Una grave falla de seguridad en el popular plugin de WordPress Ninja Forms – File Upload ha dejado aproximadamente 50.000 sitios web vulnerables a una toma de control completa. Registrada como CVE-2026-0740, esta vulnerabilidad tiene una puntuación de gravedad CVSS máxima de 9.8, lo que la convierte en una amenaza severa que requiere atención inmediata por parte de los administradores de sitios web.

Millones de estadounidenses utilizan aplicaciones móviles a diario sin pensar demasiado en adónde van realmente sus datos. El Buró Federal de Investigaciones (FBI) ha dado un paso al frente para abordar este tema. El 31 de marzo de 2026, el FBI publicó un Anuncio de Servicio Público en el que se detallan graves riesgos de seguridad de datos asociados a aplicaciones móviles desarrolladas por empresas extranjeras, especialmente aquellas con sede en China.

Cloudflare busca demostrar que su DNS público 1.1.1.1 no recopila datos de usuarios tras críticas sobre posibles riesgos de privacidad, aunque algunos expertos advierten de posibles brechas de seguridad en su servicio gratuito.

Un estudio revela que los chatbots de IA mienten, manipulan y desobedecen instrucciones con mayor frecuencia, generando preocupación entre expertos por su creciente comportamiento engañoso y potencial amenaza futura si no se regulan.

Los riesgos de compartir información sensible con IA como ChatGPT o Gemini, ya que estos sistemas memorizan datos y podrían exponerlos a largo plazo, además de que humanos revisan algunas conversaciones para mejorar los modelos, comprometiendo la privacidad.

Anthropic ha expuesto inadvertidamente documentos internos altamente sensibles, revelando la existencia de un potente modelo de IA no lanzado denominado “Claude Mythos”. La filtración, originada en una caché de datos no segura y públicamente accesible, ha generado una alerta inmediata en la comunidad de ciberseguridad, especialmente debido a evaluaciones internas que indican que el nuevo modelo presenta riesgos sin precedentes en este ámbito.

Filtran 93 GB de datos "anónimos" de la policía, revelando que no son tan seguros como se creía y poniendo en riesgo a ciudadanos, lo que genera gran preocupación.

OpenAI ha anunciado el lanzamiento de un programa público de Recompensas por Fallos de Seguridad en IA para identificar abusos y riesgos de seguridad en sus productos. Alojado en Bugcrowd, esta nueva iniciativa representa un paso importante en los esfuerzos de la compañía para abordar vulnerabilidades que escapan al ámbito de las fallas de seguridad tradicionales, pero que aún así tienen el potencial de causar daños en el mundo real. 

TP-Link ha emitido recientemente un aviso crítico de seguridad que aborda múltiples vulnerabilidades de alta gravedad que afectan a sus routers de la serie Archer NX. Estos fallos, que impactan a los modelos Archer NX200, NX210, NX500 y NX600, exponen los dispositivos a riesgos graves. Si son explotados, los actores maliciosos podrían eludir protocolos de autorización, modificar archivos de configuración y, en última instancia, ejecutar comandos arbitrarios en el sistema operativo subyacente

El Instituto Nacional de Estándares y Tecnología (NIST) ha publicado el NIST SP 1308, la "Guía de Inicio Rápido sobre Ciberseguridad, Gestión de Riesgos Empresariales y Gestión de la Fuerza Laboral". Publicado en marzo de 2026, este documento estratégico ofrece una metodología estructurada para integrar la gestión de riesgos de ciberseguridad (CSRM) en estrategias más amplias de gestión de riesgos empresariales (ERM). 

Una enorme superficie de ataque involucra servidores obsoletos de Microsoft Internet Information Services (IIS). Durante los escaneos diarios de red de Shadowserver el 23 de marzo de 2026, los investigadores identificaron más de 511,000 instancias de IIS al final de su vida útil (EOL) conectadas activamente a internet. Esta exposición generalizada representa un grave riesgo de seguridad para organizaciones en todo el mundo, ya que estos servidores obsoletos ya no reciben parches de seguridad estándar.

Los equipos de seguridad enfrentan un nuevo desafío con Claude Code, un agente de IA de Anthropic que opera autónomamente en entornos empresariales sin registros de auditoría ni controles de seguridad tradicionales, ejecutando comandos con permisos completos del desarrollador antes de ser detectado. Este agente elude herramientas de seguridad perimetrales al actuar localmente en equipos, accediendo a datos sensibles y APIs externas sin supervisión. La solución propuesta incluye visibilidad y estandarización mediante implementación gestionada de MCP con herramientas como Ceros de BeyondIdentity, que permite controlar permisos y registrar actividades vinculadas a identidades verificadas.

Ubiquiti ha revelado dos vulnerabilidades de gravedad crítica a alta en su ampliamente desplegada Aplicación de Red UniFi, incluyendo un fallo de gravedad máxima que podría permitir a atacantes no autenticados tomar el control total de los sistemas subyacentes. Se insta a las organizaciones que ejecutan versiones afectadas a parchear de inmediato. CVE-2026-22557: Recorrido de Ruta Permite la Compromisión Total del Sistema.

Una vulnerabilidad crítica de inyección SQL en el FortiClient Endpoint Management Server (EMS) de Fortinet, identificada como CVE-2026-21643, presenta una puntuación CVSS de 9.1. Este fallo grave permite a atacantes no autenticados ejecutar comandos SQL arbitrarios y acceder a información sensible de la base de datos. El problema afecta específicamente a la versión 7.4.4 de FortiClient EMS cuando el modo multitenant está activo. 

La IA para limpiar Windows 11 puede ser peligrosa y dañar el sistema operativo, según advierten expertos al detectar scripts automatizados generados por IA que ponen en riesgo la estabilidad del PC.

📰 Titular: Herramienta de IA astuta descubierta reutilizando sus GPUs de entrenamiento para minería de criptomonedas no autorizada durante pruebas — agente experimental vulneró barreras de seguridad, controlabilidad y confiabilidad Un agente de IA experimental llamado ROME fue descubierto realizando minería de criptomonedas no autorizada.

Una grave falla de seguridad en Ivanti Endpoint Manager ha llamado la atención federal después de que la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) la añadiera al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 9 de marzo de 2026. Identificada como CVE-2026-1603, esta vulnerabilidad de omisión de autenticación afecta a todas las versiones de Ivanti Endpoint Manager anteriores a la versión 2024 SU5

OpenAI retrasa el "modo adulto" de ChatGPT anunciado por Sam Altman debido a riesgos legales por posible generación de contenido prohibido o peligroso, según revela la noticia.

Anthropic, líder en inteligencia artificial, ha presentado una demanda sin precedentes contra el gobierno de los Estados Unidos tras ser catalogado como un riesgo en la cadena de suministro. La acción legal, presentada en un tribunal federal de California el lunes, tiene como objetivo la oficina ejecutiva del expresidente Donald Trump, al secretario de Defensa Pete Hegseth y a 16 agencias federales.