Phishing Kali365: FBI advierte sobre el robo de tokens en Microsoft 365

Publicada el mayo 21, 2026 por TempMail Ninja

El panorama global de la ciberseguridad corporativa enfrenta una de sus amenazas más complejas en lo que va del año. El pasado 21 de mayo de 2026, la Oficina Federal de Investigaciones (FBI), a través del Centro de Denuncias de Delitos en Internet (IC3), emitió la Alerta de Servicio Público I-052126-PSA para advertir sobre el vertiginoso ascenso de un nuevo kit de ataque distribuido de forma masiva en la clandestinidad. Esta plataforma de Phishing-as-a-Service (PhaaS), conocida como phishing Kali365, se detectó inicialmente en abril de 2026 y está transformando la forma en que atacantes con poca experiencia técnica vulneran las infraestructuras en la nube de Microsoft 365.

A diferencia de las campañas convencionales, el phishing Kali365 no busca recolectar credenciales mediante portales falsos que imitan la estética corporativa. En su lugar, explota una función de autenticación legítima diseñada para facilitar el acceso desde dispositivos con capacidades de entrada de texto limitadas. Al secuestrar tokens de acceso de OAuth 2.0 directamente de los servidores de Microsoft, este kit de herramientas permite evadir por completo la Autenticación Multifactor (MFA), dejando desarmadas a las defensas tradicionales de correo electrónico e identidad.

¿Cómo opera el phishing Kali365 y por qué elude el MFA tradicional?

La peligrosidad del phishing Kali365 reside en que abusa del flujo de autorización de código de dispositivo de OAuth 2.0 (regulado técnicamente por el estándar de la industria RFC 8628). Este flujo fue diseñado para que terminales sin teclado o pantalla de visualización completa —como televisores inteligentes, terminal

Publicado en Alerta de Amenazas, Seguridad & Privacidad | Etiquetado , , , | Deja un comentario

Phishing de código: La amenaza Kali365 que evade el 2FA

Publicada el mayo 21, 2026 por TempMail Ninja

ia de comportamiento.

  • Auditoría previa: Antes de aplicar la restricción masiva, los administradores deben auditar los registros de inicio de sesión de Entra ID para identificar y mapear cualquier uso legítimo existente de este flujo dentro de la infraestructura corporativa.

    • 2. Bloqueo de la transferencia de sesiones de inicio de sesión (Session Transfers)

    Es indispensable deshabilitar y bloquear cualquier política o configuración que permita a los usuarios transferir una sesión de inicio de sesión ya activa y autenticada desde estaciones de trabajo corporativas seguras y administradas hacia dispositivos móviles personales o sistemas de terceros no administrados por el equipo de TI corporativo.

    3. Monitoreo predictivo y auditoría profunda de logs

    Puesto que el atacante operará utilizando sesiones auténticas y autorizadas, el enfoque tradicional de buscar intentos fallidos de inicio de sesión resulta obsoleto. Los equipos de defensa y los especialistas en Detección y Respuesta a Amenazas de Identidad (ITDR) deben buscar anomalías de comportamiento específicas en los logs de auditoría de Entra ID:

    • Inicios de sesión imposibles: Monitorear accesos en ventanas de tiempo extremadamente cortas provenientes de ubicaciones geográficas geográficamente distantes (viajes imposibles o «improbable travel»).
    • Anomalías en agentes de usuario y navegadores: Analizar las discrepancias en el agente de usuario (User Agent) que realiza
    Publicado en Protección de Identidad, Seguridad & Privacidad | Etiquetado , , , | Deja un comentario

    Vivaldi 8.0: Lanzamiento con diseño unificado y sin inteligencia artificial

    Publicada el mayo 21, 2026 por TempMail Ninja

    En un ecosistema tecnológico dominado por el afán de integrar inteligencia artificial en cada rincón del software, el lanzamiento de Vivaldi 8.0 el 21 de mayo de 2026 marca un punto de inflexión histórico para los navegadores web. Mientras gigantes como Google con Chrome, Microsoft con Edge y la propia Mozilla con sus recientes pruebas de la interfaz «Project Nova» compiten por saturar sus barras de herramientas con asistentes de escritura y chatbots virtuales, la firma escandinava Vivaldi Technologies ha optado por el camino de la resistencia. Con una renovación visual sin precedentes y una postura explícitamente contraria a la IA intrusiva, esta nueva versión se consolida como la alternativa definitiva para los usuarios avanzados que exigen control absoluto sobre sus datos y su productividad local.

    Fundado por el veterano del sector Jon von Tetzchner, Vivaldi ha cumplido trece años de trayectoria demostrando que un navegador puede ser potente sin ser invasivo. La llegada de Vivaldi 8.0 representa el cambio de diseño más profundo en toda la historia de la aplicación, reestructurando por completo cómo interactúan los elementos lógicos del navegador con el espacio de visualización de la web. En lugar de limitarse a aplicar un lavado de cara estético superficial, el equipo de desarrollo ha reescrito parte de sus cimientos técnicos y ha redefinido la arquitectura de su interfaz de usuario para ofrecer una experiencia fluida, cohesiva y sumamente personalizable.

    El Sistema Visual «Unified»: La Fusión del Lienzo Web

    La característica estrella de esta actualización es el nuevo sistema de diseño denominado «Unified». Tradicionalmente, la interfaz de los navegadores web se ha estructurado como un rompecabezas de bloques aislados: la barra de pestañas, las barras de herramientas laterales, el campo de dirección y el propio lienzo de navegación web funcionaban como compartimentos estancos con límites visuales rígidos. Con Vivaldi 8.0, estas barreras conceptuales se han disuelto por completo.

    El marco del navegador se ha unificado en una superficie visual continua y tridimensional. Ahora, el lienzo donde se despliega el contenido web cuenta con esquinas redondeadas, flotando elegantemente sobre el fondo del programa. Este cambio estructural permite que los temas de personalización, los degradados cromáticos, la translucidez y los efectos de desenfoque (blur) fluyan de manera ininterrumpida por todo el contorno de la ventana. Si el usuario selecciona un fondo de pantalla personalizado, este ya no queda confinado detrás de una barra de pestañas gris; en su lugar, la imagen se extiende con total fluidez de borde a borde, envolviendo los paneles activos y las barras de navegación.

    Para aquellos puristas que prefieren las divisiones clásicas y estructuradas, Vivaldi no impone este cambio a la fuerza. Fiel a su filosofía de otorgar el control al usuario, el menú de configuración de apariencia incluye un interruptor que permite desactivar el diseño unificado y regresar instantáneamente a la interfaz clásica con divisiones rígidas. No hay imposiciones; solo opciones.

    Seis Ajustes Preestablecidos para Adaptarse a Cualquier Flujo de Trabajo

    Para mitigar la complejidad inicial que suele intimidar a los nuevos usuarios debido al masivo abanico de opciones del navegador, Vivaldi 8.0 introduce seis configuraciones preestablecidas de diseño (layouts) durante el proceso de bienvenida. Estas plantillas sirven como un trampolín ergonómico que se puede modificar libremente más adelante en los ajustes de apariencia:

    • Simple: Una disposición limpia y minimalista con las pestañas ubicadas en la parte superior tradicional, ideal para quienes buscan una experiencia de navegación familiar y libre de distracciones.
    • Classic: Adapta la interfaz tradicional y robusta del Vivaldi clásico a la nueva estética unificada, manteniendo las herramientas habituales siempre al alcance de un clic.
    • Vertical Left y Vertical Right: Diseñados específicamente para pantallas con relaciones de aspecto ultra-anchas (ultrawide). Colocar la barra de pestañas en los laterales aprovecha el espacio horizontal excedente y permite leer con claridad decenas de títulos de páginas abiertas de forma simultánea.
    • Auto-Hide (Ocultación Automática): Hace que toda la interfaz del navegador se desvanezca por completo cuando el usuario está interactuando con una página web, convirtiendo el navegador en un lienzo inmersivo de pantalla completa. Los elementos de navegación reaparecen de forma dinámica únicamente al acercar el cursor a los bordes de la pantalla.
    • Bottom (Inferior): Desplaza la barra de pestañas y el campo de dirección a la zona inferior de la pantalla, un diseño ergonómico muy valorado por los usuarios que prefieren mantener la vista y los controles principales más cerca de la barra de tareas de su sistema operativo.

    La Filosofía de Vivaldi 8.0: Resistencia Anti-IA y Privacidad Absoluta

    En un momento donde la industria del software parece obsesionada con monetizar el comportamiento de los usuarios mediante algoritmos generativos, Jon von Tetzchner ha sido categórico: Vivaldi no incorporará herramientas de inteligencia artificial generativa en su plataforma. El CEO de la compañía ha criticado abiertamente a los navegadores de la competencia por tratar a los usuarios y sus hábitos de navegación como un inventario de datos crudos para entrenar modelos de lenguaje ajenos.

    El enfoque de Vivaldi 8.0 se centra en la productividad local y la soberanía del usuario. En lugar de sobrecargar la aplicación con pesados chatbots en la nube que consumen recursos de procesamiento y plantean serias dudas de privacidad, Vivaldi prefiere invertir su infraestructura en herramientas locales integradas y libres de rastreo. Entre los servicios soberanos que funcionan de manera privada en el dispositivo del usuario destacan:

    • Un bloqueador nativo de publicidad y rastreadores web que no depende de extensiones de terceros y se actualiza constantemente.
    • Un cliente de correo electrónico privado integrado (Vivaldi Mail) capaz de gestionar múltiples cuentas de manera local.
    • Un calendario personal y un lector de canales RSS integrados en la barra lateral para consumir información sin intermediarios.
    • Un gestor de notas cifradas de extremo a extremo que permite sincronizar datos entre dispositivos sin que los servidores de la empresa puedan leer su contenido.

    Ingeniería Interna: Rendimiento y el Desafío del User-Agent

    Bajo su refinada capa visual, Vivaldi 8.0 introduce optimizaciones técnicas de gran calibre destinadas a acelerar la experiencia de navegación diaria:

    Reescritura del Backend de Gestión de Pestañas

    El motor encargado de gestionar el ciclo de vida, la suspensión y el renderizado de las pestañas ha sido reescrito desde cero. Los usuarios que acostumbran mantener cientos de páginas abiertas simultáneamente notarán una drástica reducción en el consumo de memoria RAM y una respuesta mucho más ágil al alternar entre pestañas o agruparlas en pilas. Además, el panel de pestañas de la barra lateral ahora cuenta con un nuevo modo de ordenación que ayuda a agrupar visualmente las pestañas que comparten dominios o relaciones temáticas relacionadas.

    Consolidación de Menús en la Barra de Direcciones

    Para simplificar el uso diario, Vivaldi ha unificado los diálogos de configuración de sitios web. Al hacer clic en el icono del candado o del escudo protector en la barra de direcciones, el usuario desplegará un único panel optimizado que agrupa tanto los permisos individuales del sitio (cámara, micrófono, geolocalización) como las reglas específicas del bloqueador de anuncios y rastreadores para ese dominio en particular.

    Evasión de Bloqueos mediante Spoofing de Chromium

    Debido a que Vivaldi se basa en el motor Chromium pero sigue el ciclo de soporte extendido (ESR) —actualizando su motor cada ocho semanas en lugar de las cuatro semanas estándar del canal estable de Google—, el número de versión reportado en su cadena de identificación original (User-Agent) suele diferir de la última versión de Chrome disponible. Esto provoca que muchos sitios web mal optimizados o restrictivos bloqueen el acceso a los usuarios de Vivaldi alegando que utilizan un «navegador no compatible». Para solucionar este inconveniente de raíz, Vivaldi 8.0 aplica de forma predeterminada un sistema de camuflaje de User-Agent que imita con precisión la versión estable de Chromium más reciente, garantizando una compatibilidad total sin interrupciones arbitrarias.

    Resolución Ágil: El Hotfix del 22 de Mayo de 2026

    Como suele ocurrir con los despliegues de software masivos que alteran de raíz la arquitectura de la interfaz, las primeras horas de uso real por parte de la comunidad revelaron algunos problemas específicos bajo configuraciones particulares. Demostrando la agilidad de su equipo de control de calidad, Vivaldi Technologies lanzó una actualización menor (hotfix) el 22 de mayo de 2026, apenas un día después del lanzamiento oficial.

    Esta revisión resolvió con éxito fallas reportadas por los usuarios en las plataformas Linux y macOS:

    1. Cuelgue en el onboarding de Linux Flatpak: Se solucionó un error crítico (identificado bajo el código de seguimiento VB-127990) que impedía completar el asistente de configuración inicial a los usuarios que instalaban el navegador mediante el paquete Flatpak en distribuciones Linux, provocando un cierre inesperado de la aplicación.
    2. Ralentización por efectos de desenfoque: Diversos usuarios reportaron caídas notorias en la tasa de refresco (lag de scroll) al navegar por páginas densas mientras el efecto de desenfoque de fondo de los nuevos temas unificados estaba activo. El hotfix corrigió la renderización de estas capas de interfaz (VB-127887) y eliminó un algoritmo erróneo de detección de hardware de gama baja que desactivaba funciones visuales de forma innecesaria en equipos modernos.

    Conclusión: Un Navegador que Respeta al Usuario en la Era de la Automatización

    Con el lanzamiento de Vivaldi 8.0, la compañía no solo entrega una herramienta de software sumamente pulida y estéticamente superior, sino que también formula una declaración política en la era digital. En un mercado saturado por navegadores comerciales que priorizan la recopilación de datos y la automatización forzada mediante algoritmos de inteligencia artificial, Vivaldi sigue apostando por la inteligencia humana, la personalización infinita y la privacidad intransigente. Vivaldi 8.0 demuestra que la verdadera innovación no consiste en seguir las modas corporativas, sino en refinar las herramientas que otorgan un control real a las personas.

    Publicado en Recursos & Cultura, Software Recomendado | Etiquetado , , , | Deja un comentario

    Autenticación en dos pasos: Microsoft eliminará el uso de SMS en cuentas personales

    Publicada el mayo 21, 2026 por TempMail Ninja

    criptografía de clave pública`, etc.
    – Use `

      ` or `

        `: Yes, multiple lists.
        – NO `

        ` tags: Check.
        – NO root wrappers (`

        ` or `

        `): Check. Start directly with `

        `.
        – Return RAW HTML only. Do NOT use markdown blocks (` «`html `). Do not provide JSON. Just raw HTML text.

        Wait, are there any markdown syntax elements like `**` or `*` or `#`? No, strictly HTML tags like `

        `, `

        `, `

        `, ``, `

          `, `

            `, `

          1. `, ``, ``.

            Let's do a quick final check of the spelling, style, and citations if applicable. Since this is an editorial based on the seed and the search results, adding subtle references to Microsoft's official security statements or Windows Latest/Forbes reports is good editorial practice.

            Let's review the exact citation format instruction:
            "Each claim in the response which refers to a google:search result MUST end with a citation as [INDEX], where INDEX is a PerQueryResult index."
            Let's see if we should add citations like,, where appropriate to maintain groundings from search. Yes, definitely! I will integrate the citations smoothly within the HTML text.

            For example:
            - Mentioning Microsoft's advisory on SMS as a "leading source of fraud"

        Publicado en Protección de Identidad, Seguridad & Privacidad | Etiquetado , , , | Deja un comentario

    SpongeBob Re-Hydrated: el corto perdido de 2003 regresa

    Publicada el mayo 21, 2026 por TempMail Ninja

    La arqueología digital ha pasado de ser un pasatiempo de nicho a convertirse en una fuerza cultural imparable. En una era donde el contenido se produce a un ritmo vertiginoso y se desecha con la misma rapidez, el rescate de fragmentos perdidos de nuestra infancia colectiva adquiere un valor casi místico. El caso más reciente de este fenómeno ocurrió el 20 de mayo de 2026, cuando las cuentas oficiales de Bob Esponja en redes sociales decidieron sacudir el internet al liberar en alta definición y con su mezcla de audio original el legendario corto animado en CGI SpongeBob Re-Hydrated. Este hallazgo no solo pone fin a más de dos décadas de especulaciones, teorías de conspiración en foros y búsquedas implacables, sino que también nos devuelve una pieza fundamental de la historia de la animación televisiva de principios de los años 2000.

    El Origen de un Hito: CGI en 2003 y la Fiebre de Matrix

    Para entender la magnitud de este descubrimiento, debemos transportarnos al año 2003. El mundo del cine y la cultura pop estaban completamente dominados por la «Matrix-manía» gracias al esperadísimo estreno de la película The Matrix Reloaded. Las marcas comerciales, los programas de televisión y los canales infantiles buscaban a toda costa capitalizar la estética de cuero negro, las gafas osc

    Publicado en Curiosidades de Internet, Recursos & Cultura | Etiquetado , , , | Deja un comentario

    Gusano Mini Shai-Hulud: el devastador ataque a GitHub y npm por TeamPCP

    Publicada el mayo 20, 2026 por TempMail Ninja

    rojo limitando la capacidad de escritura de tokens OIDC (id-token: write) y lectura de contenidos (contents: read) únicamente a los flujos de trabajo estrictamente verificados. Evite el uso del disparador inseguro pull_request_target de fuentes externas sin una pre-aprobación estricta del código.

  • Monitoreo de creación de repositorios públicos: Implemente reglas de alerta automatizadas a nivel de organización en GitHub para detectar de inmediato la generación inesperada de tokens de acceso personal (PATs) o la creación no autorizada de repositorios públicos por parte de cuentas de desarrolladores de la empresa. La aparición de repositorios extraños es la firma de una exfiltración en curso.
  • Implementación de políticas de control de salida (Egress Filtering): Restrinja la conectividad de red saliente de los corredores de CI/CD (runners). Bloquee el acceso a internet para cualquier proceso de construcción que no requiera descargar dependencias externas en tiempo de ejecución, reduciendo la ventana de oportunidad para que el gusano realice consultas de red o cree depósitos de exfiltración.

    • Hacia un modelo de confianza cero en el desarrollo

    La audaz campaña de TeamPCP demuestra que las metodologías de seguridad tradicionales basadas en la confianza implícita del ecosistema de código abierto ya no son suficientes. El software que consumimos diariamente no puede considerarse seguro por defecto, incluso si cuenta con

    Publicado en Alerta de Amenazas, Seguridad & Privacidad | Etiquetado , , , | Deja un comentario

    Ciberataque a GitHub: filtran repositorios internos usando extensión de VS Code

    Publicada el mayo 20, 2026 por TempMail Ninja

    La seguridad en el ecosistema global de desarrollo de software ha sufrido uno de sus impactos más profundos y alarmantes en los últimos años. El martes 19 de mayo de 2026, la plataforma de alojamiento de código propiedad de Microsoft confirmó que se encontraba investigando un acceso no autorizado a sus repositorios de código internos. Este sofisticado ciberataque a GitHub no solo ha puesto de manifiesto la vulnerabilidad de la infraestructura que sirve como cimiento para millones de desarrolladores en todo el mundo, sino que también marca una peligrosa consolidación en las tácticas de los actores de amenazas dirigidas a entornos de desarrollo. El grupo cibercriminal conocido como TeamPCP (identificado formalmente por investigadores de inteligencia como UNC6780) ha puesto a la venta el código propietario de la plataforma en la «dark web», afirmando haber exfiltrado entre 3,800 y 4,000 repositorios privados de la organización.

    La intrusión en la «Dark Web»: Subasta de código sin demandas de rescate

    A diferencia de los esquemas de extorsión tradicionales basados en ransomware, donde los atacantes bloquean el acceso al sistema o exigen un pago directo a la víctima bajo amenaza de publicación, TeamPCP adoptó un enfoque de monetización puramente comercial. La agrupación delictiva publicó un anuncio en un conocido foro de ciberdelincuencia ofreciendo el conjunto de datos robados a un precio inicial de $50,000 dólares. Los atacantes advirtieron explícitamente que la oferta estaba dirigida a un único comprador exclusivo y que, en caso de no concretarse la transacción bajo estas condiciones, filtrarían la totalidad del código fuente de forma gratuita a la comunidad hacker.

    Para respaldar la autenticidad de sus afirmaciones, los atacantes publicaron un árbol de archivos de muestra y capturas de pantalla que detallaban nombres de proyectos y configuraciones internas del software que hace funcionar a GitHub. Pocas horas después del anuncio, GitHub emitió un comunicado oficial confirmando la existencia de la brecha. La compañía declaró que, basándose en sus análisis forenses preliminares, las alegaciones del atacante sobre el robo de aproximadamente 3,800 repositorios internos son «direccionalmente consistentes» con la escala de la actividad detectada dentro de su red.

    Anatomía del ciberataque a GitHub: ¿Cómo ocurrió la brecha?

    La vía de entrada para esta masiva exfiltración de propiedad intelectual no fue una falla de día cero (zero-day) en los servidores expuestos a internet, sino un vector de ataque que explota la confianza implícita del eslabón más crítico: la estación de trabajo del desarrollador. Según los hallazgos de la investigación de incidentes de GitHub, el origen de la brecha se localizó en un dispositivo local perteneciente a uno de sus ingenieros de software, el cual se vio comprometido tras instalar una extensión envenenada proveniente de la tienda oficial de Visual Studio Code (VS Code).

    Los investigadores de ciberseguridad han advertido repetidamente sobre el peligro intrínseco de las extensiones maliciosas en IDEs (entornos de desarrollo integrados). A diferencia de las aplicaciones móviles o el software de consumo convencional, que a menudo operan dentro de contenedores de seguridad (sandboxes) restringidos, las extensiones de VS Code se ejecutan con permisos locales completos del sistema del usuario. Esto significa que, una vez instalada la extensión, el software malicioso adquiere la capacidad de realizar de manera silenciosa las siguientes acciones dañinas:

    • Escanear y cosechar archivos del sistema local en busca de configuraciones sensibles.
    • Extraer claves criptográficas SSH, esenciales para la autenticación en servidores remotos.
    • Robar credenciales de plataformas en la nube (AWS, Azure, Google Cloud) y tokens de acceso personal (PAT) de GitHub.
    • Acceder a bases de datos locales, gestores de contraseñas integrados e incluso archivos de configuración de herramientas de inteligencia artificial orientadas a la codificación.

    En el caso del desarrollador afectado, la extensión maliciosa actuó como un troyano de acceso e interceptación de credenciales. Utilizando los secretos y llaves exfiltradas de la máquina local del empleado, los atacantes pudieron autenticarse en los repositorios de código privados de GitHub, evadiendo las protecciones perimetrales al emplear credenciales legítimas de un usuario autorizado.

    El precedente de Nx Console: Un ataque en cadena de 11 minutos

    El incidente que afectó a GitHub no se produjo de manera aislada. Apenas un día antes, la comunidad de desarrollo open-source detectó un ataque de cadena de suministro idéntico y extremadamente agresivo contra la popular extensión Nx Console (identificada bajo el paquete nrwl.angular-console), una herramienta que cuenta con más de 2.2 millones de instalaciones en el VS Code Marketplace.

    El análisis técnico de este ataque reveló un nivel de sofisticación extraordinario:

    1. Infección del Desarrollador del Proyecto: Los atacantes comprometieron el dispositivo de un mantenedor legítimo de Nx, robando su token de GitHub.
    2. Inyección de Código Huérfano (Dangling Commit): Usando la cuenta comprometida, subieron un «commit» huérfano (no vinculado formalmente a ninguna rama principal para evadir revisiones de código convencionales) dentro del repositorio de nrwl/nx.
    3. Publicación en el Marketplace: Publicaron la versión maliciosa 18.95.0 en la tienda de extensiones de Microsoft.
    4. Ejecución y Extracción: Al abrir un espacio de trabajo en VS Code, la extensión descargaba silenciosamente una carga útil de 498 KB que utilizaba el motor en ejecución de Bun para evitar detección. Esta carga recopilaba secretos de AWS, tokens de NPM, credenciales de Kubernetes, bases de datos de 1Password y, de forma notable, archivos de configuración del asistente Claude Code (~/.claude/settings.json).

    Aunque la comunidad y los mantenedores de Nx reaccionaron con rapidez, retirando la versión comprometida en apenas 11 minutos, la naturaleza automatizada de las actualizaciones en segundo plano provocó que miles de máquinas de desarrollo descargaran el código infectado en ese breve período. El paralelismo temporal sugiere que la red de desarrollo de GitHub pudo haber sido infiltrada mediante una técnica idéntica o a través de la misma campaña que asoló a Nx Console.

    Contención del Incidente e Impacto en Terceros

    Inmediatamente después de detectar la anomalía y tras los reclamos del grupo criminal en los foros especializados, el equipo de respuesta a incidentes de GitHub activó sus protocolos de emergencia. La primera medida consistió en aislar por completo el dispositivo del empleado comprometido para detener cualquier flujo de exfiltración activo, seguido de la eliminación de la extensión maliciosa que servía de puerta trasera.

    Simultáneamente, GitHub inició un proceso masivo de rotación de secretos y credenciales administrativas. La compañía priorizó las llaves criptográficas y tokens de mayor impacto jerárquico para neutralizar cualquier intento de los atacantes de utilizar los accesos robados para penetrar más profundamente en la infraestructura interna de la plataforma.

    En términos de afectación externa, GitHub ha sido tajante al asegurar que el ataque se limitó de forma estricta a su propio código base. Hasta la fecha, los análisis forenses indican que no hay evidencia de afectación o acceso ilícito a datos de clientes, cuentas de usuarios independientes, ni repositorios privados pertenecientes a empresas terceras que utilizan la plataforma. El alcance del robo involucró exclusivamente propiedad intelectual interna necesaria para el funcionamiento de los servicios del sistema. No obstante, debido a la exposición del código, personalidades de la industria como el fundador de Binance instaron públicamente a los desarrolladores a rotar sus claves de API asociadas a GitHub por pura precaución preventiva ante el riesgo de que vulnerabilidades de día cero descubiertas en los archivos robados puedan ser explotadas en el corto plazo.

    TeamPCP: Un historial sistemático de sabotaje de software

    El grupo TeamPCP (UNC6780) no es un actor nuevo en la escena de la ciberseguridad. A lo largo de 2026, la agrupación ha orquestado una serie de agresivas campañas dirigidas de manera quirúrgica a herramientas clave utilizadas por equipos de desarrollo de software y flujos de integración continua (CI/CD). El historial de ataques recientes de este grupo incluye objetivos de alto calibre:

    • Trivy Vulnerability Scanner: Manipulación de acciones de integración (GitHub Actions) y publicación de versiones comprometidas que afectaron a más de 1,000 organizaciones mediante la explotación de vulnerabilidades críticas.
    • Checkmarx y LiteLLM: Campañas dirigidas específicamente a la recolección de credenciales y claves de plataformas de inteligencia artificial.
    • Malware «SANDCLOCK» y «Shai-Hulud»: Uso sistemático de scripts de recopilación de contraseñas que buscan instalar persistencia en sistemas locales a través de backdoors basados en Python (como los archivos ocultos ~/.local/share/kitty/cat.py).

    La metodología característica de TeamPCP involucra el abuso de los flujos de trabajo legítimos de desarrollo en GitHub, como la activación inapropiada de los disparadores pull_request_target, permitiendo a atacantes externos forzar la ejecución de acciones automatizadas con privilegios elevados dentro del contexto seguro de proyectos open-source reputados.

    Lecciones para la Industria: El fin de la confianza ciega en las herramientas de desarrollo

    El éxito del ataque contra GitHub deja una lección fundamental para la industria tecnológica global: las estaciones de trabajo de los desarrolladores e ingenieros de software se han convertido en la frontera defensiva más débil y, por ende, en el objetivo prioritario para el espionaje corporativo y el cibercrimen financiero.

    La confianza ciega en tiendas de complementos de software de terceros sin procesos estrictos de auditoría de seguridad y la carencia de políticas internas de aislamiento de sistemas representan brechas inadmisibles en la arquitectura corporativa moderna. A medida que GitHub profundiza en sus análisis forenses para determinar el alcance total del robo y asegurar que no existan vectores duraderos de intrusión remanentes, la comunidad de TI debe reconsiderar la forma en que audita, limita e instala las extensiones de productividad cotidiana que, en un descuido de once minutos, pueden comprometer los cimientos enteros de la tecnología mundial.

    Publicado en Noticias de Impacto, Tecnología & IA | Etiquetado , , , | Deja un comentario

    Inteligencia artificial resuelve conjetura matemática de 80 años

    Publicada el mayo 20, 2026 por TempMail Ninja

    El 20 de mayo de 2026 quedará marcado en los anales de la ciencia como el día en que la inteligencia artificial dejó de ser un simple recopilador de información para convertirse en un creador original de conocimiento de vanguardia. En una demostración de fuerza intelectual que ha sacudido tanto a Silicon Valley como a los departamentos de matemáticas más selectos del planeta, OpenAI anunció que un modelo de razonamiento de propósito general, de naturaleza interna y aún no lanzado al mercado, logró desmentir de forma completamente autónoma la conjetura de las distancias unitarias planas. Este problema de geometría combinatoria, formulado originalmente hace exactamente ochenta años por el legendario matemático húngaro Paul Erdős en 1946, había resistido los embates de las mentes humanas más brillantes durante casi un siglo.

    La hazaña no es solo un triunfo para la geometría discreta; representa un cambio de paradigma absoluto en el campo del aprendizaje profundo. Por primera vez en la historia, un sistema de red neuronal que no fue diseñado específicamente para la demostración de teoremas ha resuelto de manera autónoma un problema abierto y de enorme relevancia en la matemática pura. El logro redefine el debate sobre las capacidades cognitivas de las máquinas, sepultando la vieja narrativa que relegaba a los grandes modelos de lenguaje (LLM) a la categoría de meros «loros estocásticos» capaces únicamente de regurgitar información preexistente de su base de datos de entrenamiento.

    El enigma de Erdős: ¿De qué se trata la conjetura de las distancias unitarias?

    Para comprender la magnitud de lo acontecido, es necesario adentrarse en la engañosa sencillez del problema original. En su célebre artículo de 1946 publicado en el American Mathematical Monthly, Paul Erdős planteó una pregunta elemental de la geometría combinatoria: si colocamos n puntos en un plano bidimensional, ¿cuál es el número máximo de parejas de puntos que pueden estar a una distancia exacta de una unidad?

    Durante décadas, el consenso matemático se apoyó en la intuición de que las configuraciones basadas en cuadrículas de puntos (como las redes cuadradas escaladas de manera óptima) eran la mejor forma de maximizar estas distancias unitarias. Basándose en esto, Erdős conjeturó que el número máximo de parejas separadas por una unidad, denotado históricamente como u(n), no podía crecer más rápido que n1+o(1) —un límite superior que se eleva apenas un poco más rápido que una tasa lineal (específicamente expresado como n1+c/log log n para una constante positiva c).

    A pesar de que el límite superior absoluto conocido era de O(n4/3) —establecido en 1984 por Joel Spencer, Endre Szemerédi y William Trotter mediante el uso de teoremas de incidencia—, la conjetura de Erdős sobre el comportamiento del límite inferior de n1+o(1) permanecía inamovible. La comunidad matemática daba por sentado que la rigidez del mundo plano forzaba que cualquier distribución óptima se asemejara a una estructura de red. Sin embargo, el modelo de OpenAI demostró que la geometría euclidiana esconde secretos tridimensionales y algebraicos invisibles al ojo humano.

    La arquitectura del contraejemplo: Teoría de números algebraicos en el plano

    En lugar de intentar optimizar las configuraciones geométricas tradicionales o mover puntos de manera iterativa sobre el plano —un camino agotado por investigadores humanos durante generaciones—, el modelo de OpenAI tomó un desvío conceptual asombroso. Conectó de forma directa la geometría discreta bidimensional con la teoría profunda de números algebraicos y la geometría de dimensiones superiores.

    La demostración original de 125 páginas, generada en un único flujo de inferencia de «un solo disparo» (one-shot) sin intervención ni guía humana, plantea que es posible construir conjuntos de puntos donde el número de distancias unitarias crece a una tasa estrictamente mayor que la conjetura de Erdős, logrando un crecimiento de n1+ε para un valor constante ε > 0. Para lograr esta construcción, el modelo de OpenAI utilizó una serie de sofisticadas herramientas que conectan múltiples disciplinas de las matemáticas puras:

    • Torres de cuerpos de clases infinitas (Infinite class field towers): El modelo construyó una torre infinita no ramificada de cuerpos de números totalmente reales con grupos de Galois de potencias de 3 y de grado creciente, en los cuales un conjunto fijo de primos racionales se descompone por completo.
    • El criterio de Golod-Shafarevich (1964): Utilizado originalmente en el álgebra abstracta para demostrar la existencia de grupos p-pro infinitos con pocas relaciones, este criterio sirvió para garantizar la existencia de dicha torre infinita de cuerpos de clases, incluso tras aplicar un paso de cociente que anula las clases de Frobenius prescritas.
    • Redes de alta dimensión: Al adjuntar la unidad imaginaria i a estos cuerpos, el modelo obtuvo redes de alta dimensión que poseen una inmensa cantidad de elementos cuyas imágenes, bajo cualquier incrustación compleja, tienen un valor absoluto exactamente igual a 1.

    Al proyectar adecuadamente estas redes complejas de vuelta al plano euclidiano, se reveló una familia infinita

    Publicado en Inteligencia Artificial, Tecnología & IA | Etiquetado , , , | Deja un comentario

    Brecha de GitHub por TeamPCP: El gusano Shai-Hulud al descubierto

    Publicada el mayo 20, 2026 por TempMail Ninja

    El 20 de mayo de 2026 quedará marcado en los anales de la ciberseguridad contemporánea como el día en que la famosa brecha de GitHub estremeció a la comunidad tecnológica mundial. No se trató de una intrusión convencional en servidores perimetrales o de un fallo de configuración en la nube; fue un ataque quirúrgico, sofisticado y poéticamente destructivo a la cadena de suministro de software. El perpetrador de esta audaz campaña es el grupo cibercriminal de motivación financiera conocido como TeamPCP (rastreado por firmas de inteligencia como UNC6780, DeadCatx3 o ShellForce). Mediante una compleja red de intrusiones, lograron exfiltrar aproximadamente 3,800 repositorios de código interno y propietario de GitHub.

    La magnitud del incidente obligó a GitHub a confirmar públicamente el compromiso, admitiendo que las afirmaciones del grupo atacante eran consistentes con su propia investigación forense. El botín, que representa la propiedad intelectual de la plataforma de desarrollo más grande del mundo, fue puesto a la venta inicialmente en BreachForums por un precio base de 50,000 dólares. Poco después, en una maniobra de máxima presión y extorsión, TeamPCP se asoció con el célebre grupo criminal Lapsus$ para comercializar el código fuente en su sitio de filtraciones por un valor de 95,000 dólares. Detrás de este asalto histórico no solo hay fallos humanos, sino un arma digital revolucionaria bautizada en honor al desierto de Arrakis: el gusano Shai-Hulud.

    La criatura de la arena: ¿Qué es el gusano Shai-Hulud?

    Haciendo referencia directa a los colosales gusanos de arena de la franquicia de ciencia ficción Dune de Frank Herbert, Shai-Hulud representa un cambio de paradigma absoluto en el malware dirigido a desarrolladores. Detectado originalmente en su primera versión a finales de 2025, este espécimen destaca por ser un software completamente autorreplicante o «wormable». A diferencia de los ataques tradicionales a repositorios de código abierto —que dependen de técnicas pasivas como el typosquatting (crear paquetes con nombres muy similares a los legítimos)—, Shai-Hulud se propaga de forma activa y autónoma.

    Una vez que el gusano obtiene acceso a la máquina local de un programador o se infiltra en un pipeline de integración y despliegue continuos (CI/CD), ejecuta una rutina automatizada sumamente agresiva. Escanea el sistema en busca de credenciales de alto valor, tales como tokens de publicación de npm, Tokens de Acceso Personal (PAT) de GitHub y claves de entornos de nube. Con estas credenciales robadas en su poder, el malware se conecta de manera dinámica a los repositorios y registros de paquetes de los cuales la víctima es mantenedora. Acto seguido, inyecta su propio código malicioso y publica versiones actualizadas «envenenadas» de paquetes legítimos y ampliamente utilizados, convirtiendo cada entorno comprometido en un nuevo nodo de distribución. Para culminar su obra de manera desafiante, el gusano genera repositorios públicos de GitHub con una descripción escrita al revés que reza: niagA oG eW ereH :duluH-iahS (que se lee como «Shai-Hulud: Here We Go Again»).

    La brecha de GitHub a través de un error de 18 minutos

    A pesar del despliegue de alta ingeniería del gusano, la clave para materializar la brecha de GitHub radicó en una vulnerabilidad humana combinada con una ventana de tiempo sumamente estrecha. Todo comenzó el 18 de mayo de 2026, cuando TeamPCP capitalizó una serie de credenciales OpenID Connect (OIDC) previamente robadas durante un ataque al ecosistema de herramientas de desarrollo TanStack. Utilizando este acceso privilegiado, los atacantes lograron suplantar la identidad de un mantenedor legítimo para subir una actualización fraudulenta de una de las extensiones más populares de Visual Studio Code: Nx Console (específicamente la versión 18.95.0, bajo el identificador de editor de nrwl.angular-console, la cual cuenta con más de 2.2 millones de instalaciones activas).

    La actualización maliciosa estuvo disponible en el Marketplace oficial de VS Code de Microsoft durante una ventana crítica de apenas 18 minutos antes de ser detectada y dada de baja por la comunidad y los administradores. Sin embargo, en el desarrollo de software moderno, 18 minutos es una eternidad. Dado que los entornos integrados de desarrollo (IDE) de los programadores suelen tener configurada la actualización automática de extensiones para agilizar procesos, esta breve exposición bastó para que el código malicioso se descargara de forma silenciosa en numerosas estaciones de trabajo. Una de esas máquinas pertenecía, desafortunadamente, a un ingeniero interno de GitHub.

    Al ejecutarse el IDE con la extensión Nx Console comprometida, el payload del gusano Shai-Hulud se activó con los mismos privilegios del sistema operativo del desarrollador. Al no requerir interacciones adicionales del usuario ni levantar sospechas en los sistemas tradicionales de detección de endpoints, el malware procedió a realizar un volcado de memoria física y a escanear el disco local para extraer un botín de credenciales sin precedentes. Fue a través de estas claves SSH y secretos corporativos altamente confidenciales extraídos de la memoria del sistema que TeamPCP obtuvo la llave maestra para ingresar directamente a los servidores internos y clonar los repositorios privados de la compañía.

    Anatomía de la extracción: El arsenal técnico del malware

    El análisis forense de la extensión Nx Console v18.95.0 reveló un nivel de sofisticación alarmante. El archivo principal de la extensión, main.js, contenía bloques de código JavaScript altamente ofuscados y minificados. Al activarse el espacio de trabajo en VS Code, este código realizaba una petición silenciosa para descargar un paquete secundario denominado «nx-next» alojado en un commit huérfano dentro del propio repositorio oficial de Nx en GitHub.

    Este paquete descargado ejecutaba un script indexado que abría canales de comunicación C2 (Comando y Control) e iniciaba un escaneo profundo del endpoint de la víctima. La capacidad de recolección de información de Shai-Hulud se enfocó en las siguientes tecnologías y directorios clave dentro de la máquina del desarrollador comprometido:

    • HashiCorp Vault: Extracción de tokens de acceso almacenados en rutas estándar como ~/.vault-token y /etc/vault/token.
    • Entornos Cloud y Kubernetes: Robo de secretos de autenticación de Kubernetes, metadatos de AWS IMDS/ECS, AWS Secrets Manager, SSM y tokens de identidad web.
    • Gestores de Paquetes: Extracción de tokens de publicación presentes en archivos de configuración local como .npmrc.
    • Credenciales de GitHub: Raspado de tokens de tipo ghp_ (personales), gho_ (OAuth) y ghs_ (servicios), junto con llaves criptográficas SSH privadas.
    • Gestores de Contraseñas: Lectura del contenido de bóvedas de 1Password a través de su interfaz de línea de comandos (CLI op) en caso de detectar una sesión activa en el sistema.
    • Memoria de Procesos (Scraping): Búsqueda directa de secretos en texto plano mediante la lectura del proceso del Runner de GitHub Actions en la ruta del sistema /proc/<pid>/mem.

    Esta recolección exhaustiva garantizó que, incluso si la máquina contaba con sistemas de autenticación de doble factor (MFA) para accesos directos, los tokens de sesión activos y las llaves SSH de bypass permitieran a los atacantes actuar bajo el radar del equipo de operaciones de seguridad de GitHub.

    Consecuencias de la brecha y el nuevo paradigma de seguridad

    Aunque GitHub reaccionó aislando inmediatamente el endpoint infectado, revocando los accesos comprometidos e iniciando una rotación masiva de credenciales a nivel global, el daño ya estaba hecho. La pérdida de estos aproximadamente 3,800 repositorios no expone directamente los datos privados de los clientes finales alojados en la plataforma, pero sí representa un golpe devastador a la seguridad por oscuridad de la propia infraestructura de GitHub. Los atacantes ahora poseen esquemas de API internas, arquitecturas de red, scripts de despliegue y herramientas propietarias que podrían utilizarse para planificar futuras intrusiones aún más severas.

    Este incidente demuestra que los controles de seguridad tradicionales basados en la confianza de firmas digitales o en la validación de la procedencia de los paquetes han quedado obsoletos frente a la adaptabilidad de TeamPCP. De hecho, durante las campañas previas de Shai-Hulud en mayo de 2026, el gusano fue capaz de generar paquetes maliciosos con atestaciones válidas de procedencia bajo el estándar SLSA Build Level 3 tras secuestrar pipelines de compilación legítimos. Esto significa que, para los sistemas automatizados de seguridad, el malware parecía un software perfectamente legítimo y verificado.

    La lección fundamental de la brecha de GitHub es clara: las laptops de los desarrolladores y sus herramientas cotidianas (como los IDEs y sus extensiones de terceros) son hoy el eslabón más crítico y desprotegido de la infraestructura tecnológica global. Mientras las organizaciones continúen tratando las estaciones de trabajo de sus ingenieros como zonas libres de políticas estrictas de seguridad por temor a mermar la productividad, grupos como TeamPCP seguirán encontrando grietas de 18 minutos para infiltrarse en los corazones digitales de las corporaciones más influyentes del planeta.

    Publicado en Curiosidades de Internet, Recursos & Cultura | Etiquetado , , , | Deja un comentario