Noticias 21/5/2026

Ukrainian Cyberpolice Identify Infostealer Operator

Resumen:
La ciberpolicía ucraniana, en colaboración con las fuerzas del orden de EE. UU., ha identificado a un joven de 18 años de Odesa sospechoso de operar una red de malware infostealer. Esta operación estaba dirigida a usuarios de una tienda online en California y se le vincula con el robo de 28.000 cuentas. Esta noticia es relevante para comprender la naturaleza de los ataques de robo de información y la colaboración internacional en la lucha contra el cibercrimen, sirviendo como ejemplo de los riesgos de credenciales comprometidas para la formación de empleados.

Leer el artículo completo

Brecha Grafana: Token sin rotar

Resumen:
La reciente brecha de datos de Grafana fue el resultado de un único token de flujo de trabajo de GitHub que no fue rotado. Este incidente ocurrió tras el ataque de la cadena de suministro de npm a TanStack la semana pasada, destacando la importancia crítica de una rotación exhaustiva de credenciales después de cualquier incidente de seguridad para prevenir ataques secundarios.

Leer el artículo completo

Alerta Crítica: Fallo RCE en Drupal Core

Resumen:
Drupal ha emitido actualizaciones de seguridad para una vulnerabilidad «altamente crítica» (CVE-2026-9082) en Drupal Core. Este fallo, con un CVSS de 6.5, reside en una API de abstracción de base de datos y podría ser explotado para lograr ejecución remota de código, escalada de privilegios o divulgación de información en sitios Drupal que usan PostgreSQL.

Leer el artículo completo

Microsoft Secures AI Agent Development

Resumen:
Microsoft ha lanzado dos herramientas de código abierto, RAMPART y Clarity, para ayudar a los desarrolladores a mejorar la seguridad de los agentes de inteligencia artificial durante su fase de desarrollo. RAMPART, en particular, es un framework de pruebas de seguridad basado en Pytest, diseñado para evaluar y medir los riesgos de los agentes de IA, asegurando una construcción más segura desde el inicio. Esto es relevante para entender las prácticas de seguridad en tecnologías emergentes y cómo prevenir futuras vulnerabilidades.

Leer el artículo completo

Noticias 20/5/2026

GitHub Investiga Acceso No Autorizado

Resumen:
GitHub está investigando una supuesta brecha de seguridad después de que el actor de amenazas TeamPCP afirmara haber obtenido acceso no autorizado a aproximadamente 4.000 de sus repositorios internos. TeamPCP está intentando vender el código fuente de GitHub y datos de organizaciones internas en un foro de ciberdelincuencia. GitHub ha declarado que, por el momento, no hay evidencia de impacto en la información de los clientes almacenada fuera de sus repositorios internos, pero la investigación está en curso. Este incidente subraya los riesgos de ataques a la cadena de suministro y la importancia de la seguridad interna.

Leer el artículo completo

Vulnerabilidad Buffer Overflow RUGGEDCOM Crítica

Resumen:
Se ha identificado una vulnerabilidad crítica de desbordamiento de búfer (CVE-2026-0300) que afecta a los dispositivos Siemens RUGGEDCOM APE1808. Esta vulnerabilidad, descrita inicialmente en el servicio User-ID™ Authentication Portal de Palo Alto Networks PAN-OS, permite a un atacante no autenticado ejecutar código arbitrario con privilegios de root al enviar paquetes especialmente diseñados. La puntuación CVSS es de 10.0 (CRÍTICA). Siemens está preparando parches y recomienda contramedidas inmediatas, como deshabilitar las páginas de respuesta y el portal de autenticación User-ID si no son necesarios, o restringir el acceso a direcciones IP internas de confianza. CISA también proporciona recomendaciones generales de seguridad para sistemas de control industrial.

Leer el artículo completo

Alerta: Vulnerabilidad Path Traversal ABB

Resumen:
Este artículo detalla una vulnerabilidad crítica de tipo «Path Traversal» (CVE-2025-3465) que afecta a los productos ABB CoreSense HM (versiones <=2.3.1) y CoreSense M10 (versiones <=1.4.1.12). Este fallo permite a usuarios no autenticados con acceso local a la máquina acceder a directorios restringidos, lo que podría llevar a un compromiso completo del sistema y la exposición de información sensible. Aunque requiere acceso local (no remoto), la vulnerabilidad tiene una puntuación CVSS de 7.1 (ALTA). ABB ha lanzado parches para corregir esta debilidad (CoreSense HM v2.3.4 y CoreSense M10 v1.4.1.31) y se recomienda a los clientes aplicar las actualizaciones de inmediato. La noticia también ofrece recomendaciones importantes de ciberseguridad para sistemas de control industrial (ICS), como minimizar la exposición de la red, usar firewalls, VPNs y restringir el acceso local, lo que la hace valiosa para la formación sobre la importancia de la seguridad en entornos OT y las estrategias de defensa en profundidad.

Leer el artículo completo

Noticias 19/5/2026

Ataque cadena suministro npm peligroso

Resumen:
Investigadores de ciberseguridad han descubierto una nueva campaña de ataque a la cadena de suministro de software, denominada «Mini Shai-Hulud». Esta campaña ha comprometido varios paquetes npm del ecosistema @antv, incluyendo el popular ‘echarts-for-react’ con más de un millón de usuarios semanales, mediante la explotación de una cuenta de mantenedor (atool) comprometida. Este tipo de ataque es crucial para entender cómo los atacantes distribuyen malware a través de dependencias de software confiables.

Leer el artículo completo

Noticias 18/5/2026

Windows MiniPlasma Zero-Day SYSTEM Access

Resumen:
Un investigador de ciberseguridad ha divulgado un exploit de prueba de concepto (PoC) para una vulnerabilidad de día cero en Windows, denominada «MiniPlasma». Esta vulnerabilidad permite a los atacantes obtener privilegios de SYSTEM en sistemas Windows completamente actualizados, lo que constituye una escalada de privilegios grave.

Leer el artículo completo

Tycoon2FA Phishing Targets Microsoft 365

Resumen:
El kit de phishing Tycoon2FA ahora utiliza ataques de phishing de código de dispositivo y abusa de las URL de seguimiento de clics de Trustifi para secuestrar cuentas de Microsoft 365. Esta evolución representa una técnica más sofisticada para evadir la autenticación multifactor (MFA) y comprometer los accesos corporativos.

Leer el artículo completo

Salarios y transparencia en el sector TECH

En el ecosistema tecnológico actual, especialmente en el ámbito de la consultoría en España, nos enfrentamos a una ineficiencia persistente en los procesos de selección: la opacidad salarial. Es habitual encontrar vacantes con rangos «a definir» o procesos donde la carga de la prueba recae exclusivamente en las expectativas del candidato, sin una oferta recíproca de transparencia por parte de la empresa.

Esta falta de claridad no es solo una cuestión de etiqueta profesional; es una pérdida de competitividad y recursos para ambas partes.

Uno de los consejos más valiosos que puedo dar a cualquier profesional, desde un perfil Junior hasta un Architect, es definir su mínimo aceptable antes de entablar cualquier conversación. Adoptar esta postura no responde a una ambición desmedida, sino a una gestión inteligente del tiempo:

  • Permite descartar oportunidades que no se alinean con nuestra trayectoria.
  • Elimina la improvisación y el factor emocional del proceso.
  • La reticencia de una empresa a hablar de cifras suele ser un síntoma de desorganización interna o falta de madurez en sus políticas de RRHH.

El Valor de la Información en el Mercado Actual

Hablar de compensación económica no resta profesionalidad; al contrario, demuestra una alta consciencia del valor de mercado y de la experiencia propia. Sin embargo, para negociar con éxito, es imperativo manejar datos objetivos. Muchos profesionales operan bajo una venda digital, desconociendo si su salario actual está indexado correctamente a la realidad del sector.

Para quienes necesiten una referencia sólida de su posición en el mercado, podéis consultar este Simulador de Rango Salarial, una herramienta útil para fundamentar vuestras próximas conversaciones de carrera.

He creado un Bot de Telegram para que dejes de regalar dinero a tu compañía eléctrica

Si vives en España, ya conoces el ritual: abrir aplicaciones farragosas o mirar tablas de Excel interminables solo para saber si hoy el horno te va a salir a precio de oro.

Como desarrollador, me cansé de dar vueltas para encontrar el dato, así que decidí automatizarlo. He creado @SpainPrecioLuz_bot, un pequeño aliado en Telegram que hace el trabajo sucio por ti.

Sigue leyendo

Minientrada

Evita saltos del ratón en monitores con distinta resolución usando LittleBigMouse

Si tienes dos o más monitores con tamaños o resoluciones diferentes, seguramente te habrá pasado esto: mueves el ratón de una pantalla a otra… y de repente salta, se queda “atascado” o entra en diagonal en un lugar extraño.

Esto ocurre porque Windows trata todos los monitores como si tuvieran la misma escala física, cuando en realidad no coinciden en tamaño ni densidad de píxeles.

La buena noticia: existe una herramienta gratuita que lo arregla en segundos LittleBigMouse.
Proyecto oficial: https://github.com/mgth/LittleBigMouse.

Sigue leyendo

Repositorio para aprender programación CREANDO proyectos reales

Este repositorio es una recopilación de guías bien redactadas y detalladas para recrear nuestras tecnologías favoritas desde cero.

Build Your Own X es un proyecto en GitHub que recopila multitud de tutoriales paso a paso para recrear tecnologías populares desde cero. La idea es simple: entender lo que hay detrás de las herramientas construyéndolas tú mismo.

Cada enlace te lleva a tutoriales creados por la comunidad. Puedes ver todos los enlaces en https://github.com/codecrafters-io/build-your-own-x.

Sigue leyendo