Grafana sufrió una brecha de seguridad debido a un ataque de cadena de suministro en paquetes de npm (TanStack), que permitió el robo de tokens de GitHub. Aunque rotaron la mayoría, un token omitido permitió a los atacantes acceder a repositorios privados y robar código fuente e información operativa. La empresa aseguró que no hubo impacto en los datos de producción de los clientes ni modificaciones en el código descargable.

Se ha descubierto una vulnerabilidad de alta gravedad (CVSS 8.2) en Cursor, un entorno de codificación con IA ampliamente utilizado. La falla, detectada por LayerX, permitía que cualquier extensión instalada accediera de forma oculta a las claves API y tokens de sesión de los desarrolladores. Esto provocaba un compromiso total de credenciales sin activar alertas ni requerir interacción del usuario. A diferencia de las aplicaciones seguras, que almacenan secretos sensibles de manera protegida, esta vulnerabilidad exponía información crítica sin mecanismos de seguridad adecuados.

El ‘device code phishing’ ha aumentado 37 veces en 2026 debido a kits que explotan el OAuth 2.0 Device Authorization Grant, permitiendo a atacantes robar access tokens y refresh tokens para secuestrar cuentas sin necesidad de contraseñas.

La integración de agentes de codificación con IA ha introducido nuevas y críticas superficies de ataque para los equipos de desarrollo. Phantom Labs en BeyondTrust descubrió recientemente una vulnerabilidad de inyección de comandos en OpenAI Codex. Esta falla permitía a los atacantes robar tokens de acceso de usuarios de GitHub. 

Un servidor mal configurado alojado en un proveedor de hosting a prueba de balas ruso ha expuesto el kit de herramientas operativo completo de un afiliado de TheGentlemen ransomware, incluyendo credenciales robadas de víctimas y tokens de autenticación en texto plano utilizados para establecer túneles de acceso remoto ocultos. El grupo TheGentlemen ransomware opera como un servicio de Ransomware-as-a-Service (RaaS), donde los afiliados llevan a cabo ataques utilizando herramientas compartidas

Investigadores de Miggo Security han identificado una vulnerabilidad crítica en LangSmith, registrada como CVE-2026-25750, que expone a los usuarios a posibles robos de tokens y a la toma completa de sus cuentas. Como centro neurálgico para la depuración y el monitoreo de datos de modelos de lenguaje grandes, LangSmith procesa miles de millones de eventos diarios, lo que convierte esta falla de seguridad en un riesgo de alto impacto para entornos empresariales de IA.

Una campaña de phishing en curso está atacando a usuarios de Microsoft 365 mediante el abuso de tokens OAuth para obtener acceso a largo plazo a datos corporativos. Esta campaña se centra en usuarios empresariales en Norteamérica y busca comprometer Outlook, Teams y OneDrive sin robar contraseñas directamente. 

Las aplicaciones web modernas introducen con frecuencia superficies de ataque imprevistas a través de funciones aparentemente inofensivas diseñadas para la participación del usuario, como suscripciones a boletines, formularios de contacto y restablecimientos de contraseña. Aunque las vulnerabilidades individuales puedan parecer manejables de forma aislada, los adversarios sofisticados cada vez más encadenan estos fallos menores para lograr compromisos devastadores. 

Se han detectado vulnerabilidades críticas en OpenClaw (antes Clawdbot/Moltbot), incluyendo CVE-2026-25253 (CVSS 8.8) que permite RCE con un solo clic y exfiltración de datos. El fallo, solucionado en la versión 2026.1.29, compromete tokens de autenticación al visitar enlaces maliciosos. Además, ZeroLeaks reportó un 91% de éxito en ataques de inyección, exponiendo configuraciones y prompts del sistema. También se hallaron 341 skills maliciosas en ClawHub que distribuyen malware como Atomic Stealer, afectando a usuarios con herramientas falsas (criptomonedas, YouTube, Google Workspace). 

La cuenta de GitHub de ClawdBot fue secuestrada en 10 segundos por estafadores crypto, quienes crearon tokens falsos con $16M de capitalización antes de colapsar un 90%, generando pérdidas millonarias para inversores.

Una vulnerabilidad de alta gravedad en la implementación de Azure Single Sign-On del Windows Admin Center ha expuesto máquinas virtuales de Azure y sistemas conectados a Arc a accesos no autorizados en inquilinos completos. Los laboratorios de investigación de Cymulate descubrieron el fallo, ahora registrado como CVE-2026-20965, que demuestra cómo una validación incorrecta de tokens puede derribar los límites de seguridad entre máquinas individuales y entornos completos de Azure. 

Los usuarios de Discord están enfrentando una amenaza creciente por parte de VVS Stealer, un malware ladrón de información basado en Python que apunta a datos sensibles de cuentas, incluyendo credenciales y tokens. Este ladrón fue promocionado activamente en Telegram desde abril de 2025, destacando su capacidad para robar datos de Discord, interceptar sesiones activas mediante inyección y extraer información de navegadores web como cookies, 

Cuando pensamos en el ejemplo clásico de secuestro de sesión, pensamos en los ataques Man-in-the-Middle (MitM) de la vieja escuela que implicaban espiar el tráfico de red local no seguro para capturar credenciales o, más comúnmente, detalles financieros como datos de tarjetas de crédito. O bien, realizando ataques del lado del cliente que comprometan una página web, ejecutando JavaScript malicioso y utilizando secuencias de comandos entre sitios (XSS) para robar el ID de sesión de la víctima.