Human Risk Roundup: Una filtración, un día cero, una prohibición y una brecha

En esta edición de la Human Risk Roundup, exploramos algunas noticias recientes que ponen de relieve cómo las amenazas siguen atacando a los equipos de ciberseguridad desde todos los ángulos. Con las filtraciones de seguridad que se están produciendo en los niveles más altos del gobierno, productos heredados de confianza como SharePoint Server que siguen siendo explotados con nuevas vulnerabilidades, una posible nueva prohibición de los pagos por ransomware en el Reino Unido que posiblemente exija nuevos informes a las organizaciones y marcas conocidas que siguen siendo víctimas de brechas, los profesionales de la ciberseguridad siguen encontrándose tironeados en demasiadas direcciones. Lea más sobre cómo las últimas novedades en riesgos humanos podrían afectar a su organización.

DOGE denizen Marko Elez leaked API key for xAI

Marko Elez, un empleado del DOGE, expuso accidentalmente en GitHub una clave API privada para los grandes modelos lingüísticos de xAI, lo que suscitó inquietud sobre la seguridad operativa y su acceso a bases de datos sensibles del Gobierno. A pesar de que la clave ha sido marcada y el repositorio eliminado, la clave sigue activa, lo que pone de manifiesto la negligencia sistémica y los fallos de seguridad dentro de la organización.

¿Qué ha pasado?

La clave API privada de xAI, la empresa de IA de Elon Musk, que fue expuesta por Elez en GitHub daba acceso a más de 50 grandes modelos lingüísticos, incluido el último "grok-4-0709," utilizado en el chatbot de IA generativa de xAI, Grok. La filtración fue señalada por GitGuardian, una empresa especializada en detectar secretos expuestos, pero la clave aún no ha sido revocada.

Elez tiene un historial controvertido, que incluye anteriores violaciones de la seguridad y acusaciones de racismo, pero fue readmitido en el DOGE gracias a la presión política. Este incidente suscita preocupación sobre la seguridad operativa y el manejo de datos sensibles del gobierno y de la IA. 

Por qué es importante

Se trata de un importante fallo de ciberseguridad. Esta brecha permitió el acceso no autorizado a 52 LLM, incluidos los integrados en sistemas sensibles como Grok, utilizado por el Departamento de Defensa. El incidente subraya los riesgos de unas prácticas de seguridad operativa deficientes, especialmente cuando se manejan datos sensibles relacionados con el gobierno y la IA. También plantea preocupaciones sobre la cultura de seguridad más amplia dentro de organizaciones como DOGE, dadas las repetidas violaciones similares.

Para el personal de ciberseguridad, esto sirve como un duro recordatorio de la importancia de una sólida gestión de claves, el escaneo secreto previo al compromiso y la revocación inmediata de las credenciales comprometidas. El acontecimiento también hace hincapié en la necesidad de una investigación y una formación más estrictas de las personas con acceso a sistemas críticos.

Cuatro consejos prácticos para los responsables de seguridad

Utilice herramientas como GitGuardian para escanear los repositorios de código en busca de secretos expuestos, como claves API, antes de que sean confirmados.

Asegúrese de que las claves API no están codificadas en los scripts y de que se almacenan de forma segura.

Forme a todo el personal con acceso a sistemas sensibles sobre la importancia de la seguridad operativa, incluido el manejo de información clasificada.

Aborde los fallos de seguridad repetidos como señales de problemas sistémicos y no como errores aislados.

Más información sobre la filtración.

Microsoft corrige los ataques al día cero de SharePoint

Microsoft publicó un parche de emergencia para una vulnerabilidad crítica de SharePoint Server (CVE-2025-53770) explotada activamente por piratas informáticos para vulnerar agencias federales, universidades y empresas energéticas estadounidenses. El fallo, que permite a los atacantes instalar una puerta trasera llamada "ToolShell" para acceder de forma remota, requiere una acción inmediata más allá del parcheado, incluyendo la rotación de las claves de la máquina y el aislamiento de los servidores afectados.

¿Qué ha pasado?

El 20 de julio de 2025, Microsoft publicó una actualización de seguridad de emergencia para solucionar una vulnerabilidad crítica en SharePoint Server, que ha sido explotada activamente por piratas informáticos. La vulnerabilidad es una variante de un problema parcheado anteriormente, pero la corrección anterior estaba incompleta, dejando expuestos los sistemas. Los investigadores descubrieron una explotación generalizada del fallo, con atacantes que robaban claves de máquina ASP.NET para facilitar ataques posteriores.

Microsoft ha emitido parches para algunas versiones de SharePoint, pero sigue trabajando en actualizaciones para otras, por lo que insta a las organizaciones a tomar medidas de protección inmediatas. CISA recomienda activar el escaneado antimalware, desplegar Microsoft Defender y aislar de Internet los servidores afectados.

Por qué es importante

Se trata de un problema crítico de ciberseguridad relacionado con una vulnerabilidad de día cero que subraya la importancia de la gestión oportuna de los parches, ya que las correcciones iniciales de Microsoft fueron insuficientes. Los equipos de ciberseguridad deben actuar con rapidez aplicando los últimos parches, rotando las claves de las máquinas e implementando defensas adicionales como el escaneado antimalware y la desconexión de los servidores vulnerables.

El incidente también subraya la necesidad de una vigilancia proactiva de las amenazas, ya que los atacantes están aprovechando vulnerabilidades previamente parcheadas en cadenas de exploits. Esto sirve como recordatorio de la naturaleza evolutiva de las ciberamenazas y de la necesidad de una vigilancia continua y de medidas de seguridad en capas.

Cuatro consejos prácticos para los responsables de seguridad

Asegúrese de que todos los sistemas SharePoint Server están actualizados con los últimos parches proporcionados por Microsoft.

Rote las claves de máquina ASP.NET del servidor SharePoint y reinicie IIS en todos los servidores SharePoint.

Active la interfaz de exploración antimalware (AMSI) en SharePoint e implante Microsoft Defender Antivirus en todos los servidores SharePoint para mejorar las capacidades de detección y prevención.

Desconecte los servidores SharePoint afectados de Internet de cara al público hasta que estén completamente parcheados y asegurados.

Más información sobre el ataque.

El Reino Unido prohibirá a las organizaciones del sector público pagar a las bandas de ransomware

El gobierno británico planea prohibir a las organizaciones del sector público y de infraestructuras críticas, incluidos los ayuntamientos y el NHS, el pago de rescates a las bandas de ransomware para desbaratar el modelo de negocio de los ciberdelincuentes y proteger los servicios esenciales. Además, las empresas que queden fuera del ámbito de aplicación de la prohibición deberán notificarlo al gobierno antes de realizar pagos de rescates, y se está desarrollando un sistema de notificación obligatoria para ayudar a las fuerzas de seguridad a rastrear a los atacantes y apoyar a las víctimas.

Qué ocurrirá

Esta medida pretende desbaratar el modelo de negocio de los ciberdelincuentes y reducir el atractivo de atentar contra servicios públicos vitales. Incluso las empresas que queden fuera del ámbito de aplicación de la prohibición tendrán que tomarse el tiempo necesario para notificar al gobierno a través del nuevo sistema de notificación obligatoria antes de realizar cualquier pago de rescate.

La esperanza es que esto garantice el cumplimiento de las leyes contra la financiación de grupos sancionados. La decisión sigue a una consulta pública realizada a principios de este año, en la que se destacaba el ransomware como la mayor amenaza de ciberdelincuencia en el Reino Unido y un riesgo para la seguridad nacional. Los recientes ataques de ransomware de alto perfil a organizaciones como el NHS y Marks & Spencer subrayan la urgencia de estas medidas.

Por qué es importante

El personal de ciberseguridad debe adaptarse a este cambio centrándose en la prevención, la respuesta a incidentes y las estrategias de recuperación, ya que el pago de rescates ya no será una opción. El sistema de notificación obligatoria que acompaña a la prohibición proporcionará a las fuerzas del orden datos valiosos para rastrear a los agresores y apoyar a las víctimas.

Esta medida subraya el creciente reconocimiento del ransomware como una amenaza para la seguridad nacional, que requiere defensas sólidas y la colaboración entre los sectores público y privado. Para los equipos de ciberseguridad, este cambio de política pone de relieve la necesidad de adoptar medidas proactivas y planificar la resistencia para mitigar los riesgos operativos y financieros.

Cuatro consejos prácticos para los responsables de seguridad

Dé prioridad a medidas sólidas de ciberseguridad, como actualizaciones periódicas de los sistemas, formación de los empleados y sistemas avanzados de detección de amenazas.

Implemente un sistema de notificación obligatoria de incidentes de ransomware a las fuerzas de seguridad.

Alinéese con las políticas que desaconsejan el pago de rescates a los ciberdelincuentes y, en su lugar, céntrese en las estrategias de recuperación y asegúrese de que las copias de seguridad son seguras y no están manipuladas.

Busque la orientación de los organismos gubernamentales cuando considere acciones como el pago de rescates, especialmente para evitar violar las leyes relacionadas con los grupos sancionados.

Más información sobre la prohibición.

Louis Vuitton confirma la filtración de datos en Australia tras múltiples filtraciones en otros lugares

Louis Vuitton sufrió una violación de datos el 2 de julio de 2025, que comprometió datos personales sensibles, incluidos nombres e información de contacto, de clientes australianos, así como de clientes de Hong Kong, Turquía, Corea del Sur y el Reino Unido. Aunque la brecha afectó a más de 419.000 personas en todo el mundo, la empresa confirmó que no se vio comprometida ninguna información financiera o de contraseñas y ha tomado medidas para contener el incidente y cooperar con las autoridades.

¿Qué ha pasado?

La brecha implicó el acceso no autorizado a la red interna de la empresa, lo que condujo al robo de información de los clientes, como nombres, datos de contacto y otros datos personales. Sin embargo, Louis Vuitton confirmó que ninguna información financiera, como datos de tarjetas de crédito o cuentas bancarias, se vio comprometida.

La empresa tomó medidas técnicas inmediatas para contener la brecha y está cooperando con las autoridades, incluida la notificación a los reguladores de la privacidad, como la Oficina del Comisionado de Privacidad de Datos Personales de Hong Kong. Louis Vuitton ha asegurado a sus clientes su compromiso de abordar el problema y prevenir futuros incidentes.

Por qué es importante

La filtración de datos de Louis Vuitton pone de relieve los retos críticos a los que se enfrenta el personal de ciberseguridad y subraya la importancia de contar con defensas sólidas contra el acceso no autorizado a información confidencial. Este incidente subraya la creciente sofisticación de los ciberdelincuentes y la necesidad de adoptar medidas proactivas para detectar y mitigar las amenazas antes de que se intensifiquen.

Para los equipos de ciberseguridad, la brecha sirve como recordatorio de la importancia de una respuesta rápida a los incidentes, como demuestran los esfuerzos de contención de Louis Vuitton y su cooperación con las autoridades. Además, la escala global de la violación pone de relieve la necesidad de cumplir las diversas normativas de protección de datos en todas las jurisdicciones. 

Cuatro consejos prácticos para los responsables de seguridad

Supervise regularmente las redes internas en busca de accesos no autorizados y actividades inusuales para detectar a tiempo las infracciones.

Asegúrese de que existen medidas técnicas para contener inmediatamente las infracciones, como el bloqueo del acceso no autorizado.

Notifique sin demora a los clientes afectados y a las autoridades pertinentes, proporcionando información clara sobre la violación y las medidas que se están tomando.

Revise y actualice periódicamente los protocolos de seguridad para abordar las vulnerabilidades, especialmente teniendo en cuenta los repetidos incidentes en varias regiones.

Más información sobre la brecha.