Una vulnerabilidad significativa en el parche de intercambio de claves GSSAPI fue aplicada por numerosas distribuciones de Linux en sus paquetes de OpenSSH. La falla, identificada como CVE-2026-3497, fue descubierta por el investigador de seguridad Jeremy Brown. Permite a un atacante provocar la caída de procesos secundarios de SSH de manera confiable y potencialmente violar los límites de separación de privilegios, todo con un único paquete de red manipulado.

Se ha emitido un aviso de seguridad sobre una vulnerabilidad recientemente descubierta que afecta a la Máquina Virtual (VM) del Cortex XDR Broker de Palo Alto. Esta falla podría permitir a un atacante altamente privilegiado y autenticado acceder y modificar información sensible del sistema. Afortunadamente, el problema fue descubierto internamente y, por el momento, no hay informes de explotación maliciosa activa en entornos reales. Palo Alto

El 10 de marzo de 2026, Microsoft lanzó actualizaciones de seguridad para solucionar una vulnerabilidad crítica en su ampliamente utilizado paquete Office. Identificada como CVE-2026-26110, esta falla de seguridad permite a un atacante no autorizado ejecutar código malicioso en el dispositivo de la víctima.

Un nuevo gusano de cadena de suministro está atacando activamente el ecosistema npm, con un equipo de investigación identificando al menos 19 paquetes maliciosos diseñados para robar secretos de desarrolladores y CI/CD, y propagarse automáticamente a través de repositorios y flujos de trabajo. La campaña, rastreada como SANDWORMMODE, utiliza paquetes npm con typosquatting y GitHub Actions envenenadas para infectar tanto máquinas de desarrolladores.

Cloudflare ha lanzado la versión 0.8.0 de su framework de código abierto Pingora para corregir tres vulnerabilidades críticas: CVE-2026-2833, CVE-2026-2835 y CVE-2026-2836. Estos fallos permiten el contrabando de solicitudes HTTP y el envenenamiento de caché, lo que representa una grave amenaza para las implementaciones independientes de Pingora expuestas directamente a Internet.

El HackyFi es un nuevo dispositivo basado en Raspberry Pi que funciona como un Tamagotchi para hackers, alternativo al Flipper Zero, capaz de tomar control de PCs o móviles al conectarse vía USB-C; se advierte sobre sus riesgos y la necesidad de protegerse de ataques autónomos.

La brecha entre los ataques dirigidos por humanos y las intrusiones impulsadas por máquinas se está cerrando más rápido de lo que la mayoría de las organizaciones esperaban. Cloudforce One, el equipo de inteligencia de amenazas dedicado de Cloudflare, publicó el primer Informe de Amenazas Cloudflare 2026 el 3 de marzo de 2026, emitiendo una clara advertencia: la inteligencia artificial se ha convertido en un motor central detrás de los ciberataques modernos. 

Se ha publicado un exploit de prueba de concepto (PoC) público para la CVE-2026-20127, una vulnerabilidad de gravedad máxima de día cero en el Cisco Catalyst SD-WAN Controller y el SD-WAN Manager que ha sido explotada activamente en la naturaleza desde al menos 2023. Cisco Talos está rastreando la actividad de la amenaza bajo el clúster UAT-8616, describiéndola como un "actor de amenazas cibernéticas altamente sofisticado" que apunta a infraestructuras críticas.

Se ha descubierto una vulnerabilidad de alta gravedad, CVE-2026-25611 (CVSS 7.5), en MongoDB que permite a atacantes no autenticados bloquear servidores expuestos utilizando un ancho de banda mínimo. Según Cato CTRL, afecta a todas las versiones de MongoDB donde la compresión está habilitada (v3.4+, activada por defecto desde v3.6), incluyendo MongoDB Atlas. Además, datos de Shodan indican que más de 207.000 instancias de MongoDB están actualmente expuestas

CISA ha advertido que una falla de corrupción de memoria en los chipsets Qualcomm está siendo explotada en ataques, instando a las organizaciones a aplicar rápidamente las mitigaciones proporcionadas por el fabricante. El problema, registrado como CVE-2026-21385, afecta a múltiples chipsets de Qualcomm y fue añadido al catálogo de la CISA el 3 de marzo de 2026 con una fecha límite de remediación para el 24 de marzo de 2026. 

Un nuevo ataque de phishing activo aprovecha el comportamiento legítimo de redirección de OAuth, lo que le permite eludir las defensas tradicionales de correo electrónico y navegador sin robar tokens. Según investigadores de Microsoft Defender, estas campañas se dirigen principalmente a organizaciones gubernamentales y del sector público, utilizando dominios de proveedores de identidad confiables para ocultar redirecciones maliciosas. 

Una vulnerabilidad crítica que afecta a VMware Aria Operations ha sido añadida al catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Broadcom emitió recientemente un aviso de seguridad detallando una falla que permite a atacantes no autenticados ejecutar comandos arbitrarios. Se insta a las organizaciones a implementar mitigaciones o suspender el uso del producto si no es posible aplicar una solución. VMware Aria Operations 

Una ola de ataques de *relleno de credenciales* ha revelado un preocupante cambio en la forma en que los actores de amenazas acceden a las redes corporativas: no explotando vulnerabilidades de software, sino simplemente iniciando sesión con contraseñas robadas. En el centro de esta campaña se encuentran familias de malware infostealer, que recopilan silenciosamente credenciales de dispositivos infectados de empleados.

Amazon confirmó que ataques con drones dañaron tres centros de datos de AWS en Emiratos Árabes Unidos y uno en Bahréin, causando interrupciones prolongadas en servicios en la nube. Se vinculan a represalias de Irán por operaciones militares de EE.UU. e Israel. Amazon trabaja en la recuperación, priorizando la seguridad del personal y la restauración de servicios, mientras recomienda a clientes migrar datos a regiones no afectadas. El NCSC del Reino Unido alertó sobre riesgo de ciberataques iraníes.

 

Nueva técnica de persistencia en Linux llamada Living off the Land 2.0 aprovecha infraestructura normal del sistema (como systemd) para evitar detección en SOCs, usando socket activation y generators que no dejan procesos activos ni rastros tradicionales, activándose solo bajo demanda del atacante y pasando desapercibidos al no revisarse rutas como /run/systemd/generator/.

Una nueva variante de malware llamada RESURGE está atacando activamente dispositivos Ivanti Connect Secure mediante la explotación de una vulnerabilidad crítica de día cero, lo que ha llevado a la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) a emitir una advertencia formal. El malware está diseñado para sobrevivir a reinicios, robar credenciales y mantenerse operativo mucho después del compromiso inicial.​

Un hallazgo de investigación recientemente revelado ha demostrado que la función Live Terminal de Cortex XDR de Palo Alto Networks puede ser convertida en un canal de comando y control (C2) por parte de los atacantes. Dado que esta función se ejecuta dentro de un agente de detección y respuesta en endpoints (EDR) de confianza, el tráfico que genera es ampliamente aceptado por las herramientas de seguridad empresariales, lo que convierte esto en un método silencioso

Los actores de amenazas siempre buscan nuevas formas de abusar de plataformas confiables, y Microsoft Entra ID se está convirtiendo cada vez más en un objetivo mediante una técnica conocida como abuso de consentimiento OAuth. Un escenario de ataque recientemente documentado muestra cómo una aplicación de terceros maliciosa o con permisos excesivos —que se asemeja mucho a una herramienta confiable como ChatGPT— puede obtener acceso silenciosamente.