El ‘device code phishing’ ha aumentado 37 veces en 2026 debido a kits que explotan el OAuth 2.0 Device Authorization Grant, permitiendo a atacantes robar access tokens y refresh tokens para secuestrar cuentas sin necesidad de contraseñas.

Un boletín de seguridad crítico destaca múltiples vulnerabilidades en los productos Verify Identity Access y Security Verify Access. Si no se parchean, estas fallas de seguridad generalizadas podrían permitir a actores maliciosos acceder a información sensible, escalar sus privilegios en el sistema o causar una denegación total de servicio de la aplicación. Las organizaciones que dependen de estas plataformas de autenticación deben tomar medidas inmediatas para aplicar los parches

La autenticación multifactor (MFA) funciona como un mecanismo de defensa crítico para proteger las identidades de los usuarios contra ataques cibernéticos dirigidos. Microsoft informa que la implementación de MFA reduce efectivamente el riesgo de compromiso de cuentas en más del 99%. Para ampliar estas protecciones, Microsoft ha anunciado la Disponibilidad General de la autenticación multifactor externa para Microsoft Entra ID. Este lanzamiento elimina limitaciones previas de la plataforma 

Explotación activa de CVE-2025-32975 (CVSS 10.0) en Quest KACE SMA sin parchear permite bypass de autenticación y control administrativo, con riesgos de movimientos laterales a sistemas críticos como controladores de dominio y backups.

ConnectWise ha emitido un aviso de seguridad urgente para su software de escritorio remoto ScreenConnect, revelando una vulnerabilidad criptográfica crítica que podría permitir a atacantes no autenticados extraer claves de máquina a nivel de servidor e secuestrar la autenticación de sesiones. La falla, registrada como CVE-2026-3564, afecta a todas las versiones de ScreenConnect anteriores a la 26.1 y tiene una puntuación CVSS de 9.0, lo que la sitúa en un nivel de riesgo extremadamente alto.

Una grave falla de seguridad en Ivanti Endpoint Manager ha llamado la atención federal después de que la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) la añadiera al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 9 de marzo de 2026. Identificada como CVE-2026-1603, esta vulnerabilidad de omisión de autenticación afecta a todas las versiones de Ivanti Endpoint Manager anteriores a la versión 2024 SU5

Miles de controladores de gestión de edificios de Honeywell podrían ser accesibles en línea sin necesidad de iniciar sesión, exponiendo controles basados en web que pueden ser abusados para realizar cambios no autorizados e incluso provocar bloqueos de operadores. Zero Science Lab ha publicado el aviso ZSL-2026-5979 (publicado el 02 de marzo de 2026) detallando un problema de acceso no autenticado que afecta a los controladores Honeywell Trend IQ4xx BMS en configuración de fábrica predeterminada. 

Se ha emitido un boletín de seguridad sobre una vulnerabilidad en el servidor de licencias AutoPass (APLS) que podría permitir a los atacantes eludir los controles de autenticación de forma remota. El problema está registrado como CVE-2026-23600 y tiene una calificación de importancia con una puntuación base CVSS de 7.3. 

Un estudio revela que las contraseñas generadas por IA como ChatGPT, Gemini o Claude no son seguras y son fáciles de descifrar, por lo que no se recomienda usarlas para proteger cuentas en redes sociales, apps o juegos.

WhatsApp ha lanzado una nueva actualización para Android a través del Programa Beta de Google Play, elevando la versión a 2.26.7.8. La actualización revela que WhatsApp está desarrollando activamente una función opcional de contraseña para cuentas, diseñada para añadir una capa adicional de seguridad sobre el sistema existente de verificación en dos pasos (2FA).

Un marco de phishing altamente sofisticado llamado Starkiller ha surgido recientemente, ofreciendo a los atacantes un método avanzado para robar credenciales y eludir la autenticación multifactor (MFA). Desarrollado por un grupo conocido como Jinkusu, este kit de herramientas malicioso se vende como un producto comercial de software como servicio (SaaS). A diferencia de los kits más antiguos que dependían de copias estáticas de sitios web legítimos, esta nueva plataforma carga páginas de inicio de sesión reales .

Microsoft está investigando activamente informes sobre errores de 504 Gateway Timeout que afectan a usuarios en Estados Unidos que intentan acceder a Microsoft 365 y servicios relacionados que requieren Autenticación Multifactor (MFA). El problema fue detallado en la alerta de estado del servicio MO1237461, visible en el centro de administración de Microsoft 365.

Una actualización de seguridad crítica aborda una vulnerabilidad de elevación de privilegios de gravedad alta en Windows Admin Center (WAC), identificada como CVE-2026-26119. La falla, calificada con un CVSS 8.8 (Crítica), se origina por una autenticación incorrecta (CWE-287) que podría permitir a un atacante autorizado obtener privilegios elevados en la red. Según Microsoft, esta vulnerabilidad afecta a Windows Admin Center versión 2.6.4, y fue revelada públicamente el 17 de febrero de 2026. 

Google prueba en Chrome Canary un sistema sin contraseña que usa passkeys del móvil con PIN para iniciar sesión en escritorio, avanzando hacia la autenticación sin claves tradicionales.

Una vulnerabilidad crítica, identificada como CVE-2026-1731, está siendo explotada activamente en la naturaleza, permitiendo a los atacantes obtener control total del dominio sobre los sistemas afectados. Los actores de amenazas están aprovechando esta falla para ejecutar comandos del sistema operativo de forma remota sin necesidad de autenticación. El fallo, descubierto en implementaciones autoalojadas de BeyondTrust, permite a atacantes no autenticados ejecutar comandos arbitrarios del sistema operativo mediante solicitudes HTTP especialmente diseñadas.