Las fallas críticas en Cisco, Microsoft, Android, Palo Alto Networks y ChromaDB concentraron gran parte de las alertas, mientras múltiples vulnerabilidades fueron explotadas activamente, y algunas generaron polémica entre MS e investigadores. Además, se registró nueva ola de ataques a cadena de suministro, campañas de robo de credenciales dirigidas a desarrolladores y el creciente uso de IA en operaciones de ransomware, phishing y ciberespionaje.
Recuento
Durante las últimas semanas, las principales vulnerabilidades estuvieron concentradas en fallas críticas y zero-days que afectaron infraestructura ampliamente utilizada. Destacaron la explotación activa de CVE-2026-20245 en Cisco SD-WAN Manager, el zero-day CVE-2025-48595 en Android, la vulnerabilidad CVE-2026-0257 en GlobalProtect VPN de Palo Alto Networks y las fallas de día cero corregidas por Microsoft Defender. También sobresalieron vulnerabilidades críticas en ChromaDB, Cisco Secure Workload, Drupal, FortiClient EMS, Trend Micro Apex One, Ghost CMS y UniFi OS, junto con nuevas fallas de escalamiento de privilegios en Linux y Windows como CIFSwitch, DirtyDecrypt y MiniPlasma. La publicación de múltiples pruebas de concepto incrementó además el riesgo de explotación contra sistemas que permanecen sin actualizar y desató una polémica en Microsoft y la comunidad de especialistas.
En el panorama de ciberamenazas predominó la actividad vinculada a ataques contra la cadena de suministro y el robo de credenciales en ecosistemas de desarrollo. Campañas como IronWorm, Shai-Hulud, Miasma y los compromisos de paquetes asociados a Laravel Lang, Red Hat y npm demostraron una creciente orientación hacia desarrolladores, entornos DevOps y plataformas CI/CD. Paralelamente, investigadores identificaron herramientas de ransomware desarrolladas con apoyo de modelos de inteligencia artificial, campañas de espionaje potenciadas mediante IA generativa y nuevas operaciones de phishing que abusaron de mecanismos legítimos de autenticación de Microsoft 365. También destacaron amenazas como BTMOB, DriveSurge, SHub para macOS, Kali365 y Tycoon2FA, además de operaciones de espionaje atribuidas a actores vinculados a intereses rusos y chinos.
Respecto a los principales riesgos de ciberseguridad, el período evidenció la creciente dependencia de terceros, repositorios de software y servicios cloud críticos. Los incidentes asociados a TanStack, GitHub y Grafana mostraron cómo el compromiso de credenciales o dependencias puede propagarse rápidamente entre organizaciones y cadenas de confianza. Asimismo, las interrupciones registradas en Exchange Online, Teams, Office Online y servicios de autenticación de Microsoft reflejaron la importancia de la resiliencia operacional en entornos altamente dependientes de plataformas cloud. A ello se suman los riesgos emergentes asociados a tecnologías de inteligencia artificial, donde casos como ChromaDB y la posible liberación futura de modelos avanzados orientados a ciberseguridad vuelven a plantear desafíos relacionados con la seguridad de aplicaciones basadas en IA y el potencial uso ofensivo de estas capacidades.
Vulnerabilidad cibernética
Cisco corrige falla crítica en Unified CM que permite obtener privilegios root
Cisco publicó actualizaciones de seguridad para corregir la vulnerabilidad crítica CVE-2026-20230 en Unified Communications Manager (Unified CM), plataforma utilizada para la gestión de telefonía IP. El problema permite a un atacante remoto y sin privilegios explotar una falla de tipo SSRF mediante solicitudes HTTP especialmente diseñadas, lo que posibilita escribir archivos en el sistema operativo subyacente y posteriormente elevar privilegios hasta obtener acceso root.
La compañía confirmó que existe código de prueba de concepto (PoC) disponible públicamente, aunque no ha detectado explotación activa. El riesgo afecta únicamente a sistemas donde el servicio WebDialer está habilitado, función que viene desactivada por defecto. Cisco recomendó actualizar a versiones corregidas o deshabilitar WebDialer como medida temporal hasta aplicar los parches de seguridad.
Cisco advierte sobre vulnerabilidad zero-day en SD-WAN explotada en ataques
Cisco alertó sobre la vulnerabilidad CVE-2026-20245, una falla de alta gravedad en Cisco Catalyst SD-WAN Manager que está siendo explotada activamente. El problema se origina por una validación insuficiente de entradas proporcionadas por usuarios y permite a atacantes con privilegios limitados ejecutar comandos arbitrarios y elevar permisos hasta nivel root dentro de los sistemas afectados.
La empresa indicó que la explotación observada ha sido limitada y que, en algunos casos, permitió modificar configuraciones distribuidas a dispositivos de borde administrados por la plataforma. Aunque aún no existen parches disponibles, Cisco recomendó actualizar a versiones que corrigen vulnerabilidades relacionadas utilizadas como vía de acceso previa y revisar indicadores de compromiso para detectar posibles intrusiones.
Google corrige un zero-day de Android explotado en ataques dirigidos
Google publicó las actualizaciones de seguridad de Android de junio de 2026 para corregir 124 vulnerabilidades, incluida la falla CVE-2025-48595, un zero-day de alta severidad que estaba siendo explotado en ataques limitados y dirigidos. La vulnerabilidad afecta al componente Framework de Android y puede permitir ejecución de código y elevación de privilegios en dispositivos con Android 14 o versiones posteriores.
Además del zero-day, la compañía corrigió 18 fallas críticas distribuidas entre Framework, System y componentes de Qualcomm. Algunas de estas vulnerabilidades podrían permitir elevación remota de privilegios sin requerir interacción del usuario. Google distribuyó dos niveles de parches de seguridad, mientras que los fabricantes de dispositivos deberán adaptar e implementar las actualizaciones según sus plataformas.
Vulnerabilidad crítica en Kirki permite secuestrar cuentas de administradores de WordPress
Investigadores detectaron la explotación activa de la vulnerabilidad crítica CVE-2026-8206 en el complemento Kirki para WordPress, utilizado en más de 500.000 sitios web. El fallo afecta a las versiones 6.0.0 a 6.0.6 y permite a atacantes no autenticados tomar control de cuentas de usuarios, incluidas las de administradores, mediante un mecanismo defectuoso de restablecimiento de contraseñas.
El problema se origina en una API REST que acepta direcciones de correo arbitrarias durante el proceso de recuperación de contraseñas. De esta forma, el sistema genera enlaces válidos para restablecer credenciales y los envía al correo controlado por el atacante. El fabricante lanzó la versión 6.0.7 para corregir el problema y recomendó actualizar de inmediato.
Zero-day de Visual Studio Code permite robar tokens de GitHub
El investigador Ammar Askar publicó detalles y código de explotación para una vulnerabilidad zero-day en Visual Studio Code que permite a atacantes obtener tokens OAuth de GitHub mediante un solo clic de la víctima. La falla aprovecha el sistema de intercambio de mensajes entre componentes web de github.dev para instalar extensiones maliciosas capaces de extraer credenciales.
Según la investigación, el ataque puede utilizar los tokens robados para consultar repositorios privados accesibles por la víctima. Aunque inicialmente no existía un parche oficial ni un identificador CVE asociado, Microsoft informó posteriormente que implementó mitigaciones en sus servicios. Como medida temporal, se recomendó eliminar cookies y datos locales asociados a github.dev.
Nuevo ataque HTTP/2 Bomb puede derribar servidores web en segundos
Investigadores de la firma Calif presentaron HTTP/2 Bomb, una técnica de denegación de servicio que combina mecanismos ya conocidos del protocolo HTTP/2 para agotar rápidamente la memoria de los servidores. El ataque puede ser ejecutado desde un único equipo y afecta configuraciones predeterminadas de plataformas como Apache HTTP Server, NGINX, IIS, Envoy y Pingora.
La técnica aprovecha la compresión HPACK para amplificar el consumo de memoria y posteriormente impide su liberación mediante manipulación del control de flujo HTTP/2. Durante las pruebas, algunos servidores agotaron decenas de gigabytes de memoria en menos de un minuto. Apache y NGINX ya cuentan con correcciones, mientras que otros productos aún esperan actualizaciones.
Vulnerabilidad crítica de Netlogon ya es explotada contra servidores Windows
El Centro para la Ciberseguridad de Bélgica (CCB) alertó que la vulnerabilidad CVE-2026-41089, corregida por Microsoft durante el Patch Tuesday de mayo, está siendo explotada activamente. El fallo afecta al servicio Netlogon de Windows Server y consiste en un desbordamiento de búfer que puede permitir ejecución remota de código sin autenticación en controladores de dominio.
La falla impacta a todas las versiones compatibles de Windows Server, incluido Windows Server 2025. Aunque Microsoft indicó no contar con evidencias propias que confirmen la explotación, recomendó aplicar inmediatamente las actualizaciones de seguridad. El CCB señaló que la información sobre los ataques provino de socios de confianza y urgió a los administradores a proteger los sistemas vulnerables.
CIFSwitch permite escalada de privilegios a root en múltiples distribuciones Linux
Investigadores revelaron una nueva vulnerabilidad de escalada local de privilegios denominada CIFSwitch (CVE-2026-46243), que afecta al subsistema CIFS del kernel Linux y a determinadas versiones de cifs-utils. El fallo permite que un usuario sin privilegios falsifique solicitudes de autenticación CIFS y abuse del mecanismo de gestión de claves del sistema para ejecutar código con privilegios de root. La vulnerabilidad existe desde 2007 y afecta a varias distribuciones Linux bajo determinadas configuraciones.
El problema se origina porque el kernel no valida correctamente el origen de ciertas solicitudes de autenticación CIFS. Esto permite que el proceso cifs.upcall, ejecutado con privilegios elevados, procese datos controlados por un atacante. Entre las distribuciones afectadas se encuentran Linux Mint, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux y SLES. Ya existe un parche disponible y el investigador publicó una prueba de concepto para validar mitigaciones y correcciones implementadas.
Vulnerabilidad de GlobalProtect VPN ya está siendo explotada contra dispositivos PAN-OS
Palo Alto Networks advirtió que actores maliciosos comenzaron a explotar activamente la vulnerabilidad CVE-2026-0257 en GlobalProtect VPN, un fallo corregido semanas atrás que permite omitir mecanismos de autenticación y establecer conexiones VPN no autorizadas. Inicialmente clasificada con severidad media, la compañía elevó su nivel de riesgo tras detectar intentos reales de explotación contra dispositivos que permanecían sin actualizar.
La falla afecta implementaciones que utilizan cookies de anulación de autenticación y determinadas configuraciones de certificados. Investigaciones de Rapid7 identificaron ataques desde el 17 de mayo, en los que los atacantes generaban cookies falsificadas para autenticarse como usuarios legítimos. Algunos casos permitieron acceso a redes internas mediante VPN. Debido a la actividad observada, CISA incorporó la vulnerabilidad a su catálogo de fallas explotadas y ordenó su mitigación inmediata en organismos federales.
Falla en WP Maps Pro es utilizada para crear cuentas administradoras en WordPress
Actores maliciosos están explotando la vulnerabilidad crítica CVE-2026-8732 en el complemento WP Maps Pro para WordPress, permitiendo crear cuentas con privilegios de administrador sin necesidad de autenticación. El fallo afecta a las versiones 6.1.0 y anteriores del plugin, utilizado para incorporar mapas interactivos y localizadores de sucursales en sitios web empresariales y comerciales.
La vulnerabilidad reside en una función de acceso temporal diseñada para soporte técnico. Investigadores descubrieron que un punto de acceso AJAX podía ser invocado por usuarios no autenticados, generando automáticamente cuentas administradoras y enlaces de acceso sin contraseña. Wordfence informó haber bloqueado más de 3.600 intentos de explotación en un solo día. La versión 6.1.1 corrige el problema y los administradores fueron instados a actualizar de inmediato.
Falla crítica en KnowledgeDeliver fue explotada como día cero para instalar web shells
Investigadores de Mandiant revelaron que actores maliciosos explotaron una vulnerabilidad crítica de día cero en servidores del sistema de gestión de aprendizaje KnowledgeDeliver. La falla, identificada como CVE-2026-5426, corresponde a un problema de deserialización en ViewState derivado del uso de claves ASP.NET idénticas en múltiples implementaciones del producto. Esto permitió a los atacantes firmar cargas maliciosas y ejecutar código de forma remota sin necesidad de autenticación.
Durante un incidente investigado a fines de 2025, los atacantes utilizaron la vulnerabilidad para modificar archivos de la plataforma y distribuir un falso complemento de autenticación. La campaña derivó en la instalación de un beacon de Cobalt Strike y posteriormente de la web shell Godzilla, utilizada para mantener acceso persistente al entorno comprometido. Los investigadores señalaron que ataques similares basados en claves de máquina expuestas han afectado previamente a otras plataformas empresariales.
Nueva vulnerabilidad de ejecución remota de código afecta a servidores Gogs
Investigadores de Rapid7 advirtieron sobre una vulnerabilidad crítica de día cero en Gogs, una plataforma Git autohospedada utilizada como alternativa a GitHub Enterprise y GitLab. El fallo, aún sin identificador CVE asignado, permite la ejecución remota de código mediante una inyección de argumentos en procesos de fusión de repositorios. El problema afecta a las versiones más recientes del software y permanece sin parche al momento de la divulgación.
Aunque la explotación requiere una cuenta registrada, la configuración predeterminada de Gogs permite el registro abierto de usuarios y la creación ilimitada de repositorios. Un atacante puede aprovechar una solicitud de integración especialmente manipulada para ejecutar comandos en el servidor, acceder a repositorios privados, extraer credenciales y desplazarse lateralmente dentro de la red. Más de 2.400 instancias expuestas en Internet podrían verse afectadas.
FortiClient EMS bajo ataque para distribuir malware roba credenciales
Actores maliciosos están explotando la vulnerabilidad crítica CVE-2026-35616 en FortiClient Enterprise Management Server (EMS) para desplegar un malware ladrón de credenciales denominado EKZ. La falla, causada por controles de acceso insuficientes, permite a atacantes remotos sin autenticación ejecutar comandos arbitrarios mediante solicitudes especialmente diseñadas. Fortinet confirmó la explotación activa y publicó correcciones de emergencia durante abril.
Según Arctic Wolf, los atacantes modifican configuraciones y políticas VPN dentro de EMS para ejecutar scripts maliciosos en los equipos administrados. El malware se presenta como una actualización legítima de Fortinet y recopila contraseñas, cookies, datos financieros y otra información almacenada en navegadores Chromium y Firefox. Los datos robados son enviados posteriormente a servidores controlados por los atacantes para su explotación posterior.
Drupal confirma intentos de explotación de falla crítica de inyección SQL
Drupal advirtió que actores maliciosos ya están intentando explotar una vulnerabilidad crítica identificada como CVE-2026-9082, descubierta por el investigador Michael Maturi de Google/Mandiant. La falla afecta la API de abstracción de bases de datos del CMS y permite ejecutar ataques de inyección SQL mediante solicitudes especialmente diseñadas en sitios que utilizan PostgreSQL. El proyecto había alertado previamente que la explotación podía comenzar en cuestión de horas o días tras la divulgación del problema.
La vulnerabilidad puede explotarse sin autenticación previa y podría derivar en ejecución remota de código, escalamiento de privilegios y exposición de información sensible. Drupal elevó el nivel de riesgo tras detectar actividad maliciosa en entornos reales y recomendó aplicar de inmediato las actualizaciones de seguridad disponibles para las ramas afectadas. Además, recordó que las versiones 8 y 9 ya se encuentran fuera de soporte y continúan expuestas a otros problemas de seguridad conocidos.
Vulnerabilidad de día cero en Trend Micro Apex One fue explotada en ataques reales
Trend Micro corrigió una vulnerabilidad de día cero identificada como CVE-2026-34926 que afecta a la versión local de Apex One, su plataforma de protección de endpoints para entornos empresariales. La falla corresponde a un problema de recorrido de directorios que permite a un atacante con acceso administrativo al servidor modificar tablas críticas e inyectar código malicioso que posteriormente puede ser distribuido a los agentes instalados en los equipos protegidos por la solución.
La compañía confirmó haber observado al menos un intento de explotación activa de la vulnerabilidad. Debido a ello, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) incorporó la falla a su catálogo de vulnerabilidades explotadas y ordenó a las agencias federales aplicar las actualizaciones antes del 4 de junio. Trend Micro también publicó correcciones para siete vulnerabilidades adicionales de escalación de privilegios presentes en el agente Apex One Standard Endpoint Protection.
Campaña masiva explota vulnerabilidad crítica en Ghost CMS para distribuir malware
Investigadores de XLab identificaron una campaña a gran escala que explota la vulnerabilidad crítica CVE-2026-26980 en Ghost CMS para comprometer sitios web e insertar código JavaScript malicioso. La falla permite a atacantes sin autenticación obtener claves administrativas almacenadas en la base de datos del sistema y modificar artículos o contenidos publicados. Más de 700 dominios habrían sido afectados, incluyendo portales universitarios, empresas tecnológicas, medios de comunicación y blogs personales.
Los atacantes utilizan el acceso obtenido para insertar scripts que despliegan páginas falsas de verificación tipo Cloudflare mediante la técnica ClickFix. Cuando los visitantes interactúan con estos mensajes fraudulentos, reciben instrucciones para ejecutar comandos maliciosos en sus equipos. Aunque Ghost publicó una corrección en febrero de 2026, numerosas organizaciones no aplicaron la actualización. Los investigadores recomendaron actualizar inmediatamente a versiones corregidas y rotar todas las claves administrativas expuestas.
Microsoft corrige dos vulnerabilidades de día cero en Defender explotadas activamente
Microsoft comenzó a distribuir actualizaciones de seguridad para corregir dos vulnerabilidades de día cero que estaban siendo explotadas activamente contra sistemas Windows. La primera, identificada como CVE-2026-41091, afecta al motor de protección contra malware de Microsoft y permite la escalación local de privilegios hasta nivel SYSTEM mediante un problema de resolución incorrecta de enlaces antes del acceso a archivos. La segunda, CVE-2026-45498, impacta a la plataforma Microsoft Defender Antimalware y puede ser utilizada para provocar condiciones de denegación de servicio en dispositivos vulnerables.
La compañía liberó nuevas versiones de los componentes afectados y señaló que las actualizaciones deberían instalarse automáticamente en la mayoría de los equipos. Paralelamente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) incorporó ambas fallas a su catálogo de vulnerabilidades explotadas activamente y ordenó a las agencias federales aplicar las mitigaciones antes del 3 de junio. Los problemas fueron divulgados previamente por investigadores independientes bajo los nombres RedSun y UnDefend.
Vulnerabilidad crítica en Cisco Secure Workload permite obtener privilegios de administrador
Cisco publicó actualizaciones de seguridad para corregir la vulnerabilidad CVE-2026-20223, una falla de severidad máxima presente en Cisco Secure Workload. El problema reside en las API REST internas de la plataforma y permite que un atacante sin autenticación obtenga privilegios equivalentes al rol Site Admin. Según la compañía, la falla se debe a deficiencias en los mecanismos de validación y autenticación implementados en determinados puntos de acceso de la aplicación.
Un atacante podría explotar la vulnerabilidad mediante solicitudes especialmente diseñadas para acceder a información sensible y modificar configuraciones incluso entre distintos entornos administrados. Cisco indicó que no existen medidas de mitigación alternativas y que la única solución disponible es instalar las versiones corregidas del producto. La empresa señaló además que no encontró evidencia de explotación activa antes de la publicación del aviso de seguridad.
Google expone accidentalmente detalles de una falla sin corregir en Chromium
Google reveló involuntariamente información técnica sobre una vulnerabilidad aún no corregida en Chromium que permite mantener procesos JavaScript ejecutándose en segundo plano incluso después de cerrar el navegador. El problema, reportado originalmente en 2022, puede ser aprovechado mediante Service Workers especialmente diseñados para ejecutar código persistente en dispositivos que visiten una página web maliciosa. La falla afecta a navegadores basados en Chromium, incluyendo Chrome, Edge, Opera, Brave y Vivaldi.
La exposición ocurrió después de que el error fuera marcado erróneamente como corregido dentro del sistema de seguimiento de vulnerabilidades, lo que provocó la eliminación automática de restricciones de acceso al reporte técnico. La investigadora que descubrió el problema confirmó posteriormente que la vulnerabilidad seguía presente en versiones recientes de Chrome y Edge. Aunque el fallo no permite acceder a archivos ni romper los límites de seguridad del navegador, sí podría facilitar actividades como ataques distribuidos o redes de dispositivos controlados remotamente.
Ubiquiti corrige tres vulnerabilidades críticas en UniFi OS
Ubiquiti publicó actualizaciones para solucionar tres vulnerabilidades de severidad máxima que afectan a UniFi OS, el sistema operativo utilizado por sus consolas de administración de infraestructura. Las fallas, identificadas como CVE-2026-34908, CVE-2026-34909 y CVE-2026-34910, permiten realizar cambios no autorizados, acceder a archivos del sistema y ejecutar comandos mediante técnicas de inyección. Todas pueden ser explotadas remotamente con baja complejidad de ataque.
Además de estas tres vulnerabilidades, la empresa corrigió una falla crítica adicional de inyección de comandos y otra de divulgación de información. Aunque no existen reportes públicos de explotación activa, investigadores estiman que cerca de 100 mil instancias de UniFi OS permanecen expuestas a Internet. Los productos de Ubiquiti han sido utilizados anteriormente por grupos criminales y actores patrocinados por Estados para ocultar operaciones maliciosas mediante redes de dispositivos comprometidos.
Microsoft publica mitigaciones para la vulnerabilidad de día cero YellowKey en Windows
Microsoft compartió medidas temporales de mitigación para YellowKey, una vulnerabilidad de día cero identificada como CVE-2026-45585 que permite eludir las protecciones de cifrado de BitLocker. La falla fue divulgada públicamente junto con una prueba de concepto funcional y afecta al Entorno de Recuperación de Windows (WinRE), permitiendo que un atacante con acceso físico pueda acceder a datos protegidos mediante el mecanismo de cifrado del sistema operativo.
La compañía actualizó su aviso de seguridad incorporando un script de mitigación mientras desarrolla una corrección permanente. El caso generó controversia luego de que el investigador que reveló la vulnerabilidad denunciara restricciones sobre sus cuentas y posibles acciones legales. Posteriormente, Microsoft indicó que no perseguirá a investigadores de seguridad que actúen de buena fe y reiteró su compromiso con los procesos de divulgación coordinada de vulnerabilidades.
Publican exploit para vulnerabilidad PinTheft que permite obtener privilegios root en Arch Linux
Investigadores de seguridad publicaron una prueba de concepto para PinTheft, una vulnerabilidad de escalamiento local de privilegios que afecta sistemas Arch Linux. El fallo reside en el subsistema RDS (Reliable Datagram Sockets) del kernel Linux y permite a usuarios locales obtener privilegios de administrador mediante la explotación de una condición de doble liberación de memoria relacionada con operaciones zerocopy.
Aunque el problema ya había sido corregido mediante actualizaciones recientes del kernel, la disponibilidad pública del exploit aumenta el riesgo para organizaciones y usuarios que aún no han aplicado los parches correspondientes. Los investigadores explicaron que la vulnerabilidad puede aprovecharse para sobrescribir estructuras críticas de memoria y elevar privilegios hasta alcanzar acceso root completo sobre el sistema afectado.
Drupal lanza actualización crítica para corregir falla con alto riesgo de explotación
El proyecto Drupal emitió una actualización de seguridad crítica para corregir una vulnerabilidad en su núcleo que fue catalogada con un elevado riesgo de explotación. Los mantenedores advirtieron que los detalles técnicos serían publicados junto con el parche, lo que podría permitir a actores maliciosos analizar rápidamente los cambios y desarrollar exploits funcionales en un corto período de tiempo.
La organización instó a administradores y equipos técnicos a aplicar las actualizaciones tan pronto como estuvieran disponibles para minimizar la ventana de exposición. Aunque inicialmente no se divulgaron detalles específicos sobre el impacto técnico o las versiones afectadas, Drupal destacó que la severidad del problema justificaba una respuesta inmediata debido al potencial riesgo para sitios web que utilicen versiones vulnerables de la plataforma.
Vulnerabilidad crítica en ChromaDB permite tomar control de servidores de aplicaciones de IA
Investigadores de HiddenLayer revelaron la vulnerabilidad CVE-2026-45829 en ChromaDB, una base de datos vectorial de código abierto ampliamente utilizada en aplicaciones de inteligencia artificial y sistemas basados en modelos de lenguaje. La falla afecta al servidor Python FastAPI y permite que atacantes sin autenticación ejecuten código arbitrario en servidores expuestos a Internet. El problema se origina porque el sistema procesa y carga modelos antes de completar la verificación de autenticación, lo que posibilita la ejecución de cargas maliciosas alojadas en plataformas externas como Hugging Face.
La vulnerabilidad fue reportada en febrero de 2026 y recibió la máxima calificación de severidad. Según HiddenLayer, aproximadamente el 73% de las instancias expuestas en Internet ejecutan versiones vulnerables. Aunque se publicó la versión 1.5.9 del software, no está confirmado si corrige el problema. Mientras no exista claridad sobre un parche efectivo, los investigadores recomiendan evitar exponer públicamente el servidor Python de ChromaDB, restringir el acceso a la API y analizar los modelos de aprendizaje automático antes de su ejecución para reducir el riesgo de compromiso.
Publican exploit MiniPlasma que entrega privilegios SYSTEM en Windows
Un investigador conocido como Chaotic Eclipse publicó un exploit funcional para una vulnerabilidad de escalada de privilegios en Windows denominada MiniPlasma. El fallo afecta al controlador cldflt.sys y permitiría obtener acceso SYSTEM incluso en equipos completamente actualizados. Según el investigador, la vulnerabilidad corresponde a un problema reportado originalmente en 2020 y que no habría sido corregido completamente.
El exploit fue probado exitosamente en Windows 11 Pro con las actualizaciones de mayo de 2026 instaladas. Investigadores independientes confirmaron su funcionamiento en versiones públicas recientes de Windows 11, aunque no en compilaciones Insider Canary. Microsoft aún no confirma si el problema sigue presente ni ha anunciado una actualización de seguridad para corregirlo.
DirtyDecrypt permite escalar privilegios root en sistemas Linux
Investigadores publicaron una prueba de concepto para explotar una vulnerabilidad de escalada de privilegios en Linux conocida como DirtyDecrypt o DirtyCBC. El fallo afecta al módulo rxgk del kernel Linux y permitiría obtener acceso root en sistemas vulnerables. El problema fue identificado por investigadores de Delphos Labs y V12 Security durante mayo de 2026.
La vulnerabilidad impacta principalmente a distribuciones que utilizan kernels recientes, como Fedora, Arch Linux y openSUSE Tumbleweed. Los investigadores indicaron que el exploit fue probado exitosamente en Fedora y recomendaron instalar las últimas actualizaciones de kernel. También se difundieron mitigaciones temporales para quienes no puedan aplicar parches inmediatamente.
Microsoft confirma errores en instalación de actualización de Windows 11
Microsoft confirmó que la actualización de seguridad KB5089549 para Windows 11 puede fallar durante la instalación en algunos equipos. El problema genera el código de error 0x800f0922 y está relacionado con falta de espacio libre en la partición EFI del sistema. La instalación se revierte automáticamente tras reiniciar el dispositivo afectado.
La compañía explicó que el error ocurre especialmente en sistemas con menos de 10 MB disponibles en la partición EFI. Como medida temporal, Microsoft recomendó aplicar políticas Known Issue Rollback para revertir el comportamiento defectuoso mientras desarrolla una solución definitiva. La actualización incluía correcciones de seguridad y otros cambios para Windows 11.
Microsoft prueba barra de tareas ajustable y cambios en menú Inicio de Windows 11
Microsoft comenzó a probar nuevas funciones para Windows 11 en versiones Insider del canal Experimental. Entre las novedades se encuentra la posibilidad de mover la barra de tareas a los lados o parte superior de la pantalla y reducir el tamaño de sus botones. Los cambios responden a solicitudes históricas realizadas por usuarios del sistema operativo.
La compañía también incorporó nuevas opciones de personalización para el menú Inicio, permitiendo desactivar recomendaciones, ajustar tamaños y ocultar información del perfil del usuario. Además, Microsoft trabaja en mejoras relacionadas con búsqueda, rendimiento, configuraciones del sistema y reducción de interrupciones durante el uso diario de Windows 11.
Microsoft confirma fallas de actualización en redes Windows restringidas
Microsoft confirmó que algunos entornos Windows con redes restringidas presentan errores al descargar actualizaciones desde Windows Update tras instalar las actualizaciones opcionales de enero de 2026. Los sistemas afectados muestran el código de error 0x80010002, especialmente en entornos aislados, con firewalls estrictos o sin conexión directa a internet.
La compañía explicó que el problema está relacionado con nuevos requisitos de tiempo de espera en las descargas y no con la integridad de los dispositivos. Como mitigación temporal, Microsoft recomendó aplicar políticas Known Issue Rollback (KIR) específicas según la versión de Windows utilizada y reiniciar los equipos para aplicar los cambios.
Amenaza cibernética
Malware IronWorm compromete paquetes npm en ataque a la cadena de suministro
Investigadores detectaron una nueva campaña de ataque a la cadena de suministro que comprometió 36 paquetes en npm mediante el malware IronWorm. La amenaza está diseñada para robar credenciales, claves SSH, configuraciones de servicios en la nube y otros secretos almacenados en entornos de desarrollo. El código malicioso está escrito en Rust, utiliza la red Tor para comunicarse y puede ocultarse mediante técnicas avanzadas de evasión.
Según los análisis, el malware también posee capacidades de autopropagación, utilizando credenciales robadas para publicar versiones maliciosas de paquetes pertenecientes a otras víctimas. La campaña se habría originado a partir de una cuenta comprometida y fue detectada en una etapa temprana, evitando que alcanzara paquetes más populares dentro del ecosistema npm.
Campaña Magecart utiliza Stripe para almacenar datos de tarjetas robadas
Investigadores de Sansec identificaron una nueva variante de malware Magecart que utiliza la infraestructura de Stripe para alojar tanto el código malicioso como la información robada durante procesos de compra en línea. La operación también emplea Google Tag Manager para distribuir el código, aprovechando que ambos dominios suelen ser considerados confiables por las tiendas electrónicas.
El malware se activa en páginas de pago de Magento y Adobe Commerce para capturar números de tarjetas, fechas de expiración, códigos CVV y datos personales de los compradores. Posteriormente, la información es almacenada dentro de registros falsos de clientes en Stripe, permitiendo a los atacantes utilizar servicios legítimos como mecanismo de exfiltración y almacenamiento de los datos sustraídos.
Silent Ransom Group apunta a estudios jurídicos mediante falsas llamadas de soporte técnico
La firma Mandiant reveló que el grupo Silent Ransom Group está atacando bufetes de abogados y organizaciones de servicios profesionales mediante campañas de ingeniería social. Los atacantes envían correos electrónicos relacionados con facturas y posteriormente llaman a las víctimas haciéndose pasar por personal de soporte informático para convencerlas de instalar herramientas de acceso remoto.
Una vez dentro de la red corporativa, los operadores buscan documentos financieros, legales y de clientes para extraerlos y utilizarlos en esquemas de extorsión. Según el informe, las demandas de rescate suelen llegar pocas horas después de obtener acceso a los sistemas, mientras que el FBI también ha advertido sobre intentos de robo de información mediante visitas presenciales a oficinas.
Botnet C0XMO explota routers DD-WRT y elimina malware competidor
Investigadores de Fortinet identificaron una nueva variante de la botnet Gafgyt denominada C0XMO, la cual aprovecha una vulnerabilidad conocida en dispositivos con firmware DD-WRT para comprometer sistemas conectados a internet. El malware está disponible para múltiples arquitecturas de hardware y puede propagarse a routers, grabadores de video digital y otros dispositivos embebidos.
Además de incorporar capacidades para lanzar ataques distribuidos de denegación de servicio (DDoS), C0XMO incluye mecanismos para eliminar otras botnets, herramientas de administración remota y software que pudiera interferir con su funcionamiento. Tras comprometer un dispositivo, establece persistencia, realiza movimientos laterales y se conecta a servidores de comando y control para recibir instrucciones.
Herramienta de ransomware desarrollada con IA automatiza evasión de EDR
Sophos identificó una plataforma utilizada en operaciones de ransomware que emplea herramientas de inteligencia artificial como Cursor y Claude Opus para acelerar el desarrollo de malware. El kit automatiza tareas como reconocimiento de Active Directory, pruebas de evasión de soluciones EDR y generación de cargas maliciosas adaptadas a distintas técnicas de ataque.
La investigación reveló que el entorno incluye múltiples agentes especializados encargados de documentación, pruebas, análisis y optimización de malware. También se hallaron evidencias que vinculan el marco con actividades criminales relacionadas con ransomware, incluyendo referencias a notas de rescate y organizaciones listadas en sitios de filtración de datos.
Campaña contra WordPress oculta infraestructura maliciosa en perfiles de Steam
Investigadores de GoDaddy descubrieron una campaña que comprometió cerca de 2.000 sitios WordPress utilizando comentarios en perfiles de Steam Community para almacenar información de comando y control. Los atacantes emplearon caracteres Unicode invisibles para ocultar instrucciones que posteriormente eran decodificadas por scripts instalados en los sitios comprometidos.
El malware construye direcciones URL que descargan código JavaScript adicional y finalmente instala una puerta trasera capaz de ejecutar código PHP enviado mediante solicitudes especialmente diseñadas. Los investigadores señalaron que los atacantes aprovechan la infraestructura legítima de Steam para dificultar la detección y evitar la necesidad de mantener servidores de control propios.
Paquetes npm de Red Hat comprometidos para robar credenciales
Más de 30 paquetes npm pertenecientes al espacio de nombres @redhat-cloud-services fueron comprometidos en un ataque a la cadena de suministro. Los paquetes distribuyeron una nueva variante del malware Shai-Hulud, denominada Miasma, diseñada para extraer credenciales de desarrolladores, secretos de nube, claves SSH, tokens CI/CD y otra información sensible.
La investigación apunta a la posible toma de control de una cuenta de GitHub de un empleado de Red Hat, utilizada para insertar código malicioso y publicar versiones alteradas de los paquetes. Red Hat eliminó los componentes afectados del registro npm e indicó que el incidente estaba limitado a herramientas internas de desarrollo. Los investigadores identificaron cientos de repositorios comprometidos por la campaña.
DriveSurge secuestra miles de sitios para distribuir malware
La firma Silent Push atribuyó a un actor denominado DriveSurge una extensa campaña que compromete miles de sitios web legítimos para redirigir visitantes hacia infraestructuras de distribución de malware. Los atacantes emplean técnicas ClickFix y FakeUpdates para engañar a las víctimas y lograr la ejecución de código malicioso en sus equipos.
La operación utiliza un sistema de distribución de tráfico llamado zTDS, que analiza a los visitantes y selecciona el señuelo más adecuado. Entre las tácticas observadas se encuentran falsas actualizaciones de navegadores y páginas que inducen a ejecutar comandos maliciosos en PowerShell. Los investigadores identificaron decenas de dominios asociados a la infraestructura utilizada en la campaña.
Malware BTMOB ofrece campañas de phishing personalizadas para Android
La empresa ESET alertó sobre BTMOB, un troyano de acceso remoto para Android comercializado bajo el modelo Malware-as-a-Service. La plataforma permite a ciberdelincuentes generar aplicaciones maliciosas personalizadas mediante una interfaz gráfica, facilitando la creación de campañas de phishing adaptadas a distintos objetivos sin requerir conocimientos de programación.
BTMOB incluye funciones para robar datos, interceptar transacciones financieras, capturar pantallas y controlar dispositivos de forma remota. Los operadores pueden configurar permisos, ocultar la aplicación, desactivar servicios de seguridad y adaptar señuelos locales. Investigadores indican que la amenaza tiene fuerte presencia en Brasil y América Latina, distribuyéndose mediante sitios falsos que imitan Google Play, servicios de streaming y plataformas relacionadas con criptomonedas.
GreyVibe utiliza inteligencia artificial para potenciar campañas de espionaje
Investigadores de WithSecure identificaron una operación atribuida al grupo GreyVibe, una amenaza vinculada a intereses rusos que ha dirigido campañas contra organizaciones relacionadas con Ucrania desde al menos agosto de 2025. El grupo emplea múltiples cadenas de ataque que incluyen correos de spear phishing, sitios falsos, páginas ClickFix, malware para Windows y spyware para Android.
El informe destaca el uso extensivo de herramientas de inteligencia artificial como ChatGPT, Gemini e Ideogram AI para generar señuelos convincentes, contenido visual y posiblemente componentes de malware. Entre las herramientas utilizadas figuran troyanos de acceso remoto, programas de espionaje y mecanismos para el robo de credenciales, datos de mensajería y archivos. Los investigadores observaron indicios que sugieren una combinación de capacidades de ciberespionaje y antecedentes vinculados al cibercrimen.
FBI alerta sobre ataques presenciales de robo de datos contra estudios jurídicos
El FBI emitió una alerta sobre nuevas tácticas empleadas por el grupo de extorsión Silent Ransom Group (SRG), que ahora combina ingeniería social con acceso físico a las instalaciones de sus víctimas. La organización criminal se hace pasar por personal de soporte técnico mediante llamadas telefónicas o correos electrónicos para convencer a empleados de otorgar acceso remoto a sus equipos corporativos.
Cuando los intentos remotos fracasan, integrantes del grupo se presentan físicamente en las oficinas para conectar dispositivos USB o discos externos y extraer información. Los datos obtenidos son utilizados posteriormente para extorsionar a las organizaciones, amenazando con publicar o vender la información robada. El FBI indicó que el grupo opera desde al menos 2022 y mantiene campañas activas contra entidades legales y financieras en Estados Unidos.
Botnet Glassworm es desmantelada tras operación contra su infraestructura de mando y control
Una operación coordinada entre CrowdStrike, Google y The Shadowserver Foundation logró interrumpir la botnet Glassworm, una amenaza enfocada en desarrolladores mediante ataques a la cadena de suministro de software. Desde octubre de 2025, la campaña había distribuido extensiones maliciosas para Visual Studio Code, paquetes npm y repositorios comprometidos con el objetivo de robar credenciales y billeteras de criptomonedas.
La infraestructura de mando y control utilizaba mecanismos poco convencionales para resistir acciones de desmantelamiento, incluyendo la cadena de bloques Solana, la red BitTorrent DHT, eventos de Google Calendar y servidores tradicionales. Los investigadores indicaron que fue necesario neutralizar simultáneamente los cuatro canales de comunicación para cortar el control de los sistemas infectados y evitar la distribución de nuevas cargas maliciosas.
Campaña de cryptojacking se propaga mediante SEO malicioso y resultados de chatbots de IA
Microsoft identificó una campaña dirigida a equipos de alto rendimiento que distribuye malware de minería de criptomonedas mediante técnicas de SEO poisoning y manipulación de resultados generados por asistentes de inteligencia artificial. Los atacantes utilizan sitios falsos que aparentan ofrecer utilidades legítimas como CrystalDiskInfo, HWMonitor o FurMark, atrayendo a usuarios que buscan estas herramientas en Internet.
Tras la descarga de archivos manipulados, las víctimas instalan inadvertidamente herramientas de acceso remoto y componentes que establecen múltiples mecanismos de persistencia. Posteriormente se ejecutan mineros especializados para GPU, incluyendo gminer, lolMiner y SRBMiner-MULTI. Microsoft señaló que la campaña prioriza sistemas con alta capacidad gráfica para maximizar el rendimiento económico de la minería ilícita.
Ataque a la cadena de suministro compromete paquetes Laravel Lang y distribuye malware roba credenciales
Empresas de seguridad alertaron sobre un ataque a la cadena de suministro que afectó a varios paquetes Laravel Lang utilizados para localización de aplicaciones PHP. Los atacantes no modificaron directamente el código fuente de los proyectos, sino que manipularon etiquetas de versiones en GitHub para redirigirlas hacia repositorios controlados por ellos. Como resultado, desarrolladores que instalaban versiones aparentemente legítimas recibían código malicioso a través del gestor de dependencias Composer.
El malware incorporado descargaba una segunda carga útil diseñada para recopilar credenciales de servicios en la nube, secretos de Kubernetes, tokens de acceso, claves SSH, billeteras de criptomonedas y datos almacenados en navegadores. En sistemas Windows, además, desplegaba un ejecutable especializado en extraer credenciales protegidas de Chrome, Edge y Brave. Tras el hallazgo, las versiones comprometidas fueron retiradas de distribución y se recomendó a los usuarios revisar instalaciones recientes y rotar credenciales potencialmente expuestas.
FBI alerta sobre Kali365, plataforma de phishing dirigida a cuentas Microsoft 365
El FBI emitió una alerta sobre Kali365, una plataforma de phishing como servicio diseñada para comprometer cuentas Microsoft 365 mediante el abuso del flujo legítimo de autenticación OAuth por código de dispositivo. La herramienta, distribuida a través de canales de Telegram desde abril de 2026, permite a atacantes obtener acceso a cuentas corporativas sin necesidad de robar contraseñas ni interceptar códigos de autenticación multifactor.
La plataforma engaña a las víctimas para que introduzcan códigos válidos en el portal oficial de autenticación de Microsoft. Una vez completado el proceso, los atacantes reciben tokens de acceso que les permiten ingresar a Microsoft 365 y otros servicios conectados mediante inicio de sesión único. Investigadores señalaron que Kali365 incorpora plantillas automatizadas de phishing, paneles de seguimiento en tiempo real y capacidades de captura de sesiones autenticadas, facilitando ataques incluso a ciberdelincuentes con experiencia limitada.
Grupo vinculado a China despliega nuevo malware contra empresas de telecomunicaciones
Investigadores de Lumen Black Lotus Labs y PwC identificaron una campaña de ciberespionaje atribuida al grupo Calypso, también conocido como Red Lamassu, que ha atacado proveedores de telecomunicaciones desde al menos 2022. La operación utilizó dominios falsos relacionados con telecomunicaciones para hacerse pasar por organizaciones legítimas y desplegar nuevas familias de malware para Linux y Windows denominadas Showboat y JFMBackdoor.
Showboat funciona como una plataforma modular para mantener persistencia, transferir archivos y actuar como punto de pivote dentro de redes comprometidas, mientras que JFMBackdoor incorpora capacidades avanzadas de espionaje, incluyendo ejecución remota de comandos, administración de procesos, captura de pantallas y manipulación del registro de Windows. Los investigadores indicaron que la infraestructura utilizada sugiere un ecosistema compartido entre varios grupos alineados con intereses chinos que operan en distintas regiones utilizando herramientas similares.
Hackers evaden MFA en VPN SonicWall mediante sistemas parcheados de forma incompleta
Investigadores alertaron sobre ataques dirigidos contra dispositivos SonicWall Gen6 SSL-VPN en los que los atacantes logran evadir la autenticación multifactor aprovechando implementaciones incompletas de parches de seguridad. La actividad observada combina ataques de fuerza bruta contra credenciales válidas con la explotación de sistemas que no aplicaron correctamente las correcciones publicadas previamente por el fabricante.
Una vez que obtienen acceso autenticado, los actores de amenazas despliegan herramientas utilizadas habitualmente en etapas previas a ataques de ransomware y otras operaciones de intrusión. Los reportes indican que el problema no afecta a sistemas completamente actualizados, sino a entornos donde las medidas de remediación quedaron incompletas o fueron implementadas de manera incorrecta, dejando una vía para sortear los controles de autenticación.
GitHub vincula brecha interna a la campaña de cadena de suministro de TanStack
GitHub confirmó que el acceso no autorizado a cerca de 3.800 repositorios internos estuvo relacionado con la campaña de cadena de suministro que comprometió paquetes npm de TanStack. La compañía indicó que el punto inicial de acceso fue una versión maliciosa de la extensión Nx Console para Visual Studio Code instalada por un empleado, la cual había sido comprometida durante la operación atribuida al grupo TeamPCP.
La intrusión forma parte de una campaña más amplia que afectó ecosistemas de desarrollo de software mediante el robo de credenciales CI/CD y la manipulación de dependencias de código abierto. Tras detectar la actividad, GitHub aseguró el dispositivo comprometido y realizó la rotación de secretos considerados prioritarios. La empresa indicó que continúa investigando el alcance total del incidente y no informó evidencia de acceso a datos de clientes fuera de los repositorios afectados.
Nueva campaña Shai-Hulud compromete más de 600 paquetes maliciosos en npm
Actores de amenazas publicaron más de 600 versiones maliciosas de paquetes en el repositorio npm como parte de una nueva campaña de la familia Shai-Hulud. El ataque afectó principalmente al ecosistema @antv, utilizado para visualización de datos, gráficos y diagramas, aunque también comprometió otros paquetes populares. Los atacantes lograron tomar control de cuentas de mantenedores y tokens de publicación para insertar código que roba credenciales de desarrolladores y entornos CI/CD, exfiltrando información mediante la red descentralizada Session y, en algunos casos, a través de repositorios creados automáticamente en GitHub.
Los investigadores identificaron 639 versiones maliciosas distribuidas en 323 paquetes durante una ventana de aproximadamente una hora. El malware busca credenciales de GitHub, npm, servicios en la nube, Kubernetes, Docker, bases de datos y llaves SSH, además de incorporar mecanismos de propagación automática para comprometer nuevos proyectos. También se detectaron miles de repositorios fraudulentos en GitHub vinculados a la operación. Expertos advirtieron que esta variante incorpora persistencia en configuraciones de Visual Studio Code y Claude Code, lo que podría permitir que los atacantes mantengan acceso incluso después de una limpieza inicial de los sistemas afectados.
Ataques contra Microsoft 365 y Azure explotan funciones legítimas para robar datos
Microsoft informó sobre una campaña atribuida al actor denominado Storm-2949, enfocada en organizaciones que utilizan Microsoft 365 y Azure. Los atacantes emplean ingeniería social para obtener acceso a cuentas con privilegios elevados, incluyendo personal de TI y ejecutivos. Según la compañía, los atacantes aprovechan el proceso de restablecimiento de contraseñas Self-Service Password Reset (SSPR), convenciendo a las víctimas de aprobar solicitudes de autenticación multifactor mientras se hacen pasar por personal de soporte técnico.
Tras tomar control de las cuentas, los atacantes exploran entornos Microsoft 365 y Azure en busca de información sensible, configuraciones VPN, credenciales y secretos almacenados. Microsoft detalló que los atacantes descargaron grandes volúmenes de archivos desde OneDrive y SharePoint, modificaron configuraciones en Azure Key Vault, accedieron a bases de datos y utilizaron herramientas administrativas legítimas para ampliar privilegios y mantener persistencia. En fases posteriores desplegaron software de acceso remoto, intentaron desactivar protecciones de seguridad y eliminar evidencias de la intrusión.
Microsoft desmantela servicio criminal que firmaba malware con certificados válidos
Microsoft anunció la interrupción de una operación de malware-as-a-service identificada como Fox Tempest, la cual abusaba del servicio Azure Artifact Signing para generar certificados de firma digital utilizados por ciberdelincuentes. Según la compañía, los operadores crearon más de mil certificados fraudulentos y cientos de suscripciones y entornos en Azure, permitiendo que malware y ransomware fueran presentados como software legítimo ante usuarios y sistemas operativos.
La investigación vinculó la infraestructura con campañas que distribuyeron familias de malware como Oyster, Lumma Stealer y Vidar, además de ransomware asociado a grupos como Rhysida, Akira, INC y Qilin. Microsoft indicó que tomó control del dominio principal de la operación, desconectó cientos de máquinas virtuales y revocó más de mil certificados utilizados por los actores. La plataforma ofrecía a sus clientes la posibilidad de firmar archivos maliciosos mediante certificados obtenidos de forma fraudulenta, aumentando la probabilidad de que las víctimas ejecutaran el software sin sospechar de su naturaleza maliciosa.
Secret Blizzard transforma Kazuar en una botnet P2P modular
Microsoft reveló que el grupo ruso Secret Blizzard modernizó el malware Kazuar convirtiéndolo en una botnet peer-to-peer modular diseñada para espionaje prolongado. La amenaza incorpora módulos separados para coordinación, comunicaciones y ejecución de tareas, permitiendo reducir la detección y mantener persistencia en redes comprometidas.
El malware puede registrar pulsaciones de teclado, capturar pantallas, recolectar archivos, obtener correos electrónicos y realizar reconocimiento de sistemas y redes. La nueva arquitectura permite que solo un dispositivo infectado se comunique directamente con la infraestructura de mando y control, reduciendo el tráfico externo visible y dificultando la detección de la actividad maliciosa.
Tycoon2FA usa phishing con códigos de dispositivo para secuestrar cuentas Microsoft 365
Investigadores de la firma Abnormal detectaron nuevas campañas de Tycoon2FA que utilizan ataques de phishing basados en códigos de dispositivo OAuth para comprometer cuentas Microsoft 365. Las víctimas reciben correos con enlaces que las redirigen a páginas falsas donde son inducidas a ingresar códigos legítimos en el portal oficial microsoft.com/devicelogin.
Una vez completada la autenticación multifactor, Microsoft entrega tokens OAuth al dispositivo controlado por los atacantes, permitiendo acceso a correos electrónicos, calendarios y archivos almacenados en la nube. Investigadores de eSentire indicaron que la plataforma incorporó nuevas técnicas de evasión capaces de detectar herramientas de análisis y entornos utilizados por investigadores de seguridad.
Grafana confirma robo de código fuente tras compromiso de token GitHub
Grafana Labs confirmó que atacantes lograron descargar parte de su código fuente luego de comprometer su entorno GitHub utilizando un token de acceso robado. El grupo de extorsión CoinbaseCartel se atribuyó el incidente y agregó a la empresa a su portal de filtraciones, aunque hasta ahora no se han publicado datos sustraídos.
La empresa indicó que no existe evidencia de exposición de información de clientes ni afectación a sistemas productivos. Grafana invalidó las credenciales comprometidas e implementó medidas adicionales de seguridad. Los atacantes exigieron un pago para no divulgar el código robado, pero la compañía decidió no pagar el rescate y continuar con la investigación forense.
Filtración de Shai-Hulud impulsa nueva campaña de robo de datos en npm
Investigadores de OxSecurity detectaron una nueva campaña maliciosa en npm que utiliza una variante filtrada del malware Shai-Hulud para robar credenciales, secretos, datos de billeteras criptográficas e información de cuentas de desarrolladores. Los atacantes publicaron cuatro paquetes maliciosos usando técnicas de typosquatting para engañar a usuarios de bibliotecas populares.
Uno de los paquetes incluía capacidades de robo de información y funciones para convertir los equipos infectados en nodos de ataques DDoS. Los investigadores señalaron que el código utilizado corresponde a una copia casi idéntica del malware filtrado semanas antes. Los paquetes afectados acumularon 2.678 descargas antes de ser detectados.
Nueva variante del malware SHub para macOS suplanta actualizaciones de Apple
Investigadores de SentinelOne identificaron una nueva variante del malware SHub para macOS denominada “Reaper”, la cual utiliza AppleScript para mostrar falsas actualizaciones de seguridad de Apple e instalar puertas traseras. La campaña distribuye instaladores falsos de aplicaciones como WeChat y Miro mediante dominios que imitan sitios legítimos.
El malware roba datos de navegadores, billeteras de criptomonedas, gestores de contraseñas y archivos sensibles almacenados en el sistema. También establece persistencia utilizando LaunchAgents disfrazados de actualizaciones de Google. Antes de infectar el equipo, el malware verifica si el sistema utiliza configuraciones rusas y evita ejecutarse en esos casos.
Riesgos cibernéticos
Ataques a paquetes npm evidencian riesgos persistentes en la cadena de suministro
La aparición de IronWorm refleja la creciente exposición de los ecosistemas de desarrollo a ataques dirigidos contra repositorios de software ampliamente utilizados. Al comprometer paquetes legítimos y aprovechar procesos automatizados de publicación, los atacantes pueden distribuir código malicioso a desarrolladores y organizaciones sin necesidad de vulnerar directamente sus infraestructuras.
Los investigadores recomiendan revisar las dependencias utilizadas, actualizar los paquetes afectados, rotar credenciales potencialmente expuestas y habilitar autenticación multifactor en cuentas de desarrollo. El incidente demuestra cómo un único compromiso puede extenderse rápidamente a múltiples proyectos y entornos corporativos mediante mecanismos de confianza previamente establecidos.
Interrupción en Exchange Online provoca retrasos y fallas en correos electrónicos
Microsoft informó una interrupción que afecta el flujo de correo electrónico en Exchange Online para usuarios de América del Norte, Europa y Asia-Pacífico. Los clientes reportaron retrasos significativos en la entrega y recepción de mensajes, además de errores SMTP relacionados con límites de conexiones y cierres inesperados de sesiones.
La compañía abrió una investigación para determinar la causa raíz del incidente y analizar el crecimiento de las colas de correo en las regiones afectadas. El problema fue clasificado como un incidente de servicio debido al impacto visible sobre los usuarios, mientras los equipos técnicos continuaban evaluando posibles puntos de falla dentro de la infraestructura.
Interrupción afecta configuración de MFA y acceso a My Sign-Ins
Microsoft resolvió una incidencia que impedía a algunos usuarios configurar autenticación multifactor o acceder al portal My Sign-Ins. Los afectados encontraban errores 504 Gateway Timeout al intentar utilizar el servicio, dificultando la gestión de mecanismos de autenticación en distintas cuentas.
La compañía explicó que el problema estuvo relacionado con un cambio reciente en la configuración de caché que requirió una conmutación de infraestructura. Durante ese proceso se produjo un elevado consumo de CPU y memoria asociado al tráfico de usuarios europeos. Posteriormente se revirtieron los cambios y el acceso fue restaurado.
Microsoft investiga problemas de acceso a archivos en Teams y Office
Microsoft confirmó una interrupción que afectó a usuarios de Teams y Office para la web, impidiendo abrir documentos en aplicaciones como Excel y PowerPoint Online. Los afectados recibían mensajes informando que los servicios de Office Online no estaban disponibles temporalmente.
La empresa indicó que la falla parecía estar vinculada a un problema transversal que impactaba varios servicios en la nube. Horas después confirmó que el servicio se había recuperado y que la operación permanecía estable. Los equipos técnicos continúan analizando la causa raíz para evitar futuras interrupciones similares.
Usuarios de Dashlane sufren bloqueos tras ataques de fuerza bruta
Diversos usuarios de Dashlane reportaron bloqueos de cuentas luego de recibir notificaciones sobre intentos de acceso desde dispositivos y ubicaciones desconocidas. La empresa confirmó que las acciones fueron provocadas por ataques de fuerza bruta dirigidos contra determinadas cuentas de clientes.
Según Dashlane, los bloqueos fueron aplicados automáticamente por los mecanismos de seguridad de la plataforma para prevenir posibles secuestros de cuentas. La compañía afirmó que no existen evidencias de una intrusión en sus sistemas y que las cuentas afectadas fueron restablecidas posteriormente, aunque algunos usuarios continuaron reportando dificultades de acceso.
Microsoft corrige errores de instalación en actualización de seguridad de Windows 11
Microsoft resolvió un problema conocido que provocaba fallos durante la instalación de la actualización de seguridad KB5089549 para Windows 11. El error generaba el código 0x800f0922 y afectaba principalmente a equipos con poco espacio disponible en la partición EFI del sistema, provocando que la actualización se revirtiera automáticamente durante el reinicio.
La compañía informó que la corrección fue incorporada en la actualización preliminar KB5089573, publicada el 26 de mayo. Los dispositivos afectados mostraban mensajes indicando que los cambios estaban siendo deshechos tras fallar el proceso de instalación. Microsoft señaló que quienes instalen las versiones más recientes ya no necesitarán aplicar medidas alternativas y que la solución también será incluida en futuras actualizaciones acumulativas de seguridad.
Actualización de Windows 11 incorpora mejoras de rendimiento y confiabilidad
Microsoft publicó la actualización preliminar KB5089573 para Windows 11 versiones 24H2 y 25H2, incorporando alrededor de 30 cambios relacionados con rendimiento y estabilidad. Entre las mejoras destacadas se encuentran tiempos de inicio más rápidos para aplicaciones y componentes del sistema, además de optimizaciones para Windows Hello, el Explorador de archivos y la experiencia de reanudación desde estados de suspensión.
La actualización también mejora la administración energética de sensores y dispositivos HID, reduce problemas de autenticación y amplía la distribución de nuevos certificados Secure Boot que reemplazarán a los emitidos en 2011. Al tratarse de una actualización opcional de vista previa, no incluye correcciones de seguridad y está destinada a pruebas antes de su incorporación al ciclo regular de actualizaciones mensuales.
Anthropic prepara posible lanzamiento de Claude Mythos, modelo con capacidades avanzadas de ciberseguridad
Anthropic estaría avanzando hacia la publicación de Claude Mythos, un modelo de inteligencia artificial presentado inicialmente en acceso restringido debido a sus capacidades avanzadas en tareas relacionadas con seguridad informática. Según la compañía, el sistema demuestra mejoras significativas en razonamiento sobre código y automatización de procesos ofensivos, alcanzando niveles que podrían facilitar el desarrollo de ataques informáticos complejos si se liberara sin controles adecuados.
Referencias recientes al modelo aparecieron temporalmente en Claude Code y Claude Security, sugiriendo que Anthropic está ultimando mecanismos de protección para una futura disponibilidad pública. La empresa también informó que Mythos participa en el proyecto Glasswing, una iniciativa orientada a identificar vulnerabilidades en software crítico. Durante sus pruebas iniciales, el modelo habría detectado miles de vulnerabilidades de alta y crítica severidad en aplicaciones de código abierto.
Microsoft confirma problema en Windows Server 2016 tras actualización de seguridad
Microsoft reconoció un nuevo problema conocido que afecta a sistemas Windows Server 2016 después de instalar la actualización de seguridad KB5087537 correspondiente a mayo de 2026. El error impacta a servidores cuyos nombres de host tienen exactamente 15 caracteres y provoca fallos en los procesos de localización de controladores de dominio, impidiendo que determinadas aplicaciones y herramientas administrativas encuentren los recursos necesarios para operar correctamente.
La compañía explicó que las consultas realizadas mediante DCLocator pueden devolver parámetros inválidos, generando interrupciones en funciones administrativas y servicios dependientes de controladores de dominio. Entre los escenarios afectados se encuentra la administración de espacios de nombres DFS y otras operaciones corporativas vinculadas a Active Directory. Microsoft indicó que actualmente investiga el origen del problema y aún no ha comunicado una fecha para la publicación de una solución definitiva.
Flipper Devices busca apoyo comunitario para desarrollar Flipper One
Flipper Devices anunció que busca colaboración de la comunidad para avanzar en el desarrollo de Flipper One, una nueva plataforma abierta basada en Linux orientada a experimentación con hardware, redes y radio definida por software. El proyecto se diferencia de Flipper Zero al estar diseñado como una computadora portátil ARM de alto rendimiento capaz de ejecutar análisis SDR, inteligencia artificial local y diversas aplicaciones avanzadas relacionadas con conectividad.
La compañía explicó que el desarrollo enfrenta desafíos técnicos y económicos significativos, incluyendo soporte completo para Linux, integración de una arquitectura de doble procesador y compatibilidad con múltiples interfaces de expansión. El proyecto aún se encuentra en una fase temprana, con prototipos incompletos y varias decisiones de diseño pendientes. Flipper Devices indicó que ingenieros, desarrolladores y usuarios pueden participar para contribuir a la evolución de la plataforma.
Apple afirma haber bloqueado más de US$11.000 millones en fraude de la App Store
Apple informó que evitó más de 11.000 millones de dólares en transacciones fraudulentas dentro de la App Store durante los últimos seis años, incluyendo más de 2.200 millones de dólares solamente en 2025. La empresa también señaló que rechazó más de dos millones de aplicaciones problemáticas, bloqueó más de 1.100 millones de intentos de creación de cuentas fraudulentas y eliminó cientos de miles de cuentas de desarrolladores asociadas a actividades sospechosas.
Durante el último año, la compañía identificó millones de tarjetas de crédito robadas, desactivó decenas de millones de cuentas vinculadas a fraude y eliminó miles de aplicaciones engañosas o que infringían sus políticas de privacidad. Apple indicó que combina revisiones humanas con sistemas automatizados y modelos de aprendizaje automático para detectar nuevas tácticas de fraude. Actualmente, la App Store recibe más de 850 millones de visitantes semanales en 175 mercados alrededor del mundo.
Brecha en Grafana se originó por un token que no fue rotado tras ataque a TanStack
Grafana Labs informó que la reciente intrusión en su entorno de GitHub fue consecuencia de un token de flujo de trabajo que no fue reemplazado durante las tareas de remediación posteriores al ataque de cadena de suministro contra TanStack. Según la compañía, la mayoría de los secretos comprometidos fueron rotados, pero una credencial permaneció activa y permitió a los atacantes acceder a repositorios internos.
Los atacantes descargaron parte del código fuente de la organización e intentaron extorsionar a la empresa con la amenaza de divulgar la información obtenida. Grafana rechazó las exigencias y posteriormente confirmó que el incidente estaba vinculado a la misma campaña que afectó a TanStack. El caso puso de relieve los riesgos asociados a la gestión incompleta de credenciales y a la persistencia de secretos expuestos tras incidentes de seguridad en entornos de desarrollo.
Microsoft atribuye a macOS error que provoca avisos persistentes de ubicación en Teams
Microsoft confirmó la existencia de un problema que afecta a usuarios de Teams en equipos Mac con versiones recientes de macOS. El incidente provoca que aparezcan repetidamente solicitudes para otorgar permisos de ubicación, incluso después de que los usuarios seleccionan la opción para rechazarlos. Los reportes comenzaron a registrarse durante la segunda semana de mayo y afectan a dispositivos con macOS Sonoma, Sequoia y Tahoe.
La compañía atribuyó el comportamiento a una actualización de seguridad de macOS que impediría almacenar correctamente las preferencias de permisos de ubicación para Teams. Microsoft señaló que trabaja junto a Apple para determinar el origen exacto del problema y desarrollar una solución. Mientras tanto, recomendó a los usuarios modificar manualmente la configuración de servicios de ubicación dentro del sistema operativo como medida temporal para reducir la frecuencia de las solicitudes.
Microsoft anuncia iniciativa para elevar la calidad de los controladores en Windows 11
Microsoft presentó la Driver Quality Initiative (DQI), un programa orientado a mejorar la calidad y estabilidad de los controladores utilizados en Windows 11. La iniciativa surge en respuesta a problemas históricos relacionados con errores de pantalla azul, fallos de compatibilidad y degradación del rendimiento asociados a actualizaciones de controladores. El programa contempla verificaciones más estrictas para socios tecnológicos, mayores controles automatizados y mejoras en la administración del catálogo de Windows Update.
La empresa también busca trasladar más controladores desde el kernel hacia modos de ejecución más seguros y evaluar aspectos como estabilidad, consumo energético, temperatura y desempeño general de los dispositivos. Microsoft trabajará junto a fabricantes como AMD e Intel para implementar estas mejoras de manera gradual. La iniciativa forma parte de una estrategia más amplia destinada a reforzar la experiencia de uso de Windows y reducir los problemas derivados de software de terceros que interactúa directamente con el sistema operativo.
Discord habilita cifrado de extremo a extremo para llamadas de voz y video
Discord anunció que todas las llamadas de voz y video realizadas a través de su plataforma cuentan ahora con cifrado de extremo a extremo habilitado de forma predeterminada. La implementación se completó durante marzo de 2026 y cubre mensajes directos de voz, grupos, canales de voz y transmisiones Go Live. La única excepción corresponde a los canales Stage, diseñados para eventos públicos y transmisiones masivas.
La protección se basa en el protocolo abierto DAVE, desarrollado con apoyo de especialistas en seguridad y adaptado para funcionar en computadoras, dispositivos móviles, navegadores web y consolas. Discord indicó que la medida busca fortalecer la privacidad de las comunicaciones y evitar el acceso al contenido de las conversaciones por parte de terceros. La empresa señaló que, por ahora, no existen planes para extender el cifrado de extremo a extremo a los mensajes de texto debido a desafíos técnicos asociados a la arquitectura actual de la plataforma.