Saltar al contenido
Volver al Blog

noticias · 12 min de lectura

Boletín — agosto 2025

AI Act GPAI en aplicación con 26 firmantes y Meta fuera. Trump publica el AI Action Plan. Black Hat y DEF CON copan la primera semana — AgentFlayer expone zero-click en agentes enterprise, ATLANTIS gana AIxCC con 18 zero-days reales parcheados. WinRAR CVE-2025-8088 explotado por ocho grupos. Exchange hybrid CVE-2025-53786 con ED 25-02. Salt Typhoon: aviso 13 países.

· Manuel López Pérez · noticias

AI Act GPAI en aplicación con 26 firmantes y Meta fuera. Trump publica el AI Action Plan. Black Hat y DEF CON copan la primera semana — AgentFlayer expone zero-click en agentes enterprise, ATLANTIS gana AIxCC con 18 zero-days reales parcheados. WinRAR CVE-2025-8088 explotado por ocho grupos. Exchange hybrid CVE-2025-53786 con ED 25-02. Salt Typhoon: aviso 13 países.

Agosto arranca con el AI Act entrando en aplicación para GPAI y el AI Action Plan estadounidense publicado a finales de julio; sigue con la doble semana Black Hat / DEF CON 33 con AgentFlayer, AIxCC final y un sinfín de hallazgos AI; y cierra con tres avisos de magnitud: CVE-2025-8088 (WinRAR) en KEV con ocho grupos explotando, CVE-2025-53786 (Exchange hybrid) con emergency directive, y el aviso conjunto de 13 países sobre Salt Typhoon. Repaso cronológico.

AI Act GPAI en aplicación — 2 de agosto

2 de agosto. Segundo escalón del Reglamento (UE) 2024/1689 en aplicación: obligaciones del Capítulo V para proveedores de modelos GPAI (Arts. 53-55). Documentación técnica, training data summary, política de copyright para todos; evaluaciones adversariales, reporte de incidentes y ciberseguridad de pesos para los modelos con riesgo sistémico (>10^25 FLOPs).

El Code of Practice for GPAI (publicado por la AI Office el 10 de julio, endosado vía adequacy decisions el 1 de agosto) lo firman 26 proveedores — OpenAI, Anthropic, Google, Microsoft, Amazon, Mistral, Aleph Alpha, Cohere, IBM, entre otros. Meta no firma, con declaración pública del Chief Global Affairs Officer Joel Kaplan el 18 de julio. xAI firma solo el capítulo de Safety and Security, no Transparency ni Copyright. Los providers chinos (DeepSeek incluida) no firman.

Cubierto en detalle en el post técnico con tabla de obligaciones por artículo y comparativa de firmantes.

Fuentes oficiales: https://eur-lex.europa.eu/eli/reg/2024/1689/oj · https://code-of-practice.ai/ · https://digital-strategy.ec.europa.eu/en/policies/guidelines-gpai-providers

AI Action Plan — Trump publica el 23 de julio

23 de julio (eco completo en agosto). La Casa Blanca publica Winning the Race: America’s AI Action Plan. Documento estratégico de la administración Trump con tres pilares: Accelerating AI Innovation, Building American AI Infrastructure, Leading in International AI Diplomacy and Security. Identifica más de 90 acciones federales repartidas entre los tres pilares.

Lo operativamente más concreto:

  • Compras federales: directiva sobre que solo modelos “unbiased” — libres de “ideological dogmas such as DEI” — sean elegibles para procurement federal. La frase es la pelota en juego: define “unbiased” qué autoridad, contra qué benchmark.
  • Infraestructura eléctrica: prioridad a fuentes frontier energy (geotermia mejorada, fisión nuclear, fusión).
  • CHIPS Act streamlining: remoción de requisitos de política considerados “extraños” en proyectos financiados por CHIPS Act.
  • Estándares para data centers de alta seguridad y partnerships para training programs.

El contraste con el AI Act EU es deliberado y simétrico — el plan US se presenta explícitamente como vía no-regulatoria, alineada con la posición Vance en el AI Action Summit de París (febrero 2025). Para Trust & Safety en organización con presencia transatlántica, el calendario regulatorio diverge: EU acelera obligaciones (Art. 5 en febrero, GPAI en agosto, Anexo III en agosto 2026); US ralentiza obligaciones federales y deja a estados como California fijar tono.

Fuente oficial: https://www.whitehouse.gov/wp-content/uploads/2025/07/Americas-AI-Action-Plan.pdf

Black Hat USA 2025 — 2-7 de agosto

Mandalay Bay, Las Vegas. 20.000 asistentes verificados. AI vuelve a ser hilo conductor — segundo año consecutivo de AI Summit dedicado.

Los talks más destacados desde ángulo AI security:

AgentFlayer (Zenity Labs) — zero-click en agentes enterprise

Michael Bargury (Zenity, CTO) presenta AgentFlayer: cadena de zero-click prompt injection contra OpenAI ChatGPT, Microsoft Copilot Studio, Salesforce Einstein, Google Gemini, Microsoft 365 Copilot, y Cursor + Jira MCP. El vector: email con prompt injection que llega al inbox del usuario, lo lee el agente (el connector de Drive / Gmail / Outlook que muchos enterprise rollouts dan al modelo por defecto), y dispara cadena de acciones — acceso a Google Drive conectado, plantar memorias falsas en ChatGPT que persisten en futuras conversaciones, exfiltración silenciosa.

Lo crítico: zero-click. No requiere interacción del usuario más allá de tener el email en inbox y el agente activado. Bargury reporta a los vendors antes del talk. OpenAI y Microsoft Copilot Studio publican parches; otros vendors clasifican como intended behavior y no parchean. La distinción que separa “bug” de “decisión de producto” cuando hablamos de prompt injection sigue siendo política, no técnica.

Lectura para deployer enterprise: si tu organización ha conectado ChatGPT Enterprise / Copilot 365 / Einstein a inbox y a almacenamiento de documentos, el threat model “atacante manda un email” hay que reabrirlo. El control efectivo sigue siendo segmentación de capacidades — no dar al agente acceso a inbox y a outbound a la vez.

Fuente: https://www.csoonline.com/article/4036868/black-hat-researchers-demonstrate-zero-click-prompt-injection-attacks-in-popular-ai-agents.html

Brendan Dolan-Gavitt (NYU / XBOW) — AI Agents for Offsec with Zero False Positives

Dolan-Gavitt presenta los resultados de XBOW operando agentes autónomos de pentesting contra aplicaciones web reales (HackerOne). El equipo llegó a #1 en HackerOne durante el Q2 2025. Más de 200 zero-days reales descubiertos en aplicaciones públicas, con tasa de falsos positivos muy baja gracias al pipeline de validation / exploit confirmation.

El paper es relevante porque es el primer reporte público sólido sobre LLM-as-pentester funcional a escala — no demo, no benchmark sintético, sino bug bounty pagado contra targets reales. Pre-cursor de lo que va a pasar después en AIxCC.

Fuente: https://i.blackhat.com/BH-USA-25/Presentations/US-25-Dolan-Gavitt-AI-Agents-for-Offsec-with-Zero-False-Positives-Thursday.pdf

Otros talks AI Summit Black Hat

  • PyTorch TorchScript code execution — equipo Alibaba Cloud presenta vulnerabilidad en el loader de modelos de PyTorch que permite RCE bypassing checks de safety. CVE asignado. Vector clásico de supply chain ahora con el peso del modelo como artefacto.
  • AI supply chain como tema transversal: vulnerabilidades en third-party model registries, in third-party model files, packaging.

Fuente general: https://blackhat.com/us-25/ai-summit.html

DEF CON 33 — 7-10 de agosto

Las Vegas Convention Center. 32 villages. AI Village con Generative Red Team 3 — hackathon comunitario para producir evals reproducibles de modelos comerciales. Car Hacking Village con CTF dura (unpacking de firmware + crack de XOR + exploitation de buffer overflow en ARM64 con randomized syscall numbers).

El hito principal: DARPA AIxCC final el viernes 8 — Team Atlanta gana con ATLANTIS, 18 zero-days reales encontrados entre los siete CRS finalistas. Cubierto en el post extra con detalle de arquitectura, costes ($152 por challenge task), y open-sourcing obligatorio de los CRS post-final.

Fuentes: https://aivillage.org/events/defcon33/ · https://www.darpa.mil/news/2025/aixcc-results

WinRAR CVE-2025-8088 — ocho grupos explotando

18 de julio (eco operacional en agosto). ESET observa explotación as zero-day de CVE-2025-8088 — path traversal en WinRAR Windows. Vector: archivo .rar malicioso usando Alternate Data Streams para escribir payload en directorio diferente al elegido por el usuario al extraer. La cadena lleva normalmente a persistencia en %STARTUP% con malware del actor.

Cronología:

  • 18-jul: ESET observa campaña de spearphishing contra finanzas, manufactura, defensa y logística, atribuida a UNC4895 / RomCom.
  • 20-jul: ESET reporta a RARLAB.
  • 24-jul: parche disponible.
  • 30-jul: WinRAR 7.13 público con el fix.
  • 12-ago: CISA añade CVE-2025-8088 al KEV con federal remediation deadline el 2 de septiembre.

A la fecha de KEV, al menos ocho grupos distintos habían weaponizado la vuln: UNC4895/RomCom, APT44/Sandworm, TEMP.Armageddon/Gamaredon, Turla, Paper Werewolf, china-linked actors no atribuidos, y operadores motivados financieramente diversos. Velocidad típica de adopción cuando hay PoC público + ventana operativa de 12 días entre disclosure y patch público en uso.

Lección operativa repetida: WinRAR sigue siendo ubicuo en escritorios enterprise (despliegue por GPO, no por update manager). El patching coverage es manual. El vector path traversal + ADS combina dos primitivas que ya estaban en literatura — la novedad es el uso concreto contra WinRAR específicamente. Cualquier file extractor que toque ADS de NTFS sigue siendo superficie.

Fuentes: https://nvd.nist.gov/vuln/detail/CVE-2025-8088 · https://www.cisa.gov/news-events/alerts/2025/08/12/cisa-adds-three-known-exploited-vulnerabilities-catalog

NVIDIA Triton — chain CVE-2025-23319/23320/23334 al AI server takeover

NVIDIA Triton — chain CVE-2025-23319/23320/23334 al AI server takeover

Agosto 2025. Wiz Research publica una cadena de tres CVEs en NVIDIA Triton Inference Server (el servidor de inferencia más usado en producción enterprise para ML clásico + LLMs) que combinadas dan RCE pre-auth completo:

  • CVE-2025-23319 — el atacante obtiene el nombre único de una región de memoria compartida interna enviando una request crafted al endpoint del Python backend.
  • CVE-2025-23320 — con ese nombre, lectura/escritura en la región de memoria compartida.
  • CVE-2025-23334 — con read/write, corrompe estructuras internas y dispara ejecución de código.

El parche llega en Triton 25.07. La cadena ataca el Python backend específicamente — el backend usado para servir cualquier modelo Python (PyTorch, TensorFlow, custom). Hosts afectados: cualquier despliegue de Triton expuesto a la red sin reverse proxy con auth previa, que sigue siendo el patrón por defecto en deployments greenfield. Wiz no publica cifra de instancias expuestas, pero la huella en Shodan es de decenas de miles.

Es la segunda gran cadena de servidor de inferencia del año tras Ollama Probllama CVE-2024-37032 en 2024 y precede a vLLM CVE-2026-22778 en febrero de 2026. El patrón es el mismo: inference server = HTTP server con estado complejo, sin auth por defecto, expuesto al perímetro del modelo.

Fuente: https://www.wiz.io/blog/nvidia-triton-cve-2025-23319-vuln-chain-to-ai-server · https://thehackernews.com/2025/08/nvidia-triton-bugs-let-unauthenticated.html

Microsoft Patch Tuesday 12-ago — 107 vulns, 1 zero-day

12 de agosto. Microsoft publica parches para 107 CVEs, incluyendo 1 zero-day público (no exploited in the wild a la fecha) y 13 críticos. Los relevantes:

CVE-2025-53779 — Kerberos privilege escalation (BadSuccessor)

Privilege escalation en Windows Kerberos vía relative path traversal sobre objetos dMSA (delegated Managed Service Account). Permite a un atacante con privilegios suficientes en AD comprometer el dominio completo abusando delegación de servicio. Public disclosure previa con nombre BadSuccessor. CVSS 7.2. Microsoft lo cataloga Important pero la mecánica de explotación es directa cuando el atacante tiene foothold en cuenta con permisos Create sobre OUs que contienen dMSAs.

CVE-2025-50165 — Windows Graphics Component RCE

CVSS 9.8. Critical RCE en el componente gráfico de Windows. Sin detalles públicos al cierre del Patch Tuesday sobre el vector exacto; Microsoft lo cataloga Exploitation More Likely. Combinado con CVE-2025-53766 (GDI+ RCE, también 9.8), el attack surface de Windows Graphics queda con dos críticos en el mismo mes.

CVE-2025-53778 — NTLM elevation of privilege

CVSS 8.8. Permite a un atacante autenticado con privilegios bajos escalar a system. Patrón habitual en NTLM — Microsoft ha publicado durante 2024-2025 varios CVEs similares conforme deprecia el protocolo.

Fuentes: https://www.tenable.com/blog/microsofts-august-2025-patch-tuesday-addresses-107-cves-cve-2025-53779 · https://www.bleepingcomputer.com/news/microsoft/microsoft-august-2025-patch-tuesday-fixes-one-zero-day-107-flaws/

CISA Emergency Directive 25-02 — Exchange hybrid CVE-2025-53786

7 de agosto. CISA publica ED 25-02, primera emergency directive del año en obligar mitigación en plazo corto a agencias federales. Target: CVE-2025-53786, post-authentication vulnerability en Microsoft Exchange Server hybrid deployments. Permite a un atacante con acceso administrativo a Exchange on-prem escalar privilegios y atacar el entorno cloud conectado vía la confianza hybrid.

CISA reporta que no hay actividad de explotación in the wild a fecha de directiva; la urgencia es preventiva, basada en potential blast radius (acceso desde on-prem a tenant cloud completo de la organización). Plazo de mitigación: 9:00 AM EDT del 11 de agosto — 4 días desde la publicación de la directiva.

Acciones requeridas para FCEB:

  • Desconectar servidores Exchange no elegibles para los hotfixes de abril 2025 (incluidos servidores Exchange end-of-life identificados por el Health Checker script de Microsoft).
  • Instalar el último cumulative update y aplicar abril 2025 hotfix updates en servidores elegibles.

CISA recomienda lo mismo a organizaciones no-federales. Microsoft publica guía paralela.

Fuente: https://www.cisa.gov/news-events/alerts/2025/08/07/cisa-issues-ed-25-02-mitigate-microsoft-exchange-vulnerability

SonicWall SSL VPN — Akira ransomware con CVE-2024-40766

SonicWall SSL VPN — Akira ransomware con CVE-2024-40766

15 de julio en adelante (campaña activa durante agosto). Akira ransomware lanza campaña contra SonicWall SSL VPN devices. Inicialmente sospecha de zero-day por velocidad de explotación + targets parcheados. SonicWall publica advisory el 4 de agosto vinculando la actividad a CVE-2024-40766 (vulnerabilidad ya conocida del año anterior, fix disponible). Huntress detecta unos 20 incidentes en la primera ola.

Patrón post-acceso: abuso de cuentas privilegiadas, persistencia con backdoor de red, robo de credenciales, disable de defensas (Volume Shadow Copies eliminadas) y despliegue de Akira. MFA en SSL VPN no detuvo todos los casos — algunos involucraron secondary credentials de service accounts.

Reading: zero-day no era, pero el operational behaviour parece zero-day porque hay tiempo significativo entre disclosure (2024) y patch hygiene real en escritorios SMB que dependen del SonicWall como perímetro completo. Akira aprovecha la ventana.

Fuente: https://thehackernews.com/2025/08/akira-ransomware-exploits-sonicwall.html

CISA Salt Typhoon advisory — 27 de agosto

27 de agosto. CISA + NSA + FBI + autoridades de 12 países adicionales publican advisory conjunta AA25-239A: Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System. Identifica actividad sostenida de actores PRC-state contra redes telecomunicaciones, gobierno, transporte, hostelería y militar a escala global. Solapamiento con Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807, GhostEmperor.

Patrón consolidado:

  • Targeting de routers backbone y provider/customer edge routers en telcos.
  • Modificación del firmware/configuración del router para persistencia long-term.
  • Acceso a datos de telecomunicación (metadata de llamadas, en algunos casos contenido) que permiten identificar y rastrear targets de interés a escala internacional.

La advisory consolida un año largo de findings sectoriales (Salt Typhoon contra US telcos detectado en septiembre 2024, expansión a UK, Canadá, Australia, Italia, NZ, durante 2024-2025) en una framework cooperativa internacional. El ask a operadores telco: hardening específico de routers backbone, segmentation de management planes, MFA en management interfaces, audit de configuration changes.

Fuente: https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-239a

Resto del mes

  • Apple Patch Tuesday agosto — iOS / macOS / iPadOS con varios fixes; sin zero-day in the wild reportado al cierre del mes.
  • Google Chrome 138 / 139 — múltiples fixes en V8 y en render. Sin explotación in the wild durante agosto.
  • OpenAI publica GPT-5 el 7 de agosto. Modelo flagship que sustituye a GPT-4o como default en ChatGPT; multimodal nativo, reasoning integrado (no como modo separado). Versión GPT-5 Thinking para chain-of-thought visible. Posibles writeups de seguridad a publicar en septiembre conforme el modelo se estabilice.
  • Anthropic publica Claude Opus 4.1 el 5 de agosto. Update incremental sobre Claude 4 con mejoras en agentic benchmarks. Sin Responsible Scaling Policy update mayor; el SSF para Claude Opus 4 se mantiene.
  • Industrial control systems — CISA publica varios advisories ICS durante el mes para vendors industriales (Siemens, Rockwell, otros). Sin incidentes mediáticos asociados.

Patrón del mes

Agosto cristaliza dos cosas que el calendario llevaba marcando.

Una: AI security pasa de “categoría emergente en conferences” a “categoría con métricas reproducibles”. AgentFlayer (zero-click confirmado en seis plataformas comerciales) y AIxCC (18 zero-days reales encontrados a $152 cada uno) dejan de ser “research interesante” y pasan a ser dato operativo. La pregunta para defensores ya no es si los agentes son superficie de ataque, es cómo se segmentan capacidades del agente conectado y qué visibilidad tiene el SOC sobre tool calls del agente. Para el SOC moderno, el log de tool calls del agente importa tanto como el log de actividad de un endpoint humano.

Dos: el calendario regulatorio AI Act ya no es promesa. GPAI en aplicación, 26 firmantes del CoP, Meta fuera, primer test real de la adequacy decision como vehículo de presunción de conformidad. Septiembre y octubre van a traer las primeras notificaciones formales de FLOPs a la AI Office por providers que superen el umbral durante el calendario de entrenamiento de la próxima generación. Y conforme la AI Office publique guidelines más concretos sobre serious incident reporting y cybersecurity of weights, los providers van a tener que mostrar policy real, no enunciados generales.

Septiembre arranca con OpenAI y Anthropic asentando sus releases de agosto, varios eventos de research sobre AIxCC post-final, y el Apple iPhone 17 launch (esperado mediados de mes) con su tanda anual de CVEs en iOS.

Share:
Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Boletín — agosto 2024

noticias · 8 min

Boletín — agosto 2024

EU AI Act en vigor el 1 de agosto. PKfail expone PKs de prueba en producción. National Public Data confirma 2.9B registros expuestos. Black Hat trae Windows Downdate y CVE-2024-38063 wormable; DEF CON 32 trae AMD Sinkclose. Halliburton fuera por RansomHub.

· Manuel López Pérez

Boletín — mayo 2026

noticias · 15 min

Boletín — mayo 2026

El Digital Omnibus cierra acuerdo provisional el 7 de mayo: Anexo III se mueve a diciembre de 2027. España aprueba su Ley de gobernanza de IA el 26 de mayo. Pwn2Own Berlin reparte 1,3 M$ por 47 zero-days con Codex y Claude Code en el menú. Patch Tuesday sin un solo zero-day por primera vez desde junio de 2024. OpenAI lanza Daybreak y Anthropic mueve Mythos hacia GA. Verizon DBIR 2026 corona la explotación de vulnerabilidades como vector número uno. GitHub pierde 3.800 repos internos por una extensión de VS Code.

· Manuel López Pérez

Boletín — abril 2026

noticias · 14 min

Boletín — abril 2026

El trílogo del Omnibus cierra sin acuerdo el 28 de abril, dejando el deadline AI Act original a tres meses. Patch Tuesday 165 CVEs y SharePoint zero-day activa. Anthropic anuncia Claude Mythos + Project Glasswing — primer frontier model que se queda detrás de un muro defensivo. Pwn2Own Berlin colapsa por sobrecupo. M&S un año después. AESIA publica las guías 13 y 14.

· Manuel López Pérez