Están engañando a desarrolladores de software mediante el uso de envenenamiento de SEO para posicionar páginas de instalación falsas por encima de las oficiales. Estas webs fraudulentas imitan herramientas de IA populares como Gemini CLI y Claude Code, induciendo a los usuarios a ejecutar comandos peligrosos en sus propios equipos.

Un grupo de amenazas vinculado a Corea del Norte está siendo contratado discretamente por empresas reales. Jasper Sleet, un actor de amenazas asociado a Corea del Norte, ha estado creando identidades profesionales falsas y utilizándolas para conseguir empleos legítimos en TI de forma remota, lo que les proporciona acceso directo a entornos en la nube y datos internos sensibles.

Un grupo de amenazas recientemente identificado, UNC6692, ha sido descubierto ejecutando una sofisticada campaña de intrusión en múltiples etapas que utiliza la suplantación de identidad en Microsoft Teams, un conjunto de malware modular personalizado y el abuso de infraestructura en la nube para penetrar profundamente en las redes empresariales, todo ello sin explotar una sola vulnerabilidad de software. El Grupo de Inteligencia de Amenazas de Google (GTIG) y los investigadores de Mandiant revelaron la campaña el 22 de abril

El sitio web cpuid.com, hogar de las ampliamente utilizadas utilidades de sistema CPU-Z y HWMonitor, está en el centro de un incidente activo de seguridad en la cadena de suministro. Los usuarios que descargaron HWMonitor 1.63 o los archivos ZIP de CPU-Z desde principios de abril han recibido, al parecer, instaladores troyanizados capaces de soltar DLLs maliciosas, evadir la detección de antivirus mediante ejecución en memoria y establecer conexiones con infraestructura controlada por atacantes.

Un informe de Derechos Digitales revela que en Argentina, Brasil y Perú se venden DNIs, licencias de conducir, domicilios, historiales financieros y datos de salud por menos de 4 dólares en Telegram mediante bots automatizados, usando filtraciones de organismos públicos como el Renaper. Los datos, obtenidos a través de pagos con criptomonedas o Mercado Pago, se usan para suplantación de identidad, extorsiones y violencia de género. Telegram afirma eliminar contenido ilegal, pero los canales reaparecen.

Cinco de cada 100 créditos digitales en México se otorgan con identidad robada, representando un 5% de fraude en operaciones financieras remotas, impulsado por inteligencia artificial y suplantación de datos personales. Expertos alertan sobre el aumento del 1,000% en intentos de fraude automatizado, mientras la mitad de los casos pasan desapercibidos, afectando a instituciones y usuarios. El crecimiento del crédito digital entre jóvenes amplía la exposición al riesgo.

Una nueva campaña de phishing llamada GTFire está abusando de dos de los servicios más confiables de Google —Firebase y Google Translate— para robar credenciales de inicio de sesión de víctimas en todo el mundo. Lo que hace peligrosa esta campaña es su capacidad para ocultar actividad maliciosa detrás de dominios legítimos propiedad de Google, permitiendo que los enlaces de phishing pasen a través de filtros de correo electrónico y web.

Un sofisticado campaña de phishing está atacando a planificadores de bodas y proveedores con malware de tipo stealer, disfrazado como reuniones de Microsoft Teams. Investigadores de seguridad destacan el uso de correos electrónicos legítimos comprometidos para generar confianza antes de distribuir las cargas maliciosas. Los actores de amenazas se hacen pasar por profesionales legales en correos enviados desde czimmerman@craigzlaw[.]com, un dominio vinculado a The Law Offices of Craig Zimmerman, un bufete real de protección al consumidor

El panorama del empleo remoto enfrenta un desafío persistente y en evolución, ya que operativos norcoreanos refinan sus estrategias para infiltrarse en organizaciones globales. Durante años, estos actores han buscado roles remotos en tecnología de la información para generar ingresos para el régimen, a menudo basándose en identidades falsificadas. Sin embargo, recientemente ha surgido un cambio significativo en su metodología, lo que complica la detección y prevención de estas amenazas.

Se ha identificado una sofisticada campaña de phishing en la que actores maliciosos están abusando de la funcionalidad legítima de Microsoft Teams para distribuir contenido malicioso que parece provenir de servicios confiables de Microsoft. Al aprovechar la función de "Invitar a un invitado" de la plataforma y crear nombres de equipos engañosos, los atacantes están eludiendo los controles de seguridad tradicionales del correo electrónico para enviar notificaciones fraudulentas de facturación directamente.

Una campaña de phishing con homoglifos altamente sofisticada está atacando a clientes de Marriott International y Microsoft. Los ciberdelincuentes están registrando dominios que reemplazan la letra “m” por la combinación “rn” (r + n), creando sitios web falsos que parecen casi idénticos a los reales. Esta técnica, conocida como typosquatting o ataque de homoglifo, aprovecha la forma en que las fuentes modernas muestran el texto.

Alerta de seguridad crítica sobre una campaña de phishing activa que comenzó el 19 de enero de 2026. Los actores maliciosos se hacen pasar por el personal de soporte de LastPass y envían correos electrónicos fraudulentos que afirman requerir copias de seguridad urgentes de la bóveda para robar contraseñas maestras de usuarios desprevenidos. Los correos de phishing emplean tácticas de ingeniería social creando una urgencia artificial, alegando falsamente que LastPass está realizando mantenimiento