Cuarenta minutos de exposición

Una coalición bipartidista de legisladores ha presentado la Government Surveillance Reform Act, el intento más ambicioso en una década de reescribir las reglas que rigen cómo las agencias federales vigilan a los estadounidenses en la era de la IA. El proyecto, patrocinado por los senadores Ron Wyden (D-OR) y Mike Lee (R-UT) y los representantes Zoe Lofgren (D-CA) y Warren Davidson (R-OH), exigiría órdenes judiciales para que el gobierno acceda a datos de ubicación, historial de navegación web, búsquedas y registros de chatbots de los estadounidenses (Fuente: Office of Senator Mike Lee).

La legislación apunta directamente al vacío legal de los data brokers — una brecha que permite a agencias como ICE y el FBI comprar datos de vigilancia masiva a intermediarios comerciales sin supervisión judicial. Las agencias federales técnicamente tienen prohibido recolectar datos de ciudadanos estadounidenses en masa desde un cambio de política en 2015, pero comprarlos a terceros ha funcionado como un atajo alrededor de la Cuarta Enmienda.

El CEO de Anthropic, Dario Amodei, advirtió al Congreso que los registros que el gobierno puede comprar a intermediarios pueden ser usados por la IA para ensamblar "un retrato completo de la vida de cualquier persona — automáticamente y a escala masiva" (Fuente: NPR).

El proyecto también reforma la Sección 702 de la Foreign Intelligence Surveillance Act, que autoriza la vigilancia masiva de no ciudadanos, pero ha funcionado durante mucho tiempo como puerta trasera para búsquedas sin orden judicial de las comunicaciones de estadounidenses. La autorización vigente de FISA expira el 20 de abril, y el debate de renovación tiene nueva urgencia a medida que la IA automatiza el análisis de los datos recolectados.

"Esta es una autoridad increíblemente peligrosa de tener tan irrestricta como está", dijo Matthew Guariglia de la Electronic Frontier Foundation (Fuente: Salon).

Más de 130 organizaciones de la sociedad civil han firmado una carta instando al Congreso a cerrar el vacío de los data brokers en cualquier reautorización de la 702.

Un ataque a la cadena de suministro que duró aproximadamente 40 minutos se ha convertido en una de las mayores brechas de infraestructura de IA de 2026. El 27 de marzo, atacantes del grupo TeamPCP comprometieron LiteLLM — una biblioteca open-source presente en un estimado del 36% de los entornos cloud — publicando dos versiones maliciosas del paquete en PyPI que cosecharon API keys, credenciales SSH, secretos cloud y contraseñas de bases de datos de cada sistema que descargó la actualización (Fuente: SecurityWeek).

La startup de reclutamiento con IA Mercor confirmó estar entre las víctimas. El grupo de extorsión Lapsus$ ahora subasta lo que afirma que son 4 terabytes de datos robados de Mercor, incluyendo 939 gigabytes de código fuente de la plataforma, una base de datos de usuarios de 211 gigabytes, y aproximadamente tres terabytes de grabaciones de entrevistas en video y documentos de verificación de identidad. El botín robado supuestamente incluye perfiles de candidatos, datos de empleadores, API keys y registros de Tailscale VPN (Fuente: Hackread).

La cadena de ataque comenzó cuando TeamPCP primero comprometió el escáner de seguridad Trivy para obtener credenciales de un mantenedor de LiteLLM, y luego usó esas credenciales para inyectar código malicioso en las versiones 1.82.7 y 1.82.8. Ambas variantes exfiltraron todo a un servidor en models.litellm.cloud.

LiteLLM procesa millones de descargas diarias, y aunque las versiones maliciosas estuvieron activas solo 40 minutos, los pipelines automatizados de CI/CD en miles de organizaciones probablemente descargaron los paquetes contaminados (Fuente: TechCrunch).

Meta supuestamente congeló el trabajo de datos de IA con Mercor mientras dura la investigación.

Un estudio extenso del Mount Sinai Health System y la Mayo Clinic, publicado en The Lancet Digital Health, encontró que 20 chatbots de IA líderes aceptaron afirmaciones médicas fabricadas el 31,7% de las veces — y que la susceptibilidad se disparó dramáticamente cuando la desinformación se presentó en lenguaje clínico que imitaba la voz de un médico. Los investigadores bombardearon los modelos con más de 3,4 millones de prompts con desinformación de salud extraída de publicaciones en redes sociales, notas reales de alta hospitalaria sembradas con recomendaciones falsas y 300 viñetas simuladas validadas por médicos (Fuente: Mount Sinai Newsroom).

El estudio probó falacias lógicas — apelaciones a la autoridad, la popularidad y la emoción — para medir cómo el enmarcamiento retórico influía en el comportamiento del modelo. Cuando las mismas afirmaciones falsas se presentaron en un estilo casual y anecdótico común en los foros de salud de Reddit, la susceptibilidad cayó a solo el 9%. Pero viste la misma mentira con lenguaje clínico, completa con las señales de autoridad que los modelos asocian con profesionales médicos, y las barreras de seguridad se derrumbaron (Fuente: Science-Based Medicine).

Los hallazgos llegan cuando millones de pacientes recurren cada vez más a chatbots de IA para orientación médica. La organización sin fines de lucro de seguridad del paciente ECRI nombró el mal uso de chatbots de IA en salud como su principal peligro tecnológico para 2026.

Las salvaguardas actuales, concluye el estudio, no distinguen de forma confiable entre hechos y fabricaciones una vez que una afirmación se envuelve en lenguaje clínico familiar — creando lo que los investigadores describen como una tormenta perfecta en una era de confianza institucional en declive (Fuente: Euronews Health).

Google lanzó Gemma 4 el 2 de abril bajo la licencia Apache 2.0 — una primicia para la familia Gemma y un cambio significativo respecto a los términos de uso restringido que regían versiones anteriores. El movimiento convierte a Gemma 4 en el modelo de mayor capacidad que Google ha liberado como open-source, con cuatro tamaños que van de 2 mil millones a 31 mil millones de parámetros, entrenado en más de 140 idiomas, y con ventanas de contexto de hasta 256,000 tokens (Fuente: Google Open Source Blog).

Construido sobre la misma infraestructura de investigación que Gemini 3, Gemma 4 incluye soporte multimodal nativo (texto, imagen, video), entrada de audio nativa para reconocimiento de voz en los modelos más pequeños E2B y E4B, y razonamiento avanzado descrito como capaz de planificación en múltiples pasos. La licencia Apache 2.0 permite uso comercial, modificación y redistribución con atribución — eliminando la ambigüedad que mantenía a las versiones anteriores de Gemma con pesos abiertos en una zona gris legal para despliegue empresarial (Fuente: Google AI Blog).