La cronología de hackeos de este año está de locos

 (ringmast4r.substack.com)
5 puntos por GN⁺ 16 일 전 | 1 comentarios | Compartir por WhatsApp
  • Durante unos 100 días a inicios de 2026 se produjeron de forma consecutiva ciberataques masivos vinculados a Estados y organizaciones criminales, en una secuencia considerada de nivel de punto de inflexión en la historia de la seguridad informática
  • Los ataques se dividen en cuatro clústeres: Irán, SLH, Corea del Norte y Rusia, y todos comparten una misma estructura: el abuso de la cadena de suministro y de las relaciones de confianza
  • Entre los principales daños se incluyen el borrado de 200 mil sistemas de Stryker, la afirmación de filtración de 375 TB de Lockheed Martin, la filtración del correo del director del FBI, la infección de Axios en npm y las intrusiones en Oracle, Cisco, Rockstar y Mercor
  • La tecnología de IA se está usando para automatizar ataques, y han aparecido nuevos patrones de amenaza como un aumento de 1,265% en phishing generado por IA, un aumento de 442% en fraude de voz y estafas financieras con deepfakes de IA
  • Gobiernos e industria están respondiendo de forma no pública, pero destacan el silencio del debate público y la asimetría informativa, por lo que estos 100 días se consideran uno de los periodos más importantes en la historia cibernética

Panorama general de los grandes incidentes cibernéticos en los 100 días iniciales de 2026

  • En los primeros 4 meses de 2026 ocurrieron de forma consecutiva grandes ciberataques vinculados a Estados y grupos criminales como China, Irán, Corea del Norte y Rusia
    • Filtración de 10 petabytes de una supercomputadora estatal china, paralización total de Stryker en 79 países, afirmación de filtración de 375 TB de Lockheed Martin, filtración del correo personal del director del FBI, intrusión en la red de escuchas del FBI y afectación a múltiples empresas como Rockstar Games, Cisco, Oracle y Mercor
  • Es muy probable que estos incidentes, que se extendieron por cerca de 100 días, queden registrados como un punto de inflexión en la historia de la seguridad informática
  • Sin embargo, casi no existe discusión pública, y resalta la brecha entre la respuesta no pública de gobiernos e industria y el silencio del debate público

Cuatro clústeres principales de ataques

  • Los ataques de 2026 se dividen en cuatro clústeres: Irán, SLH, Corea del Norte y Rusia, y todos comparten una misma estructura: el abuso de la cadena de suministro y de las relaciones de confianza

  • Clúster 1: Irán / Handala / Void Manticore

    • Operación destructiva impulsada por un Estado; Palo Alto Networks Unit 42 identificó a Void Manticore como un actor vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS)
    • Bajo el nombre Handala Hack Team llevó a cabo ataques contra la industria, la defensa y organismos gubernamentales de EE. UU., y afirmó que era una represalia por el bombardeo a una escuela en Minab en febrero de 2026 (175 muertos)
    • Daños: Stryker (borrado de 200 mil dispositivos), Lockheed Martin (afirmación de filtración de 375 TB y exposición de datos personales de 28 ingenieros), filtración del correo personal del director del FBI

  • Clúster 2: Scattered LAPSUS$ Hunters (SLH)

    • Organización de robo y extorsión masiva de SaaS con fines económicos, formada en agosto de 2025 por la combinación de ShinyHunters, Scattered Spider y LAPSUS$
    • En la campaña contra Salesforce se robaron registros de Salesforce de 300 a 400 organizaciones, unos 1,500 millones de registros, con empresas afectadas como Google, Cisco, LVMH, Okta, AMD y Snowflake
    • La forma de ataque evolucionó del robo de tokens OAuth a la manipulación de MFA por teléfono, y el fraude de voz fue señalado como el factor que más intrusiones corporativas causó en 2026

  • Clúster 3: Corea del Norte / UNC1069

    • Ataques con fines económicos centrados en comprometer la cadena de suministro open source, con el caso del secuestro del paquete Axios en npm como ejemplo representativo
    • Los atacantes crearon empresas falsas y entornos de Slack y Teams para ganarse la confianza de los mantenedores, luego secuestraron cuentas de npm e insertaron un RAT en una librería con 100 millones de descargas semanales
    • El ataque a la cadena de suministro de Trivy en Cisco mostró un patrón similar de intrusión basada en confianza

  • Clúster 4: Rusia / APT28

    • Ataques de zero-day dirigidos a Ucrania y la UE, explotando una vulnerabilidad de Microsoft Office (CVE-2026-21509)
    • Ataques a más de 60 cuentas de correo europeas y a organismos gubernamentales ucranianos, con abuso de relaciones de confianza y rápida militarización como rasgos distintivos
    • Los cuatro clústeres aprovecharon una realidad en la que el perímetro defensivo de las empresas occidentales fue reemplazado por la confianza en la cadena de suministro
    • Irán busca destrucción, SLH robo financiero, Corea del Norte infección de desarrolladores y Rusia recolección de inteligencia

Detalles por incidente principal

  • Stryker: ataque wiper en tiempo real contra una empresa global de dispositivos médicos

    • El 11 de marzo de 2026, Stryker Corporation quedó paralizada a nivel global
    • Los atacantes tomaron cuentas de administrador de dominio de Windows y en Microsoft Entra e Intune crearon administradores globales y ejecutaron órdenes de reinicio remoto, con 200 mil sistemas borrados
    • Hubo retrasos en la atención a pacientes, como aplazamiento de cirugías, y Handala se atribuyó el ataque
    • El FBI decomisó 4 dominios de Handala y anunció una recompensa de 10 millones de dólares; Handala respondió con una recompensa inversa de 50 millones de dólares contra Trump y Netanyahu

  • Lockheed Martin: afirmación de filtración de 375 TB y exposición de 28 ingenieros

    • Bajo el nombre “APT Iran” se afirmó el robo de 375 TB de datos y su venta en la dark web (de 400 a 598 millones de dólares), incluyendo supuestos planos relacionados con el F-35, aunque la evidencia no ha sido verificada
    • Handala expuso y amenazó a 28 ingenieros de los programas F-35, F-22 y THAAD, en lo que se evalúa como un caso de doxing impulsado por un Estado

  • Filtración del correo personal del director del FBI

    • El 27 de marzo de 2026, Handala publicó más de 300 correos, fotos y currículums del Gmail personal del director del FBI, Kash Patel
    • Fue un ataque de credential stuffing basado en reutilización de contraseñas, con baja complejidad técnica
    • Ocurrió 8 días después del decomiso de dominios por parte del FBI, como publicación de represalia y una demostración simbólica de que “pueden leer el correo del director del FBI”

  • Intrusión en la red de escuchas del FBI

    • Se detectaron anomalías el 17 de febrero de 2026 y el 23 de marzo fue clasificado legalmente como “major incident”
    • Los atacantes usaron infraestructura de ISP comercial para evadir los controles de seguridad del FBI y acceder a la red interna de intercepción y vigilancia
    • Se considera una intrusión que explota relaciones de confianza en la cadena de suministro, mucho más grave que el incidente del correo personal de Patel

Casos de intrusión en empresas e infraestructura global

  • Secuestro de la cuenta npm de Axios

    • El 31 de marzo de 2026, el secuestro de la cuenta npm de la librería Axios permitió publicar las versiones maliciosas 1.14.1 y 0.30.4
    • Durante unas 2 a 3 horas quedó infectado un paquete con alrededor de 100 millones de descargas, instalando un RAT en todos los pipelines de CI
    • Google Threat Intelligence Group lo atribuyó públicamente a UNC1069 de Corea del Norte
    • Se evalúa como el ataque npm más sofisticado desde la puerta trasera de XZ Utils, con intrusión basada en ingeniería social como la creación de empresas falsas y la manipulación de entornos colaborativos de Slack y Teams

  • Cisco: intrusión en la cadena de suministro de Trivy y extorsión de datos de Salesforce

    • En marzo de 2026, el ataque a la cadena de suministro de Trivy comprometió el entorno interno de desarrollo de Cisco, con 300 repositorios de GitHub clonados
    • ShinyHunters afirmó haber robado 3 millones de registros de Salesforce y exigió dinero
    • Cisco reconoció parte de los hechos, dejando claro que incluso las empresas con madurez de seguridad son vulnerables tanto en la cadena de suministro como en SaaS

  • Mercor: un único punto débil en el pipeline de datos clave de la industria de IA

    • Startup encargada del pipeline de datos de entrenamiento de laboratorios líderes de IA como OpenAI, Anthropic y Meta

      • En marzo de 2026, la infección de la librería LiteLLM permitió el robo de credenciales y la filtración de datos de entrenamiento de IA y protocolos de etiquetado
      • Lapsus$ se atribuyó la intrusión posterior y publicó 4 TB de datos, incluyendo dumps internos de Slack, API keys y videos de conversaciones de contratistas de IA
      • Meta suspendió su contrato con Mercor, visibilizando la dependencia de la industria de IA en un pequeño número de startups y proyectos open source

  • Oracle Cloud: filtración de 6 millones de registros y el problema de la “nube legacy”

    • El 21 de marzo de 2026, el hacker “rose87168” afirmó estar vendiendo 6 millones de registros de Oracle Cloud

    • Compromiso de Oracle Access Manager por la vulnerabilidad CVE-2021-35587, con impacto en 140 mil tenants

      • Oracle negó inicialmente el hecho, pero luego reconoció acceso a entornos legacy, y se reportó exposición de datos de hasta 80 hospitales
      • Esto puso en evidencia el riesgo de infraestructura antigua no retirada (Shadow Legacy)

  • Rockstar Games: intrusión a través de integración SaaS

    • A inicios de abril de 2026, ShinyHunters afirmó haber comprometido Rockstar Games, y Rockstar confirmó una intrusión en Anodot SaaS
    • Los atacantes robaron tokens de autenticación de Anodot y luego accedieron a una instancia de Snowflake, exponiendo la fragilidad de la cadena de confianza entre SaaS y data warehouse

  • Paralización de sistemas aéreos en Europa

    • El 6 de abril de 2026, los sistemas de check-in y equipaje de aeropuertos como Heathrow, Charles-de-Gaulle, Frankfurt y Copenhagen quedaron paralizados de forma simultánea
    • En un día hubo más de 1,600 vuelos cancelados o demorados, y la causa fue la plataforma MUSE de Collins Aerospace
    • EASA reportó que los ciberataques en aviación aumentaron 600% entre 2024 y 2025, hasta unas 1,000 incidencias mensuales

  • Hackeo al NSCC de China

    • El hacker FlamingChina afirmó haber robado 10 petabytes de datos del Centro Nacional de Supercomputación de Tianjin (NSCC) en China
    • Incluían archivos de simulación de las industrias aeronáutica y de defensa y materiales de la Universidad Nacional de Tecnología de Defensa, según reportes de medios occidentales como CNN
    • Hubo filtración sigilosa durante 6 meses tras comprometer un dominio VPN, y el gobierno chino no emitió postura oficial

  • Volt Typhoon y Salt Typhoon

    • Volt Typhoon ha estado infiltrando infraestructura crítica de EE. UU. desde 2021, y Salt Typhoon comprometió operadores de telecomunicaciones y sistemas de intercepción de EE. UU. en 2024 y 2025
    • Los incidentes de 2026 se analizan como fenómenos visibles ocurridos sobre la base de esas infiltraciones de largo plazo

  • Honda: múltiples intrusiones acumuladas

    • Múltiples incidentes, como vulnerabilidad de API en su plataforma de e-commerce, debilidad en el proceso de restablecimiento de contraseña e intrusión con ransomware PLAY
    • Aunque cada daño por separado fue menor, el caso muestra el desequilibrio entre la madurez de seguridad y la superficie de ataque en grandes empresas

Señales anómalas relacionadas con IA y respuesta gubernamental

  • Fuerte aumento de ataques basados en IA

    • En los datos de 2025 a 2026 se observó simultáneamente automatización de ataques y fuerte crecimiento de amenazas
    • Los correos de phishing generados por IA aumentaron 1,265%, y el 82.6% del phishing total fue generado por IA
    • Durante la temporada vacacional, la proporción generada por IA subió de 4% a 56%, mientras que el fraude de voz aumentó 442% y el QR phishing 400%
    • La IA puede redactar spear phishing en 5 minutos, con una tasa de clics de 54%, más de cuatro veces la de correos escritos por humanos (12%)

  • Uso de IA por parte de Corea del Norte

    • Microsoft indicó explícitamente que dos actores norcoreanos, Jasper Sleet y Coral Sleet, usan IA desde reconocimiento hasta actividades posteriores a la intrusión
    • El grupo Kimsuky usó ChatGPT para falsificar identificaciones del ejército y del gobierno de Corea del Sur
    • El Departamento del Tesoro de EE. UU. sancionó una red de trabajadores TI norcoreanos que obtenía empleo de forma encubierta usando currículums y respuestas de entrevista generados por IA

  • Fraude financiero con deepfakes de IA

    • Se registró un caso de inducción a transferir 25 millones de dólares en una videollamada de Teams compuesta por videos generados por IA de un CFO y compañeros de trabajo

  • Capacidad ofensiva de los modelos de IA

    • El modelo Mythos de Anthropic ejecutó simulaciones de intrusión más rápido que GPT-4o (6.2 horas vs 10.4 horas) y detectó vulnerabilidades en el 73% de las aplicaciones
    • Anthropic mantiene Mythos sin acceso público y solo lo ofrece de forma limitada a 40 empresas, incluidas Microsoft y Google
    • OpenAI también planea distribuir un modelo similar de forma restringida mediante el programa “Trusted Access for Cyber”

  • Respuesta de emergencia del gobierno de EE. UU.

    • El 7 de abril de 2026, el secretario del Tesoro de EE. UU., Scott Bessent, y el presidente de la Reserva Federal, Jerome Powell, convocaron a Washington a los CEO de los 5 mayores bancos
    • La razón: Anthropic informó que Mythos había encontrado miles de vulnerabilidades zero-day en todos los principales OS y navegadores
    • El gobierno lo consideró una amenaza al nivel de la estabilidad financiera y realizó sesiones informativas confidenciales al más alto nivel

Resumen general de los incidentes del 1T de 2026

  • Solo los incidentes principales hechos públicos entre enero y abril sumaron más de 40 casos, pero en realidad serían cientos
    • Solo en la campaña de Salesforce de SLH se estima la filtración en unas 300 a 400 organizaciones y 1,500 millones de registros
    • En marzo de 2026 hubo 672 casos de ransomware, y Qilin, Akira y DragonForce concentraron el 40%
  • En comparación con 2025, los ataques de ransomware aumentaron 49%, y el sector salud representó el 22%

¿Por qué hay tanto silencio?

  • A pesar de los incidentes masivos, la reacción de los medios tradicionales y del debate público ha sido débil
    • Se señalan como causas la carga política de atribuir responsabilidad a Estados, los intereses comerciales de la industria de seguridad, la fatiga cibernética y la incómoda coexistencia con la industria de IA

  • Aunque la información circula en los niveles más altos del gobierno, en el debate público se mantiene el silencio

    • Los primeros 100 días de 2026 se evalúan como uno de los periodos más importantes en la historia cibernética, y es posible que el propio silencio del debate público quede registrado como un fenómeno históricamente notable

Lecturas relacionadas

1 comentarios

 
GN⁺ 16 일 전
Opiniones de Hacker News

  • Como parte del trabajo de due diligence técnico, estoy preparando contenido sobre seguridad y la era de la gen-AI desde la perspectiva de inversión de PE
    Tras investigar durante los últimos 6 meses, nos dimos cuenta de que en la práctica estamos entrando en un apocalipsis del ransomware
    La gen-AI se ha convertido en la herramienta perfecta para los ciberdelincuentes. Automatiza la creación de miles de sitios y perfiles falsos, inutilizando los sistemas de confianza de anuncios y enlaces, y los ataques de phishing que combinan voz, texto y video se están volviendo cotidianos
    Los ataques a la cadena de suministro convierten a los gestores de paquetes en bombas, y las bandas de ransomware ahora venden sus herramientas de ataque en formato SaaS
    Técnicas al nivel de ataques patrocinados por Estados ahora se comercializan por muy poco dinero. Además, por culpa de la gen-AI, el código vulnerable está explotando en cantidad
    Si eres una persona joven en tecnología, sería sensato orientar tu carrera hacia el campo de la seguridad. De verdad viene un mundo de locos

    • Parece que la gente no entiende bien que la genAI es una amenaza existencial para el propio internet
      Ya estamos entrando en una era en la que no se puede confiar en la información de la web, y ni siquiera hace falta la web
      Ojalá los mecanismos de defensa funcionen a tiempo y la seguridad se integre en toda la cultura de la computación
    • Aun así, yo seguiría recomendando ingeniería de software
      En la mayoría de las empresas, la seguridad sigue siendo solo un centro de costos, y solo le prestan atención cuando ocurre un incidente
      En cambio, el SaaS de seguridad sí está generando ingresos, así que ese lado tiene futuro
    • Si la IA puede llevar a cabo este tipo de ataques, no hay razón para pensar que los ingenieros de seguridad no vayan a ser reemplazados también por IA
    • Al final, parece que la gente común va a terminar expulsada de internet. Se volverá demasiado peligroso
    • Con solo ser un CISSP o un operador de SOC con certificaciones no hay futuro
      Hay que convertirse en un ingeniero de verdad que entienda fundamentos de desarrollo, estructura interna de los OS, tecnologías web, algoritmos y conceptos de ataque y defensa
      Da pena ver que muchos “graduados en ciberseguridad” de Norteamérica no llegan ni al nivel de un helpdesk L1

  • Lo raro es que el 7 de abril de 2026 el secretario del Tesoro de EE. UU. y el presidente de la Reserva Federal convocaron de urgencia a los CEO de los principales bancos para informarles directamente sobre los riesgos cibernéticos relacionados con Mythos de Anthropic
    En Canadá también hubo una reunión parecida. Es muy inusual que varios bancos centrales celebren reuniones así al mismo tiempo

    • Probablemente hay dos posibilidades
      1. Se descubrió una vulnerabilidad masiva en paquetes de software clave y eso puso en riesgo al sector financiero
      2. Se detectaron vulnerabilidades simultáneas en varios paquetes y eso hizo temer un shock de mercado
        Como además es en vísperas de elecciones, la inestabilidad económica también es un gran riesgo político
    • En las finanzas tradicionales, incluso si te roban dinero, existe un sistema para revertirlo; me pregunto entonces cómo sería posible el off-ramp
      No es una estructura irreversible como las criptomonedas
    • Al menos es un alivio que el gobierno no pueda usar productos de Anthropic

  • La mayoría de los incidentes ya fueron cubiertos en Hacker News
    Las empresas tienen que gestionar su nivel de seguridad por capas. No se puede proteger todo, y para los activos importantes hay que aceptar costos e incomodidades
    En la industria aeroespacial, cuando un proyecto pasaba a clasificación SECRET, el costo se duplicaba. Con TOP SECRET era aún más alto
    Los bancos y las tarjetas entienden esta realidad, pero la mayoría de las empresas no

    • Estas discusiones han aparecido una y otra vez en HN, pero el problema es la actitud de burla y la negativa a reconocer la gravedad de la seguridad
      Hay muchas respuestas del tipo: “yo ya leí todo eso, ¿qué tiene de nuevo?”
    • El método de seguridad más efectivo es separar por completo la PC conectada a internet y la PC que procesa datos críticos
      Claro, eso es incómodo porque obliga a usar dos o más computadoras
      Una alternativa más realista es dejar que solo una VM temporal conectada mediante protocolos como RDP tenga acceso a internet

  • He trabajado como responsable de seguridad, tuve una buena carrera y pasé por varias empresas como especialista en gestión de riesgos
    Pero ahora el juego cambió por completo. Planeo jubilarme dentro de un año y cambiarme a un oficio no relacionado con IA (enfermería, plomería, etc.)
    Siento que hay que asegurar una independencia financiera a prueba de IA antes de que la IA domine todo
    Muchos profesionales de seguridad están pensando lo mismo
    Si las empresas no controlan la adopción de IA que absorbe PII en documentos internos, volverá el caos de los 0-day al estilo de los años 90
    Los equipos de seguridad van a colapsar por sobrecarga y burnout, y con la adopción de IA terminarán destruyendo sus propios empleos
    Cuando llegue la próxima recesión, esta realidad va a quedar expuesta

    • Entiendo esa forma de pensar, pero en general el mundo ha tendido más bien hacia “no pasa nada”
      Prepararse financieramente está bien, pero hay que cuidarse del exceso de pesimismo
    • Ni los enfermeros ni los asistentes administrativos están a salvo del impacto de la IA
      El trabajo físico es duro y paga poco. Incluso podría pasar que se necesiten todavía más expertos en seguridad
    • Actualmente hay un déficit mundial de 4.8 millones de profesionales de seguridad
      La demanda es de 10.2 millones, pero la oferta apenas llega a la mitad
      El crecimiento de la industria también se desaceleró al 0.1%, y como los seniors están dejando el sector, la tasa de éxito de los ataques se está disparando
      Casi no hay posibilidad de que esto mejore en el corto plazo
    • Si eres ingeniero de software, creo que justo ahora tienes el deber moral de defenderte de la IA
      Hay que protegerse a uno mismo y a la sociedad frente a la IA maliciosa
    • Por un lado hay FOMO por entrar en seguridad, por el otro hay ambiente de FUD
      La realidad probablemente esté en algún punto intermedio

  • Antes, una filtración de unos cuantos GB ya era un gran incidente; ahora están robando datos en escalas de terabytes y petabytes

    • La mala noticia: pronto se va a hacer pública toda la información personal que tienen los data brokers
      La buena noticia: también se van a filtrar los datos de los políticos, y eso podría detonar un debate regulatorio

  • Si Mythos encontró miles de zero-days en los principales OS y navegadores, es muy probable que las agencias de inteligencia ya los tengan
    A este punto ya ni harían falta backdoors
    Pero queda la duda de si los vendors de software recibieron esa lista de vulnerabilidades

  • El texto es difícil de leer por el estilo típico de los LLM
    Repite expresiones como “no se ha roto el silencio del discurso público”, y eso se siente exagerado

  • El equipo de marketing de Anthropic da miedo de lo competente que es. Me pregunto si Opus habrá diseñado esta estrategia

    • El marketing del miedo es una tradición en la industria de la seguridad
      Puede que las afirmaciones técnicas no estén exageradas, pero no tiene sentido que solo una empresa sea vista como digna de confianza exclusiva
    • Si la capacidad de Mythos es real, pronto las grandes tecnológicas van a confirmar ese hecho
      Si es puro humo, se va a descubrir muy rápido
    • La combinación de IA y seguridad ya parece haberse establecido como todo un género

  • En realidad, la situación no está tan loca. Es solo sesgo de actualidad
    Sí ha mejorado la calidad del spam, el clonaje de voz y la automatización de ataques a gran escala, pero la mayoría de los ataques todavía aprovechan vulnerabilidades n-day

  • Me pareció interesante la noticia de que, en agosto de 2025, los notorios grupos de hacking ShinyHunters, Scattered Spider, LAPSUS$ se fusionaron para formar una alianza de ciberdelincuencia llamada ‘Scattered LAPSUS$ Hunters (SLH)’
    Es como si estuvieran construyendo un SaaS de integración vertical al estilo de un M&A de startups
    Incluso me pregunto si la reestructuración interna de personal se habrá hecho por medios “físicos”

    • Estos grupos en la práctica operan como empresas o agencias gubernamentales
      La experiencia interna no es tan distinta a trabajar en una empresa tecnológica normal