Noticias 25/5/2026
Ghost CMS SQL Injection Exploit Campaign
Resumen:
Una campaña a gran escala está explotando activamente una vulnerabilidad crítica de inyección SQL (CVE-2026-26980) en el sistema de gestión de contenido Ghost CMS. Los atacantes están inyectando código JavaScript malicioso en los sitios web afectados para desencadenar flujos de ataque conocidos como «ClickFix». Esta noticia es crucial para comprender la explotación de vulnerabilidades web comunes y las tácticas de ataques a gran escala.
Noticias 23/5/2026
Holanda Desmantela Hosting de Ciberdelincuentes
Resumen:
Investigadores de delitos financieros en los Países Bajos (FIOD) han arrestado a dos individuos y han incautado 800 servidores pertenecientes a una empresa de alojamiento web. Esta compañía era utilizada para facilitar y habilitar ciberataques, operaciones de interferencia y campañas de desinformación, destacando los esfuerzos de las autoridades para desmantelar la infraestructura que soporta la ciberdelincuencia.
Ejecutivos culpables en esquema de fraude
Resumen:
Dos ex-ejecutivos de una compañía de seguimiento y análisis de llamadas se declararon culpables de ocultar un esquema de fraude de soporte técnico de años de duración. Este esquema victimizó a individuos en todo el mundo, lo que subraya la persistencia y el alcance global de estas estafas y la posible implicación de terceros para facilitar sus operaciones. Entender la mecánica y los actores detrás de estas estafas es crucial para la formación en ciberseguridad y la prevención del fraude.
Trend Micro Zero-Day Actively Exploited
Resumen:
Trend Micro ha emitido una advertencia y ha abordado una vulnerabilidad de día cero en su producto de seguridad Apex One. Esta falla está siendo activamente explotada en ataques dirigidos a sistemas Windows, lo que subraya la importancia crítica de aplicar los parches de seguridad para protegerse contra esta amenaza en curso.
Desmantelamiento Global de Servicio VPN
Resumen:
Autoridades europeas y norteamericanas han desmantelado «First VPN Service» bajo la operación «Saffron». Este servicio VPN era utilizado por 25 grupos de ransomware y otros actores criminales para ocultar el origen de ataques como ransomware, robo de datos, escaneos de red y denegación de servicio. La acción, liderada por Francia y Países Bajos, subraya los esfuerzos internacionales contra la infraestructura de ciberdelincuencia.
Ghostwriter Phishing Targets Ukraine Government
Resumen:
El grupo de amenazas Ghostwriter (también conocido como UAC-0057), alineado con Bielorrusia, ha sido observado atacando a organizaciones gubernamentales ucranianas. Utilizan correos electrónicos de phishing que emplean señuelos relacionados con «Prometheus», una plataforma de aprendizaje en línea ucraniana, para distribuir malware de phishing. Esta actividad subraya el uso de tácticas de ingeniería social por parte de actores sofisticados.
Ataque Megalodon a Repositorios GitHub
Resumen:
Investigadores de ciberseguridad han revelado detalles de una nueva campaña automatizada, denominada «Megalodon», que ha inyectado 5.718 commits maliciosos en 5.561 repositorios de GitHub en solo seis horas. Los atacantes utilizaron cuentas desechables e identidades de autor falsificadas (como «build-bot») para insertar flujos de trabajo maliciosos de GitHub Actions, que contenían payloads bash codificados en base64 diseñados para exfiltrar información sensible del entorno CI. Este ataque es relevante para entender las amenazas a la cadena de suministro de software y es crucial para la formación sobre seguridad en el desarrollo.
CISA Alerta: Vulnerabilidad Explotada Activamente
Resumen:
La CISA ha añadido una nueva vulnerabilidad, CVE-2026-9082, una inyección SQL en Drupal Core, a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV) debido a su explotación activa. Este tipo de vulnerabilidad se destaca como un vector de ataque frecuente y la CISA insta a todas las organizaciones a priorizar su remediación para reducir significativamente el riesgo de ciberataques.
Salarios y transparencia en el sector TECH
En el ecosistema tecnológico actual, especialmente en el ámbito de la consultoría en España, nos enfrentamos a una ineficiencia persistente en los procesos de selección: la opacidad salarial. Es habitual encontrar vacantes con rangos «a definir» o procesos donde la carga de la prueba recae exclusivamente en las expectativas del candidato, sin una oferta recíproca de transparencia por parte de la empresa.
Esta falta de claridad no es solo una cuestión de etiqueta profesional; es una pérdida de competitividad y recursos para ambas partes.
Uno de los consejos más valiosos que puedo dar a cualquier profesional, desde un perfil Junior hasta un Architect, es definir su mínimo aceptable antes de entablar cualquier conversación. Adoptar esta postura no responde a una ambición desmedida, sino a una gestión inteligente del tiempo:
- Permite descartar oportunidades que no se alinean con nuestra trayectoria.
- Elimina la improvisación y el factor emocional del proceso.
- La reticencia de una empresa a hablar de cifras suele ser un síntoma de desorganización interna o falta de madurez en sus políticas de RRHH.
El Valor de la Información en el Mercado Actual
Hablar de compensación económica no resta profesionalidad; al contrario, demuestra una alta consciencia del valor de mercado y de la experiencia propia. Sin embargo, para negociar con éxito, es imperativo manejar datos objetivos. Muchos profesionales operan bajo una venda digital, desconociendo si su salario actual está indexado correctamente a la realidad del sector.
Para quienes necesiten una referencia sólida de su posición en el mercado, podéis consultar este Simulador de Rango Salarial, una herramienta útil para fundamentar vuestras próximas conversaciones de carrera.
He creado un Bot de Telegram para que dejes de regalar dinero a tu compañía eléctrica
Si vives en España, ya conoces el ritual: abrir aplicaciones farragosas o mirar tablas de Excel interminables solo para saber si hoy el horno te va a salir a precio de oro.
Como desarrollador, me cansé de dar vueltas para encontrar el dato, así que decidí automatizarlo. He creado @SpainPrecioLuz_bot, un pequeño aliado en Telegram que hace el trabajo sucio por ti.
Cómo instalar n8n en tu servidor Linux casero usando Docker
En este post quiero dejar documentado —para mí y para quien le sirva— cómo instalar n8n, una herramienta de automatización increíblemente potente y open source, en un servidor Linux en casa usando Docker. Es un proceso sencillo, pero conviene tener los pasos claros para evitar problemas.
Estos son los pasos a seguir:
He creado un bot de Telegram para ayudar con las contracciones (y por qué creo que te puede servir)
Seguro que te ha pasado: tienes una idea para un proyecto y quieres que sea algo que de verdad sirva para algo. El otro día, dándole vueltas a cómo ayudar en un momento tan movido como es un parto, me puse manos a la obra y programé un bot de Telegram.
¿Qué hace el bot por ti?
Evita saltos del ratón en monitores con distinta resolución usando LittleBigMouse
Si tienes dos o más monitores con tamaños o resoluciones diferentes, seguramente te habrá pasado esto: mueves el ratón de una pantalla a otra… y de repente salta, se queda “atascado” o entra en diagonal en un lugar extraño.
Esto ocurre porque Windows trata todos los monitores como si tuvieran la misma escala física, cuando en realidad no coinciden en tamaño ni densidad de píxeles.
La buena noticia: existe una herramienta gratuita que lo arregla en segundos LittleBigMouse.
Proyecto oficial: https://github.com/mgth/LittleBigMouse.
Repositorio para aprender programación CREANDO proyectos reales
Este repositorio es una recopilación de guías bien redactadas y detalladas para recrear nuestras tecnologías favoritas desde cero.
Build Your Own X es un proyecto en GitHub que recopila multitud de tutoriales paso a paso para recrear tecnologías populares desde cero. La idea es simple: entender lo que hay detrás de las herramientas construyéndolas tú mismo.
Cada enlace te lleva a tutoriales creados por la comunidad. Puedes ver todos los enlaces en https://github.com/codecrafters-io/build-your-own-x.
Diseña tus propios circuitos Arduino sin gastar un euro gracias a Tinkercad
Si siempre has querido aprender Arduino, montar tus primeros circuitos o probar ideas sin necesidad de comprar cables, sensores o placas, hoy te traigo una herramienta que te va a encantar: Tinkercad.
Tinkercad es una plataforma online gratuita donde puedes crear y simular circuitos electrónicos con Arduino directamente en tu navegador. No necesitas instalar nada: solo registrarte y empezar a construir.