Una campaña engañosa dirigida a usuarios desprevenidos ha surgido, utilizando una versión falsa del ampliamente utilizado software de compresión de archivos 7-Zip para convertir silenciosamente computadoras domésticas en nodos proxy residenciales. La operación maliciosa se basa en un dominio similar, 7zip[.]com, que imita de cerca el sitio web legítimo 7-zip.org, engañando a los usuarios para que descarguen un instalador comprometido que parece completamente funcional. 

El grupo de ciberespionaje vinculado a Rusia conocido como Fancy Bear ha lanzado la Operación Neusploit. El grupo también es conocido como APT28. Esto marca una escalada significativa, aprovechando una vulnerabilidad zero-day, CVE-2026-21509, en archivos RTF de Microsoft. Al explotar esta falla, los atacantes ejecutan código arbitrario en los sistemas de las víctimas, implementando peligrosos backdoors y robadores de correos electrónicos. 

Singapore ha sido recientemente blanco de una campaña de ciberespionaje altamente sofisticada dirigida contra su sector de telecomunicaciones, llevada a cabo por el grupo de Amenaza Persistente Avanzada (APT) conocido como UNC3886. Los detalles de esta extensa intrusión fueron revelados formalmente tras la Operación CYBER GUARDIAN, una importante respuesta multiagencial liderada por la Cyber Security Agency de Singapur (CSA) y la Infocomm

El experto en ciberseguridad Howard Shortt alerta que los televisores Android pueden ser hackeados en segundos sin que los usuarios lo noten, convirtiéndose en un riesgo grave por su falta de protección.

Un nuevo malware secuestra routers WiFi para espiar la actividad de usuarios en tiempo real, poniendo en riesgo la privacidad sin que los afectados lo detecten.

Los actores de ransomware están constantemente perfeccionando sus arsenales para eludir las defensas modernas. Una campaña reciente del grupo Black Basta ha introducido un cambio táctico significativo al incorporar un componente de "Bring Your Own Vulnerable Driver" (BYOVD) directamente en el propio payload del ransomware. Esta integración representa una desviación notable de los procedimientos operativos estándar, donde las herramientas de evasión de defensas.

 

Flickr ha confirmado una filtración de datos que podría afectar a 35 millones de usuarios. La compañía reveló un posible incidente de seguridad derivado de una vulnerabilidad en el sistema de un proveedor externo de servicios de correo electrónico. El fallo, reportado el 5 de febrero de 2026, podría haber expuesto información de algunos de sus usuarios mensuales, aunque la cifra exacta de afectados aún no se ha hecho pública. Flickr notificó a los usuarios potencialmente afectados mediante correo electrónico sobre la brecha detectada.

ShadowSyndicate, un grupo de actividad maliciosa identificado por primera vez en 2022, ha evolucionado sus técnicas de gestión de infraestructura al adoptar un método de transición de servidores que permite al actor de amenazas rotar claves SSH en múltiples servidores. Este nuevo enfoque dificulta que los equipos de seguridad rastreen las operaciones del grupo. 

Los equipos de seguridad empresariales enfrentan un nuevo desafío sofisticado, ya que los ciberdelincuentes están explotando cada vez más plataformas en la nube de confianza para lanzar ataques de phishing. En lugar de depender de dominios recién registrados y sospechosos, los actores de amenazas ahora alojan su infraestructura maliciosa en servicios legítimos como Microsoft Azure Blob Storage, Google Firebase y AWS CloudFront. 

Una campaña de reconocimiento a gran escala dirigida a la infraestructura de Citrix ADC Gateway y NetScaler Gateway fue detectada entre el 28 de enero y el 2 de febrero de 2026 por la GreyNoise Global Observation Grid. La operación coordinada combinó la rotación de proxies residenciales para el descubrimiento de paneles de inicio de sesión con escaneos concentrados de divulgación de versiones alojados en AWS, generando más de 111,834 sesiones desde más de 63,000 direcciones IP únicas.]

Investigadores han identificado una nueva campaña de malware en Windows que usa Pulsar RAT y Stealerv37, destacando por su interacción en tiempo real con las víctimas mediante chats, rompiendo el modelo tradicional de infecciones silenciosas.

APT28, el grupo de amenazas persistentes avanzadas vinculado a Rusia, ha lanzado una campaña sofisticada dirigida a Europa Central y del Este utilizando una vulnerabilidad de día cero en Microsoft Office. Los actores de amenazas aprovecharon archivos Microsoft Rich Text Format (RTF) especialmente diseñados para explotar la vulnerabilidad y distribuir puertas traseras maliciosas a través de una cadena de infección de múltiples etapas. 

El grupo de amenazas ShinyHunters ha ampliado sus operaciones de extorsión con métodos de ataque sofisticados dirigidos a sistemas basados en la nube en múltiples organizaciones. Estos ciberdelincuentes utilizan phishing de voz y sitios web falsos de recolección de credenciales para robar información de inicio de sesión de los empleados. Una vez que obtienen acceso, extraen datos sensibles de aplicaciones de software en la nube y utilizan esta información para exigir pagos de rescate

Empresas como Marquis Software Solutions atribuyen ataques de ransomware que afectaron a bancos y cooperativas de EE.UU. en agosto de 2025 a una brecha en la nube de SonicWall, donde atacantes robaron archivos de copia de seguridad de configuración de firewalls desde el portal MySonicWall, facilitando el acceso no autorizado.

El panorama de la ciberseguridad ha entrado en una peligrosa nueva fase en la que los agentes autónomos de IA están pasando de ser simples herramientas de automatización a convertirse en sofisticados operadores criminales. Estos sistemas autodirigidos ahora ejecutan ciberataques complejos sin supervisión humana, lo que marca un cambio fundamental en la forma en que surgen y se propagan las amenazas digitales en las redes de todo el mundo. 

Los actores de amenazas están atacando activamente instancias de MongoDB expuestas en internet en campañas automatizadas de ransomware a gran escala. Los ataques siguen un patrón consistente: los atacantes escanean bases de datos de MongoDB no protegidas accesibles en internet, eliminan los datos almacenados e insertan notas de rescate exigiendo el pago en Bitcoin. Evidencias recientes indican que estas campañas siguen siendo altamente rentables a pesar de que las demandas de rescate suelen ser modestas.

 

Una sofisticada campaña de ataques aprovecha una vulnerabilidad crítica en FreePBX para desplegar una webshell persistente denominada "EncystPHP", permitiendo a los actores de amenazas obtener control administrativo completo sobre sistemas VoIP comprometidos. La campaña, iniciada a principios de diciembre de 2025, explota la CVE-2025-64328, una falla de inyección de comandos post-autenticación en el Endpoint Manager de FreePBX. 

La cuenta de GitHub de ClawdBot fue secuestrada en 10 segundos por estafadores crypto, quienes crearon tokens falsos con $16M de capitalización antes de colapsar un 90%, generando pérdidas millonarias para inversores.