Ha surgido una nueva y rápida amenaza cibernética, donde hackers vinculados a China están construyendo silenciosamente grandes redes de routers comprometidos y dispositivos de borde para llevar a cabo operaciones cibernéticas encubiertas contra organizaciones en todo el mundo. 

Irán acusa a Estados Unidos de sabotear su infraestructura de red mediante backdoors y botnets en routers de Cisco, Juniper y Fortinet en el contexto de un conflicto bélico iniciado en febrero de 2026 que ya registra un alto al fuego.

Los atacantes de ransomware ya no dependen únicamente de herramientas ampliamente conocidas para robar datos. Afiliados vinculados al grupo de ransomware Trigona han adoptado un enfoque más calculado, desarrollando su propia herramienta personalizada de exfiltración de datos, que les proporciona mayor precisión, velocidad y control sobre el proceso de robo de información. 

Un grupo de amenazas recientemente identificado, UNC6692, ha sido descubierto ejecutando una sofisticada campaña de intrusión en múltiples etapas que utiliza la suplantación de identidad en Microsoft Teams, un conjunto de malware modular personalizado y el abuso de infraestructura en la nube para penetrar profundamente en las redes empresariales, todo ello sin explotar una sola vulnerabilidad de software. El Grupo de Inteligencia de Amenazas de Google (GTIG) y los investigadores de Mandiant revelaron la campaña el 22 de abril

Un servidor recientemente expuesto ha revelado cómo un actor de amenazas utilizó herramientas automatizadas, asistencia de IA y bots de Telegram para hackear silenciosamente a más de 900 empresas en todo el mundo. La operación, basada en una herramienta llamada “Bissa scanner”, se dirigió a aplicaciones web expuestas en Internet a gran escala, recopiló credenciales sensibles y envió alertas de exploits en tiempo real 

Un grupo de amenazas patrocinado por el estado norcoreano está llevando a cabo una campaña activa que engaña a los desarrolladores de software para que instalen malware a través de falsas entrevistas de trabajo y pruebas de codificación manipuladas. El grupo, rastreado por la firma de ciberseguridad Expel como HexagonalRodent (también llamado Expel-TA-0001), se cree ampliamente que es un subgrupo o escisión dentro del ecosistema más amplio de hacking de Lazarus.

El grupo cibercriminal notorio ShinyHunters ha reclamado la responsabilidad de un importante incidente de filtración de datos dirigido a Udemy, Inc. (udemy.com), una de las plataformas de aprendizaje en línea más grandes del mundo, y ha alegado el compromiso de más de 1.4 millones de registros que contienen información personal identificable (PII) y datos corporativos internos. La reclamación fue observada por primera vez el 24 de abril de 2026, cuando ShinyHunters [...]

La mayoría de las organizaciones creen estar preparadas para ataques de ransomware, pero fallan en la recuperación real debido a copias de seguridad no fiables o lentas. Los atacantes comprometen los respaldos al acceder a redes compartidas, credenciales y privilegios, cifrando o eliminando datos críticos. El costo de la inactividad (hasta U$S5.600 por minuto) agrava el problema. La solución exige copias inmutables, aislamiento y pruebas bajo condiciones reales, ya que la ciberresiliencia va más allá de las copias de seguridad.

Un negociador de ransomware se declara culpable tras filtrar detalles del seguro de víctimas a hackers de 'BlackCat' — el delincuente proporcionó a los atacantes una imagen precisa de cuánto podía pagar cada objetivo.

Una campaña de botnet recientemente identificada está explotando activamente una vulnerabilidad crítica en los grabadores de video digital TBK para desplegar un peligroso malware conocido como Nexcorium, una amenaza basada en Mirai diseñada para lanzar ataques de denegación de servicio distribuidos a gran escala. La vulnerabilidad en el centro de esta campaña, CVE-2024-3721, tiene una puntuación CVSS de 6.3 y afecta al modelo TBK DVR-4104

Un actor de amenazas norcoreano conocido como Sapphire Sleet ha lanzado una nueva campaña dirigida a usuarios de macOS, utilizando una actualización falsa del SDK de Zoom para engañar a las víctimas y hacer que ejecuten archivos maliciosos que roban contraseñas, activos de criptomonedas y datos personales.

La Operación PowerOFF desmanteló 53 dominios DDoS, arrestó a 4 personas y expuso 3 millones de cuentas delictivas vinculadas a servicios de ataques por encargo usados por 75.000 ciberdelincuentes. Participaron 21 países, incautando infraestructuras y enviando advertencias a usuarios identificados. Europol destacó que estos servicios permiten ataques masivos incluso a personas sin conocimientos técnicos, con motivaciones que van desde la extorsión hasta el hacktivismo. Además, EE.UU. desmanteló botnets como RapperBot e incautó dominios como Vac Stresser y Mythical Stress, mostrando mensajes de advertencia sobre la ilegalidad de estos ataques.

Una nueva plataforma de cibercrimen llamada ATHR está facilitando a los atacantes la ejecución de operaciones de phishing telefónico a gran escala, también conocido como vishing. En lugar de depender de enlaces maliciosos o archivos adjuntos infectados en correos electrónicos, esta plataforma envía correos electrónicos de apariencia sencilla que solo incluyen un número de teléfono.

Lo que comenzó como una alerta rutinaria de adware se convirtió rápidamente en algo mucho más grave. En la mañana del 22 de marzo de 2026, saltaron alertas de seguridad en múltiples entornos gestionados, todas vinculadas a software firmado por una empresa llamada Dragon Boss Solutions LLC. 

Más de 100 extensiones maliciosas en la Chrome Web Store roban tokens OAuth2, sesiones de Telegram y datos de usuarios mediante una campaña coordinada con infraestructura C2, incluyendo puertas traseras y fraude publicitario. Investigadores de Socket detectaron que las extensiones, bajo 5 identidades falsas, inyectan código malicioso, secuestran cuentas de Google y Telegram (sin MFA) y siguen activas pese a las alertas a Google. Se recomienda desinstalarlas inmediatamente.

Una campaña de ataque recientemente descubierta está engañando a los usuarios para que instalen software de acceso remoto en sus sistemas al disfrazar malware como una descarga legítima de Adobe Acrobat Reader. El ataque utiliza una cadena sofisticada de técnicas —incluyendo ejecución en memoria, suplantación de procesos y escalada de privilegios— para desplegar ScreenConnect de ConnectWise sin dejar rastros evidentes en el equipo de la víctima

Una sofisticada campaña cibernética con fuertes similitudes operativas al grupo de amenazas MuddyWater ha sido detectada escaneando más de 12.000 sistemas expuestos en internet en múltiples regiones antes de lanzar ataques focalizados contra objetivos de alto valor en Oriente Medio. La operación se dirigió a sectores críticos como aviación, energía y gobierno, con un robo de datos confirmado en al menos una entidad egipcia

Ha surgido una vulnerabilidad crítica de omisión de autenticación en etcd, el almacén distribuido de pares clave-valor fundamental que respalda innumerables sistemas nativos en la nube y clústeres de Kubernetes a nivel mundial. Registrada como CVE-2026-33413, esta falla de gravedad alta tiene una puntuación CVSS de 8.8. Permite a los atacantes acceder a APIs de clúster altamente sensibles sin la debida autorización

La inteligencia artificial está cambiando la forma en que las personas navegan por internet. Los navegadores impulsados por IA ya no solo muestran páginas web: leen contenido, realizan acciones y completan tareas para el usuario. Estas herramientas, llamadas navegadores con LLM autónomos, permiten a los usuarios dar comandos simples como "agenda una reunión" o "resume mis correos", y el navegador se encarga del resto. 

El grupo ShinyHunters filtró archivos robados a Rockstar tras un ciberataque, pero la compañía confirmó que GTA VI no corre peligro ya que los datos comprometidos no afectan al desarrollo del juego.