La plataforma de alojamiento de videos Vimeo ha confirmado una filtración de datos que resultó en acceso no autorizado a su base de datos de usuarios. El incidente de seguridad se originó por un compromiso en Anodot, un proveedor externo de análisis utilizado por Vimeo y otras grandes organizaciones. Este suceso subraya la creciente amenaza de los ataques a la cadena de suministro en el ecosistema de software como servicio (SaaS).

Investigadores de la Universidad Técnica Checa en Praga han desarrollado un nuevo generador de malware adversarial dirigido a binarios ELF de Linux. Logra una tasa de evasión del 67.74% contra detectores de malware basados en aprendizaje automático (ML) mientras mantiene el payload completamente funcional.

Un importante ataque a la cadena de suministro de software ha comprometido el popular paquete de Python elementary-data, exponiendo a miles de desarrolladores a un robo masivo de credenciales. Los actores de amenazas lograron subir una versión maliciosa, la 0.23.3, al Índice de Paquetes de Python (PyPI) y envenenaron las imágenes Docker correspondientes en el Registro de Contenedores de GitHub (GHCR). Con más de un millón de descargas mensuales, este paquete, ampliamente utilizado en dbt, representa un grave riesgo para la seguridad.

Cada vez que alguien usa el Escritorio Remoto de Windows, el sistema operativo guarda silenciosamente fragmentos visuales de la sesión activa. Como destacó recientemente SCYTHE Labs, los atacantes pueden extraer fácilmente estos rastros y reconstruirlos en capturas de pantalla legibles.

Se ha identificado una vulnerabilidad de seguridad en Notepad++, uno de los editores de texto de código abierto más utilizados entre desarrolladores y profesionales de TI. La vulnerabilidad, registrada como CVE-2026-3008, podría permitir a un atacante remoto bloquear la aplicación o extraer información sensible de direcciones de memoria de los sistemas afectados. El fallo es una inyección de cadenas localizado en la función FindInFiles.

CrowdStrike ha emitido un aviso de seguridad urgente sobre una vulnerabilidad crítica de recorrido de ruta sin autenticación (CVE-2026-40050) que afecta a su plataforma LogScale. La compañía advierte que un atacante remoto podría explotar esta falla para leer archivos arbitrarios directamente desde el sistema de archivos del servidor sin necesidad de autenticación. La vulnerabilidad reside en un punto final específico de la API de clúster dentro de CrowdStrike LogScale. 

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido una alerta crítica sobre un grave compromiso en la cadena de suministro de software. El ataque tiene como objetivo Axios, un cliente HTTP extremadamente popular para JavaScript que los desarrolladores de todo el mundo utilizan en entornos Node.js y navegadores. Los ataques a la cadena de suministro se han convertido en una prioridad máxima para los equipos de seguridad, ya que comprometer un solo componente puede afectar a miles de aplicaciones y sistemas. 

Ciberdelincuentes han encontrado una forma silenciosa de infiltrarse en una cuenta corporativa de correo electrónico y leer todo lo que se envía y recibe, sin que el propietario de la cuenta lo sepa jamás. Los atacantes están abusando de una función integrada de Microsoft 365 llamada reglas de buzón para interceptar correos electrónicos empresariales de manera sigilosa, redirigir comunicaciones financieras y suprimir notificaciones de seguridad.

Microsoft ha lanzado oficialmente actualizaciones de seguridad para abordar una vulnerabilidad significativa en Windows BitLocker. Registrada como CVE-2026-27913, esta vulnerabilidad de omisión de la función de seguridad fue descubierta por el investigador de seguridad Alon Leviev en colaboración con el equipo de Microsoft STORM. La falla representa un riesgo sustancial para las arquitecturas de seguridad de los dispositivos empresariales.

Synology ha revelado dos graves fallos en su cliente SSL VPN que podrían permitir a atacantes remotos robar archivos sensibles e interceptar el tráfico de red. Estas vulnerabilidades afectan a usuarios que utilizan versiones antiguas del software y exigen una actualización inmediata para prevenir posibles compromisos en la red. Las VPN son herramientas esenciales para garantizar comunicaciones seguras, por lo que las fallas en este tipo de software representan un riesgo significativo.

La IA Claude Mythos demuestra capacidad para hackear empresas de principio a fin sin intervención humana, ejecutando ataques complejos en entornos reales y superando limitaciones de pruebas controladas.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) ha emitido una advertencia urgente a las organizaciones sobre dos graves vulnerabilidades de Microsoft. El 13 de abril de 2026, la agencia añadió oficialmente fallos que afectan a Microsoft Exchange Server y al controlador Windows Common Log File System (CLFS) a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).

Un botnet de relleno de credenciales en vivo que apunta a cuentas de Twitter/X ha sido encontrado completamente expuesto a internet, sin necesidad de contraseña para acceder a su panel de control, credenciales del servidor de trabajadores o datos de ataques en tiempo real. El sistema expuesto, que opera bajo el nombre “Twitter Checker Master Panel – FULL FIX v2.3”, dejó al descubierto las contraseñas root SSH de los 18 trabajadores 

Se ha descubierto una vulnerabilidad de alta gravedad en los Componentes del Servidor de React, que expone las aplicaciones web modernas a ataques de Denegación de Servicio (DoS). Registrada como CVE-2026-23869, esta falla permite a atacantes remotos no autenticados agotar los recursos del servidor backend mediante solicitudes de red especialmente diseñadas. El Aviso de Seguridad de GitHub califica esta vulnerabilidad como de gravedad Alta.

Una alerta de seguridad crítica advierte sobre una grave vulnerabilidad de contraseña predeterminada que afecta a los dispositivos Support Insights Virtual Lightweight Collector (vLWC). Esta falla permite a atacantes no autenticados y basados en la red obtener control administrativo completo de los dispositivos expuestos de manera sencilla. Registrada formalmente como CVE-2026-33784, esta vulnerabilidad tiene una puntuación casi máxima en el Common Vulnerability Scoring System (CVSS v3.1) de 9.8 sobre 10.