Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
ESP
ESP
%402x.svg){kind=icon}
Semana con tres lecturas que van mas alla del CVE de turno: una campana masiva que no tiene parche porque el problema son las contrasenas que nunca se rotaron, un organismo gubernamental de primer nivel que avisa que la adopcion de IA en desarrollo va demasiado rapido, y una investigacion que demuestra que los ficheros .yml de GitHub Actions son codigo de seguridad critico que casi nadie trata como tal. El resumen que necesitas antes del fin de semana.
🔴 FortiBleed: actores rusos comprometieron 86.644 firewalls Fortinet con credenciales nunca rotadas y CISA emite alerta urgente
Investigadores descubrieron la infraestructura activa de un grupo de habla rusa que habia ejecutado 1.160 millones de intentos de autenticacion contra mas de 320.000 dispositivos FortiGate. Resultado: 86.644 credenciales verificadas en 194 paises, con nombre de usuario, email y contrasena en texto plano. El 64,3% corresponden a cuentas de administrador genericas o cuentas integradas de Fortinet nunca renombradas desde fabrica. CISA emitio alerta urgente el 19 de junio. No hay CVE que resolver con un parche: el problema es operativo. Las credenciales nunca se rotaron, las interfaces de gestion estan expuestas a internet, y los dispositivos en versiones anteriores a FortiOS 7.2.11 almacenan contrasenas con SHA-256 crackeable por GPU.
→ Que debes hacer: Terminar todas las sesiones VPN activas. Rotar todas las contrasenas de administracion, especialmente si no se han cambiado en los ultimos 12 meses. Verificar PBKDF2 en versiones 7.2.11, 7.4.8 y 7.6.1 o superiores. Bloquear el acceso externo a la interfaz de gestion. Comprobar si la IP del FortiGate aparece en el dataset con la herramienta FortiBleed lookup de Hudson Rock. Analisis completo →
🔴 El NCSC advierte: el codigo generado con IA sin supervision puede convertirse en el mayor vector de vulnerabilidades de 2026
El National Cyber Security Centre del Reino Unido, equivalente del CCN-CERT espanol, publico una advertencia formal sobre el vibe coding: la practica de delegar la escritura de codigo a modelos de IA generativa con minima supervision humana. La tasa de defectos por linea de codigo no ha mejorado con el tiempo, pero el vibe coding multiplica el volumen total de codigo en produccion. El resultado es codigo funcional con deuda de seguridad invisible. El NCSC no prohibe el uso de IA para codificar: distingue entre proyectos de bajo riesgo, donde es aceptable, y sistemas criticos, donde exige revision exhaustiva antes de llegar a produccion. La advertencia conecta directamente con Cordyceps (ver abajo): los agentes de IA que generan configuraciones CI/CD reproducen los mismos patrones inseguros a escala.
→ Que debes hacer: Calibrar el nivel de supervision segun el riesgo del sistema. El desarrollador debe entender el codigo antes de desplegarlo. Incorporar revision de seguridad especifica para codigo generado por IA en el proceso de desarrollo. Para agentes en CI/CD, aplicar la Agents Rule of Two de Microsoft: ningun workflow de IA deberia tener simultaneamente input no confiable, secrets sensibles y capacidad de actuar externamente. Analisis completo →
🔴 Cordyceps: la nueva clase de vulnerabilidad CI/CD en GitHub que cualquier cuenta gratuita puede explotar para comprometer repositorios de Microsoft, Google, Apache y Cloudflare
Novee Security publico la investigacion completa sobre Cordyceps, una clase sistematica de vulnerabilidades en los workflows de GitHub Actions. No es un CVE de una herramienta concreta: es un patron de composicion insegura entre workflows que los escaneadores tradicionales no detectan. La cadena: un PR o comentario desde una cuenta gratuita activa un workflow de baja privilegio, cuyo output cruza sin validar a un workflow de alta privilegio con acceso a claves de nube permanentes. De los 30.000 repositorios escaneados, mas de 300 resultaron completamente explotables. Casos concretos: en Microsoft Azure Sentinel, un comentario en un PR robaba una GitHub App key sin expiracion con acceso de escritura a los workspaces de clientes. En Google, un PR otorgaba el rol roles/owner sobre un proyecto de Google Cloud. En Python Black (130 millones de instalaciones mensuales), cualquier PR permitia falsificar aprobaciones y envenenar las imagenes Docker oficiales.
→ Que debes hacer: Tratar los ficheros .yml de GitHub Actions como codigo critico de seguridad. Auditar todos los workflows en busca de inputs de PR interpolados directamente en comandos de shell. Actualizar actions/checkout a la version mas reciente. Rotar todos los tokens y secrets de GitHub Actions. Incluir la auditoria CI/CD en el scope del proximo pentesting. Analisis completo →
Cada viernes analizamos las noticias que realmente importan para la seguridad de tu organizacion. Si quieres saber como esta expuesta tu empresa frente a alguna de estas amenazas, estamos a un clic.
