Dashlane informó que un ataque de fuerza bruta permitió descargar las bóvedas cifradas de menos de 20 usuarios con planes personales. El atacante intentó vulnerar la autenticación de dos pasos para registrar nuevos dispositivos, aunque la mayoría de las cuentas fueron suspendidas preventivamente. La empresa aclara que los datos siguen protegidos por la contraseña maestra y recomienda a los usuarios revisar sus dispositivos registrados.

Microsoft ha anunciado una actualización de seguridad importante para la función de restablecimiento de contraseñas autoservicio (SSPR) de Entra ID. El objetivo es reducir los ataques basados en la identidad mediante la implementación de requisitos de autenticación más estrictos, obligando al uso de métodos de autenticación explícitamente registrados y eliminando la dependencia de la información de contacto almacenada en el directorio que no haya sido verificada formalmente.

Se ha detectado un nuevo malware llamado VoidStealer que representa una grave amenaza para los usuarios de Chrome en Windows. Este software utiliza una técnica avanzada para evadir el App-Bound Encryption, una capa de seguridad de Google diseñada específicamente para proteger las contraseñas almacenadas y las cookies de sesión frente a posibles atacantes.

La agencia CISA de EE. UU. dejó expuesto durante seis meses un repositorio de GitHub con contraseñas, claves privadas y credenciales de AWS y Azure. Un investigador de GitGuardian descubrió la filtración, que incluía prácticas de seguridad deficientes, y alertó a la agencia para que eliminara el contenido. Aunque CISA investiga el incidente, afirma que no hay indicios de que los datos sensibles hayan sido comprometidos.

Microsoft ha anunciado una mejora de seguridad relevante en su navegador Edge, eliminando la carga de contraseñas guardadas en la memoria de procesos al iniciar. Este cambio forma parte de la Secure Future Initiative (SFI), una estrategia destinada a reforzar las protecciones de defensa en profundidad en todos sus productos.

La RTX 5090 ha demostrado una capacidad alarmante al descifrar casi la mitad de 231 millones de contraseñas filtradas en menos de un minuto, evidenciando una grave vulnerabilidad en los sistemas de seguridad actuales.

Las passkeys son una alternativa a las contraseñas que mejoran la seguridad y protegen al usuario frente al phishing y las filtraciones de datos.

Microsoft Edge carga todas las contraseñas guardadas en la memoria en texto plano al iniciar, lo que permite que un atacante con acceso local o malware pueda extraerlas, a diferencia de Chrome que utiliza descifrado bajo demanda.

CloudZ es un nuevo troyano de acceso remoto que utiliza una aplicación de Microsoft para interceptar mensajes y robar contraseñas en Windows al conectar el móvil al ordenador.

Una alerta de seguridad crítica advierte sobre una grave vulnerabilidad de contraseña predeterminada que afecta a los dispositivos Support Insights Virtual Lightweight Collector (vLWC). Esta falla permite a atacantes no autenticados y basados en la red obtener control administrativo completo de los dispositivos expuestos de manera sencilla. Registrada formalmente como CVE-2026-33784, esta vulnerabilidad tiene una puntuación casi máxima en el Common Vulnerability Scoring System (CVSS v3.1) de 9.8 sobre 10.

Una nueva y cuidadosamente elaborada campaña de phishing está actualmente dirigiéndose a los usuarios de LastPass, con atacantes enviando correos electrónicos falsos de soporte diseñados para robar las contraseñas maestras de las bóvedas. La campaña, que comenzó alrededor del 1 de marzo de 2026, utiliza tácticas de ingeniería social para engañar a los usuarios haciéndoles creer que sus cuentas han sido comprometidas, presionándolos para que revelen sus credenciales.

Un estudio revela que las contraseñas generadas por IA como ChatGPT, Gemini o Claude no son seguras y son fáciles de descifrar, por lo que no se recomienda usarlas para proteger cuentas en redes sociales, apps o juegos.

Un estudio de CrowdStrike revela que los cibercriminales necesitan solo 29 minutos de media para controlar una red en 2025, un 65% más rápido que el año anterior, acelerado por el uso de IA, credenciales mal gestionadas y fallos de seguridad, reduciendo el margen de defensa.