Según un estudio regional de la certificadora G-Certi, el 68% de las empresas en América Latina sufrió al menos un incidente grave de seguridad en 2025, con un costo promedio de US$4,2 millones por brecha.

La misma investigación muestra que aquellas organizaciones que poseen certificación ISO 27001 vigente tienen un 62% menos de impacto financiero, 71% menos de tiempo de inactividad, una diferencia que refuerza la importancia de contar con marcos robustos de ciberseguridad y gestión de riesgos.

En ese contexto, Redvoiss anunció la obtención de la certificación ISO/IEC 27001:2022, “un importante hito que reafirma nuestro compromiso con la seguridad de la información. Los objetivos son concretos: proteger la confidencialidad de los datos personales y comerciales, garantizar la integridad de la información evitando alteraciones no autorizadas, y asegurar la disponibilidad de los sistemas cuando se necesiten”, señala David Iacobucci, CEO de la empresa.

La norma internacional ISO 27001 define los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI) basado en riesgo. Su adopción permite a las empresas identificar amenazas y controles exhaustivos.

Iacobucci destaca que esta certificación “fortalece la identificación de amenazas y vulnerabilidades cibernéticas antes de que ocurran, ayuda a cumplir leyes locales e internacionales de protección de datos, y demuestra a clientes y socios un compromiso serio con la seguridad, en un entorno cada vez más exigente”.

La certificación también adquiere especial relevancia en un escenario marcado por la próxima entrada en vigencia de la nueva Ley de Protección de Datos en Chile, en diciembre de este año. En ese marco, enfoques sistemáticos como ISO 27001 permiten a las empresas demostrar la disponibilidad, integridad y confidencialidad de su información, reduciendo la exposición a incidentes y vulneraciones de seguridad.

En un contexto donde las ciberamenazas, el procesamiento de datos y la Inteligencia Artificial crecen exponencialmente, contar con un marco robusto como ISO 27001 no solamente reduce riesgos financieros, sino que también refuerza la confianza del entorno.

Para el ejecutivo de Redvoiss este es sólo el comienzo; “seguiremos impulsando la excelencia operativa para proteger la información y contribuir a un ecosistema cada vez más seguro”.

La entrada Redvoiss recibe la certificación ISO 27001 se publicó primero en ZonaCISO.

El CyberDay Chile 2026 ya tiene fecha oficial y se realizará desde la medianoche del lunes 1 de junio hasta el miércoles 3 de junio. Organizado por la Cámara de Comercio de Santiago (CCS), el evento reunirá a cientos de marcas con ofertas y descuentos en categorías como tecnología, moda, hogar y viajes, generando uno de los períodos de mayor actividad para el comercio electrónico en el país.

Sin embargo, el aumento de las compras online y de las entregas a domicilio durante este gran evento de ventas online, también abre espacio para nuevas modalidades de fraude. Investigadores de Kaspersky advierten sobre estafas que aprovechan el alto flujo de pedidos asociados a este tipo de eventos, mediante el envío de paquetes falsos a consumidores.

Según explican, los ciberdelincuentes utilizan bases de datos filtradas para enviar encomiendas que incluyen códigos QR maliciosos. Al escanearlos desde sus teléfonos móviles, las víctimas son dirigidas a sitios fraudulentos donde pueden exponer su información personal y bancaria, e incluso ser inducidos a instalar de malware en sus dispositivos.

Los delincuentes utilizan los nombres y direcciones postales registrados en estas bases de datos para crear cuentas en plataformas de comercio electrónico y hacer pedidos, aunque vinculan sus propios correos electrónicos y métodos de pago para no levantar sospechas. Al llegar, el paquete incluye una tarjeta o pegatina con un código QR y un mensaje engañoso diseñado para generar curiosidad, cómo: “¡Recibiste un regalo! Escanea para saber quién lo envió” o “Deja una reseña y obtén una tarjeta de regalo de 100 dólares”.

Sin embargo, detrás de este amigable mensaje se oculta una trampa de quishing (phishing a través de códigos QR): si la víctima escanea el código, es dirigida a un sitio web malicioso donde se la persuade a ingresar sus datos de pago o códigos de verificación de sus apps bancarias con el fin de “activar” la supuesta tarjeta de regalo. En otras ocasiones, también se pide instalar una aplicación para confirmar la recepción del paquete y conocer al remitente, pero en realidad es malware disfrazado para acceder y tomar el control del dispositivo.

El nivel de riesgo es alarmante debido al desconocimiento de este tipo de amenazas, pues de acuerdo con un estudio de Kaspersky, 41% de los chilenos no sabe que los códigos QR falsos pueden ser la llave para ataques contra sus cuentas de banca en línea. Además, el origen de esta amenaza evidencia un problema previo de privacidad: si estás recibiendo estos paquetes, significa que tu dirección y otra información de contacto se filtraron en bases de datos y están circulando en foros clandestinos.

“Durante el CyberDay, que es el evento de compras online más importante del año en Chile, aumenta considerablemente la cantidad de envíos y eso también es aprovechado por los ciberdelincuentes para intentar engañar a las personas. Hoy existen estafas donde los usuarios reciben paquetes que nunca compraron o mensajes asociados a supuestas entregas, buscando generar confianza y urgencia para que escaneen códigos QR o ingresen a enlaces maliciosos. El principal riesgo es que muchas veces las víctimas creen que se trata de un error menor o de un envío promocional, cuando en realidad sus datos personales ya están siendo utilizados para fraudes más sofisticados. En este tipo de eventos, la recomendación es desconfiar de cualquier entrega inesperada y verificar siempre la información directamente con el comercio oficial”, explica Leandro Cuozzo, investigador de seguridad en el Equipo Global de Investigación y Análisis para América Kaspersky.

Para evitar ser víctima de este tipo de fraude durante CyberDay y el resto del año, los expertos de Kaspersky recomiendan:

• Desconfía de cualquier paquete no esperado: no lo abras rápidamente. Antes revisa con cuidado las etiquetas, la empresa de mensajería y el nombre de quien lo envía. Si nadie en tu hogar realizó la compra y no esperas obsequios, considéralo como sospechoso.
• Valida la autenticación del envío: si el paquete se entregó mediante un servicio de mensajería conocido y tiene un número de rastreo, visita el sitio web oficial de la empresa e ingrésalo manualmente. Usa sus canales de contacto legítimos, como el chat o teléfono, para confirmar la información del remitente y el estado real de la entrega.
• Nunca escanees códigos QR de origen dudoso y protege tus datos: los códigos impresos en tarjetas de regalo, avisos de entrega fallida o promociones sorpresa dentro de paquetes no solicitados suelen ser trampas. Sospecha si te piden compartir información sensible, descargar aplicaciones o pagar supuestos “impuestos de aduana” o “tarifas de envío”.
• Denuncia el envío sospechoso: repórtalo ante la empresa de entrega a domicilio y las autoridades correspondientes, incluso si no te robaron dinero. Toma fotos del empaque y de la guía, y conserva el paquete físico como evidencia para futuras investigaciones.
• Utiliza una solución de seguridad robusta: contar con un software de ciberseguridad confiable en tu dispositivo móvil, como Kaspersky Premium, es vital. Estas herramientas incluyen protección contra phishing y analizan enlaces en tiempo real, advirtiéndote y bloqueando cualquier amenaza antes de que comprometa tu información personal y financiera.

La entrada Quishing en CyberDay: Kaspersky lanza alerta para Chile se publicó primero en ZonaCISO.

ESET, compañía líder en detección proactiva de amenazas, anuncia el nombramiento de Giuliana Ravenna como su nueva channel manager, siendo así la responsable de la gestión y desarrollo del ecosistema de canales de la organización para Chile y Argentina.

A partir de esta designación, la ejecutiva buscará continuar desarrollando estrategias para seguir con el crecimiento sostenido de la compañía, mientras potencia la red de socios de negocios. Su labor será fundamental para posicionar las soluciones de seguridad en diversos segmentos, trabajando de forma coordinada con la cadena de distribución.

“El nombramiento de Giuliana responde a la necesidad de optimizar y profundizar nuestra estrategia de canales en Chile, un mercado en el que vemos muy buenas proyecciones de crecimiento y oportunidades a futuro. Su experiencia en la gestión comercial de territorios como Argentina, Uruguay, Paraguay y Bolivia será clave para trabajar aún más cerca de nuestros partners, brindando mayor apoyo, foco y acompañamiento en el día a día. Buscamos potenciar el crecimiento de nuestros canales actuales, fortalecer su desarrollo y, al mismo tiempo, avanzar en la incorporación de nuevos socios que nos permitan seguir expandiendo nuestra presencia y generando nuevas oportunidades en estos mercados clave”, menciona Augusto Bainotti, director de ventas de ESET Latinoamérica.

Previo a esta posición, la ejecutiva se desempeñó en el área de Inside Sales donde fue responsable de la gestión comercial de la cartera de clientes activos, enfocándose en métricas de retención y expansión de cuentas a través de procesos de upgrades y cross-sell. Esta experiencia le permitió profundizar su conocimiento sobre la interacción operativa entre la marca, los distribuidores y el cliente final.

La trayectoria de Ravenna en el sector tecnológico se basa en una sólida experiencia profesional, la cual ha complementado con su formación académica técnica, lo que le permite tener una visión integral de las necesidades de seguridad informática de las empresas actuales.

“Asumo este nuevo desafío con entusiasmo y el compromiso de continuar fortaleciendo nuestro ecosistema de canales. Mi principal objetivo es que nuestros partners nos vean como un aliado estratégico para el crecimiento de sus negocios, trabajando en conjunto para llevar soluciones de seguridad a más organizaciones, sobre todo con la Ley Marco en Ciberseguridad y la próxima Ley de Protección de Datos Personales chilena”, asegura Giuliana Ravenna, channel manager para Argentina y Chile de ESET Latinoamérica.

La entrada ESET nombra nueva channel manager para Chile se publicó primero en ZonaCISO.

Ante la exigencia de rescate, Grafana se negó a pagar, citando la postura pública del FBI y la ausencia de cualquier garantía de recuperación real. La empresa confirmó que no hay evidencia de acceso a datos de clientes. Sin embargo, el robo del código fuente completo abre una ventana de riesgo indirecta: actores motivados pueden analizar ese código en busca de vulnerabilidades que todavía no han sido reportadas ni parcheadas en versiones actualmente en producción.

Megalodon: 5.718 ataques en seis horas

El caso Grafana no es un hecho aislado: es parte de un patrón. Investigadores documentaron la campaña “Megalodon”, que inyectó workflows de GitHub Actions maliciosos en 5.561 repositorios en apenas seis horas, con un volumen de 5.718 commits automatizados. Los payloads, codificados en base64, exfiltraban secretos de CI/CD, credenciales cloud, claves SSH y tokens OIDC hacia servidores externos. La velocidad y la escala del ataque representan un nuevo umbral en la automatización de ataques a la cadena de suministro de software.

Ambos incidentes comparten una raíz técnica común: la superficie de ataque de GitHub Actions, amplificada por configuraciones permisivas del GITHUB_TOKEN, ausencia de branch protection y falta de auditoría periódica de workflows. El riesgo de programar rápido sin controles de seguridad integrados es un patrón bien documentado en la industria: la presión por velocidad en los ciclos de desarrollo convierte estas configuraciones descuidadas en vectores de ataque activos.

La cadena de suministro de software

Grafana está instalado como plataforma de observabilidad y monitoreo en bancos, telcos y operadores de servicios esenciales en Chile. El robo del código fuente no genera impacto directo sobre instalaciones on-premise, pero acorta el tiempo disponible para que los equipos apliquen parches antes de que aparezca un exploit público basado en el código sustraído. La Ley Marco de Ciberseguridad (Ley 21.663) exige a los operadores de importancia vital gestión activa de vulnerabilidades sobre componentes de terceros, incluyendo plataformas de observabilidad y monitoreo.

El riesgo de Megalodon es más inmediato. Fintechs, áreas de desarrollo de la banca y startups tecnológicas chilenas trabajan en repositorios GitHub donde conviven workflows de CI/CD con credenciales que conectan directamente a infraestructura productiva en AWS, Azure o GCP. Un token OIDC comprometido puede traducirse en acceso a producción en minutos. La decisión de Grafana de no pagar se alinea con lo que los datos del mercado latinoamericano confirman sistemáticamente: el pago no garantiza recuperación y financia la siguiente operación.

Los controles que señalan los expertos

Los investigadores identifican tres controles prioritarios para organizaciones con prácticas DevOps. Primero, revisar y limitar los permisos del GITHUB_TOKEN en todos los workflows activos, deshabilitando push automático sobre ramas protegidas. Segundo, auditar todos los workflows agregados o modificados en las últimas dos semanas y rotar cualquier secreto expuesto en entornos de CI compartidos con repositorios públicos. Tercero, habilitar branch protection con required reviews en repositorios que contengan pipelines de despliegue a producción.

El dato más importante del incidente de Grafana no es el robo: es la detección. Los canary tokens alertaron cuando el daño ya estaba hecho, pero su ausencia habría dejado el compromiso invisible por semanas. Invertir en mecanismos de detección de exfiltración —incluyendo tokens trampa en secretos críticos— es tan urgente como blindar el acceso inicial.

Fuente: The Record / The Hacker News

La entrada Cadena de suministro de software: Grafana Labs rechaza rescate se publicó primero en ZonaCISO.

El Ejecutivo había propuesto a Joselyn Biermann, Roberto Godoy y Matías Larraguibel para integrar el consejo por 6, 4 y 2 años respectivamente. La Sala votó y los números no dieron: la agencia que debe fiscalizar el cumplimiento de la nueva ley de datos personales en Chile sigue sin cabeza a días del plazo legal.

Plazo que ya venció

La normativa que crea la agencia establece que su consejo debe estar constituido seis meses antes de la entrada en vigencia de la ley, fijada para diciembre de 2026. Ese plazo se cumple a fines de mayo, es decir, prácticamente ahora. En sesión, varios senadores plantearon la urgencia de resolver la situación: o se presenta una nueva terna, o se adecúa la normativa para ganar tiempo.

El presidente de la Comisión de Constitución, senador Pedro Araya, explicó que las comisiones unidas debieron además definir el quórum aplicable, porque la ley que crea la agencia exige 2/3, pero técnicamente no rige hasta diciembre. Por mayoría, las comisiones resolvieron que el umbral exigido es, de todas formas, dos tercios. En la Sala, ese umbral tampoco se alcanzó.

Tropiezos desde el inicio

El trámite arrastró dificultades desde el comienzo. Las comisiones unidas de Constitución y Economía tuvieron que sesionar dos veces: en la primera instancia se produjo un doble empate al evaluar si los candidatos cumplían los requisitos legales. Solo en la segunda sesión hubo mayoría para establecer que los tres profesionales satisfacían las exigencias y no presentaban inhabilidades ni incompatibilidades.

El ministro de la Secretaría General de la Presidencia, José García, advirtió durante esa segunda sesión de comisiones que conformar una terna válida es excepcionalmente difícil: la ley exige dedicación exclusiva al cargo y establece una larga lista de incompatibilidades que limita drásticamente el universo de candidatos posibles.

Lo que está en juego para las empresas

La Ley 21.719 de Protección de Datos Personales, promulgada en diciembre de 2024, moderniza el marco regulatorio chileno y tiene una vacancia de dos años. Para las empresas que operan en Chile —y que llevan meses trabajando en sus procesos de adecuación—, contar con una agencia operativa con autoridades designadas es fundamental: sin regulador, los criterios de fiscalización siguen sin definirse.

El rechazo senatorial tensiona el calendario de implementación. Con el plazo de mayo ya encima y el Congreso sin fecha para resolver, las organizaciones chilenas avanzan hacia el cumplimiento de una ley cuyo organismo fiscalizador aún no tiene directivos. El Senado deberá decidir en los próximos días si el Ejecutivo presenta una nueva propuesta o si se modifica la normativa para extender el plazo. Cualquiera de las dos salidas requiere velocidad.

Fuente: Senado de Chile — https://www.senado.cl/comunicaciones/noticias/desestiman-propuesta-de-consejeros-para-la-agencia-de-proteccion-de-datos

La entrada Chile sin regulador de datos: Senado rechaza terna presidencial se publicó primero en ZonaCISO.

El ataque fue frenado antes de ejecutarse. La intervención proactiva de GTIG —que coordinó la divulgación responsable con el proveedor afectado— habría impedido la campaña planificada. Pero el hallazgo tiene un peso que va más allá del incidente puntual: la IA ya está siendo usada para descubrir y armar vulnerabilidades de día cero, no como hipótesis futura sino como práctica documentada en el ecosistema del cibercrimen organizado.

La atribución al uso de IA no es directa sino de alta confianza. GTIG señala que, aunque no cree que Gemini haya sido utilizado, la estructura del código delata la autoría de un modelo de lenguaje: comentarios educativos que explican el código paso a paso, un puntaje CVSS alucinado incluido como si fuera real, y un estilo Python “de manual de texto” altamente característico de los datos de entrenamiento de los grandes modelos de lenguaje.

Día cero que burla el 2FA

Esta vulnerabilidad de día cero que elude el 2FA no sigue los patrones que detectan las herramientas de análisis tradicionales. No hay corrupción de memoria ni sanitización de entradas deficiente. El fallo es un error semántico de lógica de alto nivel: el desarrollador codificó de forma fija una excepción de confianza que contradice la lógica de aplicación del doble factor en el resto del sistema. La evasión además requiere credenciales válidas del usuario objetivo, lo que la sitúa en cadenas de ataque más sofisticadas.

Las herramientas de análisis estático están optimizadas para detectar crashes y flujos de datos. Esta clase de fallo no produce ninguno. Los modelos de lenguaje de frontera, en cambio, realizan razonamiento contextual: leen la intención del desarrollador y correlacionan la lógica de aplicación del 2FA con las contradicciones de sus excepciones codificadas. Esa capacidad de identificar lo que está “estratégicamente roto pero funcionalmente correcto” es exactamente el diferenciador que hace a la IA especialmente peligrosa para descubrir este tipo de fallas.

Chile y la Ley 21.663 ante este riesgo

En Chile, el 2FA es un control de seguridad explícitamente recomendado bajo los marcos normativos derivados de la Ley Marco de Ciberseguridad (Ley 21.663) y forma parte de los controles mínimos esperados por la CMF para entidades del sector financiero. El hallazgo de GTIG no invalida el 2FA como control, pero obliga a reconsiderar su jerarquía dentro de la arquitectura de identidad y su suficiencia como única barrera para accesos críticos.

El CSIRT Nacional y la ANCI no han emitido una alerta específica sobre este vector al cierre de este artículo. Sin embargo, el reporte tiene implicancias directas para cualquier organización chilena que utilice herramientas de administración de sistemas open source con acceso expuesto a internet, categoría frecuente en entornos de TI corporativos y de gobierno.

La recomendación no es desactivar el 2FA, sino entender sus límites y complementarlo. Los estándares FIDO2/WebAuthn y las passkeys son resistentes estructuralmente a este tipo de vulnerabilidad de día cero porque la clave de autenticación nunca abandona el dispositivo del usuario y no depende de lógica de servidor que pueda contener excepciones codificadas.

Tres acciones concretas: revisar qué herramientas de administración de sistemas están expuestas a internet con 2FA como único control de acceso; verificar el estado de actualizaciones en herramientas open source de administración de servidores; evaluar la migración a FIDO2 para los accesos más críticos. La vulnerabilidad fue frenada esta vez. La capacidad ya existe.

Fuente: Google Threat Intelligence Group — https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access

La entrada GTIG: IA crea vulnerabilidad día cero que elude el 2FA se publicó primero en ZonaCISO.

El phishing cumplimiento regulatorio llegó disfrazado de comunicaciones internas de conducta corporativa. Los correos usaban nombres como “Internal Regulatory COC” y “Workforce Communications”, con asuntos como “Internal case log issued under conduct policy”. Para reforzar credibilidad, los mensajes incluían avisos de que el contenido había sido “revisado y aprobado por un canal interno autorizado” y usaban el logo de Paubox —un servicio legítimo de comunicaciones conformes con HIPAA— creando la apariencia de un proceso oficial de cumplimiento de salud.

Cómo opera el ataque AiTM

La cadena de ataque tenía cinco etapas diseñadas para filtrar defensas automatizadas y presionar al usuario. El correo incluía un PDF con el “expediente del caso de conducta” y un enlace de “Revisar materiales del caso”. Ese enlace llevaba a una página con un CAPTCHA de Cloudflare, seguido de una página intermedia que solicitaba autenticación, un segundo CAPTCHA de imágenes, y finalmente la pantalla de inicio de sesión real de Microsoft.

Esa pantalla era legítima —y ese es el punto crítico. Los atacantes no montaron una página falsa de login: instalaron un proxy entre el usuario y Microsoft. Cuando la víctima completaba su autenticación con MFA incluido, el atacante capturaba el token de sesión resultante en tiempo real, obteniendo acceso directo a la cuenta sin necesitar la contraseña ni el segundo factor. El MFA por SMS, TOTP o notificación push no protege contra esta clase de ataque.

Phishing cumplimiento regulatorio en Chile

Los sectores más afectados por la campaña son de alta relevancia en Chile: salud y ciencias de la vida (19% de los objetivos), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%). Las clínicas, isapres, bancos y consultoras chilenas con infraestructura Microsoft 365 son exactamente el perfil que esta campaña apuntó.

La dimensión local tiene un agravante específico. La implementación de la Ley Marco de Ciberseguridad (Ley 21.663) y la Ley 21.719 de Datos Personales está generando un volumen inusual de comunicaciones de cumplimiento hacia ejecutivos, equipos legales y responsables de seguridad. Ese contexto crea condiciones ideales para que un correo que simule una “revisión interna de conducta regulatoria” no active alarmas inmediatas, incluso en personas entrenadas.

El dato técnico más importante de esta campaña es que el MFA estándar no es suficiente frente a ataques AiTM. La única defensa efectiva es el MFA resistente a phishing: llaves de seguridad FIDO2, Windows Hello o passkeys, que vinculan criptográficamente la autenticación al dominio legítimo y no pueden ser interceptadas por un proxy. Las organizaciones que aún usan SMS u OTP deben asumir que ese control no las protege de esta clase de ataque.

La segunda medida urgente es incluir el escenario de “revisión de conducta corporativa” en los programas de simulación de phishing internos. Si los colaboradores no han visto un correo que llegue de “Workforce Communications” con un PDF adjunto y múltiples etapas de verificación, no están calibrados para detectarlo. Esta campaña —multicapa, con infraestructura legítima y urgencia emocional— no es una excepción: es el nuevo estándar de sofisticación.

Fuente: Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/

La entrada Microsoft alerta de phishing de “cumplimiento regulatorio” se publicó primero en ZonaCISO.

La vulnerabilidad cPanel hosting impacta directamente la capa de administración de los servidores web. cPanel es el software de gestión de hosting más utilizado a nivel global, presente en millones de servidores que alojan sitios de empresas, instituciones y organismos públicos. Un atacante que logre explotar la falla puede comprometer no solo un sitio, sino todos los sitios alojados en ese servidor: datos, credenciales y configuraciones quedan expuestos de forma simultánea.

Cómo operan los atacantes

La falla permite la ejecución remota de código sin necesidad de credenciales válidas. Los atacantes primero realizan un escaneo masivo para identificar servidores vulnerables expuestos en internet y luego aplican fuerza bruta sobre los paneles de administración. Una vez dentro, el paso típico es la instalación de webshells para mantener acceso persistente, la exfiltración de bases de datos o el uso del servidor comprometido como plataforma para ataques secundarios.

El volumen de 44.000 IPs involucradas en esta vulnerabilidad crítica en cPanel apunta a una operación organizada, no a ataques oportunistas aislados. Los investigadores detectaron que la actividad maliciosa se intensificó en los días posteriores a la divulgación pública de la CVE: un patrón habitual donde los grupos de amenaza priorizan explotar la ventana de tiempo en que la falla es conocida pero los parches aún no se han aplicado masivamente.

Vulnerabilidad cPanel hosting en Chile

En Chile, cPanel tiene penetración relevante en el mercado de hosting compartido y administrado. Proveedores locales alojan en estos servidores sitios de pymes, municipios, instituciones educacionales y servicios públicos que generalmente no cuentan con equipos de seguridad propios. La dependencia en la infraestructura del proveedor para estas organizaciones es total: si el servidor está comprometido, ellas también lo están, sin saberlo.

La dimensión regulatoria es igualmente relevante. Bajo la Ley Marco de Ciberseguridad (Ley 21.663), los operadores de servicios esenciales tienen la obligación de reportar incidentes que afecten la disponibilidad o integridad de sus sistemas a la ANCI. Un compromiso masivo de servidores cPanel que alojen infraestructura crítica chilena podría activar este mecanismo y generar obligaciones inmediatas de notificación. Los CISOs de organizaciones con hosting tercerizado deben verificar el estado de sus proveedores esta semana.

La prioridad inmediata es identificar si la organización o sus proveedores utilizan cPanel. El fabricante ya publicó el parche para la CVE-2026-41940 y su aplicación es urgente. Los administradores de sistemas deben revisar logs de acceso en busca de patrones de fuerza bruta y confirmar si algún servidor pudo haberse comprometido antes de la actualización.

Para quienes subcontratan el hosting, el paso correcto es contactar al proveedor y exigir confirmación escrita del estado de actualización de sus servidores. Si la respuesta no llega en menos de 48 horas, eso es información sobre las capacidades reales de respuesta del proveedor. Esta situación también es una oportunidad para revisar contratos de servicio y verificar que incluyan obligaciones explícitas de seguridad y tiempos de respuesta ante vulnerabilidades críticas.

Fuente: The Hacker News — https://thehackernews.com/2026/05/critical-cpanel-vulnerability.html

La entrada Vulnerabilidad crítica en cPanel: 44.000 IPs comprometidas se publicó primero en ZonaCISO.

En la jornada, Atassi describió un mercado chileno en plena maduración regulatoria. La Ley Marco de Ciberseguridad (Ley 21.663) y las exigencias de la CMF sobre servicios financieros digitales están obligando a las organizaciones a ir más allá del cumplimiento puntua en relación con los riesgos de identidad. Destacó además cómo las grandes empresas están cada vez más dispuestas a invertir en soluciones que les aseguren el cumplimiento con la normativas de cada mercado.

Los principales clientes en Chile para Jumio están centrados en el segmento de banca, con varias fintech en su portafolio, aunque el ejecutivo también señaló un vector de riesgo que crece con discreción: las plataformas de apuestas en línea. Las herramientas tecnológicas disponibles hoy permiten lanzar un sitio web con mínimos conocimientos técnicos, lo que está al alcance tanto de emprendedores legítimos como de actores con intenciones fraudulentas. Sin regulación adecuada, ese ecosistema se convierte en terreno propicio para el fraude de identidad a escala. La reputación de marca, advirtió Atassi, es un activo que las fintech chilenas no pueden perder: un incidente mal gestionado puede costar más que el fraude mismo en términos de confianza del cliente y exposición regulatoria.

Verificar una vez, ¿confiar siempre?

Durante décadas, la gestión de los riesgos de identidad ha operado bajo la premisa errónea de que una decisión tomada en el onboarding sigue siendo válida indefinidamente. En realidad, un usuario verificado hoy puede convertirse mañana en un riesgo de fraude significativo a medida que surgen nuevos patrones, conexiones y señales. Estudios preliminares muestran hasta un 25% más de riesgo detectado después del onboarding inicial, amenazas que los sistemas de verificación tradicional simplemente no pueden ver.

Al mismo tiempo, la rápida proliferación de la IA está cambiando el panorama. Los estafadores están implementando agentes de IA altamente sofisticados para escalar sus ataques utilizando deepfakes, identidades sintéticas y técnicas de inyección (Jumio registró un aumento del 700% en los intentos de inyección año tras año).

Jumio Watch analiza continuamente las señales de identidad para detectar cambios significativos en el riesgo mucho después de que se completa la verificación. Cuando nueva inteligencia indica que una verificación previamente aprobada puede ahora presentar riesgo, los clientes de Jumio son alertados de forma proactiva para que investiguen, lo que les permite tomar medidas después del evento inicial de incorporación y verificación, y cerrar una importante brecha en los enfoques tradicionales de verificación de identidad.

Riesgos de Identidad: Cómo funciona Jumio Watch

El producto opera sobre el Jumio Identity Graph, una red que analiza continuamente patrones y conexiones de decenas de millones de identidades en múltiples empresas e industrias a nivel global. Los patrones de fraude detectados en un cliente alimentan y agudizan las evaluaciones de riesgo del resto de la plataforma.

Las capacidades clave incluyen marcado posterior a la verificación —las verificaciones aprobadas en el onboarding se reevalúan en forma continua—, alertas diarias proactivas para equipos de fraude y cumplimiento, y gestión de riesgo de toda la cartera de clientes. Los equipos de investigación acceden a un portal con visibilidad detallada de cada alerta y controles de acceso por usuario.

“El riesgo evoluciona, y también debería hacerlo tu estrategia de identidad”, dijo Bala Kumar, presidente y director de producto y tecnología de Jumio. “Con Jumio Watch, le estamos dando a nuestros clientes algo que la industria nunca ha ofrecido: no solo detección de riesgo en el onboarding, sino la capacidad de detectar riesgos que solo se hacen visibles con el tiempo.”

La misma lógica que impulsa Jumio Watch sustenta otro concepto central que Atassi destacó para 2026: la identidad reutilizable. La idea es directa: un usuario verifica su identidad una sola vez y puede reutilizar esa verificación para acceder a múltiples servicios o instituciones sin repetir el proceso. Según el análisis de tendencias de Jumio para 2026, este modelo opera sobre la misma infraestructura del Identity Graph, que reúne decenas de millones de transacciones legítimas y fraudulentas en múltiples industrias para afinar cada decisión de riesgo.

Jumio Watch está diseñado para los equipos en la primera línea del riesgo de identidad: investigadores de fraude, analistas de cumplimiento, líderes de riesgo y equipos de seguridad en servicios financieros, criptomonedas, gaming y plataformas de mercado.

Jumio Watch está disponible desde ahora, con nuevas capacidades planificadas a lo largo de 2026. Más información en www.jumio.com/es.

La entrada Jumio: los riesgos de identidad van más allá del onboarding se publicó primero en ZonaCISO.

Según el estudio Reporte Global sobre el Panorama de Amenazas 2026 de FortiGuard Labs, la unidad de inteligencia de Fortinet, Chile registró 8,8 billones de intentos de ciberataques durante 2025, posicionándose como el cuarto país más afectado de América Latina, detrás de Brasil, México y Colombia. De ese total, 5 billones correspondieron a escaneos activos. La cifra contrasta radicalmente con los 27.600 millones de intentos registrados en el país durante 2024, lo que evidencia una escalada sin precedentes en la actividad maliciosa dirigida al mercado local.

El informe, elaborado exclusivamente a partir de telemetría propia y analizado bajo el marco MITRE ATT&CK, sitúa a Chile dentro de un panorama regional que totaliza 843,3 billones de intentos de ciberataques en Latinoamérica durante 2025. El reporte documenta además un cambio estructural en la naturaleza del cibercrimen: los actores maliciosos ya no operan mediante campañas aisladas, sino como ecosistemas organizados que cubren el ciclo completo de una amenaza, apoyados crecientemente en agentes de IA.

Ransomware: 389% más víctimas

Uno de los hallazgos más críticos del reporte es el crecimiento exponencial de las víctimas de ransomware. La inteligencia de FortiRecon identificó 7.831 víctimas confirmadas a nivel global en 2025, frente a aproximadamente 1.600 del año anterior, lo que representa un incremento del 389% año con año. Este salto está impulsado en parte por la disponibilidad masiva de kits de cibercrimen basados en inteligencia artificial como WormGPT, FraudGPT e IA de fuerza bruta, comercializados como servicios en la dark web.

Los sectores más afectados fueron manufactura con 1.284 casos, servicios financieros con 824 y comercio con 682. Geográficamente, Estados Unidos concentró 3.381 víctimas, seguido de Canadá con 374 y Alemania con 291.

La IA reduce el tiempo de explotación

El reporte de FortiGuard Labs documenta una reducción drástica en el tiempo de explotación (TTE) de vulnerabilidades. Reportes anteriores marcaban un TTE de 4,7 días; hoy, la inteligencia de FortiGuard registra un TTE de 24 a 48 horas para ataques críticos. Un caso ilustrativo: los intentos de explotación activos de la vulnerabilidad React2Shell se produjeron a horas de su revelación pública.

Esta aceleración está vinculada directamente al uso de agentes de IA por parte de los threat actors, que automatizan reconocimiento, explotación y ejecución. En paralelo, la telemetría de FortiGate IPS detectó una reducción del 22% en ataques de fuerza bruta, señal no de menor actividad, sino de mayor precisión: menos intentos contra objetivos mejor seleccionados. En términos absolutos, esto equivale a cerca de 67,6 billones de eventos de fuerza bruta globales, con aproximadamente 185 millones de intentos diarios.

Para Derek Manky, VP Global de Inteligencia de Amenazas en FortiGuard Labs, el mensaje para los equipos de defensa es directo: “Los ciber defensores deben evolucionar las operaciones de ciberseguridad hacia una defensa industrializada y adoptar herramientas impulsadas por IA que respondan a la misma velocidad de las amenazas modernas.” En un entorno donde el margen entre la exposición de una vulnerabilidad y su explotación activa se mide en horas, la velocidad de detección y respuesta deja de ser una ventaja competitiva para convertirse en un requisito operacional.

Fuente: Fortinet / FortiGuard Labs

La entrada Fortinet: Chile registra 8,8 billones de ciberataques en 2025 se publicó primero en ZonaCISO.