Un fallo crítico de lógica en el chatbot de soporte con IA de Instagram permitió a los atacantes evadir completamente la autenticación de dos factores. En lugar de descifrar códigos, los hackers simplemente solicitaron al bot que les otorgara el acceso. Durante el fin de semana, se robaron en cuestión de minutos perfiles verificados, cuentas institucionales inactivas y nombres de usuario de alto valor (OG), los cuales ya están siendo listados para su reventa.

Se ha identificado una falla crítica de autenticación en la aplicación de escritorio de StrongDM (CVE-2026-4387) que permite a los atacantes secuestrar sesiones de usuario mediante la reutilización de material de autenticación almacenado localmente. Este fallo, descubierto por SpecterOps, podría exponer infraestructura empresarial sensible y ya ha sido corregido en la versión 23.74.0 de StrongDM Desktop y la versión 53.77.0 de su CLI.

Se ha revelado una vulnerabilidad de gravedad alta (CVE-2026-5509) que afecta a los modelos de routers TP-Link Archer BE450 v1 y Archer BE7200 v1. Este fallo, con una puntuación de 8.5 en la escala CVSS v4.0, podría permitir que atacantes ejecuten comandos arbitrarios del sistema y comprometan totalmente los dispositivos afectados.

Se ha detectado una vulnerabilidad crítica (CVE-2026-41089) en el servicio Netlogon de Windows Server que permite a atacantes obtener privilegios de sistema mediante un paquete UDP malformado. El fallo afecta a controladores de dominio desde la versión 2012 hasta la actual y ya está siendo explotado activamente. Se recomienda a los administradores aplicar urgentemente los parches de Microsoft para evitar el acceso total a la red y posibles denegaciones de servicio.

Palo Alto insta a sus clientes a corregir una vulnerabilidad en PAN-OS (CVE-2026-0257) que permite saltarse la autenticación de GlobalProtect y acceder a redes VPN sin credenciales. Aunque inicialmente se calificó como de severidad media, Rapid7 confirmó que ya existen ataques exitosos mediante la falsificación de cookies. Debido a esto, la falla fue incluida en el catálogo de CISA y se urge a las organizaciones a aplicar los parches disponibles inmediatamente.

Dashlane informó que un ataque de fuerza bruta permitió descargar las bóvedas cifradas de menos de 20 usuarios con planes personales. El atacante intentó vulnerar la autenticación de dos pasos para registrar nuevos dispositivos, aunque la mayoría de las cuentas fueron suspendidas preventivamente. La empresa aclara que los datos siguen protegidos por la contraseña maestra y recomienda a los usuarios revisar sus dispositivos registrados.

El 1 de junio de 2026 se produjo un ataque significativo a la cadena de suministro que afectó a más de 30 paquetes oficiales del entorno @redhat-cloud-services npm. Esta campaña, denominada “Miasma: The Spreading Blight”, utiliza una nueva variante del malware Mini Shai-Hulud, un gusano sofisticado diseñado para el robo de credenciales y vinculado previamente al grupo de actores de amenazas TeamPCP. Se ha confirmado que no se trata de una campaña de typosquatting.

Se ha detectado la explotación activa de una vulnerabilidad crítica de ejecución remota de código (RCE) en Windows Netlogon, identificada como CVE-2026-41089. Este fallo afecta a los servidores de Windows configurados como controladores de dominio, permitiendo que atacantes remotos no autenticados ejecuten código arbitrario con privilegios de nivel SYSTEM.

Tras recibir fuertes críticas de la comunidad de investigación de seguridad, Microsoft ha aclarado su postura para reducir las amenazas legales percibidas. A través de un comunicado de su Centro de Respuesta de Seguridad (MSRC), la compañía ha reafirmado su compromiso con la divulgación coordinada de vulnerabilidades, buscando así desactivar la crisis generada por el manejo de sus relaciones con los investigadores.

Se ha detectado una falta crítica en la herramienta de recuperación de cuentas de Instagram impulsada por la IA de Meta. Esta vulnerabilidad permitía a los atacantes secuestrar cuentas de alto valor engañando al chatbot para que enviara códigos de restablecimiento de contraseñas sin requerir ninguna verificación. Los investigadores de seguridad ZachXBT y Dark Web Informer fueron los primeros en exponer públicamente este fallo.