Saltar al contenido
Volver al Blog

noticias · 15 min de lectura

Boletín — mayo 2026

El Digital Omnibus cierra acuerdo provisional el 7 de mayo: Anexo III se mueve a diciembre de 2027. España aprueba su Ley de gobernanza de IA el 26 de mayo. Pwn2Own Berlin reparte 1,3 M$ por 47 zero-days con Codex y Claude Code en el menú. Patch Tuesday sin un solo zero-day por primera vez desde junio de 2024. OpenAI lanza Daybreak y Anthropic mueve Mythos hacia GA. Verizon DBIR 2026 corona la explotación de vulnerabilidades como vector número uno. GitHub pierde 3.800 repos internos por una extensión de VS Code.

· Manuel López Pérez · noticias

El Digital Omnibus cierra acuerdo provisional el 7 de mayo: Anexo III se mueve a diciembre de 2027. España aprueba su Ley de gobernanza de IA el 26 de mayo. Pwn2Own Berlin reparte 1,3 M$ por 47 zero-days con Codex y Claude Code en el menú. Patch Tuesday sin un solo zero-day por primera vez desde junio de 2024. OpenAI lanza Daybreak y Anthropic mueve Mythos hacia GA. Verizon DBIR 2026 corona la explotación de vulnerabilidades como vector número uno. GitHub pierde 3.800 repos internos por una extensión de VS Code.

Mayo cierra los hilos que abril dejó a medias. El Digital Omnibus alcanza acuerdo provisional el 7 de mayo y mueve el Anexo III a diciembre de 2027 — antes del tercer trílogo que se esperaba para el día 13. España aprueba el 26 de mayo el proyecto de Ley de gobernanza de IA con multas hasta 35 M€. Pwn2Own Berlin se celebra por fin (1.298.250 $, 47 zero-days, DEVCORE Master of Pwn) con Codex y Claude Code cayendo en la categoría AI. Patch Tuesday pasa sin un solo zero-day por primera vez desde junio de 2024. OpenAI publica Daybreak y Anthropic empieza a sacar Mythos del muro de Glasswing. Verizon DBIR 2026 confirma lo que M-Trends adelantó: la explotación de vulnerabilidades es el vector inicial número uno. Y GitHub pierde 3.800 repos internos por una extensión de VS Code envenenada.

EU AI Act Omnibus — acuerdo provisional el 7 de mayo

7 de mayo: Consejo y Parlamento cierran acuerdo político provisional sobre el Digital Omnibus on AI, seis días antes del tercer trílogo que el boletín del mes pasado situaba en el 13 de mayo. El bloqueo de abril — la arquitectura de conformity assessment para sistemas del Anexo I — se resuelve, y el paquete sale con tres piezas que importan para cualquiera que tenga un sistema de alto riesgo en el roadmap:

  • Anexo III (biometría, infraestructura crítica, empleo, educación, law enforcement, gestión de fronteras): las obligaciones de alto riesgo se mueven al 2 de diciembre de 2027. Es la fecha que el técnico del mes pasado pedía preparar como escenario probable.
  • Anexo I (sistemas cubiertos por legislación sectorial — Machinery, MDR, IVDR, vehículos): se mueve al 2 de agosto de 2028, con la disputa de conformity assessment resuelta vía articulación con la normativa de producto existente.
  • Nueva prohibición en el Art. 5: sistemas de IA destinados a generar material de abuso sexual infantil (CSAM) o imágenes íntimas no consentidas (NCII). Es la primera ampliación del catálogo de prácticas prohibidas desde la entrada en vigor.

El argumento que los colegisladores ponen por delante del aplazamiento es operativo: los estándares técnicos armonizados y la guidance que las empresas necesitan para implementar no están listos, y penalizar por incumplir un estándar que todavía no existe no se sostiene. El acuerdo es provisional — falta adopción formal de Consejo y Parlamento antes de ser ley.

Lo operativo para un provider no cambia respecto al plan dual que cubrimos en el técnico del Anexo III: technical file completo, QMS extendido hacia ISO/IEC 42001, contacto temprano con notified bodies. Lo que cambia es el calendario: hay dieciocho meses más de los que parecía en marzo, y el riesgo ahora es el contrario — usar el aplazamiento como excusa para no empezar.

Fuentes: https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/ · https://www.twobirds.com/en/insights/2026/digital-omnibus-on-ai-provisional-agreement-reached-at-the-may-trilogue · https://www.gibsondunn.com/eu-ai-act-omnibus-agreement-postponed-high-risk-deadlines-and-other-key-changes/ · https://iapp.org/news/a/ai-act-omnibus-what-just-happened-and-what-comes-next

España — el Consejo de Ministros aprueba la Ley de gobernanza de IA

26 de mayo: el Consejo de Ministros aprueba el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, el instrumento que adapta el marco sancionador del AI Act al ordenamiento español y atribuye competencias a AESIA. El texto entra ahora en tramitación parlamentaria.

El régimen sancionador se estructura en tres niveles:

  • Muy graves: hasta 35 M€ o el 7 % del volumen de negocio anual.
  • Graves: hasta 15 M€ o el 3 %.
  • Leves: hasta 500.000 € o el 0,5 %.

AESIA queda como punto de contacto único para supervisión de sistemas no ligados a legislación sectorial — empleo, biometría, educación —, con coordinación con AEPD y reguladores sectoriales para el resto. El proyecto incorpora también el sandbox regulatorio nacional que el Reglamento de IA obliga a crear, operado por AESIA, con acceso prioritario para pymes y startups, y mecanismos que priorizan la corrección sobre la penalización (reducciones por pronto pago, consideración del tamaño empresarial). El incumplimiento de las obligaciones de etiquetado de contenido sintético figura entre las infracciones tipificadas.

El contexto de capacidad: AESIA llega a mayo con 16 guías técnicas publicadas y, según el reporting del mes, 23 investigaciones preliminares abiertas. Es el regulador nacional de IA más adelantado de la UE en guidance operativa, y la ley le da por fin los dientes sancionadores que le faltaban.

Fuentes: https://digital.gob.es/comunicacion/notas-prensa/mtdfp/2026/05/el-gobierno-aprueba-el-proyecto-de-ley-que-garantizara-una-super · https://aesia.digital.gob.es/en/guides · https://www.bermejoialegret.com/gobernanza-de-la-ia-en-la-ue-y-espana-hitos-y-retos-para-2026/

Pwn2Own Berlin 2026 — 1,3 M$ y la categoría AI deja de ser decorado

14-16 de mayo: se celebra Pwn2Own Berlin 2026, el evento que el boletín de abril dejó registrado antes de tiempo por desbordamiento de submissions. Cifra final: 1.298.250 $ repartidos por 47 zero-days únicos. Clasificación Master of Pwn:

  • DEVCORE — 50,5 puntos, 505.000 $.
  • STARLabs SG — 25 puntos, 242.500 $.
  • Out of Bounds — 12,75 puntos, 95.750 $.

El día 1 cerró con 523.000 $ y la primera caída pública de productos AI; el día 2 sumó 385.750 $ con Microsoft Exchange cayendo y el acumulado cruzando los 900.000 $.

Lo relevante para nosotros es la categoría AI, que en su segunda edición dejó de ser anuncio. Satoki Tsuji (Ikotas Labs) abusó de una vulnerabilidad de external control en OpenAI Codex para ejecutar código arbitrario en el host. Claude Code fue objetivo varias veces — Compass Security y Byung Young Yi (Out of Bounds) demostraron exploits funcionales —, aunque ambos intentos acabaron en bug collision: las vulnerabilidades subyacentes ya estaban reportadas antes del evento. Que haya colisiones es la confirmación del problema que abril anticipaba: hay más bugs en circulación en estos agentes de los que el contest puede procesar.

La lectura se mantiene: los coding agents son ejecución de código con permisos amplios, y los local inference servers (Ollama tuvo su propio 0-day de heap este mes, ver más abajo) son procesos privilegiados consumiendo ficheros arbitrarios. Es la superficie de ataque que se ha metido en producción enterprise sin pasar por threat modeling, y Pwn2Own la está poniendo número por primera vez. El análisis técnico de esta superficie agentic queda para post propio.

Fuentes: https://www.bleepingcomputer.com/news/security/hackers-earn-1-298-250-for-47-zero-days-at-pwn2own-berlin-2026/ · https://securityaffairs.com/192250/hacking/pwn2own-berlin-2026-day-three-devcore-crowned-master-of-pwn-1-298-million-total.html · https://securityaffairs.com/192183/hacking/pwn2own-berlin-2026-day-one-523000-paid-out-ai-products-fall.html · https://www.securityweek.com/hackers-earn-1-3-million-at-pwn2own-berlin-2026/

Patch Tuesday — el primero sin zero-days desde junio de 2024

12 de mayo: Microsoft cierra ~120 CVEs (el conteo baila entre 118 y 138 según metodología — Tenable cuenta 118, BleepingComputer 120, ZDI/Qualys hasta 138 incluyendo productos periféricos), 16 críticas y, lo que titula el mes, cero zero-days. Es la primera Patch Tuesday sin una sola vulnerabilidad explotada o publicada activamente desde junio de 2024.

La ausencia de zero-days no es ausencia de trabajo. Lo prioritario:

  • CVE-2026-41103 y el bloque de RCE en Windows Netlogon y DNS Client — CVSS altos, perfil de explotación remota sin interacción. Cualquier DC o resolver expuesto entra en cola.
  • Cuatro RCE en Microsoft Word, todas explotables vía Preview Pane. El phishing-to-RCE por adjunto que se previsualiza sigue siendo categoría viva, exactamente igual que en abril.

El mes anterior fueron 165 CVEs con dos zero-days y un IKE CVSS 9.8; este, un respiro estadístico. La lectura operativa no cambia: la ventana entre parche y explotación se sigue midiendo en horas para los componentes de perímetro, y un mes tranquilo en el calendario de Microsoft no significa un mes tranquilo en el resto del stack (ver MOVEit, Palo Alto y Cisco más abajo).

Fuentes: https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2026-patch-tuesday-fixes-120-flaws-no-zero-days/ · https://www.tenable.com/blog/microsofts-may-2026-patch-tuesday-addresses-118-cves-cve-2026-41103 · https://www.scworld.com/news/patch-tuesday-no-zero-days-among-137-microsoft-cves-4-word-rces

OpenAI Daybreak + Mythos hacia GA — el muro de Glasswing empieza a caer

El patrón que abril dejó abierto — el modelo más capaz deja de ser el más accesible — se mueve este mes en dos frentes, y los dos hacia más acceso, no menos.

11 de mayo: OpenAI publica Daybreak, su iniciativa de ciberseguridad y respuesta directa a Project Glasswing. Daybreak construye un threat model editable por repositorio, prioriza attack paths realistas sobre código de alto impacto, prueba las vulnerabilidades en entorno aislado, propone fixes y emite evidencia audit-ready. Se apoya en tres modelos: GPT-5.5 (safeguards estándar, propósito general), GPT-5.5 with Trusted Access for Cyber (trabajo defensivo verificado en entornos autorizados) y GPT-5.5-Cyber (modelo permisivo para red teaming y pentesting controlado). El acceso sigue restringido — request de scan o vía comercial —, pero ya integran capabilities bajo Trusted Access for Cyber Akamai, Cisco, Cloudflare, CrowdStrike, Fortinet, Oracle, Palo Alto Networks y Zscaler. La diferencia operativa con Glasswing: OpenAI articula el acceso por tier de confianza y producto, no por lista cerrada de cincuenta partners.

Anthropic mueve ficha en paralelo. Lo que en abril era “frontier model detrás de un muro defensivo” empieza a destensarse: aparece Mythos 1 (claude-mythos-1-preview) preparándose para Claude Code y Claude Security (el producto de escaneo y sugerencia de parches, en beta para Enterprise). El dato que justifica el giro: Anthropic y sus partners de Glasswing dicen haber encontrado más de diez mil vulnerabilidades high o critical en software esencial desde el lanzamiento. Y el calendario que da Anthropic es explícito: modelos clase Mythos “ampliamente disponibles en los próximos 6-12 meses”, con disponibilidad general “en las próximas semanas” una vez desarrollados los safeguards más fuertes que necesitan.

La asimetría que abril señalaba — defenders fuera del muro vs. atacante a un open-weights de distancia — se acorta por arriba, no por abajo: en vez de esperar al open-weights equivalente, los labs están abriendo el modelo cerrado más rápido de lo previsto. Para el defender medio, la ventana de “esto solo lo tienen cincuenta organizaciones” se mide ahora en semanas.

Fuentes: https://openai.com/daybreak/ · https://thehackernews.com/2026/05/openai-launches-daybreak-for-ai-powered.html · https://www.helpnetsecurity.com/2026/05/12/openai-daybreak-openai-daybreak-vulnerability-validation-initiative/ · https://www.bleepingcomputer.com/news/artificial-intelligence/anthropic-confirms-claude-mythos-class-models-will-roll-out-to-the-public/ · https://red.anthropic.com/2026/mythos-preview/

Verizon DBIR 2026 — la explotación de vulnerabilidades destrona a las credenciales

A mediados de mayo Verizon publica el DBIR 2026 sobre más de 31.000 incidentes y 22.000 breaches confirmados en 145 países. El titular estructural, que confirma lo que el M-Trends 2026 adelantó el mes pasado:

  • La explotación de vulnerabilidades (31 %) supera a las credenciales robadas como vector inicial número uno — por primera vez en los 19 años del informe. Es el cambio de fondo del año.
  • Supply chain de terceros sube un 60 % y pasa a representar el 48 % del total de breaches. El dato dobla con creces el 30 % que el propio preview de abril proyectaba.
  • Ransomware presente en el 48 % de los breaches (era 44 %). El 69 % de las víctimas no paga, y la mediana del rescate baja a 139.875 $.
  • Elemento humano en el 62 % de los breaches. El shadow AI — uso de herramientas de IA no aprobadas por empleados — triplica hasta el 45 %, con fuga de datos como consecuencia directa. La ingeniería social móvil sube un 40 % en tasa de éxito.

El cruce con M-Trends es el mismo mensaje desde dos casas distintas: el perímetro sin parchear es la puerta, la cadena de suministro es el multiplicador, y la IA todavía es amplificador más que causa primaria. El número de supply chain es el que debería mover presupuesto este trimestre.

Fuentes: https://www.verizon.com/business/resources/reports/dbir/ · https://www.helpnetsecurity.com/2026/05/20/verizon-2026-dbir-findings/ · https://blog.qualys.com/vulnerabilities-threat-research/2026/05/19/inside-the-2026-verizon-dbir-what-one-billion-records-revealed-about-vulnerability-remediation

GitHub pierde 3.800 repos internos por una extensión de VS Code

20 de mayo: GitHub confirma que atacantes accedieron a sus repositorios internos después de que un empleado instalara una extensión de VS Code envenenada. La extensión era Nx Console (nrwl.angular-console, versión 18.95.0), publicada dos días antes, el 18 de mayo. El grupo TeamPCP (aka UNC6780) reclama el acceso a unos 3.800 repos y los pone a la venta por no menos de 50.000 $.

El contenido filtrado, según las descripciones: GitHub Actions, agentic workflows, proyectos internos de Copilot, herramientas CodeQL, infraestructura interna, security tools, Codespaces y Dependabot. GitHub dice no tener evidencia de impacto en datos de clientes alojados fuera de sus repos internos.

TeamPCP no es un actor nuevo: es el mismo grupo detrás de las campañas npm Shai-Hulud, la brecha del scanner Trivy, el incidente de CheckMarx Jenkins (12-13 de mayo) y el compromiso de cuatro paquetes npm de SAP a principios de mes. El patrón es consistente y es exactamente el que Verizon acaba de coronar: la superficie de confianza del desarrollador — extensiones de IDE, paquetes, middleware AI — como vector de supply chain dominante. Una extensión publicada hace 48 horas con un nombre que suena legítimo es todo lo que hizo falta.

Fuentes: https://thehackernews.com/2026/05/github-internal-repositories-breached.html · https://www.bleepingcomputer.com/news/security/github-investigates-internal-repositories-breach-claimed-by-teampcp/ · https://www.helpnetsecurity.com/2026/05/20/github-breached-teampcp/

Canvas/Instructure — ShinyHunters, 275 M de usuarios y rescate pagado

1-11 de mayo: ShinyHunters golpea Instructure Canvas, el LMS, en lo que ya se considera el mayor breach educativo registrado. El 1 de mayo Instructure reconoce el incidente; el 7 de mayo, tras anunciar que estaba resuelto, la página de login de Canvas aparece defaceada con una nota de rescate. El grupo reclama 3,65 TB de datos de unos 275 millones de usuarios en 8.809 instituciones de EE. UU., Reino Unido, Canadá, Australia, Nueva Zelanda, Suecia, Países Bajos, Hong Kong y Singapur — incluyendo mensajes privados entre estudiantes y profesores.

Instructure pagó el rescate el 11 de mayo, un día antes del deadline. ShinyHunters mantiene el patrón de extorsión por exfiltración (no cifrado) que ya vimos en la campaña Snowflake/UNC5537: comprometer un SaaS con datos masivos, exfiltrar, y negociar contra el reloj de la publicación. La FBI emitió aviso a estudiantes y staff por posibles intentos de extorsión secundaria directa.

Fuentes: https://en.wikipedia.org/wiki/2026_Canvas_security_incident · https://www.darkreading.com/cyberattacks-data-breaches/shinyhunters-second-attack-instructure · https://www.insidehighered.com/news/tech-innovation/administrative-tech/2026/05/11/instructure-pays-ransom-canvas-hackers

Resto del mes

  • MOVEit Automation — CVE-2026-4670, auth bypass crítico (5 de mayo) en versiones anteriores a 2025.1.5 / 2025.0.9 / 2024.1.8. El MFT que ya protagonizó el desastre Clop de 2023 vuelve al KEV. Cualquier instancia expuesta sin parchear es objetivo prioritario.
  • Palo Alto PAN-OS — 0-day RCE (7 de mayo): buffer overflow en el User-ID Authentication Portal, sin parche al momento del aviso. Mismo appliance, misma historia que GlobalProtect en 2024.
  • Cisco Catalyst SD-WAN Manager — CVSS 10.0 (Rapid7, 20 de mayo): auth bypass que permite control completo. Cisco cierra además otra CVSS 10 el 26 de mayo. La línea de CVSS 10 en planos de gestión de red sigue siendo categoría perenne, en continuidad con ArcaneDoor.
  • OpenClaw — cadena de 4 bugs (18 de mayo): TOCTOU write escape que permite cambios en el host, fuga de secretos vía variables de entorno, bug de loopback y escalada. Es un escape de sandbox de coding agent, justo la superficie que Pwn2Own validó la misma semana. Lectura obligada para quien corra agentes con acceso a filesystem (contexto MCP).
  • Ollama — 0-day de heap leak (12 de mayo): el local inference server filtra memoria. Confirma el punto de la categoría AI de Pwn2Own: inferencia local = proceso privilegiado mal modelado.
  • Apple M5 — MIE derrotado (25 de mayo): bypass del Memory Integrity Enforcement que Apple presentó como mitigación de hardware. La defensa anunciada como cerrada vuelve a ser replicable.
  • Megalodon (22 de mayo): campaña automatizada que empuja 5.718 commits maliciosos a 5.561 repos de GitHub en una ventana de seis horas, inyectando workflows de GitHub Actions. Supply chain a velocidad de máquina.
  • LiteSpeed cPanel — CVE-2026-48172, CVSS 10.0 (25 de mayo): logic flaw en el endpoint JSON-API del plugin User-End. Ghost CMS (SQLi explotada) y Ubiquiti UniFi OS (tres críticas) completan el bloque de appliances/CMS del mes.
  • Brechas de datos: NYC Health + Hospitals (1,8 M de pacientes, vía vendor tercero, Nov 2025-Feb 2026), Foxconn (ransomware en plantas norteamericanas), Zara (197 K), registros nacionales de Lituania (600 K).
  • Five Eyes — guidance sobre agentic AI (5 de mayo): publicación conjunta sobre riesgos de seguridad de agentes autónomos. Señal de que el problema que Pwn2Own y OpenClaw materializan ya está en el radar de los reguladores de inteligencia.
  • Seedworm (MuddyWater) y ScarCruft (APT37): campañas de espionaje state-nexus activas en mayo — Seedworm contra nueve organizaciones en nueve países vía DLL sideloading; ScarCruft con un supply chain attack sobre sqgame.net. El espionaje clásico no para mientras la industria mira a la IA.

Patrón transversal — el muro defensivo dura semanas, no años

Mayo deja una corrección sobre la tesis de abril. El “modelo más capaz deja de ser el más accesible” se confirmó como punto de partida, pero la duración del muro era el dato que faltaba: se mide en semanas. Anthropic abre Mythos hacia Claude Code y Claude Security; OpenAI estructura Daybreak por tier de confianza con ocho vendors de seguridad ya dentro. La institutional frontier que parecía que iba a separarse del resto del mercado durante meses se está difundiendo hacia GA antes de que el open-weights equivalente llegue siquiera.

El resto del mes apunta todo en la misma dirección, y la dirección la firma el DBIR: la explotación de vulnerabilidades es ya el vector inicial número uno, y la cadena de suministro — del MFT al paquete npm a la extensión de VS Code — es el multiplicador que sube un 60 %. Pwn2Own pone número a la superficie nueva (coding agents, inferencia local) y GitHub demuestra que la vieja receta — un endpoint de desarrollador, una extensión envenenada — sigue bastando para llevarse 3.800 repos.

Lo operativizable:

  1. AI-assisted vulnerability discovery sobre el propio stack, ya sin esperar a Glasswing: con Daybreak en preview restringido y Mythos camino de GA, el patrón “escanea tu código con el mejor modelo al que tengas acceso, antes de que lo haga otro” deja de ser exclusivo de cincuenta organizaciones.
  2. Patch hygiene en perímetro legacy: MOVEit, PAN-OS, Cisco SD-WAN. La lista de mayo es la misma de siempre, y el DBIR explica por qué importa más que nunca.
  3. Developer trust surface como perímetro: inventario y allowlist de extensiones de IDE, pinning de dependencias, revisión de middleware AI. El vector GitHub/TeamPCP no es exótico, es el nuevo estándar.
  4. Threat modeling de agentes en producción: si corres Claude Code, Codex, Cursor u Ollama con permisos amplios, OpenClaw y Pwn2Own te dicen que ya estás en la superficie de ataque. Sandbox, scoping de permisos, aislamiento.
  5. Plan AI Act con la fecha real: Anexo III al 2 de diciembre de 2027, pendiente de adopción formal. Dieciocho meses más no es excusa para no empezar el technical file y el QMS.

Junio traerá el técnico sobre la superficie agentic (coding agents + inferencia local, con material de Pwn2Own y OpenClaw) y el seguimiento de la adopción formal del Omnibus, la tramitación de la Ley española de IA y el rollout de Mythos a GA si llega en las “próximas semanas” que prometió Anthropic.

Share:
Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Boletín — abril 2026

noticias · 14 min

Boletín — abril 2026

El trílogo del Omnibus cierra sin acuerdo el 28 de abril, dejando el deadline AI Act original a tres meses. Patch Tuesday 165 CVEs y SharePoint zero-day activa. Anthropic anuncia Claude Mythos + Project Glasswing — primer frontier model que se queda detrás de un muro defensivo. Pwn2Own Berlin colapsa por sobrecupo. M&S un año después. AESIA publica las guías 13 y 14.

· Manuel López Pérez

Boletín — diciembre 2025

noticias · 10 min

Boletín — diciembre 2025

Cl0p insiste un año después de Cleo. OpenAI repite Shipmas. Anthropic cierra el año con refresh de Claude. DORA y NIS2 entran al primer ciclo de inspección. Year-end reports de Mandiant, CrowdStrike y Verizon. El año en una tabla.

· Manuel López Pérez

Boletín — febrero 2026

noticias · 11 min

Boletín — febrero 2026

El mes de los aniversarios duros: AI Act Art. 5 cumple un año el 2 de febrero, ByBit cumple un año el 21. India AI Impact Summit en Delhi sustituye al Action Summit de París. Patch Tuesday con 6 zero-days. CrowdStrike GTR 2026 mete breakout time en 29 minutos. Mandiant abre la promo de M-Trends 2026 (publicación abril). DORA entra en enforcement activo tras la grace period. CISA KEV con tres updates.

· Manuel López Pérez