Investigadores de seguridad han revelado una campaña de ataque a la cadena de suministro en npm que comprometió al menos 187 paquetes con un gusano autorreplicable diseñado para trojanizar dependencias y recolectar secretos de desarrolladores. La operación, bautizada Shai-Hulud, toma su nombre del workflow shai-hulud.yaml que los atacantes insertan en repositorios de víctimas. Entre los … Leer más

Samsung ha publicado un parche para CVE-2025-21043, una vulnerabilidad de día cero con puntuación CVSS 8,8 que ya estaba siendo explotada en ataques dirigidos. El fallo afecta a dispositivos con Android 13 y versiones posteriores y fue reportado el 13 de agosto de 2025 por los equipos de seguridad de Meta y WhatsApp, lo que … Leer más

Analistas de Koi Security han documentado una campaña coordinada, atribuida al actor WhiteCobra, que compromete la cadena de suministro de extensiones para desarrolladores. Al menos 24 paquetes VSIX maliciosos fueron publicados en VS Code Marketplace y Open VSX Registry, dirigidos a usuarios de VS Code, Cursor y Windsurf. La operación muestra un patrón de “despliegue … Leer más

El mercado mundial del spyware comercial atraviesa una fase de expansión sostenida alimentada por nuevos flujos de capital. Un reciente informe del Atlantic Council identifica un incremento notable de inversiones —con especial protagonismo de Estados Unidos e Israel— y un desalineamiento entre las políticas de contención y la financiación real que soporta a proveedores, revendedores … Leer más

La Comisión Europea impuso a Google una sanción de 2,95 mil millones de euros por abuso de posición dominante en el mercado de tecnologías publicitarias y prácticas de self‑preferencing. Además, ordenó poner fin a las conductas anticompetitivas y adoptar medidas estructurales que mitiguen conflictos de interés en su ecosistema adtech. El expediente se sustenta en … Leer más

Apple presentó iPhone 17 y iPhone Air con Memory Integrity Enforcement (MIE), un mecanismo de aplicación continua de la integridad de memoria integrado en iOS 26 y habilitado por defecto. La compañía posiciona MIE para dificultar cadenas de exploits avanzadas empleadas por proveedores de spyware comercial, apoyándose en los nuevos chips A19 y A19 Pro … Leer más

ESET ha identificado un nuevo prototipo de ransomware, denominado HybridPetya, que combina técnicas de Petya/NotPetya con capacidades de bootkit UEFI. El archivo apareció en VirusTotal y, según los analistas, podría tratarse de un proof‑of‑concept, una versión temprana o una herramienta en pruebas limitadas. Pese a su madurez incipiente, ya demuestra la capacidad de eludir Secure … Leer más

Microsoft publicó su ciclo de parches de septiembre con 81 vulnerabilidades corregidas en Windows y servicios asociados. El boletín incluye nueve fallos críticos, en su mayoría de ejecución remota de código (RCE), y dos zero‑day divulgados públicamente. Según Microsoft, no hay evidencias de explotación activa en el momento del lanzamiento, pero la exposición de varios … Leer más

La iniciativa AI Darwin Awards abrió la convocatoria a nominaciones con un objetivo claro: evidenciar las consecuencias de implantar inteligencia artificial sin controles adecuados. No busca ridiculizar la tecnología, sino documentar errores para que la industria aprenda. El proyecto, impulsado por un ingeniero de software conocido como Pete, surgió en un foro profesional de Slack … Leer más

Una vulnerabilidad crítica, identificada como CVE-2025-54236 y apodada SessionReaper, impacta a Adobe Commerce y Magento con una severidad de 9,1 CVSS. Según Adobe y la firma de investigación Sansec, el fallo permite el secuestro de sesión y la posterior toma de cuentas sin autenticación a través del REST API. El parche oficial ya está disponible … Leer más