Cada vez que alguien usa el Escritorio Remoto de Windows, el sistema operativo guarda silenciosamente fragmentos visuales de la sesión activa. Como destacó recientemente SCYTHE Labs, los atacantes pueden extraer fácilmente estos rastros y reconstruirlos en capturas de pantalla legibles.

Investigadores en ciberseguridad han revelado recientemente tres vulnerabilidades de severidad moderada en OpenClaw, un marco de trabajo para agentes de IA anteriormente conocido como Clawdbot y Moltbot. Distribuido como un paquete npm, estos fallos de seguridad permiten eludir la aplicación de políticas, mutaciones en la configuración de pasarelas y ataques de sobrescritura de host, lo que podría derivar en la exposición de credenciales. El equipo de desarrollo ha lanzado la versión 2026.4.20 de OpenClaw para abordar estos problemas.

El gigante de paneles de control de alojamiento web cPanel ha lanzado una actualización de seguridad de emergencia para solucionar una vulnerabilidad crítica que afecta a su software principal. El fallo de seguridad impacta directamente en múltiples rutas de autenticación dentro del ecosistema de cPanel y Web Host Manager (WHM). Se insta a los administradores de sistemas y proveedores de alojamiento web a aplicar el parche de inmediato para proteger sus infraestructuras.

Se ha identificado una vulnerabilidad de seguridad en Notepad++, uno de los editores de texto de código abierto más utilizados entre desarrolladores y profesionales de TI. La vulnerabilidad, registrada como CVE-2026-3008, podría permitir a un atacante remoto bloquear la aplicación o extraer información sensible de direcciones de memoria de los sistemas afectados. El fallo es una inyección de cadenas localizado en la función FindInFiles.

Un ejecutable sospechoso llamado Vibing.exe en la Microsoft Store ha generado grandes alarmas de privacidad y seguridad entre los investigadores de ciberseguridad. Promocionado como una interfaz para el "mundo nativo de IA" por el enigmático equipo Vibing-Team, se informa que la aplicación recopila datos sensibles de los usuarios sin consentimiento explícito. 

Un nuevo kit de herramientas de código abierto llamado pentest-ai-agents está redefiniendo cómo los profesionales de la seguridad aprovechan la IA en los flujos de trabajo de pruebas de penetración, transformando el Claude Code de Anthropic en un asistente de investigación de seguridad ofensiva totalmente especializado, impulsado por 28 subagentes específicos del dominio. Lanzado por el investigador de seguridad 0xSteph en GitHub, pentest-ai-agents es una colección de 28 subagentes de Claude Code, cada uno con un profundo conocimiento especializado en su área.

El NIST priorizará solo vulnerabilidades de alto impacto en su Base de Datos Nacional de Vulnerabilidades (NVD) debido al aumento del 263% en CVE reportadas (2020-2025), aplicando criterios como inclusión en el catálogo KEV de CISA o software crítico gubernamental. Las CVE no priorizadas se marcarán como "No programada", afectando a equipos de ciberseguridad que deberán adoptar enfoques proactivos y herramientas alternativas para gestionar riesgos. El cambio entró en vigor el 15 de abril de 2026.

Un malware ladrón de credenciales llamado Vidar ha surgido silenciosamente como una de las amenazas más activas que afectan a empleados corporativos a principios de 2026. Los actores maliciosos están utilizando descargas falsas de software promocionadas a través de videos de YouTube para engañar a los trabajadores y lograr que lo instalen en sus equipos, lo que ha resultado en el robo masivo de credenciales de inicio de sesión, datos del navegador e información de carteras de criptomonedas.

PhantomRPC, una vulnerabilidad arquitectónica recién identificada en el sistema de Llamada a Procedimiento Remoto (RPC) de Windows, permite la escalada de privilegios locales hasta acceder al nivel SYSTEM. Esta falla podría afectar a todas las versiones de Windows. La investigación fue presentada por el especialista en seguridad de aplicaciones de Kaspersky, Haidar Kabibo, en Black Hat Asia 2026 el 24 de abril, y detalla cinco rutas distintas de explotación, ninguna de las cuales ha sido revelada en su totalidad.

Más de 400.000 sitios web están en riesgo debido a que hackers explotan una vulnerabilidad en el plugin Breeze Cache (CVE-2026-3844).

Los atacantes están aprovechando un fallo en Breeze Cache (CVE-2026-3844) para subir archivos sin necesidad de iniciar sesión. Investigadores de Wordfence han detectado más de 170 ataques. Los actores maliciosos están explotando una vulnerabilidad crítica, registrada como CVE-2026-3844 (con una puntuación CVSS de 9.8), en el plugin de WordPress Breeze Cache, lo que les permite subir archivos a un servidor sin autenticación.

Investigadores descubren 26 aplicaciones falsas en la App Store de Apple (denominadas FakeWallet) que suplantan monederos de criptomonedas como MetaMask o Ledger para robar frases semilla y claves privadas desde 2025, usando redirecciones a páginas fraudulentas y errores tipográficos en nombres (ej. LeddgerNew). Apple retiró las apps, pero el malware captura datos mediante phishing o interceptación de pantallas, vinculándose posiblemente a la campaña SparkKitty. Además, se detectó el marco MiningDropper para Android, que combina minería de criptomonedas y robo de datos en ataques globales.

Un grupo de amenazas vinculado a Corea del Norte está siendo contratado discretamente por empresas reales. Jasper Sleet, un actor de amenazas asociado a Corea del Norte, ha estado creando identidades profesionales falsas y utilizándolas para conseguir empleos legítimos en TI de forma remota, lo que les proporciona acceso directo a entornos en la nube y datos internos sensibles.

Las autoridades francesas han tomado medidas contundentes contra el conocido hacker HexDex tras un importante ciberataque que comprometió datos sensibles. El 20 de abril de 2026, la policía francesa detuvo al responsable de un masivo robo de información, marcando un hito en la lucha contra el cibercrimen en el país.

Corea del Norte ha estado llevando a cabo una de las operaciones de fraude cibernético más discretamente efectivas en los últimos años. Operativos patrocinados por el Estado y vinculados al régimen de Pyongyang se han hecho pasar por trabajadores remotos legítimos de TI para ser contratados por empresas de todo el mundo, obteniendo salarios que fluyen directamente para financiar los programas de armas del país. 

Una investigación importante ha revelado que actores de amenazas sofisticados están explotando vulnerabilidades fundamentales en las redes móviles globales para rastrear usuarios en todo el mundo. Al abusar de los protocolos de señalización heredados SS7 (3G) y Diameter (4G), los hackers logran eludir los firewalls de las telecomunicaciones para llevar a cabo espionaje silencioso y transfronterizo. 

Un grupo de amenazas patrocinado por el estado norcoreano está llevando a cabo una campaña activa que engaña a los desarrolladores de software para que instalen malware a través de falsas entrevistas de trabajo y pruebas de codificación manipuladas. El grupo, rastreado por la firma de ciberseguridad Expel como HexagonalRodent (también llamado Expel-TA-0001), se cree ampliamente que es un subgrupo o escisión dentro del ecosistema más amplio de hacking de Lazarus.

Las estafas relacionadas con la declaración de la renta aumentan en primavera, aprovechando el plazo de la Agencia Tributaria para presentar el IRPF, con campañas de phishing, malware y ransomware como principales amenazas.

El Centro Nacional de Ciberseguridad (NCSC), perteneciente al GCHQ británico, ha implementado este dispositivo de protección en diversas instalaciones gubernamentales y ahora lo pone a disposición del público a través de Goldilock Labs. El dispositivo, llamado SilentGlass, está diseñado para bloquear tráfico malicioso que pueda viajar entre una pantalla y un ordenador a través de cables HDMI y DisplayPort. Esta innovación surge como respuesta a amenazas cibernéticas cada vez más sofisticadas que aprovechan vulnerabilidades en conexiones de vídeo para infiltrarse en sistemas.

Socket ha confirmado que la versión 2026.4.0 de Bitwarden CLI fue comprometida como parte de la campaña en curso de Checkmarx en la cadena de suministro, exponiendo a millones de usuarios y miles de empresas al robo de credenciales y la infiltración en pipelines de CI/CD. El ataque tuvo como objetivo @bitwarden/cli 2026.4.0 en npm, inyectando un archivo malicioso llamado bw1.js en el contenido del paquete. Bitwarden CLI.