AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Filtraciones de datos en grandes empresas de IA, botín del ransomware Akira y la Operación Endgame: claves del panorama de ciberamenazas de junio

admin

#### Introducción

El mes de junio ha estado marcado por una serie de incidentes relevantes en el ámbito de la ciberseguridad, destacando filtraciones de datos protagonizadas por grandes compañías de inteligencia artificial, la consolidación del ransomware Akira como una de las amenazas más lucrativas del año y la ejecución de la Operación Endgame, dirigida a desmantelar infraestructuras asociadas a algunas de las familias de malware más activas. A continuación, se analizan en profundidad los detalles técnicos, riesgos y lecciones extraídas de estos acontecimientos, dirigidas a responsables de seguridad, analistas y profesionales del sector.

#### Contexto del Incidente o Vulnerabilidad

En las últimas semanas, varias empresas líderes en el sector de la inteligencia artificial han sido protagonistas de exposiciones involuntarias de datos sensibles. Estas fugas han coincidido con una escalada en la actividad del ransomware Akira, que ha conseguido exfiltrar millones de euros a través de campañas dirigidas a organizaciones de distintos sectores, principalmente en Europa y Norteamérica. Asimismo, la Operación Endgame, coordinada por fuerzas de seguridad europeas y estadounidenses, ha logrado desarticular redes de distribución para malware como IcedID, SystemBC, Pikabot, Smokeloader y Bumblebee, afectando significativamente al ecosistema de cibercrimen.

#### Detalles Técnicos

##### Filtraciones en Empresas de IA

Las filtraciones han estado vinculadas a configuraciones erróneas de buckets S3 de Amazon y bases de datos expuestas de forma pública, afectando a empresas como OpenAI, Anthropic y Cohere. Entre los datos expuestos se encuentran modelos de entrenamiento, API keys, credenciales internas y, en algunos casos, información de usuarios finales. Según análisis independientes, más del 30% de los repositorios de datos de las principales firmas de IA presentan vulnerabilidades de acceso.

##### Ransomware Akira

Akira ha explotado principalmente vulnerabilidades en servicios VPN y RDP sin parchear (CVE-2023-34362, CVE-2023-0669), empleando tácticas de doble extorsión: cifrado de datos y amenaza de divulgación pública. Los ataques han seguido el framework MITRE ATT&CK, destacando técnicas como Initial Access (T1078), Lateral Movement (T1021) y Exfiltration Over Web Service (T1567). Se han detectado variantes de Akira integradas en herramientas como Cobalt Strike y Metasploit para la post-explotación y persistencia. Según Chainalysis, el grupo ha recaudado más de 42 millones de dólares desde su aparición en 2023.

##### Operación Endgame

La operación ha supuesto la incautación de más de 100 servidores de C2 y la detención de varios individuos en Alemania, Países Bajos y Ucrania. Se han analizado IoC clave, como dominios y direcciones IP asociadas a los botnets desmantelados, y se ha identificado el uso de loaders personalizados y técnicas de evasión avanzadas, incluyendo la ofuscación mediante packers y la inyección de DLLs en procesos legítimos.

#### Impacto y Riesgos

La exposición de datos en empresas de IA representa un riesgo significativo tanto para la propiedad intelectual como para la privacidad de los usuarios, comprometiendo la confianza en el sector y exponiendo a los afectados a ataques de ingeniería social o spear phishing. Por su parte, el ransomware Akira continúa afectando a organizaciones de todos los tamaños, con un coste medio de recuperación que supera los 4 millones de euros por incidente, según el informe anual de ENISA. Las operaciones policiales, aunque suponen un golpe a la infraestructura criminal, podrían provocar la migración de los actores hacia otras plataformas y el desarrollo de nuevas variantes de malware.

#### Medidas de Mitigación y Recomendaciones

– **Para empresas de IA:** Revisión periódica de permisos en servicios cloud, implementación de escáneres automáticos de exposición (Shodan, Censys) y segmentación de datos sensibles.
– **Frente a ransomware Akira:** Parchado inmediato de vulnerabilidades conocidas, autenticación multifactor en todos los accesos remotos, monitorización de comportamientos anómalos en endpoints y despliegue de EDR con capacidades de respuesta automatizada.
– **Tras la Operación Endgame:** Actualización de blocklists con los IoC publicados, revisión de logs en busca de conexiones con los C2 desmantelados y formación continua en ciberamenazas emergentes.

#### Opinión de Expertos

Especialistas como Mikko Hyppönen (WithSecure) y Costin Raiu (Kaspersky GReAT) coinciden en que la madurez de los atacantes y la sofisticación de las campañas ransomware están estrechamente ligadas a la explotación de debilidades humanas y técnicas, mientras que la cooperación internacional es clave para frenar la escalada del cibercrimen. No obstante, alertan de una inminente profesionalización de los actores tras el vacío dejado por la Operación Endgame.

#### Implicaciones para Empresas y Usuarios

Las empresas deben reforzar sus políticas de seguridad, priorizando la protección de los datos y la respuesta ante incidentes. El cumplimiento normativo (GDPR, NIS2) se vuelve aún más crucial en un contexto de amenazas persistentes y sanciones económicas cada vez más elevadas. Para los usuarios, la concienciación sobre el uso seguro de la IA y la protección de credenciales personales es una barrera esencial.

#### Conclusiones

El mes de junio evidencia la convergencia de riesgos en torno a la inteligencia artificial, el ransomware y la cibercriminalidad organizada. La prevención, basada en la anticipación y la colaboración público-privada, será determinante para frenar el avance de las amenazas y proteger los activos críticos en el nuevo escenario digital.

(Fuente: www.welivesecurity.com)