• PetitPotam
• ShadowCoerce
• DFSCoerce
• RemotePotato0

• Movimiento lateral
• Robo de credenciales
• Acceso persistente
• Exfiltración de datos sensibles

Citar"Desactivar NTLM por defecto no significa eliminar completamente NTLM de Windows todavía", aclaró Microsoft.
"Significa que Windows se entregará en un estado seguro por defecto, donde la autenticación NTLM de red está bloqueada y ya no se usa automáticamente".

• Dónde se sigue usando NTLM
• Qué aplicaciones o servicios dependen de él
• Qué cuentas y sistemas lo invocan

• IAKerb
• KDC Local (Centro Local de Distribución de Claves)

• Anunció la retirada progresiva de NTLM en octubre de 2023
• Desaconsejó oficialmente su uso en julio de 2024

• Auditar dependencias heredadas
• Actualizar aplicaciones antiguas
• Revisar configuraciones de Active Directory

• Adoptar autenticación moderna y sin contraseña

CitarCuando un usuario no autenticado visitaba estos perfiles privados desde determinados dispositivos móviles o con agentes de usuario específicos, Instagram mostraba visualmente el aviso habitual:

"Esta cuenta es privada. Síguela para ver sus fotos y vídeos."

Citar"Esto no fue un problema de caché de CDN. El backend de Instagram no comprobaba la autorización antes de rellenar la respuesta", explicó el investigador, calificándolo como un fallo de autorización del lado del servidor.

Citar"El exploit dejó de funcionar en todas las cuentas que probé, pero sin un análisis de causa raíz por parte de Meta, no hay confirmación de que el problema subyacente esté realmente resuelto", señaló el investigador.

CitarBanga fue claro al afirmar que no buscaba una recompensa económica:

"Al hacer pública esta revelación, he perdido cualquier posibilidad de recompensa. El objetivo es la transparencia."

• El juego se abre. Todo parece normal.
• Pero en segundo plano, acaba de ejecutarse un malware infostealer.

• La infección ocurre en el salón de tu casa.
• La brecha ocurre en tu empresa.

• Mayoría niños o adolescentes
• Descargan software de terceros constantemente
• Desactivan el antivirus para "hacer que funcione el mod"
• Confían en enlaces de Discord y repositorios de GitHub
• Buscan atajos, trampas y bypass
• Ejecutan archivos sin verificar su origen

• "Desbloqueador FPS Roblox"
• "Roblox executor free"
• "Inyector de scripts Roblox"

• Un vídeo de YouTube
• Un servidor de Discord
• Un repositorio de GitHub
• Un enlace de Google Drive

RobloxMod.zip
  └── install.exe

• No hay exploit.
• No hay vulnerabilidad.
• No hay hackeo.

• Contraseñas guardadas del navegador
• Cookies de sesión
• Datos de autocompletado
• Tokens OAuth
• Tokens de Discord
• Credenciales VPN
• Monederos de criptomonedas
• Accesos a servicios en la nube
• Claves SSH
• Credenciales FTP

• Revisar el correo corporativo
• Acceder a Slack o Teams
• Iniciar sesión en Okta
• Conectarse a la VPN
• Aprobar solicitudes MFA
• Acceder a GitHub o paneles internos

• Credenciales SSO corporativas
• Contraseñas de Active Directory
• Cookies de sesión que eluden MFA
• Acceso a plataformas SaaS internas

• Registros completos de infostealers
• Accesos por país, empresa o rol
• Servicios gestionados de Stealer-as-a-Service
• Tutoriales paso a paso para monetización

• Robo masivo de credenciales
• Compra de identidades al por mayor
• Inicio de sesión legítimo
• Bypass de MFA mediante cookies
• Movimiento lateral sin levantar alertas

Citar"Se utilizaron credenciales válidas."

Citar"Se explotó una vulnerabilidad."

Citar"Los ataques superaron las tasas de 200 millones de solicitudes por segundo y alcanzaron un máximo de 31,4 Tbps, convirtiéndose en el mayor ataque DDoS jamás hecho público", señaló Cloudflare.

• Más del 50% de los ataques duraron entre uno y dos minutos
• Solo el 6% superó ese umbral
• El 90% alcanzó picos de entre 1 y 5 Tbps
• Aproximadamente el 94% se situó en el rango de 1 a 5 mil millones de paquetes por segundo (Bpps)

• El 73% correspondió a ataques de capa de red (L3/L4)
• El resto fueron ataques HTTP (capa de aplicación)

• Proveedores de servicios de telecomunicaciones
• Empresas de TI y servicios gestionados
• Plataformas de juegos de azar y casinos
• Empresas de videojuegos y entretenimiento online

• Incremento del 600% en ataques de capa de red que superan los 100 millones de paquetes por segundo (Mpps)
• Aumento del 65% en ataques que superan el umbral de 1 Tbps
• Más del 71,5% de los ataques HTTP DDoS provienen de botnets conocidas o previamente documentadas

Citar"Un atacante puede apuntar SmarterMail a un servidor HTTP malicioso que entregue comandos del sistema operativo. Estos comandos son posteriormente ejecutados por la aplicación vulnerable."

Citar"La aplicación decodifica en base64 la entrada suministrada por el atacante y la utiliza como una ruta del sistema de archivos sin ningún tipo de validación."

• Coacción de credenciales
• Ataques de retransmisión NTLM
• Autenticación no autorizada en la red
• Movimiento lateral dentro del dominio

• Robo masivo de correos electrónicos
• Acceso a credenciales internas
• Instalación de puertas traseras persistentes
• Uso del servidor para campañas de phishing
• Despliegue de ransomware

• Actualizar inmediatamente a SmarterMail Build 9518 o superior.
• Restringir el acceso a APIs administrativas.
• Monitorizar tráfico SMB saliente inusual.
• Deshabilitar NTLM cuando sea posible.
• Auditar logs en busca de indicadores de compromiso.

• Ejecuten código
• Accedan a APIs externas
• Consulten bases de datos
• Interactúen con sistemas internos

Citar"Las capacidades de llamada de herramientas alteran fundamentalmente el modelo de amenaza. Un endpoint de generación de texto puede producir contenido dañino, pero un endpoint habilitado por herramientas puede ejecutar operaciones privilegiadas".

• Razonamiento complejo
• Procesamiento de visión
• Interacciones más allá del texto tradicional

• Generación masiva de spam
• Campañas de desinformación
• Minería de criptomonedas
• Reventa de acceso a infraestructura de IA

• Escaneo sistemático de Internet en busca de instancias Ollama, servidores vLLM y APIs compatibles con OpenAI sin autenticación.
• Validación de los endpoints, evaluando la calidad y utilidad de las respuestas.
• Comercialización del acceso a precios reducidos a través de plata[.]inc, una pasarela API LLM unificada.

Citar"Los LLM se están desplegando cada vez más en el borde para traducir instrucciones en acciones. Por ello, deben contar con los mismos controles de autenticación, monitorización y segmentación de red que cualquier infraestructura accesible externamente".

• Bitdefender (qutppy.exe)
• VLC Media Player (vlc.exe, renombrado como googleupdate.exe)
• Ulead PhotoImpact (olreg.exe)
• Sangfor (sang.exe)

• Pulsaciones de teclas (keylogging)
• Contenido del portapapeles
• Archivos locales
• Credenciales proxy HTTP, extraídas del tráfico de red del host

• ServiceMgrS.dll: gestión y supervisión de todos los servicios del sistema
• FileMgrS.dll: enumeración, creación, movimiento, lectura, compresión, búsqueda y eliminación de archivos y carpetas
• RemoteShellS.dll: shell remota que lanza cmd.exe y permite ejecutar comandos y capturar su salida

• QReverse, un troyano de acceso remoto con shell remota, gestión de archivos, capturas de pantalla y recopilación de información
• TONEDISK, un gusano USB diseñado para propagación lateral en entornos aislados

• Auditar exhaustivamente la configuración del sistema
• Revocar todas las integraciones de servicios conectados
• Rotar y proteger credenciales expuestas
• Implementar controles de red y firewall estrictos
• Supervisar indicadores de compromiso y accesos no autorizados

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

• CVE-2026-1470 fue solucionada en las versiones 1.123.17, 2.4.5 y 2.5.1.
• CVE-2026-0863 se corrigió en 1.123.14, 2.3.5 y 2.4.2.

Citar"La exfiltración de datos a buckets de Wasabi y el uso de una versión de Mimikatz con el mismo nombre de archivo previamente observado en ataques de INC apuntan a posibles vínculos entre ambas operaciones", señalaron los investigadores.

• Netscan y Netexec para descubrimiento de red
• MeshAgent para acceso remoto persistente
• Una versión personalizada del software de escritorio remoto RustDesk
• Acceso remoto mediante RDP, que estaba habilitado en la red comprometida

• Detener servicios y procesos críticos
• Definir carpetas y extensiones específicas a cifrar
• Finalizar procesos activos
• Generar y desplegar notas de rescate personalizadas

• Akira explotando controladores vulnerables y VPN SSL de SonicWall, además de utilizar señuelos CAPTCHA tipo ClickFix para desplegar SectopRAT.
• LockBit 5.0 introduciendo un modelo de despliegue en dos etapas, separando el cargador de la carga útil principal para mejorar evasión y modularidad.
• La aparición de Sicarii, un nuevo RaaS con posibles indicios de operación de falsa bandera.
• Storm-2603 abusando de herramientas DFIR legítimas como Velociraptor y múltiples controladores para ataques BYOVD.
• Makop utilizando RDP expuesto, BYOVD y el cargador GuLoader para distribuir ransomware.
• La identificación de un fallo de diseño en Obscura que provoca la pérdida permanente de archivos grandes cifrados.
• La emergencia de 01flip, un ransomware escrito en Rust que ataca Windows y Linux en la región Asia-Pacífico.

• Monitorizar el uso de herramientas de doble uso
• Restringir y proteger el acceso RDP
• Aplicar autenticación multifactor (MFA)
• Implementar listas blancas de aplicaciones
• Mantener copias de seguridad offline y fuera del sitio

Citar"El ransomware ya no es solo cifrado. Se está convirtiendo en parte de un ecosistema de extorsión más amplio", concluyeron Symantec y Carbon Black.

/api/v1/auth/force-reset-password

Citar"Lo más interesante es que dicho usuario puede usar funciones de RCE incorporadas para ejecutar directamente comandos del sistema operativo", explicaron los investigadores.

• Permite acceder al endpoint sin ningún tipo de autenticación previa.
• Confía ciegamente en una bandera booleana controlada por el usuario, denominada IsSysAdmin, para determinar si la solicitud debe tratarse como una acción privilegiada.

• Recupera la configuración del usuario especificado en la solicitud HTTP.
• Crea o modifica un objeto de administrador del sistema con una nueva contraseña.
• Actualiza la cuenta de administrador existente con la contraseña proporcionada por el atacante.

• Actualizar inmediatamente a la última versión de SmarterMail
• Auditar sistemas en busca de signos de compromiso
• Revisar cuentas administrativas y rotar credenciales
• Monitorizar logs HTTP y accesos sospechosos al endpoint de autenticación
• Eliminar o aislar sistemas obsoletos expuestos a Internet

• Desactivar completamente el servicio telnetd
• Bloquear el puerto TCP 23 en todos los cortafuegos perimetrales y locales
• Limitar el acceso mediante listas de control estrictas
• Auditar sistemas heredados y dispositivos embebidos

Citar"Hasta finales de enero de 2026 había una recompensa por los bugs de curl. Ya no existe", señala el texto actualizado. "El proyecto curl ya no ofrece ninguna recompensa por errores o vulnerabilidades reportadas, ni ayuda a los investigadores de seguridad a obtener compensaciones de otras fuentes".

CitarEste fenómeno, al que el propio Stenberg se refiere como "basura de IA", describe una creciente cantidad de contenido que "suena bien", utiliza terminología técnica y formatos correctos, pero carece de análisis real, pruebas funcionales o impacto de seguridad verificable.

Citar"Empezamos la semana recibiendo siete informes de HackerOne en un periodo de dieciséis horas. Algunos parecían bugs reales, lo que me llevó bastante tiempo investigarlos. Finalmente concluimos que ninguno identificaba una vulnerabilidad real".

Citar"La avalancha actual de envíos ha puesto una carga enorme sobre el equipo de seguridad de curl. Esto es un intento de reducir el ruido y proteger la salud mental de los mantenedores".

Citar"Parece que tenemos datos que confirman que la recompensa por errores de curl ha recibido un aumento considerable en la tasa de envíos hasta 2025, mientras que otros proyectos similares no lo han hecho", publicó en Mastodon.

• Hasta el 31 de enero de 2026, curl seguirá aceptando informes enviados a través de HackerOne.
• Los reportes en curso continuarán siendo evaluados.
• A partir del 1 de febrero de 2026, el proyecto dejará de aceptar nuevas propuestas en HackerOne.
• Los investigadores deberán reportar vulnerabilidades directamente a través de GitHub, siguiendo los canales oficiales del proyecto.

• Exponían credenciales cloud en texto claro
• Utilizaban credenciales predeterminadas
• No aplicaban políticas de menor privilegio
• Permitían acceso directo a recursos críticos de la nube

• Acceder completamente a buckets S3, Google Cloud Storage y Azure Blob Storage
• Leer y escribir secretos en AWS Secrets Manager y servicios equivalentes
• Interactuar con registros de contenedores
• Obtener privilegios administrativos en entornos cloud completos

Citar"Descubrimos pruebas claras de que los atacantes están explotando activamente estos vectores de ataque, desplegando mineros criptográficos, webshells y mecanismos de persistencia en sistemas comprometidos", señalaron los investigadores.

• Descarga herramientas adicionales desde Dropbox
• Utiliza cifrado AES-256
• Elimina mineros competidores del sistema comprometido

• Lectura, escritura y eliminación de archivos
• Subida y descarga de ficheros
• Ejecución de comandos del sistema

• Mantener un inventario completo de todos los recursos cloud, incluidas aplicaciones de prueba
• Aislar entornos no productivos de los sistemas de producción
• Aplicar estrictamente roles IAM de menor privilegio
• Cambiar y rotar credenciales predeterminadas
• Configurar caducidad automática para recursos temporales
• Monitorizar activamente la exposición de servicios a Internet

Citar"Tuvimos un inicio de sesión SSO malicioso en uno de nuestros FortiGate con la versión 7.4.9. Nuestro SIEM detectó la creación de una cuenta de administrador local. Tras investigar, todo coincidía con la explotación de CVE-2025-59718, aunque el sistema estaba parcheado desde el 30 de diciembre", explicó el administrador.

CitarOtro administrador afectado confirmó un patrón idéntico:

"Observamos la misma actividad, incluso en la versión 7.4.9. El mismo usuario, la misma IP. Se creó un nuevo administrador del sistema llamado 'helpdesk'. Tenemos un ticket abierto con soporte y el equipo de desarrollo de Fortinet ha confirmado que la vulnerabilidad persiste en la 7.4.10".

config system global
set admin-forticloud-sso-login disable
end

• Actualización de infraestructura de LastPass: Asegura tu bóveda ahora
• Tus datos, tu protección: crea una copia de seguridad antes del mantenimiento
• No te lo pierdas: haz una copia de seguridad de tu bóveda antes del mantenimiento
• Importante: Mantenimiento de LastPass y la seguridad de tu bóveda
• Protege tus contraseñas: Haz una copia de seguridad de tu bóveda (ventana de 24 horas)

• group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf
• Desde allí, la víctima es redirigida automáticamente al dominio fraudulento:
• mail-lastpass[.]com

• support@sr22vegas[.]com
• support@lastpass[.]server8
• support@lastpass[.]server7
• support@lastpass[.]server3

Citar"Esta campaña está diseñada para crear una falsa sensación de urgencia, que es una de las tácticas más comunes y efectivas que vemos en ataques de phishing", explicó un portavoz del equipo de Inteligencia, Mitigación y Escalada de Amenazas (TIME) de LastPass.

• No hacer clic en enlaces incluidos en correos electrónicos no solicitados.
• Verificar siempre el dominio antes de introducir cualquier credencial.
• Acceder a LastPass únicamente desde la aplicación oficial o escribiendo manualmente la URL.
• Activar y mantener habilitada la autenticación multifactor (MFA).

Citar"Una vulnerabilidad de inyección de comandos en los Zoom Node Multimedia Routers (MMR) anteriores a la versión 5.2.1716.0 podría permitir a un participante de la reunión realizar ejecución remota de código mediante acceso a la red", señaló la compañía.

• Versiones del módulo MMR de Zoom Node Meetings Hybrid (ZMH) anteriores a la 5.2.1716.0
• Versiones del módulo MMR del Zoom Node Meeting Connector (MC) anteriores a la 5.2.1716.0

• CVE-2025-13335 (CVSS: 6,5) – Manipulación de documentos Wiki malformados que eluden la detección de ciclos.
• CVE-2026-1102 (CVSS: 5,3) – Envío repetido de solicitudes de autenticación SSH malformadas.

• Integración con el entorno de escritorio
• Manejo del portapapeles
• Entrada de texto
• Comunicación entre procesos más eficiente

• Audio
• Fuentes tipográficas
• Red
• Multimedia
• Compatibilidad con distintas versiones de Windows

• Limitadores de CPU, RAM y ancho de banda, diseñados para evitar que el navegador interfiera con el rendimiento de juegos o aplicaciones exigentes.
• Integración nativa con Twitch y Discord, facilitando el seguimiento de streams y comunidades sin salir del navegador.
• Personalización visual avanzada, con temas, efectos sonoros y una estética inspirada en el mundo gaming.
• Herramientas adicionales como GX Cleaner, GX Control o GX Corner, orientadas a la gestión del sistema y el descubrimiento de contenidos relacionados con videojuegos.

• Proton y Steam Play, impulsados por Valve, han mejorado de forma notable la compatibilidad con juegos diseñados originalmente para Windows.
• El éxito de Steam Deck, basado en Linux, ha contribuido a normalizar esta plataforma entre jugadores.
• Mejores controladores gráficos, avances en Vulkan y una comunidad cada vez más activa han reforzado la posición de Linux como alternativa real.

• Soporte adecuado para distribuciones populares
• Integración correcta con entornos de escritorio
• Actualizaciones regulares y corrección de errores
• Un rendimiento comparable al de otras plataformas
• Hasta que la versión para Linux no esté disponible, estas preguntas seguirán sin respuesta.