Noticias 17/5/2026

Microsoft Azure Vulnerability Report Issues

Resumen:
Un investigador de seguridad afirma que Microsoft corrigió silenciosamente una vulnerabilidad en Azure Backup para AKS después de rechazar su informe y sin emitir un CVE. Microsoft niega la afirmación, indicando que el comportamiento era esperado y que «no se realizaron cambios en el producto», a pesar de que el investigador documentó una corrección silenciosa. Esta noticia es relevante para comprender la gestión de vulnerabilidades en servicios en la nube y los desafíos en la divulgación de fallos de seguridad.

Leer el artículo completo

Kazuar Backdoor Evolves into Botnet

Resumen:
El grupo de hackers ruso Secret Blizzard ha evolucionado su antigua puerta trasera (backdoor) Kazuar en una botnet modular peer-to-peer (P2P). Esta sofisticada herramienta está diseñada para lograr una persistencia a largo plazo en las redes comprometidas, mantener el sigilo para evitar la detección y facilitar la recopilación de datos de manera eficiente. Esta evolución subraya el refinamiento continuo de las tácticas y herramientas utilizadas por actores de amenazas avanzados para operaciones de espionaje y exfiltración de datos.

Leer el artículo completo

Funnel Builder Exploit Skims WooCommerce

Resumen:
Se ha detectado una vulnerabilidad crítica en el plugin Funnel Builder para WordPress que está siendo activamente explotada. Los atacantes están inyectando código JavaScript malicioso en las páginas de pago de WooCommerce con el objetivo de robar datos de pago. Esta noticia es crucial para entender los métodos de ataque actuales contra plataformas de e-commerce y subraya la importancia de gestionar las vulnerabilidades en plugins de terceros. También sirve como un excelente material de formación sobre skimming y seguridad en transacciones online, destacando la necesidad de monitorear activamente los puntos de pago.

Leer el artículo completo

Noticias 16/5/2026

Vulnerabilidad Crítica de WordPress Explotada

Resumen:
Una vulnerabilidad crítica en el plugin Funnel Builder para WordPress está siendo activamente explotada. Los atacantes inyectan código JavaScript malicioso en las páginas de pago de WooCommerce para robar información de tarjetas de crédito. Este incidente subraya la importancia de mantener todos los plugins actualizados y la vigilancia ante ataques de «web skimming» o Magecart, incluso en plataformas de terceros.

Leer el artículo completo

Pwn2Own revela fallos críticos en sistemas

Resumen:
En el segundo día de Pwn2Own Berlín 2026, expertos en seguridad demostraron la explotación de 15 vulnerabilidades zero-day únicas. Estos fallos críticos afectaron productos ampliamente utilizados como Microsoft Exchange, Windows 11 y Red Hat Enterprise Linux para Workstations, resultando en premios en efectivo por valor de 385.750 dólares.

Leer el artículo completo

Ataque Cadena Suministro npm Credenciales Robadas

Resumen:
La noticia detalla un ataque de cadena de suministro donde hackers inyectaron malware para robar credenciales en nuevas versiones de ‘node-ipc’, un popular paquete de comunicación interprocesos en npm. Este incidente subraya los riesgos crecientes de la cadena de suministro de software y cómo la compromiso de componentes open-source puede llevar al robo de información sensible.

Leer el artículo completo

Turla Evolves Kazuar Backdoor Into Botnet

Resumen:
El grupo de hacking patrocinado por el estado ruso, Turla, ha transformado su backdoor personalizada, Kazuar, en una botnet modular de tipo P2P. Esta evolución está diseñada para lograr un acceso sigiloso y persistente a los sistemas comprometidos, demostrando la sofisticación de los actores de amenazas. Comprender estas técnicas es crucial para protegerse contra ataques persistentes.

Leer el artículo completo

OpenClaw Vulnerabilities Enable Data Theft

Resumen:
Investigadores de ciberseguridad han descubierto cuatro vulnerabilidades en OpenClaw, denominadas «Claw Chain», que pueden encadenarse. Estas fallas permiten a los atacantes robar datos, escalar privilegios y establecer persistencia, facilitando el acceso inicial, la exposición de información sensible y la instalación de puertas traseras.

Leer el artículo completo

Trusted Tools: Attack Surface Revealed

Resumen:
El artículo destaca que la mayor amenaza a la seguridad actualmente no proviene del malware, sino del uso malintencionado de las herramientas administrativas de confianza. Los atacantes modernos emplean utilidades diarias de TI como PowerShell, WMIC, netsh, Certutil y MSBuild, haciendo que sus actividades parezcan administración legítima. Este enfoque subraya que la superficie de ataque real de una organización incluye sus propias herramientas de confianza, lo que requiere una mayor vigilancia y monitorización de estos recursos cotidianos.

Leer el artículo completo

CISA Añade Vulnerabilidad Explotada Catálogo

Resumen:
CISA ha añadido una nueva vulnerabilidad, CVE-2026-42897, a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV) debido a su explotación activa. Esta vulnerabilidad es de tipo Cross-Site Scripting (XSS) en Microsoft Exchange Server, un vector de ataque frecuente que representa un riesgo significativo. Aunque la directiva BOD 22-01 solo aplica a agencias federales, CISA insta encarecidamente a todas las organizaciones a priorizar la remediación oportuna de las vulnerabilidades en el KEV para mitigar los riesgos de ciberataques.

Leer el artículo completo

Noticias 15/5/2026

Hackers atacan WordPress por plugin

Resumen:
La noticia detalla cómo los atacantes están explotando activamente una vulnerabilidad crítica de bypass de autenticación en el plugin Burst Statistics para WordPress. Esta falla permite a los ciberdelincuentes obtener acceso de nivel de administrador a los sitios web afectados. Este tipo de ataque es común y resalta la importancia de mantener todos los plugins y el software de terceros actualizados para proteger los sistemas contra el acceso no autorizado. Sirve como recordatorio para nuestros empleados sobre los riesgos de seguridad en las aplicaciones web y la necesidad de una gestión rigurosa de parches.

Leer el artículo completo

Advertencia Cisco: Vulnerabilidad Crítica SD-WAN

Resumen:
Cisco ha emitido una advertencia sobre una vulnerabilidad crítica de omisión de autenticación (CVE-2026-20182) que afecta a sus controladores Catalyst SD-WAN. Esta falla está siendo activamente explotada en ataques de día cero, permitiendo a los atacantes obtener privilegios administrativos en los dispositivos afectados. Es crucial para las organizaciones que utilizan estos productos aplicar parches con urgencia para mitigar el riesgo de explotación.

Leer el artículo completo

Cisco SD-WAN Vulnerabilidad Explotada Activamente

Resumen:
Cisco ha lanzado actualizaciones críticas para abordar una vulnerabilidad de omisión de autenticación de máxima gravedad (CVE-2026-20182, CVSS 10.0) en sus controladores Catalyst SD-WAN. Esta falla, que afecta la autenticación por pares, está siendo explotada activamente en ataques limitados para obtener acceso de administrador, subrayando la importancia de aplicar los parches de inmediato para mitigar el riesgo de comprometer la infraestructura de red.

Leer el artículo completo

Backdoor Maliciosa en NPM Node-IPC

Resumen:
Investigadores de ciberseguridad han detectado una puerta trasera (backdoor) con capacidad de robo de información en tres versiones específicas del paquete npm `node-ipc` (9.1.6, 9.2.3 y 12.0.1). Esta actividad maliciosa apunta a robar secretos de desarrolladores, lo que representa un riesgo significativo de ataque a la cadena de suministro. La noticia subraya la importancia de verificar la seguridad de las dependencias en proyectos de desarrollo.

Leer el artículo completo

Vulnerabilidad Crítica Siemens ROS# Traversal

Resumen:
Este artículo detalla una vulnerabilidad crítica de Path Traversal (CVE-2026-41551, CVSS 9.1) que afecta al componente file_server de Siemens ROS# en versiones anteriores a la 2.2.2. Esta falla permite a un atacante leer y escribir archivos arbitrarios en el sistema con los permisos del usuario que ejecuta el servicio. Siemens ha lanzado la versión 2.2.2 para corregir este problema y recomienda actualizar a esta versión o posterior. Además, se proporcionan mitigaciones importantes, como ejecutar el servicio solo en redes de confianza y con derechos de usuario apropiados. El aviso también incluye recomendaciones de seguridad generales de CISA, destacando la importancia de minimizar la exposición de la red, aislar sistemas de control y usar VPNs para acceso remoto seguro, lo que es excelente material de formación para los empleados.

Leer el artículo completo

Vulnerabilidad RCE Siemens gWAP Axios

Resumen:
Siemens gPROMS Web Applications Publisher (gWAP) ha sido afectado por una vulnerabilidad de ejecución remota de código (RCE) identificada como CVE-2026-40175, con una puntuación CVSS de 8 (Alta). Esta falla se origina en un componente de terceros, la librería cliente HTTP Axios, que permite la «Prototype Pollution». Dicha vulnerabilidad puede escalar a RCE o a un compromiso total de entornos en la nube (mediante bypass de AWS IMDSv2). Las versiones de gWAP anteriores a la 3.1.1 son vulnerables. Siemens recomienda actualizar a la versión 3.1.1 o posterior para mitigar el riesgo. Además, el aviso incluye recomendaciones generales de seguridad industrial, como proteger el acceso a la red de los dispositivos, aislarlos de las redes empresariales y utilizar VPNs para el acceso remoto seguro.

Leer el artículo completo

Critical Flaws in Siemens SIMATIC

Resumen:
Siemens ha lanzado una advertencia sobre múltiples vulnerabilidades críticas en su sistema SIMATIC CN 4100, que incluyen fallos como desreferencia de puntero nulo, uso después de la liberación y escritura fuera de límites. Estas debilidades podrían comprometer la disponibilidad, integridad y confidencialidad de los sistemas industriales, afectando a sectores de manufactura crítica a nivel global. Siemens recomienda encarecidamente actualizar a la versión 5.0 o posterior para mitigar estos riesgos.

Leer el artículo completo

Salarios y transparencia en el sector TECH

En el ecosistema tecnológico actual, especialmente en el ámbito de la consultoría en España, nos enfrentamos a una ineficiencia persistente en los procesos de selección: la opacidad salarial. Es habitual encontrar vacantes con rangos «a definir» o procesos donde la carga de la prueba recae exclusivamente en las expectativas del candidato, sin una oferta recíproca de transparencia por parte de la empresa.

Esta falta de claridad no es solo una cuestión de etiqueta profesional; es una pérdida de competitividad y recursos para ambas partes.

Uno de los consejos más valiosos que puedo dar a cualquier profesional, desde un perfil Junior hasta un Architect, es definir su mínimo aceptable antes de entablar cualquier conversación. Adoptar esta postura no responde a una ambición desmedida, sino a una gestión inteligente del tiempo:

  • Permite descartar oportunidades que no se alinean con nuestra trayectoria.
  • Elimina la improvisación y el factor emocional del proceso.
  • La reticencia de una empresa a hablar de cifras suele ser un síntoma de desorganización interna o falta de madurez en sus políticas de RRHH.

El Valor de la Información en el Mercado Actual

Hablar de compensación económica no resta profesionalidad; al contrario, demuestra una alta consciencia del valor de mercado y de la experiencia propia. Sin embargo, para negociar con éxito, es imperativo manejar datos objetivos. Muchos profesionales operan bajo una venda digital, desconociendo si su salario actual está indexado correctamente a la realidad del sector.

Para quienes necesiten una referencia sólida de su posición en el mercado, podéis consultar este Simulador de Rango Salarial, una herramienta útil para fundamentar vuestras próximas conversaciones de carrera.

He creado un Bot de Telegram para que dejes de regalar dinero a tu compañía eléctrica

Si vives en España, ya conoces el ritual: abrir aplicaciones farragosas o mirar tablas de Excel interminables solo para saber si hoy el horno te va a salir a precio de oro.

Como desarrollador, me cansé de dar vueltas para encontrar el dato, así que decidí automatizarlo. He creado @SpainPrecioLuz_bot, un pequeño aliado en Telegram que hace el trabajo sucio por ti.

Sigue leyendo

Minientrada

Evita saltos del ratón en monitores con distinta resolución usando LittleBigMouse

Si tienes dos o más monitores con tamaños o resoluciones diferentes, seguramente te habrá pasado esto: mueves el ratón de una pantalla a otra… y de repente salta, se queda “atascado” o entra en diagonal en un lugar extraño.

Esto ocurre porque Windows trata todos los monitores como si tuvieran la misma escala física, cuando en realidad no coinciden en tamaño ni densidad de píxeles.

La buena noticia: existe una herramienta gratuita que lo arregla en segundos LittleBigMouse.
Proyecto oficial: https://github.com/mgth/LittleBigMouse.

Sigue leyendo

Repositorio para aprender programación CREANDO proyectos reales

Este repositorio es una recopilación de guías bien redactadas y detalladas para recrear nuestras tecnologías favoritas desde cero.

Build Your Own X es un proyecto en GitHub que recopila multitud de tutoriales paso a paso para recrear tecnologías populares desde cero. La idea es simple: entender lo que hay detrás de las herramientas construyéndolas tú mismo.

Cada enlace te lleva a tutoriales creados por la comunidad. Puedes ver todos los enlaces en https://github.com/codecrafters-io/build-your-own-x.

Sigue leyendo

Diseña tus propios circuitos Arduino sin gastar un euro gracias a Tinkercad

Si siempre has querido aprender Arduino, montar tus primeros circuitos o probar ideas sin necesidad de comprar cables, sensores o placas, hoy te traigo una herramienta que te va a encantar: Tinkercad.

Tinkercad es una plataforma online gratuita donde puedes crear y simular circuitos electrónicos con Arduino directamente en tu navegador. No necesitas instalar nada: solo registrarte y empezar a construir.

Sigue leyendo