Una ola de ataques de *relleno de credenciales* ha revelado un preocupante cambio en la forma en que los actores de amenazas acceden a las redes corporativas: no explotando vulnerabilidades de software, sino simplemente iniciando sesión con contraseñas robadas. En el centro de esta campaña se encuentran familias de malware infostealer, que recopilan silenciosamente credenciales de dispositivos infectados de empleados.

Una nueva campaña de phishing llamada GTFire está abusando de dos de los servicios más confiables de Google —Firebase y Google Translate— para robar credenciales de inicio de sesión de víctimas en todo el mundo. Lo que hace peligrosa esta campaña es su capacidad para ocultar actividad maliciosa detrás de dominios legítimos propiedad de Google, permitiendo que los enlaces de phishing pasen a través de filtros de correo electrónico y web.

Se han descubierto múltiples vulnerabilidades en CryptoPro Secure Disk (CPSD) para BitLocker, una solución de cifrado ampliamente utilizada. Estos fallos podrían permitir que un atacante con acceso físico a un dispositivo obtenga acceso persistente como root y robe credenciales sensibles. Los problemas, identificados por investigadores de seguridad de SEC Consult Vulnerability Lab, ponen de relieve riesgos significativos para las organizaciones

Un grupo de cibercrimen vinculado a Rusia, denominado Diesel Vortex, ha estado llevando a cabo una gran operación de phishing contra empresas de transporte y camiones en Estados Unidos y Europa. La campaña se desarrolló desde septiembre de 2025 hasta febrero de 2026 y resultó en el robo de más de 1.649 credenciales de inicio de sesión de usuarios de importantes plataformas logísticas, como DAT Truckstop, Penske Logistics, entre otras.

Un actor de amenazas rusoparlante con motivaciones financieras utilizó herramientas comerciales de IA generativa para comprometer más de 600 dispositivos FortiGate en 55 países, explotando puertos de administración expuestos y credenciales débiles sin vulnerabilidades conocidas. La IA permitió a un atacante con capacidades técnicas limitadas escalar ataques, incluyendo robo de configuraciones, acceso a Active Directory y preparación para ransomware. Los dispositivos afectados se concentran en Latinoamérica, Asia y Europa, y el ataque se basó en escaneos automatizados de puertos y credenciales reutilizadas. Amazon recomienda proteger interfaces de administración, usar autenticación multifactor y auditar accesos no autorizados.

Francia reconoce una violación de datos que expuso 1,2 millones de cuentas bancarias tras el robo de credenciales de un funcionario, mientras en Argentina se registra una fuga en Taxes Software con 440 empresas afectadas, incluyendo entidades gubernamentales sensibles, sin reconocimiento oficial.

CVE-2026-22906 es una vulnerabilidad crítica (CVSS 9.8) que afecta productos con almacenamiento inseguro de credenciales usando cifrado AES en modo ECB con clave hardcodeada, permitiendo a atacantes remotos sin autenticación recuperar contraseñas y usuarios en texto claro.

El informe Red Report 2026 revela un cambio en el cibercrimen: los atacantes abandonan el ransomware ruidoso para priorizar el acceso invisible y prolongado a sistemas, usando técnicas como robo de credenciales (23.49% de ataques) y evasión de detección (80% de técnicas MITRE ATT&CK). El malware moderno actúa como un parásito digital, evitando alarmas y maximizando el tiempo de permanencia, mientras la IA aún no redefine las tácticas.

Investigadores en seguridad han identificado el primer caso documentado de un complemento malicioso de Microsoft Outlook utilizado contra usuarios en escenarios del mundo real. Un programador de reuniones comprometido llamado AgreeTo fue empleado para robar más de 4.000 credenciales de cuentas Microsoft, números de tarjetas de crédito y respuestas a preguntas de seguridad bancarias. AgreeTo comenzó como un proyecto legítimo de código abierto publicado en Microsoft Office 

Los ciberdelincuentes están lanzando una peligrosa campaña de phishing que engaña a los usuarios para que revelen sus credenciales de inicio de sesión suplantando a Dropbox. Este ataque utiliza un enfoque de múltiples etapas para eludir los controles de seguridad del correo electrónico y los escáneres de contenido. Los actores de amenazas explotan plataformas en la nube de confianza y archivos PDF de apariencia inofensiva para crear una cadena de engaño que lleva a las víctimas a un sitio falso

Investigadores de ciberseguridad alertan que servidores mal configurados del asistente de IA MoltBot (antes ClawdBot) exponen claves API, chats privados y credenciales al público, con cientos de instancias accesibles sin autenticación según Shodan. El bot, de código abierto y con acceso completo al sistema, permite ejecutar comandos y acciones reales, pero su mala configuración por usuarios inexpertos genera riesgos graves, incluyendo robo de datos y ejecución remota de código. Expertos recomiendan revisar configuraciones y aplicar listas blancas de IP para mitigar vulnerabilidades.

Una base de datos masiva que contenía 149 millones de credenciales de inicio de sesión robadas fue descubierta expuesta en línea sin protección por contraseña ni cifrado. Esto representa graves riesgos de seguridad para los usuarios de Gmail, Instagram, Facebook, Netflix y miles de otras plataformas en todo el mundo. La base de datos, accesible públicamente, contenía 149.404.754 registros únicos de nombres de usuario y contraseñas, recopilados mediante malware de tipo infostealer y software de keylogging.

Los usuarios de Facebook se están convirtiendo cada vez más en objetivos de una sofisticada técnica de phishing que elude las medidas de seguridad convencionales. Con más de tres mil millones de usuarios activos en la plataforma, Facebook representa un blanco atractivo para los atacantes que buscan comprometer cuentas y obtener credenciales personales. El objetivo principal de estos ataques sigue siendo claro: robar credenciales de inicio de sesión para secuestrar cuentas.