39 noticias
El ecosistema de código abierto enfrenta una oleada sin precedentes de vulnerabilidades descubiertas por herramientas de IA. Metabase, una plataforma de business intelligence, pasó de recibir 10 informes de seguridad mensuales a 10 semanales desde enero de 2026. Este cambio radical se debe al avance
Anthropic ofreció acceso a su modelo de inteligencia artificial Mythos, especializado en detectar vulnerabilidades de seguridad en código fuente, a proyectos de código abierto a través de la Linux Foundation. Daniel Stenberg, desarrollador principal de curl, recibió esta oportunidad y el modelo anal
La política de divulgación responsable de 90 días, estándar de la industria de seguridad informática durante más de una década, ha quedado obsoleta debido a la irrupción de los modelos de lenguaje de gran escala (LLM). El propósito original de esta política era dar tiempo a los proveedores para parc
cPanel lanzó el 8 de mayo de 2026 un segundo parche de seguridad de emergencia en apenas diez días, corrigiendo tres nuevas vulnerabilidades: CVE-2026-29201, CVE-2026-29202 y CVE-2026-29203. Dos de ellas tienen puntuación CVSS de 8.8, catalogadas como Alta severidad. La primera permite lectura arbit
El desarrollador Sasha Levin envió un parche al kernel de Linux que introduce 'killswitch', un nuevo mecanismo de mitigación que permite desactivar funciones vulnerables del núcleo de forma inmediata sin necesidad de reiniciar el sistema. La herramienta permite a administradores con privilegios escr
Anthropic anunció que su sistema Claude Mythos descubrió y explotó una vulnerabilidad de ejecución remota de código (CVE-2026-4747) en sistemas de archivos en red de FreeBSD, denominándola 'el primer exploit de kernel descubierto por una IA'. Sin embargo, investigadores de seguridad revelaron que es
Usuarios de Linux han sido advertidos de posponer la instalación de nuevo software debido a la aparición de múltiples vulnerabilidades en el kernel, siguiendo los recientes problemas relacionados con [copy.fail]. El experto en seguridad, citado en xeiaso.net, sugiere una pausa de una semana en la in
Una reciente investigación publicada en el blog de Sebastian Wick revela riesgos de seguridad inherentes al manejo de archivos, especialmente en entornos donde procesos con diferentes privilegios interactúan. El problema radica en que las rutas de archivo, a menudo utilizadas para acceder a recursos
Anthropic y Mozilla han generado controversia con anuncios sobre el uso de la herramienta Mythos para identificar vulnerabilidades. Mythos, una herramienta de inteligencia artificial, supuestamente encontró vulnerabilidades por menos de 20.000 dólares, lo que sugiere un avance significativo en la in
OpenAI ha lanzado GPT-5.5, un nuevo modelo de lenguaje que, según XBOW, rivaliza con Mythos de Anthropic y ofrece un salto significativo en la detección de vulnerabilidades. XBOW, una empresa de seguridad ofensiva, ha estado probando el modelo y ha observado un rendimiento superior en comparación co
El concepto de "Dependencias Binarias Fantasma" se refiere a una situación cada vez más común y preocupante en el desarrollo de software moderno. En esencia, son dependencias de bibliotecas o código precompilado (binarios) que un proyecto utiliza, pero que no se declaran explícitamente en los archiv
El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. ha anunciado una nueva política para su base de datos nacional de vulnerabilidades (NVD), marcando un cambio significativo en su enfoque de enriquecimiento de CVEs (Common Vulnerabilities and Exposures). Ante un aumento exponencial e
Investigadores de VidocSecurity han replicado los hallazgos de Anthropic sobre la capacidad de modelos de IA avanzados para identificar vulnerabilidades en software, utilizando modelos públicos como GPT-5.4 y Claude Opus 4.6. El estudio cuestiona la narrativa de Anthropic de que estas capacidades so
El Instituto de Seguridad de la IA (AISI) ha evaluado las capacidades de ciberseguridad de Anthropic’s Claude Mythos Preview, revelando un avance significativo en comparación con modelos anteriores. La evaluación, anunciada el 7 de abril, demostró que Mythos Preview puede ejecutar ataques multi-etap
Desarrolladores de Rust enfrentan riesgos crecientes debido a vulnerabilidades en la cadena de suministro de paquetes, según un análisis reciente. El problema radica en la facilidad con la que bibliotecas maliciosas pueden infiltrarse en proyectos, a menudo a través de 'typo-squatting' (nombres de b
La aparición de archivos de texto llamados 'cow.txt' en múltiples servidores web ha generado preocupación sobre la seguridad informática. La primera instancia de este fenómeno fue detectada cuando investigadores rastrearon un archivo 'cow.txt' alojado en un servidor de OpenAI, la empresa detrás de C
El secretario del Tesoro de EE.UU., Scott Bessent, convocó a los principales directores ejecutivos de bancos estadounidenses a una reunión en Washington esta semana debido a las preocupaciones sobre los riesgos cibernéticos planteados por el nuevo modelo de inteligencia artificial de Anthropic, llam
Un sofisticado ataque a la herramienta de análisis de vulnerabilidades Trivy, ampliamente utilizada, fue descubierto el 19 de marzo de 2026. Los atacantes inyectaron código malicioso en la versión oficial v0.69.4, permitiéndoles robar credenciales de forma silenciosa y sin dejar rastro. El ataque ex
Astral, una empresa que desarrolla herramientas para desarrolladores, ha publicado detalles sobre sus prácticas de seguridad en respuesta a recientes ataques a la cadena de suministro de software, como los que afectaron a Trivy y LiteLLM. La compañía busca compartir sus métodos para fortalecer la se
Investigadores de seguridad han reportado un aumento significativo en la cantidad de informes de vulnerabilidades, un fenómeno inédito que se ha estado observando diariamente desde finales de marzo de 2026. Este incremento se manifiesta en informes duplicados del mismo fallo, encontrados por diferen
Una comunidad impulsada por el código abierto ha lanzado "The Playground", una plataforma para estresar y mejorar las defensas de los agentes de inteligencia artificial (IA). La iniciativa, desarrollada por Fabraix, busca fomentar la confianza en estos sistemas al permitir que investigadores, ingeni
Wiz, una empresa especializada en seguridad en la nube, se ha integrado oficialmente en Google como parte de un acuerdo anunciado hace casi un año. La adquisición busca combinar la innovación de Wiz con la escala de Google para transformar la seguridad en la nube, especialmente en el contexto de la
Un artículo de nesbitt.io destaca una creciente preocupación por la seguridad en la gestión de dependencias dentro de plataformas como GitHub Actions, Ansible Galaxy y Terraform, comparándolas con sistemas de gestión de paquetes tradicionales pero sin sus salvaguardas. GitHub Actions, por ejemplo, c
Mozilla ha mejorado la seguridad de Firefox gracias a la colaboración con Anthropic, una empresa de inteligencia artificial. El equipo Frontier Red Team de Anthropic utilizó su modelo de lenguaje Claude para identificar más de una docena de vulnerabilidades de seguridad en el motor JavaScript de Fir
Este artículo relata la experiencia de un pentester durante una prueba de seguridad física en una empresa. La empresa contrató al equipo para realizar diversas pruebas, incluyendo una prueba física que implicaba simular un ataque y evaluar la respuesta de la seguridad. El objetivo principal era iden
Investigadores revelaron vulnerabilidades críticas en datos satelitales durante el Congreso de Comunicación Caótica (39C3) celebrado en Alemania. La presentación expuso cómo, con equipos de aproximadamente 500 dólares, es posible interceptar información sensible de satélites pertenecientes a compañí
Un estudio reciente de pebblebed.com analizó 125.000 vulnerabilidades en el kernel de Linux para identificar patrones y áreas de mejora. Los hallazgos revelan que existen “super-revisores”, individuos que corrigen errores casi el doble de rápido que el promedio (47% más rápido), y que los bugs intro
Cloudflare ha identificado un nuevo tipo de ataque a la seguridad web denominado "combinaciones tóxicas". Estos ataques no se basan en exploits individuales evidentes, sino en la convergencia de pequeñas vulnerabilidades y configuraciones erróneas, como flags de depuración expuestos o rutas de aplic
Una aplicación alojada en la plataforma Lovable, que utiliza inteligencia artificial para generar código (vibe-coding), expuso los datos de más de 18.000 usuarios, según denunció el investigador Taimur Khan. La aplicación, que permitía a usuarios crear y ver exámenes y calificaciones, tenía 16 vulne
Un cambio significativo en la gestión de vulnerabilidades de Linux está obligando a las empresas a replantear sus estrategias de seguridad. Greg Kroah-Hartman, jefe del Linux Kernel CNA, ha anunciado que el equipo del kernel ya no proporcionará puntuaciones CVSS para casi todas las correcciones de e
Dependabot, una herramienta automatizada de GitHub para gestionar dependencias, ha generado miles de alertas de seguridad innecesarias, especialmente en el ecosistema Go, según un análisis reciente del desarrollador Filippo Sottile. El problema surge porque Dependabot emite alertas para vulnerabilid
Un nuevo sitio web, knock-knock.net, visualiza en tiempo real el tráfico de bots que intentan acceder a servidores en internet. La plataforma, creada al exponer deliberadamente un servidor sin protección, muestra la constante actividad de bots que buscan vulnerabilidades en máquinas conectadas a la
Un grupo de trabajo ha propuesto una especificación humorística llamada 'SBOM 1.0' (Lista de Materiales de Sándwich) para abordar las vulnerabilidades en la cadena de suministro de alimentos, específicamente en la construcción de sándwiches. Inspirada en las listas de materiales de software, la SBOM
Apple ha lanzado las actualizaciones iOS 26.3, iPadOS 26.3 y macOS Tahoe 26.3, enfocadas principalmente en corrección de errores y mejoras de seguridad. Estas actualizaciones abordan decenas de vulnerabilidades, incluyendo una que ha sido explotada activamente para la ejecución de código arbitrario
La empresa AISLE ha descubierto 12 nuevas vulnerabilidades de seguridad de día cero en la biblioteca OpenSSL, una herramienta fundamental para la encriptación en gran parte de Internet. Utilizando un sistema de inteligencia artificial, AISLE ha sido responsable de la detección de 13 de las 14 vulner
La rápida adopción de la inteligencia artificial (IA) en herramientas y sistemas empresariales no representa una amenaza existencial para la ciberseguridad, sino que introduce riesgos más mundanos relacionados con la complejidad y la falta de responsabilidad. En lugar de una IA consciente que hackee
Anthropic ha anunciado mejoras significativas en su modelo de IA Claude Opus 4.6, que ahora es capaz de descubrir vulnerabilidades de seguridad en código a una escala sin precedentes. A diferencia de los métodos tradicionales de fuzzing, Claude Opus 4.6 razona sobre el código de manera similar a un
El popular editor de texto Notepad++ fue víctima de un ataque sofisticado por parte de un grupo de hackers, presumiblemente patrocinado por el estado chino, entre junio y diciembre de 2025. Los atacantes lograron comprometer la infraestructura de alojamiento del sitio web notepad-plus-plus.org, redi
La Agencia de Seguridad Cibernética y Infraestructura de EE. UU. (CISA) ha añadido tres vulnerabilidades a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV): una falla de deserialización en SolarWinds Web Help Desk (CVE-2025-40551), una vulnerabilidad SSRF en GitLab (CVE-2021-39935) y un pr
