Un malware peligroso llamado BadIIS ha estado atacando servidores web de Internet Information Services (IIS), secuestrándolos para redirigir a los usuarios hacia sitios de apuestas ilegales, contenido para adultos y otros destinos ilícitos. Estos ataques han estado activos durante años, afectando a miles de sitios web legítimos, principalmente en la región de Asia-Pacífico y otras zonas.

Microsoft desmanteló la operación de Fox Tempest, un servicio que defraudaba el sistema de firma de certificados de la empresa para disfrazar malware y ransomware como software legítimo. Esta red permitió ataques globales contra sectores de salud, finanzas y gobierno, cobrando entre 5,000 y 9,000 dólares por cada firma fraudulenta. La intervención incluyó la incautación de su sitio web y el cierre de cientos de máquinas virtuales utilizadas para el crimen cibernético.

Se ha detectado una vulnerabilidad crítica (CVE-2026-46376) en la plataforma de código abierto FreePBX. Este fallo, localizado en el módulo userman del Panel de Control de Usuario (UCP), permite que atacantes no autenticados accedan a los portales de usuario debido al uso de credenciales embebidas (hard-coded). Las versiones afectadas son aquellas anteriores a la 16.0.45 y 17.0.7.

Se ha detectado una nueva vulnerabilidad en NGINX JavaScript (njs), identificada como CVE-2026-8711. Esta falla permite que atacantes remotos no autenticados provoquen un desbordamiento de búfer basado en el heap, lo que podría resultar en la denegación de servicio (DoS) y, en ciertas condiciones, en la ejecución remota de código en el proceso trabajador de NGINX. El problema se origina en la forma en que la directiva js_fetch_proxy gestiona variables controladas por el cliente al combinarse con la operación ngx.fetch().

Un ciudadano chino, Song Wu, ejecutó una campaña de spear-phishing contra empleados de la NASA y otras entidades de defensa para robar software confidencial y tecnología aeroespacial, suplantando la identidad de investigadores estadounidenses.

Grafana sufrió una brecha de seguridad debido a un ataque de cadena de suministro en paquetes de npm (TanStack), que permitió el robo de tokens de GitHub. Aunque rotaron la mayoría, un token omitido permitió a los atacantes acceder a repositorios privados y robar código fuente e información operativa. La empresa aseguró que no hubo impacto en los datos de producción de los clientes ni modificaciones en el código descargable.

Investigadores detectaron que el grupo Webworm, vinculado a China, ha desplegado en 2025 nuevas puertas traseras llamadas EchoCreep y GraphWorm que utilizan Discord y Microsoft Graph API para comunicaciones. El grupo ha expandido sus objetivos hacia entidades gubernamentales en Europa y Asia, sustituyendo troyanos tradicionales por herramientas proxy más sigilosas. Para evadir detecciones, emplean repositorios de GitHub falsos y servicios de VPN para ocultar sus rastros.

Tres versiones consecutivas del SDK oficial de Python de Microsoft fueron comprometidas por un gusano diseñado para robar credenciales multi-nube. Este ataque es parte de una campaña de cadena de suministro iniciada en 2026 por el grupo de amenazas TeamPCP, el cual puso su objetivo en durabletask, el cliente oficial de Python de Microsoft para el marco de ejecución de flujos de trabajo Durable Task. Investigadores de seguridad de Wiz revelaron que las versiones v1.4.1, v1.4.2 y posteriores se vieron afectadas.

El Grupo de Desarrollo Global de PostgreSQL ha lanzado actualizaciones de seguridad críticas para todas sus ramas compatibles. Estas versiones (18.4, 17.10, 16.14, 15.18 y 14.23) corrigen 11 vulnerabilidades, entre las que destacan fallos de ejecución arbitraria de código y diversas inyecciones de SQL, además de resolver más de 60 errores reportados.

Ciberdelincuentes están aprovechando MSHTA (Microsoft HTML Application Host), una herramienta heredada de Windows, para distribuir malware peligroso como LummaStealer y Amatera. Esta utilidad permite ejecutar scripts desde archivos locales o ubicaciones remotas, lo que puede resultar en el robo de contraseñas o el compromiso total del sistema.

Se ha revelado una vulnerabilidad crítica en Apache Flink (CVE-2026-35194) que permite la ejecución remota de código (RCE). El fallo se encuentra en el mecanismo de generación de código SQL, donde una falta de sanitización de las entradas del usuario permite ataques de inyección SQL en entornos de procesamiento de datos distribuidos.

Se ha detectado un nuevo malware llamado VoidStealer que representa una grave amenaza para los usuarios de Chrome en Windows. Este software utiliza una técnica avanzada para evadir el App-Bound Encryption, una capa de seguridad de Google diseñada específicamente para proteger las contraseñas almacenadas y las cookies de sesión frente a posibles atacantes.

Un contratista de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EE. UU. cometió un grave error de seguridad al publicar accidentalmente credenciales confidenciales de la nube del gobierno en un repositorio público de GitHub llamado “Private-CISA”. El repositorio estuvo expuesto hasta mediados de mayo de 2026 y contenía datos críticos, incluyendo credenciales de AWS GovCloud y contraseñas en texto plano.

Están explotando activamente los routers industriales Four-Faith para crear botnets, utilizando una vulnerabilidad crítica identificada como CVE-2024-9643. Investigadores de CrowdSec han reportado un aumento significativo en los intentos de explotación, los cuales han pasado de ser simples sondeos a un abuso a gran escala. Esta falla de omisión de autenticación afecta específicamente a los routers celulares industriales Four-Faith F3x36.

Una acción de GitHub muy utilizada, denominada actions-cool/issues-helper, ha sido comprometida. El ataque consistió en redirigir silenciosamente todas las etiquetas de versión del repositorio hacia un commit malicioso. Como resultado, las credenciales de los flujos de CI/CD son robadas y enviadas directamente al atacante, lo que representa un riesgo grave para los equipos de desarrollo que utilizan esta herramienta en sus flujos de trabajo automatizados.

Ciberdelincuentes utilizan la IA y datos públicos de Instagram para crear campañas de phishing personalizadas y más creíbles, analizando intereses y ubicación de los usuarios para aumentar el éxito de sus ataques.

Se han detectado múltiples vulnerabilidades críticas en SEPPMail Secure E-Mail Gateway que permitirían la ejecución remota de código y la lectura de correos. Estas fallas podrían facilitar la toma de control total del dispositivo y el acceso a la red interna. El fabricante ya ha lanzado parches en las versiones 15.0.2.1, 15.0.3 y 15.0.4 para solucionar estos riesgos.

Claude Mythos, la nueva IA de Anthropic, ha detectado fallos críticos en los principales sistemas operativos y navegadores tras un análisis de ciberseguridad.

El modelo de IA enfocado en seguridad Mythos Preview de Anthropic ha alcanzado un hito crítico en la investigación automatizada de vulnerabilidades. Según el equipo de seguridad de Cloudflare, tras probarlo en más de cincuenta repositorios internos mediante el proyecto cerrado Glasswing, el modelo no solo es capaz de detectar errores, sino de encadenarlos para crear exploits de prueba de concepto (PoC) funcionales.