Cubre incidentes recientes relacionados con vulnerabilidades de seguridad, información sobre CVE y tendencias del sector.
Última actualización:
Cargando noticias...
Wiz Research descubrió que la base de datos ClickHouse de DeepSeek era de acceso público sin autenticación en dos subdominios. Más de un millón de entradas de registro contenían el historial de chat en texto plano, claves secretas de la API y metadatos operativos de backend. Los atacantes podían robar contraseñas y archivos locales directamente del servidor. Tras la revelación responsable, DeepSeek aseguró inmediatamente la base de datos. El 27 de enero también se había producido un ataque DDoS a gran escala contra la API y la interfaz de chat web.
Fuente: Blog del Mago
Un atacante registró una cuenta de socio falsa en el portal de socios de Dell y obtuvo acceso en 48 horas. La API del portal no tenía comprobaciones de autorización ni limitación de velocidad. Durante tres semanas, el atacante envió aproximadamente 5.000 solicitudes por minuto, robando 49 millones de registros que contenían nombres, direcciones, etiquetas de servicio e información de pedidos. Los datos se vendieron en un foro de piratas informáticos.
Fuente: BleepingComputer
Un atacante explotó la API REST desprotegida de Trello, que permitía realizar consultas no autenticadas por dirección de correo electrónico. Al enviar direcciones de correo electrónico de bases de datos previamente violadas, el atacante obtuvo más de 15 millones de perfiles de usuario (correos electrónicos, nombres completos, nombres de usuario, información del tablero) y los publicó en un foro de hacking. Atlassian restringió posteriormente el endpoint.
Fuente: BleepingComputer
Un empleado del Departamento de Eficiencia Gubernamental de Estados Unidos (DOGE) envió un script (agent.py) que contenía la clave API privada de xAI a un repositorio público de GitHub. La clave proporcionaba acceso sin restricciones a más de 52 modelos LLM, incluido "grok 4-0709", que se había creado apenas cuatro días antes. GitGuardian detectó la filtración, pero la clave no se revocó inmediatamente. También se había producido una filtración similar en mayo de 2025.
Fuente: Krebs sobre la seguridad
Una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en el componente pictureproxy.php de ChatGPT. Un atacante no autenticado podría inyectar URLs crafteadas para forzar al servidor a ejecutar peticiones internas no autorizadas. Se registraron más de 10.000 intentos de ataque desde una única dirección IP, siendo el 33% de los objetivos organizaciones estadounidenses (sectores financiero, gubernamental y sanitario). La vulnerabilidad es especialmente peligrosa porque puede explotarse a gran escala sin autenticación.
Fuente: SecurityWeek
CVE-2024-27564 es un ejemplo de libro de texto de OWASP API7 (SSRF). Las API que aceptan entradas de URL de fuentes externas requieren una validación estricta para evitar el acceso a redes internas. Véase OWASP Top 10 → API7.
Según el informe 2025 API ThreatStats de Wallarm, en 2024 se registraron 439 CVE relacionadas con la IA, lo que supone un aumento del 1.025% interanual. Más del 50 % de las entradas del catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA están relacionadas con API. Los fallos de control de acceso aumentaron un 40% en general, y los fallos de autorización crítica aumentaron un 36%.
Wallarm 2025Según el informe del primer trimestre de 2025 de Salt Security, el 99% de las organizaciones encuestadas experimentaron al menos un problema de seguridad de API en los últimos 12 meses. Los principales riesgos fueron los ataques de inyección y BOLA (Broken Object Level Authorization), que representaron más de un tercio de todos los incidentes. El 95% de los ataques a API se originaron en sesiones autenticadas.
Salt Security Q1 2025Los investigadores de seguridad descubrieron 30.000 espacios de trabajo de Postman expuestos públicamente sin controles de seguridad. Contenían claves API activas, tokens de acceso y cargas útiles sensibles, muchas de las cuales proporcionaban acceso directo a entornos de producción. Este caso pone de relieve el riesgo de las credenciales "API en la sombra" en las herramientas de colaboración entre desarrolladores.
Wallarm 2025Aumentan las vulnerabilidades en API basadas en IA como ChatGPT y DeepSeek. Las principales amenazas son la inyección indirecta, la SSRF y la exposición de datos. Las medidas de seguridad no siguen el ritmo de la rápida adopción de la IA.
BOLA (Broken Object Level Authorization) sigue siendo la vulnerabilidad más frecuente. Como se ha visto en los casos de Dell y Trello, la falta de comprobaciones básicas de autorización provoca filtraciones de datos a gran escala.
El 95% de los ataques se producen una vez superada la autenticación. Los atacantes con tokens de acceso legítimos aprovechan los fallos de autorización para desplazarse lateralmente, lo que hace que esta sea la técnica de ataque dominante.
Las filtraciones de claves API desde herramientas para desarrolladores como GitHub y Postman se han convertido en un problema crítico. Es esencial adoptar herramientas de detección automatizada (por ejemplo, GitGuardian) y prácticas rigurosas de gestión de secretos.
La información de esta página se basa en datos públicos disponibles a partir de 2025. Consulte los enlaces de referencia anteriores para obtener la información más reciente sobre vulnerabilidad.