Estas son las vulnerabilidades de seguridad y técnicas de ataque más importantes

20. Marzo 2025
| No hay comentarios
Estas son las vulnerabilidades de seguridad y técnicas de ataque más importantes
Anzeige

Compartir publicación

El número de vulnerabilidades de seguridad reportadas aumentó un 2024 por ciento en 38. A medida que aumenta la dependencia de los sistemas de software, también lo hace la superficie de ataque. JFrog explica los mayores riesgos de seguridad en 2024 y las formas de aumentar la resiliencia en 2025.

La creciente interconexión y dependencia de los sistemas de software ha ampliado significativamente la superficie de ataque de las amenazas cibernéticas. En 2024, el número de vulnerabilidades reportadas alcanzó un nuevo máximo, con más de 40.000 CVE, un impresionante aumento del 38 por ciento. El siguiente análisis, basado en los hallazgos del equipo de investigación de seguridad de JFrog, destaca las vulnerabilidades de seguridad y las técnicas de ataque más significativas del año, muestra su impacto y brinda una perspectiva sobre las medidas necesarias para superar los desafíos futuros.

Anzeige

Panorama de las amenazas más importantes

1. Ataques a la cadena de suministro en proyectos confiables de código abierto

El compromiso de la herramienta de código abierto ampliamente utilizada XZ Utils sorprendió a la comunidad de desarrolladores. Los atacantes introdujeron de contrabando un código de puerta trasera ofuscado en un paquete que de otro modo sería confiable, obteniendo acceso SSH remoto no autorizado. El caso resalta la urgencia de realizar revisiones estrictas del código y aumentar la vigilancia, incluso en proyectos establecidos.

2. Vulnerabilidades en las plataformas de aprendizaje automático

El triunfo de las tecnologías de IA abre nuevos vectores de ataque. La investigación identificó dos obstáculos principales en las plataformas MLOps: riesgos inherentes de carga de modelos y errores de implementación. Ambas vulnerabilidades pueden permitir a los atacantes ejecutar código arbitrario y hacen que sean esenciales políticas de seguridad sólidas.

Anzeige

Suscríbete al boletín ahora

Lea las mejores noticias de SEGURIDAD CIBERNÉTICA B2B una vez al mes



Al hacer clic en "Registrarse", acepto el procesamiento y uso de mis datos de acuerdo con la declaración de consentimiento (abra para más detalles). Puedo encontrar más información en nuestro Política de privacidad . Después de registrarse, primero recibirá un correo electrónico de confirmación para que ninguna otra persona pueda pedir algo que no desea.
Ampliar para obtener detalles sobre su consentimiento
No hace falta decir que tratamos sus datos personales de forma responsable. Si recopilamos datos personales suyos, los procesamos de conformidad con las normas de protección de datos aplicables. Puede encontrar información detallada en nuestro Política de privacidad . Puedes darte de baja del newsletter en cualquier momento. Puede encontrar el enlace correspondiente en el boletín. Después de darse de baja, sus datos se eliminarán lo más rápido posible. La restauración no es posible. Si desea volver a recibir el boletín, simplemente vuelva a solicitarlo. Haga lo mismo si desea utilizar una dirección de correo electrónico diferente para su boletín. Si desea recibir el boletín informativo que se ofrece en el sitio web, necesitamos su dirección de correo electrónico, así como información que nos permita verificar que usted es el propietario de la dirección de correo electrónico proporcionada y que acepta recibir el boletín. No se recopilan más datos o solo se recopilan de forma voluntaria. Para procesar el boletín utilizamos proveedores de servicios de boletín, que se describen a continuación.

CleverReach

Este sitio web utiliza CleverReach para enviar boletines. El proveedor es CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Alemania (en adelante, "CleverReach"). CleverReach es un servicio que se puede utilizar para organizar y analizar la distribución de boletines. Los datos que introduce para recibir el boletín (por ejemplo, dirección de correo electrónico) se almacenan en los servidores de CleverReach en Alemania e Irlanda. Nuestros boletines enviados con CleverReach nos permiten analizar el comportamiento de los destinatarios del boletín. Esto puede incluir, entre otras cosas: Analiza cuántos destinatarios abrieron el mensaje del boletín y con qué frecuencia se hizo clic en qué enlace del boletín. Con la ayuda del llamado seguimiento de conversiones también se puede analizar si se ha realizado una acción predefinida (por ejemplo, comprar un producto en este sitio web) después de hacer clic en el enlace del boletín. Puede encontrar más información sobre el análisis de datos a través del boletín CleverReach en: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. El procesamiento de datos se basa en su consentimiento (Art. 6 Párr. 1 lit. a GDPR). Puede revocar este consentimiento en cualquier momento dándose de baja de la newsletter. La revocación no afectará a la legalidad de los tratamientos de datos ya realizados. Si no desea que CleverReach realice análisis, deberá darse de baja del boletín. Para ello, en cada mensaje del boletín ponemos a su disposición el enlace correspondiente. Los datos que nos proporcione con el fin de suscribirse al boletín serán almacenados por nosotros o por el proveedor del servicio del boletín hasta que se dé de baja del boletín y se eliminarán de la lista de distribución del boletín después de que se dé de baja del boletín. Los datos almacenados por nosotros para otros fines no se verán afectados. Una vez que se haya dado de baja de la lista de distribución del boletín, nosotros o el proveedor del servicio del boletín podemos almacenar su dirección de correo electrónico en una lista negra si esto es necesario para evitar futuros envíos. Los datos de la lista negra sólo se utilizarán para este fin y no se combinarán con otros datos. Esto sirve tanto para su interés como para el nuestro en el cumplimiento de los requisitos legales al enviar boletines informativos (interés legítimo en el sentido del art. 6, apartado 1, letra f del RGPD). El almacenamiento en la lista negra no está limitado en el tiempo. Puede oponerse al almacenamiento si sus intereses superan a nuestros intereses legítimos. Para obtener más información, consulte la política de privacidad de CleverReach en: https://www.cleverreach.com/de/datenschutz/.

Procesamiento de pedidos

Hemos concluido un contrato de procesamiento de pedidos (AVV) para el uso del servicio mencionado anteriormente. Este es un contrato requerido por la ley de protección de datos, que garantiza que los datos personales de los visitantes de nuestro sitio web solo se procesen de acuerdo con nuestras instrucciones y de conformidad con el RGPD.

3. Malware en Docker Hub

Se descubrieron más de 4,6 millones de repositorios maliciosos en Docker Hub, diseñados para atraer a los usuarios a sitios de phishing o distribuir malware. Esto subraya la importancia de revisar cuidadosamente las imágenes de Docker y su documentación.

4. Credenciales expuestas: riesgos en la cadena de suministro de PyPI

Un token de administrador filtrado para el repositorio de Python demostró el peligro de unos controles de acceso inadecuadamente protegidos. Estos incidentes resaltan la importancia de contar con permisos optimizados y herramientas automatizadas para proteger datos confidenciales.

5. Ataques de inyección rápida en bibliotecas de IA

Una vulnerabilidad en la biblioteca Vanna.AI permitía la ejecución remota de código a través de indicaciones de comando creadas específicamente para este propósito. Esto demuestra la necesidad de establecer mecanismos de validación estrictos al integrar IA.

6. Modelos de IA maliciosos en Hugging Face

Un modelo cargado en Hugging Face contenía una puerta trasera oculta que otorgaba a los atacantes acceso total a los sistemas comprometidos. A pesar de las medidas de seguridad existentes, proteger los repositorios de IA sigue siendo un desafío, especialmente contra la manipulación dirigida.

7. Secuestro de paquetes de PyPI

La técnica “Revival Hijack” explotó debilidades en las políticas de PyPI para secuestrar nombres de paquetes eliminados e inyectar código malicioso. Estos incidentes ponen de relieve la necesidad de establecer mejores mecanismos de protección a nivel de registro.

8. Exploits en bibliotecas gráficas

Las vulnerabilidades en el protocolo libX11 de X.Org, incluidos desbordamientos de búfer y bucles infinitos, podrían explotarse para ataques de denegación de servicio o ejecución remota de código. Este caso demuestra los riesgos que plantean las bibliotecas obsoletas o mal mantenidas.

Lecciones para 2025

El año 2024 ha demostrado que la creciente complejidad de los ciberataques hace que las medidas de seguridad proactivas sean esenciales. Para proteger mejor la cadena de suministro de software y los proyectos de código abierto, son esenciales las revisiones de código automatizadas, los principios de seguridad primero y los controles de acceso sólidos. La colaboración dentro de la comunidad de desarrolladores será crucial este año para solucionar las vulnerabilidades más rápidamente y compartir las mejores prácticas. La prevención, la cooperación y la innovación son claves para que los ecosistemas digitales sean más resilientes y seguros.

Más en JFrog.com

 

Acerca de JFrog

Nos propusimos con Liquid Software en 2008 transformar la forma en que las empresas administran y publican actualizaciones de software. El mundo espera que el software se actualice de forma continua, segura, discreta y sin intervención del usuario. Esta experiencia hiperconectada solo puede habilitarse mediante la automatización con una plataforma DevOps de extremo a extremo y un enfoque centrado en binario.

 

Artículos relacionados con el tema

Cada segundo atacante inicia sesión en la red de la empresa.

Las credenciales comprometidas son la principal causa de ataques cibernéticos por segundo año consecutivo. El informe de adversarios activos de Sophos muestra que ➡ Leer más

Los delincuentes utilizan herramientas RMM para inyectar malware

Los ciberdelincuentes abusan cada vez más de herramientas de monitorización y gestión remotas (RMM) que en realidad están diseñadas para el mantenimiento remoto. De esta manera penetran a través de ➡ Leer más

Fuente de datos segura con Zero Trust para IA en Google Cloud

Rubrik Annapurna y Google Agentspace permiten a las empresas acceder, movilizar, administrar y proteger de forma segura los datos de IA en Google ➡ Leer más

Hombre vs. Máquina: La carrera por la supremacía en la ciberseguridad

Las ventajas de la IA en la ciberseguridad son obvias: la IA está disponible las 24 horas del día y procesa automáticamente los datos. ➡ Leer más

Verificación crítica de datos sobre la Ley CLOUD de EE. UU., la FISA y el Marco de Privacidad de Datos

Seguridad de datos vs. seguridad jurídica: Debido a la realidad política en EE. UU., las empresas deben evaluar la transferencia transatlántica de datos y las posibles ➡ Leer más

Defensa contra ataques DDoS con IA/ML

Para defenderse mejor de los ataques DDoS cada vez mayores, un proveedor líder de soluciones de ciberseguridad ha ampliado su solución de protección DDoS adaptativa con ➡ Leer más

Asegurando la cadena de suministro de software para la Ley de Ciberresiliencia

En los últimos años, los gerentes de seguridad de TI y sus equipos han tenido que lidiar cada vez más con los riesgos cibernéticos asociados con las cadenas de suministro de software de sus proveedores. ➡ Leer más

La IA multimodal mejora la ciberdefensa

Mejores tasas de reconocimiento al utilizar IA multimodal: en lugar de analizar eventos individuales, la IA multimodal examina simultáneamente flujos de datos completos, evalúa imágenes y ➡ Leer más

Noticias de prensa
, , , , , ,