Canonical, la empresa detrás de la distribución Linux Ubuntu, está experimentando actualmente interrupciones generalizadas en sus servicios web principales tras un ataque coordinado de Denegación de Servicio Distribuido (DDoS). El grupo hacktivista que se identifica como “La Resistencia Cibernética Islámica en Irak – Equipo 313” ha reclamado la autoría del ataque, marcando uno de los incidentes más significativos contra la infraestructura de la compañía.

Una campaña de phishing sofisticada y residente en memoria, denominada BlobPhish, activa desde octubre de 2024, que explota las APIs de Blob URL de los navegadores para robar silenciosamente credenciales de usuarios de Microsoft 365, grandes bancos estadounidenses y plataformas financieras, permaneciendo casi completamente invisible para las herramientas de seguridad tradicionales. BlobPhish es una operación sostenida de phishing de credenciales que cambia fundamentalmente la forma en que se entregan las páginas de phishing a los usuarios.

Un nuevo grupo de ransomware denominado Vect 2.0 ha surgido en el panorama global de ciberamenazas, operando como una plataforma completa de Ransomware-as-a-Service (RaaS) que ataca sistemas Windows, Linux y VMware ESXi. El grupo apareció por primera vez en diciembre de 2025 y escaló rápidamente su actividad hasta febrero de 2026, reportando al menos 20 víctimas en diversos países e industrias críticas.

Una vulnerabilidad crítica de inyección SQL sin autenticación en LiteLLM ya se ha utilizado en ataques reales pocas horas después de hacerse pública. El fallo puede exponer datos de la base de datos del proxy, incluidas credenciales de proveedores de LLM y secretos operativos. La corrección llega con LiteLLM 1.83.7 y, si hubo exposición, conviene rotar claves y revisar indicadores de compromiso.

Una peligrosa nueva campaña cibernética del grupo Lazarus de Corea del Norte está atacando a profesionales de criptomonedas y Web3 mediante interfaces falsas de reuniones de Zoom, scripts de PowerShell sin archivos y contenido deepfake generado por IA. El grupo responsable de esta actividad es BlueNoroff, un subgrupo con motivaciones financieras conocido por robar activos digitales. Esta campaña se ha extendido a más de 20 países.

Un grupo de atacantes explotó una vulnerabilidad para robar claves de firma y datos confidenciales de desarrolladores, infiltrando malware en un software con 1 millón de usuarios que parecía seguro.

Un grupo APT vinculado a China, conocido como GopherWhisper, está explotando servicios legítimos para llevar a cabo ataques contra gobiernos. Investigadores han descubierto recientemente que esta amenaza persistente avanzada (APT) utiliza plataformas y herramientas comunes para evadir detecciones y comprometer objetivos gubernamentales.

El grupo UNC6692 utiliza Microsoft Teams y bombardeo de correo con ingeniería social para engañar a empleados y desplegar el malware Snow, que permite control remoto, movimiento lateral y robo de Active Directory.

El malware fast16 es una amenaza recientemente descubierta con capacidad de sabotaje, diseñada para atacar entornos de alto valor y sistemas ultra costosos con precisión. A diferencia del malware común que busca infecciones masivas, este se enfoca en víctimas específicas donde la interrupción o el control a largo plazo pueden causar graves daños operativos y financieros. La campaña parece estar dirigida a objetivos estratégicos, aunque los detalles completos aún no han sido revelados.

Los atacantes de ransomware ya no dependen únicamente de herramientas ampliamente conocidas para robar datos. Afiliados vinculados al grupo de ransomware Trigona han adoptado un enfoque más calculado, desarrollando su propia herramienta personalizada de exfiltración de datos, que les proporciona mayor precisión, velocidad y control sobre el proceso de robo de información. 

Un grupo de amenazas recientemente identificado, UNC6692, ha sido descubierto ejecutando una sofisticada campaña de intrusión en múltiples etapas que utiliza la suplantación de identidad en Microsoft Teams, un conjunto de malware modular personalizado y el abuso de infraestructura en la nube para penetrar profundamente en las redes empresariales, todo ello sin explotar una sola vulnerabilidad de software. El Grupo de Inteligencia de Amenazas de Google (GTIG) y los investigadores de Mandiant revelaron la campaña el 22 de abril

Un grupo de amenazas patrocinado por el estado norcoreano está llevando a cabo una campaña activa que engaña a los desarrolladores de software para que instalen malware a través de falsas entrevistas de trabajo y pruebas de codificación manipuladas. El grupo, rastreado por la firma de ciberseguridad Expel como HexagonalRodent (también llamado Expel-TA-0001), se cree ampliamente que es un subgrupo o escisión dentro del ecosistema más amplio de hacking de Lazarus.

El grupo cibercriminal notorio ShinyHunters ha reclamado la responsabilidad de un importante incidente de filtración de datos dirigido a Udemy, Inc. (udemy.com), una de las plataformas de aprendizaje en línea más grandes del mundo, y ha alegado el compromiso de más de 1.4 millones de registros que contienen información personal identificable (PII) y datos corporativos internos. La reclamación fue observada por primera vez el 24 de abril de 2026,

La mayoría de las organizaciones creen estar preparadas para ataques de ransomware, pero fallan en la recuperación real debido a copias de seguridad no fiables o lentas. Los atacantes comprometen los respaldos al acceder a redes compartidas, credenciales y privilegios, cifrando o eliminando datos críticos. El costo de la inactividad (hasta U$S5.600 por minuto) agrava el problema. La solución exige copias inmutables, aislamiento y pruebas bajo condiciones reales, ya que la ciberresiliencia va más allá de las copias de seguridad.

Un negociador de ransomware se declara culpable tras filtrar detalles del seguro de víctimas a hackers de 'BlackCat' — el delincuente proporcionó a los atacantes una imagen precisa de cuánto podía pagar cada objetivo.