Un ejecutable sospechoso llamado Vibing.exe en la Microsoft Store ha generado grandes alarmas de privacidad y seguridad entre los investigadores de ciberseguridad. Promocionado como una interfaz para el "mundo nativo de IA" por el enigmático equipo Vibing-Team, se informa que la aplicación recopila datos sensibles de los usuarios sin consentimiento explícito. 

Un nuevo kit de herramientas de código abierto llamado pentest-ai-agents está redefiniendo cómo los profesionales de la seguridad aprovechan la IA en los flujos de trabajo de pruebas de penetración, transformando el Claude Code de Anthropic en un asistente de investigación de seguridad ofensiva totalmente especializado, impulsado por 28 subagentes específicos del dominio. Lanzado por el investigador de seguridad 0xSteph en GitHub, pentest-ai-agents es una colección de 28 subagentes de Claude Code, cada uno con un profundo conocimiento especializado en su área.

El NIST priorizará solo vulnerabilidades de alto impacto en su Base de Datos Nacional de Vulnerabilidades (NVD) debido al aumento del 263% en CVE reportadas (2020-2025), aplicando criterios como inclusión en el catálogo KEV de CISA o software crítico gubernamental. Las CVE no priorizadas se marcarán como "No programada", afectando a equipos de ciberseguridad que deberán adoptar enfoques proactivos y herramientas alternativas para gestionar riesgos. El cambio entró en vigor el 15 de abril de 2026.

Un malware ladrón de credenciales llamado Vidar ha surgido silenciosamente como una de las amenazas más activas que afectan a empleados corporativos a principios de 2026. Los actores maliciosos están utilizando descargas falsas de software promocionadas a través de videos de YouTube para engañar a los trabajadores y lograr que lo instalen en sus equipos, lo que ha resultado en el robo masivo de credenciales de inicio de sesión, datos del navegador e información de carteras de criptomonedas.

PhantomRPC, una vulnerabilidad arquitectónica recién identificada en el sistema de Llamada a Procedimiento Remoto (RPC) de Windows, permite la escalada de privilegios locales hasta acceder al nivel SYSTEM. Esta falla podría afectar a todas las versiones de Windows. La investigación fue presentada por el especialista en seguridad de aplicaciones de Kaspersky, Haidar Kabibo, en Black Hat Asia 2026 el 24 de abril, y detalla cinco rutas distintas de explotación, ninguna de las cuales ha sido revelada en su totalidad.

Más de 400.000 sitios web están en riesgo debido a que hackers explotan una vulnerabilidad en el plugin Breeze Cache (CVE-2026-3844).

Los atacantes están aprovechando un fallo en Breeze Cache (CVE-2026-3844) para subir archivos sin necesidad de iniciar sesión. Investigadores de Wordfence han detectado más de 170 ataques. Los actores maliciosos están explotando una vulnerabilidad crítica, registrada como CVE-2026-3844 (con una puntuación CVSS de 9.8), en el plugin de WordPress Breeze Cache, lo que les permite subir archivos a un servidor sin autenticación.

Investigadores descubren 26 aplicaciones falsas en la App Store de Apple (denominadas FakeWallet) que suplantan monederos de criptomonedas como MetaMask o Ledger para robar frases semilla y claves privadas desde 2025, usando redirecciones a páginas fraudulentas y errores tipográficos en nombres (ej. LeddgerNew). Apple retiró las apps, pero el malware captura datos mediante phishing o interceptación de pantallas, vinculándose posiblemente a la campaña SparkKitty. Además, se detectó el marco MiningDropper para Android, que combina minería de criptomonedas y robo de datos en ataques globales.

Un grupo de amenazas vinculado a Corea del Norte está siendo contratado discretamente por empresas reales. Jasper Sleet, un actor de amenazas asociado a Corea del Norte, ha estado creando identidades profesionales falsas y utilizándolas para conseguir empleos legítimos en TI de forma remota, lo que les proporciona acceso directo a entornos en la nube y datos internos sensibles.

Las autoridades francesas han tomado medidas contundentes contra el conocido hacker HexDex tras un importante ciberataque que comprometió datos sensibles. El 20 de abril de 2026, la policía francesa detuvo al responsable de un masivo robo de información, marcando un hito en la lucha contra el cibercrimen en el país.

Corea del Norte ha estado llevando a cabo una de las operaciones de fraude cibernético más discretamente efectivas en los últimos años. Operativos patrocinados por el Estado y vinculados al régimen de Pyongyang se han hecho pasar por trabajadores remotos legítimos de TI para ser contratados por empresas de todo el mundo, obteniendo salarios que fluyen directamente para financiar los programas de armas del país. 

Una investigación importante ha revelado que actores de amenazas sofisticados están explotando vulnerabilidades fundamentales en las redes móviles globales para rastrear usuarios en todo el mundo. Al abusar de los protocolos de señalización heredados SS7 (3G) y Diameter (4G), los hackers logran eludir los firewalls de las telecomunicaciones para llevar a cabo espionaje silencioso y transfronterizo. 

Un grupo de amenazas patrocinado por el estado norcoreano está llevando a cabo una campaña activa que engaña a los desarrolladores de software para que instalen malware a través de falsas entrevistas de trabajo y pruebas de codificación manipuladas. El grupo, rastreado por la firma de ciberseguridad Expel como HexagonalRodent (también llamado Expel-TA-0001), se cree ampliamente que es un subgrupo o escisión dentro del ecosistema más amplio de hacking de Lazarus.

Las estafas relacionadas con la declaración de la renta aumentan en primavera, aprovechando el plazo de la Agencia Tributaria para presentar el IRPF, con campañas de phishing, malware y ransomware como principales amenazas.

El Centro Nacional de Ciberseguridad (NCSC), perteneciente al GCHQ británico, ha implementado este dispositivo de protección en diversas instalaciones gubernamentales y ahora lo pone a disposición del público a través de Goldilock Labs. El dispositivo, llamado SilentGlass, está diseñado para bloquear tráfico malicioso que pueda viajar entre una pantalla y un ordenador a través de cables HDMI y DisplayPort. Esta innovación surge como respuesta a amenazas cibernéticas cada vez más sofisticadas que aprovechan vulnerabilidades en conexiones de vídeo para infiltrarse en sistemas.

Socket ha confirmado que la versión 2026.4.0 de Bitwarden CLI fue comprometida como parte de la campaña en curso de Checkmarx en la cadena de suministro, exponiendo a millones de usuarios y miles de empresas al robo de credenciales y la infiltración en pipelines de CI/CD. El ataque tuvo como objetivo @bitwarden/cli 2026.4.0 en npm, inyectando un archivo malicioso llamado bw1.js en el contenido del paquete. Bitwarden CLI.

Una nueva campaña maliciosa de Mirai está explotando la vulnerabilidad CVE-2025-29635 en routers D-Link de la serie DIR-823X (versiones 240126 y 24082), permitiendo a atacantes ejecutar comandos remotos e instalar malware como tuxnokill para lanzar ataques DDoS. Detectada por Akamai Security, también afecta a routers TP-Link y ZTE mediante otras vulnerabilidades. INCIBE ya había alertado en marzo de 2025, pero ahora se observa explotación activa.

Un nuevo malware para macOS llamado notnullOSX ha surgido a principios de 2026, diseñado específicamente para robar criptomonedas de usuarios de Mac que poseen activos digitales valorados en más de $10,000. La amenaza es real, activa y está cuidadosamente construida para parecer completamente legítima en cada paso de su proceso de infección. 

Apple parchea fallo en iOS que permitía la recuperación de chats eliminados.

Microsoft afirma que no es necesario un antivirus externo en Windows 11 ya que su solución integrada ofrece suficiente protección, generando controversia en la industria de la seguridad.