Están explotando activamente los routers industriales Four-Faith para crear botnets, utilizando una vulnerabilidad crítica identificada como CVE-2024-9643. Investigadores de CrowdSec han reportado un aumento significativo en los intentos de explotación, los cuales han pasado de ser simples sondeos a un abuso a gran escala. Esta falla de omisión de autenticación afecta específicamente a los routers celulares industriales Four-Faith F3x36.

Una versión comprometida de la popular extensión Nx Console para VS Code fue publicada en el marketplace de Visual Studio Code el 18 de mayo de 2026. El ataque tuvo como objetivo robar silenciosamente credenciales de desarrolladores, tokens de infraestructura en la nube y secretos de canalizaciones CI/CD en miles de máquinas, representando el segundo ataque a la cadena de suministro contra el ecosistema Nx en menos de un año.

Dos hermanos gemelos fueron detenidos tras grabar accidentalmente su propio ciberataque contra el gobierno de Estados Unidos en una videollamada de Teams.

Un peligroso rootkit llamado OrBit ha estado atacando sistemas Linux durante años, robando credenciales de acceso y ocultándose profundamente en las máquinas infectadas para evadir la mayoría de las herramientas de seguridad. Investigaciones recientes revelan que esta amenaza, que se creía personalizada, es en realidad una versión modificada de un rootkit disponible públicamente que se ha propagado globalmente.

Windows 11 y Edge fueron hackeados durante la primera jornada del evento Pwn2Own 2026 en Berlín, donde investigadores detectaron vulnerabilidades de día cero que permiten la escalada de privilegios y el escape del sandbox.

Están explotando una vulnerabilidad crítica (CVE-2026-8181) en el plugin de WordPress Burst Statistics, que permite obtener acceso de administrador sin contraseña. Este fallo afecta a las versiones 3.4.0 y 3.4.1, permitiendo la creación de cuentas fraudulentas y el robo de datos. Se recomienda actualizar urgentemente a la **versión 3.4.2** o desactivar el plugin para evitar ataques.

El grupo Sandworm, respaldado por el estado ruso, ha sido detectado realizando un giro estratégico desde redes de TI comprometidas hacia sistemas de tecnología operativa (OT) que controlan infraestructuras físicas. Lo más alarmante de esta campaña es que no utiliza exploits sofisticados, sino que aprovecha vulnerabilidades no resueltas y puertas abiertas para infiltrarse en activos críticos.

El grupo FamousSparrow, vinculado al estado chino, infiltró una compañía de gas y petróleo de Azerbaiyán. Para lograrlo, aprovecharon un servidor de Microsoft Exchange sin parchear para instalar múltiples puertas traseras en la red. El ataque ocurrió entre finales de diciembre de 2025 y finales de febrero de 2026, siendo una de las intrusiones de APT china más detalladas contra infraestructuras energéticas.

El FBI alerta sobre el "Juice Jacking", una técnica donde los puertos USB públicos pueden usarse para clonar móviles y vaciar cuentas bancarias.

El grupo TeamPCP se ha aliado con BreachForums para organizar un concurso perturbador cuyo objetivo es compilar la mayor cantidad posible de paquetes de código abierto. Esta iniciativa busca incentivar los ataques a la cadena de suministro, infiltrándose en herramientas de seguridad y canales de CI/CD, ofreciendo un premio económico a quienes logren recolectar más paquetes.

Resumen de la biografía de Kevin Mitnick, el hacker más conocido de la historia, destacado por su maestría en la ingeniería social, su persecución por el FBI y su posterior redención como consultor de ciberseguridad.

El grupo  vinculado a Irán conocido como Seedworm (también llamado MuddyWater) ha llevado a cabo una campaña sofisticada durante el primer trimestre de 2026. El grupo ha logrado infiltrarse en redes de al menos nueve organizaciones distribuidas en nueve países de cuatro continentes distintos.

Expertos advierten que la IA ha eliminado la regla de los 90 días para corregir vulnerabilidades, obligando a solucionar los fallos de seguridad críticos de inmediato para evitar ataques en tiempo récord.

Google informó que ciberdelincuentes están utilizando inteligencia artificial para descubrir vulnerabilidades y crear exploits, incluyendo el primer caso detectado de un ataque zero-day generado por IA. Además, se identificó el malware PromptSpy, que emplea Gemini para operar de forma autónoma en Android y capturar datos biométricos. Diversos grupos estatales de China, Rusia y Corea del Norte también usan LLMs para acelerar el espionaje y evadir restricciones de acceso.

Google ha interceptado el primer exploit zero-day creado con inteligencia artificial, el cual buscaba comprometer la autenticación de dos pasos.

El grupo ShinyHunters ha atacado a Instructure, la empresa creadora del sistema de gestión de aprendizaje Canvas LMS. La brecha, detectada el 29 de abril de 2026 y confirmada a principios de mayo, resultó en la exposición de nombres de usuario, correos electrónicos, números de identificación de estudiantes y algunos mensajes privados.

Un hacker tomó el control de cientos de cortacéspedes y quitanieves globalmente, logrando acceder a datos personales y ubicaciones de los propietarios.

Se ha detectado una peligrosa campaña de infostealer que utiliza un instalador falso de OpenClaw (un asistente de IA de código abierto) para infectar sistemas. El malware actúa silenciosamente para robar datos sensibles, enfocándose específicamente en más de 250 extensiones de navegador vinculadas a gestores de contraseñas y billeteras de criptomonedas.

El grupo de ciberdelincuentes ShinyHunters volvió a atacar a la empresa Instructure, vulnerando los portales de acceso de Canvas en unas 330 instituciones educativas. Los atacantes desfiguraron las páginas de inicio para exigir un rescate, amenazando con filtrar datos de millones de estudiantes y personal antes del 12 de mayo. Instructure confirmó el robo de información y ha tomado el sistema fuera de línea para responder al incidente.