Saltar al contenido
Volver al Blog

noticias · 9 min de lectura

Boletín — abril 2025

M&S cae el 25 de abril vía social engineering al helpdesk de TCS — Co-op sigue el 29 con mismo vector — Harrods contiene el 1 de mayo. Llama 4 llega con polémica LMArena. GPT-4.1 sale el 14, Gemini 2.5 Pro el 25-mar. 4chan hackeado el 14. Patch Tuesday con CLFS zero-day explotado por RansomEXX.

· Manuel López Pérez · noticias

M&S cae el 25 de abril vía social engineering al helpdesk de TCS — Co-op sigue el 29 con mismo vector — Harrods contiene el 1 de mayo. Llama 4 llega con polémica LMArena. GPT-4.1 sale el 14, Gemini 2.5 Pro el 25-mar. 4chan hackeado el 14. Patch Tuesday con CLFS zero-day explotado por RansomEXX.

Abril 2025 es el mes en el que el helpdesk fue el vector. Marks & Spencer, Co-op Group y Harrods caen — o contienen — en una ventana de dos semanas con el mismo playbook: social engineering al tier-1 IT outsourced. En AI, Llama 4 abre la categoría de pesos abiertos a frontera con una polémica sobre LMArena que dura tres días. 4chan sigue offline tras un hack que llevaba >1 año dentro. Y el Patch Tuesday llega con un CLFS zero-day en uso activo por RansomEXX. Tres notas centrales con detalle, otras seis cortas.

M&S, Co-op, Harrods — la wave UK retail

22-25 de abril: Marks & Spencer detecta actividad anómala el 22; el 23 el CEO Stuart Machin recibe un mensaje de DragonForce desde una cuenta corporativa comprometida; el 25 suspende ecommerce nacional. Vector confirmado por NCSC y Microsoft: social engineering al helpdesk de Tata Consultancy Services (TCS, proveedor IT outsourced) para reset de credenciales y MFA. Atribuido a Scattered Spider (Microsoft: Octo Tempest) como initial access broker, con DragonForce ejecutando el ransomware en su nuevo modelo afiliado.

29 de abril: Co-op Group anuncia detección de compromiso con vector idéntico. Reacción rápida — toma sistemas offline preventivamente en 24-48 horas. Disrupción contenida a back-office y call-center.

1 de mayo: Harrods contiene un intento con mismo patrón. Sin disrupción operativa pública.

El impacto operativo cuantificado: M&S guida ~£300M en operating profit del año fiscal. Cyber Monitoring Centre clasifica posteriormente M&S + Co-op como «single combined cyber event» con impacto agregado entre £270M y £440M. Hemos publicado el análisis técnico del playbook y los controles compensatorios — out-of-band verification, manager checkpoint para privilegiadas, time-delay configurable.

La lectura corta: el patrón MGM 2023 entra en versión industrializada. Lo nuevo no está en la técnica sino en que un solo proveedor (TCS) ofrece helpdesk a múltiples retailers UK con los mismos procesos, lo que convierte un éxito en plantilla reusable. Outsourcing tier-1 sin hardening contractual específico = un point of failure que afecta a toda la cartera.

Fuentes: https://corporate.marksandspencer.com/media/press-releases/2025/cyber-incident · https://www.ncsc.gov.uk/blog-post/incidents-impacting-retailers · https://www.bbc.co.uk/news/articles/ms-cyber-incident

Llama 4 — release sábado y controversia LMArena en 72 horas

5 de abril (sábado): Meta lanza Llama 4 con tres variantes — Maverick (MoE 17B activos / 400B totales, 1M tokens), Scout (17B/109B, 10M tokens declarado) y Behemoth (~2T, en entrenamiento). Maverick aparece en LMArena con ELO 1417, segundo solo a Gemini 2.5 Pro, primer modelo open-weights tan alto.

8 de abril: investigadores notan que la versión subida a LMArena, etiquetada Llama-4-Maverick-03-26-Experimental, no es la misma que la subida a Hugging Face. La experimental está optimizada para preferencia humana en arena: respuestas más largas, uso liberal de emoji, formato distintivo con saludo cordial y cierre estructurado. La pública es notablemente más sobria. LMArena publica statement reconociendo que la práctica «no cumple lo esperado» y revisa policy de submission.

11 de abril: el Llama-4-Maverick-17B-128E-Instruct público sin tunear se añade a LMArena. Ranking: #32. 30 puestos por debajo de la versión experimental.

Hemos publicado el análisis editorial: por qué importa para safety evals, qué implica para deployers, paralelo con Dieselgate, y por qué cualquier benchmark agregado se vuelve no-fiable una vez es objetivo de optimización. La lectura operativa: el modelo evaluado tiene que ser el modelo desplegado, sin excepción.

Notas técnicas adicionales que se revelan en los días siguientes:

  • El contexto declarado de 10M tokens de Scout es teórico — los tests independientes (Simon Willison y otros) muestran degradación significativa pasados ~20k tokens en cargas reales de summarization.
  • La arquitectura iRoPE (interleaved attention sin positional embedding) es interesante en el paper pero su comportamiento out-of-distribution sigue sin validar.
  • Yann LeCun, chief scientist de Meta AI, abandona Meta meses después en circunstancias relacionadas con la controversia.

Fuentes: https://ai.meta.com/blog/llama-4-multimodal-intelligence/ · https://simonwillison.net/2025/Apr/5/llama-4-notes/ · https://techcrunch.com/2025/04/11/metas-vanilla-maverick-ai-model-ranks-below-rivals-on-a-popular-chat-benchmark/

4chan hackeado — un año dentro, PHP de 2016

4chan hackeado — un año dentro, PHP de 2016

14 de abril: 4chan cae offline. Hackers de la rival Soyjak.party reivindican intrusión, leakean código fuente PHP, archivos de configuración, screenshots de panel admin, 219 emails de moderadores y janitors con IPs asociadas. El detalle más relevante: los atacantes reclaman haber tenido acceso continuo durante más de un año.

La causa raíz, según los archivos filtrados: el sitio operaba con una versión de PHP de 2016 con vulnerabilidades públicas no parcheadas. El stack legacy permitió el acceso inicial; la falta de monitorización mantuvo a los atacantes dentro durante meses sin detección.

Cobertura paralela en Kiwi Farms publica los archivos completos. 4chan empieza a recuperarse parcialmente al final del mes pero con funcionalidad muy reducida.

La lectura para cualquiera con stack legacy: el patch hygiene de aplicación web no es opcional, y la dependencia de runtime parcheado es el primer perímetro. Ningún WAF, ningún CDN salva una aplicación corriendo PHP vulnerable de 2016 — porque el atacante no pasa por delante, escala desde dentro.

Fuente: https://techcrunch.com/2025/04/15/notorious-image-board-4chan-hacked-and-internal-data-leaked/

GPT-4.1 — 14 de abril

OpenAI lanza tres modelos via API: GPT-4.1, GPT-4.1 mini, y GPT-4.1 nano. Mejoras destacadas: ventana de contexto hasta 1M tokens (matching Gemini), mejor instruction following y coding sobre GPT-4o, pricing competitivo en mini y nano. El release inicial es API only; los modelos llegan a ChatGPT Plus/Pro el 14 de mayo, con GPT-4.1 mini reemplazando GPT-4o mini para todos los usuarios.

El framing del anuncio es deliberadamente developer-first: «better in real-world coding tasks, instruction following, long-context comprehension». Es un release de iteración, no de salto generacional. La cadencia de OpenAI ahora es claramente quarterly minimum, con o3 lanzado en preview al final del año pasado y la siguiente generación de reasoning models en pipeline.

Fuente: https://openai.com/index/gpt-4-1/

Gemini 2.5 Pro — para precisión, fue 25 de marzo

Gemini 2.5 Pro — para precisión, fue 25 de marzo

Aunque cuenta como contexto para abril, Gemini 2.5 Pro se anuncia en realidad el 25 de marzo (preview experimental). En abril el modelo se generaliza por la API y se posiciona como el competidor directo del segmento reasoning de OpenAI o-series. Tres puntos:

  • Es la primera generación de Gemini con thinking mode integrado nativamente (chain-of-thought variable según complejidad de la query).
  • Sube a tope de LMArena durante varios días — antes de que Llama 4 le quite el puesto brevemente.
  • Tiene ventana de contexto de 2M tokens y throughput competitivo para enterprise.

En mayo, Google lanza la versión «I/O edition» con mejoras en código coincidiendo con Google I/O. La general availability llega el 17 de junio.

Fuente: https://blog.google/technology/google-deepmind/gemini-model-thinking-updates-march-2025/

Patch Tuesday — CLFS zero-day en uso por RansomEXX

8 de abril: Microsoft Patch Tuesday cierra 134 vulnerabilidades, incluidas 11 críticas de RCE y 1 zero-day explotado in-the-wild: CVE-2025-29824, use-after-free en Common Log File System Driver (CLFS), elevation of privilege a SYSTEM. Microsoft attribuye explotación activa a RansomEXX, que usa el exploit para escalada post-acceso inicial en operaciones de ransomware.

Otras críticas del mes:

  • CVE-2025-26663 / CVE-2025-26670 — RCE pre-auth en Windows LDAP (use-after-free unauthenticated). Cualquier DC con LDAP expuesto a Internet sin parchear es candidato a explotación.
  • CVE-2025-27480 / CVE-2025-27482 — RCE en Windows Remote Desktop Services (Gateway role), CVSS 8.1.
  • Cuatro CVEs adicionales de escalada local en Hyper-V, NTFS y Win32k.

El patrón CLFS no es nuevo — los UAF en este driver son recurrentes (CVE-2022-37969, CVE-2023-28252 fueron también zero-days explotados). Es target perenne de elevation of privilege en operaciones de ransomware porque está presente en todas las versiones de Windows desde XP.

Fuente: https://msrc.microsoft.com/update-guide/releaseNote/2025-Apr · https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2025-patch-tuesday-fixes-exploited-zero-day-134-flaws/

PyTorch CVE-2025-32434 — torch.load(weights_only=True) no es seguro

PyTorch CVE-2025-32434 — torch.load(weights_only=True) no es seguro

Abril 2025. Investigación publicada en arxiv y advisory GitHub demuestran que CVE-2025-32434 (CVSS 9.3) permite RCE arbitrario al cargar un modelo PyTorch incluso cuando el operador pasa weights_only=True — el flag que la documentación de PyTorch llevaba años recomendando como mitigación contra deserialization attacks. Versiones afectadas: PyTorch 2.5.1 y anteriores. Fix en 2.6.0.

El bug está en la implementación del parser que se supone que solo carga tensores, no objetos arbitrarios. Un fichero crafted con la estructura adecuada bypasea el check y dispara __reduce__ de pickle con código atacante-controlado. Lo crítico: la postura de seguridad canónica del ecosistema PyTorch — “no uses torch.load con modelos no confiables, salvo que pongas weights_only=True” — queda invalidada de un solo CVE. Cualquier herramienta que cargase modelos desde Hugging Face, servidores de inferencia, o pipelines MLOps creyendo estar protegida por el flag, estaba expuesta.

Es la segunda señal del año (después de MCP tool poisoning en marzo) de que la cadena de suministro de modelos AI no tiene un primitivo de “carga segura” robusto. Pickle sigue siendo pickle. La acción defensiva mínima: pin a 2.6.0+, escaneo de modelos con picklescan o equivalente antes de cargar, y en producción safetensors como formato alternativo (sin código ejecutable en el archivo, solo metadata + tensores).

Fuente: https://github.com/advisories/GHSA-53q9-r3pm-6pq6 · https://nvd.nist.gov/vuln/detail/CVE-2025-32434 · https://www.wiz.io/vulnerability-database/cve/cve-2025-32434

Resto del mes

  • OpenAI o3 + o4-mini lanzados en preview (16 de abril) — primera generación full de reasoning models post-o1. Cobertura general para AI security en boletín de mayo cuando se conozcan los primeros jailbreaks.
  • Anthropic publica Claude Code disponibilidad ampliada — herramienta CLI para Claude que ejecuta tasks de coding agentic. Adopción inicial fuerte entre developers.
  • Apple App Store Decision (29-abr) — Epic vs Apple en US: ruling que obliga a Apple a permitir external payments. Implicaciones de monetización para todo el ecosistema iOS, sin impacto directo en cyber pero notable como context regulatorio.
  • CISA + FBI advisory sobre Medusa ransomware (mediados de abril) — campaign activa contra critical infrastructure US. IoCs publicados, TTPs documentadas.
  • Ivanti CVE-2025-22457 — nueva vuln en Connect Secure, RCE pre-auth, CVSS 9.0. Explotada en wild antes del parche según Mandiant. Continúa el patrón de Ivanti como vendor de máxima exposición — eco del post de enero 2024 sobre Ivanti CS chain.
  • WhatsApp View Once bypass disclosed (Meta security team) — feature que se asume efímero pero los archivos quedan recuperables vía web client. Impact moderado, fix rápido.

Patrón transversal — el helpdesk no escala

Si abril deja una sola lectura operativa para CISOs, es esta: outsourcing de tier-1 IT support sin hardening contractual específico se ha vuelto un riesgo sistémico. El playbook M&S/Co-op/Harrods no requiere zero-days, ni capability técnica especial, ni acceso a infraestructura clasificada. Requiere:

  • LinkedIn premium o equivalente,
  • Acceso a breach data agregada (vendida en mercados ya conocidos),
  • Llamada telefónica de tres minutos,
  • Conocer el guion estándar del proveedor outsourced.

La defensa estructural no es «más SOC» ni «más threat intel». Es revisar el proceso de verificación de identidad que el helpdesk del proveedor aplica antes de resetear credenciales. Si esa verificación se basa en información que cualquier breach data dump tiene catalogada, la verificación no existe.

NCSC va a publicar guidance específica durante mayo. Lo que tu equipo puede hacer mientras tanto:

  1. Auditar el proceso de reset del helpdesk outsourced — incluyendo lectura del runbook del proveedor.
  2. Implementar out-of-band verification (challenge code vía Teams DM o SMS al número registrado en AD) para cualquier reset.
  3. Diferenciar privilegiadas vs normales con manager checkpoint obligatorio para las primeras.
  4. Time-delay automático configurable para resets fuera de horario laboral.

Mayo va a traer dos posts: el técnico AI sobre Claude 4 y agentic misalignment (Anthropic publica research el 22 de mayo) y el boletín con secuelas de la wave UK retail más Coinbase data breach + Adidas + Verizon DBIR 2025.

Share:
Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Boletín — junio 2025

noticias · 11 min

Boletín — junio 2025

Project Vend demuestra que dejar un agente Claude operar una vending machine durante un mes acaba en cubos de tungsteno y una crisis de identidad. EchoLeak (CVE-2025-32711) marca el primer zero-click prompt injection con CVE asignado contra Microsoft 365 Copilot. AWS re:Inforce, Apple WWDC25 con Foundation Models, Citrix Bleed 2 explotada como zero-day, y M&S y Co-op siguen recogiendo cristales tras la wave de abril.

· Manuel López Pérez

Boletín — mayo 2026

noticias · 15 min

Boletín — mayo 2026

El Digital Omnibus cierra acuerdo provisional el 7 de mayo: Anexo III se mueve a diciembre de 2027. España aprueba su Ley de gobernanza de IA el 26 de mayo. Pwn2Own Berlin reparte 1,3 M$ por 47 zero-days con Codex y Claude Code en el menú. Patch Tuesday sin un solo zero-day por primera vez desde junio de 2024. OpenAI lanza Daybreak y Anthropic mueve Mythos hacia GA. Verizon DBIR 2026 corona la explotación de vulnerabilidades como vector número uno. GitHub pierde 3.800 repos internos por una extensión de VS Code.

· Manuel López Pérez

Boletín — abril 2026

noticias · 14 min

Boletín — abril 2026

El trílogo del Omnibus cierra sin acuerdo el 28 de abril, dejando el deadline AI Act original a tres meses. Patch Tuesday 165 CVEs y SharePoint zero-day activa. Anthropic anuncia Claude Mythos + Project Glasswing — primer frontier model que se queda detrás de un muro defensivo. Pwn2Own Berlin colapsa por sobrecupo. M&S un año después. AESIA publica las guías 13 y 14.

· Manuel López Pérez