PyE TIMES

"Todas las Noticias que Merecen Compilar"


Dias sin Bugs: 0
← Volver al PyE Times noticiassemanaltecnologia

Informe semana 1- Septiembre 2025

Fuerte alza del fraude por suplantación con IA (+148%, caso CFO), cadena zero‑click WhatsApp+iOS explotada, Android corrige 120 fallos (2 zero‑days), incidentes y avisos críticos (Jaguar Land Rover, orden CISA sobre Sitecore, brecha sanitaria en Michigan), adopción clínica de IA acelera tiempos de ictus en el NHS y el acuerdo OpenAI–Broadcom (≈10.000 M USD) refuerza la carrera por hardware a medida.

Por Tomatito
Publicado:

Suplantación de identidad con IA: del truco de laboratorio a la estafa cotidiana

Las estafas por suplantación con inteligencia artificial dejaron de ser rarezas técnicas y ya forman parte del paisaje: en 2025 se registró un alza del 148%. Los atacantes clonan voces, imitan rostros y reproducen patrones de lenguaje con una verosimilitud que presiona incluso los protocolos internos de las empresas. El caso de un “CFO” falsificado que condujo a una transferencia por 25 millones de dólares no fue un desliz: es el retrato de una táctica que opera por teléfono, videollamada y mensajería, donde la ansiedad del “resolver ya” es la verdadera brecha. Las recomendaciones vuelven a lo esencial: verificación por segundo canal, MFA sin excepciones y antes de cualquier movimiento financiero, pausar y revisar todo exhaustivamente. La tecnología de los ataques se acelera; la defensa —curiosamente— debe volverse más humana.
Fuente: TechRadar

WhatsApp corrige un “zero-click” usado junto a un fallo de Apple: campaña quirúrgica y notificaciones selectivas

WhatsApp publicó parches para el CVE-2025-55177 —un problema de autorización incompleta en la sincronización de dispositivos vinculados— y confirmó que, en combinación con el CVE-2025-43300 a nivel de iOS/macOS, se empleó en ataques dirigidos. La cadena permitía ejecutar acciones sin interacción del usuario a partir de mensajes especialmente construidos; la empresa emitió avisos a un número acotado de objetivos, señal de una operación más quirúrgica que masiva. Para equipos de seguridad: actualizar de inmediato en iOS, macOS y WhatsApp para Mac, revisar dispositivos vinculados, desactivar vistas previas sensibles y reforzar la telemetría de mensajería. La paradoja del “no hice ningún click” seguirá aquí, ya que los vectores sin gesto son ya parte estable del repertorio ofensivo.
Fuente: SecurityWeek · WhatsApp Advisories · Malwarebytes

Android: 120 fallos corregidos en septiembre; dos zero-days ya estaban en uso

El boletín mensual de Google aborda 120 vulnerabilidades con dos fallos explotados activamente: una elevación de privilegios en Android Runtime (CVE-2025-48543) y otra en el kernel de Linux (CVE-2025-38352). La distribución llega en niveles 2025-09-01 y 2025-09-05, lo que introduce desfases por fabricante y región. Más allá del parche, la gestión del riesgo es de proceso: políticas MDM/MAM para contener dispositivos rezagados, auditoría de apps con permisos excesivos y control del sideloading “de confianza”. Widevine, Framework y System también reciben correcciones acumulativas que conviene evaluar en flotas mixtas. Como siempre, los atacantes ya leyeron las notas de versión; conviene que los defensores también.
Fuente: The Hacker News · SecurityWeek

IA clínica en tiempo real: el NHS recorta de 140 a 79 minutos la atención por ACV

Todas las 107 unidades de ictus en Inglaterra ya utilizan un sistema que analiza TC en menos de un minuto, identifica tipo y severidad del evento, y sugiere priorización de trombólisis o trombectomía. En pilotos, el tiempo promedio entre admisión y tratamiento pasó de 140 a 79 minutos y la recuperación funcional se triplicó del 16% al 48%. No sustituye criterio médico: lo informa y lo acelera justo cuando cada minuto cuenta.
Fuente: The Guardian

Jaguar Land Rover: ciberincidente “severamente disruptivo” detiene producción y envía personal a casa

La automotriz informó que un atacante obligó a apagar aplicaciones globales y frenar la producción y retail, con restauración “controlada” en curso. De momento, no hay evidencia de compromiso de datos de clientes, pero el impacto logístico es inmediato: demoras en talleres, entregas y disponibilidad de repuestos. El episodio subraya que el perímetro industrial —ERP, proveedores, plantas, portales de concesionarios— es una sola superficie con múltiples puertas, y que los planes de continuidad deben ensayarse con el rigor de un “crash test”. Para la cadena: segmentación de redes OT/IT, inventario de accesos de terceros y pruebas de restauración bajo reloj.
Fuente: Reuters

CISA ordena parchear un zero-day en Sitecore: fecha límite y señales de intrusión

Tras reportes de actividad maliciosa interrumpida por equipos de respuesta, CISA instruyó a agencias federales a actualizar instancias de Sitecore antes del 25 de septiembre. Para entornos con XM/XP heredados, módulos antiguos o configuraciones por defecto, el riesgo no es teórico: las rutas de explotación suelen combinar exposición externa, credenciales de servicio reutilizadas y deshardening accidental en despliegues híbridos. Acciones de contención: inventario de instancias internet-expuestas, aplicación de parches, rotación de secretos y validación de integridad en servidores de contenido y entrega. En CMS, “funciona” no equivale a “está endurecido”.
Fuente: The Record · The Hacker News

Brecha en un sistema de salud de Michigan: dos meses de persistencia y 140.000 afectados

Aspire Rural Health System confirmó accesos no autorizados prolongados —entre noviembre y enero— que podrían haber expuesto información médica protegida y datos personales de casi 140.000 personas. La organización activó contención, notificó a pacientes y ofrece monitoreo de crédito; asegura que el sistema principal de EMR no se vio comprometido. El daño real, sin embargo, se mide en horas de call center, reemisión de credenciales y confianza erosionada. Lecciones operativas: telemetría que no llegue tarde, segmentación estricta de entornos clínicos y ejercicios de respuesta que incluyan comunicación con pacientes.
Fuente: Health Exec

“A2”: investigadores automatizan el hallazgo y la validación de fallos en apps Android con IA

Un equipo académico presentó A2, un marco que razona como un analista: primero formula hipótesis de vulnerabilidad en una app Android, luego intenta explotarlas de forma controlada para validar el hallazgo. El objetivo no es reemplazar al experto, sino reducir falsos positivos y acelerar el tramo fatigoso del triage. Para equipos móviles con pipelines CI/CD, el beneficio potencial es claro: PRs más precisos, menos ruido y más tiempo para revisar contexto, permisos y superficies externas. La madurez defensiva, sugiere el trabajo, crece cuando tratamos la seguridad como producto y no solo como auditoría.
Fuente: SecurityWeek

OpenAI y Broadcom cierran un acuerdo de 10.000 millones de dólares para chips de IA a medida

OpenAI firmó una alianza estratégica con Broadcom para codesarrollar y fabricar aceleradores de IA personalizados (“XPUs”) orientados a entrenamiento e inferencia de modelos de gran escala. El movimiento busca asegurar suministro, optimizar costos por watt y reducir la dependencia del ecosistema GPU dominante, con calendarios de producción que apuntan a los próximos ciclos de nodos avanzados. Para OpenAI, el control de la pila —desde arquitectura hasta despliegue— puede traducirse en mayor eficiencia, latencia más baja y nuevas capacidades de memoria interconectada; para Broadcom, una validación de peso de su estrategia de semiconductores a medida. Si el plan prospera, el mercado de cómputo para IA podría diversificarse más rápido de lo previsto.
Fuente: The Wall Street Journal

IFA Berlín 2025: gadgets y hogar inteligente marcan la pauta de consumo para 2026

La feria IFA volvió a posicionarse como termómetro de tecnología de consumo. Entre lo más comentado: tablets y portátiles que exploran formatos híbridos (como el ThinkBook VertiFlex de Lenovo con giro completo de pantalla), pantallas “e-paper” enriquecidas (TCL NXTPAPER 4.0) que reducen fatiga visual, y robots domésticos que pasan de curiosidad a servicio con mejores mapas y autonomía. En hogar conectado, el soporte a Matter se consolidó en luminarias y videoporteros, y los televisores premium empujaron HDR y procesamiento con funciones de IA integradas en el propio SoC. El mensaje de fondo es claro: menos especificaciones por escaparate y más experiencia —batería, ergonomía, integración— para un usuario que ya espera inteligencia “de serie”.
Fuente: Wired

Acciones recomendadas esta semana (15 minutos útiles)

  • Actualiza Android al nivel de seguridad más reciente y revisa permisos de apps que ya no usas.
  • En WhatsApp, aplica las últimas versiones en todos los dispositivos vinculados y desactiva vistas previas sensibles.
  • Define un código verbal familiar para confirmar pedidos urgentes por voz/llamada.
  • Si administras flotas: aplica MDM/MAM para contener rezagos de parcheo y audita sideloading.
  • Agenda un recordatorio mensual de “salud digital” (copias de seguridad + revisión de accesos).

Cifras clave de la semana

  • 148%: aumento interanual de estafas con clonación de voz/imagen.
  • 120: vulnerabilidades corregidas en el boletín Android de septiembre.
  • 107: unidades de ictus del NHS con IA clínica en despliegue.
  • 10.000 M USD: acuerdo OpenAI-Broadcom para chips de IA a medida.

Glosario exprés

  • “Zero-click”: ataque que no requiere que el usuario toque nada; suele encadenar fallos entre apps/sistema.
  • “MFA”: autenticación en múltiples pasos.
  • “MDM/MAM”: gestión de dispositivos/aplicaciones móviles para políticas y contención.
  • “Sideloading”: instalar apps fuera de la tienda oficial; útil en casos puntuales, con riesgos evidentes.