Noticias 15/7/2026

Policía Desmantela Red Millonaria Ciber Fraude

Resumen:
La Policía española ha desmantelado una organización de ciberdelincuencia y lavado de dinero responsable de €140 millones ($160 millones) obtenidos a través de fraude de inversión y ataques de compromiso de correo electrónico empresarial (BEC). Esta noticia destaca la escala y sofisticación de los grupos de ciberdelincuentes que explotan tácticas como el BEC, una amenaza común que las empresas deben comprender para protegerse. Sirve como un excelente recordatorio para la formación de empleados sobre la importancia de la vigilancia contra el phishing, la suplantación de identidad y los esquemas de fraude.

Leer el artículo completo

SAP Parches Vulnerabilidad Crítica NetWeaver

Resumen:
SAP ha lanzado actualizaciones de seguridad de julio de 2026 para corregir múltiples vulnerabilidades, destacando una crítica (CVE-2026-44747, CVSS 9.9) en SAP NetWeaver Application Server ABAP. Esta falla de escritura fuera de límites podría ser explotada por un atacante autenticado para causar corrupción de memoria, con el potencial de exponer o modificar datos sensibles de la empresa.

Leer el artículo completo

Claude Chrome Flaw Exposes Data

Resumen:
Este artículo detalla una vulnerabilidad de seguridad en la extensión «Claude for Chrome». Si una extensión de navegador maliciosa («rogue extension») logra ejecutar un script en claude.ai, puede desencadenar tareas que afecten el Gmail, los últimos documentos de Google Docs y el calendario del usuario. Esta falla resalta cómo las interacciones entre extensiones de navegador y servicios de IA pueden exponer datos sensibles, siendo un recordatorio crucial para la concienciación sobre la seguridad de las extensiones.

Leer el artículo completo

CISA Agrega Vulnerabilidades Explotadas Conocidas

Resumen:
La CISA ha añadido cuatro nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), incluyendo CVEs para SonicWall SMA1000 Appliances (Server-Side Request Forgery, Code Injection) y productos de Microsoft (Active Directory Federation Services, SharePoint Server). Estas vulnerabilidades están siendo activamente explotadas y representan vectores de ataque frecuentes. La CISA insta a todas las organizaciones a adoptar una gestión de vulnerabilidades basada en riesgos y a priorizar la remediación de las vulnerabilidades listadas en el KEV para mitigar riesgos significativos.

Leer el artículo completo

Linux Kernel Privilege Escalation Vulnerability

Resumen:
Este aviso detalla la vulnerabilidad CVE-2026-31431 («Copy Fail») en el kernel de Linux, que afecta a las versiones de ABB Ability Edgenius. La falla permite a un usuario autenticado localmente o una carga de trabajo de contenedor comprometida escalar privilegios a root en sistemas afectados. La explotación requiere acceso local, pero aumenta el riesgo en entornos compartidos o multi-inquilino. Se recomienda actualizar a Edgenius 3.2.4.1 y limitar el acceso SSH o a la consola de administración como mitigación. Este tipo de ataque de escalada de privilegios local es común y subraya la importancia de mantener los sistemas base actualizados.

Leer el artículo completo

Actualización Seguridad ABB Advant Master

Resumen:
Este aviso de seguridad detalla una vulnerabilidad (CVE-2025-13162) de tipo «Uncontrolled Search Path Element» (CWE-427) en varias versiones de ABB Advant Master Online Builder. Esta falla podría permitir a un atacante con acceso local ejecutar código arbitrario y comprometer la integridad del sistema al colocar DLLs maliciosas en un directorio de aplicación no restringido. ABB ha lanzado actualizaciones para corregir esta vulnerabilidad. Adicionalmente, se proporcionan recomendaciones cruciales para la mitigación, incluyendo la gestión estricta de acceso de usuarios, el uso de contraseñas robustas, la restricción de dispositivos de almacenamiento extraíbles y la implementación de prácticas de ciberseguridad para sistemas de control industrial (ICS) como la segmentación de red y el uso de VPNs para acceso remoto, ideales para formación de empleados.

Leer el artículo completo

Noticias 14/7/2026

Google, Microsoft Pull ModHeader Extension

Resumen:
Google y Microsoft han retirado ModHeader, una popular extensión de edición de encabezados para Chrome y Edge con 1.6 millones de instalaciones, tras el descubrimiento de un recolector de historial de navegación oculto en su versión oficial. Aunque el recolector estaba inactivo y no hay pruebas de que haya recopilado o enviado datos, este incidente resalta los riesgos de seguridad inherentes a las extensiones de navegador, incluso aquellas distribuidas a través de tiendas oficiales.

Leer el artículo completo

Alerta Semanal: Vulnerabilidades y Ataques

Resumen:
Este resumen semanal subraya el reto creciente en ciberseguridad, donde las herramientas avanzadas encuentran fallos más rápido de lo que se pueden solucionar, y los atacantes emplean herramientas similares. La noticia destaca amenazas clave como la vulnerabilidad en ShareFile, el ransomware Citrix Bleed 2, y los ataques de codificación impulsados por IA. Además, enfatiza la persistencia de antiguas vulnerabilidades que siguen siendo explotadas debido a la falta de parches, lo cual es crucial para comprender los ataques habituales y la formación de empleados sobre la importancia de la gestión de parches y la concienciación sobre nuevas amenazas.

Leer el artículo completo

CISA Añade Vulnerabilidad Explotada al Catálogo

Resumen:
La CISA ha añadido una nueva vulnerabilidad explotada, la CVE-2008-4128 (una vulnerabilidad de Cross-Site Request Forgery en Cisco IOS), a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Esta adición subraya que las vulnerabilidades de CSRF son un vector de ataque frecuente y representan riesgos significativos. La CISA insta a todas las organizaciones a adoptar una gestión de vulnerabilidades basada en el riesgo y a priorizar la remediación rápida de las vulnerabilidades listadas en el KEV, especialmente en activos expuestos públicamente, y a verificar posibles compromisos antes de aplicar los parches.

Leer el artículo completo

Ataques Rusos Routers Infraestructura Crítica

Resumen:
Un aviso conjunto detalla cómo actores patrocinados por el gobierno ruso (FSB Center 16) están explotando routers mal configurados y vulnerables en sectores de infraestructura crítica. Utilizan principalmente el escaneo de dispositivos con SNMPv1/v2 y cadenas de comunidad por defecto para robar configuraciones, así como vulnerabilidades específicas de Cisco y Smart Install. El aviso enfatiza la necesidad de mejorar la «higiene del router» con mitigaciones como deshabilitar Smart Install, usar SNMPv3 con autenticación fuerte, contraseñas únicas, restringir protocolos de gestión y mantener el software actualizado para protegerse contra estas amenazas.

Leer el artículo completo

Noticias 12/7/2026

Australia Alerta Ataques a Plataformas CMS

Resumen:
El Centro Australiano de Ciberseguridad (ACSC) ha emitido una advertencia sobre una campaña global activa que explota sistemas de gestión de contenido (CMS) y plugins vulnerables. Esta alerta destaca la importancia crítica de mantener todas las plataformas web y sus componentes actualizados para mitigar riesgos de seguridad y prevenir ataques.

Leer el artículo completo

Compromised npm Release Drops Infostealer

Resumen:
Este artículo informa sobre un ataque a la cadena de suministro en el que el paquete npm «jscrambler» (versión 8.14.0) fue comprometido. Al instalar esta versión maliciosa, se activa un «preinstall hook» que descarga y ejecuta un infostealer basado en Rust en la máquina del usuario. El ataque afecta sistemas Windows, macOS y Linux, destacando la grave amenaza que representan las dependencias de software de terceros y la importancia de la seguridad en la cadena de suministro para desarrolladores y empresas.

Leer el artículo completo

Hackers Exploit Police Web Portal

Resumen:
Investigadores de ciberseguridad han destapado una campaña de ciberespionaje prolongada, llevada a cabo entre febrero de 2024 y abril de 2026, contra organizaciones policiales pakistaníes. Actores de amenazas sospechosos de alinearse con China e India comprometieron servidores de aplicaciones web de la Policía de Baluchistán, que gestionan datos sensibles de la policía y los ciudadanos, incluidos registros criminales. Este incidente subraya la vulnerabilidad de las aplicaciones web en infraestructuras críticas que manejan información confidencial.

Leer el artículo completo

Salarios y transparencia en el sector TECH

En el ecosistema tecnológico actual, especialmente en el ámbito de la consultoría en España, nos enfrentamos a una ineficiencia persistente en los procesos de selección: la opacidad salarial. Es habitual encontrar vacantes con rangos «a definir» o procesos donde la carga de la prueba recae exclusivamente en las expectativas del candidato, sin una oferta recíproca de transparencia por parte de la empresa.

Esta falta de claridad no es solo una cuestión de etiqueta profesional; es una pérdida de competitividad y recursos para ambas partes.

Uno de los consejos más valiosos que puedo dar a cualquier profesional, desde un perfil Junior hasta un Architect, es definir su mínimo aceptable antes de entablar cualquier conversación. Adoptar esta postura no responde a una ambición desmedida, sino a una gestión inteligente del tiempo:

  • Permite descartar oportunidades que no se alinean con nuestra trayectoria.
  • Elimina la improvisación y el factor emocional del proceso.
  • La reticencia de una empresa a hablar de cifras suele ser un síntoma de desorganización interna o falta de madurez en sus políticas de RRHH.

El Valor de la Información en el Mercado Actual

Hablar de compensación económica no resta profesionalidad; al contrario, demuestra una alta consciencia del valor de mercado y de la experiencia propia. Sin embargo, para negociar con éxito, es imperativo manejar datos objetivos. Muchos profesionales operan bajo una venda digital, desconociendo si su salario actual está indexado correctamente a la realidad del sector.

Para quienes necesiten una referencia sólida de su posición en el mercado, podéis consultar este Simulador de Rango Salarial, una herramienta útil para fundamentar vuestras próximas conversaciones de carrera.

He creado un Bot de Telegram para que dejes de regalar dinero a tu compañía eléctrica

Si vives en España, ya conoces el ritual: abrir aplicaciones farragosas o mirar tablas de Excel interminables solo para saber si hoy el horno te va a salir a precio de oro.

Como desarrollador, me cansé de dar vueltas para encontrar el dato, así que decidí automatizarlo. He creado @SpainPrecioLuz_bot, un pequeño aliado en Telegram que hace el trabajo sucio por ti.

Sigue leyendo

Minientrada

Evita saltos del ratón en monitores con distinta resolución usando LittleBigMouse

Si tienes dos o más monitores con tamaños o resoluciones diferentes, seguramente te habrá pasado esto: mueves el ratón de una pantalla a otra… y de repente salta, se queda “atascado” o entra en diagonal en un lugar extraño.

Esto ocurre porque Windows trata todos los monitores como si tuvieran la misma escala física, cuando en realidad no coinciden en tamaño ni densidad de píxeles.

La buena noticia: existe una herramienta gratuita que lo arregla en segundos LittleBigMouse.
Proyecto oficial: https://github.com/mgth/LittleBigMouse.

Sigue leyendo

Repositorio para aprender programación CREANDO proyectos reales

Este repositorio es una recopilación de guías bien redactadas y detalladas para recrear nuestras tecnologías favoritas desde cero.

Build Your Own X es un proyecto en GitHub que recopila multitud de tutoriales paso a paso para recrear tecnologías populares desde cero. La idea es simple: entender lo que hay detrás de las herramientas construyéndolas tú mismo.

Cada enlace te lleva a tutoriales creados por la comunidad. Puedes ver todos los enlaces en https://github.com/codecrafters-io/build-your-own-x.

Sigue leyendo