La plataforma de préstamos peer‑to‑peer Prosper investiga un incidente de ciberseguridad con impacto significativo en datos personales. La compañía confirmó accesos no autorizados a bases de datos con información de clientes y solicitudes de crédito. En paralelo, el agregador de filtraciones Have I Been Pwned (HIBP) atribuye el evento a un conjunto que afecta a … Leer más

Microsoft ha modificado el comportamiento del panel de vista previa en el Explorador de archivos de Windows para reducir un vector de filtración de credenciales con interacción mínima. Desde las actualizaciones publicadas el 14 de octubre de 2025, la vista previa se deshabilita automáticamente para archivos descargados de Internet o ubicados en rutas que Windows … Leer más

Un incidente de gran escala en AWS US-EAST-1 volvió a subrayar los riesgos de las arquitecturas “solo en la nube” en el Internet de las Cosas (IoT). Entre los afectados se encontraron las camas inteligentes de Eight Sleep, cuyo mal funcionamiento —desde el control térmico hasta el posicionamiento del somier— evidenció que funciones críticas dependían … Leer más

Microsoft ha publicado parches para la vulnerabilidad crítica CVE-2025-55315 en el servidor web Kestrel utilizado por ASP.NET Core. El fallo, clasificado como HTTP request smuggling y con una puntuación CVSS de 9,9/10, puede permitir que un atacante autenticado introduzca solicitudes ocultas a través de la cadena de entrega HTTP, eludiendo controles del proxy o del … Leer más

Un tribunal federal del Distrito Norte de California concedió a WhatsApp (propiedad de Meta) una orden judicial permanente contra NSO Group, desarrollador israelí del spyware Pegasus. La decisión prohíbe cualquier intento de ataque, interceptación o compromiso de usuarios de WhatsApp, así como acciones para descifrar mensajes protegidos por cifrado de extremo a extremo basado en … Leer más

Las fuerzas de seguridad europeas han ejecutado la operación SIMCARTEL y desmantelado una infraestructura industrial de SIM farms empleada para phishing, estafas de inversión, extorsión y creación masiva de perfiles falsos. Según Europol, la red contaba con cerca de 1.200 SIM-box y 40.000 tarjetas SIM, y su clausura incluye la desactivación de los servicios gogetsms[.]com … Leer más

Investigadores de Koi Security han documentado una campaña de supply chain que afecta al ecosistema de extensiones de Visual Studio Code. La amenaza, bautizada como GlassWorm, consiguió infiltrar código malicioso tanto en OpenVSX como en el Visual Studio Code Marketplace, registrando al menos 35.800 instalaciones. Dada la omnipresencia de VS Code en equipos de desarrollo, … Leer más

Investigadores de Kaspersky alertaron sobre un paquete malicioso en npm denominado https-proxy-utils, camuflado como utilidades de proxy legítimas. Tras su instalación, el paquete descargaba y ejecutaba AdaptixC2, un framework de post‑explotación de código abierto. Aunque el paquete ya fue retirado del registro, el incidente vuelve a evidenciar la exposición de la cadena de suministro de … Leer más

Investigadores de Edera revelaron una vulnerabilidad crítica en la biblioteca abandonada async‑tar y varios forks, incluido el popular tokio‑tar. El fallo, denominado TARmageddon e identificado como CVE‑2025‑62518, permite a un atacante no autenticado inyectar entradas adicionales en un archivo TAR durante la extracción, posibilitando la ejecución remota de código (RCE) cuando los artefactos resultantes se … Leer más

Investigadores de Kaspersky han observado una nueva oleada de actividad de la agrupación PassiveNeuron entre diciembre de 2024 y agosto de 2025, con objetivos en organismos gubernamentales, entidades financieras y compañías industriales de Asia, África y América Latina. La campaña destaca por su foco en sistemas operativos de servidor, especialmente Windows Server, elevando el riesgo … Leer más