Check Point lanzó actualizaciones críticas para corregir dos vulnerabilidades en sus servicios de VPN (especialmente en el protocolo obsoleto IKEv1) que permiten el salto de autenticación. Se ha detectado que atacantes remotos ya explotaron la falla CVE-2026-50751 en varias organizaciones, vinculándose en un caso al ransomware Qilin. La empresa insta a los usuarios a aplicar los parches inmediatamente o migrar a IKEv2 para mitigar el riesgo.

Check Point alertó sobre una vulnerabilidad crítica (CVE-2026-50751) que afecta a VPNs configuradas con el protocolo IKEv1, permitiendo a atacantes saltarse la autenticación sin contraseña. Se ha detectado explotación activa contra algunas organizaciones, vinculando estos ataques a afiliados del ransomware Qilin. La empresa recomienda actualizar sus gateways y firewalls para mitigar este riesgo y una segunda vulnerabilidad detectada.

Una escuela secundaria de Illinois permanecerá cerrada hasta el miércoles debido a un ataque de ransomware que afectó sus sistemas y servicios. La institución trabaja con expertos y el FBI para recuperar la operatividad y determinar qué datos fueron comprometidos. Este incidente se suma a otros ataques recientes contra el sector educativo, como uno ocurrido en Gales.

Un actor de amenazas está utilizando agentes de IA (como Claude Opus y Cursor) para automatizar la creación y prueba de malware y ransomware. Este flujo de trabajo permite desarrollar rápidamente herramientas para evadir sistemas de detección (EDR) y descubrir vulnerabilidades en Active Directory. Aunque la IA acelera el desarrollo y la implementación de técnicas de ataque, el proceso sigue siendo dirigido enteramente por humanos.

Una nueva y peligrosa variante de ransomware llamada Payload ha estado expandiendo su lista de víctimas globales desde febrero de 2026. El grupo inició sus operaciones con un objetivo de alto perfil y se ha extendido por países como Egipto, México y Polonia. Esta amenaza destaca no solo por su alcance, sino por sus capacidades técnicas de cifrado.

OpenPetya es un proyecto educativo que reconstruye la lógica de un bootkit para analizar cómo el malware toma el control del proceso de arranque, sustituyendo el MBR y cifrando la Master File Table (MFT) mediante el algoritmo Salsa20 antes de iniciar el sistema operativo.

Microsoft Defender for Endpoint ha implementado una función de aislamiento automático de dispositivos. Esta capacidad de contención proactiva permite desconectar estaciones de trabajo comprometidas de la red en el instante en que se detecta un ataque de alta confianza, sin necesidad de intervención humana, con el objetivo de detener la propagación de ransomware.

Microsoft desmanteló la operación de Fox Tempest, un servicio que defraudaba el sistema de firma de certificados de la empresa para disfrazar malware y ransomware como software legítimo. Esta red permitió ataques globales contra sectores de salud, finanzas y gobierno, cobrando entre 5,000 y 9,000 dólares por cada firma fraudulenta. La intervención incluyó la incautación de su sitio web y el cierre de cientos de máquinas virtuales utilizadas para el crimen cibernético.

Microsoft desmanteló Fox Tempest, un servicio ilegal que vendía certificados de firma de código para hacer que el malware pareciera software legítimo. Mediante cuentas fraudulentas, el grupo facilitó la propagación de ransomware y otros virus en miles de equipos, incluidos algunos de la propia Microsoft. La operación fue detectada tras una investigación que incluyó compras encubiertas y el rastreo de pagos en criptomonedas.

El grupo de ransomware The Gentlemen ha desarrollado una de las operaciones cibercriminales más agresivas de los últimos años. Tras surgir públicamente en la segunda mitad de 2025, escalaron rápidamente su actividad hasta convertirse, a principios de 2026, en una de las dos amenazas de ransomware más activas a nivel mundial.