Las vulnerabilidades críticas en GitHub y Nginx, junto con el Patch Tuesday de Microsoft que corrigió 120 fallas de seguridad, consolidaron una intensa quincena de alertas. El período también estuvo marcado por el aumento de ataques a cadenas de suministro y el uso de inteligencia artificial para automatizar campañas maliciosas.
Recuento
Durante las últimas dos semanas —y un poco más—, las principales vulnerabilidades estuvieron concentradas en fallas zero-day y errores críticos de ejecución remota de código en infraestructura ampliamente utilizada. Destacaron la vulnerabilidad CVE-2026-3854 de GitHub, capaz de comprometer repositorios privados completos; la explotación activa de CVE-2026-0300 en firewalls PAN-OS de Palo Alto Networks; y múltiples fallas de escalamiento de privilegios en Linux como “Copy Fail”, “Dirty Frag” y “Fragnesia”. También sobresalieron vulnerabilidades en Exchange, Exim, WordPress y MOVEit Automation, todas con potencial de afectar entornos corporativos críticos y servicios expuestos a internet.
En el panorama de ciberamenazas, predominó el abuso de plataformas legítimas y herramientas de inteligencia artificial para automatizar ataques. Bluekit marcó un punto relevante al integrar modelos como GPT-4.1 y Claude para generar campañas de phishing avanzadas, mientras actores maliciosos utilizaron Amazon SES, Microsoft Teams, Telegram y anuncios de Google para distribuir malware y robar credenciales. También crecieron los ataques a cadenas de suministro, incluyendo paquetes maliciosos en npm, PyPI y Jenkins, además de software comprometido como DAEMON Tools y JDownloader. El auge de malware orientado a desarrolladores y entornos DevOps evidenció una expansión del foco ofensivo hacia infraestructura cloud y pipelines CI/CD.
Respecto a los principales riesgos de ciberseguridad, el período mostró una creciente fragilidad de ecosistemas ampliamente confiados por empresas y usuarios. Plugins populares de WordPress con puertas traseras ocultas, brechas en compañías de seguridad como Trellix y el uso masivo de plataformas de IA como vector de infección reflejan un escenario donde herramientas legítimas pueden transformarse en superficies de ataque. También aumentó la preocupación por dependencias antiguas y software ampliamente desplegado, como Nginx y Windows 10, además de riesgos asociados a soporte extendido, software preinstalado y aplicaciones corporativas con privilegios elevados.
Vulnerabilidades
GitHub corrige falla crítica que exponía millones de repositorios privados
GitHub corrigió en marzo una vulnerabilidad crítica identificada como CVE-2026-3854 que podía permitir la ejecución remota de código y el acceso completo a repositorios privados. La falla fue reportada por investigadores de Wiz a través del programa de recompensas de errores. Según la compañía, el problema afectaba tanto a GitHub.com como a distintas versiones de GitHub Enterprise Server y requería únicamente un comando “git push” manipulado para ser explotado.
La vulnerabilidad se originaba en el manejo insuficiente de opciones proporcionadas por usuarios durante operaciones de carga de código, permitiendo inyectar campos adicionales en metadatos internos. Investigadores señalaron que la explotación podía comprometer servidores completos y exponer secretos internos y repositorios privados de grandes organizaciones. GitHub afirmó que no encontró evidencia de explotación maliciosa antes de la divulgación y publicó actualizaciones de seguridad para todas las versiones compatibles de GitHub Enterprise Server.
Falla crítica en cPanel y WHM fue explotada como zero-day
cPanel y WHM enfrentan explotación activa de la vulnerabilidad CVE-2026-41940, un fallo de bypass de autenticación que permitía acceder sin credenciales válidas a sistemas vulnerables. Proveedores de hosting reportaron intentos de explotación desde febrero, antes de la publicación oficial del parche. La vulnerabilidad también afecta a WP Squared, plataforma de administración de WordPress basada en cPanel.
Investigadores de watchTowr indicaron que el problema se origina en una inyección CRLF dentro del manejo de sesiones y autenticación. La falla permite escribir datos controlados por atacantes en archivos de sesión antes de validar contraseñas, posibilitando acceso total a servidores, sitios web y bases de datos. cPanel publicó actualizaciones de seguridad y recomendó reiniciar servicios críticos y restringir acceso a puertos externos hasta aplicar los parches.
Nueva vulnerabilidad “Copy Fail” permite obtener privilegios root en Linux
Una vulnerabilidad de escalamiento local de privilegios denominada “Copy Fail” y registrada como CVE-2026-31431 afecta a kernels de Linux publicados desde 2017. Investigadores de Theori desarrollaron un exploit funcional capaz de otorgar privilegios root a usuarios locales sin privilegios en distribuciones como Ubuntu, Amazon Linux, RHEL y SUSE. El problema fue detectado utilizando una plataforma automatizada de pruebas de penetración basada en inteligencia artificial.
La falla reside en un error lógico del subsistema criptográfico del kernel, que permite sobrescribir datos dentro de la caché de archivos mediante el uso combinado de sockets AF_ALG y la llamada splice(). Si la escritura afecta binarios con permisos elevados, un atacante puede alterar su comportamiento y obtener control total del sistema. Los parches fueron liberados en abril y los investigadores recomendaron priorizar la actualización de entornos multiusuario, clústeres y servicios cloud.
Palo Alto Networks advierte explotación activa de vulnerabilidad zero-day en firewalls PAN-OS
Palo Alto Networks confirmó la explotación activa de la vulnerabilidad crítica CVE-2026-0300 en firewalls PAN-OS durante casi un mes. La falla afecta el portal User-ID Authentication Portal y permite ejecución remota de código sin autenticación mediante un desbordamiento de búfer. La compañía indicó que actores presuntamente patrocinados por un Estado lograron comprometer dispositivos expuestos en internet y ejecutar código con privilegios root.
Tras comprometer los equipos, los atacantes desplegaron herramientas como Earthworm y ReverseSocks5 para establecer túneles y comunicaciones encubiertas. También realizaron limpieza de registros y eliminación de archivos para reducir rastros de actividad. CISA incorporó la vulnerabilidad a su catálogo KEV y ordenó a agencias federales proteger los sistemas afectados antes del 9 de mayo, mientras Palo Alto Networks trabaja en la liberación de parches oficiales.
Ivanti alerta explotación de vulnerabilidad zero-day en Endpoint Manager Mobile
Ivanti advirtió sobre ataques que explotan la vulnerabilidad CVE-2026-6973 en Endpoint Manager Mobile (EPMM), una falla de validación insuficiente de entradas que permite ejecución remota de código. El problema afecta instalaciones locales de EPMM 12.8.0.0 y versiones anteriores, permitiendo que atacantes con credenciales administrativas ejecuten código arbitrario en los sistemas comprometidos.
La empresa publicó actualizaciones de seguridad para las ramas afectadas y recomendó revisar cuentas administrativas y rotar credenciales. Además, Ivanti corrigió otras cuatro vulnerabilidades de alta severidad relacionadas con acceso administrativo, certificados y exposición de información restringida. Shadowserver identificó más de 850 direcciones IP con EPMM expuesto en internet, principalmente en Europa y Norteamérica.
Google detecta uso de IA para desarrollar exploit zero-day contra herramienta web administrativa
Google informó que atacantes utilizaron inteligencia artificial para ayudar en el desarrollo de un exploit zero-day dirigido contra una herramienta de administración web ampliamente utilizada. El análisis fue realizado por el Grupo de Inteligencia de Amenazas de Google, que identificó actividad vinculada a actores patrocinados por un Estado y centrada en vulnerabilidades de ejecución remota de código.
Según la investigación, los operadores habrían empleado modelos de IA para acelerar tareas de investigación, desarrollo de código y refinamiento de técnicas de explotación. Google indicó que la vulnerabilidad fue utilizada en ataques dirigidos antes de la publicación de parches de seguridad. La compañía señaló que el caso refleja un incremento en el uso de herramientas de inteligencia artificial dentro de operaciones ofensivas avanzadas.
Nueva vulnerabilidad “Dirty Frag” otorga privilegios root en distribuciones Linux
Investigadores revelaron una nueva vulnerabilidad zero-day denominada “Dirty Frag” que permite obtener privilegios root en múltiples distribuciones Linux mediante un solo comando. La falla fue identificada por el investigador Hyunwoo Kim y afecta componentes del kernel relacionados con las interfaces criptográficas algif_aead, permitiendo modificar archivos protegidos en memoria sin autorización.
El problema impacta a distribuciones como Ubuntu, Red Hat Enterprise Linux, Fedora, CentOS Stream y AlmaLinux. Según la investigación, la explotación encadena dos vulnerabilidades distintas para lograr escalamiento de privilegios de forma estable y sin necesidad de condiciones de carrera. La divulgación pública ocurrió luego de que se rompiera el embargo coordinado antes de que existieran parches oficiales disponibles.
Actualización de Windows 11 provoca fallas en software de respaldo
La actualización de seguridad KB5083769 de Microsoft para Windows 11 está causando problemas en aplicaciones de respaldo de terceros que utilizan el servicio VSS (Volume Shadow Copy Service). Reportes de usuarios indican que los respaldos fallan debido a tiempos de espera durante la creación de instantáneas. Entre los productos afectados figuran soluciones de Acronis, Macrium, NinjaOne y UrBackup.
Acronis confirmó que el problema afecta a Windows 11 Home y Pro, generando errores durante operaciones de copia de seguridad e incluso desconexiones de consolas cloud. Como medida temporal, se recomienda desinstalar la actualización KB5083769 y pausar nuevas actualizaciones del sistema. Microsoft no había emitido comentarios adicionales al momento de la publicación de los reportes.
Microsoft amplía política para eliminar aplicaciones preinstaladas en Windows 11
Microsoft actualizó la política RemoveDefaultMicrosoftStorePackages de Windows 11 para permitir a administradores de TI eliminar aplicaciones preinstaladas de Microsoft Store mediante listas dinámicas. La nueva función permite desinstalar aplicaciones MSIX y APPX utilizando Package Family Names mediante políticas de grupo o configuraciones MDM, ampliando las capacidades de administración empresarial.
La funcionalidad requiere instalar la actualización no relacionada con seguridad de abril de 2026 y ahora también es compatible con Windows 11 Enterprise y Education 24H2. Microsoft indicó que la política originalmente solo funcionaba en Windows 11 25H2 o superior. La compañía también adelantó que próximamente la opción estará integrada en Intune para facilitar la administración centralizada de aplicaciones empresariales.
ConsentFix v3 automatiza ataques OAuth contra entornos Azure
Investigadores de Push Security advirtieron sobre ConsentFix v3, una nueva técnica de ataque orientada a entornos de Microsoft Azure que automatiza campañas de phishing OAuth. El método utiliza aplicaciones confiables de Microsoft y flujos legítimos de autenticación para capturar códigos de autorización y obtener tokens de acceso, incluso en cuentas protegidas con autenticación multifactor.
La nueva variante incorpora automatización mediante la plataforma Pipedream y servicios como Cloudflare Pages y DocSend para desplegar campañas personalizadas. Los atacantes recopilan información de empleados, generan correos dirigidos y exfiltran tokens en tiempo real para acceder a correos, archivos y recursos corporativos. Investigadores señalaron que la mitigación es compleja debido a la confianza estructural en aplicaciones oficiales de Microsoft.
Microsoft Defender detectó erróneamente certificados DigiCert como malware
Microsoft confirmó que Microsoft Defender identificó por error certificados raíz legítimos de DigiCert como el malware Trojan:Win32/Cerdigent.A!dha. El problema apareció tras una actualización de firmas publicada el 30 de abril y provocó alertas falsas en equipos Windows, incluyendo la eliminación automática de certificados desde el almacén de confianza del sistema operativo.
Microsoft indicó que el incidente estuvo relacionado con detecciones creadas tras una reciente brecha de seguridad sufrida por DigiCert. La compañía corrigió el problema mediante la actualización de inteligencia de seguridad 1.449.430.0 y señaló que las alertas falsas fueron suprimidas automáticamente. DigiCert había informado previamente que atacantes obtuvieron certificados válidos utilizados posteriormente para firmar malware vinculado a campañas del grupo GoldenEyeDog y el malware Zhong Stealer.
CISA advierte explotación activa de la vulnerabilidad “Copy Fail” en Linux
La agencia de ciberseguridad de los Estados Unidos (CISA) alertó que actores maliciosos ya están explotando activamente la vulnerabilidad CVE-2026-31431, conocida como “Copy Fail”, en sistemas Linux. El fallo permite que usuarios locales sin privilegios obtengan acceso root mediante la escritura controlada de datos en la caché de archivos del kernel, afectando distribuciones lanzadas desde 2017.
La vulnerabilidad fue divulgada por investigadores de Theori junto con una prueba de concepto capaz de comprometer Ubuntu, Amazon Linux, RHEL y SUSE. Tras la publicación, CISA agregó el problema a su catálogo de vulnerabilidades explotadas activamente y ordenó a agencias federales estadounidenses aplicar parches antes del 15 de mayo. Los investigadores indicaron que el exploit funciona sin modificaciones en múltiples distribuciones Linux.
Progress alerta sobre vulnerabilidad crítica de bypass de autenticación en MOVEit Automation
Progress Software publicó actualizaciones de seguridad para corregir la vulnerabilidad crítica CVE-2026-4670 en MOVEit Automation. El fallo permite a atacantes remotos eludir autenticación sin requerir interacción del usuario ni privilegios previos. La empresa indicó que las versiones afectadas incluyen ediciones anteriores a 2025.1.5, 2025.0.9 y 2024.1.8.
La compañía recomendó instalar inmediatamente las nuevas versiones mediante el instalador completo, advirtiendo que será necesario detener temporalmente el servicio durante el proceso. Investigadores señalaron que más de 1.400 instancias de MOVEit Automation están expuestas públicamente en internet, incluidas instalaciones asociadas a gobiernos locales y estatales de Estados Unidos. Progress también corrigió una segunda vulnerabilidad de escalamiento de privilegios en el mismo producto.
Paquete malicioso de PyTorch Lightning instaló malware roba credenciales
Una versión comprometida de PyTorch Lightning publicada en PyPI incluyó una cadena oculta de ejecución que descargaba un malware orientado al robo de credenciales y secretos. El incidente afectó específicamente a la versión 2.6.3 del paquete, utilizada ampliamente para entrenamiento y ajuste de modelos de inteligencia artificial. El código malicioso se activaba automáticamente al importar la librería en proyectos afectados.
Microsoft informó que Microsoft Defender detectó y bloqueó la amenaza, identificada como “ShaiWorm”. El malware apuntaba a archivos .env, claves API, tokens de GitHub y credenciales almacenadas en navegadores y servicios cloud como AWS, Azure y GCP. Los mantenedores del proyecto recomendaron rotar inmediatamente todas las credenciales potencialmente expuestas e iniciaron una investigación sobre la cadena de suministro comprometida.
Google aumenta recompensas de hasta US$1,5 millones por exploits Android
Google anunció una reestructuración de sus programas de recompensas por vulnerabilidades en Android y Chrome, elevando hasta US$1,5 millones los pagos para exploits complejos dirigidos al chip de seguridad Titan M2 de dispositivos Pixel. La compañía indicó que las recompensas más altas estarán reservadas para cadenas de explotación sin interacción del usuario y con persistencia completa sobre el dispositivo.
Google también modificó los criterios de evaluación de reportes, priorizando pruebas concretas de vulnerabilidades en lugar de informes extensos generados con apoyo de inteligencia artificial. En el caso de Android, el foco se concentrará en fallas explotables dentro de componentes del kernel mantenidos por Google. La empresa informó que en 2025 pagó más de US$17 millones a investigadores de seguridad, alcanzando un récord histórico para su programa de bug bounty.
Palo Alto Networks advierte explotación de vulnerabilidad zero-day en firewalls
Palo Alto Networks alertó sobre la explotación activa de una vulnerabilidad crítica identificada como CVE-2026-0300 que afecta al portal de autenticación User-ID de PAN-OS. La falla corresponde a un desbordamiento de búfer que permite a atacantes remotos ejecutar código arbitrario con privilegios root en firewalls expuestos a Internet mediante paquetes especialmente diseñados.
La empresa indicó que el problema afecta a dispositivos PA-Series y VM-Series que tengan habilitado el User-ID Authentication Portal accesible desde redes no confiables. Shadowserver reportó más de 5.800 firewalls VM-Series expuestos en línea. Palo Alto Networks recomendó restringir el acceso del portal a zonas confiables o deshabilitarlo temporalmente mientras desarrolla y distribuye las actualizaciones de seguridad correspondientes.
Falla crítica en vm2 permite ejecutar código fuera del sandbox
Una vulnerabilidad crítica en la librería vm2 para Node.js permite escapar del entorno sandbox y ejecutar código arbitrario en el sistema anfitrión. La falla, identificada como CVE-2026-26956, afecta al menos a la versión 3.10.4 y se produce por un manejo incorrecto de excepciones entre el entorno aislado y el host utilizando funciones de WebAssembly.
La librería vm2 es ampliamente utilizada para ejecutar código JavaScript no confiable en plataformas online y servicios SaaS, acumulando más de 1,3 millones de descargas semanales en npm. El mantenedor confirmó la publicación de un exploit funcional y recomendó actualizar inmediatamente a la versión 3.10.5 o superior para mitigar el riesgo de ejecución remota de código sobre los sistemas afectados.
Cisco corrige vulnerabilidad DoS que obliga reinicio manual de sistemas
Cisco publicó actualizaciones de seguridad para corregir la vulnerabilidad CVE-2026-20188 en las plataformas Crosswork Network Controller y Network Services Orchestrator. La falla permite a atacantes remotos provocar una condición de denegación de servicio mediante conexiones especialmente diseñadas que agotan los recursos disponibles del sistema.
La compañía explicó que los dispositivos afectados quedan completamente inoperativos hasta ser reiniciados manualmente por administradores. Cisco indicó que el problema deriva de una limitación insuficiente sobre conexiones entrantes y recomendó actualizar a las versiones corregidas. Aunque no existen evidencias de explotación activa, la empresa recordó incidentes anteriores donde vulnerabilidades DoS similares fueron utilizadas en ataques reales contra infraestructura Cisco.
Microsoft advierte explotación activa de vulnerabilidad zero-day en Exchange
Microsoft alertó sobre ataques que explotan una vulnerabilidad zero-day en Microsoft Exchange utilizada para comprometer servidores corporativos. La falla CVE-2026-42897 permite a atacantes ejecutar acciones no autorizadas en sistemas vulnerables y afecta implementaciones locales del servicio de correo ampliamente utilizadas en entornos empresariales y gubernamentales.
La compañía indicó que detectó explotación activa antes de la publicación de actualizaciones de seguridad y recomendó aplicar mitigaciones temporales mientras se distribuyen los parches correspondientes. Microsoft señaló que la vulnerabilidad puede ser utilizada para obtener acceso persistente, ejecutar código y comprometer información almacenada en servidores Exchange expuestos a internet.
Vulnerabilidades en Avada Builder permiten robo de credenciales en WordPress
Investigadores revelaron múltiples vulnerabilidades en el plugin Avada Builder para WordPress que pueden ser utilizadas para robar credenciales y comprometer sitios web. Las fallas afectan mecanismos de autenticación y manejo de solicitudes dentro del plugin, utilizado ampliamente para diseño y administración de páginas WordPress.
Según la investigación, los atacantes podrían explotar las vulnerabilidades para capturar credenciales administrativas y obtener acceso no autorizado a sitios afectados. Los desarrolladores publicaron actualizaciones de seguridad para corregir los problemas y recomendaron actualizar inmediatamente las instalaciones vulnerables. El plugin Avada Builder es utilizado por miles de sitios web en entornos comerciales y corporativos.
Investigadores demuestran nuevos zero-days en Exchange, Windows 11 y Red Hat durante Pwn2Own
Durante la segunda jornada de Pwn2Own 2026 en Berlín, investigadores demostraron nuevas cadenas de explotación zero-day dirigidas contra Microsoft Exchange, Windows 11 y Red Hat Enterprise Linux. Las demostraciones permitieron obtener ejecución de código, elevación de privilegios y evasión de mecanismos de seguridad en distintas plataformas empresariales.
Los participantes utilizaron vulnerabilidades previamente desconocidas para comprometer sistemas durante la competencia organizada por Trend Micro Zero Day Initiative. Los detalles técnicos fueron entregados a los fabricantes afectados bajo procesos de divulgación responsable. Las demostraciones formaron parte de las pruebas realizadas para identificar fallas críticas antes de que sean explotadas en ataques reales.
Vulnerabilidad en Funnel Builder para WordPress es explotada para robar tarjetas de crédito
Investigadores detectaron ataques activos que explotan una vulnerabilidad en el plugin Funnel Builder para WordPress con el objetivo de robar datos de tarjetas de crédito. La falla permite insertar código malicioso en sitios comprometidos para capturar información ingresada por usuarios durante procesos de compra y pago online.
La campaña afectó principalmente tiendas y plataformas de comercio electrónico basadas en WordPress. Los investigadores indicaron que los atacantes utilizaron scripts de skimming para interceptar datos financieros antes de ser enviados a plataformas legítimas de procesamiento. Los desarrolladores del plugin publicaron correcciones y recomendaron actualizar inmediatamente los sistemas afectados.
Vulnerabilidad de 18 años en Nginx permite ataques DoS y posible ejecución remota
Investigadores revelaron una vulnerabilidad presente desde hace 18 años en Nginx que puede ser utilizada para provocar ataques de denegación de servicio y potencialmente ejecución remota de código. La falla afecta la forma en que el servidor web procesa determinadas solicitudes HTTP especialmente manipuladas, causando consumo excesivo de recursos y comportamiento inesperado.
El problema impacta implementaciones ampliamente utilizadas en servidores Linux y entornos empresariales que dependen de Nginx para servicios web y balanceo de carga. Los investigadores publicaron detalles técnicos sobre la explotación y recomendaron aplicar mitigaciones y actualizaciones disponibles. La vulnerabilidad generó preocupación debido a la amplia adopción global del software en infraestructura crítica y plataformas online.
Windows 11 y Microsoft Edge fueron comprometidos en el primer día de Pwn2Own Berlin 2026
Investigadores de seguridad lograron comprometer Windows 11 y Microsoft Edge durante el primer día de la competencia Pwn2Own Berlin 2026 mediante el uso de vulnerabilidades zero-day. Los participantes demostraron cadenas de explotación que permitieron ejecución de código y evasión de protecciones implementadas en ambos productos.
La competencia reunió investigadores especializados que explotaron fallas previamente desconocidas en sistemas operativos, navegadores y plataformas empresariales. Los detalles técnicos de las vulnerabilidades fueron entregados directamente a Microsoft bajo el programa de divulgación responsable. Las demostraciones permitieron a los investigadores obtener recompensas económicas por las técnicas utilizadas durante el evento.
Cisco alerta explotación activa de vulnerabilidad crítica en SD-WAN
Cisco advirtió sobre ataques zero-day que explotan una vulnerabilidad crítica en dispositivos SD-WAN utilizados por organizaciones empresariales. La falla permite que atacantes remotos ejecuten acciones no autorizadas en sistemas afectados y comprometan infraestructura de red expuesta a internet.
La compañía confirmó que la vulnerabilidad está siendo explotada activamente y publicó actualizaciones de seguridad para corregir el problema. Cisco recomendó aplicar los parches inmediatamente y restringir accesos administrativos a interfaces vulnerables. La investigación indicó que los ataques apuntan principalmente a dispositivos perimetrales utilizados para conectividad corporativa y administración remota de redes.
Atacantes explotan vulnerabilidad de bypass de autenticación en plugin WordPress
Investigadores de Wordfence detectaron ataques activos contra sitios WordPress que utilizan el plugin Burst Statistics, afectados por una vulnerabilidad de bypass de autenticación. La falla permite a atacantes obtener acceso no autorizado a funciones administrativas mediante solicitudes especialmente diseñadas enviadas al plugin vulnerable.
La campaña comenzó poco después de la divulgación pública de la vulnerabilidad y afectó instalaciones que no habían aplicado actualizaciones de seguridad. Los investigadores indicaron que los atacantes aprovecharon el fallo para crear cuentas administrativas y modificar configuraciones en sitios comprometidos. Los desarrolladores del plugin publicaron parches y recomendaron actualizar inmediatamente las instalaciones afectadas.
Vulnerabilidad zero-day en BitLocker permite acceder a unidades protegidas
Investigadores divulgaron una vulnerabilidad zero-day que permite acceder a unidades protegidas con BitLocker en sistemas Windows. La falla afecta el mecanismo de cifrado de discos de Microsoft y puede ser explotada mediante técnicas que evaden las protecciones implementadas para impedir accesos físicos no autorizados a la información almacenada.
La publicación incluyó una prueba de concepto funcional que demuestra cómo recuperar datos desde unidades cifradas bajo determinadas condiciones. El investigador indicó que el ataque puede ejecutarse con acceso físico al dispositivo y aprovechando debilidades relacionadas con la gestión de claves y suspensión del sistema. Microsoft aún no había publicado un parche definitivo al momento de la divulgación.
Nueva vulnerabilidad crítica en Exim permite ejecución remota de código
Investigadores de seguridad alertaron sobre una vulnerabilidad crítica en el servidor de correo Exim que permite ejecución remota de código en sistemas vulnerables. La falla afecta múltiples versiones del popular software de transferencia de correo y puede ser explotada mediante solicitudes especialmente diseñadas enviadas al servicio SMTP.
El problema fue clasificado como crítico debido a la posibilidad de comprometer servidores sin autenticación previa. Exim es utilizado ampliamente en entornos Linux y proveedores de hosting, lo que amplía el potencial impacto del problema. Los desarrolladores publicaron actualizaciones de seguridad y recomendaron aplicar los parches inmediatamente para evitar explotación remota en sistemas expuestos a internet.
Nueva falla “Fragnesia” en Linux permite obtener privilegios root
Investigadores revelaron una nueva vulnerabilidad denominada “Fragnesia” (CVE-2026-46300) que permite a atacantes obtener privilegios root en sistemas Linux afectados. La falla impacta componentes relacionados con la administración de memoria y fragmentación del kernel, permitiendo manipular estructuras internas para escalar privilegios localmente.
La investigación señaló que el exploit puede ejecutarse desde cuentas con permisos limitados y fue validado en distintas distribuciones Linux. Los expertos indicaron que la vulnerabilidad comparte similitudes técnicas con otras fallas recientes relacionadas con manejo de memoria en el kernel. Desarrolladores de distribuciones afectadas comenzaron a trabajar en parches y mitigaciones para reducir el riesgo de explotación.
Microsoft corrige 120 vulnerabilidades en actualización Patch Tuesday de mayo
Microsoft publicó las actualizaciones de seguridad correspondientes al Patch Tuesday de mayo de 2026, corrigiendo 120 vulnerabilidades en Windows y otros productos de la compañía. Entre las fallas abordadas se incluyen vulnerabilidades de ejecución remota de código, elevación de privilegios, divulgación de información y omisión de funciones de seguridad que afectan distintos componentes del ecosistema Microsoft.
La empresa indicó que no existen vulnerabilidades zero-day explotadas activamente dentro de este ciclo de actualizaciones. Sin embargo, varias fallas fueron catalogadas como críticas debido al potencial impacto sobre sistemas empresariales y servicios expuestos en internet. Microsoft recomendó aplicar las actualizaciones de inmediato para reducir riesgos asociados a ataques dirigidos y explotación remota de sistemas vulnerables.
Fortinet alerta sobre vulnerabilidades críticas RCE en FortiSandbox y FortiAuthenticator
Fortinet advirtió sobre múltiples vulnerabilidades críticas de ejecución remota de código que afectan a FortiSandbox y FortiAuthenticator. Las fallas permiten que atacantes remotos ejecuten código arbitrario en dispositivos afectados mediante solicitudes especialmente diseñadas, comprometiendo potencialmente sistemas de autenticación y análisis de amenazas utilizados por organizaciones.
La compañía publicó actualizaciones de seguridad para mitigar los problemas y recomendó aplicar los parches inmediatamente. Fortinet indicó que las vulnerabilidades afectan distintas versiones de ambos productos y podrían ser explotadas sin interacción significativa del usuario. La empresa también instó a restringir accesos administrativos y monitorear sistemas en busca de actividad sospechosa relacionada con intentos de explotación.
SAP corrige vulnerabilidades críticas en Commerce Cloud y S/4HANA
SAP publicó actualizaciones de seguridad para corregir múltiples vulnerabilidades críticas que afectan a Commerce Cloud y S/4HANA. Entre las fallas identificadas se encuentran problemas de ejecución remota de código, exposición de información sensible y debilidades relacionadas con autenticación insuficiente en componentes empresariales ampliamente utilizados por organizaciones globales.
La compañía indicó que algunas vulnerabilidades alcanzan niveles críticos de severidad y podrían permitir a atacantes comprometer sistemas sin autenticación previa. SAP recomendó aplicar los parches de inmediato debido al riesgo asociado a entornos expuestos en internet y sistemas corporativos conectados a procesos financieros y comerciales. Las correcciones fueron incluidas en la actualización mensual de seguridad publicada por la empresa.
Ciberamenazas
Hackers explotan fallas en Qinglong para instalar criptomineros
Investigadores de Snyk detectaron ataques activos contra Qinglong mediante la explotación de dos vulnerabilidades que permitían omitir autenticación y ejecutar código remoto. Las fallas, identificadas como CVE-2026-3965 y CVE-2026-4047, afectaban versiones 2.20.1 y anteriores. Según el reporte, la explotación comenzó semanas antes de que los problemas fueran divulgados públicamente.
Los atacantes utilizaron los errores para modificar archivos de configuración y descargar criptomineros ocultos en servidores de desarrolladores. Las infecciones fueron detectadas por procesos llamados “.fullgc”, diseñados para simular tareas legítimas y evitar sospechas mientras consumían hasta el 100% del CPU. Los investigadores señalaron que los atacantes aprovecharon inconsistencias entre la lógica de autenticación y el comportamiento del framework Express.js para acceder a paneles expuestos públicamente.
Bluekit incorpora inteligencia artificial en campañas de phishing
Investigadores de Varonis analizaron Bluekit, un nuevo kit de phishing que integra más de 40 plantillas dirigidas a servicios como Gmail, Outlook, GitHub, iCloud y plataformas de criptomonedas. La herramienta incorpora asistentes basados en modelos de inteligencia artificial como GPT-4.1, Claude, Gemini y Llama, permitiendo generar borradores automáticos de campañas fraudulentas para ciberdelincuentes.
La plataforma centraliza el registro de dominios, configuración de páginas falsas y monitoreo de víctimas en tiempo real. Además, incluye mecanismos para bloquear VPN, proxies y herramientas de análisis, así como opciones para capturar cookies y sesiones activas tras el robo de credenciales. Los investigadores indicaron que Bluekit continúa en desarrollo activo y recibe actualizaciones frecuentes orientadas a ampliar sus capacidades de automatización y evasión.
Vulnerabilidad de cPanel es explotada masivamente en ataques ransomware
cPanel y WHM están siendo explotados activamente mediante la vulnerabilidad CVE-2026-41940 en campañas del ransomware “Sorry”. La falla, corregida recientemente mediante una actualización de emergencia, permite omitir autenticación y acceder a paneles de administración de servidores. Investigadores reportaron que los ataques comenzaron poco después de la divulgación pública de la vulnerabilidad.
La organización Shadowserver Foundation informó que al menos 44 mil direcciones IP asociadas a cPanel habrían sido comprometidas. Los atacantes despliegan un cifrador desarrollado en Go para Linux que añade la extensión “.sorry” a los archivos afectados y utiliza ChaCha20 junto con RSA-2048 para proteger las claves de cifrado. Las víctimas reciben notas de rescate solicitando contacto mediante Tox para negociar pagos.
Telegram Mini Apps son utilizadas para fraudes cripto y distribución de malware
Investigadores de la firma de seguridad CTM360 identificaron una operación fraudulenta llamada FEMITBOT que utiliza las Mini Apps de Telegram para ejecutar estafas de criptomonedas y distribuir malware para Android. La campaña emplea bots y aplicaciones integradas en Telegram para mostrar sitios falsos que imitan servicios financieros, plataformas de inversión y marcas reconocidas dentro de la propia aplicación de mensajería.
Los atacantes utilizan dominios y APIs compartidas para desplegar múltiples campañas con distintas identidades visuales, incluyendo imitaciones de NVIDIA, Apple, Disney y Coca-Cola. Algunas Mini Apps distribuyen archivos APK maliciosos alojados en dominios controlados por los operadores, mientras otras solicitan depósitos o tareas de referidos para retirar supuestas ganancias. Los investigadores señalaron que la infraestructura permite cambiar rápidamente marcas, idiomas y temáticas para ampliar el alcance de las campañas.
Amazon SES es utilizado para campañas de phishing y evasión de filtros
Investigadores de Kaspersky reportaron un aumento de campañas de phishing que utilizan Amazon Simple Email Service (SES) para distribuir correos maliciosos. Los atacantes aprovechan claves AWS expuestas en repositorios GitHub, archivos .ENV, imágenes Docker y buckets S3 públicos para enviar mensajes desde infraestructura legítima y superar verificaciones SPF, DKIM y DMARC.
Las campañas incluyen falsos avisos de firma de documentos y ataques de compromiso de correo corporativo dirigidos a áreas financieras. Según Kaspersky, los actores maliciosos utilizan herramientas automatizadas para localizar claves filtradas, validar permisos y distribuir grandes volúmenes de mensajes fraudulentos. Amazon señaló que responde rápidamente ante reportes de abuso y recomendó reforzar controles IAM y autenticación multifactor.
Malware CloudZ utiliza Microsoft Phone Link para robar SMS y códigos OTP
Investigadores de Cisco Talos identificaron una nueva variante del malware CloudZ RAT que incorpora un complemento denominado Pheno para interceptar mensajes SMS y códigos OTP mediante Microsoft Phone Link. La herramienta permite acceder a notificaciones y mensajes sincronizados en la base de datos local de la aplicación instalada en equipos Windows.
La infección comienza mediante una falsa actualización de ScreenConnect que instala cargadores desarrollados en Rust y .NET junto al malware principal. Además de capturar códigos temporales, CloudZ puede ejecutar comandos, administrar archivos y grabar pantalla. Los investigadores detectaron técnicas avanzadas de evasión contra entornos de análisis y recomendaron utilizar métodos de autenticación resistentes al phishing en lugar de OTP vía SMS.
DAEMON Tools fue comprometido en ataque de cadena de suministro
Investigadores de Kaspersky revelaron que instaladores oficiales de DAEMON Tools fueron troyanizados para distribuir una puerta trasera en miles de sistemas desde el 8 de abril. El ataque afectó versiones específicas del software descargadas desde el sitio oficial y alcanzó dispositivos en más de 100 países, aunque las cargas útiles avanzadas solo fueron desplegadas sobre un grupo reducido de víctimas seleccionadas.
El malware inicial recopilaba información del sistema y la enviaba a servidores controlados por los atacantes para perfilar objetivos de interés. Algunos equipos recibieron una segunda etapa con capacidades de ejecución remota y descarga de archivos, mientras que en al menos un caso se instaló el malware QUIC RAT. Kaspersky indicó que el ataque permaneció sin detección durante casi un mes antes de ser descubierto.
Nuevo malware Quasar Linux apunta a desarrolladores y entornos DevOps
Investigadores de Trend Micro identificaron un implante para Linux denominado Quasar Linux (QLNX) diseñado para atacar sistemas de desarrolladores y entornos DevOps. El malware incorpora funciones de rootkit, robo de credenciales y puerta trasera, afectando plataformas y servicios como npm, PyPI, GitHub, AWS, Docker y Kubernetes.
QLNX utiliza múltiples mecanismos de persistencia, ejecución en memoria y evasión forense para mantenerse oculto durante largos periodos. El malware roba claves SSH, tokens cloud, credenciales de desarrolladores y datos almacenados en navegadores, además de incluir funciones de keylogging y movimiento lateral. Trend Micro señaló que la amenaza podría facilitar ataques a cadenas de suministro mediante la publicación de paquetes maliciosos utilizando credenciales robadas.
Grupo iraní MuddyWater utilizó ransomware Chaos como distracción
Investigadores de Rapid7 atribuyeron a MuddyWater una campaña que simuló ser un ataque del ransomware Chaos para ocultar actividades de ciberespionaje. El grupo iraní utilizó ingeniería social a través de Microsoft Teams para obtener acceso inicial, robar credenciales y desplegar herramientas de acceso remoto dentro de las redes comprometidas.
Durante la intrusión, los atacantes utilizaron AnyDesk, DWAgent y malware personalizado disfrazado como componentes de Microsoft WebView2. Rapid7 indicó que la operación incluyó robo de datos, persistencia y extorsión, aunque el uso del ransomware habría servido principalmente para dificultar la atribución del ataque. Los investigadores vincularon la actividad con MuddyWater mediante infraestructura y certificados digitales previamente asociados al grupo.
Campaña de phishing mediante anuncios de Google roba credenciales de ManageWP
Investigadores de Guardio Labs detectaron una campaña de phishing que utiliza anuncios patrocinados de Google para robar credenciales de usuarios de ManageWP, plataforma de GoDaddy para administrar múltiples sitios WordPress. Los atacantes posicionaron un enlace malicioso sobre el resultado legítimo en búsquedas relacionadas con “managewp”, redirigiendo a las víctimas a una página falsa idéntica al servicio original.
La operación emplea una técnica adversary-in-the-middle (AitM), permitiendo interceptar credenciales y códigos de autenticación multifactor en tiempo real. Guardio Labs señaló que la información robada era enviada a un canal de Telegram controlado por los operadores. La investigación confirmó al menos 200 víctimas afectadas y reveló que cada cuenta comprometida podía administrar cientos de sitios web mediante el plugin de ManageWP.
Sitio falso de Claude AI distribuye malware Beagle para Windows
Sophos y Malwarebytes identificaron un sitio falso de Claude AI que distribuía un supuesto instalador denominado “Claude-Pro Relay”, utilizado para desplegar una nueva puerta trasera para Windows llamada Beagle. El portal imitaba la apariencia de la plataforma legítima y ofrecía un archivo comprimido que contenía un instalador MSI malicioso dirigido a usuarios interesados en herramientas de inteligencia artificial.
Tras la instalación, el malware añadía archivos persistentes y utilizaba un ejecutable firmado de G Data para cargar componentes maliciosos en memoria. Sophos explicó que Beagle permite ejecutar comandos, transferir archivos y controlar sistemas comprometidos mediante servidores de mando y control cifrados. La investigación también halló vínculos con campañas previas relacionadas con PlugX y falsos sitios de actualización de productos de seguridad.
Alertan de campaña ClickFix que distribuye malware Vidar Stealer
El Australian Cyber Security Center (ACSC) advirtió sobre una campaña activa que utiliza la técnica ClickFix para distribuir el malware Vidar Stealer a través de sitios WordPress comprometidos. Los ataques muestran falsos mensajes de verificación CAPTCHA o Cloudflare para engañar a las víctimas y hacer que ejecuten comandos PowerShell maliciosos en sus dispositivos.
Vidar Stealer está diseñado para robar contraseñas, cookies, billeteras de criptomonedas, datos de autocompletado e información del sistema. Según ACSC, el malware elimina su ejecutable tras la infección y continúa operando desde la memoria para reducir rastros forenses. La agencia también indicó que los operadores utilizan servicios públicos como Telegram y perfiles de Steam para recuperar direcciones de comando y control utilizadas en la campaña.
Repositorio falso de OpenAI en Hugging Face distribuye malware roba información
Investigadores de la firma Hidden Layer identificaron un repositorio falso relacionado con OpenAI en la plataforma Hugging Face utilizado para distribuir malware tipo infostealer. El proyecto malicioso simulaba ser una herramienta legítima de inteligencia artificial y contenía archivos diseñados para descargar y ejecutar código malicioso en sistemas Windows comprometidos.
La campaña aprovechaba el interés por herramientas de IA para atraer desarrolladores y usuarios técnicos. Según el análisis, el malware recopilaba credenciales, cookies, tokens y otra información sensible almacenada en navegadores y aplicaciones del sistema. Los investigadores indicaron que el repositorio utilizaba nombres y descripciones similares a proyectos legítimos para dificultar su detección por parte de las víctimas.
Sitio de JDownloader fue comprometido para distribuir malware RAT en Python
El sitio oficial de JDownloader fue comprometido temporalmente para reemplazar instaladores legítimos con archivos maliciosos que distribuían un troyano de acceso remoto escrito en Python. La alteración afectó descargas disponibles en la página oficial del proyecto, exponiendo a usuarios que instalaron el software durante el periodo comprometido.
El malware permitía a los atacantes ejecutar comandos remotos, acceder a archivos y mantener persistencia en los equipos infectados. Los desarrolladores de JDownloader confirmaron el incidente y retiraron los instaladores afectados tras detectar modificaciones no autorizadas en la infraestructura de distribución. También recomendaron a los usuarios verificar descargas recientes y analizar sus sistemas en busca de actividad sospechosa.
Hackers utilizan anuncios de Google y chats falsos de Claude AI para distribuir malware en macOS
Investigadores detectaron campañas maliciosas que utilizan anuncios patrocinados de Google y falsos chats asociados a Claude AI para distribuir malware dirigido a usuarios de macOS. Los atacantes crearon páginas fraudulentas que imitaban servicios de inteligencia artificial y herramientas legítimas para inducir a las víctimas a descargar aplicaciones maliciosas.
La investigación reveló que el malware estaba diseñado para robar credenciales, cookies, billeteras de criptomonedas y datos almacenados en navegadores. Los operadores aprovecharon resultados patrocinados en motores de búsqueda y supuestas conversaciones automatizadas para generar confianza entre las víctimas. El análisis también identificó infraestructura utilizada para distribuir variantes adicionales orientadas al robo de información en sistemas Apple.
Troyano bancario TrickMo utiliza blockchain TON para ocultar comunicaciones
Investigadores de seguridad informaron que el malware bancario TrickMo incorporó soporte para la blockchain TON como mecanismo encubierto de comunicación entre dispositivos infectados y servidores de mando y control. El cambio permite ocultar tráfico malicioso dentro de transacciones y servicios asociados al ecosistema TON, dificultando su detección.
TrickMo es un troyano Android especializado en robo de credenciales bancarias y evasión de autenticación multifactor. La nueva versión incluye capacidades para capturar pantallas, interceptar SMS y desplegar superposiciones falsas sobre aplicaciones financieras. Los investigadores señalaron que el uso de blockchain representa una evolución en las tácticas de ocultamiento empleadas por operadores de malware móvil.
Grupo KongTuke utiliza Microsoft Teams para comprometer redes corporativas
Investigadores detectaron que el grupo de amenazas KongTuke comenzó a utilizar Microsoft Teams como parte de campañas dirigidas a organizaciones corporativas. Los atacantes envían mensajes fraudulentos y archivos maliciosos a empleados utilizando cuentas externas o comprometidas para generar confianza dentro de entornos empresariales.
La investigación reveló que las campañas buscan distribuir malware y obtener acceso inicial a redes corporativas mediante técnicas de ingeniería social. Los operadores aprovechan la adopción masiva de Microsoft Teams en ambientes empresariales para evadir sospechas y facilitar interacción con potenciales víctimas. Expertos señalaron que el grupo ha utilizado tácticas similares previamente en campañas de intrusión dirigidas.
Nueva herramienta GhostLock utiliza APIs de Windows para bloquear acceso a archivos
Investigadores de seguridad identificaron una nueva herramienta denominada GhostLock que utiliza APIs nativas de Windows para bloquear el acceso a archivos y dificultar operaciones defensivas y forenses. El programa explota mecanismos legítimos del sistema operativo para impedir que procesos de seguridad interactúen con archivos seleccionados por los atacantes.
El análisis reveló que GhostLock puede ser utilizado junto a ransomware u otras operaciones maliciosas para evitar análisis de archivos, interferir con herramientas de respuesta y restringir accesos administrativos. La herramienta aprovecha funciones internas de Windows relacionadas con bloqueo de recursos y control de manejo de archivos, permitiendo afectar procesos sin requerir drivers adicionales ni componentes de kernel modificados.
Paquete oficial de Checkmarx para Jenkins fue comprometido con malware infostealer
Investigadores detectaron que un paquete oficial de Checkmarx para Jenkins fue comprometido para distribuir malware tipo infostealer. El componente afectado estaba disponible a través de canales legítimos y contenía código malicioso diseñado para robar credenciales, tokens y datos sensibles desde sistemas utilizados en entornos de integración y desarrollo.
La campaña afectó específicamente un paquete asociado a automatización DevOps y pipelines CI/CD. Los investigadores señalaron que el malware podía extraer información almacenada en navegadores, herramientas de desarrollo y variables de entorno. Checkmarx confirmó el incidente, eliminó el paquete comprometido y recomendó revisar sistemas donde se hubiera instalado la versión afectada.
Ataque “Shai-Hulud” distribuye paquetes npm maliciosos firmados digitalmente
Investigadores revelaron una campaña denominada “Shai-Hulud” que distribuyó paquetes npm maliciosos firmados digitalmente y disfrazados como bibliotecas legítimas relacionadas con TanStack y Mistral. Los paquetes fueron publicados en el repositorio npm e incluían código diseñado para descargar cargas maliciosas adicionales en sistemas de desarrolladores.
La investigación indicó que los operadores utilizaron firmas válidas para aumentar la apariencia de legitimidad y evadir controles automáticos. Los paquetes comprometidos permitían la ejecución remota de código y la recopilación de información desde entornos de desarrollo afectados. Expertos señalaron que la campaña demuestra el creciente interés de actores maliciosos por comprometer cadenas de suministro de software utilizadas por desarrolladores y empresas.
Signal incorpora alertas de seguridad contra ataques de ingeniería social y phishing
Signal anunció nuevas funciones de seguridad destinadas a advertir a los usuarios sobre posibles ataques de ingeniería social y campañas de phishing dentro de la plataforma de mensajería. Las nuevas alertas buscan identificar intentos sospechosos de vinculación de dispositivos y accesos no autorizados relacionados con códigos QR y procesos de sincronización.
La actualización introduce advertencias visibles cuando un usuario intenta conectar un nuevo dispositivo o realizar acciones consideradas inusuales por la aplicación. Signal explicó que las medidas fueron desarrolladas tras observar intentos de actores maliciosos por engañar a víctimas para vincular cuentas a dispositivos controlados por atacantes, permitiendo acceso a conversaciones privadas y contenido sensible.
Nuevo gusano PCPJack roba credenciales y elimina infecciones de TeamPCP
Investigadores de SentinelLabs identificaron un nuevo framework malicioso denominado PCPJack, diseñado para robar credenciales desde infraestructura cloud expuesta y propagarse lateralmente en entornos comprometidos. El malware apunta a servicios como Docker, Kubernetes, Redis y MongoDB, además de aplicaciones web vulnerables, utilizando scripts automatizados para instalar persistencia y desplegar módulos adicionales.
La investigación indicó que PCPJack elimina activamente rastros y herramientas asociadas al grupo TeamPCP, borrando procesos, archivos y contenedores vinculados a infecciones previas. El malware roba claves SSH, credenciales cloud, tokens y configuraciones sensibles, enviando la información robada mediante canales de Telegram cifrados. SentinelLabs señaló similitudes entre PCPJack y operaciones históricas atribuidas a TeamPCP.
Malware bancario TCLBanker se propaga automáticamente por WhatsApp y Outlook
Elastic Security Labs detectó un nuevo troyano bancario llamado TCLBanker que apunta a 59 plataformas bancarias, fintech y de criptomonedas. El malware se distribuye mediante un instalador MSI modificado de Logitech AI Prompt Builder y añade capacidades de propagación automática a través de WhatsApp y Microsoft Outlook para infectar nuevos sistemas.
Los investigadores señalaron que TCLBanker representa una evolución de la familia Maverick/Sorvepotel y actualmente concentra su actividad en Brasil, verificando idioma, zona horaria y configuración regional de las víctimas. El malware incorpora técnicas avanzadas de evasión y mecanismos de cifrado dependientes del entorno, dificultando su análisis en sandboxes y entornos de investigación.
Riesgos Cibernéticos
Plugin popular de WordPress ocultó puerta trasera durante años
El complemento Quick Page/Post Redirect, instalado en más de 70 mil sitios de WordPress, contenía una puerta trasera introducida hace cinco años que permitía ejecutar código arbitrario en sitios afectados. El hallazgo fue realizado por Austin Ginder, fundador del proveedor de hosting Anchor, tras detectar actividad sospechosa en varios sitios comprometidos. El plugin fue retirado temporalmente del repositorio oficial mientras se realiza una revisión de seguridad.
Las versiones 5.2.1 y 5.2.2 incorporaban un mecanismo oculto de actualización automática conectado a un dominio externo, capaz de distribuir versiones manipuladas fuera del control de WordPress.org. Según la investigación, una compilación alterada instaló una puerta trasera pasiva utilizada para operaciones de SEO malicioso y potencial ejecución remota de código. Aunque el dominio externo actualmente no responde, miles de instalaciones todavía mantienen el mecanismo de actualización comprometido activo.
Trellix investiga brecha tras acceso no autorizado a repositorio de código fuente
Trellix informó que sufrió una brecha de seguridad luego de que atacantes obtuvieran acceso no autorizado a una parte de su repositorio de código fuente. La compañía, surgida de la fusión entre McAfee Enterprise y FireEye, indicó que el incidente está siendo investigado con apoyo de expertos forenses externos y que también notificó a las autoridades competentes.
Hasta ahora, Trellix señaló que no existen evidencias de alteración o explotación del código fuente comprometido ni de afectación a sus procesos de distribución de software. La empresa no entregó detalles sobre la fecha exacta del incidente ni confirmó si hubo robo de datos corporativos o solicitudes de rescate. El caso se suma a otros ataques recientes dirigidos contra compañías del sector de ciberseguridad y desarrollo de software.
Android 17 ampliará protecciones contra fraudes bancarios y llamadas maliciosas
Google anunció nuevas funciones de seguridad y privacidad para Android 17 orientadas a combatir fraudes bancarios, llamadas engañosas y abuso de permisos en dispositivos móviles. Las nuevas medidas incluyen restricciones adicionales durante llamadas con desconocidos y protecciones que impiden modificar configuraciones sensibles mientras se desarrolla una conversación activa.
La actualización también incorporará controles reforzados para aplicaciones relacionadas con accesibilidad y permisos críticos, utilizados frecuentemente por malware bancario y campañas de ingeniería social. Google indicó que las nuevas funciones buscan reducir riesgos asociados a ataques telefónicos y aplicaciones fraudulentas que intentan obtener acceso a datos financieros o credenciales almacenadas en dispositivos Android.
Plataformas de IA y software popular son utilizados como vector de distribución maliciosa
Las campañas detectadas durante los últimos días evidenciaron un incremento en el uso de plataformas de inteligencia artificial, repositorios de código y servicios ampliamente utilizados como mecanismo de distribución de malware. Sitios falsos, repositorios fraudulentos y anuncios patrocinados fueron empleados para dirigir víctimas hacia instaladores manipulados y herramientas infectadas.
Las investigaciones también mostraron el uso de nuevas técnicas de evasión, incluyendo comunicaciones a través de blockchain, abuso de plataformas legítimas y malware cargado directamente en memoria. Expertos recomendaron verificar la autenticidad de descargas, evitar resultados patrocinados no verificados y aplicar controles adicionales en entornos corporativos para reducir riesgos asociados a campañas de ingeniería social y software comprometido.
RansomHouse asegura haber comprometido código fuente de Trellix
El grupo de ransomware RansomHouse afirmó haber comprometido sistemas de Trellix y obtenido acceso a parte del código fuente de la compañía de ciberseguridad. Según la publicación de los atacantes, los datos robados incluirían repositorios internos y documentación técnica relacionada con productos de seguridad desarrollados por la empresa.
Trellix confirmó que investiga el incidente tras detectar acceso no autorizado en un entorno utilizado por un tercero externo. La compañía señaló que la intrusión no afectó productos de clientes ni servicios comerciales activos. Sin embargo, el caso generó preocupación por el posible impacto que la exposición de código fuente podría tener en futuras investigaciones de vulnerabilidades y análisis de herramientas de seguridad.
Dell confirma que SupportAssist provoca pantallazos azules en Windows
Dell confirmó que determinadas versiones de su herramienta SupportAssist están provocando errores de pantalla azul (BSOD) en equipos con Windows. El problema afecta sistemas donde el software interactúa incorrectamente con componentes del sistema operativo y controladores instalados en los dispositivos.
La compañía indicó que trabaja junto a Microsoft para investigar el origen de las fallas y desarrollar una solución definitiva. Mientras tanto, Dell recomendó actualizar SupportAssist a las versiones corregidas o desinstalar temporalmente el software en equipos afectados. El incidente impacta principalmente computadores corporativos y personales que utilizan herramientas automatizadas de soporte y mantenimiento de Dell.
Microsoft publica actualización extendida KB5087544 para Windows 10
Microsoft liberó la actualización KB5087544 para Windows 10 como parte del programa Extended Security Updates (ESU), destinado a organizaciones y usuarios que continúan utilizando el sistema operativo tras el fin del soporte principal. La actualización incluye correcciones de seguridad y mejoras acumulativas orientadas a mantener la protección de dispositivos que aún dependen de Windows 10.
La compañía reiteró que Windows 10 se acerca al término definitivo de soporte y que las actualizaciones extendidas están diseñadas como una medida temporal para reducir exposición a amenazas. Microsoft también recordó que el programa ESU requiere licencias específicas y recomendó avanzar hacia versiones más recientes de Windows para mantener acceso completo a soporte y nuevas funciones de seguridad.
Microsoft investiga problema que impide instalar Office en dispositivos Windows 365
Microsoft informó que algunos usuarios de Windows 365 están experimentando problemas que impiden instalar aplicaciones de Office en dispositivos cloud PC. La compañía confirmó que el incidente afecta determinados entornos virtualizados y está relacionado con procesos de aprovisionamiento y configuración asociados a Microsoft 365 Apps.
Según Microsoft, los usuarios afectados reciben mensajes de error durante la instalación o activación de Office dentro de instancias Windows 365. La empresa indicó que se encuentra investigando la causa del problema y trabaja en medidas de mitigación temporales mientras desarrolla una solución definitiva. El incidente impacta principalmente entornos corporativos que utilizan escritorios virtuales administrados desde la nube.