Dieciocho paquetes JavaScript muy utilizados fueron comprometidos tras un sofisticado ataque de phishing a un mantenedor de NPM. La manipulación, orientada a robar criptomonedas, reabre el debate sobre las cadenas de suministro en el software de código abierto.
La entrada Ataque de phishing compromete 18 paquetes clave de JavaScript para robar criptomonedas se publicó primero en Una Al Día.
Una vulnerabilidad severa en Argo CD permite que tokens de API con permisos básicos accedan a credenciales sensibles de repositorios, poniendo en jaque la confidencialidad de proyectos y aumentando el riesgo de compromisos en CI/CD. Argo CD, la popular herramienta para la gestión de aplicaciones en Kubernetes, enfrenta un importante incidente de seguridad tras detectarse […]
La entrada Argo CD: vulnerabilidad en API expone credenciales con permisos básicos se publicó primero en Una Al Día.
Cuatro paquetes maliciosos detectados en npm fingen ser utilidades legítimas para desarrolladores de Ethereum, pero en realidad están diseñados para robar credenciales de wallets y semillas criptográficas, exponiendo a proyectos y operadores DeFi a graves riesgos de robo de fondos. El ecosistema de desarrollo Web3 en Ethereum vuelve a estar bajo amenaza tras la detección […]
La entrada Detectados paquetes npm maliciosos que roban claves de wallets Ethereum se publicó primero en Una Al Día.
Analistas de Mandiant han detectado la explotación activa de una vulnerabilidad crítica (CVE-2025-53690) en Sitecore, permitiendo ejecución remota de código (RCE) a través de configuraciones heredadas y claves criptográficas de ejemplo en este popular CMS empresarial. La vulnerabilidad zero-day CVE-2025-53690 afecta a Sitecore XM/XP, sistemas cruciales para la gestión de contenidos de grandes compañías globales. […]
La entrada Alerta crítica: vulnerabilidad zero-day en Sitecore permite RCE por malas prácticas de configuración se publicó primero en Una Al Día.
Recientes investigaciones han detectado un creciente abuso del framework Velociraptor —una herramienta Open Source de forense digital e investigación de incidentes— como una plataforma de post-explotación en Windows y Linux. Aunque diseñada para ayudar a responder y analizar amenazas, Velociraptor ahora está siendo desplegada por actores maliciosos como un mecanismo sigiloso de control remoto.
La entrada Velociraptor, herramienta forense legítima, es reutilizada por atacantes para obtener acceso remoto persistente se publicó primero en Una Al Día.
Recientemente, los responsables del sistema de construcción Nx alertaron de un grave ataque a su cadena de suministro: se detectaron versiones maliciosas de paquetes npm relacionados con S1ngularity que incluían código para extraer información sensible. Se estima que 2 349 credenciales —de GitHub, servicios en la nube y plataformas de IA— fueron filtradas a servidores controlados por los atacantes.
La entrada Paquetes maliciosos en Nx comprometen proyectos de S1ngularity y permiten ejecutar código remoto se publicó primero en Una Al Día.
Adversa AI ha identificado una vulnerabilidad en el routing interno de GPT-5 que permite forzar qué modelo responde ua una consulta. El hallazgo, bautizado PROMISQROUTE, reabre viejos jailbreaks y cuestiona la transparencia del enrutado automático entre modelos.
La entrada El problema no es el modelo: es el routing interno de GPT-5 se publicó primero en Una Al Día.
Investigadores de Google y Cloudflare han revelado una vulnerabilidad crítica en el protocolo HTTP/2, bautizada como “MadeYouReset” (CVE-2025-25063), que ya está siendo aprovechada para lanzar ataques DDoS a gran escala. La falla afecta a múltiples implementaciones del protocolo y se basa en la manipulación de stream resets, lo que permite a un atacante amplificar el tráfico y consumir de forma desproporcionada los recursos del servidor.
La entrada MadeYouReset: nueva vulnerabilidad en HTTP/2 permite ataques DDoS masivos se publicó primero en Una Al Día.
Investigadores de Eclypsium han descubierto una vulnerabilidad crítica en determinados modelos de webcams Lenovo que permite transformarlas en dispositivos BadUSB capaces de inyectar pulsaciones de teclado y ejecutar comandos maliciosos de forma remota. El fallo, bautizado como BadCam (CVE-2025-4371), fue presentado en DEF CON 33 y supone la primera demostración documentada de cómo un periférico USB basado en Linux puede ser secuestrado sin ser reemplazado físicamente.
La entrada Cámaras Lenovo convertidas en armas digitales: nueva vulnerabilidad BadUSB se publicó primero en Una Al Día.
En los últimos días han proliferado titulares que presentan esta filtración como “la mayor brecha de la historia”, insinuando incluso que Apple, Google o Facebook han sido comprometidas.
La entrada 16 mil millones de credenciales al descubierto: ¿el robo del siglo o un espejismo? se publicó primero en Una Al Día.
