Incidentes de ciberseguridad relevantes para empresas mexicanas. Traducidos del lenguaje técnico a lo que realmente importa para tu operación.
Un programa malicioso llamado OkoBot, activo en computadoras Windows desde abril de 2025, se infiltra en las aplicaciones oficiales de las billeteras de criptomonedas Ledger y Trezor y muestra una pantalla falsa que pide escribir la frase de recuperación. Quien la escribe entrega el control total de sus fondos al atacante.
Microsoft corrigió 622 fallas de seguridad este martes, la mayor cantidad registrada en un solo mes. Dos de ellas ya se explotan activamente: una en SharePoint Server permite tomar control del servidor sin ninguna credencial, y CISA ordenó a las agencias de EE.UU. corregirla antes del 17 de julio. Las organizaciones con SharePoint instalado en sus propios servidores deben aplicar el parche de inmediato.
Investigadores identificaron 11 programas de arranque (bootloaders) antiguos, firmados por Microsoft, que permiten evadir el Arranque Seguro (Secure Boot) en la mayoría de los equipos con firmware moderno. Microsoft ya revocó estos bootloaders en su actualización de junio de 2026, pero los equipos que no la instalaron siguen expuestos.
Una campaña de 148 paquetes de código en el repositorio npm, disfrazados de proxies para estudiantes, convirtió los navegadores de quienes visitaban esos sitios en una red usada para saturar otros servidores con tráfico (ataque de denegación de servicio). Algunas versiones maliciosas siguen disponibles.
VMware corrigió siete fallas graves en Avi Load Balancer, un equipo que distribuye el tráfico de red entre servidores en infraestructuras de nube híbrida. Permiten desde evadir la verificación de identidad hasta tomar control total del sistema. No hay reporte de explotación activa, pero VMware advierte que sus productos han sido blanco frecuente de ataques en el pasado.
Adobe publicó actualizaciones para ocho fallas críticas en ColdFusion, una plataforma para crear aplicaciones web empresariales, que permiten ejecutar código no autorizado o elevar privilegios en el servidor. Adobe no tiene reporte de explotación activa, pero fallas similares del mismo producto fueron atacadas horas después de conocerse públicamente hace dos semanas.
Atacantes explotan activamente dos fallas con la calificación de severidad más alta posible en las extensiones iCagenda y Balbooa Forms para Joomla, un gestor de sitios web usado por cerca de un millón de páginas. Ya existen versiones corregidas, pero los ataques automatizados continúan incluso contra sitios ya parchados que tardaron en actualizar.
SAP publicó su boletín de seguridad de julio de 2026 con 17 fallas corregidas, tres de ellas críticas, en productos como NetWeaver, Commerce Cloud, S/4HANA y otros sistemas usados para administrar operaciones empresariales. No hay reportes de explotación activa, pero SAP recomienda aplicar los parches con prioridad.
ClickFix, una técnica que engaña a la víctima haciéndole creer que completa una verificación de seguridad rutinaria, se convirtió en el método de acceso inicial más común en los ciberataques documentados durante el último año, según Microsoft. La víctima copia y pega, sin saberlo, un comando que instala el programa malicioso real. Los antivirus tradicionales no la detectan porque no se descarga ningún archivo sospechoso en el primer paso.
Sesame Time, una aplicación de gestión de recursos humanos y control horario usada en empresas, tiene una falla que no verifica correctamente a quién pertenece cada sesión activa. Quien obtenga un identificador de sesión válido podría suplantar a otro usuario y acceder a sus datos. Ya existe una versión corregida.
Una falla en Cursor, un editor de código que integra inteligencia artificial, permite que un archivo malicioso incluido en un repositorio se ejecute automáticamente con solo abrirlo, sin ninguna advertencia. Se reportó al fabricante en diciembre y sigue sin corregirse.
Grok Build, la herramienta de programación con inteligencia artificial de xAI, subía repositorios de código completos (incluido su historial y archivos que el modelo nunca leyó) a un servidor de almacenamiento de xAI, sin que el usuario lo supiera. xAI desactivó la función el 13 de julio, pero no publicó un aviso oficial.
Investigadores descubrieron un programa de acceso remoto, llamado LabubaRAT, que se hace pasar por una herramienta de software de NVIDIA para pasar desapercibido en equipos Windows. Una vez instalado, permite ver la pantalla, ejecutar comandos y robar archivos. Todo indica que se ofrece como servicio de renta a otros atacantes.
Una campaña activa de correos falsos se hace pasar por avisos oficiales de LastPass y Bitwarden, dos gestores de contraseñas ampliamente usados, para dirigir a las víctimas a sitios fraudulentos que imitan páginas de firma de documentos. Busca robar la contraseña maestra que protege todas las demás contraseñas guardadas.
Microsoft documentó tres formas distintas en que un grupo de extorsión de datos entró a entornos corporativos de Salesforce durante el último año, sin aprovechar ninguna falla de la plataforma. El método fue abusar de la confianza ya otorgada: llamadas falsas de soporte técnico, tokens robados de proveedores conectados y accesos de invitado mal configurados. Casi 1,000 organizaciones podrían estar afectadas.
Dos nuevos kits de phishing, Jalisco y OmegaLord, están siendo usados para robar cuentas de Microsoft 365 sorteando la autenticación multifactor (MFA: verificación adicional además de la contraseña). Los atacantes suelen extraer información de la cuenta comprometida en menos de seis minutos, antes de que el equipo de seguridad note la intrusión.
Dos grupos de atacantes distintos usan una técnica de suplantación para probar contraseñas robadas contra cuentas de Microsoft Entra ID sin que aparezca un inicio de sesión exitoso en los registros. Una campaña afectó a un millón de cuentas en casi 4,000 organizaciones. La otra apuntó a más de 2 millones de usuarios.
Progress Software confirmó que una falla grave de seguridad, sin parche disponible al momento del hallazgo, motivó el apagado de emergencia de los servidores de almacenamiento de ShareFile la semana pasada. Ya existen actualizaciones que corrigen el problema. No hay evidencia de acceso no autorizado a cuentas de clientes.
Dos fallas de control de acceso en RabbitMQ, un sistema de mensajería usado para conectar aplicaciones empresariales, podían filtrar secretos de acceso y exponer información de otros clientes que comparten el mismo servicio. Ya existen versiones corregidas. No hay evidencia de que hayan sido explotadas antes de conocerse públicamente.
Claude for Chrome, la extensión de Anthropic que permite a su asistente de inteligencia artificial operar el navegador, tiene una falla conocida como ClaudeBleed que permite a otras extensiones maliciosas leer correos de Gmail, documentos de Google y entradas de calendario. Ocho actualizaciones no han logrado corregirla por completo.
Agencias de EE.UU. y aliados advirtieron que varios grupos de ataque vinculados al gobierno ruso buscan routers y otros equipos de red mal configurados en sectores de comunicaciones, energía, salud, gobierno y finanzas. Usan fallas conocidas de hace años, no técnicas nuevas, para copiar la configuración de esos equipos.
Delincuentes están usando llamadas de videollamada (FaceTime) no solicitadas, haciéndose pasar por soporte técnico o el banco, para presionar a las víctimas a entregar datos bancarios, autorizar transferencias o instalar programas de control remoto. El hecho de que sea una videollamada en tiempo real, con logotipos y nombres conocidos, la hace parecer más confiable que un mensaje de texto.
Atacantes ya explotan activamente dos fallas críticas en las extensiones iCagenda y Balbooa Forms para Joomla, que permiten subir archivos maliciosos y tomar control completo del sitio. La agencia de ciberseguridad de EE.UU. (CISA) confirmó explotación activa, incluso antes de que existieran las actualizaciones. Los administradores de sitios Joomla deben verificar si usan estas extensiones y actualizar de inmediato.
Investigadores identificaron un programa malicioso para macOS, conocido como CrashStealer, que se distribuye como una supuesta app de videollamadas y logra pasar el control de seguridad de Apple (Gatekeeper) gracias a un certificado de desarrollador válido. Roba contraseñas guardadas en el navegador, gestores de contraseñas, el llavero del sistema y billeteras de criptomonedas. Afecta a cualquier persona u organización con equipos Mac que instale aplicaciones fuera de la Mac App Store.
Se identificó una vulnerabilidad de severidad media en Tallos Chat, la herramienta de atención al cliente de RD Station Conversas, que permite inyectar código malicioso a través del campo de nombre al iniciar una conversación. El código se ejecuta también en el navegador del agente de soporte que atienda el chat, lo que amplía el riesgo. Aún no existe una corrección disponible. Las empresas que usan esta herramienta deben dar seguimiento al aviso del proveedor.
Un servicio de phishing por suscripción, distribuido en Telegram por 400 dólares al mes, permite a cualquiera montar campañas que roban el acceso a cuentas de Microsoft 365. La técnica usa las pantallas reales de inicio de sesión de Microsoft, por lo que el engaño es difícil de detectar a simple vista. Las organizaciones que usan Microsoft 365 deben revisar accesos recientes y restringir el método de verificación que este servicio aprovecha.
Atacantes comprometieron las credenciales de publicación de Jscrambler, una herramienta de seguridad para código web, e insertaron un programa que roba contraseñas y llaves de acceso en varias versiones del paquete distribuido por npm. Fue descargado casi 1,500 veces antes de ser retirado en dos horas.
Se identificó una vulnerabilidad de severidad media en PrestaShop, el sistema usado para crear y administrar tiendas en línea, que permite insertar fórmulas maliciosas a través del campo 'Alias' de la libreta de direcciones. El riesgo se activa cuando el administrador de la tienda exporta los datos de clientes a un archivo CSV y lo abre en un programa de hojas de cálculo como Excel. Afecta a tiendas que usan la versión 8.2.1 de PrestaShop. Aún no existe una corrección disponible.
Un nuevo programa espía llamado CrashStealer se instala en equipos Mac disfrazado del componente oficial de reporte de fallas del sistema. Roba contraseñas guardadas, datos de más de 80 billeteras de criptomonedas y credenciales de 14 gestores de contraseñas.
Una nueva versión del programa malicioso para Android conocido como RedHook engaña a la víctima, mediante llamadas o mensajes que simulan ser de un banco o dependencia de gobierno, para que instale una app falsa desde un sitio que imita a Google Play. Una vez instalada, activa por sí sola una función de depuración del teléfono que le da control casi total del equipo, sin necesitar acceso físico. Afecta a cualquier persona con un teléfono Android que instale aplicaciones fuera de la tienda oficial.
Un grupo de delincuentes dejó expuesto su propio servidor de control, revelando una operación que instaló accesos ocultos en más de 17,000 sitios WordPress explotando una falla en el plugin de caché Breeze. Quien tenga ese plugin instalado debe actualizarlo y revisar si hay accesos no autorizados en su sitio.
Investigadores demostraron que los asistentes de codificación con IA a veces inventan nombres de paquetes que no existen, y los atacantes ya registraron esos nombres con código malicioso. Quien use estas herramientas para clonar repositorios o instalar extensiones debe verificar cada nombre antes de aceptarlo.
The Gentlemen, un grupo de secuestro de información (ransomware) que ofrece a sus afiliados hasta 90% del pago del rescate, uno de los repartos más altos del sector, acumula 580 víctimas confirmadas en 77 países desde julio de 2025. El sector manufacturero es el más golpeado. El grupo entra a las redes explotando fallas conocidas en firewalls y VPN, contraseñas débiles, o accesos ya comprometidos comprados a terceros. Las organizaciones deben confirmar que sus dispositivos de borde estén actualizados y que cuenten con respaldos fuera de línea.
Progress Software pidió a sus clientes apagar de inmediato los servidores que alojan Storage Zone Controllers de ShareFile, por lo que describe como una 'amenaza externa creíble'. No hay CVE público ni confirmación de que algún servidor haya sido comprometido, pero la empresa exige acción inmediata.
Google corrigió 27 fallas de seguridad en Chrome, incluidas dos críticas que podrían permitir tomar control del navegador. No hay explotación activa confirmada, pero la actualización ya está disponible y conviene aplicarla de inmediato.
Zimbra pidió actualizar de urgencia el Cliente Web Clásico de su suite de correo después de que el equipo de amenazas de Google reportara una falla crítica. Basta con abrir un correo malicioso para que un atacante robe la sesión o el contenido del buzón. La empresa ya publicó el parche.
Un grupo identificado como Lurking Lizard opera desde 2022 más de 230 dominios falsos que imitan sitios de descarga legítimos, entre ellos uno que suplanta al programa gratuito de compresión de archivos 7-Zip, además de una aplicación de VPN para Android con más de un millón de descargas en Google Play. Quien instala alguno de estos programas no obtiene la herramienta que buscaba: su dispositivo se convierte en nodo de una red de más de 773,000 direcciones IP que el atacante revende como servicio de proxies. Cualquier persona debe verificar que el software de compresión o VPN que usa provenga únicamente de la tienda o el sitio oficial del desarrollador.
Un grupo identificado como Helix, con vínculos probables a los extintos ShinyHunters y BlackFile, llama a empleados haciéndose pasar por gerentes para obtener acceso a sus cuentas corporativas, y luego registra su propia aplicación de verificación en dos pasos para mantener el acceso. Una vez dentro, descarga de forma masiva todo el contenido accesible en SharePoint para extorsionar a la organización o vender la información. Los equipos de TI deben revisar si hay aplicaciones de autenticación no reconocidas registradas en las cuentas y buscar actividad de descarga masiva reciente en SharePoint.
Un grupo de extorsión llama a empleados haciéndose pasar por soporte técnico y los convence de registrar una nueva llave de acceso en su cuenta de Microsoft 365, que en realidad queda bajo el control del atacante. Ha estado activo desde abril de 2026 en varios sectores. Se recomienda confirmar si algún empleado recibió una llamada pidiendo 'activar seguridad adicional' en su cuenta.
Investigadores encontraron 17 paquetes falsos en los repositorios NPM y PyPI que se hacían pasar por conectores oficiales de plataformas de pago para robar contraseñas, llaves de API y tokens de acceso a servicios en la nube. Los afectados son equipos de desarrollo que integraron estos paquetes en plataformas de comercio electrónico, criptomonedas o trading en línea. Quien instaló alguno debe rotar de inmediato sus credenciales y revisar sus registros de actividad.
Un solo atacante, sin el respaldo de un grupo criminal organizado, aprovechó una vulnerabilidad en una aplicación conectada a internet para robar una llave de acceso a un entorno de nube en Amazon Web Services (AWS). Con apoyo de herramientas de inteligencia artificial encadenó fallas menores en varios sistemas hasta tomar control casi total del entorno en 72 horas y extorsionar con éxito a la empresa afectada. Las organizaciones que operan en la nube deben revisar qué tan expuestas están sus aplicaciones públicas y qué permisos heredan sus llaves de acceso.
Una campaña activa de phishing esconde la página falsa dentro de contenido cifrado que los filtros de correo no pueden leer; solo se revela cuando el navegador de la víctima la abre. Se usa para autorizar el acceso a cuentas de Microsoft 365 sin robar la contraseña directamente. Afecta a organizaciones de tecnología, manufactura, educación, banca y consultoría en Estados Unidos y Europa.
Una campaña activa engaña a usuarios en México con un falso captcha de seguridad que, en realidad, instala un programa espía diseñado para vigilar sesiones de banca en línea. El atacante puede desviar transferencias, mostrar avisos falsos del banco y tomar control remoto del equipo. Se recomienda confirmar si alguien copió y ejecutó un comando tras resolver un supuesto captcha.
BeyondTrust corrigió una falla crítica (CVSS 9.2) en Remote Support y Privileged Remote Access, el software que usan los equipos de soporte técnico para conectarse de forma remota a computadoras con privilegios administrativos. La falla permitía evadir la verificación de identidad y tomar control sin credenciales válidas. Las organizaciones que usan este software deben confirmar que aplicaron el parche de abril de 2026 o actualizaron a la versión 25.3.3 o superior.
Una campaña de phishing activa desde hace más de cinco meses se hace pasar por reclutadores de marcas reconocidas para ofrecer falsos empleos de marketing. El objetivo es robar las credenciales de Google de la víctima mediante una ventana de inicio de sesión falsa. Se recomienda verificar cualquier oferta de trabajo recibida por correo antes de iniciar sesión con Google en un enlace externo.
Investigadores encontraron un acceso oculto integrado en el firmware de cinco modelos de router Tenda, que permite entrar como administrador sin conocer la contraseña real del dispositivo. Tenda aún no publicó una corrección. Quien tenga uno de estos routers debe confirmar el modelo y restringir el acceso a la administración desde internet mientras no exista parche.
Atacantes se hacen pasar por personal de soporte técnico y contactan a empleados por videollamada de Microsoft Teams, después de un correo inicial disfrazado de encuesta interna. Convencen a la víctima de ceder el control de su equipo e instalar un programa de administración remota, y desde ahí instalan un programa malicioso que ejecuta comandos y roba información. Toda organización que use Microsoft Teams debe verificar que su personal sepa que soporte técnico nunca pide ceder control remoto en una llamada no solicitada.
Una campaña de phishing activa desde hace al menos cinco meses suplanta a más de 30 marcas reconocidas, incluidas Netflix, Coca-Cola y FIFA, con falsas ofertas de entrevista de trabajo dirigidas a profesionales de marketing. El correo usa nombres y fotos reales de empleados, y el enlace pasa por varios sitios legítimos antes de llegar a una página falsa que imita el inicio de sesión de Google para robar usuario y contraseña. Quien haya recibido una oferta de entrevista no solicitada e iniciado sesión en el enlace debe cambiar su contraseña de Google de inmediato.
Un nuevo servicio de malware llamado RedWing se renta por suscripción y arma, bajo pedido, una aplicación de Android capaz de robar accesos bancarios, sin que quien la contrata necesite saber programar. La app se hace pasar por una tienda de aplicaciones legítima. Se recomienda verificar el origen de cualquier aplicación instalada fuera de Google Play.
Investigadores encontraron una falla de 16 años en KVM, la tecnología de virtualización usada por buena parte de la nube pública, que permite que una máquina virtual comprometida tome control del servidor físico que la aloja. Afecta a proveedores de nube y empresas con virtualización propia sobre procesadores Intel y AMD. Ya existe una corrección; hay que confirmar que se haya aplicado.
Investigadores documentaron el primer caso confirmado de un ataque de ransomware ejecutado íntegramente por un agente de inteligencia artificial, desde el acceso inicial hasta el cifrado y la extorsión. El punto de entrada fue una falla ya conocida en Langflow, una plataforma de código abierto para construir aplicaciones con modelos de lenguaje. Las organizaciones que usan Langflow expuesto a Internet sin la actualización correspondiente están en riesgo.
Adobe confirmó una vulnerabilidad de severidad máxima en ColdFusion que permite tomar control remoto de servidores sin necesitar contraseña ni interacción del usuario. Los ataques comenzaron menos de dos horas después de que se hiciera pública la falla. Adobe ya publicó la actualización de seguridad y recomienda instalarla en un plazo de 72 horas.
Google, el FBI y otros socios desactivaron la infraestructura de NetNut, una red que reclutaba dispositivos de consumidores (routers, tablets, smart TVs, marcos digitales) mediante aplicaciones que prometían pago por 'compartir ancho de banda' no utilizado. Ya se desactivó el control central y las apps detectadas, pero los dispositivos que las instalaron pueden seguir comprometidos.
Un troyano de acceso remoto escrito en Java, llamado QuimaRAT, se vende por suscripción a cualquier atacante y funciona sin modificaciones en Windows, Linux y macOS. Quien reciba y ejecute el instalador queda expuesto a control remoto total del equipo. Se recomienda verificar procesos Java desconocidos y confirmar el origen de cualquier archivo ejecutable antes de abrirlo.
Un grupo de atacantes vinculado a Corea del Norte comprometió cuentas de mantenedores y modificó 162 versiones de 108 paquetes en NPM, Packagist, Go y extensiones de Chrome para insertar código malicioso. Desarrolladores que instalaron las versiones afectadas quedan expuestos a robo de credenciales y acceso remoto no autorizado. Se recomienda revisar las dependencias del proyecto contra la lista de paquetes comprometidos.
Investigadores encontraron una falla en el navegador Opera GX que permitía a un sitio malicioso instalar automáticamente una extensión y robar datos, como el correo del usuario, sin que la víctima diera clic en nada. Opera ya publicó una actualización que corrige el problema. Quien use Opera GX debe confirmar que su navegador está en la versión 130.0.5847.89 o posterior.
Un investigador publicó un código de ataque funcional para una falla en el núcleo de Linux (kernel 6.4 en adelante) que permite obtener el máximo nivel de control del sistema. La corrección oficial tardó dos meses en publicarse tras el reporte inicial. Se recomienda verificar la versión de kernel en los servidores Linux y aplicar la actualización disponible.
Investigadores documentaron una técnica llamada SkillCloak que oculta código malicioso dentro de complementos instalables para agentes de inteligencia artificial, conocidos como skills. La técnica evade más del 90% de los escáneres de seguridad que revisan el código al momento de instalarlo. Las organizaciones que permiten instalar estos complementos deberían confirmar si existe revisión adicional más allá del escaneo inicial.
Un grupo de espionaje presuntamente vinculado a China distribuye un archivo que se hace pasar por la utilidad oficial para declarar impuestos en India. Al abrirlo, instala un troyano de acceso remoto (DcRAT) que permite controlar el equipo, tomar capturas de pantalla y robar información. La campaña sigue activa y coincide con la temporada de declaración de impuestos en ese país.
Las imágenes Docker de Gitea, un sistema para alojar repositorios de código, venían configuradas por defecto para confiar en cualquier solicitud que declarara ser de un administrador, sin pedir contraseña ni token. Ya se detectaron atacantes explorando servidores vulnerables, aunque por ahora se trata de reconocimiento y no de ataques confirmados. Existe una actualización disponible desde el mes pasado.
Un agente de inteligencia artificial ejecutó un ataque de ransomware completo — desde el acceso inicial hasta el cifrado de datos de producción — sin ningún operador humano. El vector de entrada fue una falla en Langflow, plataforma para construir aplicaciones con IA, con parche disponible desde abril de 2025. Organizaciones que usan Langflow sin actualizar están expuestas hoy.
Un grupo vinculado a Corea del Norte comprometió cuentas de mantenedores de paquetes de código abierto e inyectó código malicioso en 108 librerías y extensiones legítimas — en npm, Packagist, Go y Chrome. El código roba credenciales y permite acceso remoto al equipo del desarrollador que las instala. La campaña sigue activa. Los equipos de desarrollo que usan estas dependencias deben revisar sus proyectos.
Medtronic, fabricante de marcapasos, bombas de insulina y otros dispositivos médicos con operaciones en México, confirmó que un grupo de extorsión accedió a sus sistemas en abril de 2026 y robó datos de 3.8 millones de personas, incluyendo nombres, fechas de nacimiento, datos de contacto e información médica. El grupo retiró a Medtronic de su sitio de filtraciones — señal de probable pago de rescate — y Medtronic dice no tener evidencia de que los datos se publicaron. El riesgo persiste.
Una nueva falla en Citrix NetScaler — los dispositivos que controlan el acceso remoto a redes corporativas — fue explotada activamente menos de 24 horas después de que Citrix publicara el parche. La falla permite extraer información de sesiones activas de la memoria del dispositivo sin necesitar contraseña, en configuraciones que usan NetScaler como punto de verificación de identidad (SAML). El parche está disponible desde el 30 de junio de 2026.
Una falla en Microsoft SharePoint con parche disponible desde mayo de 2026 está siendo activamente explotada. Con una cuenta de usuario básica — sin privilegios administrativos — un atacante puede tomar control del servidor. Más de 10,000 servidores SharePoint están expuestos en internet. La acción requerida es aplicar la actualización de mayo de 2026.
Adobe publicó parches para siete fallas con puntuación máxima de criticidad en ColdFusion (servidor web usado en portales corporativos y gubernamentales) y Adobe Campaign Classic (plataforma de marketing empresarial). Una de las fallas ya fue explotada activamente horas después de la publicación del parche. La actualización está disponible y debe aplicarse de inmediato.
Una falla crítica en el módulo de pagos de Oracle E-Business Suite (sistema ERP usado por empresas medianas y grandes) permite que un atacante tome control del sistema sin necesitar contraseña ni cuenta previa. La explotación activa inició el fin de semana del 27 de junio — antes de que existiera código público de ataque. El parche está disponible desde el ciclo de actualizaciones de Oracle de junio de 2026.
Se identificaron cuatro vulnerabilidades críticas en Dify, la plataforma de código abierto que impulsa más de un millón de aplicaciones de IA. Las fallas permiten que un atacante acceda a conversaciones privadas de otras organizaciones dentro del mismo entorno compartido, lea documentos subidos por otros usuarios y ejecute llamadas a sistemas externos usando credenciales ajenas. Dify versión 1.14.2 incluye los parches.
Investigadores descubrieron una falla que existió durante ocho años en el sistema de protección Knox de los teléfonos Samsung Galaxy — desde el S9 hasta el S25. La vulnerabilidad permitía que una aplicación maliciosa tomara control del núcleo del sistema. Samsung publicó el parche en la actualización de seguridad de enero de 2026. Equipos que no aplicaron esa actualización siguen expuestos.
Una habilidad maliciosa publicada en el registro de paquetes del framework de agentes de IA OpenClaw evadió los escaneos de seguridad usando un enlace externo con contenido variable — inofensivo al momento del análisis, malicioso en producción. El paquete llegó a instalarse en más de 26,000 agentes activos. Una auditoría posterior encontró 341 habilidades maliciosas adicionales. Organizaciones que usan plataformas de agentes de IA con habilidades de terceros deben auditar los paquetes instalados.
Una vulnerabilidad en FFmpeg — el motor de procesamiento de video más usado en el mundo — permite a un atacante tomar control completo de cualquier sistema que reproduzca o previsualice un archivo de video malicioso. No requiere contraseña ni acceso previo: basta con que el archivo llegue al sistema y sea procesado. Afecta reproductores, servidores de medios, discos de almacenamiento en red y plataformas de fotos. Existe parche disponible en FFmpeg 8.1.2.
GitHub publicó la versión 7 de actions/checkout que bloquea los ataques 'pwn request' — una técnica donde un colaborador externo envía código malicioso que el pipeline de integración continua ejecuta con acceso a los secretos del repositorio. Desde el 16 de julio, la protección se aplica automáticamente a la mayoría de flujos de trabajo. Los pipelines fijados a versiones específicas deben actualizarse manualmente antes de esa fecha.
Páginas falsas venden supuesto acceso anticipado al videojuego GTA 6 — con lanzamiento oficial el 19 de noviembre de 2026 — cobrando más de $250 en criptomonedas. El acceso no existe. Las transacciones en criptomonedas son irreversibles. Rockstar Games habilitó preventas oficiales a partir del 25 de junio únicamente a través de tiendas autorizadas.
LastPass confirmó que datos de sus clientes — nombres, correos, teléfonos, direcciones y casos de soporte — quedaron expuestos después de que el grupo extorsionista Icarus comprometiera a Klue, una plataforma de inteligencia de mercado que LastPass usaba. Las contraseñas almacenadas en las bóvedas no fueron afectadas. Los datos expuestos pueden usarse para ataques de ingeniería social dirigidos.
Tres paquetes maliciosos en npm se hacen pasar por variantes de PostCSS — una librería con más de 127 millones de descargas semanales — para instalar un programa de control remoto en equipos Windows de desarrollo. El programa persiste después de reiniciar el equipo. Equipos con proyectos web que instalaron paquetes npm en el último mes deben verificar si alguno de los tres está presente.
Moodle publicó parches para 18 fallas de seguridad, 9 de severidad alta, que incluyen ejecución de código a través de la importación de configuraciones y una forma de evitar la verificación en dos pasos por correo. Afecta a instituciones educativas y organizaciones que usan Moodle para capacitación. Se recomienda actualizar a las versiones 5.2.1, 5.1.5, 5.0.8 o 4.5.12, según la rama en uso.
Una campaña activa distribuye archivos disfrazados de documentos financieros a través de WhatsApp. Al abrirlos, instalan silenciosamente una herramienta legítima de administración remota que da al atacante control total y persistente del equipo. México aparece entre los países con víctimas confirmadas. Cualquier archivo recibido esta semana por WhatsApp que no sea PDF, Excel o Word debe tratarse con cautela.
Se descubrió una vulnerabilidad de 29 años en Squid, un servidor proxy usado por empresas y universidades para gestionar el tráfico de internet. La falla permite que peticiones HTTP se filtren en texto legible. Organizaciones con Squid instalado deben verificar su versión y aplicar actualizaciones.
Un programa malicioso llamado AryStinger infectó más de 4,300 routers D-Link en desuso para construir una red de reconocimiento controlada por atacantes. Los dispositivos afectados son modelos legacy que ya no reciben actualizaciones de seguridad. Quien tenga un router D-Link antiguo debe verificar si hay actividad inusual.
Atacantes están explotando activamente una vulnerabilidad en Gravity SMTP, un plugin para gestionar correos en sitios WordPress. La falla permite acceder sin autenticación a datos de configuración, incluyendo claves de servicios externos como SendGrid o Mailgun. Sitios con el plugin instalado deben actualizarlo de inmediato y rotar las claves de acceso.
La campaña FortiBleed instaló un programa de captura de tráfico personalizado en dispositivos FortiGate comprometidos para robar credenciales de administradores en el momento del inicio de sesión. Fortinet confirmó el incidente. Organizaciones con dispositivos FortiGate deben verificar si sus equipos fueron afectados usando los indicadores publicados.
La cuenta de Gizmodo fue comprometida y usada para distribuir prompts de ClickFix — instrucciones que engañan al visitante para ejecutar un comando en su equipo, pensando que resuelve un error técnico. Esta técnica instala programas maliciosos sin necesidad de descargar archivos. El patrón se repite en sitios de medios y noticias.
Un atacante que convence a la operadora telefónica de transferir el número de una víctima a una nueva tarjeta SIM bajo su control toma el control de todos los servicios que usan el teléfono como segundo factor de verificación — incluyendo banca en línea, correo y WhatsApp. No necesita acceso físico al teléfono. La víctima no recibe ninguna advertencia hasta que su número deja de funcionar.
Investigadores publicaron una técnica que omite las defensas de arranque de iPhones con chips A12 y A13 (modelos iPhone XS a iPhone 11). Con acceso físico al dispositivo, permite instalar software no autorizado a nivel de hardware. La falla está en el chip, no en el sistema operativo, por lo que Apple no puede corregirla con una actualización.
Se detectó OXLOADER, un programa malicioso distribuido a través de anuncios en Google que parecen legítimos. Al hacer clic, el usuario descarga un programa que roba contraseñas guardadas en el navegador, cookies de sesión y accesos a servicios financieros. La campaña está activa.
Investigadores atribuyen a operadores norcoreanos el ataque a paquetes npm del framework Mastra para inteligencia artificial. Los atacantes comprometieron la cuenta de un contribuidor para distribuir versiones maliciosas del paquete. Equipos de desarrollo que instalaron Mastra deben verificar qué versión tienen y tratar el entorno como comprometido si fue afectado.
El hackeo a Klue, plataforma de inteligencia competitiva, expuso datos de cientos de organizaciones clientes. Entre las víctimas confirmadas hay empresas del sector de ciberseguridad. El ataque aprovechó tokens OAuth — autorizaciones de acceso que funcionan como llaves digitales persistentes entre plataformas.
Varios plugins premium de WordPress del desarrollador ShapedPlugin fueron comprometidos en un ataque a la cadena de distribución. Los atacantes insertaron una puerta trasera — acceso oculto — en las actualizaciones. Sitios que instalaron versiones recientes de estos plugins pueden estar comprometidos sin saberlo.
Investigadores de Palo Alto documentaron una técnica que permite capturar datos de organizaciones cuando eliminan un contenedor de almacenamiento en la nube sin actualizar las referencias que apuntan a él. Un atacante puede reclamar el mismo nombre y recibir archivos, registros o datos que las aplicaciones seguían enviando a esa dirección.
Una campaña activa usa WhatsApp para enviar mensajes con documentos adjuntos falsos — facturas, contratos y órdenes de compra — que contienen programas maliciosos. Al abrir el archivo, el atacante obtiene acceso al equipo del destinatario. El vector es especialmente efectivo en entornos donde WhatsApp se usa para comunicación laboral.
La botnet AryStinger comprometio mas de 4,000 routers D-Link en todo el mundo explotando vulnerabilidades sin parche en modelos que ya no reciben actualizaciones. Los routers infectados quedan bajo control remoto y pueden usarse para redirigir el trafico de internet de los usuarios, espiar conexiones de red y lanzar ataques contra terceros sin que el dueno del router lo sepa.
NGINX corrigió seis vulnerabilidades, dos de severidad crítica, que podrían permitir saturar o tomar control remoto de un servidor con una configuración no estándar. Afecta a NGINX Plus, Open Source, Gateway Fabric e Ingress Controller, además de los productos WAF de F5 basados en NGINX. No hay explotación activa confirmada. Se recomienda actualizar a la versión más reciente según el producto en uso.
Una falla en los productos VPN de Check Point permite a un atacante conectarse a la red corporativa sin contraseña válida. El grupo Qilin —conocido por secuestrar información de empresas— ya está explotando esta vulnerabilidad activamente. Las organizaciones que usan Check Point VPN deben verificar si cuentan con la actualización de seguridad disponible.
Google publicó una actualización para Chrome que corrige una falla en el motor de JavaScript del navegador que ya está siendo explotada activamente. Un atacante puede aprovecharla dirigiendo a la víctima a una página web maliciosa, sin necesidad de instalar nada. Cualquier equipo con Chrome sin actualizar está expuesto.
GitHub desactivó 73 repositorios de Microsoft —incluyendo Azure, Azure-Samples y MicrosoftDocs— que estaban distribuyendo un programa que roba contraseñas. Los repositorios afectados formaban parte de pipelines de integración continua en empresas que los usaban como dependencias. La amenaza fue neutralizada, pero cualquier sistema que haya descargado código de estos repositorios en días recientes debe revisarse.
Investigadores demostraron que una página web puede deducir qué sitios visitas y qué aplicaciones tienes abiertas midiendo variaciones en el tiempo de respuesta del disco sólido (SSD) de tu equipo, sin requerir ningún permiso especial del navegador. El ataque llamado FROST usa solo código estándar de páginas web. No hay explotación masiva reportada, pero es una técnica nueva de seguimiento invisible.
Veeam publicó una actualización de emergencia para una falla crítica en su plataforma de respaldo que permite a un atacante tomar control remoto de los servidores de respaldo corporativos. Las organizaciones que dependen de Veeam para proteger sus datos deben aplicar el parche de inmediato —los servidores de respaldo son objetivo prioritario en ataques de secuestro de información.
OpenSSL publicó actualizaciones que corrigen 18 vulnerabilidades, incluyendo una de alta severidad descubierta con herramientas de inteligencia artificial. OpenSSL es la biblioteca de cifrado usada por la mayoría de servidores web, aplicaciones y servicios en internet. Los equipos de tecnología deben verificar y actualizar las versiones afectadas.
Un ataque comprometió más de 100 paquetes en los repositorios de software npm y PyPI —herramientas usadas por millones de desarrolladores. Las versiones infectadas se auto-propagan y roban credenciales de acceso de forma automática. Organizaciones cuyo software depende de estas herramientas pueden estar expuestas sin saberlo.
SAP publicó parches críticos para vulnerabilidades en NetWeaver y Commerce que podrían exponer información sensible, causar corrupción de datos e interrumpir el funcionamiento del sistema. Las empresas que operan con SAP deben revisar las notas de seguridad del ciclo de junio 2026 y planificar la actualización con sus equipos técnicos.
Dos grupos de atacantes vinculados a Rusia continúan explotando una falla en WinRAR —el programa de compresión de archivos— casi un año después de que el parche estuviera disponible. Aunque los ataques actuales apuntan a organizaciones ucranianas, la vulnerabilidad afecta cualquier instalación de WinRAR sin actualizar, incluyendo las ampliamente usadas en México y América Latina.
Check Point confirmó que una falla en su solución VPN está siendo explotada activamente por el grupo de ransomware Qilin para entrar a redes corporativas sin contraseña. La vulnerabilidad afecta configuraciones con un protocolo de autenticación antiguo. Las organizaciones con VPN Check Point deben aplicar el parche de inmediato.
Una falla crítica en el sistema operativo de los equipos de red Ubiquiti UniFi permite a un atacante con acceso a la red tomar control total del dispositivo sin usuario ni contraseña. Ubiquiti publicó una actualización. Las organizaciones que no hayan aplicado el parche siguen expuestas.
Una falla en el complemento Everest Forms para WordPress está siendo explotada activamente para comprometer sitios web. El complemento tiene más de 100,000 instalaciones activas. Sitios que no hayan actualizado el complemento pueden estar bajo ataque sin saberlo.
Se descubrió y parchó una falla crítica en Gogs, una plataforma de código abierto que las organizaciones instalan en sus propios servidores para gestionar repositorios de código. La vulnerabilidad permite a un atacante ejecutar comandos en el servidor de forma remota. Las instalaciones sin actualizar siguen expuestas.
Meta detectó y bloqueó una nueva campaña de NSO Group —creadores del programa espía Pegasus— que intentaba infectar dispositivos a través de WhatsApp usando mensajes maliciosos disfrazados. Meta presentó una orden de desacato en un tribunal federal. NSO Group tiene antecedentes documentados de uso contra periodistas y activistas en México.
Nuevas variantes del programa malicioso NFCShare para Android se distribuyen como actualizaciones falsas de apps bancarias reales, alojadas en repositorios de GitHub. Al instalarse, el programa intercepta datos de pago por contacto del teléfono y roba credenciales bancarias. En México, con alta penetración de banca móvil, esta amenaza es directamente relevante.
Investigadores publicaron un ataque funcional para una falla en Linux que permite a cualquier usuario con acceso básico al sistema escalar a control total y salir de entornos aislados (contenedores). La falla CVE-2026-23111 fue parcheada en febrero, pero la publicación del ataque funcional eleva el riesgo de explotación inmediata. Los servidores sin actualizar son el objetivo.
Atacantes explotaron una vulnerabilidad en la infraestructura de soporte con IA de Meta para robar más de 20,000 cuentas de Instagram. Meta confirmó el incidente. Los usuarios afectados pueden no haber recibido notificación directa.
Malwarebytes documenta una campaña activa en la que instaladores de juegos piratas para PC incluyen programas maliciosos que roban contraseñas guardadas en el navegador, cuentas de juegos y accesos a billeteras digitales. El malware se instala silenciosamente junto con el juego.
El grupo Silent Ransom —conocido por llamadas telefónicas que suplantan a soporte técnico para robar accesos corporativos— adoptó una técnica que rota constantemente sus servidores de operación, haciendo que los bloqueos tradicionales por dirección IP o dominio sean ineficaces. Las campañas siguen activas.
Atacantes se hacen pasar por el soporte técnico de la organización usando Microsoft Teams para engañar a empleados y obtener acceso a sus cuentas o instalar programas de control remoto. El ataque aprovecha que Teams llega por canales internos considerados seguros y confiables dentro de la empresa.
Investigadores de Fortinet detectaron C0XMO, un malware activo que explota una vulnerabilidad conocida en DD-WRT — el software alternativo que muchos usuarios instalan en sus routers — para convertirlos en parte de una red de ataque. No requiere contraseña para entrar y puede infectar casi cualquier tipo de router o dispositivo conectado a internet.
Un agente de inteligencia artificial autónomo descubrió 21 vulnerabilidades previamente desconocidas en FFmpeg, la biblioteca de procesamiento multimedia integrada en la mayoría de reproductores, navegadores y aplicaciones de video. Las fallas no han sido explotadas activamente, pero su amplia presencia en el ecosistema de software las convierte en objetivo prioritario. Las organizaciones que desarrollan software con FFmpeg deben monitorear la publicación de parches.
Cisco confirmó que la vulnerabilidad CVE-2026-20245 en Catalyst SD-WAN Manager está siendo explotada activamente. La falla permite que un atacante eleve sus permisos dentro del sistema de administración de red sin credenciales válidas. No existe parche disponible ni fecha de publicación anunciada. Las organizaciones que operan esta plataforma deben aplicar mitigaciones temporales de inmediato.
Un gusano activo comprometió 73 repositorios oficiales de Microsoft en GitHub — incluyendo Azure, Azure-Samples y MicrosoftDocs — antes de que GitHub desactivara el acceso. Los equipos de desarrollo que incorporaron código de esos repositorios entre el 1 y el 6 de junio deben auditar sus dependencias: el código contaminado puede incluir accesos ocultos o robo de credenciales en el software resultante.
OpenAI lanzó el modo Lockdown para ChatGPT, que restringe herramientas que pueden ser usadas para filtrar información confidencial a través de instrucciones ocultas en documentos o mensajes. El riesgo es real: quien comparte documentos sensibles con ChatGPT puede ser víctima de una instrucción maliciosa que haga que la herramienta revele esa información sin que el usuario lo autorice. El modo está disponible para cuentas personales; las organizaciones deben verificar si sus equipos usan ChatGPT con información confidencial sin política de uso aprobada.
El FBI advierte sobre miles de sitios falsos de FIFA, programas maliciosos en apps de streaming pirata y páginas que roban cuentas reales. El Mundial comienza el 11 de junio. México tiene sedes.
Se explota activamente una falla en Everest Forms Pro, complemento de WordPress con ~4,000 instalaciones activas. Permite tomar control completo del sitio sin necesidad de usuario ni contraseña. La actualización ya está disponible.
Más de 50 paquetes npm contaminados instalan un programa que extrae todas las credenciales del equipo del desarrollador. Si tu equipo usa JavaScript, hay riesgo activo. Verificar qué paquetes npm están en uso.
Atacantes tomaron 230 servidores corporativos en AWS, Google Cloud y Azure para enviar correos maliciosos. Al provenir de infraestructura legítima, estos mensajes evaden filtros de spam y llegan directamente a la bandeja de entrada.
Sitios web con polyfill.io muestran formularios falsos para robar contraseñas a visitantes. Empresas con este código en su sitio exponen a sus clientes sin saberlo. Verificar si el sitio propio usa polyfill.io.
Falla en extensión de Magento permite tomar control de tiendas en línea sin contraseña. La agencia de ciberseguridad de EE.UU. confirmó explotación activa. Tiendas con Mirasvit Cache Warmer deben verificar que la actualización fue aplicada.
Falla en Cisco Unified CM —sistema de telefonía corporativa— permite acceso con máximos privilegios sin contraseña. El código de ataque es público. Empresas con este sistema deben confirmar que la actualización fue aplicada.
Una falla en la GitHub Action de Claude Code permitía tomar control de repositorios públicos mediante un issue especialmente diseñado. Anthropic corrigió la falla. Equipos que usan esta integración deben confirmar que están en la versión actualizada.
Una campaña activa inyecta código malicioso en las páginas de pago de tiendas en línea y usa la infraestructura de Stripe para extraer los datos robados sin activar alertas. Los datos de tarjeta del cliente son capturados en el momento del pago.
Una brecha en DentaQuest, administradora de beneficios dentales, expuso datos de salud y cobertura de 2.6 millones de personas. Los datos médicos tienen un valor especialmente alto para el fraude de identidad porque no pueden reemplazarse como una contraseña o una tarjeta bancaria. Una vez expuestos, pueden utilizarse durante años.
Campaña activa posiciona sitios falsos de software en los primeros resultados de Google. Al descargar el programa, el equipo entrega contraseñas, sesiones activas y accesos corporativos al atacante. La puerta de entrada ya no es un correo sospechoso: es una búsqueda cotidiana
SoulHemTeam publicó en foro información atribuida al DIF Colima. El actor tiene historial de presentar datos públicos como filtraciones. Medios internacionales amplificaron la publicación. Sin confirmación oficial del DIF Colima sobre autenticidad ni alcance.
Campaña activa usa anuncios en Google y YouTube para instalar un programa malicioso con acceso oculto en equipos Mac. El vector son los anuncios publicitarios, no correos sospechosos. Empresas con Macs deben verificar su política de descarga de software.
Atacantes mantuvieron acceso al correo de un ejecutivo durante cinco meses sin ser detectados. El acceso permitió extraer información de forma continua sin generar alertas internas. Organizaciones que no monitorean las cuentas de directivos deberían verificar si existen accesos inusuales activos.
El instalador oficial de Hola Browser para Windows fue comprometido e incluía un programa no declarado que usaba los recursos del equipo para minar criptomonedas. El incidente demuestra que descargar desde el sitio oficial reduce riesgos, pero no los elimina cuando la cadena de distribución del proveedor es comprometida.
Un programa malicioso llamado IronWorm comprometió 36 paquetes del repositorio npm. Los proyectos que instalaron estas dependencias pueden tener el programa activo en sus equipos de desarrollo.
Una vulnerabilidad en VS Code —el editor de programación más usado del mundo— permite robar el acceso de un desarrollador a GitHub con un solo clic. Un investigador publicó los detalles sin aviso previo a Microsoft. No hay parche disponible aún.
Acer confirmó dos vulnerabilidades de día cero con la calificación de severidad máxima en sus routers mesh Wave 7. No hay parche disponible a la fecha de publicación.
Acer trabaja en un parche para dos vulnerabilidades zero-day de severidad máxima en sus routers WiFi mesh Wave 7. Mientras el parche no esté disponible, los dispositivos expuestos a internet permiten a un atacante tomar control remoto sin autenticación.
Google publicó el parche de seguridad de junio 2026 para Android que corrige 124 vulnerabilidades, incluyendo CVE-2025-48595, una falla de escalación de privilegios sin interacción del usuario que ya está siendo explotada activamente.
Atacantes usaron scripts Python generados por IA para probar sistemáticamente su malware contra soluciones EDR de Sophos, CrowdStrike y Windows Defender antes de ejecutar el ataque real. El proceso les permite ajustar el código hasta que el antivirus no lo detecta, llegando al objetivo ya invisible.
Una herramienta de IA autónoma encontró CVE-2026-23479, un fallo de ejecución remota de código en Redis que existía desde hace más de dos años sin ser detectado. Un usuario autenticado puede ejecutar comandos del sistema operativo en el servidor que aloja la base de datos. Redis publicó el parche en mayo.
Un grupo cibercriminal de habla china expandió sus operaciones a Europa desplegando dos herramientas no documentadas previamente: un malware inédito y el backdoor Atlas RAT. La expansión geográfica del grupo —antes activo en Asia— es la señal más relevante para evaluar riesgo regional.
La agencia de ciberseguridad de Estados Unidos confirma explotación activa de vulnerabilidades en el kernel de Linux y Android. Cualquier organización con servidores Linux o dispositivos Android sin parches recientes está expuesta en este momento.
Un ajuste de seguridad desactivado en las versiones para Android de Word, PowerPoint y Excel permitía a cualquier otra app del teléfono robar tokens de autenticación de Microsoft 365. El token robado da acceso a la cuenta corporativa sin necesidad de contraseña ni doble factor.
Dashlane, gestor de contraseñas corporativo, reconoció que 20 bóvedas cifradas fueron robadas. El aviso omite detalles clave: cómo ocurrió el robo, qué tan resistente es el cifrado ante ataques de fuerza bruta, y qué usuarios específicos fueron afectados. La transparencia insuficiente dificulta que los usuarios evalúen su riesgo real.
La operación DriveSurge usa un sistema malicioso de distribución de tráfico para redirigir visitantes de sitios legítimos comprometidos hacia páginas que instalan malware mediante las técnicas ClickFix y FakeUpdate.
Investigadores encontraron una campaña de fraude por factura falsa mientras los operadores aún la construían. El mecanismo: facturas que imitan servicios de pago conocidos, con un monto alarmante y un número de soporte falso. Quien llama es guiado para instalar acceso remoto o transferir fondos.
Una nueva campaña de malspam usa el dominio legítimo de Google DoubleClick —una plataforma de publicidad— como intermediario antes de redirigir a la víctima a infraestructura maliciosa. El objetivo final es instalar DesckVB RAT, un troyano de acceso remoto. Los filtros de correo no lo detectan porque el primer enlace pertenece a Google.
Un grupo de hackers mantuvo acceso al correo de un ejecutivo senior de una bolsa de valores global durante 150 días, exfiltrando datos durante meses antes de ser detectado. El caso ilustra cómo el espionaje corporativo opera en silencio y el tiempo que pasa entre la intrusión y el descubrimiento.
Investigadores descubrieron una vulnerabilidad de denegación de servicio remota que afecta los servidores web más usados del mundo: NGINX, Apache, Microsoft IIS, Envoy y Cloudflare Pingora, en su configuración por defecto.
IMA Diligence Services sufrió una brecha de datos que afectó información personal de 525,000 personas. Los datos fueron robados de un servidor legado administrado por un tercero. El caso ilustra el riesgo de proveedores de due diligence e investigación corporativa como vectores de exposición de datos sensibles.
Los ciberdelincuentes reemplazan el phishing tradicional con infostealers: malware especializado en robar contraseñas, sesiones de navegador y tokens de autenticación guardados en el dispositivo. Son más efectivos que las páginas de login falsas porque cosechan todo lo que está almacenado localmente, no solo lo que el usuario escribe.
Un análisis de Malwarebytes Labs publicado el 3 de junio confirma que los infostealers —software diseñado para robar contraseñas y sesiones activas— desplazaron a otras cargas maliciosas como el payload preferido en campañas de phishing por su bajo costo operativo y alta escalabilidad.
La plataforma de Phishing-as-a-Service Kali365 —marcada por el FBI— amplió sus objetivos más allá de Microsoft 365 para incluir AWS, Okta y plataformas rusas, usando la técnica de device code phishing para robar sesiones activas.
Atacantes están explotando CVE-2026-8206, una vulnerabilidad crítica de escalación de privilegios en el plugin Kirki de WordPress, para secuestrar cuentas de administrador sin necesidad de credenciales.
CISA agregó CVE-2022-0492 al catálogo KEV el 2 de junio de 2026 por explotación activa confirmada. La falla permite a un atacante escapar del aislamiento de contenedores y obtener privilegios de root en el sistema anfitrión.
Microsoft enfrenta un escándalo después de que investigadores de seguridad reportaron recibir amenazas legales implícitas por publicar vulnerabilidades zero-day que la empresa tardó en parchear. El caso cuestiona si el programa de divulgación responsable de Microsoft realmente protege a quienes reportan.
Investigadores descubrieron una vulnerabilidad de denegación de servicio remota —un ataque que hace colapsar un servidor sin necesidad de tener acceso a él— en la configuración por defecto de HTTP/2. Afecta a NGINX, Apache HTTPD, Microsoft IIS, Envoy y Cloudflare Pingora: los servidores web más usados del mundo.
La CISA incluyó CVE-2024-21182 en su catálogo de vulnerabilidades explotadas activamente. La falla en Oracle WebLogic Server permite a un atacante sin autenticación tomar el control remoto del servidor con acceso de red.
Un fallo de autenticación incorrecta en el kernel de Linux permite a atacantes escalar privilegios y escapar de contenedores —entornos de aislamiento como Docker—. La falla está siendo explotada activamente. Afecta a servidores Linux y a infraestructura de contenedores, que es la base de la mayoría de los despliegues cloud modernos.
Una campaña activa envía correos con avisos falsos de infracción de derechos de autor, un temporizador de cuenta regresiva y una página de inicio de sesión de Google falsificada. El objetivo es tomar control de la cuenta de Google del destinatario. Están en riesgo quienes administran sitios web, canales de YouTube, extensiones o cuentas publicitarias.
Una campaña activa de phishing usa notificaciones falsas de violación de copyright con temporizadores de cuenta regresiva y pantallas de inicio de sesión falsas para robar credenciales de Google de desarrolladores que publican extensiones en la Chrome Web Store.
Un actor de amenazas está usando un toolkit de ransomware desarrollado con inteligencia artificial que automatiza el descubrimiento de Active Directory y la evasión de soluciones de detección y respuesta en endpoints (EDR).
El Departamento del Tesoro de EE.UU. sancionó a Nobitex, la mayor bolsa de criptomonedas de Irán, por facilitar pagos a grupos terroristas y de ransomware. Las sanciones tienen implicaciones para organizaciones que enfrenten un ataque de ransomware: pagar rescate a través de canales que toquen entidades sancionadas puede generar responsabilidad legal.
Grupos APT vinculados a China atacaron a más de doce países de América Latina con foco en producción petrolera, rutas marítimas y posicionamiento geopolítico. México entra en el perfil de objetivo: es productor de crudo y concentra tráfico marítimo de interés estratégico para China en la región.
Investigadores divulgaron una vulnerabilidad en el manejador URI de Windows Search que permite a un atacante robar hashes NTLMv2 —las credenciales cifradas usadas para autenticación en redes Windows— sin interacción activa del usuario. Los hashes pueden usarse para ataques de pass-the-hash o descifrado de contraseñas.
Un investigador publicó código de exploit para una vulnerabilidad zero-day en Visual Studio Code que permite robar el token de autenticación de GitHub con solo hacer clic en un enlace. El token robado da acceso completo de lectura y escritura a todos los repositorios del desarrollador, incluyendo los privados.
Un investigador publicó el código de explotación de una vulnerabilidad sin parche en Visual Studio Code que permite robar tokens de autenticación de GitHub engañando al usuario para que abra un enlace.
Una campaña de malware bautizada Weedhack apunta a jugadores de Minecraft distribuyendo software malicioso disfrazado de clientes y mods del juego a través de YouTube. El malware como servicio infectó más de 116,000 sistemas desde enero de 2026. Relevante para organizaciones con empleados jóvenes o equipos compartidos.
Un análisis de caso en el sector bancario muestra que las pruebas de penetración anuales —de dos semanas— dejan 345 días del año con superficies de ataque no validadas. En un entorno donde los sistemas y configuraciones cambian constantemente, las vulnerabilidades abiertas entre prueba y prueba representan un riesgo real no medido.
Un fallo de inyección de prompts en Google Gemini permitía a un atacante usar notificaciones de WhatsApp, Slack, SMS o Instagram para secuestrar el asistente de voz y ejecutar acciones sin que el usuario lo notara: abrir ventanas, falsificar mensajes del jefe o unirse a una llamada de Zoom. No se requería ninguna app maliciosa instalada.
Un actor de amenaza usa un kit de ransomware construido con IA que automatiza el mapeo de Active Directory —el sistema de usuarios y permisos de una red corporativa— y evade soluciones EDR, los antivirus de siguiente generación. La IA construyó el toolkit en una fracción del tiempo que tomaría a un desarrollador humano.
Google publicó las actualizaciones de seguridad de Android de junio de 2026, que corrigen CVE-2025-48595 —un zero-day, es decir, una vulnerabilidad que ya estaba siendo explotada antes de que existiera parche disponible— confirmado en ataques reales. Dispositivos Android sin actualizar son un vector de entrada activo para atacantes en este momento.
Actores vinculados a China robaron datos de organizaciones europeas de alto valor mediante una campaña de spear-phishing de doble capa: el primer correo establece confianza, el segundo entrega el malware Azureveil. La técnica es relevante para cualquier sector con información estratégica de valor para inteligencia estatal.
Una vulnerabilidad de alta severidad en Oracle WebLogic Server —plataforma de servidor empresarial para aplicaciones Java corporativas— con parche disponible desde hace dos años está siendo explotada activamente. Organizaciones que no aplicaron el parche tienen sus servidores WebLogic expuestos a compromiso total en este momento.
Hackers están explotando activamente CVE-2026-8206, una vulnerabilidad crítica de escalación de privilegios en el plugin Kirki para WordPress —herramienta de personalización instalada en más de un millón de sitios—. La falla permite a cualquier atacante tomar control de cualquier cuenta del sitio, incluyendo la del administrador.
HP identificó una vulnerabilidad crítica de desbordamiento de buffer en sus teléfonos de voz IP empresariales —dispositivos de telefonía conectados a la red corporativa— que permite a un atacante remoto ejecutar código malicioso en el dispositivo y desde ahí moverse a la red interna. No se confirma parche disponible.
El gestor de contraseñas Dashlane confirmó que un atacante descargó las bóvedas cifradas de menos de 20 usuarios de plan personal tras un ataque de fuerza bruta —prueba sistemática de contraseñas— contra cuentas con autenticación de dos factores. Si el atacante logra descifrar las bóvedas, obtiene acceso a todas las contraseñas guardadas en ellas.
Una operación de distribución de malware a gran escala comprometió miles de sitios web legítimos para redirigir visitantes a páginas falsas. Usa dos técnicas: ClickFix —que engaña al usuario para que ejecute comandos en su propio equipo— y FakeUpdate, que imita alertas de actualización de software para instalar malware.
Anuncios dentro de juegos móviles están mostrando alertas falsas de infección que simulan ser avisos del sistema operativo. El objetivo es asustar al usuario para que instale una supuesta solución que en realidad es malware —software malicioso— capaz de robar datos o comprometer el dispositivo.
La plataforma de phishing como servicio Kali365 amplió sus objetivos. Antes atacaba solo Microsoft 365; ahora también apunta a AWS, Okta y plataformas rusas. Usa 'device code phishing', una técnica que engaña al usuario para que autorice acceso desde un segundo dispositivo sin ingresar su contraseña.
Google publicó parches de seguridad para 124 vulnerabilidades en Android. CVE-2025-48595 (CVSS 8.4) en el componente Framework ya está siendo explotada activamente: permite a un atacante escalar privilegios sin ninguna interacción del usuario. Todos los dispositivos Android deben aplicar esta actualización de inmediato.
Atacantes engañaron al chatbot de soporte de Meta para que transfiriera el control de cuentas de Instagram a correos bajo su control. El método no requirió hackear contraseñas ni explotar código: bastó con manipular al asistente de IA para que reconociera al atacante como el dueño legítimo de la cuenta.
El SANS Internet Storm Center detectó una campaña activa de phishing que distribuye archivos SVG —formato de imagen vectorial— adjuntos en correos, en lugar de incluir enlaces directos. La técnica evade los filtros de correo que escanean URLs, y al abrir el archivo, ejecuta código malicioso o redirige a páginas de robo de credenciales.
Unit 42 documentó una campaña activa de malvertising —anuncios digitales que distribuyen malware— dirigida a usuarios de macOS. Los anuncios distribuyen FlutterShell, un backdoor que abre acceso remoto al sistema, construido con Flutter para dificultar su detección por herramientas de seguridad.
CISA añadió CVE-2024-21182 (CVSS 7.5) en Oracle WebLogic Server al catálogo de vulnerabilidades explotadas activamente. El fallo permite a un atacante sin credenciales tomar control remoto de servidores WebLogic accesibles desde internet. El parche existe desde enero de 2024 pero muchos servidores siguen sin aplicarlo.
Atacantes publicaron 96 versiones maliciosas de 32 paquetes de software de Red Hat en el registro NPM —repositorio de código abierto que millones de aplicaciones web usan como dependencia— inyectando un gusano que roba credenciales. Proyectos que instalaron estas versiones comprometidas pueden haber incorporado el código malicioso sin saberlo.
Una publicación detectada en un foro especializado ofrece una supuesta base de datos atribuida a conacyt.gob.mx. El vendedor afirma que incluye información de investigadores, revisores y elementos asociados a procesos académicos y de autenticación. No hay confirmación oficial sobre la autenticidad o alcance de los datos.
La agencia nacional de ciberseguridad de Bélgica confirmó que hay ataques activos aprovechando una vulnerabilidad crítica en Netlogon, el servicio de autenticación de redes Windows. El parche existe — la urgencia está en instalarlo antes de ser afectado.
Se confirmó la explotación activa de una vulnerabilidad crítica en WP Maps Pro, un plugin de WordPress con más de 15,000 ventas. Los atacantes la usan para crear cuentas de administrador no autorizadas y obtener control total del sitio afectado.
Un grupo de amenazas comprometió miles de sitios web legítimos para convertirlos en distribuidores de malware. Usan dos técnicas: ClickFix (falsos mensajes de 'error' que piden al usuario ejecutar un comando) y FakeUpdate (alertas falsas de actualización del navegador que instalan malware).
En un foro público apareció una publicación que atribuye una presunta filtración al sistema INCODIS en Colima. Se afirma la exposición de más de 20,000 usuarios, miles de documentos y fotografías. No hay confirmación oficial. El incidente requiere verificación y contención inmediata.
Un paquete malicioso llamado 'codexui-android' fue publicado en npm haciéndose pasar por una interfaz legítima para OpenAI Codex. Con 29,000 descargas semanales, el paquete roba los tokens de acceso de los desarrolladores que lo instalan. Sigue disponible para descarga.
Dashlane, un gestor de contraseñas ampliamente usado, suspendió cuentas de clientes de forma automática al detectar ataques de fuerza bruta — intentos masivos de acceso con contraseñas robadas de otras filtraciones. El incidente afecta a usuarios que reutilizan contraseñas.
Más de 30 paquetes npm bajo el espacio oficial de Red Hat '@redhat-cloud-services' fueron comprometidos en un ataque de cadena de suministro. Los paquetes distribuían 'Miasma', una variante de malware diseñada para robar credenciales de los desarrolladores que los instalan.
Cerca de 2,000 sitios WordPress fueron infectados con malware que usa comentarios en perfiles de Steam — la plataforma de videojuegos — para ocultar sus instrucciones de comando y control. La técnica evita los filtros de seguridad que bloquean dominios maliciosos conocidos.
La policía y el Centro Nacional de Ciberseguridad de los Países Bajos desmantelaron una botnet que operaba desde más de 200 servidores y alcanzó 17 millones de dispositivos comprometidos en todo el mundo, incluyendo computadoras, teléfonos, tabletas y dispositivos domésticos conectados.
Se está explotando activamente una vulnerabilidad crítica en PAN-OS GlobalProtect —la solución de acceso remoto corporativo de Palo Alto Networks— que permite a atacantes saltarse la autenticación y entrar a la red interna de una organización sin necesitar credenciales válidas.
Se está explotando activamente una vulnerabilidad en el plugin WP Maps Pro que permite a cualquier atacante crear una cuenta de administrador en el sitio sin necesidad de autenticarse. Los sitios comprometidos quedan bajo control total del atacante.
Palo Alto Networks confirmó que CVE-2026-0257 —una falla en su sistema de acceso remoto GlobalProtect y en Prisma Access— está siendo explotada activamente. La vulnerabilidad permite que un atacante establezca una conexión VPN a la red corporativa sin credenciales. Si tu empresa usa soluciones de Palo Alto para acceso remoto, esto requiere atención inmediata.
El fiscal general de California demandó a Chrome Holding Co., empresa que adquirió los activos de 23andMe tras su quiebra, por la filtración masiva de 2023 que expuso datos genéticos y de salud de millones de usuarios. La demanda alega que la empresa minimizó el incidente mientras pagaba un rescate al atacante.
Investigadores encontraron que ChatGPT confía ciegamente en los enlaces de las páginas que resume. Un atacante puede insertar instrucciones en una página web para que ChatGPT muestre un enlace de phishing al usuario como si fuera parte del resumen. La técnica fue bautizada ChatGPhish.
Atacantes están usando la función de compartir conversaciones de ChatGPT para mostrar páginas falsas de 'falla de servicio' de OpenAI. Esas páginas dirigen a los usuarios a descargar un archivo malicioso disfrazado como la aplicación oficial de ChatGPT.
Google lanzó Chrome 148 con parches para 151 vulnerabilidades, incluyendo fallas críticas que podrían permitir a un atacante ejecutar código en el equipo del usuario. La actualización ya está disponible — si Chrome no se actualizó automáticamente, hay que hacerlo manual.
Investigadores encontraron un paquete malicioso en NuGet — el repositorio de componentes para .NET — que se hace pasar por el SDK oficial de Sicoob, una de las cooperativas financieras más grandes de Brasil. El paquete roba certificados e IDs de clientes usados para integraciones bancarias.
El grupo de cibercrimen ShinyHunters publicó 4.9 millones de registros de clientes de Charter Communications, empresa de telecomunicaciones en EE.UU. Los datos incluyen nombres, direcciones, teléfonos y correos electrónicos. Charter dice que no hubo exposición de datos financieros o contraseñas.
Grupos criminales están enviando mensajes haciéndose pasar por el equipo de soporte de Signal para engañar a los usuarios y obtener su llave de recuperación de respaldo. Con esa llave, el atacante puede acceder a todo el historial de mensajes.
Grupos de ransomware, actores estatales y cibercriminales oportunistas están apuntando a la infraestructura del Mundial FIFA 2026. México será sede de varios partidos. Los vectores más activos son fraude en venta de boletos, phishing disfrazado de ofertas de hospitalidad, y ataques a proveedores de logística y servicios.
La empresa de cruceros Carnival Corporation confirmó que el grupo ShinyHunters le robó 6 millones de registros de clientes en un ataque de abril. El incidente se suma a una racha activa del mismo grupo, que también afectó a Charter Communications en fechas cercanas.
Una vulnerabilidad en FortiClient Enterprise Management Server (CVE-2026-35616) permite a atacantes entrar sin autenticación y desplegar un programa que extrae credenciales almacenadas en el sistema. FortiClient es una solución de seguridad de red usada en miles de empresas medianas. Si está presente en tu organización, el riesgo es activo.
Más de 350 hoteles en el mundo fueron afectados por una campaña donde los atacantes obtuvieron acceso a datos reales de reservas y los usaron para enviar correos falsos —con nombre, fechas y número de reserva reales— exigiendo pagos adicionales. El correo parece legítimo porque la información que usa es real.
CISA confirmó dos campañas activas de compromiso en cadena de suministro: una extensión maliciosa de VS Code comprometió repositorios internos de GitHub, y la campaña 'Megalodon' inyectó código malicioso en flujos automatizados de cientos de proyectos.
Atacantes están explotando una vulnerabilidad crítica en FortiClient EMS — el servidor de gestión de seguridad de endpoints de Fortinet — para distribuir software que roba credenciales. El parche fue publicado; la explotación activa hace urgente su instalación.
Microsoft confirmó una campaña activa en la que atacantes manipulan los resultados de chatbots de IA para recomendar sitios maliciosos que instalan cryptojacking —malware que usa el hardware del equipo infectado para minar criptomonedas sin consentimiento. El vector explota la confianza que los usuarios depositan en las respuestas de IA generativa.
Una vulnerabilidad en el plugin LiteSpeed Cache para cPanel permite ejecutar código con privilegios de administrador en el servidor. CISA confirmó explotación activa en ataques reales y dio cuatro días a agencias federales para parchear. Cualquier empresa con sitio web en hosting compartido o servidor con cPanel debe verificar si está expuesta.
El FBI advierte que grupos criminales están visitando físicamente despachos de abogados y firmas profesionales haciéndose pasar por técnicos de soporte. Una vez dentro, convencen al personal de conectar una USB con software malicioso para robar datos y extorsionar a la organización.
Atacantes envían notificaciones falsas de LinkedIn usando infraestructura legítima de Adobe Target para rastrear clics y evadir filtros de correo corporativo. El objetivo es capturar credenciales de LinkedIn, que frecuentemente comparten contraseña con el correo corporativo. La campaña es difícil de detectar porque los correos provienen de dominios reconocidos.
El grupo de extorsión Silent Ransom Group envía operativos en persona a despachos de abogados para insertar dispositivos USB en equipos y exfiltrar datos directamente. Es un vector físico que elude controles de red y de endpoint —las defensas típicas no están diseñadas para detectarlo. Despachos legales, contadores y empresas con información confidencial de terceros son los blancos.
Una falla en Gitea (CVE-2026-27771), plataforma self-hosted de control de versiones alternativa a GitHub, permite a cualquier atacante descargar imágenes de contenedores privadas sin ninguna credencial. Las imágenes de contenedores frecuentemente contienen claves de acceso, configuraciones internas y código propietario. Afecta todas las versiones anteriores a Gitea 1.26.2.
CrowdStrike, Google y Shadowserver desactivaron los cuatro canales de comando y control (C2) de GlassWorm, malware que desde 2025 infecta paquetes y extensiones de software para comprometer a desarrolladores. El desmantelamiento neutraliza la infraestructura activa, pero los sistemas ya infectados siguen siendo vulnerables. Empresas con equipos de desarrollo que hayan instalado paquetes de terceros en el último año deben verificar si hubo compromiso.
Dos campañas activas de malware bancario están afectando empresas en México, España y Portugal. Una ataca equipos Windows mediante correos que imitan instituciones conocidas. La otra infecta teléfonos Android vía aplicaciones falsas. El objetivo en ambos casos es el mismo: acceder a cuentas bancarias corporativas.
El ataque al sistema de transporte público de Los Ángeles, reclamado inicialmente por un grupo hacktivista, fue vinculado a actores de amenaza patrocinados por el gobierno iraní. La táctica —usar grupos hacktivistas como fachada— complica la atribución correcta durante un incidente. Para organizaciones con infraestructura crítica, este caso ilustra que la atribución inicial casi nunca es definitiva.
Grupos criminales en la región están extrayendo registros de ciudadanos desde sistemas de gobierno —RFC, datos fiscales, información de empleo— y vendiéndolos en mercados clandestinos. La filtración más reciente expuso 5.8 millones de registros en Uruguay. El patrón aplica a toda la región, incluido México.
El FBI advirtió que Silent Ransom Group está enviando personas físicamente a despachos de abogados, fingiendo ser técnicos de soporte, para obtener acceso directo a servidores y bases de datos. El vector de entrada no es digital: es una persona que toca la puerta y pide que la dejen pasar.
SymJack usa repositorios maliciosos y symlinks disfrazados para engañar a agentes de IA de programación —como GitHub Copilot o Cursor— e instalar servidores MCP controlados por atacantes. Un servidor MCP (Model Context Protocol) extiende las capacidades de las herramientas de IA; si está comprometido, puede robar secretos, modificar código y atacar pipelines de CI/CD sin que el desarrollador lo note. Equipos que usen herramientas de IA para programar en entornos corporativos están expuestos.
Las credenciales robadas —usuario y contraseña obtenidos vía phishing, malware o filtraciones previas— son hoy el vector de acceso inicial más común en ataques corporativos, por encima de exploits técnicos. La IA acelera el phishing, el secuestro de sesiones y el abuso de credenciales, reduciendo el tiempo entre robo y explotación a horas. Una empresa donde los empleados reutilizan contraseñas o no monitorea accesos anómalos tiene una brecha potencial activa.
185,000 personas tienen sus datos disponibles para fraude dirigido: nombre, correo, dirección y fecha de nacimiento. El riesgo concreto: esos datos son suficientes para construir correos de phishing altamente personalizados que parecen legítimos. Si usas contraseñas repetidas entre cuentas personales y corporativas, ese es el eslabón más débil hoy.
ShinyHunters robó datos personales de más de 185,000 clientes de 7-Eleven en un ataque registrado en abril. El grupo amenaza con publicar o vender los datos si no se paga rescate. 7-Eleven opera en México; clientes locales podrían estar incluidos en la filtración.
Sitios legítimos muestran páginas falsas de verificación de Cloudflare que convencen al usuario de ejecutar comandos en su propio equipo. No es un exploit técnico — es el usuario siguiendo instrucciones que parecen legítimas. Si un empleado cae, el atacante obtiene control completo del dispositivo y, desde ahí, acceso a la red corporativa.
Dos empresarios holandeses fueron arrestados por operar infraestructura de hosting para grupos ciberdelincuentes alineados con Rusia. La amenaza no desaparece — se desplaza. El dato relevante no es el arresto: es que estos grupos operan con proveedores de servicios profesionales y pueden reconstruir capacidades en semanas.
La IA está automatizando la búsqueda de fallas en sistemas expuestos a internet. El tiempo entre que se publica una vulnerabilidad y el primer ataque se está reduciendo de días a horas. Una empresa sin proceso definido para aplicar parches críticos rápidamente opera con una ventana de riesgo que ya no es aceptable — y que los seguros cibernéticos están empezando a medir.
Charter Communications confirmó una brecha de datos tras la amenaza del grupo ShinyHunters de publicar información robada si no se paga rescate. ShinyHunters es el mismo grupo detrás de ataques a Ticketmaster, Santander y AT&T en el último año. Las telecomunicaciones almacenan historiales de llamadas, datos de facturación y credenciales de cuenta.
La vulnerabilidad de inyección SQL en Drupal ya está siendo explotada activamente: CISA la agregó al catálogo KEV y ordenó a agencias federales parchear en 48 horas. Si la empresa o alguno de sus proveedores opera sitios en Drupal, existe riesgo de extracción de datos de la base de datos subyacente. Un sitio web comprometido puede ser también el punto de entrada a la red interna.
Repositorios públicos distribuyen versiones falsas de herramientas de IA y software creativo con un troyano embebido. Un empleado que descarga una de estas versiones le entrega al atacante control remoto completo de su equipo. El vector no requiere phishing: basta con buscar la herramienta en Google y descargar el primer resultado convincente.
El FBI alertó sobre Kali365, un kit de phishing capaz de eludir la autenticación multifactor de Microsoft 365 robando el token de sesión activo del usuario. Un token de sesión es la credencial temporal que mantiene abierta una sesión; al robarlo, el atacante accede sin contraseña y puede persistir aunque la víctima cambie su clave. El riesgo aplica a cualquier organización que use Outlook, Teams u OneDrive.
El malware Megalodon insertó código malicioso en más de 5,500 repositorios de GitHub en una campaña de seis horas, robando credenciales y secretos de desarrollo. Los repositorios de código abierto son un vector de cadena de suministro: si un desarrollador descarga una dependencia comprometida, el malware entra directo al entorno de producción. Empresas con equipos de desarrollo que usen dependencias de código abierto en GitHub están en riesgo.
El grupo estatal iraní Nimbus Manticore (UNC1549) opera con herramientas actualizadas contra empresas de aviación y software en EE.UU., Europa y Medio Oriente. Un APT no busca interrumpir operaciones — busca permanecer invisible. El daño llega después: propiedad intelectual robada, contratos expuestos, movimientos estratégicos filtrados a un gobierno extranjero.
La misma campaña iraní usa un vector diferente: resultados de búsqueda manipulados que posicionan páginas falsas como si fueran software legítimo. El empleado busca en Google una herramienta técnica, hace clic en el primer resultado y descarga el malware sin ninguna señal de alerta. Sin filtrado de DNS en la red corporativa, no hay protección ante esto.
Atacantes explotaron un zero-day —vulnerabilidad sin parche disponible al momento del ataque— en KnowledgeDeliver, un sistema de gestión de aprendizaje (LMS) corporativo, para instalar la web shell Godzilla. Una web shell es una puerta trasera remota que otorga al atacante control total del servidor. Instituciones o empresas que usen KnowledgeDeliver como plataforma de capacitación interna deben desconectarla del acceso público de inmediato.
Un zero-day en el sistema de gestión de aprendizaje KnowledgeDeliver fue explotado para instalar herramientas de ataque avanzadas. El riesgo no es solo el LMS: si el servidor está conectado a la red interna sin segmentación, el atacante puede moverse desde la plataforma de capacitación hasta sistemas de nómina, contabilidad o producción.
600,000 registros de padrones nacionales fueron filtrados, posiblemente por un actor estatal. El dato más relevante no es la magnitud — es el acceso: alguien tuvo permisos suficientes para exportar toda esa información sin que nadie lo detectara. Para cualquier organización que resguarda datos masivos, la pregunta es la misma: ¿quién puede hacer lo mismo con los datos propios?
Un atacante con tu contraseña puede saturar tu teléfono con solicitudes de aprobación MFA hasta que aceptas una por fatiga o distracción. No necesita robar el segundo factor — solo necesita que lo apruebes tú. Si la empresa usa MFA por notificación push sin controles adicionales, la autenticación no da la protección que parece.
Microsoft lanzó un parche fuera de su ciclo mensual habitual para una vulnerabilidad crítica en SharePoint —plataforma donde la mayoría de organizaciones con Microsoft 365 almacena documentos internos, contratos y correos archivados. Un parche de emergencia fuera de ciclo indica severidad alta y posible explotación activa. Las organizaciones con SharePoint Server on-premise son las más expuestas.
Si la empresa usa SharePoint Server en instalaciones propias, un atacante externo puede ejecutar código en el servidor sin credenciales ni privilegios previos. El riesgo es acceso total a documentos, sitios de proyecto y datos de colaboración almacenados en SharePoint. El parche ya está disponible — cada día sin aplicarlo es una ventana abierta.
La vulnerabilidad 'BadHost' en Starlette —librería con 325 millones de descargas semanales y base de frameworks como FastAPI— puede comprometer aplicaciones de IA y APIs construidas sobre ella. FastAPI es ampliamente usado para construir backends y agentes de IA; una empresa que haya desplegado servicios con este framework puede estar expuesta sin saberlo. Se recomienda actualizar a la versión parcheada de inmediato.
El FBI advierte sobre Kali365, una plataforma que vende capacidad de ataque de phishing a terceros y usa el mecanismo de autenticación OAuth de Microsoft para robar sesiones activas y eludir la verificación en dos pasos. Cualquier empresa que use Microsoft 365 está en el radio de acción.
El grupo de ciberespionaje vinculado a Corea del Norte opera una nueva cadena de ataque multietapa que instala un troyano de acceso remoto directamente en memoria del sistema, sin escribir archivos en disco, para evadir herramientas de detección tradicionales. Objetivo principal: sector financiero y empresas que operan con criptomonedas.
Una campaña activa inyectó commits falsos en más de 5,500 repositorios públicos de GitHub para agregar flujos de trabajo de CI/CD maliciosos que roban credenciales, tokens y secretos de despliegue cuando se ejecutan.
Campaña activa desde el 22 de mayo distribuye malware de robo de credenciales a través de 34 paquetes maliciosos publicados simultáneamente en los tres registros de software más usados. Cualquier equipo de desarrollo con proyectos en JavaScript, Python o Rust está en riesgo.
Una campaña masiva explota una vulnerabilidad crítica en Ghost CMS para inyectar código que muestra avisos falsos a los visitantes y los manipula para que ejecuten malware en sus propios equipos. Los sitios sin actualizar pueden estar comprometidos sin saberlo.
Cisco Talos documentó una intrusión activa desde enero 2026 donde un atacante desplegó el RAT CloudZ junto con un plugin inédito llamado 'Pheno' capaz de interceptar mensajes OTP, neutralizando la autenticación de dos factores.
CVE-2026-31431 es una escalación de privilegios local en el kernel Linux que permite obtener acceso root de forma sigilosa. Afecta millones de sistemas incluyendo servidores, VPS y contenedores.
CISA confirmó explotación activa de CVE-2026-9082, una inyección SQL en Drupal Core que afecta todas las versiones soportadas. Los sitios sin actualizar son objetivo inmediato.
Aplicaciones Android maliciosas usan automatización de WebView e interceptación de OTPs para completar suscripciones fraudulentas a servicios premium cargadas directamente a la factura del operador.
Cisco Talos distila su reporte anual 2025 en cinco prioridades prácticas para que los equipos de defensa enfoquen su atención en lo que más importa — en lugar de reaccionar a todo el ruido.
Un ataque de ransomware Nitrogen afectó las instalaciones norteamericanas de Foxconn. Es uno de 600 ataques contra el sector manufacturero en 2026, donde los grupos priorizan industrias con baja tolerancia al tiempo de inactividad.
GitHub confirmó el robo de aproximadamente 4,000 repositorios internos por parte del actor TeamPCP. El incidente expone código propietario y potencialmente secretos, tokens y credenciales embebidos.
Unit 42 documentó cómo atacantes explotan plantillas mal configuradas en AD CS para escalar privilegios hasta Domain Admin. El grupo Fighting Ursa (APT ruso) ya utiliza activamente estas técnicas.
Talos comenzó a rastrear números telefónicos dentro de correos de scam como indicadores de compromiso. Los análisis muestran patrones de reutilización que permiten detectar campañas activas antes de que los usuarios caigan en ellas.
Atacantes comprometieron paquetes de localización ampliamente usados en proyectos Laravel para distribuir malware que roba credenciales. Equipos de desarrollo que actualizaron dependencias durante el período de compromiso pueden tener sus credenciales expuestas.
Cuatro paquetes del ecosistema Laravel-Lang fueron comprometidos para distribuir un framework de robo de credenciales multiplataforma. Proyectos PHP con estas dependencias deben auditarse de inmediato.
Actores de amenaza están usando agentes de IA para generar herramientas de ataque personalizadas en campañas dirigidas específicamente a organizaciones en México y Brasil, según Dark Reading.
Vulnerabilidad de severidad máxima en el plugin LiteSpeed para cPanel permite a cualquier usuario ejecutar scripts con privilegios de root. Explotación activa confirmada en entornos de hosting compartido.
CVE-2026-42897 es una vulnerabilidad XSS en Exchange que permite comprometer buzones de Outlook Web Access. Está bajo explotación activa y Microsoft aún no ha publicado parche.
Cisco Talos confirma explotación activa de CVE-2026-20182, un bypass de autenticación en Cisco Catalyst SD-WAN Controller y Manager. Organizaciones con infraestructura SD-WAN de Cisco deben parchear de inmediato.
Grupos como Midnight Blizzard y Void Blizzard están usando el framework open source ROADtools para comprometer entornos Azure y Entra ID. Organizaciones con Microsoft 365 deben revisar sus configuraciones de identidad.
Unit 42 identificó extensiones de navegador con IA que se presentan como herramientas de productividad pero interceptan correos, roban contraseñas y exfiltran datos en segundo plano.
Cisco Talos divulgó ocho vulnerabilidades en dispositivos TP-Link y una falla adicional en Adobe Photoshop, OpenVPN y Norton VPN. Todas cuentan con parche disponible — la acción requerida es actualizar.
Unit 42 documentó clusters de malware TamperedChef que distribuyen troyanos de acceso remoto mediante aplicaciones de productividad modificadas — lectores PDF, herramientas de documentos — y publicidad maliciosa.
El reporte anual de brechas de Verizon (DBIR 2026) documenta cómo el sector salud enfrenta una escalada de ataques de ingeniería social cada vez más sofisticados, mientras ransomware y brechas por proveedores siguen siendo los vectores dominantes.
Un investigador de seguridad divulgó tres nuevas vulnerabilidades zero-day en Windows — YellowKey, GreenPlasma y MiniPlasma — sumándose a una cadena de divulgaciones en las últimas seis semanas.
Drupal confirmó que hackers están explotando activamente CVE-2026-9082, una inyección SQL crítica que permite acceso no autenticado, escalación de privilegios y ejecución de código remoto. Sitios con Drupal sin actualizar deben aplicar el parche de inmediato.
Aplicaciones maliciosas de Android usan automatización y robo de códigos OTP para completar suscripciones de pago mediante cargo a la factura del operador, sin intervención del usuario. El fraude aparece directamente en el recibo telefónico.
Autoridades de Francia, Países Bajos y otros países desmantelaron 'First VPN', un servicio de VPN criminal que usaban al menos 25 grupos de ransomware para ocultar el origen de sus ataques, robo de datos y escaneos masivos.
Hackers comprometieron una extensión de VS Code (Nx Console) mediante un ataque a paquetes npm de TanStack, lo que les permitió robar tokens y acceder a 3,800 repositorios internos de GitHub. El vector: una actualización maliciosa en herramientas de desarrollo ampliamente usadas.
Microsoft publicó parches de emergencia para dos vulnerabilidades zero-day en Defender que ya están siendo explotadas. Una permite escalación de privilegios (CVE-2026-41091, CVSS 7.8) y otra causa denegación de servicio. Cualquier equipo con Windows debe aplicar Windows Update de inmediato.
El grupo de ransomware Bashe afirma haber comprometido a MINSA.COM.MX — uno de los mayores productores mexicanos de harina de maíz nixtamalizada. El incidente no ha sido confirmado por la empresa. Según el grupo, el plazo de extorsión vence el 3 de junio de 2026.
Trend Micro publicó un parche de emergencia para CVE-2026-34926, un zero-day de directory traversal en Apex One (versión on-premise) que ya está siendo explotado en ataques reales contra sistemas Windows. Aplicar la actualización es prioritario.
Ubiquiti publicó parches para tres vulnerabilidades de severidad máxima en UniFi OS que permiten a atacantes remotos sin credenciales tomar control de routers, switches y access points. Equipos de red Ubiquiti son comunes en oficinas medianas y pequeñas.
Google publicó una actualización de emergencia para Chrome que corrige vulnerabilidades críticas explotables desde sitios web maliciosos. Basta visitar una página comprometida para que un atacante ejecute código en el equipo. Aplicar la actualización es inmediato y no requiere IT.
El actor Storm-2949 explotó el mecanismo de Self-Service Password Reset (SSPR) de Microsoft para engañar al sistema de MFA y acceder a Microsoft 365, Azure y servicios de almacenamiento de una organización con activos de alto valor.
Una campaña activa envía SMS fraudulentos suplantando a Telegram para obtener números de teléfono y códigos de inicio de sesión. El objetivo es tomar control total de la cuenta de la víctima y acceder a sus conversaciones.
Se identificó la publicación de una base de datos aparentemente perteneciente al Colegio de Estudios Científicos y Tecnológicos del Estado de Oaxaca (CECyTEO) en BreachForums. La información podría incluir datos personales de estudiantes y personal del sistema.
Dos grupos de amenaza identificados como SHADOW-AETHER-040 y SHADOW-AETHER-064 están usando agentes de IA para ejecutar intrusiones dirigidas a gobiernos y sector financiero en América Latina. Uno de los grupos sigue activo desde abril de 2026.
CVE-2026-8631 (CVSS 9.3): un desbordamiento de buffer en HPLIP — el software de impresión HP para Linux — permite a un atacante ejecutar código remoto enviando un trabajo de impresión malformado, sin necesidad de credenciales.
Se detectó una campaña de phishing que utiliza códigos QR en correos electrónicos para dirigir a empleados a páginas falsas de autenticación. El objetivo es obtener credenciales de Microsoft 365 y Google Workspace utilizadas en entornos corporativos.
El actor malicioso TeamPCP comprometió un dispositivo de un empleado de GitHub y extrajo más de 3,800 repositorios internos. GitHub confirmó que no hay evidencia de impacto a repositorios ni datos de clientes.
Microsoft desmanteló una operación del actor Fox Tempest que abusaba del sistema de firma de artefactos de la compañía para hacer que malware pareciera software legítimo firmado digitalmente, comprometiendo miles de equipos.
Se reporta la explotación activa de una vulnerabilidad crítica en entornos VMware ESXi. El vector de ataque permite ejecución remota y posible despliegue de ransomware en infraestructura virtualizada sin necesidad de credenciales previas.
El grupo Chronus modificó páginas públicas de un subdominio gubernamental. Si tu empresa tiene trámites o integraciones con dependencias de CDMX, verifica que los portales que usas sean los oficiales.
El grupo Sociedad Privada 157 publicó documentos supuestamente internos del gobierno municipal. Posible exposición de datos de proveedores y contratistas. Si tu empresa tiene contratos con el municipio, monitorea comunicaciones oficiales.
Se detectó una publicación en foros de la dark web mencionando datos de una empresa financiera mexicana. Se monitorea la situación. Sin confirmación oficial aún.