Bienvenido a nuestro blog.

Axios CVE-2026-40175: un fallo crítico que… no se puede explotar

La vulnerabilidad Axios CVE-2026-40175 tiene una calificación de «crítica», pero en entornos reales de Node.js no es explotable en la práctica. A continuación explicamos por qué.

Los programas de recompensa por errores no han desaparecido, pero el modelo tradicional está llegando a su fin

Los programas de recompensa por errores están llegando a un punto de inflexión, ya que la inteligencia artificial está desbordando los programas, lo que impulsa un cambio hacia modelos de seguridad más sostenibles y centrados en la calidad.

Aikido Attack descubre varios vulnerabilidades de día cero en Hoppscotch

Aikido Attack identificó tres vulnerabilidades de alta gravedad en Hoppscotch: una redirección abierta que permite la apropiación de cuentas, un ataque XSS almacenado y control de acceso roto permite la inyección de solicitudes entre equipos.

Extensión fast-draft Open VSX Comprometida por BlokTrooper

Una popular extensión de Open VSX fue comprometida y utilizada para desplegar un RAT y un infostealer desde una infraestructura controlada por el atacante. Su historial de versiones cuenta la verdadera historia, con lanzamientos maliciosos apareciendo entre los limpios.

Glassworm ataca paquetes populares de React Native para números de teléfono

Dos populares paquetes npm de React Native fueron comprometidos con puertas traseras por presuntos actores de Glassworm y utilizados para distribuir malware de múltiples etapas. A continuación, se explica qué hace el malware y qué aspectos observar.

¿Cómo los equipos de seguridad se defienden de los hackers impulsados por IA?

Un solo hacker y una suscripción a Claude acaban de derribar nueve agencias gubernamentales mexicanas. La IA ha proporcionado a los atacantes una mejora de poder significativa. Los equipos de seguridad necesitan un nuevo manual de estrategias.

Estrategia de ciberseguridad de Trump para 2026: Del cumplimiento a la consecuencia

¿Cómo funciona el pentesting de IA en relación con el cumplimiento?

El pentesting de IA está siendo aceptado para SOC 2, ISO 27001, HIPAA y PCI DSS. Esto es lo que los auditores realmente buscan y dónde están las limitaciones reales.

XSS/RCE persistente usando WebSockets en el servidor de desarrollo de Storybook

Aikido Attack encontró una vulnerabilidad de secuestro de WebSocket en el servidor de desarrollo de Storybook que puede conducir a XSS persistente, ejecución remota de código y, en el peor de los casos, a un compromiso de la cadena de suministro. Explicamos cómo un atacante puede explotar esto sin ninguna interacción del usuario, y un desarrollador solo tiene que visitar el sitio web equivocado para encontrarse con este ataque.

Por qué el determinismo sigue siendo una necesidad en seguridad

Las herramientas de seguridad impulsadas por IA están mejorando en la detección de vulnerabilidades. Pero las herramientas deterministas ofrecen la consistencia de la que dependen las pipelines, el cumplimiento normativo y las pistas de auditoría. Analizamos qué hace bien el escaneo determinista, dónde interviene la IA y cómo ambos trabajan juntos para una seguridad eficaz.

Cómo lograr que su consejo se preocupe por la seguridad (antes de que una brecha lo obligue)

¿Qué es el Slopsquatting? El ataque de alucinación de paquetes de IA que ya está ocurriendo

Los modelos de IA alucinan nombres de paquetes — y los atacantes los están registrando antes de que nadie se dé cuenta. El slopsquatting es la evolución del typosquatting en la era de la IA, y a diferencia de su predecesor, las protecciones existentes de npm no funcionan. Analizamos la investigación en el mundo real que demuestra que ya está ocurriendo, desde paquetes maliciosos confirmados que aún registran cientos de descargas semanales hasta un nombre de paquete alucinado que se propagó a 237 repositorios a través de archivos de habilidades de agentes de IA.