Se ha revelado una vulnerabilidad en Apache CXF, identificada como CVE-2026-44930, que afecta a los servicios XKMS. Este fallo de severidad importante se encuentra en el componente del repositorio de certificados basado en LDAP, lo que podría permitir a atacantes obtener certificados digitales arbitrarios de los sistemas vulnerables.

Microsoft desmanteló la operación de Fox Tempest, un servicio que defraudaba el sistema de firma de certificados de la empresa para disfrazar malware y ransomware como software legítimo. Esta red permitió ataques globales contra sectores de salud, finanzas y gobierno, cobrando entre 5,000 y 9,000 dólares por cada firma fraudulenta. La intervención incluyó la incautación de su sitio web y el cierre de cientos de máquinas virtuales utilizadas para el crimen cibernético.

Microsoft desmanteló Fox Tempest, un servicio ilegal que vendía certificados de firma de código para hacer que el malware pareciera software legítimo. Mediante cuentas fraudulentas, el grupo facilitó la propagación de ransomware y otros virus en miles de equipos, incluidos algunos de la propia Microsoft. La operación fue detectada tras una investigación que incluyó compras encubiertas y el rastreo de pagos en criptomonedas.

Microsoft Defender ha detectado por error certificados raíz como malware, generando problemas de seguridad en sistemas Windows.

OpenAI rotó y revocó sus certificados de firma en macOS tras detectar un paquete Axios malicioso ejecutado en su CI/CD, lo que podría afectar a versiones antiguas de sus apps para macOS a partir del 8 de mayo de 2026.

Los certificados de Arranque Seguro de Windows expirarán en junio de 2026, Microsoft prepara un recambio coordinado con fabricantes de hardware y proveedores de UEFI para garantizar la compatibilidad.

Microsoft eliminará progresivamente los controladores de kernel antiguos en Windows 11 y pondrá fin a la firma cruzada en abril de 2026, dejando de confiar en los certificados Cross-Signed Certificates.

Google ha anunciado una importante iniciativa para proteger las conexiones HTTPS de las amenazas emergentes que plantea la computación cuántica. En colaboración con el Internet Engineering Task Force (IETF) y su grupo de trabajo “PKI, Logs, And Tree Signatures” (PLANTS), Chrome está liderando la transición hacia los Certificados de Árbol de Merkle (MTCs). Este nuevo enfoque aborda los desafíos de rendimiento y ancho de banda 

Microsoft ha abordado una vulnerabilidad crítica de bypass de función de seguridad en los certificados de Windows Secure Boot, identificada como CVE-2026-21265, a través de sus actualizaciones del Patch Tuesday de enero de 2026. La falla surge de certificados de la era 2011 que caducan y que sustentan la cadena de confianza de Secure Boot, lo que podría permitir a los atacantes alterar la integridad del arranque si no se parchea. La vulnerabilidad está clasificada como Importante.

Logitech admite un error crítico por certificados caducados que bloqueó Logi Options+ y G Hub en macOS, pero ya lanzó parches oficiales para solucionarlo sin perder configuraciones.

El Foro de Autoridades de Certificación/Navegadores ha votado a favor de reducir significativamente la vida útil de los certificados SSL/TLS durante los próximos 4 años, con una duración final de tan solo 47 días a partir de 2029.

Google Chrome bloqueará los certificados TLS emitidos por Entrust y AffirmTrust (esta última propiedad de Entrust desde 2016). La compañía de Mountain View dice que busca proteger a sus usuarios y que este movimiento se debe a que Entrust se ha visto envuelto en una serie de incidentes que "han erosionado la confianza en su competencia, fiabilidad e integridad como propietario de CA de confianza pública".

Google Chrome eliminará el icono de candado HTTPS de la barra de direcciones con la versión 117 en septiembre de 2023. Reemplazará el candado con un nuevo icono con información típica del certificado del sitio web

El fabricante Phison ha anunciado que su módulo de memoria SSD M.2 2280 de 8TB ha superado las pruebas de la NASA (TRL-6), por lo que está preparado para usarse en el espacio y en las misiones espaciales.

El hackeo de LAPSUS$ a Nvidia sigue dando de que hablar, y es que si bien este fin de semana se filtraron los credenciales de más de 71.00 empleados, también se daba a conocer que el grupo tuvo acceso a dos certificados de firma de código, aunque ambas están caducadas (en 2014 y 2018 para ser exactos) siguen siendo válidos para Microsoft.