Noticias 16/4/2026

Vulnerabilidad en plugins WordPress distribuye malware

Resumen:
Más de 30 plugins del paquete EssentialPlugin para WordPress han sido comprometidos con código malicioso. Esta brecha permite el acceso no autorizado a los sitios web que los utilizan, afectando a miles de instalaciones. Este incidente subraya la importancia de la seguridad en la cadena de suministro de software y la necesidad de mantener los plugins actualizados y de fuentes confiables. Sirve como un excelente caso de estudio para la formación sobre riesgos de plugins de terceros y ataques a la cadena de suministro.

Leer el artículo completo

Abuso n8n para Phishing Sofisticado

Resumen:
Actores de amenazas han estado explotando la plataforma de automatización de flujos de trabajo con IA n8n, utilizando sus webhooks y capacidades de envío de correos automatizados para llevar a cabo campañas de phishing sofisticadas. Este método les permite entregar cargas maliciosas y obtener información de dispositivos, aprovechando la infraestructura de confianza de n8n para evadir los filtros de seguridad tradicionales y hacer que las herramientas de productividad se conviertan en vehículos de ataque. Es un ejemplo clave de cómo los atacantes abusan de herramientas legítimas para sus fines maliciosos.

Leer el artículo completo

Falla Crítica Nginx-ui Explotada Activamente

Resumen:
Se ha identificado y está siendo activamente explotada una vulnerabilidad crítica (CVE-2026-33032, CVSS 9.8) en nginx-ui, una herramienta de gestión de Nginx de código abierto. Esta falla de tipo bypass de autenticación, codificada como MCPwn, permite a actores de amenazas tomar control total del servicio Nginx, lo que subraya la urgencia de aplicar parches para evitar el compromiso de los servidores.

Leer el artículo completo

Parche Abril Soluciona Fallas Críticas

Resumen:
El artículo destaca las vulnerabilidades críticas corregidas en el Patch Tuesday de abril, afectando productos de SAP, Adobe, Microsoft y Fortinet. Resalta una falla de inyección SQL (CVE-2026-27681, CVSS 9.9) en SAP Business Planning and Consolidation y SAP Business Warehouse, que podría permitir la ejecución de código arbitrario en la base de datos. Esta noticia es crucial para la seguridad, ya que aborda vulnerabilidades en sistemas ampliamente utilizados y un tipo de ataque común como la inyección SQL.

Leer el artículo completo

Noticias 15/4/2026

Extorsión a Kraken Tras Brecha Interna

Resumen:
La plataforma de intercambio de criptomonedas Kraken ha anunciado que un grupo de ciberdelincuentes está intentando extorsionarlos. Los atacantes amenazan con publicar videos que, supuestamente, muestran sistemas internos donde se almacenan datos de clientes, lo que indica una posible brecha de seguridad interna o acceso no autorizado. Este incidente resalta las tácticas de extorsión después de una violación de seguridad y la exposición de datos sensibles.

Leer el artículo completo

Noticias 12/4/2026

Alerta: Víctimas Fraude Cripto Identificadas

Resumen:
Una operación internacional de aplicación de la ley, liderada por la Agencia Nacional contra el Crimen del Reino Unido, ha identificado a más de 20,000 víctimas de fraude con criptomonedas en Canadá, el Reino Unido y los Estados Unidos. Esta noticia subraya la prevalencia de los ataques de fraude criptográfico y la importancia de la concienciación para evitar ser víctima.

Leer el artículo completo

Noticias 11/4/2026

Exposición Masiva Dispositivos Industriales Críticos

Resumen:
Este artículo destaca que miles de controladores lógicos programables (PLCs) de Rockwell Automation, expuestos a internet en Estados Unidos, constituyen una superficie de ataque crítica. Estos dispositivos son objetivo de ciberataques vinculados a Irán, dirigidos contra redes de infraestructura crítica estadounidense, subrayando la vulnerabilidad de estos sistemas ante amenazas de estados-nación.

Leer el artículo completo

Vulnerability Remediation Reaches Breaking Point

Resumen:
Un análisis de mil millones de registros de remediación de CISA KEV (Known Exploited Vulnerabilities) ha revelado que la seguridad a escala humana está llegando a un punto crítico. La investigación de Qualys muestra que la mayoría de las vulnerabilidades críticas son explotadas por los atacantes antes de que los defensores puedan aplicar los parches, evidenciando un desafío significativo en la gestión y remediación de vulnerabilidades a tiempo.

Leer el artículo completo

Dropper Zig infecta IDEs de desarrollo

Resumen:
La campaña GlassWorm ha evolucionado, utilizando un nuevo «Zig dropper» diseñado para infectar silenciosamente entornos de desarrollo integrados (IDEs) en máquinas de desarrolladores. Esta técnica se descubrió en una extensión de Open VSX llamada «specstudio.code-wakatime-activity-tracker,» que se hace pasar por el servicio legítimo WakaTime. Este método representa una amenaza significativa para la cadena de suministro de software y es crucial para entender cómo los atacantes pueden comprometer los entornos de desarrollo.

Leer el artículo completo

Salarios y transparencia en el sector TECH

En el ecosistema tecnológico actual, especialmente en el ámbito de la consultoría en España, nos enfrentamos a una ineficiencia persistente en los procesos de selección: la opacidad salarial. Es habitual encontrar vacantes con rangos «a definir» o procesos donde la carga de la prueba recae exclusivamente en las expectativas del candidato, sin una oferta recíproca de transparencia por parte de la empresa.

Esta falta de claridad no es solo una cuestión de etiqueta profesional; es una pérdida de competitividad y recursos para ambas partes.

Uno de los consejos más valiosos que puedo dar a cualquier profesional, desde un perfil Junior hasta un Architect, es definir su mínimo aceptable antes de entablar cualquier conversación. Adoptar esta postura no responde a una ambición desmedida, sino a una gestión inteligente del tiempo:

  • Permite descartar oportunidades que no se alinean con nuestra trayectoria.
  • Elimina la improvisación y el factor emocional del proceso.
  • La reticencia de una empresa a hablar de cifras suele ser un síntoma de desorganización interna o falta de madurez en sus políticas de RRHH.

El Valor de la Información en el Mercado Actual

Hablar de compensación económica no resta profesionalidad; al contrario, demuestra una alta consciencia del valor de mercado y de la experiencia propia. Sin embargo, para negociar con éxito, es imperativo manejar datos objetivos. Muchos profesionales operan bajo una venda digital, desconociendo si su salario actual está indexado correctamente a la realidad del sector.

Para quienes necesiten una referencia sólida de su posición en el mercado, podéis consultar este Simulador de Rango Salarial, una herramienta útil para fundamentar vuestras próximas conversaciones de carrera.

Noticias 10/4/2026

Nueva Amenaza Dirigida a ONG

Resumen:
Se ha identificado un nuevo grupo de amenazas, UAT-10362, que está llevando a cabo campañas de spear-phishing contra ONGs y universidades taiwanesas. El objetivo es desplegar un nuevo malware basado en Lua llamado LucidRook. Este malware es un «stager» sofisticado que utiliza un intérprete de Lua y bibliotecas compiladas en Rust dentro de una DLL para descargar cargas útiles adicionales. Es crucial entender esta táctica de ataque para protegerse contra amenazas dirigidas y sofisticadas.

Leer el artículo completo

Crítica Vulnerabilidad en Controlador ICS

Resumen:
Se ha descubierto una vulnerabilidad crítica (CVSS 9.8) en el producto Contemporary Controls BASC 20T (versión BASControl20 3.1), utilizado en infraestructuras críticas. La explotación exitosa permitiría a un atacante enumerar, reconfigurar, renombrar, eliminar y realizar transferencias de archivos en el Controlador Lógico Programable (PLC) al forjar paquetes tras analizar el tráfico de red. Dado que el producto está obsoleto, se recomienda a los usuarios contactar al fabricante para obtener información adicional. La noticia también destaca prácticas recomendadas de ciberseguridad para mitigar riesgos, como la segmentación de red, el uso de firewalls y VPNs, y la concienciación sobre ataques de ingeniería social y phishing, lo que la hace útil para la formación del personal.

Leer el artículo completo

He creado un Bot de Telegram para que dejes de regalar dinero a tu compañía eléctrica

Si vives en España, ya conoces el ritual: abrir aplicaciones farragosas o mirar tablas de Excel interminables solo para saber si hoy el horno te va a salir a precio de oro.

Como desarrollador, me cansé de dar vueltas para encontrar el dato, así que decidí automatizarlo. He creado @SpainPrecioLuz_bot, un pequeño aliado en Telegram que hace el trabajo sucio por ti.

Sigue leyendo