Se ha descubierto una vulnerabilidad crítica y sin parchear en Ollama, una plataforma de código abierto ampliamente utilizada para ejecutar modelos de lenguaje grandes (LLM) de forma local. Registrada como CVE-2026-5757, esta grave fuga de memoria permite a atacantes remotos no autenticados extraer datos sensibles directamente del heap de un servidor. Fue descubierta por el investigador de seguridad Jeremy Brown mediante investigación de vulnerabilidades asistida por IA y revelada públicamente en abril.

Un usuario sufre daños en su ASUS RTX 5090 ROG Astral por una fuga en una AIO NZXT Kraken, y el fabricante le ofrece una compensación equivalente al precio de lanzamiento de la GPU.

La comunidad de ciberseguridad está en alerta máxima tras una masiva filtración de código fuente de Anthropic. El 31 de marzo de 2026, la compañía expuso accidentalmente el código fuente completo de Claude Code, su asistente de codificación basado en terminal. La filtración ocurrió debido a un error de empaquetado en un paquete público de npm, que incluyó inadvertidamente un mapa de origen de JavaScript 

Los ciberdelincuentes ya están explotando esta filtración para distribuir malware. Según informes recientes, hackers han modificado el código filtrado para propagar las amenazas Vidar (un ladrón de información) y GhostSocks (un malware de proxy). Estos ataques aprovechan la confianza en el nombre de Claude Code para engañar a desarrolladores y usuarios, quienes podrían instalar versiones maliciosas del software sin sospechar.

Los usuarios suelen confiar en los asistentes de IA con información altamente sensible, como historiales médicos, documentos financieros y código empresarial propietario. Check Point Research reveló recientemente una vulnerabilidad crítica en la arquitectura de ChatGPT que permitía a los atacantes extraer este mismo tipo de datos de usuario de manera silenciosa. 

Un destacado proveedor de tecnología sanitaria ha revelado formalmente un importante incidente de ciberseguridad que involucra el acceso no autorizado a su infraestructura de TI. Un actor no autorizado comprometió uno de los sistemas de historiales médicos electrónicos (EHR) de la empresa, lo que ha generado preocupación por la posible exposición de datos sensibles de pacientes. La brecha de seguridad se produjo inicialmente el 16 de marzo de 2026. 

HackerOne recientemente reveló una fuga de datos que afectó a 287 de sus empleados tras un ciberataque a su administrador de beneficios en EE.UU., Navia Benefit Solutions. La brecha se originó por una vulnerabilidad de Autorización a Nivel de Objeto Roto (BOLA) en la API de Navia, que expuso información personal y de salud sensible de aproximadamente 2,7 millones de personas en todo el país. 

China’s largest cybersecurity firm, Qihoo 360, ha expuesto inadvertidamente su propia clave privada SSL wildcard al incluirla directamente dentro del instalador público de su nuevo asistente de IA, 360Qihoo (Security Claw). La falla, descubierta el 16 de marzo de 2026, es un error clásico de seguridad operacional por parte de una empresa en la que confían más de 461 millones de usuarios.

PayPal ha emitido una notificación formal sobre una fuga de datos en la que revela que un error de codificación en su solicitud de préstamos PayPal Working Capital (PPWC) expuso la información personal identificable (PII) de un número no revelado de clientes durante aproximadamente seis meses, desde el 1 de julio de 2025 hasta el 13 de diciembre de 2025.

Una vulnerabilidad importante descubierta en la plataforma de una división de Zota Healthcare expuso datos sensibles de clientes y sistemas internos debido a APIs de "super administrador" inseguras. El problema, descubierto por Eaton–Works, permitía a cualquiera crear una cuenta de super administrador con privilegios y tomar el control total de los sistemas backend de la farmacia. Dava India, que opera más de 2.100 establecimientos en todo el país 

La aplicación móvil popular "Chat & Ask AI" ha expuesto inadvertidamente cientos de millones de conversaciones privadas de usuarios. La app, que cuenta con más de 50 millones de usuarios en las tiendas de Google Play y Apple App Store, no logró proteger su base de datos backend, permitiendo el acceso no autorizado a datos sensibles de los usuarios. 

El proyecto ZAP (Zed Attack Proxy), un escáner de seguridad de aplicaciones web de código abierto ampliamente utilizado, ha revelado una fuga crítica de memoria en su motor JavaScript. Este fallo, probablemente presente desde hace algún tiempo, ahora interrumpe los flujos de trabajo de escaneo activo tras la introducción de una nueva regla de escaneo JavaScript en el complemento OpenAPI. 

Un ataque de ransomware ha expuesto supuestamente documentos internos confidenciales de un importante fabricante de electrónica. La brecha compromete el papel crítico de la empresa en la cadena de suministro global de Apple, incluyendo la fabricación de AirPods, la producción de iPhone y el ensamblaje del Vision Pro. Los actores de amenazas han publicado documentos internos que revelan inteligencia operativa sensible, como flujos de producción, procedimientos de seguridad y protocolos de la cadena de suministro.