Se han detectado vulnerabilidades críticas en OpenClaw (antes Clawdbot/Moltbot), incluyendo CVE-2026-25253 (CVSS 8.8) que permite RCE con un solo clic y exfiltración de datos. El fallo, solucionado en la versión 2026.1.29, compromete tokens de autenticación al visitar enlaces maliciosos. Además, ZeroLeaks reportó un 91% de éxito en ataques de inyección, exponiendo configuraciones y prompts del sistema. También se hallaron 341 skills maliciosas en ClawHub que distribuyen malware como Atomic Stealer, afectando a usuarios con herramientas falsas (criptomonedas, YouTube, Google Workspace). 

APT28, el grupo de amenazas persistentes avanzadas vinculado a Rusia, ha lanzado una campaña sofisticada dirigida a Europa Central y del Este utilizando una vulnerabilidad de día cero en Microsoft Office. Los actores de amenazas aprovecharon archivos Microsoft Rich Text Format (RTF) especialmente diseñados para explotar la vulnerabilidad y distribuir puertas traseras maliciosas a través de una cadena de infección de múltiples etapas. 

Se ha descubierto y convertido en un devastador exploit de ejecución remota de código con un solo clic una vulnerabilidad crítica en OpenClaw, el asistente personal de IA de código abierto en el que confían más de 100.000 desarrolladores. Investigadores de seguridad de depthfirst General Security Intelligence descubrieron un fallo lógico que, al combinarse con otras vulnerabilidades, podría desencadenar una reacción en cadena.

Más de 3.280.081 dispositivos Fortinet estaban expuestos, con propiedades web que ejecutan dispositivos Fortinet vulnerables afectados por la CVE-2026-24858, una grave falla de omisión de autenticación explotada activamente en la naturaleza. La vulnerabilidad, calificada con 9,4 en la escala CVSS, afecta a múltiples líneas de productos de Fortinet, incluyendo FortiOS, FortiManager, FortiAnalyzer, FortiProxy y FortiWeb. 

Vulnerabilidad crítica en vm2 (CVE-2026-22709 con puntuación CVSS 9.8) permite a atacantes escapar del sandbox y ejecutar código arbitrario en el host al explotar un fallo en la gestión de promesas globales en versiones ≤3.10.0. Afecta a millones de aplicaciones Node.js con 3.7M descargas mensuales. Se recomienda actualizar urgentemente a vm2 3.10.2+ para mitigar el riesgo.

Google advierte sobre una vulnerabilidad en WinRAR explotada para tomar control de sistemas Windows

Una grave falla de seguridad en WinRAR, una de las herramientas de compresión de archivos más utilizadas en Windows, se ha convertido en un arma favorita para los atacantes que buscan acceso no autorizado a sistemas informáticos. La vulnerabilidad, identificada como CVE-2025-8088, permite a los actores maliciosos colocar archivos dañinos en directorios sensibles del sistema sin que el usuario lo note, otorgando esencialmente el control de Windows a los ciberdelincuentes.

Una vulnerabilidad crítica de día cero en Gemini MCP Tool expone a los usuarios a ataques de ejecución remota de código (RCE) sin necesidad de autenticación. Registrada como ZDI-26-021 / ZDI-CAN-27783 y asignada con el CVE-2026-0755, la falla tiene una puntuación máxima de CVSS v3.1 de 9.8, lo que refleja su facilidad de explotación y su grave impacto

Se ha descubierto una vulnerabilidad crítica de escalada de privilegios en el software cliente Windows de Check Point Harmony SASE (Secure Access Service Edge), que afecta a versiones anteriores a la 12.2. Registrada como CVE-2025-9142, la falla permite a atacantes locales escribir o eliminar archivos fuera del directorio de trabajo de certificados previsto, lo que podría llevar a un compromiso a nivel de sistema. La vulnerabilidad reside en el componente Service de Perimeter81

Microsoft lanzó actualizaciones de seguridad de emergencia fuera de banda el 26 de enero de 2026 para abordar CVE-2026-21509, una vulnerabilidad de día cero en Microsoft Office que los atacantes están explotando activamente. La falla, calificada como “Importante” con una puntuación base CVSS v3.1 de 7.8, se basa en entradas no confiables en decisiones de seguridad para eludir las mitigaciones OLE que protegen contra controles COM/OLE vulnerables.

Se ha observado la explotación activa de una vulnerabilidad crítica de omisión de autenticación en el servidor telnetd de GNU InetUtils (CVE-2026-24061), que permite a atacantes no autenticados obtener acceso root en sistemas Linux. La vulnerabilidad, que afecta a las versiones 1.9.3 hasta 2.7 de GNU InetUtils, posibilita la ejecución remota de código manipulando la variable de entorno USER transmitida durante la conexión Telnet

El primer día de Pwn2Own Automotive 2026, que entregó $516,500 USD por 37 zero-days, el evento ha acumulado ya $955,750 USD en 66 vulnerabilidades únicas, demostrando la amplia superficie de ataque del sector automotriz. La competición mostró exploits dirigidos a múltiples subsistemas de vehículos, incluyendo sistemas de infoentretenimiento a bordo (IVI), estaciones de carga para vehículos eléctricos y entornos Linux embebidos.

Un experimento revolucionario ha revelado que los modelos de lenguaje avanzados ahora pueden crear exploits funcionales para vulnerabilidades de seguridad previamente desconocidas. El investigador de seguridad Sean Heelan probó recientemente dos sistemas sofisticados basados en GPT-5.2 y Opus 4.5, desafiándolos a desarrollar exploits para una falla de día cero en el intérprete de JavaScript QuickJS. 

Una vulnerabilidad zero-day crítica en el Firewall de Aplicaciones Web (WAF) de Cloudflare permitió a los atacantes eludir los controles de seguridad y acceder directamente a los servidores de origen protegidos a través de una ruta de validación de certificados. Investigadores de seguridad de FearsOff descubrieron que las solicitudes dirigidas al directorio /.well-known/acme-challenge/ podían alcanzar los orígenes incluso cuando las reglas del WAF configuradas por el cliente bloqueaban explícitamente todo el resto del tráfico.

Actualizaciones críticas de seguridad abordan la CVE-2026-20824, un fallo en el mecanismo de protección de Windows Remote Assistance que permite a los atacantes eludir el sistema de defensa Mark of the Web (MOTW). La vulnerabilidad fue revelada el 13 de enero de 2026 y afecta a múltiples plataformas Windows, desde Windows 10 hasta Windows Server 2025.

Fortinet reveló una vulnerabilidad de Server-Side Request Forgery (SSRF) en su dispositivo FortiSandbox el 13 de enero de 2026, instando a los usuarios a actualizar debido a los riesgos de que solicitudes proxy accedan a la red interna. Registrada como CVE-2025-67685 (FG-IR-25-783), la falla se encuentra en el componente GUI y proviene de CWE-918, permitiendo a atacantes autenticados crear solicitudes HTTP que actúan como proxy del tráfico hacia sistemas internos en texto plano.

Un nuevo ataque de un solo clic dirigido a Microsoft Copilot Personal permite a los atacantes exfiltrar silenciosamente datos sensibles de los usuarios. La vulnerabilidad, ya parcheada, permitía a los actores de amenazas secuestrar sesiones mediante un enlace de phishing sin necesidad de más interacción. Los atacantes inician el ataque Reprompt enviando un correo de phishing con una URL legítima de Copilot que contiene un parámetro malicioso ‘q’.

Entre el 25 y el 28 de diciembre, un único actor de amenazas llevó a cabo una campaña de escaneo a gran escala, probando más de 240 exploits diferentes contra sistemas expuestos a Internet y recopilando datos sobre cada objetivo vulnerable encontrado. Esta operación de reconocimiento, ejecutada desde dos direcciones IP vinculadas a CTG Server Limited (AS152194), representa un nuevo nivel de sofisticación en la forma de asegurar el acceso inicial

WhatsApp corrige silenciosamente vulnerabilidades de fingerprinting que permitían a atacantes identificar dispositivos y sistemas operativos de usuarios, mejorando su privacidad aunque sin transparencia (sin CVE ni notificación a investigadores). Aunque la solución es parcial (aún se distingue entre Android e iPhone), marca un avance tras años de alertas de la comunidad de seguridad. Meta no reconoce públicamente los fallos ni otorga recompensas completas, pero el cambio reduce riesgos en ataques dirigidos.