Se ha descubierto una campaña de malware a gran escala en el JetBrains Marketplace, donde se identificaron al menos 15 complementos (plugins) maliciosos diseñados para robar claves API confidenciales de los desarrolladores. Estos plugins, que fueron descargados más de 70,000 veces, se publicaron bajo siete cuentas de proveedores diferentes y se hacían pasar por asistentes de codificación basados en IA legítimos.

CISA ha incluido en su catálogo de vulnerabilidades explotadas una falla crítica en Oracle PeopleSoft (CVE-2026-35273). Este fallo permite que atacantes no autenticados obtengan el control total de los sistemas afectados debido a la falta de autenticación en funciones críticas.

Una exhaustiva campaña de ciberespionaje denominada "FortiBleed" ha comprometido silenciosamente más de 73,932 URLs únicas de firewalls de Fortinet en 194 países. Esta operación, descubierta por el investigador Volodymyr "Bob" Diachenko y analizada por Hudson Rock, representa una acción a escala industrial y altamente automatizada dirigida contra dispositivos FortiGate y pasarelas SSL VPN a nivel global.

Se detectó una vulnerabilidad en el SDK de Python de Vertex AI que permitía a atacantes secuestrar la carga de modelos de aprendizaje automático mediante el uso de nombres de buckets predecibles. Esto permitía ejecutar código malicioso en la infraestructura de Google y robar tokens de acceso y datos confidenciales. Google ya solucionó el problema y recomienda actualizar el SDK a la versión 1.148.0 o superior.

La CISA advirtió sobre una falla crítica en el editor JCE de Joomla que permite la ejecución de código PHP por usuarios no autenticados, recomendando actualizar a la versión 2.9.99.5. Paralelamente, se reportaron ataques de cadena de suministro contra plugins de WordPress y la inyección de webshells para manipular servidores. Estos últimos ataques buscan monetizar sitios mediante redes de blogs privados y enlaces ocultos de SEO.

Se ha detectado una nueva campaña de carga de malware que preocupa a la comunidad de ciberseguridad. Los investigadores han descubierto el uso de un cargador sofisticado de varias etapas llamado OnionDrop, el cual se utiliza para distribuir cargas dañinas, incluyendo el conocido LegionLoader, a un amplio número de víctimas.

Una campaña coordinada denominada SearchJack ha utilizado 23 extensiones engañosas del navegador Chrome para robar las consultas de búsqueda de aproximadamente 758,000 usuarios en todo el mundo. Estas extensiones se hacían pasar por herramientas útiles para redirigir el tráfico a través de sistemas de ingresos ocultos sin que los usuarios lo percibieran.

Aikido Security descubrió una campaña de malware en el Marketplace de JetBrains con al menos 15 plugins diseñados para robar claves API de servicios de IA. Estos plugins, instalados cerca de 70,000 veces, funcionan normalmente pero envían secretamente las credenciales de los usuarios a un servidor externo. Se sospecha que los atacantes revenden estas claves robadas a usuarios de pago.

El grupo de hackers vinculado a un estado, conocido como Ghostwriter, ha lanzado una serie de ataques de phishing dirigidos a usuarios de Gmail. Los atacantes utilizan correos electrónicos maliciosos que suplantan alertas de seguridad oficiales de Google con el objetivo de engañar a las víctimas para que entreguen sus credenciales de acceso y códigos de autenticación de dos factores (2FA), logrando así vulnerar una de las capas de seguridad más confiables de las cuentas.

Se ha detectado una nueva campaña de phishing dirigida a usuarios de Microsoft 365 que utiliza un método innovador. En lugar de intentar robar la contraseña directamente, el ataque engaña a las víctimas para que completen un proceso de autenticación legítimo de Microsoft, lo que permite que el atacante tome el control de la cuenta de manera silenciosa.

La empresa de monitoreo cardiaco iRhythm sufrió el robo de datos personales y de salud de sus pacientes mediante un ataque de ingeniería social. Los cibercriminales intentaron extorsionar a la compañía a cambio de no divulgar la información robada. A pesar del incidente, la empresa aseguró que sus sistemas clínicos y dispositivos médicos no fueron afectados y que la operatividad se mantiene normal.

Las operaciones de influencia de Rusia y China, vinculadas a sus estados, han entrado en una fase más peligrosa. En lugar de saturar las redes sociales con contenido de baja calidad, ahora utilizan inteligencia artificial para que sus cuentas imiten el comportamiento humano y eviten así la detección de bots.

Casi 14,000 servidores de SimpleHelp expuestos a internet se encuentran en riesgo tras la revelación de una vulnerabilidad crítica de omisión de autenticación (CVE-2026-48558). Este fallo, que afecta a la plataforma de monitoreo y gestión remota (RMM), fue descubierto por Horizon3.ai mediante su iniciativa de investigación con IA denominada "Sua Sponte".

Se ha detectado una vulnerabilidad crítica de día cero (CVE-2026-54420) en el complemento de usuario de LiteSpeed cPanel que está siendo explotada activamente. Este fallo permite la escalada de privilegios a nivel de root, lo que podría facultar a los atacantes para tomar el control total de los servidores afectados, especialmente en entornos de hosting compartido.

Cisco lanzó actualizaciones para corregir la vulnerabilidad CVE-2026-20262 en Catalyst SD-WAN Manager, la cual está siendo explotada activamente. Este fallo permite que un atacante autenticado cree o sobrescriba archivos en el sistema, pudiendo escalar privilegios a root. La empresa ha publicado parches y recomienda auditar los registros del servidor para detectar actividades sospechosas.

El panorama global del ransomware cambió significativamente en el primer trimestre de 2026, debido a que exoperadores de grupos criminales reconocidos comenzaron a lanzar sus propios programas competidores. Se registraron 2,122 nuevas víctimas, lo que representa el segundo total más alto para un primer trimestre en la historia, demostrando que el negocio del ransomware persiste a pesar de las acciones policiales.