Recuento
Las últimas semanas estuvieron marcadas por una intensa actividad en materia de vulnerabilidades, con un volumen inédito de actualizaciones y múltiples fallas críticas que ya están siendo explotadas.
El panorama de vulnerabilidades lo encabeza Microsoft con la publicación de 622 parches (contando los acumulados durante el último mes) durante su Patch Tuesday de julio, incluyendo tres vulnerabilidades de día cero, dos de ellas explotadas activamente en Active Directory Federation Services y SharePoint Server.
A ello se sumaron vulnerabilidades críticas en plataformas ampliamente utilizadas como SAP, Adobe ColdFusion, Zimbra, BeyondTrust, Ubiquiti, Gitea, Oracle E-Business Suite, Langflow, Cisco Unified CM y Microsoft Defender, además de advertencias por campañas activas dirigidas a CMS y extensiones de Joomla.
En el ámbito de las ciberamenazas, los ataques contra Microsoft 365 continuaron intensificándose mediante nuevas plataformas de phishing como servicio (PhaaS), campañas de vishing, técnicas para eludir la autenticación multifactor (MFA) y el robo de tokens de sesión.
También destacaron campañas de distribución de infostealers a través de GitHub, npm y PyPI, ataques contra la cadena de suministro de software, nuevas familias de malware para Android y macOS, y la aparición de JadePuffer, considerada la primera operación de ransomware ejecutada de forma completamente autónoma por un agente basado en inteligencia artificial.
Paralelamente, diversas operaciones internacionales permitieron detener a miles de ciberdelincuentes, sancionar proveedores vinculados al ransomware y desmantelar infraestructuras utilizadas para ocultar ataques.
Respecto a los riesgos de ciberseguridad, Microsoft anunció importantes cambios que impactarán la gestión de identidades y la seguridad de sus plataformas, entre ellos la adopción de passkeys como método predeterminado en Microsoft Entra ID, el endurecimiento de Windows 10, nuevas capacidades de recuperación para Windows 11 y una aceleración de su estrategia de criptografía poscuántica.
Estas medidas reflejan una tendencia clara hacia el fortalecimiento de la resiliencia, la eliminación de mecanismos de autenticación considerados inseguros y la preparación frente a amenazas emergentes.
1. Vulnerabilidades
Microsoft corrige 622 vulnerabilidades, incluidas tres fallas de día cero
Microsoft publicó su Patch Tuesday de julio de 2026 con correcciones para un récord de 622 vulnerabilidades, entre ellas 59 clasificadas como críticas. El conjunto incluye fallas de elevación de privilegios, ejecución remota de código, divulgación de información, denegación de servicio, suplantación y evasión de mecanismos de seguridad distribuidas en múltiples productos.
Tres vulnerabilidades de día cero fueron corregidas en esta actualización. Dos estaban siendo explotadas activamente: una en Active Directory Federation Services (CVE-2026-56155) y otra en Microsoft SharePoint Server (CVE-2026-56164). La tercera, CVE-2026-50661, permitía eludir BitLocker mediante acceso físico al equipo. Microsoft también destacó actualizaciones publicadas por otros fabricantes para diversas plataformas empresariales.
Nota: en algunos portales se hablan de 570 parches. En esta publicación se consideran las correcciones acumuladas durantes el último mes, lo que eleva la cifra a 622.
Zimbra corrige vulnerabilidad crítica XSS en su cliente web clásico
Zimbra instó a sus clientes a actualizar de inmediato la versión Classic Web Client tras corregir una vulnerabilidad crítica de tipo Cross-Site Scripting (XSS) almacenado. La falla, corregida en Zimbra Collaboration Suite 10.1.19, permite que correos electrónicos especialmente diseñados ejecuten código malicioso al ser abiertos por el usuario, comprometiendo la seguridad de las sesiones y la información almacenada.
La vulnerabilidad aún no cuenta con un identificador CVE, pero fue reportada por Google Threat Analysis Group. Aunque Zimbra indicó que no existen evidencias de explotación activa, recordó que vulnerabilidades similares han sido utilizadas anteriormente por grupos vinculados a Rusia para comprometer servidores, robar credenciales y acceder a correos electrónicos de organismos gubernamentales y organizaciones internacionales.
Vulnerabilidad crítica en Gitea Docker ya está siendo explotada
Investigadores confirmaron la explotación activa de una vulnerabilidad crítica de omisión de autenticación (CVE-2026-20896) que afecta a la imagen oficial de Docker de Gitea. El problema permite que un atacante suplante cualquier usuario, incluidos administradores, enviando un encabezado HTTP especialmente preparado cuando la plataforma mantiene la configuración predeterminada de confianza en proxies inversos.
La falla afecta a las imágenes oficiales hasta la versión 1.26.2 y ya fue observada en ataques reales pocos días después de su divulgación. Los mantenedores publicaron las versiones 1.26.3 y 1.26.4 para corregir el problema, mientras que diversas agencias recomendaron limitar las direcciones IP de confianza para los proxies, revisar registros de acceso y actualizar inmediatamente las instalaciones expuestas.
Progress solicita apagar servidores ShareFile por amenaza de seguridad
Progress Software solicitó a los administradores de ShareFile con Storage Zone Controllers apagar de inmediato los servidores locales tras detectar una amenaza de seguridad externa considerada creíble. La compañía suspendió temporalmente el acceso a las cuentas que utilizan esta infraestructura híbrida mientras investiga el incidente junto a especialistas internos y externos en ciberseguridad.
La empresa indicó que, hasta el momento, no existen indicios de accesos no autorizados a cuentas o datos de clientes, aunque enfatizó que deshabilitar el servicio desde la nube no es suficiente y que los servidores deben apagarse manualmente. Progress no confirmó si el incidente involucra una vulnerabilidad de día cero ni si existen sistemas comprometidos.
Seis vulnerabilidades en U-Boot podrían comprometer el arranque del firmware
Investigadores de Binarly identificaron seis vulnerabilidades en el cargador de arranque U-Boot que podrían permitir la ejecución de código durante el proceso de inicio del dispositivo. Dos de las fallas posibilitan la ejecución arbitraria de código y las restantes provocan condiciones de denegación de servicio, afectando el mecanismo encargado de verificar la integridad del firmware antes de iniciar el sistema operativo.
Las vulnerabilidades afectan código presente desde la versión 2013.07 de U-Boot y podrían impactar decenas de versiones utilizadas en servidores, dispositivos IoT, equipos industriales y sistemas de red. Los mantenedores del proyecto aceptaron los parches, aunque cada fabricante deberá incorporarlos a sus propias actualizaciones de firmware antes de distribuirlas a los usuarios.
Australia alerta sobre campaña global que explota vulnerabilidades en plataformas CMS
El Centro Australiano de Ciberseguridad (ACSC) advirtió sobre una campaña de explotación masiva que afecta a sistemas de gestión de contenidos (CMS) y sus complementos. La actividad ha impactado a numerosas pequeñas y medianas empresas en Australia, donde los atacantes aprovechan vulnerabilidades conocidas en plataformas como WordPress, Craft CMS, MaxSite CMS, MetInfo CMS y Joomla para instalar webshells en servidores comprometidos.
La agencia identificó múltiples fallas explotadas en plugins y componentes de estos CMS, permitiendo a los atacantes mantener acceso persistente, robar credenciales, desplegar malware adicional y avanzar dentro de las redes afectadas. El ACSC recomendó aplicar las actualizaciones disponibles, eliminar componentes innecesarios, restringir permisos de escritura, supervisar la creación de archivos sospechosos y fortalecer la configuración de los servidores web.
CISA alerta por vulnerabilidades críticas explotadas en extensiones de Joomla
La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) advirtió sobre la explotación activa de dos vulnerabilidades de carga arbitraria de archivos en las extensiones iCagenda y Balbooa Forms para Joomla. Ambas fallas permiten la ejecución remota de código (RCE) mediante la carga de archivos maliciosos, lo que puede derivar en el control total de los sitios web afectados.
Las vulnerabilidades, identificadas como CVE-2026-48939 y CVE-2026-56291, fueron incorporadas al catálogo de Vulnerabilidades Explotadas Conocidas (KEV), mientras que las agencias federales recibieron un plazo de tres días para aplicar las mitigaciones correspondientes. Los fabricantes ya publicaron versiones corregidas y se confirmó que ambas fallas fueron utilizadas en ataques automatizados antes de la disponibilidad de los parches.
SAP corrige fallas críticas en NetWeaver, Commerce Cloud y AppRouter
SAP publicó su paquete de actualizaciones de seguridad de julio de 2026, corrigiendo 16 vulnerabilidades en distintos productos. Entre ellas destacan tres fallas críticas: una corrupción de memoria en NetWeaver AS ABAP (CVE-2026-44747), una vulnerabilidad de HTTP Request Smuggling en SAP AppRouter (CVE-2026-27690) y credenciales predeterminadas en SAP Commerce Cloud (CVE-2026-44761) que podrían permitir el acceso no autorizado a APIs y datos.
Las actualizaciones también incluyen correcciones para seis vulnerabilidades de alta severidad, siete de severidad media y una de baja, relacionadas con ejecución remota de código, inyección SQL, XSS, denegación de servicio, divulgación de información y errores de configuración. SAP indicó que no existen evidencias de explotación activa de estas fallas, aunque recordó que CISA ha incorporado 14 vulnerabilidades de la compañía a su catálogo de vulnerabilidades explotadas desde 2021.
Ubiquiti corrige siete fallas críticas en UniFi OS
Ubiquiti publicó actualizaciones de seguridad para corregir siete vulnerabilidades críticas en UniFi OS, incluida la falla CVE-2026-50746, con severidad máxima. El problema afecta a UniFi Connect Application 3.4.16 y versiones anteriores, permitiendo que un atacante con acceso a la red ejecute inyección de comandos en el dispositivo. La empresa recomienda actualizar a la versión 3.4.20 o superior.
Además, fueron corregidas otras seis vulnerabilidades críticas que impactan aplicaciones UniFi Talk, UniFi Access, UniFi Protect, UniFi OS Server y diversos routers, gateways, NAS y sistemas de videovigilancia. Censys identifica más de 100.000 instancias de UniFi OS expuestas en Internet. Ubiquiti indicó que no tiene evidencia de explotación activa antes de la publicación de los parches.
CISA ordena corregir vulnerabilidad explotada en Langflow
La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) ordenó a las agencias federales aplicar antes del viernes los parches para la vulnerabilidad CVE-2026-55255 en Langflow. La falla corresponde a un problema de autorización tipo IDOR que permite a usuarios autenticados acceder a flujos pertenecientes a otros usuarios mediante solicitudes manipuladas.
Sysdig informó que la vulnerabilidad ya estaba siendo explotada desde el 25 de junio con fines de ejecución de código e instalación de malware adicional. CISA incorporó el fallo a su catálogo KEV por su explotación activa y recordó que Langflow ya había registrado otras vulnerabilidades explotadas, incluyendo CVE-2025-3248 y CVE-2026-33017.
Microsoft corrige la vulnerabilidad RoguePlanet en Defender
Microsoft publicó una actualización para corregir la vulnerabilidad de día cero RoguePlanet (CVE-2026-50656), que afecta a Microsoft Defender. El fallo permitía obtener privilegios SYSTEM mediante una condición de carrera en equipos con Windows 10 y Windows 11 completamente actualizados. La vulnerabilidad fue divulgada públicamente tras el Patch Tuesday de junio.
La corrección fue distribuida mediante la actualización 1.1.26060.3008 del Microsoft Malware Protection Engine, componente utilizado por las soluciones de seguridad de la compañía. Microsoft había confirmado previamente que trabajaba en un parche, aunque no atribuyó el hallazgo al investigador que publicó la prueba de concepto junto con el exploit.
BeyondTrust corrige fallas críticas de autenticación en Remote Support y PRA
BeyondTrust advirtió sobre dos vulnerabilidades críticas en sus plataformas Remote Support (RS) y Privileged Remote Access (PRA) que permiten eludir mecanismos de autenticación y obtener acceso no autorizado a los sistemas. Identificadas como CVE-2026-40138 y CVE-2026-40139, afectan a las versiones 25.3.2 o anteriores y pueden ser explotadas bajo configuraciones específicas de autenticación.
La compañía también corrigió otras dos vulnerabilidades de alta severidad relacionadas con denegación de servicio y acceso indebido a recursos restringidos. Los clientes en la nube ya recibieron las actualizaciones, mientras que quienes administran instalaciones locales deben aplicar los parches o actualizar a las versiones 25.3.3 o superiores. Shadowserver monitorea cerca de 2 mil instancias expuestas de estos productos en Internet.
Januscape: vulnerabilidad de 16 años permite escapar de máquinas virtuales Linux
Investigadores revelaron Januscape (CVE-2026-53359), una vulnerabilidad presente durante aproximadamente 16 años en el kernel de Linux que permite escapar de una máquina virtual y ejecutar código como administrador en el servidor anfitrión. La falla afecta al subsistema KVM/x86 y puede comprometer todos los sistemas virtuales alojados en un mismo servidor físico.
El problema fue corregido en junio de 2026, tras ser utilizado como vulnerabilidad de día cero dentro del programa kvmCTF de Google. El investigador Hyunwoo Kim publicó un análisis técnico y una prueba de concepto que demuestra cómo provocar una caída del sistema anfitrión. Además, señaló que la falla puede combinarse con otras vulnerabilidades para lograr un compromiso completo del equipo.
Descubren puerta trasera oculta en firmware de routers Tenda
El CERT Coordination Center informó la existencia de una puerta trasera de autenticación en múltiples versiones del firmware de routers Tenda, identificada como CVE-2026-11405. El mecanismo permite obtener acceso administrativo al panel de gestión utilizando una contraseña alternativa almacenada internamente, independientemente del nombre de usuario ingresado durante el inicio de sesión.
El fabricante no ha publicado una actualización para corregir el problema y, según CERT/CC, tampoco respondió a los intentos de contacto. Como medida temporal, se recomienda deshabilitar la administración remota y limitar la exposición de la interfaz web. Aunque no existen evidencias de explotación activa, los investigadores advierten que la vulnerabilidad podría ser incorporada por botnets dirigidas a dispositivos de red.
Adobe confirma explotación activa de vulnerabilidad crítica en ColdFusion
La vulnerabilidad crítica CVE-2026-48282 de Adobe ColdFusion comenzó a ser explotada activamente pocas horas después de la publicación de los detalles técnicos, según la empresa KEVIntel. La falla afecta a las versiones 2025.9, 2023.20 y anteriores, permitiendo la ejecución remota de código sin privilegios en servidores que no han sido actualizados. Adobe había publicado los parches e instado a instalarlos de forma inmediata.
El fundador de KEVIntel indicó que la explotación fue detectada en menos de dos horas mediante una red global de honeypots. Posteriormente, el Centro Canadiense para la Ciberseguridad también alertó sobre ataques en curso. Shadowserver informó que monitorea cerca de 800 instancias de ColdFusion expuestas en Internet, aunque se desconoce cuántas permanecen vulnerables o corresponden a sistemas señuelo.
Más de 900 instancias de Oracle E-Business quedan expuestas durante ataques activos
Investigadores detectaron más de 900 instancias de Oracle E-Business Suite accesibles desde Internet mientras actores maliciosos explotan la vulnerabilidad crítica CVE-2026-46817. La falla afecta al componente File Transmission de Oracle Payments y permite que atacantes sin privilegios tomen el control de sistemas vulnerables mediante ataques remotos de baja complejidad.
Oracle publicó parches en mayo de 2026 e instó a los clientes a actualizar sus sistemas. La empresa Defused informó haber observado ataques reales contra esta vulnerabilidad durante el fin de semana, mientras Shadowserver identificó cerca de 950 instancias expuestas. No existe información sobre cuántos de esos sistemas ya fueron protegidos frente a esta campaña.
CISA alerta explotación activa de vulnerabilidad en Microsoft SharePoint
La Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos (CISA) confirmó que la vulnerabilidad CVE-2026-45659 de Microsoft SharePoint está siendo explotada activamente. La falla permite la ejecución remota de código por parte de usuarios autenticados con permisos mínimos mediante ataques de baja complejidad que no requieren interacción del usuario.
Microsoft publicó actualizaciones para SharePoint Server 2016, 2019 y Subscription Edition en mayo de 2026. Shadowserver monitorea más de 10.000 servidores SharePoint expuestos en Internet, aunque se desconoce cuántos permanecen vulnerables. CISA incorporó la falla a su catálogo KEV y ordenó a las agencias federales aplicar los parches conforme a la directiva BOD 26-04.
Cisco confirma explotación activa de falla en Unified CM
Cisco confirmó que la vulnerabilidad CVE-2026-20230 de Cisco Unified Communications Manager está siendo explotada activamente por atacantes. La falla, corregida inicialmente en junio, permite ataques de tipo Server-Side Request Forgery (SSRF) mediante solicitudes HTTP especialmente diseñadas, sin necesidad de privilegios y con baja complejidad. Semanas después de publicar los parches, la compañía reconoció que ya existe explotación real de la vulnerabilidad.
Cisco recomendó actualizar a las versiones corregidas o, si esto no es posible, deshabilitar temporalmente el servicio WebDialer para reducir la exposición. Shadowserver identificó más de 200 instancias de Unified CM accesibles desde Internet, principalmente en Asia y Norteamérica. CISA ha incorporado 93 vulnerabilidades de Cisco a su catálogo de fallas explotadas desde 2021, varias de ellas utilizadas posteriormente en ataques de ransomware.
Microsoft corrige error que eliminaba botones de Copilot en Outlook
Microsoft solucionó un problema que provocaba la desaparición de los botones de Copilot Chat o Copilot en Classic Outlook para Windows en usuarios con licencia Copilot Chat (Basic). La incidencia impedía acceder a la función desde distintos puntos de la aplicación, aunque Copilot continuaba disponible mediante Outlook Web o la aplicación independiente de Microsoft 365 Copilot.
La corrección fue implementada mediante un cambio de servicio el 29 de junio de 2026. Microsoft recomendó reiniciar Outlook o actualizar el cliente a la versión más reciente para aplicar la solución. Además, informó que investiga otro problema que provoca cierres inesperados de Outlook en equipos con Kaspersky Antivirus debido al módulo Mail Checker (mcou.dll).
Adobe corrige fallas críticas en ColdFusion y Campaign
Adobe publicó actualizaciones de seguridad para corregir siete vulnerabilidades de severidad máxima que afectan a ColdFusion y Adobe Campaign Classic. Seis de ellas permiten la ejecución remota de código sin privilegios y con ataques de baja complejidad, mientras que otra puede ejecutar código arbitrario en implementaciones locales de Campaign Classic. La compañía recomendó instalar los parches dentro de las 72 horas.
Adobe indicó que no tiene evidencia de explotación activa de estas vulnerabilidades, aunque las clasificó como de alta prioridad por el riesgo de ser atacadas. Además, anunció que desde el 14 de julio de 2026 publicará boletines de seguridad dos veces al mes para acelerar la distribución de actualizaciones. En los últimos cinco años, CISA ha incorporado 79 vulnerabilidades de productos Adobe a su catálogo de fallas explotadas.
2. Amenazas Cibernéticas
Falsa campaña de seguridad suplanta a LastPass y Bitwarden
LastPass alertó sobre una campaña de phishing que utiliza correos electrónicos falsos para simular comunicaciones oficiales sobre cambios en las políticas de seguridad. Los mensajes dirigen a los usuarios hacia sitios que imitan DocuSign mediante dominios fraudulentos, desde donde se ofrece la descarga de un archivo para Windows y macOS. La empresa aclaró que sus sistemas no fueron comprometidos.
Investigaciones adicionales detectaron una campaña similar dirigida a usuarios de Bitwarden mediante dominios prácticamente idénticos. Los sitios ya fueron desactivados, pero LastPass reiteró que nunca solicita la contraseña maestra a sus clientes y recomendó cambiarla de inmediato desde un dispositivo confiable si fue ingresada en alguno de estos portales fraudulentos.
Cientos de repositorios falsos de GitHub distribuyen malware
Investigadores de Arctic Wolf identificaron una campaña con 292 repositorios falsos en GitHub que imitaban proyectos legítimos para distribuir malware de tipo infostealer. Los repositorios incluían archivos README con enlaces hacia páginas fraudulentas que ofrecían descargas aparentemente legítimas de herramientas de seguridad, software financiero, aplicaciones para criptomonedas y utilidades para desarrolladores.
El archivo descargado instalaba una versión modificada de una biblioteca que ejecutaba en memoria un malware capaz de robar credenciales de navegadores, billeteras de criptomonedas, aplicaciones de mensajería, gestores de credenciales y archivos sensibles. La información era comprimida y enviada a un servidor de mando y control ubicado en Rusia. GitHub eliminó gran parte de los repositorios tras la investigación.
INTERPOL detiene a más de 5.800 personas en operación mundial contra el fraude
INTERPOL informó los resultados de la Operación First Light 2026, una acción coordinada en 97 países contra el fraude basado en ingeniería social y el lavado de dinero. Entre enero y abril de este año fueron arrestadas 5.811 personas, se identificaron más de 142.000 víctimas y se incautaron activos ilícitos por un valor aproximado de 293 millones de dólares.
La operación permitió además bloquear más de 31.000 cuentas bancarias, analizar más de 152.000 casos e identificar a otros 15.606 sospechosos. La iniciativa contó con la participación de organismos policiales internacionales y forma parte de una serie de operaciones coordinadas por INTERPOL para combatir campañas de fraude, phishing, ransomware y otras actividades delictivas transnacionales.
Forg365 incorpora inteligencia artificial para atacar cuentas de Microsoft 365
Investigadores identificaron Forg365, una nueva plataforma de phishing como servicio (PhaaS) orientada al robo de cuentas de Microsoft 365. La herramienta integra técnicas de adversario en el medio (AiTM), phishing mediante códigos de dispositivo y generación automática de correos con inteligencia artificial, permitiendo crear campañas y administrar credenciales comprometidas desde un único panel.
La plataforma también incluye una extensión para navegadores que renueva automáticamente las cookies de autenticación de Microsoft, facilitando el acceso persistente a las cuentas comprometidas. Los investigadores señalaron que el servicio utiliza infraestructura legítima para distribuir campañas y dispone de mecanismos destinados a dificultar el análisis y la detección por parte de investigadores.
Helix utiliza vishing para robar información desde SharePoint
Investigadores de la firma ReliaQuest identificó un nuevo grupo de extorsión denominado Helix que emplea llamadas telefónicas fraudulentas, phishing mediante códigos de dispositivo y abuso de autenticación multifactor para comprometer cuentas de Microsoft 365. Los atacantes se hacen pasar por supervisores o personal interno para convencer a las víctimas de autorizar dispositivos bajo su control.
Tras acceder a las cuentas, los operadores registran una nueva aplicación de autenticación para mantener persistencia y extraen grandes volúmenes de información almacenada en SharePoint. Los investigadores detectaron similitudes en la infraestructura y las técnicas empleadas por Helix con campañas previamente atribuidas a los grupos ShinyHunters y BlackFile.
SDK de Injective en npm distribuyó malware para robar billeteras de criptomonedas
Un ataque a la cadena de suministro comprometió el repositorio GitHub del proyecto Injective Labs y permitió publicar una versión maliciosa de su SDK en npm. El paquete afectado capturaba frases semilla y claves privadas de billeteras de criptomonedas cuando los desarrolladores utilizaban funciones relacionadas con la creación o importación de wallets.
El malware codificaba la información robada y la enviaba mediante solicitudes HTTP hacia infraestructura pública del propio proyecto para aparentar tráfico legítimo. El paquete comprometido permaneció disponible durante un breve periodo antes de ser reemplazado por una versión segura, aunque cientos de descargas y múltiples dependencias pudieron verse afectadas.
OpenMandriva denuncia intento de sabotaje interno del proyecto
El proyecto OpenMandriva Linux informó que fue objeto de un intento de sabotaje interno tras un conflicto entre colaboradores. Según los responsables, un desarrollador con privilegios administrativos eliminó repositorios mantenidos durante años y publicó un paquete vacío que podía afectar componentes de los entornos gráficos GNOME y Cosmic en la rama de desarrollo.
El equipo inició la restauración de los repositorios y una auditoría completa para verificar posibles modificaciones adicionales. El colaborador señalado rechazó las acusaciones de sabotaje y afirmó que sus acciones respondieron a desacuerdos sobre la dirección técnica del proyecto, mientras que OpenMandriva decidió no iniciar acciones legales pese a considerar los hechos una conducta grave.
Exnegociador de ransomware es condenado por colaborar con BlackCat
La justicia estadounidense condenó a Angelo Martino, exnegociador de incidentes de ransomware, por participar en ataques del grupo BlackCat (ALPHV) mientras trabajaba para una empresa especializada en respuesta a incidentes. La investigación determinó que colaboró con otros integrantes para negociar rescates y compartir información confidencial de las víctimas con los atacantes.
Según los antecedentes judiciales, Martino entregó detalles sobre pólizas de seguros y posiciones de negociación para maximizar los pagos exigidos durante los ataques. Las víctimas incluyeron organizaciones financieras, entidades médicas, distritos escolares y organizaciones sin fines de lucro que realizaron millonarios pagos por concepto de rescate.
Policía de los Países Bajos vincula a hackers locales con la brecha en Odido
La Policía Nacional de Países Bajos informó que existen fuertes indicios de que atacantes neerlandeses participaron en el ciberataque sufrido por la empresa de telecomunicaciones Odido en febrero de 2026. La investigación apunta a una llamada telefónica realizada antes del incidente, en la que un hombre que hablaba neerlandés se hizo pasar por un empleado del área de TI para facilitar un ataque de phishing previo al robo de información.
La compañía confirmó que el incidente comprometió datos personales de aproximadamente 6,2 millones de clientes, incluyendo nombres, direcciones, correos electrónicos, números telefónicos e información bancaria en algunos casos. El grupo ShinyHunters se atribuyó posteriormente el ataque y publicó un archivo con millones de registros presuntamente obtenidos durante la intrusión.
Miembro de Ryuk se declara culpable por ataques con ransomware en Estados Unidos
Karen Serobovich Vardanyan, ciudadano armenio de 34 años, se declaró culpable ante la justicia estadounidense por participar en ataques con el ransomware Ryuk contra múltiples organizaciones entre 2019 y 2020. Según la acusación, proporcionó acceso inicial a redes corporativas comprometidas que posteriormente fueron cifradas por sus cómplices para exigir pagos por rescate.
Las autoridades señalaron que el grupo recibió aproximadamente 1.610 bitcoins en rescates, equivalentes a unos 15 millones de dólares al momento de los hechos. Vardanyan fue extraditado desde Ucrania y será sentenciado en septiembre de 2026, enfrentando una pena máxima de 15 años de prisión y el pago de más de 1,1 millones de dólares en restitución.
Ghostcommit oculta instrucciones maliciosas en imágenes para engañar agentes de IA
Investigadores de la Universidad de Missouri-Kansas City desarrollaron Ghostcommit, una técnica que esconde instrucciones maliciosas dentro de imágenes PNG para inducir a agentes de inteligencia artificial utilizados en revisión de código a revelar información confidencial. El método aprovecha que algunos revisores automáticos ignoran los archivos gráficos durante el análisis de solicitudes de cambios.
En la demostración, un agente de IA leyó instrucciones contenidas en una imagen, accedió al archivo .env de un repositorio y escribió su contenido codificado como una lista de números dentro del código fuente. Los investigadores publicaron una prueba de concepto, notificaron a los proveedores afectados y desarrollaron una herramienta capaz de analizar tanto texto como imágenes para detectar este tipo de ataques.
RedHook amplía sus capacidades para comprometer dispositivos Android
Investigadores de Group-IB identificaron una nueva versión del malware RedHook para Android que utiliza la función Wireless ADB para obtener privilegios de consola sin necesidad de conectar el dispositivo a un computador. El malware convence a la víctima para otorgar permisos de accesibilidad, habilita las opciones de desarrollador y establece una conexión local con el servicio ADB del propio teléfono.
Una vez obtenido el acceso, RedHook despliega un entorno basado en Shizuku que le permite ejecutar comandos privilegiados, instalar o eliminar aplicaciones, modificar configuraciones protegidas y recopilar información del dispositivo. Además, mantiene funciones de acceso remoto como captura de pantalla, robo de credenciales, interceptación de pulsaciones y persistencia mediante diversos mecanismos que dificultan su eliminación.
Agencias occidentales alertan sobre ataques rusos contra infraestructura crítica
Estados Unidos y organismos de ciberseguridad de otros ocho países emitieron una alerta conjunta sobre una campaña atribuida al Centro 16 del Servicio Federal de Seguridad de Rusia (FSB), orientada a comprometer routers vulnerables utilizados por organizaciones de infraestructura crítica. Los atacantes buscan dispositivos con configuraciones SNMP débiles o predeterminadas para extraer configuraciones y acceder a las redes internas.
Según la advertencia, los sectores más expuestos incluyen energía, comunicaciones, salud, servicios financieros, defensa y organismos gubernamentales. Las autoridades recomendaron actualizar equipos, utilizar SNMPv3, deshabilitar Cisco Smart Install, bloquear tráfico SNMP y TFTP desde Internet, reemplazar dispositivos fuera de soporte y fortalecer las contraseñas utilizadas en la infraestructura de red.
Unión Europea y Reino Unido sancionan a actores vinculados a ciberataques rusos
La Unión Europea y el Reino Unido anunciaron sanciones coordinadas contra múltiples personas y entidades relacionadas con operaciones de ciberataques atribuidas a Rusia. Entre los sancionados figuran integrantes de la inteligencia militar rusa (GRU), operadores de grupos como Trickbot, Conti y Cyber Army of Russia Reborn, además de desarrolladores del malware Lumma Stealer y empresas asociadas a actividades de apoyo.
Las autoridades también identificaron públicamente al Centro 16 del FSB como responsable de coordinar varios grupos de amenazas persistentes avanzadas vinculados a campañas de espionaje y ataques contra infraestructura crítica europea. Las medidas incluyen restricciones económicas y forman parte de una estrategia destinada a responder a actividades cibernéticas atribuidas al ecosistema ruso.
Reino Unido presenta cargos contra presuntos responsables de Russian Coms
La Agencia Nacional contra el Crimen (NCA) del Reino Unido presentó cargos contra cinco personas presuntamente vinculadas a Russian Coms, una plataforma utilizada para falsificar identificadores de llamadas telefónicas y facilitar estafas. Según la investigación, el servicio permitió realizar más de 1,8 millones de llamadas fraudulentas utilizando números pertenecientes a bancos, empresas de telecomunicaciones y organismos públicos.
Las autoridades indicaron que la plataforma operó desde 2020 mediante aplicaciones web y dispositivos especializados comercializados en redes sociales y servicios de mensajería. El desmantelamiento de Russian Coms se produjo en 2024 como parte de la Operación Henhouse, investigación que derivó en cientos de detenciones relacionadas con fraudes telefónicos en el Reino Unido.
CrashStealer suplanta una herramienta de Apple para robar credenciales en macOS
Investigadores identificaron CrashStealer, un nuevo malware para macOS que se hace pasar por la aplicación CrashReporter de Apple para obtener credenciales, información del llavero (Keychain), datos de navegadores, gestores de contraseñas y billeteras de criptomonedas. La campaña comenzó a observarse en julio tras un periodo de desarrollo detectado desde mayo, utilizando un instalador firmado y certificado por Apple para evitar alertas de seguridad.
El malware muestra una falsa solicitud de contraseña de administrador, valida localmente las credenciales ingresadas y recopila información almacenada en el sistema antes de cifrarla mediante AES-256-GCM y enviarla a un servidor de comando y control. Los investigadores señalaron que la distribución se realiza desde un sitio falso protegido por un PIN de acceso y que el malware modifica su firma digital para dificultar su identificación mediante hashes.
Comprometen paquete npm de Jscrambler para distribuir malware roba información
La firma de seguridad Jscrambler informó que atacantes publicaron versiones maliciosas de su paquete npm, utilizadas por su producto Code Integrity. Las versiones comprometidas permanecieron disponibles durante aproximadamente dos horas e incorporaban un infostealer que se ejecutaba durante la instalación mediante el mecanismo «preinstall». Durante ese periodo, el paquete fue descargado cerca de 1.500 veces antes de ser reemplazado por una versión segura.
El análisis reveló que el código malicioso buscaba extraer código fuente, credenciales de desarrollo, secretos de servicios en la nube, configuraciones de herramientas de inteligencia artificial, billeteras de criptomonedas, datos de navegadores y aplicaciones de mensajería. Según la empresa, el incidente fue posible por el compromiso de las credenciales utilizadas para publicar paquetes en npm, las cuales ya fueron revocadas junto con la incorporación de nuevos controles de seguridad.
Estados Unidos sanciona a proveedores de VPN y malware vinculados a ransomware
La Oficina de Control de Activos Extranjeros (OFAC) de Estados Unidos impuso sanciones contra el servicio VPN First VPN Service (1VPNS), su administrador Dmytro Rashevskyi y el proveedor de herramientas de ofuscación Yegeniy Silayev, por facilitar operaciones de ransomware contra organizaciones estadounidenses. Las medidas bloquean bienes bajo jurisdicción estadounidense y prohíben transacciones con los sancionados.
Las sanciones se producen tras el desmantelamiento de la infraestructura de 1VPNS durante la operación internacional Saffron, liderada por autoridades francesas y neerlandesas con apoyo del FBI. La investigación permitió incautar 33 servidores en 27 países, detener a su administrador y vincular el servicio con múltiples investigaciones sobre ransomware, fraude y otras actividades delictivas.
Nuevos kits de phishing burlan MFA para comprometer cuentas de Microsoft 365
Investigadores identificaron los kits de phishing Jalisco y OmegaLord, diseñados para comprometer cuentas de Microsoft 365 mediante técnicas que eluden la autenticación multifactor. Jalisco emplea el método Device Code Phishing para autorizar dispositivos controlados por atacantes mediante el flujo OAuth, mientras que OmegaLord utiliza una falsa página de lectura de PDF para capturar credenciales y números telefónicos asociados a las cuentas.
Tras obtener acceso, los atacantes buscan información almacenada en SharePoint y otros servicios SaaS, exfiltrando datos en pocos minutos antes de iniciar intentos de extorsión. Los investigadores recomendaron limitar el registro de dispositivos en Microsoft Entra ID, bloquear la autenticación mediante códigos de dispositivo y revisar periódicamente los registros de aplicaciones autorizadas.
Campaña de vishing apunta a usuarios de Microsoft 365
Investigadores de Okta identificaron una campaña de vishing que suplanta solicitudes de seguridad para convencer a usuarios de Microsoft 365 de registrar una nueva passkey de Microsoft Entra controlada por los atacantes. La operación afecta organizaciones de distintos sectores y utiliza llamadas telefónicas junto con sitios falsos que imitan el proceso oficial de inscripción.
La infraestructura fraudulenta adapta el proceso de autenticación en tiempo real según el método MFA utilizado por la víctima y permite registrar una passkey bajo control del atacante. Okta atribuye la actividad al grupo O-UNC-066, asociado a la operación de extorsión Pink, que posteriormente roba información de servicios como SharePoint y OneDrive.
Ataques contra Roundcube comprometen universidades
Proofpoint detectó una campaña atribuida al grupo UNK_MassTraction que explota servidores Roundcube vulnerables en universidades de Estados Unidos y Canadá. Los ataques se dirigen principalmente a investigadores, profesores y administradores vinculados con física, ingeniería, astrofísica y proyectos relacionados con seguridad nacional.
La campaña aprovecha la vulnerabilidad CVE-2024-42009 para ejecutar código JavaScript malicioso que instala el malware IceCube, capaz de robar credenciales, cookies y datos de autenticación. Posteriormente intenta explotar CVE-2025-49113 para desplegar una webshell o una puerta trasera en memoria, obteniendo acceso remoto a los servidores comprometidos.
Paquetes falsos en npm y PyPI roban credenciales de desarrolladores
La firma de seguridad Socket descubrió 17 paquetes maliciosos publicados en npm y PyPI que se hacían pasar por SDK oficiales de Paysafe, Skrill y Neteller. Los paquetes simulaban ofrecer las funciones legítimas de las bibliotecas, pero en realidad recopilaban credenciales, claves API, tokens y otra información sensible para enviarla a un servidor de comando y control.
La campaña afectó tanto al ecosistema Node.js como Python. Los paquetes npm activaban el robo de información cuando detectaban claves de Paysafe, mientras que los de PyPI ejecutaban la exfiltración automáticamente al inicializarse. Socket recomendó eliminar los paquetes afectados, rotar todas las credenciales comprometidas y revisar los registros de integración continua.
Grupo chino amplía infraestructura ORB con el malware LONGLEASH
Investigadores de Cisco Talos detectaron que el grupo UAT-7810 desarrolla nuevas herramientas para expandir su red Operational Relay Box (ORB), utilizada como infraestructura de apoyo para otros grupos de amenazas alineados con China. Entre las nuevas herramientas destaca LONGLEASH, una versión más avanzada de SHORTLEASH, además de los componentes DOGLEASH, JARLEASH y LEASHTEST.
Los atacantes comprometen principalmente routers Ruckus y ASUS vulnerables utilizando fallas conocidas para instalar puertas traseras y servidores intermediarios. LONGLEASH incorpora funciones de túneles de red, proxies, comunicaciones cifradas, shell remoto y reenvío de tráfico entre equipos comprometidos, fortaleciendo la infraestructura utilizada para ocultar operaciones de otros actores de amenazas.
Accenture confirma incidente tras oferta de datos robados en foro criminal
Accenture confirmó haber sufrido un incidente de seguridad después de que un actor identificado como «888» afirmara haber robado aproximadamente 35 GB de información de la empresa y ofreciera esos datos en venta en un foro de ciberdelincuencia. La compañía indicó que el origen del incidente fue mitigado y aseguró que sus operaciones y servicios no se han visto afectados.
Según el atacante, la información incluiría código fuente, claves RSA, claves SSH, credenciales de Azure y archivos de configuración. Accenture no confirmó el volumen ni el tipo de información comprometida y tampoco informó si existen clientes afectados o cuál fue el mecanismo utilizado para acceder a sus sistemas.
JadePuffer utiliza un agente de IA para ejecutar un ataque completo de ransomware
Investigadores de Sysdig documentaron lo que consideran el primer caso conocido de una operación de ransomware ejecutada completamente por un agente basado en un modelo de lenguaje (LLM). Durante el ataque, JadePuffer automatizó el reconocimiento del entorno, el robo de credenciales, el movimiento lateral, la escalada de privilegios, la persistencia y el cifrado de datos, adaptando sus acciones automáticamente cuando encontraba errores.
El acceso inicial se obtuvo explotando la vulnerabilidad CVE-2025-3248 en Langflow. Posteriormente, el agente recopiló credenciales, exploró distintos servicios, comprometió un servidor Alibaba Nacos y cifró más de 1.300 configuraciones mediante funciones de MySQL. Sysdig observó que el código generado incluía comentarios en lenguaje natural y una rápida adaptación de los ataques, características atribuidas al uso de inteligencia artificial.
Falsas llamadas de soporte por Microsoft Teams distribuyen el malware EtherRAT
Investigadores de Unit 42 identificaron una campaña en la que atacantes se hacen pasar por personal de soporte técnico mediante llamadas de voz de Microsoft Teams. La operación comienza con un correo de phishing que simula una encuesta para empleados y, posteriormente, los delincuentes convencen a la víctima de compartir el control remoto de su equipo utilizando las funciones integradas de Teams.
Tras obtener acceso, los atacantes instalan herramientas legítimas de administración remota como HopToDesk y AnyDesk, para luego desplegar EtherRAT mediante un instalador malicioso. El troyano permite controlar completamente el sistema comprometido, ejecutar comandos, robar información y mantener persistencia. Microsoft ha incorporado nuevas protecciones en Teams para advertir sobre llamadas y chats provenientes de organizaciones externas.
Campaña de phishing suplanta entrevistas laborales para robar cuentas de Google
Una campaña de phishing suplanta a más de 30 marcas internacionales, entre ellas Adobe, Netflix, Coca-Cola y OpenAI, para atraer profesionales del área de marketing con falsas ofertas laborales. Los atacantes utilizan la plataforma legítima PeopleForce y servicios relacionados con Salesforce Marketing Cloud para redirigir a las víctimas hacia sitios fraudulentos donde solicitan iniciar sesión con cuentas de Google.
La investigación de Team Cymru reveló que los atacantes emplean fotografías y nombres reales de reclutadores, además de múltiples redirecciones entre servicios legítimos antes de mostrar una página falsa de autenticación. El sitio utiliza la técnica Browser-in-the-Browser (BitB) para simular una ventana oficial de Google y capturar las credenciales de las víctimas.
Plataforma ARToken fortalece campañas de phishing contra Microsoft 365
Investigadores de Cisco Talos analizaron ARToken, una plataforma de phishing como servicio asociada con EvilTokens que ofrece herramientas para comprometer cuentas de Microsoft 365. La infraestructura permite obtener tokens de autenticación, mantener acceso persistente mediante Primary Refresh Tokens y administrar buzones de Outlook, archivos de OneDrive y sitios de SharePoint comprometidos.
El análisis también identificó funciones para automatizar campañas de compromiso de correo empresarial (BEC), ocultar mensajes, supervisar múltiples buzones y desplegar infraestructura mediante Cloudflare Workers. Los investigadores encontraron importantes similitudes técnicas con EvilTokens, plataforma previamente documentada por Sekoia y utilizada en campañas de Device Code Phishing.
ConsentFix amplía las técnicas para secuestrar cuentas de Microsoft 365
Huntress describió una nueva variante denominada ConsentFix, que utiliza los flujos legítimos de autenticación OAuth de Microsoft 365 para obtener tokens de sesión mediante acciones aparentemente normales del usuario. La técnica se basa en campañas de phishing distribuidas a través de plataformas legítimas y permite a los atacantes acceder a cuentas sin robar contraseñas ni vulnerar directamente la autenticación multifactor.
La investigación señala que el método ya circula en foros de ciberdelincuencia junto con código, infraestructura y tutoriales para facilitar su implementación. Huntress explica que la combinación de ingeniería social con el robo de tokens hace que los atacantes obtengan acceso persistente a servicios de Microsoft 365, por lo que recomienda reforzar el monitoreo de identidades y detectar comportamientos anómalos además de la capacitación de usuarios.
Plataforma ARToken expone herramientas avanzadas para phishing contra Microsoft 365
Investigadores de Cisco Talos identificaron ARToken, una plataforma de phishing como servicio (PhaaS) vinculada a EvilTokens que incorpora herramientas para comprometer cuentas de Microsoft 365. El kit permite robar tokens de autenticación, mantener acceso persistente mediante Primary Refresh Tokens y acceder a Outlook, SharePoint y OneDrive, además de automatizar campañas de compromiso de correo empresarial (BEC).
El análisis revela que ARToken comparte infraestructura y funciones con EvilTokens, plataforma documentada previamente por Sekoia. También incorpora capacidades para desplegar campañas mediante Cloudflare Workers, monitorear buzones, ocultar correos y adaptar páginas de phishing según la ubicación de la víctima. Microsoft había advertido anteriormente sobre el aumento de ataques que utilizan la técnica de Device Code Phishing.
Operación internacional desmantela parte de la red proxy NetNut
Google, el FBI, Lumen Technologies, Shadowserver y otros socios coordinaron una operación para interrumpir NetNut, una de las mayores redes de proxies residenciales utilizadas por ciberdelincuentes. Según Google Threat Intelligence Group, la infraestructura estaba compuesta por al menos dos millones de dispositivos Android comprometidos, incluidos televisores inteligentes y dispositivos de streaming.
La operación permitió inutilizar infraestructura de comando y control, bloquear dominios utilizados por la botnet y proteger dispositivos mediante Google Play Protect. Los investigadores indicaron que NetNut era utilizada por cientos de actores maliciosos para ocultar ataques, realizar campañas de password spraying y acceder a infraestructuras comprometidas, además de alimentar servicios de proxy comercializados por terceros.
Ataque masivo registra 81 millones de intentos contra cuentas Microsoft 365
Una campaña de password spraying generó más de 81 millones de intentos de inicio de sesión contra entornos Microsoft 365 durante dos semanas. Los atacantes utilizaron combinaciones válidas de usuarios y contraseñas obtenidas en filtraciones anteriores y aprovecharon el mecanismo OAuth ROPC para autenticarse en organizaciones con configuraciones deficientes de acceso condicional.
La firma de seguridad Huntress confirmó el compromiso de 78 cuentas pertenecientes a 64 organizaciones entre el 12 y el 26 de junio. La investigación identificó configuraciones de MFA incompletas o inexistentes como principal factor que permitió el acceso. Además, Huntress observó un incremento superior a 155 veces en este tipo de ataques respecto de los niveles habituales.
Estados Unidos procesa a presunto integrante de Scattered Spider
Peter Stokes, ciudadano estadounidense y estonio de 19 años, fue extraditado a Estados Unidos tras ser detenido en Finlandia. Las autoridades lo acusan de integrar el grupo Scattered Spider y de participar en al menos cuatro ataques contra empresas, incluyendo operaciones de extorsión con solicitudes de rescates por millones de dólares y el robo de grandes volúmenes de información.
La acusación sostiene que el grupo ha realizado más de 100 intrusiones informáticas, provocando pagos superiores a 100 millones de dólares en rescates y pérdidas adicionales para las víctimas. Según el Departamento de Justicia, Stokes enfrenta cargos por fraude, conspiración e intrusión informática y permanecerá bajo custodia mientras avanza el proceso judicial.
3. Riesgos de ciberseguridad
Actualización de Windows 10 incorpora endurecimiento de seguridad y posibles impactos en aplicaciones heredadas
La actualización KB5099539 para Windows 10 introduce un cambio de endurecimiento que exige el registro adecuado de los transportes TDI utilizados por algunas aplicaciones heredadas. Microsoft advirtió que los programas que dependan de transportes de terceros no registrados podrían dejar de funcionar después de instalar el parche de seguridad de julio de 2026.
La compañía indicó que los administradores pueden comprobar si sus equipos están afectados revisando el registro de eventos de Windows en busca del evento AFD 16003. También señaló que la distribución de nuevos certificados para Secure Boot continuará de forma gradual en equipos compatibles, como parte de las medidas destinadas a reforzar la seguridad del sistema operativo.
Microsoft eliminará OWA Light de Exchange Server
Microsoft anunció que retirará la interfaz Outlook Web Access (OWA) Light de Exchange Server durante una actualización prevista para agosto de 2026. La compañía explicó que esta versión simplificada fue diseñada hace más de dos décadas para navegadores antiguos y conexiones de baja velocidad, condiciones que ya no representan el escenario predominante.
Tras la actualización, los usuarios dejarán de acceder a OWA Light y deberán utilizar la versión moderna de Outlook en la web. Microsoft también informó que los administradores pueden deshabilitar anticipadamente esta función mediante comandos de configuración disponibles en Exchange Server, como parte del proceso de transición hacia una única experiencia de acceso web.
OpenAI elimina temporalmente los límites de uso de GPT-5.6 Sol
OpenAI anunció la eliminación temporal del límite de uso de cinco horas para GPT-5.6 Sol en los planes Plus, Pro y Business, tras un fuerte incremento en la demanda registrado durante los últimos días. La compañía también restableció el consumo disponible para todos los usuarios, con el objetivo de facilitar el acceso al modelo mientras implementa mejoras de eficiencia.
La empresa informó que trabaja en optimizaciones para reducir el consumo de recursos del modelo, permitiendo realizar más tareas antes de alcanzar los límites establecidos por cada plan. Aunque la restricción temporal fue suspendida, OpenAI indicó que continúan vigentes otros límites asociados al volumen total de uso y que los cambios buscan mejorar la disponibilidad del servicio.
Microsoft prueba una búsqueda de Windows más rápida y con menos contenido promocional
Microsoft comenzó a probar una nueva versión de Windows Search orientada a ofrecer resultados más relevantes y reducir la presencia de contenido promocional y sugerencias. La actualización está disponible para usuarios del canal Experimental de Windows Insider e incorpora una identificación más clara del origen de cada resultado, además de nuevas opciones para controlar la aparición de resultados web y de Microsoft Store.
La compañía también mejoró la búsqueda de archivos locales, incorporó soporte para consultas de dos caracteres, mayor tolerancia a errores tipográficos y mejoras en la visualización de archivos almacenados en la nube. Microsoft señaló que estas modificaciones forman parte de un proyecto más amplio para modernizar la experiencia de búsqueda y continuará recopilando comentarios antes de su implementación general.
Microsoft hará que las passkeys sean el método predeterminado en Entra ID
Microsoft anunció que, desde septiembre de 2026, las passkeys pasarán a ser el método de autenticación predeterminado para los usuarios de Microsoft Entra ID que aún utilizan autenticación mediante SMS o llamadas telefónicas. La empresa también confirmó que estos métodos serán retirados de forma definitiva el 1 de febrero de 2027 en todos los entornos administrados por Microsoft.
Como parte de la transición, los usuarios habilitados para autenticación telefónica recibirán automáticamente la invitación para registrar una passkey durante su próximo proceso de autenticación multifactor. Microsoft recomendó que las organizaciones migren previamente hacia métodos resistentes al phishing para evitar interrupciones de acceso una vez que se elimine el soporte para SMS y llamadas.
DuckDuckGo incorpora bloqueo de anuncios en YouTube
DuckDuckGo anunció que su navegador puede bloquear la mayoría de los anuncios de video en YouTube, incluyendo los que aparecen antes y durante la reproducción. La función está habilitada por defecto en Windows, macOS e iOS, mientras que en Android debe activarse manualmente desde la configuración del navegador.
El sistema utiliza listas de filtros mantenidas por la comunidad de uBlock Origin junto con reglas propias de compatibilidad. La compañía indicó que la función puede generar tiempos de carga ligeramente superiores y que algunos cambios realizados por YouTube podrían afectar temporalmente su funcionamiento hasta que los filtros sean actualizados.
Microsoft activará por defecto el respaldo de configuraciones en Windows 11 empresarial
Microsoft anunció que la función de respaldo de configuraciones de Windows se habilitará automáticamente en equipos empresariales unidos a Microsoft Entra o Entra híbrido al actualizar a Windows 11 26H2. La herramienta permite respaldar y restaurar configuraciones del sistema cuando un equipo es reemplazado, reinstalado o recuperado tras una falla.
La activación automática solo aplicará en dispositivos elegibles donde los administradores no hayan definido previamente una política específica. Microsoft indicó que los responsables de TI conservarán el control mediante Intune o Directivas de Grupo, pudiendo habilitar o deshabilitar la función según las necesidades de la organización.
Flipper Zero continuará desarrollando su firmware con apoyo de la comunidad
Flipper Devices anunció que el desarrollo del firmware oficial de Flipper Zero continuará, aunque con un equipo interno más reducido y una mayor participación de la comunidad. La empresa explicó que concentrará parte de sus recursos en nuevos proyectos, como Flipper One y Busy Bar, mientras el mantenimiento del firmware se apoyará principalmente en contribuciones externas.
El nuevo modelo establece que todas las solicitudes se gestionarán mediante GitHub Discussions, donde los usuarios podrán priorizar mejoras mediante votaciones. Además, las contribuciones deberán superar revisiones más estrictas y pruebas de integración obligatorias. La empresa indicó que prestará especial atención al código generado por inteligencia artificial antes de incorporarlo al proyecto.
Autoridades vietnamitas procesan a operadores del servicio de piratería HiAnime
Las autoridades de Vietnam arrestaron a siete personas acusadas de operar HiAnime, una de las mayores plataformas de transmisión ilegal de anime antes de su cierre. La investigación sostiene que los responsables administraban más de cien sitios web con alrededor de 26.000 contenidos protegidos por derechos de autor, obteniendo aproximadamente 12,85 millones de dólares mediante publicidad.
Los imputados enfrentan cargos por infracción a la propiedad intelectual y lavado de dinero. La operación contó con el apoyo de la Alliance for Creativity and Entertainment (ACE), además de organismos estadounidenses como Homeland Security Investigations y el Departamento de Justicia, tras una investigación internacional desarrollada durante varios años.
Microsoft prueba Cloud Rebuild para recuperar equipos con Windows 11
Microsoft anunció que comenzó a probar Cloud Rebuild en las versiones Insider de Windows 11. La nueva función permite reinstalar completamente el sistema operativo desde la nube utilizando imágenes y controladores descargados directamente desde Windows Update, incluso cuando el equipo ya no puede iniciar correctamente el sistema operativo instalado.
La característica forma parte de la iniciativa Windows Resiliency Initiative junto con otras herramientas como Point-in-Time Restore y Quick Machine Recovery. Estas funciones buscan restaurar equipos afectados por fallas críticas, controladores defectuosos o errores de configuración sin necesidad de utilizar medios físicos de instalación o imágenes locales de recuperación.
Microsoft acelera transición hacia criptografía resistente a computación cuántica
Microsoft anunció que adelantará su hoja de ruta para incorporar criptografía poscuántica en sus productos y servicios críticos, con el objetivo de completar la transición antes de 2029. La compañía explicó que el riesgo asociado al avance de la computación cuántica hace necesario iniciar cuanto antes la modernización de la infraestructura criptográfica.
La empresa indicó que priorizará la adopción de protocolos modernos, el desarrollo de infraestructuras con agilidad criptográfica y la modernización de las cadenas de confianza utilizadas para certificados, actualizaciones y firma de código. Según Microsoft, la decisión responde a una estrategia preventiva de gestión de riesgos y abarca la totalidad de su portafolio de productos y servicios.


