El ‘device code phishing’ se ha multiplicado alrededor de 37 veces en 2026 impulsado por kits que automatizan el abuso del OAuth 2.0 Device Authorization Grant. El engaño permite a los ...

Una campaña automatizada está explotando React2Shell (CVE-2025-55182) para lograr RCE preautenticación en aplicaciones Next.js y desplegar recolección de secretos a gran escala. Tras comprometer ...

Qilin y Warlock están recurriendo a BYOVD (Bring Your Own Vulnerable Driver) para desactivar defensas a nivel kernel y dejar inoperativas más de 300 herramientas EDR. En Qilin destaca una cadena ...

Fortinet ha lanzado un hotfix de emergencia para CVE-2026-35616, una vulnerabilidad crítica en FortiClient EMS que ya se está explotando. El fallo permite a atacantes no autenticados eludir ...

Google ha publicado una actualización de Chrome para corregir el zero-day CVE-2026-5281, un fallo use-after-free en Dawn/WebGPU que está siendo explotado activamente. La recomendación es ...

Atacantes comprometieron la publicación de Axios en npm y subieron dos versiones maliciosas (axios@1.14.1 y axios@0.30.4) durante una ventana de pocas horas. Esas versiones añadían una dependencia ...

En los últimos días se ha hecho pública una vulnerabilidad crítica en NLTK, una de las librerías más utilizadas en Python para procesamiento de lenguaje natural. Bajo el identificador ...

Nuevo año, nuevos retos. Hispasec anuncia la campaña gamificada de hacking Capture The Famous Bandit! (#CTFBandit), una serie de doce retos de ciberseguridad repartidos entre los doce meses del año ...

La conocida herramienta RVTools, utilizada para administrar entornos VMware, ha sido utilizada por ciberdelincuentes para propagar malware a través de instaladores falsos. Estos instaladores ...

Adversa describe un fallo de tipo SSFR en el mecanismo de routing que permite manipular la decisión del router mediante frases trigger incluidas en el prompt. En palabras de Alex Polyakov (cofundador ...