CVE-2026-22906 es una vulnerabilidad crítica (CVSS 9.8) que afecta productos con almacenamiento inseguro de credenciales usando cifrado AES en modo ECB con clave hardcodeada, permitiendo a atacantes remotos sin autenticación recuperar contraseñas y usuarios en texto claro.

Un implante de hardware de $44 disfrazado como un ratón de computadora común. Este dispositivo actúa como un inyector de pulsaciones de teclas encubierto, similar al Hak5 Rubber Ducky, pero aprovecha el factor de forma inocuo de un ratón para eludir la capacitación básica de concienciación del usuario. Conéctalo y ejecutará de forma autónoma cargas útiles que ejecutan comandos, entregan shells inversas o algo peor.

SSHStalker es un nuevo botnet para Linux recientemente descubierto que revive el control mediante Internet Relay Chat (IRC) mientras emplea automatización para comprometer servidores a través de SSH. Su éxito se basa principalmente en adivinar contraseñas débiles o reutilizadas, convirtiendo cada host en una plataforma de lanzamiento para más escaneos e instalaciones. En intrusiones detectadas en honeypots a principios de 2026, los atacantes desplegaron un malware escrito en Golang.

Una grave vulnerabilidad de denegación de servicio (DoS) en el software PAN-OS de Palo Alto Networks podría permitir a atacantes no autenticados bloquear firewalls en ciclos de reinicio interminables, lo que podría paralizar redes empresariales. Denominada CVE-2026-0229, la falla reside en la función de Advanced DNS Security (ADNS). Un atacante envía un paquete maliciosamente elaborado para provocar un reinicio del sistema. La explotación repetida fuerza al firewall a entrar en un bucle de reinicios.

Ivanti ha lanzado actualizaciones de seguridad críticas para su plataforma Endpoint Manager (EPM), abordando dos vulnerabilidades recientemente descubiertas que podrían permitir el acceso no autorizado a información sensible de la base de datos y comprometer credenciales de usuarios. Las actualizaciones, publicadas en la versión 2024 SU5, también resuelven 11 vulnerabilidades de severidad media previamente divulgadas en octubre de 2025. 

OpenClaw, una plataforma de agentes de IA de código abierto en rápido crecimiento, enfrenta graves riesgos en su cadena de suministro, ya que los atacantes envenenan su mercado de plugins ClawHub con "habilidades" maliciosas. Las firmas de seguridad SlowMist y Koi Security han descubierto cientos de extensiones comprometidas que despliegan infostealers como Atomic Stealer. OpenClaw permite a los agentes de IA locales automatizar flujos de trabajo, interactuar con servicios y controlar dispositivos.

Los actores de ransomware están constantemente perfeccionando sus arsenales para eludir las defensas modernas. Una campaña reciente del grupo Black Basta ha introducido un cambio táctico significativo al incorporar un componente de "Bring Your Own Vulnerable Driver" (BYOVD) directamente en el propio payload del ransomware. Esta integración representa una desviación notable de los procedimientos operativos estándar, donde las herramientas de evasión de defensas.

 

Los equipos de seguridad empresariales enfrentan un nuevo desafío sofisticado, ya que los ciberdelincuentes están explotando cada vez más plataformas en la nube de confianza para lanzar ataques de phishing. En lugar de depender de dominios recién registrados y sospechosos, los actores de amenazas ahora alojan su infraestructura maliciosa en servicios legítimos como Microsoft Azure Blob Storage, Google Firebase y AWS CloudFront. 

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha emitido una advertencia sobre una vulnerabilidad crítica en GitLab Community y Enterprise Editions que está siendo explotada activamente en ataques. Esta falla, identificada como CVE-2021-39935, ha sido añadida al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) debido a su gravedad y al riesgo que representa para las organizaciones que utilizan versiones afectadas de GitLab.

Se ha revelado una vulnerabilidad crítica de ejecución de comandos autenticada que afecta a varios modelos de puntos de acceso inalámbricos (WAP) de Hikvision. La falla, identificada como CVE-2026-0709, surge de una validación insuficiente de entradas en el firmware del dispositivo, lo que podría permitir a atacantes con credenciales válidas ejecutar comandos arbitrarios en los sistemas afectados. La vulnerabilidad tiene una puntuación base CVSS v3.1 de 7.2, lo que indica un riesgo alto.

APT28, el grupo de amenazas persistentes avanzadas vinculado a Rusia, ha lanzado una campaña sofisticada dirigida a Europa Central y del Este utilizando una vulnerabilidad de día cero en Microsoft Office. Los actores de amenazas aprovecharon archivos Microsoft Rich Text Format (RTF) especialmente diseñados para explotar la vulnerabilidad y distribuir puertas traseras maliciosas a través de una cadena de infección de múltiples etapas. 

Se ha descubierto una vulnerabilidad crítica en Gakido, una biblioteca cliente HTTP de HappyHackingSpace, que permite a los atacantes inyectar cabeceras HTTP arbitrarias mediante secuencias CRLF (Carriage Return Line Feed). Registrada como CVE-2026-24489 bajo el aviso RO-26-005, la vulnerabilidad afecta a todas las versiones anteriores a 0.1.1-1bc6019 y tiene una calificación de gravedad media.

Se han revelado dos vulnerabilidades críticas de inyección de código en la plataforma Endpoint Manager Mobile (EPMM) de Ivanti, las cuales están siendo explotadas activamente en ataques reales. Las fallas de seguridad, identificadas como CVE-2026-1281 y CVE-2026-1340, permiten a atacantes no autenticados ejecutar código arbitrario de forma remota en sistemas vulnerables. 

Actores de amenazas han comenzado a atacar empresas en los sectores de seguros, comercio electrónico y TI mediante una vulnerabilidad crítica identificada como CVE-2025-55182, conocida comúnmente como React2Shell. Esta falla reside en el protocolo Flight, que gestiona la comunicación cliente-servidor para los React Server Components, permitiendo a los atacantes ejecutar código no autorizado en servidores vulnerables.

Databricks ha anunciado oficialmente el lanzamiento de BlackIce, un kit de herramientas de código abierto y basado en contenedores diseñado para agilizar las pruebas de seguridad en IA y el Red Teaming. Presentado originalmente en CAMLIS Red 2025, BlackIce aborda la fragmentación y los desafíos de configuración que los investigadores de seguridad suelen enfrentar al evaluar Modelos de Lenguaje Grande (LLM) y sistemas de Aprendizaje Automático (ML). Al agrupar 14 herramientas ampliamente utilizadas

Más de 3.280.081 dispositivos Fortinet estaban expuestos, con propiedades web que ejecutan dispositivos Fortinet vulnerables afectados por la CVE-2026-24858, una grave falla de omisión de autenticación explotada activamente en la naturaleza. La vulnerabilidad, calificada con 9,4 en la escala CVSS, afecta a múltiples líneas de productos de Fortinet, incluyendo FortiOS, FortiManager, FortiAnalyzer, FortiProxy y FortiWeb. 

La botnet Aisuru/Kimwolf lanzó el mayor ataque de denegación de servicio distribuido (DDoS) revelado públicamente en la historia, alcanzando un pico sin precedentes de 31.4 terabits por segundo (Tbps). El masivo ataque, denominado campaña “La Noche antes de Navidad”, tuvo como objetivo la infraestructura y clientes de Cloudflare con ataques hipervolumétricos que comenzaron el 19 de diciembre de 2025, combinando ataques DDoS en Capa 4 con un ancho de banda récord junto a ataques HTTP en la capa de aplicación

Una grave falla de seguridad en las cámaras IP de IDIS ha salido a la luz, permitiendo a los atacantes tomar el control completo de la computadora de una víctima con solo un clic. La vulnerabilidad, identificada como CVE-2025-12556, afecta al IDIS Cloud Manager (ICM) Viewer, una aplicación basada en Windows utilizada para monitorear transmisiones de vigilancia de cámaras IP de IDIS desplegadas en empresas, instalaciones de manufactura y entornos militares

Google y sus socios lanzaron esta semana una operación importante para desmantelar lo que los expertos en seguridad consideran una de las redes de proxies residenciales más grandes del mundo: IPIDEA. El servicio de proxy funciona redirigiendo el tráfico de internet a través de millones de dispositivos de consumo cotidianos distribuidos por todo el planeta, permitiendo a los atacantes ocultar sus actividades detrás de direcciones IP ordinarias.