El grupo ShinyHunters afirma haber robado 280 millones de registros de estudiantes y personal de más de 8,800 instituciones educativas a través de Instructure, empresa dueña de Canvas. La filtración incluiría nombres, correos electrónicos y mensajes privados obtenidos mediante funciones de exportación de datos. Varias universidades ya investigan el impacto, mientras que Instructure aún no ha respondido a todas las consultas sobre el incidente.

Palo Alto Networks advirtió sobre una vulnerabilidad crítica de día cero (CVE-2026-0300) en el Portal de Autenticación User-ID de sus firewalls PA-Series y VM-Series. Este fallo de desbordamiento de búfer permite a atacantes ejecutar código con privilegios de root sin necesidad de autenticación. Mientras se desarrolla un parche, la empresa recomienda restringir el acceso del portal solo a zonas confiables o desactivarlo por completo.

La forma en que se lanzan los ciberataques ha cambiado radicalmente. Los actores de amenazas ya no pasan meses buscando fallos de software de manera manual. Con la inteligencia artificial en su arsenal, ahora pueden descubrir y explotar vulnerabilidades zero-day en cuestión de minutos, poniendo en grave riesgo a organizaciones de todos los sectores. Durante años, encontrar una vulnerabilidad zero-day requería habilidades técnicas avanzadas y mucho tiempo.

Un nuevo ataque a la cadena de suministro está dirigiéndose al ecosistema de desarrolladores de SAP mediante paquetes npm envenenados. La campaña utiliza un gusano malicioso llamado “Mini Shai-Hulud”, que se ejecuta en silencio antes de que finalice cualquier instalación de npm y roba credenciales de máquinas de desarrolladores, plataformas en la nube y herramientas de codificación con IA. El ataque afectó a cuatro paquetes oficiales publicados por SAP: mbt, @cap-js/sqlite, @cap-js/postgres y otros.

Una campaña de phishing llamada AccountDumpling utilizó Google AppSheet para hackear 30.000 cuentas de Facebook, suplantando al Soporte de Meta con correos falsos que redirigían a páginas fraudulentas para robar credenciales y datos sensibles, vendiéndolas luego en mercados ilícitos; los ciberdelincuentes vietnamitas detrás del ataque emplearon tácticas avanzadas como paneles en tiempo real y evasión de filtros, usando plataformas como Netlify, Vercel y Telegram para operar.

Un ataque a la cadena de suministro denominado GlassWorm, dirigido al mercado Open VSX, se ha intensificado con el descubrimiento de 73 nuevas extensiones "durmientes". Identificado en abril de 2026, este grupo representa un peligroso cambio en la forma en que los actores de amenazas distribuyen malware a desarrolladores de software. Esta actividad sigue a una gran oleada descubierta en marzo de 2026, donde los investigadores documentaron 72 extensiones maliciosas en Open VSX.

Un grupo de hacktivistas llamado The Islamic Cyber Resistance in Iraq 313 Team se atribuyó un ataque DDoS contra la infraestructura de Ubuntu y Canonical, afectando servicios clave como actualizaciones, sitios web y APIs de seguridad. La empresa confirmó el ataque y trabaja en solucionarlo, mientras usuarios reportan imposibilidad de instalar o actualizar Ubuntu. El grupo usó un servicio de DDoS por encargo con capacidad de 3,5 Tbps.

La amenaza del ransomware ha alcanzado un nivel nuevo y alarmante. Según el Informe Global del Panorama de Amenazas 2026 recientemente publicado por Fortinet, el número de víctimas confirmadas de ransomware en todo el mundo aumentó a 7.831 en 2025, frente a las aproximadamente 1.600 víctimas registradas en el informe del año anterior.

Investigadores han detectado un ransomware defectuoso que destruye archivos en lugar de cifrarlos, imposibilitando su recuperación incluso tras pagar el rescate.

Canonical, la empresa detrás de la distribución Linux Ubuntu, está experimentando actualmente interrupciones generalizadas en sus servicios web principales tras un ataque coordinado de Denegación de Servicio Distribuido (DDoS). El grupo hacktivista que se identifica como “La Resistencia Cibernética Islámica en Irak – Equipo 313” ha reclamado la autoría del ataque, marcando uno de los incidentes más significativos contra la infraestructura de la compañía.

El ransomware Kyber ataca sistemas Windows y servidores VMware ESXi con variantes que usan cifrado post-cuántico Kyber1024 (aunque en ESXi es falso, empleando ChaCha8/RSA-4096). Rapid7 detectó dos versiones: una para ESXi (cifra almacenes de datos y modifica interfaces) y otra para Windows (escrita en Rust, elimina copias de seguridad y apaga VMs Hyper-V). Ambas comparten infraestructura de rescate y afectaron a un contratista de defensa estadounidense. Los archivos cifrados reciben extensiones ".xhsyw" (ESXi) o «.#~~~» (Windows).

Una campaña de phishing sofisticada y residente en memoria, denominada BlobPhish, activa desde octubre de 2024, que explota las APIs de Blob URL de los navegadores para robar silenciosamente credenciales de usuarios de Microsoft 365, grandes bancos estadounidenses y plataformas financieras, permaneciendo casi completamente invisible para las herramientas de seguridad tradicionales. BlobPhish es una operación sostenida de phishing de credenciales que cambia fundamentalmente la forma en que se entregan las páginas de phishing a los usuarios.

Un nuevo grupo de ransomware denominado Vect 2.0 ha surgido en el panorama global de ciberamenazas, operando como una plataforma completa de Ransomware-as-a-Service (RaaS) que ataca sistemas Windows, Linux y VMware ESXi. El grupo apareció por primera vez en diciembre de 2025 y escaló rápidamente su actividad hasta febrero de 2026, reportando al menos 20 víctimas en diversos países e industrias críticas.

Una vulnerabilidad crítica de inyección SQL sin autenticación en LiteLLM ya se ha utilizado en ataques reales pocas horas después de hacerse pública. El fallo puede exponer datos de la base de datos del proxy, incluidas credenciales de proveedores de LLM y secretos operativos. La corrección llega con LiteLLM 1.83.7 y, si hubo exposición, conviene rotar claves y revisar indicadores de compromiso.

Una peligrosa nueva campaña cibernética del grupo Lazarus de Corea del Norte está atacando a profesionales de criptomonedas y Web3 mediante interfaces falsas de reuniones de Zoom, scripts de PowerShell sin archivos y contenido deepfake generado por IA. El grupo responsable de esta actividad es BlueNoroff, un subgrupo con motivaciones financieras conocido por robar activos digitales. Esta campaña se ha extendido a más de 20 países.

Un grupo de atacantes explotó una vulnerabilidad para robar claves de firma y datos confidenciales de desarrolladores, infiltrando malware en un software con 1 millón de usuarios que parecía seguro.

Un grupo APT vinculado a China, conocido como GopherWhisper, está explotando servicios legítimos para llevar a cabo ataques contra gobiernos. Investigadores han descubierto recientemente que esta amenaza persistente avanzada (APT) utiliza plataformas y herramientas comunes para evadir detecciones y comprometer objetivos gubernamentales.

El grupo UNC6692 utiliza Microsoft Teams y bombardeo de correo con ingeniería social para engañar a empleados y desplegar el malware Snow, que permite control remoto, movimiento lateral y robo de Active Directory.