Se ha detectado un nuevo malware llamado VoidStealer que representa una grave amenaza para los usuarios de Chrome en Windows. Este software utiliza una técnica avanzada para evadir el App-Bound Encryption, una capa de seguridad de Google diseñada específicamente para proteger las contraseñas almacenadas y las cookies de sesión frente a posibles atacantes.

La agencia CISA de EE. UU. dejó expuesto durante seis meses un repositorio de GitHub con contraseñas, claves privadas y credenciales de AWS y Azure. Un investigador de GitGuardian descubrió la filtración, que incluía prácticas de seguridad deficientes, y alertó a la agencia para que eliminara el contenido. Aunque CISA investiga el incidente, afirma que no hay indicios de que los datos sensibles hayan sido comprometidos.

Microsoft ha anunciado una mejora de seguridad relevante en su navegador Edge, eliminando la carga de contraseñas guardadas en la memoria de procesos al iniciar. Este cambio forma parte de la Secure Future Initiative (SFI), una estrategia destinada a reforzar las protecciones de defensa en profundidad en todos sus productos.

La RTX 5090 ha demostrado una capacidad alarmante al descifrar casi la mitad de 231 millones de contraseñas filtradas en menos de un minuto, evidenciando una grave vulnerabilidad en los sistemas de seguridad actuales.

Las passkeys son una alternativa a las contraseñas que mejoran la seguridad y protegen al usuario frente al phishing y las filtraciones de datos.

Microsoft Edge carga todas las contraseñas guardadas en la memoria en texto plano al iniciar, lo que permite que un atacante con acceso local o malware pueda extraerlas, a diferencia de Chrome que utiliza descifrado bajo demanda.

CloudZ es un nuevo troyano de acceso remoto que utiliza una aplicación de Microsoft para interceptar mensajes y robar contraseñas en Windows al conectar el móvil al ordenador.

Una alerta de seguridad crítica advierte sobre una grave vulnerabilidad de contraseña predeterminada que afecta a los dispositivos Support Insights Virtual Lightweight Collector (vLWC). Esta falla permite a atacantes no autenticados y basados en la red obtener control administrativo completo de los dispositivos expuestos de manera sencilla. Registrada formalmente como CVE-2026-33784, esta vulnerabilidad tiene una puntuación casi máxima en el Common Vulnerability Scoring System (CVSS v3.1) de 9.8 sobre 10.

Una nueva y cuidadosamente elaborada campaña de phishing está actualmente dirigiéndose a los usuarios de LastPass, con atacantes enviando correos electrónicos falsos de soporte diseñados para robar las contraseñas maestras de las bóvedas. La campaña, que comenzó alrededor del 1 de marzo de 2026, utiliza tácticas de ingeniería social para engañar a los usuarios haciéndoles creer que sus cuentas han sido comprometidas, presionándolos para que revelen sus credenciales.

Un estudio revela que las contraseñas generadas por IA como ChatGPT, Gemini o Claude no son seguras y son fáciles de descifrar, por lo que no se recomienda usarlas para proteger cuentas en redes sociales, apps o juegos.

Un estudio de CrowdStrike revela que los cibercriminales necesitan solo 29 minutos de media para controlar una red en 2025, un 65% más rápido que el año anterior, acelerado por el uso de IA, credenciales mal gestionadas y fallos de seguridad, reduciendo el margen de defensa.

WhatsApp ha lanzado una nueva actualización para Android a través del Programa Beta de Google Play, elevando la versión a 2.26.7.8. La actualización revela que WhatsApp está desarrollando activamente una función opcional de contraseña para cuentas, diseñada para añadir una capa adicional de seguridad sobre el sistema existente de verificación en dos pasos (2FA).

Un experto en seguridad advierte que la IA es mala generando contraseñas robustas, por lo que no se recomienda usarla para este fin.