Noticias 18/7/2026

Abbott Laboratories Sufre Doble Incidente

Resumen:
Abbott Laboratories está investigando dos incidentes de ciberseguridad distintos. El primero implica acceso no autorizado a sistemas internos heredados de Exact Sciences en su negocio de Diagnóstico de Cáncer. El segundo se relaciona con una reclamación de que atacantes comprometieron su portal LabCentral y robaron datos de la compañía, con posibles intenciones de extorsión. Esta noticia es relevante para comprender las múltiples formas en que las organizaciones pueden ser atacadas, desde sistemas legados hasta portales públicos, y la importancia de la seguridad multicapa y la preparación ante extorsiones.

Leer el artículo completo

HollowByte DDoS OpenSSL Memory Flaw

Resumen:
La vulnerabilidad «HollowByte» permite a atacantes no autenticados provocar una condición de denegación de servicio (DoS) en servidores OpenSSL. Un pequeño payload de tan solo 11 bytes puede sobrecargar la memoria del servidor, llevando a su caída. Este tipo de ataque resalta cómo entradas mínimas pueden generar impactos significativos en sistemas críticos, siendo un buen ejemplo para la formación sobre la importancia de parchar y monitorear servicios esenciales.

Leer el artículo completo

E&Y Discloses Third-Party System Breach

Resumen:
Ernst & Young (EY) ha informado a sus clientes sobre una filtración de datos. La causa fue el compromiso de un sistema de tickets de soporte de terceros, utilizado por el personal de TI de EY. Este incidente subraya la importancia de la seguridad en la cadena de suministro y la gestión de riesgos con proveedores externos, ya que la vulnerabilidad en un sistema de terceros puede conducir a la exposición de datos sensibles de la empresa principal.

Leer el artículo completo

Nueva Fallo Crítico en WordPress

Resumen:
Se ha descubierto una vulnerabilidad crítica, denominada ‘wp2shell’, en las versiones 6.9 y 7.0 del núcleo de WordPress. Esta falla permite a atacantes no autenticados ejecutar código arbitrario en sitios web afectados, incluso en instalaciones básicas sin plugins. WordPress ha respondido con actualizaciones urgentes (versiones 6.9.5 y 7.0.2) y ha habilitado actualizaciones forzadas para mitigar el riesgo, subrayando la importancia de la gestión de parches.

Leer el artículo completo

OpenSSL HollowByte: Nueva Falla DoS

Resumen:
Se ha revelado una vulnerabilidad de denegación de servicio (DoS) en OpenSSL, denominada «HollowByte». Este fallo permite que un servidor OpenSSL no parcheado reserve hasta 131 KB de memoria con tan solo una petición TLS de 11 bytes. En sistemas glibc, esta memoria queda inaccesible hasta que el proceso se reinicia, lo que puede congelar el servidor. Aunque OpenSSL lanzó un parche en junio, lo hizo sin un CVE, aviso o entrada en el registro de cambios, dificultando su seguimiento. Esta falla fue descubierta y reportada por el Red Team de Okta.

Leer el artículo completo

Malicious Vite Packages Use Blockchain

Resumen:
Investigadores de ciberseguridad han detectado siete paquetes npm maliciosos que forman parte de un ataque a la cadena de suministro de software, denominado «ViteVenom». Estos paquetes, dirigidos al ecosistema de herramientas frontend Vite, emplean una infraestructura de comando y control (C2) basada en blockchain de cuatro niveles, utilizando Tron, para desplegar un troyano de acceso remoto (RAT). Este descubrimiento subraya la sofisticación creciente de los ataques a la cadena de suministro y la utilización de tecnologías avanzadas para la persistencia y evasión.

Leer el artículo completo

Noticias 17/7/2026

Latest Cybersecurity Attacks and Vulnerabilities

Resumen:
Este artículo resume las amenazas de ciberseguridad más destacadas de la semana, enfatizando cómo los ataques a menudo comienzan a través de puntos de entrada aparentemente inofensivos como repositorios falsos, instaladores engañosos o configuraciones de sincronización maliciosas. Destaca la reaparición de vulnerabilidades antiguas y la explotación de configuraciones predeterminadas débiles. La noticia cubre temas como spyware asociado a trampas de juegos, ataques de ransomware de corta duración y técnicas de acecho mediante la sincronización de Chrome, ofreciendo una visión sobre los métodos de ataque actuales y sus vectores.

Leer el artículo completo

n8n: Fallo Token Permite Suplantación

Resumen:
Se ha descubierto una vulnerabilidad crítica en la plataforma de automatización de flujos de trabajo n8n que permitía a atacantes suplantar la identidad de usuarios. En entornos empresariales configurados para confiar en múltiples emisores de tokens externos, el sistema validaba los tokens JWT basándose únicamente en la reclamación ‘sub’ (sujeto) e ignoraba la reclamación ‘iss’ (emisor). Esto significaba que un token válido de un emisor X, pero con el ‘sub’ de un usuario del emisor Y, permitía el inicio de sesión como ese usuario, eludiendo la autenticación y facilitando el acceso no autorizado a cuentas. Esta vulnerabilidad resalta la importancia de una validación exhaustiva de los tokens en sistemas que integran múltiples proveedores de identidad, siendo un excelente caso de estudio para la formación en seguridad de desarrolladores y equipos de TI.

Leer el artículo completo

Alertan Vulnerabilidades Graves Controladores Industriales

Resumen:
CISA ha alertado sobre múltiples vulnerabilidades (CVE-2025-12011, CVE-2025-12012) en controladores industriales Rockwell Automation CompactLogix, ControlLogix y GuardLogix. Estas vulnerabilidades de tipo «buffer overflow», con puntuaciones CVSS de 8.6 (Alta) a 9.2 (Crítica), podrían permitir a un atacante remoto provocar una denegación de servicio (DoS) al hacer que los dispositivos entren en un estado de fallo irrecuperable. Los productos afectados son cruciales para el sector de Manufactura Crítica a nivel mundial. Se recomienda actualizar el firmware de los dispositivos a las versiones parcheadas para mitigar estos riesgos. Esta noticia subraya la importancia de la ciberseguridad en sistemas de control industrial y la necesidad de aplicar parches.

Leer el artículo completo

Siemens ICS Múltiples Vulnerabilidades Críticas

Resumen:
Múltiples productos Siemens SICAM 8, utilizados en sectores de fabricación crítica y energía, están afectados por varias vulnerabilidades. Estas incluyen la posibilidad de denegación de servicio a través de código de depuración activo, ejecución de código persistente debido a validación de firma deficiente en actualizaciones de firmware, acceso no autorizado por configuración predeterminada insegura de OPC UA, y escalada de privilegios mediante una API web defectuosa. Siemens ha lanzado actualizaciones de firmware (V26.20/V26.20.0) y recomienda encarecidamente aplicarlas, además de implementar medidas de seguridad como firewalls, segmentación de red y VPN.

Leer el artículo completo

Vulnerabilidad Crítica Salto ProAccess Revelada

Resumen:
Se ha descubierto una vulnerabilidad de escalada de privilegios (CVE-2026-11889) en las versiones de SALTO ProAccess Space anteriores a la 6.13. Este fallo permite a un atacante autenticado eludir la autorización y acceder a espacios fuera de su partición asignada dentro de la misma instalación. La explotación requiere credenciales de operador válidas y que la función de partición esté habilitada. Las organizaciones que utilizan este sistema, especialmente en sectores de infraestructura crítica, deben actualizar a la versión 6.13 y aplicar medidas de seguridad adicionales, como operar el software en una red protegida y aplicar el principio de mínimo privilegio. Este incidente es relevante para entender ataques de escalada de privilegios y para la formación de empleados sobre mitigación de riesgos y mejores prácticas de seguridad.

Leer el artículo completo

Noticias 15/7/2026

Policía Desmantela Red Millonaria Ciber Fraude

Resumen:
La Policía española ha desmantelado una organización de ciberdelincuencia y lavado de dinero responsable de €140 millones ($160 millones) obtenidos a través de fraude de inversión y ataques de compromiso de correo electrónico empresarial (BEC). Esta noticia destaca la escala y sofisticación de los grupos de ciberdelincuentes que explotan tácticas como el BEC, una amenaza común que las empresas deben comprender para protegerse. Sirve como un excelente recordatorio para la formación de empleados sobre la importancia de la vigilancia contra el phishing, la suplantación de identidad y los esquemas de fraude.

Leer el artículo completo

SAP Parches Vulnerabilidad Crítica NetWeaver

Resumen:
SAP ha lanzado actualizaciones de seguridad de julio de 2026 para corregir múltiples vulnerabilidades, destacando una crítica (CVE-2026-44747, CVSS 9.9) en SAP NetWeaver Application Server ABAP. Esta falla de escritura fuera de límites podría ser explotada por un atacante autenticado para causar corrupción de memoria, con el potencial de exponer o modificar datos sensibles de la empresa.

Leer el artículo completo

Claude Chrome Flaw Exposes Data

Resumen:
Este artículo detalla una vulnerabilidad de seguridad en la extensión «Claude for Chrome». Si una extensión de navegador maliciosa («rogue extension») logra ejecutar un script en claude.ai, puede desencadenar tareas que afecten el Gmail, los últimos documentos de Google Docs y el calendario del usuario. Esta falla resalta cómo las interacciones entre extensiones de navegador y servicios de IA pueden exponer datos sensibles, siendo un recordatorio crucial para la concienciación sobre la seguridad de las extensiones.

Leer el artículo completo

CISA Agrega Vulnerabilidades Explotadas Conocidas

Resumen:
La CISA ha añadido cuatro nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), incluyendo CVEs para SonicWall SMA1000 Appliances (Server-Side Request Forgery, Code Injection) y productos de Microsoft (Active Directory Federation Services, SharePoint Server). Estas vulnerabilidades están siendo activamente explotadas y representan vectores de ataque frecuentes. La CISA insta a todas las organizaciones a adoptar una gestión de vulnerabilidades basada en riesgos y a priorizar la remediación de las vulnerabilidades listadas en el KEV para mitigar riesgos significativos.

Leer el artículo completo

Linux Kernel Privilege Escalation Vulnerability

Resumen:
Este aviso detalla la vulnerabilidad CVE-2026-31431 («Copy Fail») en el kernel de Linux, que afecta a las versiones de ABB Ability Edgenius. La falla permite a un usuario autenticado localmente o una carga de trabajo de contenedor comprometida escalar privilegios a root en sistemas afectados. La explotación requiere acceso local, pero aumenta el riesgo en entornos compartidos o multi-inquilino. Se recomienda actualizar a Edgenius 3.2.4.1 y limitar el acceso SSH o a la consola de administración como mitigación. Este tipo de ataque de escalada de privilegios local es común y subraya la importancia de mantener los sistemas base actualizados.

Leer el artículo completo

Actualización Seguridad ABB Advant Master

Resumen:
Este aviso de seguridad detalla una vulnerabilidad (CVE-2025-13162) de tipo «Uncontrolled Search Path Element» (CWE-427) en varias versiones de ABB Advant Master Online Builder. Esta falla podría permitir a un atacante con acceso local ejecutar código arbitrario y comprometer la integridad del sistema al colocar DLLs maliciosas en un directorio de aplicación no restringido. ABB ha lanzado actualizaciones para corregir esta vulnerabilidad. Adicionalmente, se proporcionan recomendaciones cruciales para la mitigación, incluyendo la gestión estricta de acceso de usuarios, el uso de contraseñas robustas, la restricción de dispositivos de almacenamiento extraíbles y la implementación de prácticas de ciberseguridad para sistemas de control industrial (ICS) como la segmentación de red y el uso de VPNs para acceso remoto, ideales para formación de empleados.

Leer el artículo completo

Salarios y transparencia en el sector TECH

En el ecosistema tecnológico actual, especialmente en el ámbito de la consultoría en España, nos enfrentamos a una ineficiencia persistente en los procesos de selección: la opacidad salarial. Es habitual encontrar vacantes con rangos «a definir» o procesos donde la carga de la prueba recae exclusivamente en las expectativas del candidato, sin una oferta recíproca de transparencia por parte de la empresa.

Esta falta de claridad no es solo una cuestión de etiqueta profesional; es una pérdida de competitividad y recursos para ambas partes.

Uno de los consejos más valiosos que puedo dar a cualquier profesional, desde un perfil Junior hasta un Architect, es definir su mínimo aceptable antes de entablar cualquier conversación. Adoptar esta postura no responde a una ambición desmedida, sino a una gestión inteligente del tiempo:

  • Permite descartar oportunidades que no se alinean con nuestra trayectoria.
  • Elimina la improvisación y el factor emocional del proceso.
  • La reticencia de una empresa a hablar de cifras suele ser un síntoma de desorganización interna o falta de madurez en sus políticas de RRHH.

El Valor de la Información en el Mercado Actual

Hablar de compensación económica no resta profesionalidad; al contrario, demuestra una alta consciencia del valor de mercado y de la experiencia propia. Sin embargo, para negociar con éxito, es imperativo manejar datos objetivos. Muchos profesionales operan bajo una venda digital, desconociendo si su salario actual está indexado correctamente a la realidad del sector.

Para quienes necesiten una referencia sólida de su posición en el mercado, podéis consultar este Simulador de Rango Salarial, una herramienta útil para fundamentar vuestras próximas conversaciones de carrera.

He creado un Bot de Telegram para que dejes de regalar dinero a tu compañía eléctrica

Si vives en España, ya conoces el ritual: abrir aplicaciones farragosas o mirar tablas de Excel interminables solo para saber si hoy el horno te va a salir a precio de oro.

Como desarrollador, me cansé de dar vueltas para encontrar el dato, así que decidí automatizarlo. He creado @SpainPrecioLuz_bot, un pequeño aliado en Telegram que hace el trabajo sucio por ti.

Sigue leyendo

Minientrada

Evita saltos del ratón en monitores con distinta resolución usando LittleBigMouse

Si tienes dos o más monitores con tamaños o resoluciones diferentes, seguramente te habrá pasado esto: mueves el ratón de una pantalla a otra… y de repente salta, se queda “atascado” o entra en diagonal en un lugar extraño.

Esto ocurre porque Windows trata todos los monitores como si tuvieran la misma escala física, cuando en realidad no coinciden en tamaño ni densidad de píxeles.

La buena noticia: existe una herramienta gratuita que lo arregla en segundos LittleBigMouse.
Proyecto oficial: https://github.com/mgth/LittleBigMouse.

Sigue leyendo

Repositorio para aprender programación CREANDO proyectos reales

Este repositorio es una recopilación de guías bien redactadas y detalladas para recrear nuestras tecnologías favoritas desde cero.

Build Your Own X es un proyecto en GitHub que recopila multitud de tutoriales paso a paso para recrear tecnologías populares desde cero. La idea es simple: entender lo que hay detrás de las herramientas construyéndolas tú mismo.

Cada enlace te lleva a tutoriales creados por la comunidad. Puedes ver todos los enlaces en https://github.com/codecrafters-io/build-your-own-x.

Sigue leyendo

Diseña tus propios circuitos Arduino sin gastar un euro gracias a Tinkercad

Si siempre has querido aprender Arduino, montar tus primeros circuitos o probar ideas sin necesidad de comprar cables, sensores o placas, hoy te traigo una herramienta que te va a encantar: Tinkercad.

Tinkercad es una plataforma online gratuita donde puedes crear y simular circuitos electrónicos con Arduino directamente en tu navegador. No necesitas instalar nada: solo registrarte y empezar a construir.

Sigue leyendo