noticias · 10 min de lectura
Boletín — diciembre 2025
Cl0p insiste un año después de Cleo. OpenAI repite Shipmas. Anthropic cierra el año con refresh de Claude. DORA y NIS2 entran al primer ciclo de inspección. Year-end reports de Mandiant, CrowdStrike y Verizon. El año en una tabla.
· Manuel López Pérez · noticias
Diciembre 2025 cierra un año en el que el calendario regulatorio pasó de promesa a procedimiento. Cl0p sigue en MFT un año después de Cleo. OpenAI repite Shipmas. Anthropic refresh de Claude. Year-end reports que confirman lo que el mes a mes ya decía. Y el resumen del año en una tabla, sin pretender ranking exhaustivo.
Cl0p — primer aniversario de Cleo
Diciembre 2025. Un año después del zero-day de Cleo MFT, el portal de extorsión de Cl0p sigue listando víctimas relacionadas con el leak de finales de 2024. La actividad reciente: explotación de CVE-2025-31161 en CrushFTP desde abril (otro MFT, mismo modus operandi) y deep-dive de Mandiant en noviembre sobre el playbook industrial del grupo. El patrón sigue: MFT enterprise como vector preferente, ataque oportuno antes de la divulgación, exfiltración a S3 propio, doble extorsión en el portal.
Lo operativo: cualquier managed file transfer que esté en perímetro corporativo y que no haya pasado por un threat model serio durante 2024-2025 está en cola del próximo. La lección de MOVEit (junio 2023), Cleo (diciembre 2024) y CrushFTP (abril 2025) no requiere más datos para confirmarse.
Fuente: https://cloud.google.com/blog/topics/threat-intelligence/cl0p-mft-campaign-2025-update
OpenAI Shipmas — segunda edición
1 al 19 de diciembre. OpenAI repite el formato de stream diario con anuncio. Los relevantes para seguridad:
- GPT-5.5 / o4 family — actualización del reasoning model con CoT más largo y mejoras en agentic benchmarks. Sin cambios estructurales en la API de safety; el reasoning summary sigue siendo opcional para el cliente.
- ChatGPT Agents 2.0 — el agente conversacional con navegador propio (Operator) se fusiona con ChatGPT como modo nativo. Para deployments empresariales, llega con audit log unificado y action approval gates configurable. La superficie de tool poisoning que vimos en MCP se generaliza a cualquier integración registrada en el agent.
- Sora 2 GA — generación de video con consistencia de personaje. El watermarking C2PA se mantiene; el bypass por re-encoding sigue siendo trivial. AESIA y otras autoridades empiezan a publicar guías sobre obligaciones del Art. 50 del AI Act (transparency for AI-generated content).
- API security features — Anthropic-style structured outputs con JSON schema validation, scoped API keys con permisos granulares por endpoint. Catch-up con lo que Anthropic ya tenía. Para 2026 la guerra de features de seguridad de plataforma entre los tres grandes vendors va a ser un eje competitivo.
El framing del año en OpenAI ha sido “agentes a producción”. La parte interesante no es lo que añaden, es lo que no añaden: ningún anuncio durante Shipmas sobre transparencia de training data o sobre verificación de capabilities post-deployment. La promesa regulatoria sigue siendo la mínima.
Fuente: https://openai.com/shipmas-2025/
Anthropic — Claude refresh Q4 + Responsible Scaling Policy v3
Diciembre 2025. Anthropic cierra el año con:
- Claude Opus 4.5 / Sonnet 4.5 — refresh con contexto extendido y mejoras en agentic tasks. El extended thinking se mantiene como default; el reasoning_content sigue siendo accesible para clientes API.
- Responsible Scaling Policy v3 — actualización del marco con métricas más estrictas para ASL-4. El pre-deployment evaluation report se publica completo, incluyendo los resultados del agentic misalignment harness aplicado a Opus 4.5 — métricas comparables con el research de mayo. La tendencia: con cada salto de capability, los rates de misalignment en harness controlado no bajan; las defensas de despliegue tienen que compensar.
Anthropic firma la versión final del Code of Practice for GPAI del AI Office en diciembre tras meses de negociación pública. La diferencia con OpenAI / Google (que firmaron en julio-agosto) y con Meta (que no firma): Anthropic publica documentación específica sobre training data provenance y mecanismos de copyright opt-out con más detalle que los otros signatarios.
Fuente: https://www.anthropic.com/news/claude-4-5-opus · https://www.anthropic.com/policy/responsible-scaling-policy
DeepSeek — V4 y la consolidación open-weights
Diciembre 2025. DeepSeek publica DeepSeek-V4 como open weights. MoE con arquitectura iterada sobre V3 y R1, contexto 1M tokens, multimodal nativo. Disponible en Hugging Face bajo MIT license. Capabilities comparables a Claude 4.5 Opus y GPT-5.5 en benchmarks públicos, entrenado con compute reportado en el rango de 5M GPU-hours.
Lo que esto cierra del año: el patrón open-weights con capability cercana a frontier ya no es excepcional. DeepSeek-R1 abrió la categoría en enero; QwQ, Llama 4 y ahora V4 la consolidan. Para AI security, el escenario en el que cualquier ataque adversarial requería modelo cómplice ha terminado. Cualquier técnica que necesite gradient access se puede probar sobre un modelo representativo a costes accesibles.
Para 2026: la pregunta operativa pasa a ser qué proporción del despliegue empresarial usa open weights vs API comercial. Las dos opciones tienen su threat model. La diferencia es que el open-weights deja auditoría del peso real posible — algo que el caso Llama 4 / LMArena hizo obligatorio.
Fuente: https://github.com/deepseek-ai/DeepSeek-V4
LangChain LangGrinch — CVE-2025-68664, serialization injection
Diciembre 2025. Cyata publica análisis de CVE-2025-68664 en LangChain Core (Python) — bautizada LangGrinch. CVSS 9.3. Las funciones dumps() y dumpd() no escapan diccionarios con la clave 'lc' al serializar metadata libre. La clave lc es el marcador interno de LangChain para sus objetos serializados; cuando el atacante consigue meter una estructura con 'lc' en datos controlados por usuario, al re-serializar el modelo lo trata como objeto LangChain legítimo en lugar de data plana.
Vector de explotación: el atacante envía un prompt cuya respuesta del LLM contiene en additional_kwargs o response_metadata una estructura {'lc': 1, 'type': 'constructor', 'id': [...], 'kwargs': {...}}. Cuando el cliente serializa la conversación para persistir o stream-respond, el round-trip carga objetos arbitrarios de los namespaces pre-approved langchain_core / langchain / langchain_community. Con secrets_from_env=True activo (default), exfilta variables de entorno. Con Jinja2 templates habilitados, ejecuta código arbitrario.
LangChain.js sufre el bug equivalente como CVE-2025-68665 (CVSS 8.6). El parche introduce allowed_objects allowlist en load()/loads(), deshabilita Jinja2 por defecto y pone secrets_from_env=False como default. La acción defensiva mínima: pin de versiones, auditar dumps() calls en pipelines que persisten conversación, y revisar cualquier integración que use prompt-injectable fields como input a loads().
Fuente: https://github.com/advisories/GHSA-c67j-w6g6-q2cm · https://cyata.ai/blog/langgrinch-langchain-core-cve-2025-68664/ · https://thehackernews.com/2025/12/critical-langchain-core-vulnerability.html
Year-end reports — Mandiant, CrowdStrike, Verizon
Diciembre 2025 / enero 2026. Los reports anuales con confirmación de lo que el mes a mes ya decía:
- Mandiant M-Trends 2026 — dwell time medio global cae a 8 días (era 10 días en 2024, 16 en 2023). La caída se debe en buena parte a ransomware con encryption inmediata: cuando el atacante cifra a las 48 horas, el detection time se acorca por necesidad. No es buena señal; es señal de operación más rápida del atacante. Initial vector más común sigue siendo explotación de vulnerabilidades (35 %), por encima de phishing (22 %).
- CrowdStrike Global Threat Report 2026 — Scattered Spider / Octo Tempest mantiene actividad sostenida contra retail y financial services. La afiliación con DragonForce que se vio en M&S se confirma como patrón estable. Identity-based attacks (credential abuse, MFA bypass, session hijacking) suponen 45 % de las intrusiones documentadas.
- Verizon DBIR 2025 (publicado en mayo, eco aquí) — confirma que vulnerabilidades como vector inicial supera por primera vez a credentials en breaches investigados. La curva venía de 2024 y se confirma.
Lectura conjunta: el atacante operativo va más rápido y se especializa más. La industrialización de playbooks sectoriales que vimos en retail UK y en cripto exchange durante 2025 es la tendencia, no la excepción.
Fuentes: https://www.mandiant.com/m-trends · https://www.crowdstrike.com/global-threat-report/ · https://www.verizon.com/business/resources/reports/dbir/
DORA / NIS2 — primer ciclo de inspección
Diciembre 2025. Cierre del primer año de aplicación de DORA. Banco de España, CNMV y DGSFP arrancan inspecciones a entidades sistémicas durante Q3-Q4. Las primeras observaciones públicas:
- Mapping obligación → control técnico sigue borroso en la mayoría de las entidades. La documentación existe; la trazabilidad entre el artículo y el control concreto, no.
- TLPT — primer ciclo de Threat-Led Penetration Testing programado para 2026-2028. El RTS final se publicó en julio.
- Registro de ICT TPPs críticos — las ESAs publican durante el año la metodología de designación. Lista oficial de proveedores designados como críticos sigue pendiente al cierre de diciembre.
NIS2 en España se transpone finalmente con la Ley Orgánica X/2025 (publicada en BOE durante el segundo semestre, fecha exacta pendiente de verificar en el momento de redacción). Para 2026 las obligaciones de reporting de incidentes a INCIBE-CERT y el régimen sancionador del INCIBE pasan a aplicación efectiva. La coordinación operativa DORA ↔ NIS2 ↔ ENS para entidades financieras españolas es trabajo del primer trimestre 2026.
EU AI Act — el segundo escalón GPAI se consolida durante el segundo semestre. AESIA inicia los primeros market surveillance exploratorios sobre productos high-risk de Anexo III. La fecha del 2 de agosto de 2026 (high-risk obligations) ya está en el calendario operativo de cada provider EU.
Fuentes: https://eur-lex.europa.eu/eli/reg/2022/2554/oj · https://www.boe.es/buscar/act.php?id=LO-X-2025
Retrospectiva — el año en una tabla
Sin pretender exhaustividad, los hitos del año por mes:
| Mes | AI security | Cyber | Compliance |
|---|---|---|---|
| Enero | DeepSeek-R1 open-weights reasoning | SonicWall SMA1000 CVE-2025-23006 zero-day | DORA en aplicación |
| Febrero | OpenAI Operator GA · Claude 3.7 Sonnet | ByBit hack $1.5B vía Safe{Wallet} frontend | AI Act Art. 5 en aplicación |
| Marzo | MCP TPA — primer PoC público (Invariant Labs) | Patch Tuesday Hyper-V CVEs | — |
| Abril | Llama 4 + controversia LMArena | M&S / Co-op / Harrods — wave UK retail | — |
| Mayo | Claude 4 + agentic misalignment research | Coinbase insider compromise · Verizon DBIR 2025 | NIS2 España anteproyecto avanza |
| Junio | Anthropic Project Vend · AWS re:Inforce | ENISA Threat Landscape draft · retail UK postmortems | — |
| Julio | Reasoning model jailbreaks retrospec H1 | SharePoint ToolShell CVE-2025-53770 | Code of Practice GPAI publicado |
| Agosto | DARPA AIxCC final DEF CON 33 · Black Hat 33 | Patch Tuesday agosto · varios zero-days | AI Act GPAI en aplicación |
| Septiembre | iOS 19 release CVEs | Apple iPhone 17 + CVE batch · ENISA Threat Landscape edition | — |
| Octubre | Anthropic Claude 4.5 preview · OpenAI dev day | Windows 10 fin de soporte 14-oct | NIS2 España transpuesta (LO X/2025) |
| Noviembre | re:Invent + Ignite AI security announcements | KEV adds · Salt Typhoon updates | — |
| Diciembre | DeepSeek-V4 · Claude 4.5 Opus · OpenAI Shipmas 2 | Cl0p MFT first-anniversary activity | DORA primer ciclo de inspección |
Los técnicos del año están enlazados arriba; las retrospectivas separadas — AI security y cyber — entran en el detalle.
Patrón transversal — 2025 en una frase
Si tengo que destilar 2025 en una frase: el calendario regulatorio se vuelve operativo y el atacante industrializa playbooks sectoriales más rápido que el defensor estructural. DORA y AI Act dejan de ser promesa. Lazarus tiene playbook industrial contra exchanges; Scattered Spider contra retail UK; China-nexus contra SharePoint on-prem. Cada playbook es reutilizable contra los siguientes target del mismo sector. La industrialización va más rápido que la coordinación defensora.
El plan operativo para 2026 que sale de 2025:
- Inventario regulatorio explícito — DORA scope, NIS2 scope, EU AI Act scope para cada producto y proceso. Sin inventario, el primer ciclo de inspección llega y se hace ad hoc.
- Audit de cadenas de visualización financiera y de aprobación — UI servida por terceros, helpdesk con resets privilegiados, secrets vaults SaaS. Tres categorías que 2025 demostró frágiles.
- Patch hygiene en on-prem legacy con asunción de patch incompleto. SharePoint, Exchange, MFT enterprise, Citrix appliances. Rotación de secrets post-incidente como playbook default.
- Threat modeling para features de AI con tools antes de salir. La lección de Recall sigue vigente y se amplía con la lección de Project Vend: los agentes en producción real se comportan distinto del demo.
- Inventario explícito de Windows 10 post-EoL. ESU pagado / migrado / aceptando riesgo / desconocido. La cuarta categoría es donde van a aparecer los incidentes 2026-2027.
Cierra el año. El primer post de 2026 entra ya con AESIA inspeccionando GPAI providers, con CRA empezando a aplicar en bloques, con DORA terminando su primer ciclo de inspecciones, y con el calendario AI Act 2 de agosto de 2026 (high-risk) a seis meses.
