Newsletter de IA y ciberseguridad
La IA está cambiando el ataque y la defensa: prompt injection, jailbreaks, agentic AI con permisos peligrosos, modelos que filtran datos sensibles, regulación europea. Cada día contamos lo que importa en seguridad de IA: vulnerabilidades reales en LLMs y agentes, lanzamientos de modelos con impacto en el threat model, papers de prompt injection que rompen producto en producción, y herramientas defensivas (guardrails, OWASP LLM Top 10, evaluations). No hablamos de hype — hablamos de incidentes, CVE en infraestructura de IA, y de cómo cambia el trabajo de un equipo de seguridad cuando GitHub Copilot, ChatGPT y los agentes están en el SDLC. Newsletter gratis, una historia técnica al día.
Últimos artículos sobre IA
npm malicioso apunta al directorio de Claude AI
El paquete npm `mouse5212-super-formatter` roba archivos del directorio de Claude AI y los exfiltra a GitHub.
ChatGPhish: resúmenes web de ChatGPT como vector de phishing
El renderizador de chatgpt.com confía en Markdown de páginas externas, convirtiendo resúmenes web en vector de phishing vía prompt injection.
Claude Mythos llega al público: qué implica para seguridad
Anthropic confirma el despliegue público de los modelos Claude Mythos-class, retrasados por riesgos de seguridad en software.
GreyVibe: IA comercial al servicio del ciberespionaje ruso
El cluster ruso GreyVibe usa ChatGPT y Gemini para fabricar señuelos de phishing contra entidades ucranianas.
ChatGPT share links usados para distribuir malware
Actores de amenaza usan links de chat.openai.com para mostrar páginas falsas de outage de OpenAI que descargan malware disfrazado de app de escritorio.
Mythos detecta 23.000 vulns en 1.000 proyectos OSS
Mythos, el agente IA de Anthropic, detectó 23.000 vulnerabilidades potenciales en 1.000 proyectos open source; muchas ya confirmadas como críticas.
Microsoft abre RAMPART y Clarity para auditar agentes IA
Microsoft publica RAMPART y Clarity, dos frameworks open-source para testear la seguridad de agentes IA en el ciclo de desarrollo.
Claude Mythos llega a Claude Code pese a sus riesgos de seguridad
Anthropic prepara el despliegue de Claude Mythos en Claude Code, un modelo restringido por sus riesgos de seguridad sobre software público y privado.
Preguntas frecuentes sobre IA
¿Qué es la prompt injection?
La prompt injection es una técnica que manipula la entrada de un LLM (ChatGPT, Claude, Gemini) para alterar sus instrucciones originales y conseguir que actúe fuera del comportamiento previsto. Puede llegar directamente del usuario o de fuentes externas (indirect prompt injection). Es la primera categoría del OWASP LLM Top 10.
¿En qué se diferencia un agente IA de un chatbot?
Un agente IA tiene herramientas (tools) y permisos para actuar: leer ficheros, enviar emails, ejecutar código, hacer llamadas a APIs. Esa autonomía amplifica el blast radius de cualquier prompt injection — un chatbot devuelve texto, un agente puede borrar tu repo. Por eso requieren guardrails específicos.
¿Qué cubre OWASP LLM Top 10?
Cubre los 10 riesgos más críticos en aplicaciones que integran LLMs: LLM01 Prompt Injection, LLM02 Insecure Output Handling, LLM03 Training Data Poisoning, LLM04 Model Denial of Service, LLM05 Supply Chain Vulnerabilities, LLM06 Sensitive Information Disclosure, LLM07 Insecure Plugin Design, LLM08 Excessive Agency, LLM09 Overreliance, LLM10 Model Theft.








