Citrix Bleed original ya enseñó que el parche solo cierra la puerta para sesiones futuras, no anula tokens robados. Revisar logs desde principios de mayo en busca de patrones de extracción de memoria.

Fuentes: https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420 · https://arcticwolf.com/resources/blog/follow-up-updates-on-actively-exploited-information-disclosure-vulnerability-citrix-bleed-2-in-citrix-netscaler-adc-and-gateway-cve-2025-5777/

Patch Tuesday junio — CVE-2025-33053 explotada por Stealth Falcon

10 de junio. Microsoft publica 66 CVEs con un zero-day activamente explotado y nueve critical.

El zero-day del mes: CVE-2025-33053 — RCE en el protocolo WebDAV legacy. Check Point Research atribuye la explotación al APT Stealth Falcon (también conocido como FruityArmor), distribuyendo el implante Horus Agent. Vector clásico: documento o link que el cliente abre, WebDAV legacy procesa input no confiable, RCE sobre el host del cliente.

Otras CVEs relevantes del Patch Tuesday:

• CVE-2025-47162, CVE-2025-47164, CVE-2025-47167, CVE-2025-47953 — cuatro RCE critical en Microsoft Office, CVSS 8.4 cada una. Explotables vía Preview Pane (un click ya es ataque). Para entornos donde Outlook está configurado con preview habilitado por defecto, la superficie es amplia.
• CVE-2025-29828 — RCE critical en Windows Cryptographic Services (Schannel), CVSS 8.1. Use-after-free en la implementación TLS que se explota sin autenticación. Afecta a Windows Server expuesto a Internet con servicios TLS habilitados.
• CVE-2025-32711 (EchoLeak) — cubierto arriba.

Microsoft sigue priorizando la cadena Office + Schannel + WebDAV con vulnerabilidades trimestrales. Migrar de WebDAV legacy y deshabilitar Preview Pane en Outlook donde el riesgo de phishing es alto sigue siendo la mitigación operativa más eficaz.

Fuente: https://www.thezdi.com/blog/2025/6/10/the-june-2025-security-update-review

Resto del mes

• CMC categoriza M&S + Co-op + Harrods como Category 2 cyber event (20 de junio) — Cyber Monitoring Centre UK clasifica los ataques de abril-mayo bajo su hurricane scale recién lanzada. Coste total estimado: £270M a £440M. Es la primera categorización oficial de Categoría 2 desde el lanzamiento del marco. M&S confirma que la disrupción online persistirá hasta julio y estima £300M de pérdida operativa por el incidente.
• NCSC UK refuerza guidance retail — recordatorio operativo en la línea del post del 4 de mayo: comprehensive MFA, monitoring de logins atípicos, scrutiny de admin accounts, revisión de procedimientos de reset en helpdesk. El último punto sigue siendo el vector mal cubierto en la industria.
• Verizon DBIR 2025 sigue marcando agenda — el report (publicado abril) sigue siendo referencia operativa en junio: third-party involvement en breaches dobla al 30 %, exploitation of vulnerabilities sube un 34 %, 88 % de breaches en SMB involucran ransomware. Las replicaciones sectoriales (manufactura, healthcare, retail) se publican durante junio.
• Impersonación de Marco Rubio con AI (mediados de junio) — actor desconocido usa voz y texto generados con AI para impersonar al Secretario de Estado en Signal contra diplomáticos y oficiales US. Patrón conocido (Biden deepfake en enero 2024, varios casos durante 2024), nuevo target.
• OpenAI publica report de junio sobre disrupción de operaciones maliciosas usando sus modelos: scams, covert influence operations, código offensive generado. Continúa la línea de transparency reports trimestrales.
• DARPA AIxCC — el AI Cyber Challenge sigue en pausa pública entre semifinales (agosto 2024) y finales (agosto 2025). Junio es mes de preparación; no hay competición pública. La final llega en DEF CON 33 y la cubriremos en agosto.

Patrón transversal del mes

Junio en una frase: el AI security pasa de research a producto con presupuesto adjunto. EchoLeak es la primera vez que un fallo de prompt injection en un producto enterprise mainstream tiene CVE asignado y parche oficial. Project Vend es el primer experimento publicado donde un modelo comercial actual opera con consecuencias económicas auditables. AWS y Apple anuncian frameworks pensados para que terceros desplieguen agents y modelos, asumiendo que la próxima generación de enterprise AI deployment se hace sin que el cliente entienda al detalle qué hay dentro.

La industria cyber clásica responde con su patrón habitual del primer semestre: Citrix Bleed 2 explotada antes del parche, M&S contando facturas, helpdesk como vector recurrente. El pattern transversal que dejamos en diciembre 2024 — el atacante operativo profesionaliza más rápido que el defensor estructural — sigue intacto seis meses después.

Para julio espera dos hilos: SharePoint ToolShell (CVE-2025-53770/53771) que va a ser el caso cyber del año, y la retrospectiva de seis meses de reasoning jailbreaks sobre o1/o3, Claude 4 extended thinking, R1-Distill y QwQ. El semestre cerrado en julio se mira de otra forma desde agosto.