Un importante ataque a la cadena de suministro de software ha comprometido el popular paquete de Python elementary-data, exponiendo a miles de desarrolladores a un robo masivo de credenciales. Los actores de amenazas lograron subir una versión maliciosa, la 0.23.3, al Índice de Paquetes de Python (PyPI) y envenenaron las imágenes Docker correspondientes en el Registro de Contenedores de GitHub (GHCR). Con más de un millón de descargas mensuales, este paquete, ampliamente utilizado en dbt, representa un grave riesgo para la seguridad.

Cada vez que alguien usa el Escritorio Remoto de Windows, el sistema operativo guarda silenciosamente fragmentos visuales de la sesión activa. Como destacó recientemente SCYTHE Labs, los atacantes pueden extraer fácilmente estos rastros y reconstruirlos en capturas de pantalla legibles.

Investigadores en ciberseguridad han revelado recientemente tres vulnerabilidades de severidad moderada en OpenClaw, un marco de trabajo para agentes de IA anteriormente conocido como Clawdbot y Moltbot. Distribuido como un paquete npm, estos fallos de seguridad permiten eludir la aplicación de políticas, mutaciones en la configuración de pasarelas y ataques de sobrescritura de host, lo que podría derivar en la exposición de credenciales. El equipo de desarrollo ha lanzado la versión 2026.4.20 de OpenClaw para abordar estos problemas.

El gigante de paneles de control de alojamiento web cPanel ha lanzado una actualización de seguridad de emergencia para solucionar una vulnerabilidad crítica que afecta a su software principal. El fallo de seguridad impacta directamente en múltiples rutas de autenticación dentro del ecosistema de cPanel y Web Host Manager (WHM). Se insta a los administradores de sistemas y proveedores de alojamiento web a aplicar el parche de inmediato para proteger sus infraestructuras.

Se ha identificado una vulnerabilidad de seguridad en Notepad++, uno de los editores de texto de código abierto más utilizados entre desarrolladores y profesionales de TI. La vulnerabilidad, registrada como CVE-2026-3008, podría permitir a un atacante remoto bloquear la aplicación o extraer información sensible de direcciones de memoria de los sistemas afectados. El fallo es una inyección de cadenas localizado en la función FindInFiles.

Un ejecutable sospechoso llamado Vibing.exe en la Microsoft Store ha generado grandes alarmas de privacidad y seguridad entre los investigadores de ciberseguridad. Promocionado como una interfaz para el "mundo nativo de IA" por el enigmático equipo Vibing-Team, se informa que la aplicación recopila datos sensibles de los usuarios sin consentimiento explícito. 

Un nuevo kit de herramientas de código abierto llamado pentest-ai-agents está redefiniendo cómo los profesionales de la seguridad aprovechan la IA en los flujos de trabajo de pruebas de penetración, transformando el Claude Code de Anthropic en un asistente de investigación de seguridad ofensiva totalmente especializado, impulsado por 28 subagentes específicos del dominio. Lanzado por el investigador de seguridad 0xSteph en GitHub, pentest-ai-agents es una colección de 28 subagentes de Claude Code, cada uno con un profundo conocimiento especializado en su área.

Un malware ladrón de credenciales llamado Vidar ha surgido silenciosamente como una de las amenazas más activas que afectan a empleados corporativos a principios de 2026. Los actores maliciosos están utilizando descargas falsas de software promocionadas a través de videos de YouTube para engañar a los trabajadores y lograr que lo instalen en sus equipos, lo que ha resultado en el robo masivo de credenciales de inicio de sesión, datos del navegador e información de carteras de criptomonedas.

PhantomRPC, una vulnerabilidad arquitectónica recién identificada en el sistema de Llamada a Procedimiento Remoto (RPC) de Windows, permite la escalada de privilegios locales hasta acceder al nivel SYSTEM. Esta falla podría afectar a todas las versiones de Windows. La investigación fue presentada por el especialista en seguridad de aplicaciones de Kaspersky, Haidar Kabibo, en Black Hat Asia 2026 el 24 de abril, y detalla cinco rutas distintas de explotación, ninguna de las cuales ha sido revelada en su totalidad.

Más de 400.000 sitios web están en riesgo debido a que hackers explotan una vulnerabilidad en el plugin Breeze Cache (CVE-2026-3844).

Los atacantes están aprovechando un fallo en Breeze Cache (CVE-2026-3844) para subir archivos sin necesidad de iniciar sesión. Investigadores de Wordfence han detectado más de 170 ataques. Los actores maliciosos están explotando una vulnerabilidad crítica, registrada como CVE-2026-3844 (con una puntuación CVSS de 9.8), en el plugin de WordPress Breeze Cache, lo que les permite subir archivos a un servidor sin autenticación.

El malware fast16 es una amenaza recientemente descubierta con capacidad de sabotaje, diseñada para atacar entornos de alto valor y sistemas ultra costosos con precisión. A diferencia del malware común que busca infecciones masivas, este se enfoca en víctimas específicas donde la interrupción o el control a largo plazo pueden causar graves daños operativos y financieros. La campaña parece estar dirigida a objetivos estratégicos, aunque los detalles completos aún no han sido revelados.

Un grupo de amenazas vinculado a Corea del Norte está siendo contratado discretamente por empresas reales. Jasper Sleet, un actor de amenazas asociado a Corea del Norte, ha estado creando identidades profesionales falsas y utilizándolas para conseguir empleos legítimos en TI de forma remota, lo que les proporciona acceso directo a entornos en la nube y datos internos sensibles.

Las autoridades francesas han tomado medidas contundentes contra el conocido hacker HexDex tras un importante ciberataque que comprometió datos sensibles. El 20 de abril de 2026, la policía francesa detuvo al responsable de un masivo robo de información, marcando un hito en la lucha contra el cibercrimen en el país.

Corea del Norte ha estado llevando a cabo una de las operaciones de fraude cibernético más discretamente efectivas en los últimos años. Operativos patrocinados por el Estado y vinculados al régimen de Pyongyang se han hecho pasar por trabajadores remotos legítimos de TI para ser contratados por empresas de todo el mundo, obteniendo salarios que fluyen directamente para financiar los programas de armas del país. 

Una investigación importante ha revelado que actores de amenazas sofisticados están explotando vulnerabilidades fundamentales en las redes móviles globales para rastrear usuarios en todo el mundo. Al abusar de los protocolos de señalización heredados SS7 (3G) y Diameter (4G), los hackers logran eludir los firewalls de las telecomunicaciones para llevar a cabo espionaje silencioso y transfronterizo. 

Un grupo de amenazas patrocinado por el estado norcoreano está llevando a cabo una campaña activa que engaña a los desarrolladores de software para que instalen malware a través de falsas entrevistas de trabajo y pruebas de codificación manipuladas. El grupo, rastreado por la firma de ciberseguridad Expel como HexagonalRodent (también llamado Expel-TA-0001), se cree ampliamente que es un subgrupo o escisión dentro del ecosistema más amplio de hacking de Lazarus.