Saltar al contenido
Volver al Blog

noticias · 13 min de lectura

Boletín — noviembre 2025

Anthropic publica el primer caso de espionaje con coding agent autónomo. Microsoft Ignite y AWS re:Invent meten "agent security" en producto: Entra Agent ID GA, AgentCore Policy en preview con Cedar. FortiWeb 0-day CVE-2025-64446 explotado in the wild. Cloudflare cae 4 horas el 18 por un feature file mal generado. Logitech entra al cluster Cl0p / Oracle E-Business. Patch Tuesday con CVE-2025-62215 zero-day en Windows Kernel.

· Manuel López Pérez · noticias

Anthropic publica el primer caso de espionaje con coding agent autónomo. Microsoft Ignite y AWS re:Invent meten "agent security" en producto: Entra Agent ID GA, AgentCore Policy en preview con Cedar. FortiWeb 0-day CVE-2025-64446 explotado in the wild. Cloudflare cae 4 horas el 18 por un feature file mal generado. Logitech entra al cluster Cl0p / Oracle E-Business. Patch Tuesday con CVE-2025-62215 zero-day en Windows Kernel.

Noviembre cierra con dos hilos grandes que merecen el mismo boletín. El primero es el informe de Anthropic sobre el primer caso documentado de espionaje “AI-orchestrated” con Claude Code; el análisis crítico vive en su post propio, aquí va el resumen y dónde encaja en el mes. El segundo es Microsoft Ignite + AWS re:Invent llegando con un mes de diferencia con el mismo mensaje: agent security entra al catálogo de producto en los tres hyperscalers. Por debajo: FortiWeb con 0-day activo, Cloudflare cae 4 horas el 18, Logitech entra a la cosecha de Cl0p vía Oracle E-Business Suite, Patch Tuesday con un kernel 0-day, GPT-5.1, Gemini 3, Claude Opus 4.5 y Operation Endgame se lleva por delante Rhadamanthys y VenomRAT.

Anthropic — primer espionaje “AI-orchestrated” documentado

Anthropic — primer espionaje "AI-orchestrated" documentado

13 de noviembre. Anthropic publica Disrupting the first reported AI-orchestrated cyber espionage campaign. Atribuye a un grupo china-nexus (alta confianza, sin alias público) el uso de Claude Code vía API para automatizar el 80–90 % de una campaña contra ~30 organizaciones: tech grandes, banca, química, gobierno. La detección la hace su Threat Intel team a mediados de septiembre por cadencia anómala de la API (“thousands of requests, often multiple per second”). El método de jailbreak es persona injection clásica más descomposición de tareas: cada subtask leída aisladamente es security testing autorizado; el agregado es una operación de exfil.

La parte que ha generado debate es la falta de IoCs, TTPs en formato MITRE y atribución verificable. Críticas independientes (Thoughtworks, PC Gamer recogiendo la conversación de la comunidad) preguntan por qué un APT china-nexus usaría un modelo USA comercial cuando hay open-weights razonables corribles local, y por el conflicto de interés comercial de Anthropic publicando esto once días después del lanzamiento de Claude Opus 4.5. Los hechos no se invalidan; los énfasis sí merecen lectura crítica.

El análisis técnico completo (qué prueba el informe, qué no, qué cambia operativamente) vive en el post dedicado. El 26 de noviembre, el Homeland Security Committee envía carta a Dario Amodei pidiendo testimony sobre el caso.

Fuente: https://www.anthropic.com/news/disrupting-AI-espionage

Microsoft Ignite — agent security entra al producto

17–21 de noviembre, San Francisco. Microsoft Ignite 2025. El book of news de Microsoft trae tres cosas que ya no se pueden ignorar en el roadmap de un CISO con Microsoft 365 en producción.

Microsoft Entra Agent ID — GA. Identidad de primera clase para AI agents: agent registry, sponsor humano obligatorio para cada agente, lifecycle workflows que avisan cuando un sponsor cambia de rol, Conditional Access aplicado a identidades de agente igual que a identidades humanas. Roles administrativos nuevos: Agent ID Administrator, Agent ID Developer, Agent Registry Administrator. El SDK soporta integración con agentes de terceros (AWS Bedrock, n8n) vía workload identity federation. La pregunta operativa que esto cierra: ¿quién es responsable cuando un agente actúa? Respuesta: el sponsor humano registrado, con audit trail asociado.

Agent 365 — disponible vía programa Frontier. Plano de control para fleet de agentes: registro central, access control por Agent Policy Templates, dashboard de actividad runtime, integración nativa con Defender + Entra + Purview. Es el equivalente conceptual de “Active Directory para agentes” de Microsoft.

Defender for Cloud — AI security posture en preview. Soporte para Foundry y Copilot Studio: inventario de agentes y workloads AI, identificación de overpermissions e instrucciones inseguras, attack path analysis sobre superficies AI. Defender for AI agents (preview): runtime threat detection sobre agentes Copilot Studio.

Purview — DLP para Copilot prompts (preview). Bloquea respuestas de Copilot que contengan datos sensibles (PII, PCI). Reportes de oversharing y remediación masiva de enlaces overshared en SharePoint. AI observability en DSPM.

La lectura para CISO: Microsoft ha decidido que “AI agent” es principal identitario, no servicio. El roadmap interno tiene que asumir que cada agente desplegado va a tener identity record, conditional access policy, sponsor humano, logging diferenciado y scope limitado. La parte difícil va a ser inventoriar lo que ya está corriendo antes de empezar a aplicar política.

Fuentes: https://news.microsoft.com/ignite-2025-book-of-news/ · https://learn.microsoft.com/en-us/entra/fundamentals/whats-new-ignite-2025 · https://www.microsoft.com/en-us/security/blog/2025/11/18/ambient-and-autonomous-security-for-the-agentic-era/

AWS re:Invent — Bedrock AgentCore Policy y AWS Security Agent

AWS re:Invent — Bedrock AgentCore Policy y AWS Security Agent

30 de noviembre – 4 de diciembre, Las Vegas (anuncios principales del 2 al 4). AWS re:Invent 2025. Lo que afecta a AI security:

Amazon Bedrock AgentCore Policy — preview. Sistema de policy enforcement para tool calls de agentes, basado en Cedar (el mismo lenguaje de Verified Permissions). Las policies se escriben en Cedar nativo o en natural language; AgentCore las traduce a Cedar. Punto de aplicación: el Gateway intercepta cada tool call antes de que se ejecute y permite/deniega según policy. Modos enforcement y logging-only (para pruebas). Soporta APIs, Lambda, MCP servers, third-party tools. La decision es out-of-band respecto al reasoning loop del agente — el modelo no decide qué tool puede llamar, decide qué tool intenta llamar y Cedar valida.

AgentCore Evaluations — preview. Evaluators built-in (correctness, helpfulness, safety, tool selection accuracy, goal success, harmfulness, stereotyping) más custom evaluators. Resultados a CloudWatch con alerting.

AgentCore Identity. Identity directory para agentes, authorizer, token vault para OAuth tokens. Tres-legged y dos-legged OAuth flows; integración con identity providers externos (IDP-agnostic). El token vault almacena access tokens de usuarios para que el agente pueda actuar on-behalf-of sin pedir consentimiento por cada acción.

AWS Security Agent — preview. Frontier agent de AWS para security testing automatizado. Hace design review, code analysis, context-aware penetration testing. Anunciado el 3 de diciembre. Es la respuesta de AWS al patrón que el informe de Anthropic hace visible: si la ofensiva con agente ya está aquí, la defensa con agente tiene que escalar.

Bedrock Guardrails — Automated Reasoning checks GA. Verificación formal contra reglas de dominio codificadas; los proveedores citan “up to 99% accuracy” en detectar hallucinations. Disponible en cuatro regiones EU. Se aplica también a modelos third-party vía ApplyGuardrail API.

Patrón transversal entre Ignite y re:Invent: los tres hyperscalers están convergiendo en el mismo stack conceptual — identity para agentes, policy enforcement out-of-band, runtime telemetry, evaluación continua. Lo que cambia es el wire format y la cadena de billing. Para 2026, “esto va a aparecer en RFPs” pasa a ser un hecho operativo, no una predicción.

Fuente: https://aws.amazon.com/blogs/security/aws-launches-ai-enhanced-security-innovations-at-reinvent-2025/

Fortinet FortiWeb — CVE-2025-64446, zero-day en explotación

13 de noviembre. Defused detecta explotación contra honeypots desde principios de octubre. 14 de noviembre Fortinet publica advisory para CVE-2025-64446, path traversal con auth bypass en FortiWeb (WAF). El payload típico:

POST /api/v2.0/cmdb/system/admin?/../../../../../cgi-bin/fwbcgi HTTP/1.1
Host: <target>
Content-Type: application/json

{"data": {"name": "Testpoint", "password": "3eMIXX43", ...}}

El servidor interpreta la ruta normalizada como /cgi-bin/fwbcgi y, por el query string que arrastra el path traversal, salta la auth. El resultado es creación de cuenta administrativa con privilegios completos. Los nombres de cuenta observados en explotación masiva: Testpoint, trader, trader1 con passwords 3eMIXX43, AFT3$tH4ck, AFT3$tH4ckmet0d4yaga!n — IoC útil para hunt retroactivo. Afectadas FortiWeb 8.0.1 y anteriores; backports para 7.6.x y 7.4.x. Mitigación: actualizar a 8.0.2 y auditar cuentas administrativas creadas entre primeros de octubre y la fecha de parche.

Rapid7 confirma que los exploits públicos dejan de funcionar tras 8.0.2. CVSSv3 9.1 / 9.8 según fuente. Activos comprometidos antes del parche permanecen comprometidos — la cuenta administrativa creada no se borra al actualizar.

Fuente: https://nvd.nist.gov/vuln/detail/CVE-2025-64446 · https://www.tenable.com/blog/cve-2025-64446-fortinet-fortiweb-zero-day-path-traversal-vulnerability-exploited-in-the-wild

Patch Tuesday — 63 CVEs, CVE-2025-62215 kernel 0-day

11 de noviembre. Microsoft cierra 63 CVEs: 5 críticas, 58 importantes. La que merece prioridad:

  • CVE-2025-62215 — Windows Kernel privilege escalation, explotación activa confirmada por Microsoft. Race condition + algún nivel de acceso previo al sistema. CVSS 7.0. Es zero-day en el sentido más estricto: explotación in the wild antes del parche.
  • CVE-2025-60724 — GDI+ RCE, CVSS 9.8, archivo malformado en heap-based buffer overflow.
  • CVE-2025-62199 — Office RCE, use-after-free, requiere abrir documento malicioso.
  • CVE-2025-60716 — DirectX kernel EoP, CVSS 7.0.
  • CVE-2025-62214 — Visual Studio RCE.

Patrón del mes: el kernel sigue siendo superficie tier-one para los actores con exploit dev propio. La race condition de CVE-2025-62215 no es trivial de explotar a distancia (requiere acceso local primero), pero combinada con un infostealer o con un drive-by inicial sube directamente a SYSTEM.

Fuente: https://msrc.microsoft.com/update-guide/ · https://www.tenable.com/blog/microsofts-november-2025-patch-tuesday-addresses-63-cves-cve-2025-62215

Cloudflare — 4h 10min de outage por feature file mal generado

Cloudflare — 4h 10min de outage por feature file mal generado

18 de noviembre, 11:20 UTC. Cloudflare empieza a servir errores en proxy core. Down ~4h 10min. Impacto: X / Twitter, ChatGPT, Cloudflare Access, Workers KV, miles de sitios cliente. Sin atribución a ataque.

El post-mortem oficial reconstruye el bug: un cambio en permisos de una base de datos hace que la query que genera el feature file del Bot Management System devuelva entries duplicadas. El archivo dobla de tamaño. Ese archivo se propaga a toda la red. Los binarios que lo consumen no manejan el size inesperado y fallan en cadena. Cloudflare publica además un Code Orange resilience plan en respuesta — la apuesta es “fallar pequeño” en lugar de “no fallar”.

Lo que esto enseña no es nuevo, pero conviene anotarlo otra vez: el shared fate de la infraestructura cloud es real. Cuando Cloudflare cae 4 horas, el porcentaje de tráfico HTTPS mundial impactado no admite remediación a corto plazo en el cliente — no hay multi-CDN failover instantáneo que cubra cuatro horas. Para servicios críticos, la pregunta no es “¿qué hacemos si Cloudflare cae?” sino “¿qué es razonable que falle con Cloudflare?“.

Fuente: https://blog.cloudflare.com/18-november-2025-outage/

Cl0p reincide — Logitech vía Oracle E-Business Suite 0-day

Cl0p reincide — Logitech vía Oracle E-Business Suite 0-day

14 de noviembre. Logitech confirma ante la SEC que ha sido víctima de Cl0p. El vector inicial: zero-day de Oracle E-Business Suite explotado por el grupo en una campaña que afecta a múltiples víctimas más allá de Logitech. Exfil estimada: ~1.8TB de datos. Logitech afirma que el dataset no incluye PII sensible ni datos de pago. Sin confirmación pública del CVE concreto al cierre del mes; Oracle ha publicado advisory restringido a clientes.

El patrón es el quinto de Cl0p en tres años — GoAnywhere (enero 2023), MOVEit (junio 2023), Cleo MFT (diciembre 2024), ahora Oracle E-Business Suite (octubre–noviembre 2025). La cadencia es operativa: un proveedor de software empresarial con superficie B2B y exposición pública es objetivo de zero-day research por parte del grupo, con publicación coordinada en su leak site cuando llega el momento. Cl0p tiene playbook industrial; lo que cambia entre incidente y incidente es el vendor.

Fuente: https://www.helpnetsecurity.com/2025/11/17/logitech-data-breach/

ShadowRay 2.0 — Ray cluster botnet con payload generado por AI

ShadowRay 2.0 — Ray cluster botnet con payload generado por AI

Noviembre 2025. Oligo Security publica el segundo capítulo de ShadowRay. El bug es el mismo de 2024: CVE-2023-48022, CVSS 9.8, autenticación ausente en el Ray Job Submission API de Anyscale Ray (/api/jobs/). Anyscale documenta el diseño como consciente: “Ray se ejecuta en red aislada”. La realidad sigue siendo: 230.000 servidores Ray accesibles desde internet al cierre del mes (vs unos pocos miles en 2024).

Lo nuevo: el botnet es self-spreading. Cada cluster comprometido escanea el espacio público de Ray dashboards y replica el payload. La carga principal es XMRig minando Monero, pero los operadores añadieron sockstress (DDoS por TCP state exhaustion) probablemente apuntando a pools rivales o infra de competidores. Y un detalle del análisis técnico que marca el año: los payloads tienen firma de código generado por AI — docstrings verbosos innecesarios, echo sin uso, comentarios repetitivos, manejo de errores boilerplate. Operadores con poco bagaje de coding usando un modelo para escalar.

Para defensa: el catálogo CISA KEV ya tiene la CVE desde 2024; el problema no es el parche (no hay, por diseño), es el deployment. Cualquier despliegue Ray expuesto a internet está comprometido o lo está siendo. Aislamiento de red, autenticación por reverse proxy y monitorización de carga CPU/GPU son los tres controles compensatorios efectivos.

Fuente: https://thehackernews.com/2025/11/shadowray-20-exploits-unpatched-ray.html · https://www.bleepingcomputer.com/news/security/new-shadowray-attacks-convert-ray-clusters-into-crypto-miners/

Resto del mes

  • Cisco ASA / FTD — explotación continuada de CVE-2025-20333 + CVE-2025-20362. El 5 de noviembre Cisco actualiza el aviso: nueva variante del ataque ArcaneDoor (UAT4356 / Storm-1849) que provoca reload de dispositivos sin parchear (DoS condición). Implants observados: LINE VIPER (post-exploit), FIRESTARTER (persistencia que sobrevive a firmware update). CISA Emergency Directive ED 25-03 sigue activa. Si tu equipo no ha terminado el sweep de septiembre, este recordatorio es para ti.
  • Eurofiber — 13 de noviembre. Operador holandés de fibra detecta intrusión en su ticket management. Actor ByteToBreach reivindica el 16 de noviembre, alegando 10.000 clientes empresariales y gubernamentales. Vector: SQL injection en GLPI; extracción ~10.000 hashes bcrypt en 10 días con 20 VPS EU desplegados para acelerar. Lección: tu plataforma de ticketing es crown jewel — contiene context operativo de todos los proyectos.
  • Operation Endgame — 10 al 13 de noviembre. Europol coordina takedown de Rhadamanthys (525.303 infecciones únicas registradas marzo–noviembre 2025), VenomRAT y Elysium botnet. 1.025+ servidores, 20 dominios. Arresto del operador principal de VenomRAT en Grecia el 3 de noviembre. El mercado de logs de infostealer pierde infraestructura material; los actores reagruparán, pero no en una semana. Para defensores: si dependéis de feeds que cazan Rhadamanthys, los próximos 30–60 días son ventana de detección mejor que la normal.
  • GPT-5.1 + Gemini 3 + Claude Opus 4.5 en una semana. 12 de noviembre OpenAI publica GPT-5.1 (Instant y Thinking variants). 18 de noviembre Google lanza Gemini 3 Pro. 24 de noviembre Anthropic publica Claude Opus 4.5. La ventana de 12 días concentra el ciclo de release coordinado a tres bandas en un patrón que se va a repetir cada trimestre. Para AI security: si tu evaluación adversarial está corriendo sobre snapshot de septiembre, ya está obsoleta. Los tres modelos tienen capability dev y agentic mejorada — repetir el patrón del informe de Anthropic será marginalmente más fácil sobre cualquiera de los tres que sobre la generación anterior.
  • Docker Ask Gordon — CVE de prompt injection. 6 de noviembre. Docker parchea su asistente AI (Ask Gordon, integrado en Docker Desktop) en versión 4.50.0. La vulnerabilidad: prompt injection vía metadata maliciosa de imágenes en Docker Hub. El asistente lee la descripción de la imagen como contexto y obedece instrucciones embebidas. Es el patrón tool poisoning aplicado a metadata de container registry — superficie nueva, misma raíz.
  • CISA KEV adds noviembre. Dos adds principales: CVE-2025-11371 (Gladinet CentreStack / Triofox, files accessible to external parties) y CVE-2025-48703 (CWP Control Web Panel, OS command injection). Ambas con remediation deadlines de tres semanas.

Patrón del mes

Si destilo noviembre en una frase: el mes en que “agent security” deja de ser categoría de research y pasa a SKU de tres hyperscalers, y simétricamente el mes en que el primer informe público describe un agent comercial usado como herramienta de espionaje. Los dos hilos no son coincidencia. Microsoft, AWS y Google llevan año y medio invirtiendo en el control plane que hace falta para meter agentes en producto enterprise; lo que cambió en 2025 es que el threat model dejó de ser hipotético. El informe de Anthropic, independientemente del peso que cada quien le dé, convierte “agent abuse” en línea de un advisory, no en hipótesis de paper.

Lo otro que se repite, mes con mes, es la cadena appliance edge expuesto + vendor con patch hygiene cuestionable + explotación masiva durante semanas antes del parche. FortiWeb en noviembre es la edición del mes; el patrón se repite con todos los vendors de WAF / VPN / edge en perímetro. Es 2025 año cinco contando desde Ivanti enero 2024. La industria no ha cambiado de forma.

Nos vemos en diciembre con la retrospectiva del año.

Share:
Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Boletín — octubre 2025

noticias · 10 min

Boletín — octubre 2025

Windows 10 cierra diez años de soporte. F5 disclosa robo de código fuente y CVEs no publicados por nation-state. Patch Tuesday con tres zero-days en uso, WSUS RCE wormable parche out-of-band. AWS US-East-1 cae 15 horas. Claude Haiku 4.5 y Sonnet 4.5 en producción.

· Manuel López Pérez

Boletín — junio 2025

noticias · 11 min

Boletín — junio 2025

Project Vend demuestra que dejar un agente Claude operar una vending machine durante un mes acaba en cubos de tungsteno y una crisis de identidad. EchoLeak (CVE-2025-32711) marca el primer zero-click prompt injection con CVE asignado contra Microsoft 365 Copilot. AWS re:Inforce, Apple WWDC25 con Foundation Models, Citrix Bleed 2 explotada como zero-day, y M&S y Co-op siguen recogiendo cristales tras la wave de abril.

· Manuel López Pérez

Boletín — octubre 2024

noticias · 10 min

Boletín — octubre 2024

La semana en que el agente AI movió el ratón: Anthropic lanza computer use el 22-oct y Rehberger publica el primer ZombAI el 24. Detrás: FortiManager exploited as zero-day, Internet Archive expone 31M cuentas, Ivanti CSA con tres CVEs en explotación, NIS2 vence sin transponer en España. Microsoft cierra dos zero-days en Patch Tuesday y OpenAI lanza ChatGPT Search.

· Manuel López Pérez