vulnerabilidad - ojeo.com

23 Mar 2026

Trivy: Ataque comprometió herramientas de seguridad

Un actor malicioso comprometió temporalmente la cadena de suministro del ecosistema Trivy, una herramienta de seguridad de código abierto, entre el 19 y el 22 de marzo de 2026. El atacante utilizó credenciales comprometidas para publicar versiones maliciosas de Trivy v0.69.4, v0.69.5 y v0.69.6, así

20 Mar 2026

Vulnerabilidades en Azure: Ataques evaden registros de inicio

Investigadores de seguridad han descubierto cuatro vulnerabilidades en los registros de inicio de sesión de Azure Entra ID, permitiendo a los atacantes validar contraseñas sin que aparezcan en los registros, lo que dificulta la detección de intrusiones. El investigador, conocido como Nyxgeek, ha rev

19 Mar 2026

Cloudflare: fallo en reglas permite eludir seguridad

Expertos han descubierto una vulnerabilidad en la configuración de las reglas de seguridad de Cloudflare que puede permitir a los atacantes eludir medidas de protección. El problema radica en el orden de ejecución de las reglas, donde las acciones 'terminantes' (como 'Interactive Challenge', 'JS Cha

18 Mar 2026

Vulnerabilidad en Ubuntu da acceso root a atacantes

Investigadores de Qualys han descubierto una vulnerabilidad de escalada de privilegios local (CVE-2026-3888) que afecta a las versiones de escritorio de Ubuntu 24.04 y posteriores. La falla permite a un atacante local sin privilegios obtener acceso root al sistema, explotando una interacción no inte

15 Mar 2026

Falla en trusts de Windows permite acceso no autorizado

Investigadores de seguridad han descubierto una vulnerabilidad en la configuración de 'trusts' unidireccionales (one-way trusts) en entornos Windows Active Directory. Estos trusts, diseñados para permitir el acceso de un dominio a los recursos de otro, pueden ser comprometidos permitiendo a un ataca

13 Mar 2026

Filtran código de plataforma gubernamental sueca tras ciberataque

Un grupo de hackers conocido como ByteToBreach ha filtrado el código fuente completo de la plataforma de gobierno electrónico de Suecia, según informa Dark Web Informer. El código fue obtenido a través de una infraestructura gravemente comprometida de CGI Sverige AB, la filial sueca de la empresa gl

11 Mar 2026

Brecha en IA de McKinsey: Datos Sensibles Expuestos

La consultora McKinsey & Company sufrió una brecha de seguridad significativa en su plataforma de inteligencia artificial interna, llamada Lilli, según un informe publicado por CodeWall. Un agente autónomo de seguridad, sin necesidad de credenciales ni conocimiento interno, logró acceder a la base d

10 Mar 2026

Falla en Apache FOP evade seguridad de GhostScript

Investigadores de seguridad han descubierto una vulnerabilidad en la forma en que Apache FOP, un procesador de objetos de formato, genera archivos PostScript que luego son interpretados por GhostScript para crear archivos PDF. La falla permite a atacantes eludir la sandbox de GhostScript, diseñada p

08 Mar 2026

Azure WAF: Configuración predeterminada expone apps a riesgos

Una configuración predeterminada de Azure Web Application Firewall (WAF) está dejando aplicaciones vulnerables, según un informe reciente. La configuración predeterminada es el modo de 'Detección', que registra ataques pero no los bloquea, a menudo sin que los equipos de seguridad se den cuenta. Mic

04 Mar 2026

Estudiante revela fallo de seguridad en reloj infantil

Un estudiante de la Real Escuela Superior de Tecnología de Estocolmo (KTH), Gustaf Blomqvist, ha descubierto graves fallos de seguridad en un reloj inteligente para niños como parte de su tesis. El reloj, popular entre los niños, presentaba una vulnerabilidad en su servicio de red que permitía a cua

04 Mar 2026

TPMS: Sistemas de neumáticos revelan ubicación del coche

Investigadores de seguridad han descubierto que los sistemas de presión de neumáticos (TPMS) de vehículos de marcas como Toyota, Mercedes-Benz y otras, pueden ser utilizados para rastrear silenciosamente la ubicación del coche. Según un informe publicado en el blog Elhacker.net, los sistemas TPMS, q

03 Mar 2026

Falla en PHP 8: Ataques evaden seguridad

Investigadores han descubierto una vulnerabilidad crítica en PHP 8 que permite a los atacantes evadir las restricciones de seguridad implementadas a través de la función `disable_functions`. La vulnerabilidad, demostrada a través de un 'Proof of Concept' (PoC) publicado en GitHub, explota un error d

02 Mar 2026

Pocos amigos: ¿independencia infantil temprana?

Este artículo explora un fenómeno psicológico llamado hiperindependencia, que se manifiesta en personas que tienen pocos amigos cercanos y a menudo se describen a sí mismas como 'independientes'. La autora, Halle Kaye, comparte su propia experiencia y explica cómo este patrón de comportamiento suele

28 Feb 2026

GitHub Copilot CLI: Vulnerabilidad permite ejecutar malware

Investigadores han descubierto una vulnerabilidad crítica en la nueva interfaz de línea de comandos (CLI) de GitHub Copilot que permite la descarga y ejecución de malware sin la aprobación del usuario. La falla, identificada tras el lanzamiento general de la CLI hace dos días, se produce debido a un

26 Feb 2026

Fallo en Linux: Hack intentó tomar control de servidores

Un fallo de seguridad crítico, descubierto recientemente, puso en riesgo la seguridad de millones de servidores en todo el mundo. El incidente, revelado en un video de Veritasium, involucra una puerta trasera maliciosa insertada en la utilidad de compresión XZ, un componente esencial del sistema ope

26 Feb 2026

Fallo en Google expone claves API tras cambio en Gemini

Un fallo de seguridad recientemente descubierto en Google ha expuesto claves API que, sin el conocimiento de los desarrolladores, han otorgado acceso a la API Gemini, una plataforma de inteligencia artificial generativa. La vulnerabilidad, revelada por Truffle Security, surge de una práctica de Goog

25 Feb 2026

Fallo en OpenBSD: Vulnerabilidad afecta sistemas antiguos

Este artículo explora una vulnerabilidad de seguridad recientemente descubierta en OpenBSD 6.3 para sistemas i386 (32 bits), que permitía a procesos de usuario causar fallos en todo el sistema operativo. La raíz del problema se remonta a una peculiaridad en el diseño de la arquitectura x86, específi

25 Feb 2026

Fallo en Unicode abre puerta a ataques de suplantación

Un fallo de compatibilidad entre la lista 'confusables.txt' y la normalización NFKC podría dejar sistemas vulnerables a ataques de homoglífos. 'confusables.txt', un archivo de la Unicode Consortium, mapea caracteres visualmente similares para detectar posibles suplantaciones (como usar una 'а' ciríl

22 Feb 2026

Criptografía: Bibliotecas AES con fallas de seguridad

Dos populares bibliotecas de cifrado AES, aes-js y pyaes, han sido criticadas por Trail of Bits por incluir un Vector de Inicialización (IV) predeterminado en su API AES-CTR, lo que facilita la reutilización de claves/IV y crea vulnerabilidades de seguridad en miles de proyectos. Esta práctica, junt

20 Feb 2026

VS Code: Hallan fallos que exponían archivos locales

Investigadores de Trail of Bits han descubierto y revelado tres vulnerabilidades en extensiones de VSCode, incluyendo una en el propio VSCode que permite eludir medidas de seguridad (CVE-2022-41042) y que podría haber permitido el robo de archivos locales. La investigación, motivada por la evaluació

16 Feb 2026

Bluetooth al descubierto: herramienta revela riesgos ocultos

Un investigador ha desarrollado "Bluehood", una herramienta de escaneo Bluetooth que revela la cantidad de información que se expone al mantener el Bluetooth activado. La herramienta, creada tras la reciente divulgación de una vulnerabilidad crítica (CVE-2025-36911) que permite el secuestro remoto d

12 Feb 2026

Apple corrige falla de seguridad en iOS, usada en ataques

Apple ha lanzado una actualización de seguridad para iOS y iPadOS (versión 26.3) que corrige una vulnerabilidad de seguridad (CVE-2026-20700) que ha estado presente desde la versión 1.0 del sistema operativo. La vulnerabilidad, descubierta por el Grupo de Análisis de Amenazas de Google, afecta a 'dy

12 Feb 2026

Telnet: ¿Muerto o Vivo? Análisis Refuta Alerta

Un reciente informe de GreyNoise alertó sobre una caída drástica en el tráfico Telnet desde importantes proveedores de servicios de Internet (ISP) en Estados Unidos, coincidiendo con la publicación de una vulnerabilidad (CVE-2026-24061) en GNU Inetutils. Sin embargo, Terrace Networks, una empresa es

10 Feb 2026

Telnet: Tráfico global se desploma en evento inusual

El 14 de enero de 2026, aproximadamente a las 21:00 UTC, se produjo un colapso repentino y sostenido del tráfico global de Telnet, según lo registrado por GreyNoise Labs. La actividad se desplomó un 65% en una hora y un 83% por debajo del nivel base en dos horas, afectando a una gran cantidad de ses

09 Feb 2026

IA en riesgo: Fuga de datos por previsualizaciones

Investigadores han descubierto una nueva vulnerabilidad en sistemas que utilizan agentes de inteligencia artificial (IA) comunicándose a través de aplicaciones de mensajería como Slack y Telegram. La falla, denominada 'exfiltración de datos a través de previsualizaciones de enlaces', permite que dat

09 Feb 2026

Ivanti: Ciberataque Implanta Puertas Traseras Ocultas

Un sofisticado ciberataque dirigido a usuarios de Ivanti Endpoint Manager Mobile (EPMM) ha sido detectado a partir del 4 de febrero de 2026. La vulnerabilidad, relacionada con CVE-2026-1281 y CVE-2026-1340, permite el acceso no autenticado a los endpoints de la aplicación. A diferencia de explotacio

08 Feb 2026

Falla en Roundcube: Atacantes rastrean emails pese a bloqueos

Investigadores de seguridad han descubierto una vulnerabilidad en Roundcube Webmail que permite a los atacantes rastrear la apertura de correos electrónicos incluso cuando la opción "Bloquear imágenes remotas" está activada. La falla, divulgada el 8 de febrero de 2026, reside en la forma en que el s

07 Feb 2026

Temporal: Vulnerabilidad permite acceso a otros 'namespaces'

Investigadores de depthfirst han descubierto una vulnerabilidad de seguridad (CVE-2025-14986) en el endpoint ExecuteMultiOperation de Temporal, una plataforma de ejecución duradera utilizada por empresas como Netflix, Stripe y Datadog. La vulnerabilidad, identificada el 5 de febrero de 2026, es un f

06 Feb 2026

AMD: Vulnerabilidad RCE no será parcheada

Un investigador de seguridad ha descubierto una vulnerabilidad de ejecución remota de código (RCE) en el software AutoUpdate de AMD, la cual no será corregida por la compañía. El fallo, detectado el 27 de enero de 2026 y reportado a AMD el 5 de febrero de 2026, reside en el uso de HTTP para descarga