Aikido
Empieza gratis
Sin tarjeta

Bienvenido a nuestro blog.

Destacado
Mini Shai-Hulud ataca paquetes npm de SAP con un ladrón de secretos basado en Bun
Mini Shai-Hulud ataca paquetes npm de SAP con un ladrón de secretos basado en Bun
Paquetes npm de SAP comprometidos utilizan un payload de preinstalación basado en Bun para robar secretos de GitHub, npm, la nube y CI, y luego se propagan a través de GitHub usando OhNoWhatsGoingOnWithGitHub.
Vulnerabilidades y amenazas
Raphael Silva
Es hora de tratar las extensiones de navegador como vectores de ataque de la cadena de suministro
Es hora de tratar las extensiones de navegador como vectores de ataque de la cadena de suministro | Lecciones aprendidas de la brecha de Vercel
La brecha de Vercel siguió un patrón bien conocido en la industria de la seguridad, donde el código de terceros se confía implícitamente y luego se ve comprometido en la cadena de suministro. Tenemos un marco para ello. Simplemente aún no lo hemos aplicado a las extensiones de navegador. (Spoiler: Hacemos esto para las dependencias de software)
La brecha de Vercel siguió un patrón bien conocido en la industria de la seguridad, donde el código de terceros se confía implícitamente y luego se ve comprometido en la cadena de suministro. Tenemos un marco para ello. Simplemente aún no lo hemos aplicado a las extensiones de navegador. (Spoiler: Hacemos esto para las dependencias de software)
Vulnerabilidades y amenazas
Dania Durnas
¿Ha vuelto Shai-Hulud? La CLI de Bitwarden comprometida contiene un gusano npm auto-propagable
¿Ha vuelto Shai-Hulud? La CLI de Bitwarden comprometida contiene un gusano npm auto-propagable
Se ha encontrado malware en @bitwarden/cli v2026.4.0 que roba claves SSH, secretos de la nube y credenciales de herramientas de codificación de IA, y luego se propaga a través de los propios paquetes npm de las víctimas. En su interior: un gusano que se autodenomina "Shai-Hulud: The Third Coming."
Se ha encontrado malware en @bitwarden/cli v2026.4.0 que roba claves SSH, secretos de la nube y credenciales de herramientas de codificación de IA, y luego se propaga a través de los propios paquetes npm de las víctimas. En su interior: un gusano que se autodenomina "Shai-Hulud: The Third Coming."
Vulnerabilidades y amenazas
Ilyas Makari
Puerta trasera GPT-Proxy en npm y PyPI convierte servidores en relés LLM chinos
Puerta trasera GPT-Proxy en npm y PyPI convierte servidores en relés LLM chinos
Una campaña de malware recién descubierta en npm y PyPI instala proxies LLM ocultos en servidores comprometidos, convirtiéndolos en nodos de retransmisión para el tráfico LLM.
Una campaña de malware recién descubierta en npm y PyPI instala proxies LLM ocultos en servidores comprometidos, convirtiéndolos en nodos de retransmisión para el tráfico LLM.
Vulnerabilidades y amenazas
Ilyas Makari
XSS en Roundcube encadenado con 'cookie tossing' para acceso completo a la bandeja de entrada
XSS en Roundcube encadenado con 'cookie tossing' para acceso completo a la bandeja de entrada
Encontramos un XSS almacenado en el endpoint de adjuntos de borradores de Roundcube que, encadenado con una técnica de 'cookie tossing', otorga a un atacante acceso completo a la bandeja de entrada de una víctima. Así es como funciona la cadena de explotación y cómo se parcheó.
Encontramos un XSS almacenado en el endpoint de adjuntos de borradores de Roundcube que, encadenado con una técnica de 'cookie tossing', otorga a un atacante acceso completo a la bandeja de entrada de una víctima. Así es como funciona la cadena de explotación y cómo se parcheó.
Vulnerabilidades y amenazas
Jorian Woltjer
Presentamos «Protección de dispositivos»: seguridad para los dispositivos de los desarrolladores
Protección de dispositivos con Aikido: seguridad para los dispositivos de los desarrolladores | Aikido
ataques a la cadena de suministro dispositivos de desarrolladores. Aikido Device Protection supervisa todas las instalaciones en npm, PyPI, extensiones de VS Code, extensiones de navegador y herramientas de IA.
Actualizaciones de producto y empresa
Madeline Lawrence
Múltiples vulnerabilidades de cross-site scripting (XSS) en Mailcow
Múltiples vulnerabilidades XSS encontradas en Mailcow, incluyendo la toma de control de cuentas no autenticadas
El agente de pentesting de IA de Aikido encontró tres vulnerabilidades XSS en Mailcow, una de las cuales permitía a atacantes no autenticados tomar el control de cuentas de administrador. Todos los problemas han sido corregidos a partir de la versión 2026-03b.
Los agentes de pentesting de IA de Aikido encontraron tres vulnerabilidades XSS en Mailcow, un servidor de correo electrónico autohospedado ampliamente utilizado. La más grave permitía a atacantes no autenticados inyectar una carga útil en los registros de Autodiscover que se ejecutaría cuando un administrador los visualizara, permitiendo la toma de control total de la cuenta. Las tres han sido corregidas desde la versión 2026-03b.
Vulnerabilidades y amenazas
Jorian Woltjer
Fuentes fiables de CVE en la era de los recortes de NIST NVD
Cambios en NIST NVD 2026: lo que los equipos de seguridad deben saber
NIST ya no enriquecerá la mayoría de los CVE. Esto es lo que cambia, lo que se rompe y lo que está por venir.
Noticias
Sooraj Shah
Un año de Opengrep: Qué hemos construido y qué sigue
Opengrep SAST después de un año: Análisis estático más rápido y determinista
Un año después de bifurcar Semgrep, Opengrep es más rápido, soporta un análisis de taint más profundo y produce resultados consistentes y reproducibles.
Un año después de bifurcar Semgrep, Opengrep es más rápido, más capaz y completamente abierto. Esto es lo que hemos construido y lo que sigue.
Actualizaciones de producto y empresa
Dimitris Mostrous
Axios CVE-2026-40175: un error crítico que... no es explotable
Axios CVE-2026-40175: un error crítico que... no es explotable
Axios CVE-2026-40175 está clasificado como crítico, pero en entornos reales de Node.js no es prácticamente explotable. Aquí está el porqué.
Axios CVE-2026-40175 está clasificado como crítico, pero en entornos reales de Node.js no es prácticamente explotable. Aquí está el porqué.
Vulnerabilidades y amenazas
Mackenzie Jackson
El Bug bounty no está muerto, pero el modelo antiguo está fallando
El Bug bounty no está muerto, pero el modelo antiguo está fallando
El Bug bounty está alcanzando un punto crítico a medida que la IA abruma los programas, impulsando un cambio hacia modelos de seguridad más sostenibles y centrados en la calidad.
El Bug bounty está alcanzando un punto crítico a medida que la IA abruma los programas, impulsando un cambio hacia modelos de seguridad más sostenibles y centrados en la calidad.
Técnico
Mackenzie Jackson
GlassWorm se vuelve nativo: Nuevo dropper Zig infecta cada IDE en su máquina
GlassWorm se vuelve nativo: Nuevo dropper Zig infecta cada IDE en su máquina
GlassWorm despliega un dropper nativo basado en Zig oculto dentro de una extensión falsa, comprometiendo silenciosamente VS Code, Cursor, VSCodium y otros IDEs.
GlassWorm despliega un dropper nativo basado en Zig oculto dentro de una extensión falsa, comprometiendo silenciosamente VS Code, Cursor, VSCodium y otros IDEs.
Vulnerabilidades y amenazas
Ilyas Makari
Aikido Attack encuentra múltiples 0-days en Hoppscotch
Aikido Attack Encuentra 0-Days en Hoppscotch
Los agentes de pentesting de IA de Aikido descubrieron múltiples vulnerabilidades de alta gravedad en Hoppscotch, incluyendo toma de control de cuentas, XSS almacenado y fallos de control de acceso. Todos los problemas han sido parcheados.
Aikido Attack identificó tres vulnerabilidades de alta gravedad en Hoppscotch: una redirección abierta que lleva a la toma de control de cuentas, XSS almacenado y un problema de control de acceso roto que permite la inyección de solicitudes entre equipos.
Vulnerabilidades y amenazas
Robbe Verwilghen
El alarmismo en ciberseguridad en torno a Mythos no se corresponde con lo que observamos en la práctica
Riesgos de ciberseguridad de Anthropic Mythos: Lo que 1.000 pentests de IA realmente demuestran
El modelo Mythos filtrado de Anthropic ha desatado el pánico sobre los ciberataques impulsados por IA. Realizamos 1.000 pentests de IA. Los resultados sugieren que la amenaza es más matizada de lo que afirman los titulares.
Noticias
Sooraj Shah
axios comprometido en npm: cuenta del mantenedor secuestrada, RAT desplegado
axios comprometido en npm: cuenta del mantenedor secuestrada, RAT desplegado
Las versiones maliciosas de axios 1.14.1 y 0.30.4 fueron publicadas a través de una cuenta de mantenedor secuestrada. Una dependencia oculta despliega un RAT multiplataforma. Compruebe si está afectado y remedie la situación ahora.
Axios fue comprometido. Las versiones maliciosas de axios 1.14.1 y 0.30.4 fueron publicadas en npm después de que la cuenta del mantenedor principal fuera secuestrada. La dependencia inyectada despliega un RAT multiplataforma que se autodestruye después de la ejecución.
Vulnerabilidades y amenazas
Madeline Lawrence
El popular paquete telnyx comprometido en PyPI por TeamPCP
El popular paquete telnyx comprometido en PyPI por TeamPCP
El popular paquete telnyx en PyPI, utilizado por grandes empresas de IA, ha sido comprometido por TeamPCP
El popular paquete telnyx en PyPI, utilizado por grandes empresas de IA, ha sido comprometido por TeamPCP
Vulnerabilidades y amenazas
Charlie Eriksen
Aikido × Lovable: Vibe, Fix, Ship
Lovable se asocia con Aikido para llevar el pentesting a las aplicaciones Vibe-Coded
Lovable y Aikido integran el pentesting en la plataforma, permitiendo a los desarrolladores simular ataques reales y corregir problemas antes del lanzamiento.
Aikido integra el pentesting directamente en Lovable. Pruebe su aplicación simulando ataques reales y corrija los problemas antes de su lanzamiento.
Actualizaciones de producto y empresa
Madeline Lawrence
CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán
CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán
CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán
CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán
Vulnerabilidades y amenazas
Charlie Eriksen
TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy
TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy
TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy
TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy
Vulnerabilidades y amenazas
Charlie Eriksen
Aikido reconocido por Frost & Sullivan con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM
Aikido reconocido por Frost & Sullivan con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM
Frost & Sullivan ha reconocido a Aikido con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM. Analizamos lo que los criterios de reconocimiento revelan sobre cómo está madurando el mercado de AppSec.
Frost & Sullivan ha reconocido a Aikido con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM. Analizamos lo que los criterios de reconocimiento revelan sobre cómo está madurando el mercado de AppSec.
Noticias
Michiel Denis
GlassWorm oculta un RAT dentro de una extensión maliciosa de Chrome
RAT GlassWorm entregado a través de una extensión maliciosa de Chrome (Keylogger, Robo de Cookies)
GlassWorm despliega un RAT de múltiples etapas que fuerza la instalación de una extensión maliciosa de Chrome para registrar pulsaciones de teclas, robar cookies y exfiltrar datos a través de un C2 basado en Solana.
GlassWorm despliega un RAT de múltiples etapas que fuerza la instalación de una extensión maliciosa de Chrome para registrar pulsaciones de teclas, robar cookies y exfiltrar datos a través de un C2 basado en Solana.
Vulnerabilidades y amenazas
Ilyas Makari
Las pruebas de seguridad validan software que ya no existe
Por qué el Pentesting no puede seguir el ritmo: El problema de la velocidad en las pruebas de seguridad
Los equipos modernos entregan más rápido de lo que el pentesting puede seguir el ritmo. Explore la creciente brecha de velocidad en las pruebas de seguridad y por qué los enfoques tradicionales se están quedando atrás.
Un CISO de una gran empresa nos dijo que la capacidad de seguridad más importante hoy en día es la velocidad. Pero, ¿qué ocurre cuando las pruebas no pueden seguir el ritmo de la rapidez con la que cambian los sistemas?
Guías y Mejores Prácticas
Sooraj Shah
Extensión fast-draft Open VSX Comprometida por BlokTrooper
Extensión fast-draft Open VSX Comprometida por BlokTrooper (RAT e Infostealer)
La extensión fast-draft Open VSX fue comprometida para desplegar un RAT y un infostealer de BlokTrooper a través de cargas útiles alojadas en GitHub. Se identificaron múltiples versiones maliciosas.
Una popular extensión de Open VSX fue comprometida y utilizada para desplegar un RAT y un infostealer desde una infraestructura controlada por el atacante. Su historial de versiones cuenta la verdadera historia, con lanzamientos maliciosos apareciendo entre los limpios.
Vulnerabilidades y amenazas
Raphael Silva
Glassworm ataca paquetes populares de React Native para números de teléfono
Glassworm ataca paquetes populares de números de teléfono de React Native en un nuevo ataque a la cadena de suministro
Investigadores de Aikido Security recuperaron y descifraron la cadena completa de carga útil de dos paquetes maliciosos de React Native. Esto es lo que hace el malware y qué buscar.
Dos populares paquetes npm de React Native fueron comprometidos con puertas traseras por presuntos actores de Glassworm y utilizados para distribuir malware de múltiples etapas. A continuación, se explica qué hace el malware y qué aspectos observar.
Vulnerabilidades y amenazas
Raphael Silva
Glassworm está de vuelta: una nueva ola de ataques Unicode invisibles afecta a cientos de repositorios
Glassworm regresa: malware Unicode invisible encontrado en más de 150 repositorios de GitHub
El ataque a la cadena de suministro de Glassworm ha regresado. Investigadores descubrieron malware oculto en caracteres Unicode invisibles en más de 150 repositorios de GitHub, además de paquetes npm y extensiones de VS Code.
Glassworm está de vuelta con una nueva ola de ataques Unicode invisibles. Estamos rastreando una nueva campaña que compromete silenciosamente repositorios en GitHub, npm y VS Code.
Vulnerabilidades y amenazas
Ilyas Makari
¡Gracias! ¡Su envío ha sido recibido!
¡Vaya! Algo salió mal al enviar el formulario.
Mayo 27, 2026
Noticias

Aikido frente a XBOW: se han detectado un 58 % más de vulnerabilidades en una prueba de rendimiento independiente

Encargamos a Doyensec que realizara una prueba comparativa ciega e independiente entre Aikido y XBOW las mismas aplicaciones y al mismo precio. Aikido detectó un 58 % más de vulnerabilidades verificadas y obtuvo mejores resultados en cuanto a configuración, velocidad y estabilidad.

#Pruebas de Penetración con IA

#Software autoasegurado

Mayo 26, 2026
Noticias

Por qué los equipos de los desarrolladores son ahora el objetivo principal de ataques a la cadena de suministro

Los equipos de ingeniería y seguridad de Omnea, Cognism, Glasswall y el sector público del Reino Unido han señalado de forma independiente el mismo punto débil. Esto es lo que están haciendo al respecto.

#Protección de dispositivos de aikido

Mayo 21, 2026
Vulnerabilidades y amenazas

Las claves API de Google siguen funcionando después de eliminarlas

La eliminación de una clave de API de Google no la revoca de forma inmediata. Nuestras pruebas revelaron que se seguían produciendo autenticaciones correctas hasta 23 minutos después de la eliminación, y Google se negó a solucionar el problema.

#AppSec

#Vulnerabilidades

2026

Estado de la IA en Seguridad y Desarrollo 2026

Nuestro nuevo informe recoge las voces de 450 líderes de seguridad (CISOs o equivalentes), desarrolladores e ingenieros de AppSec de toda Europa y EE. UU. Juntos, revelan cómo el código generado por IA ya está causando problemas, cómo la proliferación de herramientas está empeorando la seguridad y cómo la experiencia del desarrollador está directamente ligada a las tasas de incidentes. Aquí es donde la velocidad y la seguridad chocan en 2025.

Leer más
Tarjeta de título que dice 'Estado de la IA en Seguridad y Desarrollo 2026' sobre un fondo de cuadrícula azul oscuro.

Suscríbase a nuestra newsletter.
Sin spam, garantizado.

Vulnerabilidades y amenazas

Elimina el ruido con análisis detallados de CVEs reales, análisis de malware, exploits y riesgos emergentes.

Ver todo

Noticias

Nuestra perspectiva sobre las historias que están dando forma a la seguridad del software en este momento

Ver todo

Casos de éxito

Descubre cómo equipos como el tuyo utilizan Aikido para simplificar la seguridad y desplegar con confianza.

Ver todo

Actualizaciones de producto y empresa

Novedades en Aikido: desde lanzamientos de productos hasta grandes logros en seguridad.

Ver todo

Guías y Mejores Prácticas

Consejos prácticos, flujos de trabajo de seguridad y guías para ayudarte a entregar código más seguro y rápido.

Ver todo

Cumplimiento

Adelántate a las auditorías con una guía clara y amigable para desarrolladores sobre SOC 2, estándares ISO, GDPR, NIS y más.

Ver todo
IA
Protección de los equipos de aikido
Aikido Endpoint
Aikido Zen
Pentesting con IA
Seguridad de la IA
Anuncios
API
AppSec
Artículo
ASPM
autofix
AutoTriage
AWS
Bazel
CircleCI
Cloud
CNAPP
Calidad del código
Codeship
Cumplimiento
Escaneo de contenedores
Pentesting Continuo
Monitorización continua de la seguridad
CSPM
Ley de Ciberresiliencia
DAST
Dependencias
DevSecOps
Fin de vida útil
Ciberseguridad Europea
fintech
Seguridad del IDE
Vulnerabilidades IDOR
IMDSv1
IMDSv2
Infraestructura como Código (IaC)
intel
Legaltech
Escáneres de licencias
Malware
Monitorización de la seguridad de red
NIS2
NPM
open source
OWASP
Pentesting
Pypi
RASP
SAST
SBOM
SCA
Secretos
Software de autoprotección
SOC 2
Seguridad de la cadena de suministro de software
Inyecciones SQL
SSDLC.
SSRF
Modelado de Amenazas
Herramientas
Clasificación
caso de uso
Vibe Coding
VS Code
Vulnerabilidades
Lo que el MDM no puede proteger en los equipos de los desarrolladores (y qué hacer al respecto)
Lo que el MDM no puede proteger en los equipos de los desarrolladores
Las herramientas de MDM como Jamf y Kandji son esenciales, pero no detectan las instalaciones de npm, las extensiones de IDE ni las herramientas de programación basadas en IA. A continuación te explicamos qué es lo que realmente queda desprotegido en tus equipos de desarrollo y cómo subsanar esta carencia.
La mayoría de los equipos de seguridad tienen implementado un sistema de gestión de dispositivos móviles (MDM). El problema es que las instalaciones de npm, las extensiones de VS Code y las herramientas de programación basadas en IA quedan completamente fuera del control del MDM. A continuación te explicamos qué es lo que realmente queda desprotegido y cómo subsanar esta deficiencia.
Guías y Mejores Prácticas
GitGuardian mejores GitGuardian para escaneo de secretos 2026
GitGuardian mejores GitGuardian para escaneo de secretos 2026
Compara las mejores GitGuardian para escaneo de secretos 2026. Descubre cuál es la mejor opción entre Aikido Security, GitHub Secret Protection, TruffleHog, Gitleaks, Semgrep, Snyk, Cycode, Checkmarx y GitLab.
Compara las mejores GitGuardian para escaneo de secretos 2026, entre las que se incluyen Aikido Security, Betterleaks, GitHub Secret Protection, TruffleHog, Semgrep, Snyk, Checkmarx y GitLab Secret Detection.
Herramientas DevSec y comparaciones
Una interfaz de usuario remota de Codex, que parece legítima, roba en secreto tus tokens de IA
Una interfaz de usuario remota de Codex, que parece legítima, roba en secreto tus tokens de IA
Una interfaz de usuario remota de Codex muy pulida, el paquete npm «codexui-android», se encuentra en pleno desarrollo y cuenta con miles de usuarios semanales. Durante el último mes, ha estado sustrayendo discretamente tokens de autenticación de OpenAI.
Una interfaz de usuario remota de Codex muy pulida, el paquete npm «codexui-android», se encuentra en pleno desarrollo y cuenta con miles de usuarios semanales. Durante el último mes, ha estado sustrayendo discretamente tokens de autenticación de OpenAI.
Vulnerabilidades y amenazas
Aikido frente a XBOW: se han detectado un 58 % más de vulnerabilidades en una prueba de rendimiento independiente
Aikido frente a XBOW: se han detectado un 58 % más de vulnerabilidades en una prueba de rendimiento independiente
XBOW Aikido y XBOW en una prueba de rendimiento independiente realizada por Doyensec. Aikido detectó un 58 % más de vulnerabilidades al mismo precio. Consulta el tiempo de configuración, las tasas de falsos positivos y los resultados completos.
Encargamos a Doyensec que realizara una prueba comparativa ciega e independiente entre Aikido y XBOW las mismas aplicaciones y al mismo precio. Aikido detectó un 58 % más de vulnerabilidades verificadas y obtuvo mejores resultados en cuanto a configuración, velocidad y estabilidad.
Noticias
Por qué los equipos de los desarrolladores son ahora el objetivo principal de ataques a la cadena de suministro
Por qué los servidores de desarrollo son el objetivo número uno de ataques a la cadena de suministro Aikido
Los equipos de Omnea, Cognism, Glasswall, Raisin y el sector público del Reino Unido explican por qué las soluciones de EDR y MDM no detectan lo que realmente ocurre en los equipos de los desarrolladores.
Los equipos de ingeniería y seguridad de Omnea, Cognism, Glasswall y el sector público del Reino Unido han señalado de forma independiente el mismo punto débil. Esto es lo que están haciendo al respecto.
Noticias
Un ataque a la cadena de suministro apunta a los paquetes de Laravel-Lang con un programa de robo de credenciales
Un ataque a la cadena de suministro apunta a los paquetes de Laravel-Lang con un programa de robo de credenciales
Los atacantes introdujeron un programa de robo de credenciales en más de 200 versiones de populares paquetes de Laravel-Lang, con el objetivo de sustraer claves de servicios en la nube, claves SSH, datos de navegadores, carteras de criptomonedas y otros.
Los atacantes introdujeron un programa de robo de credenciales en más de 200 versiones de populares paquetes de Laravel-Lang, con el objetivo de sustraer claves de servicios en la nube, claves SSH, datos de navegadores, carteras de criptomonedas y otros.
Vulnerabilidades y amenazas
5 alternativas a Gitleaks y por qué son mejores
5 alternativas a Gitleaks para un mejor escaneo de secretos 2026
¿Buscas una alternativa a Gitleaks? Comparamos Betterleaks, TruffleHog, Aikido, GitHub Advanced Security y Spectral puedas encontrar el mejor escáner de información confidencial para tu equipo.
Gitleaks ya no se desarrolla activamente, y escaneo de secretos ha evolucionado rápidamente. Comparamos las cinco alternativas más sólidas en 2026, entre las que se incluyen Betterleaks, TruffleHog, Aikido, GitHub Advanced Security y Spectral, para que puedas encontrar la que mejor se adapte a tu entorno.
Herramientas DevSec y comparaciones
El salvaje oeste de las extensiones de VS Code y cómo una extensión maliciosa logró colarse en GitHub
El salvaje oeste de las extensiones de VS Code y cómo una extensión maliciosa logró colarse en GitHub
Ayer se produjo una filtración en GitHub a causa de una extensión maliciosa de VS Code, un día después de que Nx Console (2,2 millones de instalaciones) quedara comprometida durante 18 minutos en Visual Studio Marketplace y llegara a todos los usuarios que tenían activada la actualización automática.
Vulnerabilidades y amenazas
GitHub sufre una filtración a través de una extensión maliciosa de VS Code: por qué los dispositivos de los desarrolladores son el verdadero objetivo
GitHub sufre una filtración a través de una extensión de VS Code | Ataque a la cadena de suministro de desarrolladores 2026
GitHub ha confirmado que una extensión maliciosa de VS Code comprometió el dispositivo de un empleado, dejando al descubierto 3.800 repositorios internos. Por qué las estaciones de trabajo de los desarrolladores son ahora el principal objetivo de los ataques a la cadena de suministro.
Vulnerabilidades y amenazas
El paquete «durabletask» de Microsoft en PyPi ha sido comprometido. ¡Mini Shai Hulud ataca de nuevo... otra vez!
El paquete «durabletask» de Microsoft en PyPi ha sido comprometido. ¡Mini Shai Hulud ataca de nuevo... otra vez!
Tres versiones progresivamente comprometidas de un paquete de Python vinculado a Microsoft contienen un programa de robo de información con todas las funciones que se propaga a través de AWS y Kubernetes, sustrae todas las credenciales de la nube que encuentra y formatea los discos de sistemas israelíes e iraníes
Vulnerabilidades y amenazas
Mini Shai-Hulud ataca de nuevo: un gusano npm compromete cientos de paquetes @antv
Mini Shai-Hulud ataca de nuevo: un gusano de npm compromete cientos de paquetes @antv
El gusano de npm Mini Shai-Hulud ha afectado a los paquetes @antv de Alibaba, echarts-for-react y timeago.js. La carga útil roba secretos de CI/CD, implanta puertas traseras en VS Code y Claude Code, y se propaga republicando paquetes comprometidos. Aquí explicamos lo que sucedió y cómo proteger a su equipo.
El gusano npm Mini Shai-Hulud ha vuelto con su ola más grande hasta la fecha, comprometiendo cientos de paquetes en todo el ecosistema de visualización de datos de Alibaba. Nuestro equipo de malware está rastreando más de 2.700 repositorios de GitHub maliciosos creados con tokens robados mientras el gusano continúa propagándose.
Vulnerabilidades y amenazas
Pentesting vs. red teaming: ¿cuál es la diferencia?
Pentesting vs. Red Teaming: ¿Cuál es la diferencia?
¿No está seguro de si necesita un pentest o un engagement de red team? Esta guía desglosa las diferencias clave, cuándo usar cada uno y cómo la IA está cambiando ambos.
El pentesting y el red teaming son ambas formas de poner a prueba su seguridad, pero no son lo mismo. Esta publicación desglosa cómo funciona cada uno, cuándo usar uno sobre el otro y dónde el pentesting de IA está cambiando la ecuación.
Guías y Mejores Prácticas
Las claves API de Google siguen funcionando después de eliminarlas
Las claves API de Google siguen funcionando tras su eliminación durante el tiempo suficiente como para que puedan ser objeto de abuso
La eliminación de una clave de API de Google no la revoca de forma inmediata. Nuestras pruebas revelaron que se seguían produciendo autenticaciones correctas hasta 23 minutos después de la eliminación, y Google se ha negado a solucionar el problema.
La eliminación de una clave de API de Google no la revoca de forma inmediata. Nuestras pruebas revelaron que se seguían produciendo autenticaciones correctas hasta 23 minutos después de la eliminación, y Google se negó a solucionar el problema.
Vulnerabilidades y amenazas
La IA en la sombra es una respuesta al miedo, y prohibirla lo empeora
Por qué los riesgos de la IA en la sombra comienzan con el miedo (y prohibirla los empeora)
Los empleados no utilizan herramientas de IA no aprobadas para causar problemas. Tienen miedo de quedarse atrás. Aquí explicamos por qué prohibir la IA en la sombra aumenta su riesgo de seguridad y qué hacer en su lugar.
La IA en la sombra es una respuesta al miedo. Los empleados están ocultando las herramientas que utilizan porque están interpretando correctamente un mercado laboral que exige habilidades en IA. Aquí le explicamos por qué prohibir lo empeora y qué hacer en su lugar.
Noticias
Mini Shai-Hulud está de vuelta: el gusano npm afecta a más de 160 paquetes, incluyendo Mistral y Tanstack
Mini Shai-Hulud está de vuelta: el gusano npm afecta a más de 160 paquetes, incluyendo Mistral y Tanstack
Mini Shai-Hulud ha vuelto, comprometiendo 169 paquetes npm de TanStack, UiPath, Squawk y otros para robar secretos de desarrolladores y CI/CD, y luego propagarse a través de flujos de trabajo de publicación de confianza.
Vulnerabilidades y amenazas
La lista de verificación de seguridad completa de GitHub Actions
Lista de verificación de seguridad para GitHub Actions
Las malas configuraciones de GitHub Actions han estado detrás de algunos de los mayores ataques a la cadena de suministro de 2025 y 2026. Aquí te explicamos qué salió mal y cómo evitar que le suceda a tu organización.
Las malas configuraciones de GitHub Actions han estado detrás de algunos de los mayores ataques a la cadena de suministro de 2025 y 2026. Aquí tiene una lista de verificación práctica sobre cómo protegerse de ellos.
Guías y Mejores Prácticas
Los mejores escáneres Top 10 OWASP en 2026 para la seguridad de aplicaciones web
Los mejores escáneres Top 10 OWASP en 2026 para la seguridad de aplicaciones web
La mayoría de los escáneres no cubren el Top 10 OWASP completo. Analizamos los mejores escáneres Top 10 OWASP en 2026 para que pueda elegir uno que realmente le mantenga protegido.
La mayoría de los escáneres OWASP no cubren el Top 10 completo. Esta guía desglosa las principales herramientas en 2026, lo que cada una cubre realmente y qué escáner ofrece una cobertura completa sin el ruido.
Herramientas DevSec y comparaciones
Implementación de la seguridad para desarrolladores en una organización con más de 5.000 ingenieros
Seguridad para desarrolladores a escala: Guía de implementación para CISOs
La mayoría de las implementaciones de seguridad para desarrolladores fracasan porque están diseñadas como despliegues de software, no como cambios culturales. Una guía práctica para CISOs empresariales.
La mayoría de las implementaciones de seguridad para desarrolladores fallan porque están diseñadas como despliegues de software, no como cambios culturales. Aquí está el modelo por fases en el que los CISO experimentados coinciden para solucionarlo.
Guías y Mejores Prácticas
Metamorfosis de la seguridad: una lista de verificación de arquitectura preparada para Mythos para ataques de IA autónomos
Metamorfosis de la seguridad: una lista de verificación de arquitectura preparada para Mythos para ataques de IA autónomos
AppSec se ha estancado ante la complejidad moderna. El Proyecto Glasswing y la era Mythos exigen una disciplina de seguridad que opere a la velocidad de las amenazas a las que se enfrenta.
AppSec se ha estancado ante la complejidad moderna. El Proyecto Glasswing y la era Mythos exigen una disciplina de seguridad que opere a la velocidad de las amenazas a las que se enfrenta.
Guías y Mejores Prácticas
Por qué las extensiones del navegador son un riesgo de seguridad importante y qué se puede hacer al respecto
Por qué las extensiones del navegador son un riesgo de seguridad importante y qué se puede hacer al respecto
Las extensiones del navegador conllevan numerosos riesgos de seguridad, más de los que estamos dispuestos a admitir. Analizamos el alcance completo de esta amenaza y lo que tanto los individuos como las organizaciones pueden hacer al respecto.
Guías y Mejores Prácticas
Los mejores escáneres de CVE en 2026 para identificar vulnerabilidades conocidas
Los mejores escáneres de CVE en 2026: Comparativa por Cobertura, Inteligencia y Corrección Automática
Evaluamos los mejores escáneres de CVE en 2026 en cuanto a amplitud de cobertura, fuentes de inteligencia, relación señal/ruido y capacidad de corrección automática. Así es como se comparan y cuál es el adecuado para su stack.
No todos los escáneres de CVE están construidos de la misma manera. Comparamos las mejores opciones en 2026 en cuanto a amplitud de cobertura, fuentes de inteligencia, relación señal/ruido y capacidad de auto-fix, para que pueda encontrar la opción adecuada para su stack.
Herramientas DevSec y comparaciones
Paquete Popular PyTorch Lightning Comprometido por Mini Shai-Hulud
Paquete Popular PyTorch Lightning Comprometido por Mini Shai-Hulud
Malware encontrado en las versiones populares 2.6.2 y 2.6.3 de PyTorch Lightning, robando credenciales, monederos de criptomonedas y configuraciones de VPN como parte de la campaña Mini Shai-Hulud.
Malware encontrado en las versiones populares 2.6.2 y 2.6.3 de PyTorch Lightning, robando credenciales, monederos de criptomonedas y configuraciones de VPN como parte de la campaña Mini Shai-Hulud.
Vulnerabilidades y amenazas
Una lista de verificación de seguridad práctica para CTOs para estar preparados para Mythos
Lista de verificación Mythos-Ready
Una lista de verificación práctica para CTOs de SaaS que navegan por un mundo con Mythos y amenazas de IA agéntica. Construida en torno a la ventaja del defensor: usted tiene el contexto que los atacantes tienen que esforzarse por obtener. Cubre los controles, las prácticas y los hábitos operativos que determinan si su equipo encuentra y corrige los problemas antes de que lo haga otra persona.
Guías y Mejores Prácticas
Alguien publicó cuatro versiones de un paquete falso "tanstack" en 27 minutos para robar sus archivos .env
Cuatro versiones publicadas de un paquete falso "tanstack" subidas en 27 minutos que buscan robar sus archivos .env
Un paquete npm falso "tanstack" publicó hoy cuatro versiones maliciosas en 27 minutos, exfiltrando archivos .env a través de un hook postinstall. Esto es lo que sucedió, quiénes fueron afectados y cómo rotar sus credenciales.
Vulnerabilidades y amenazas
Aikido se integra con AWS Kiro: Detectar en la revisión ya no es escalable
Aikido x Kiro | Detectar en la revisión ya no es escalable
Agentes de IA escribiendo su código. Aikido se integra directamente en el flujo de trabajo agéntico de AWS Kiro para mantener la seguridad en el ciclo, automáticamente, desde la primera línea. Aikido es el primer socio de seguridad global de AWS para Kiro.
Agentes de IA escribiendo su código. Aikido se integra directamente en el flujo de trabajo agéntico de AWS Kiro para mantener la seguridad en el ciclo, automáticamente, desde la primera línea. Aikido es el primer socio de seguridad global de AWS para Kiro.
Actualizaciones de producto y empresa
Mini Shai-Hulud ataca paquetes npm de SAP con un ladrón de secretos basado en Bun
Mini Shai-Hulud ataca paquetes npm de SAP con un ladrón de secretos basado en Bun
Paquetes npm de SAP comprometidos utilizan un payload de preinstalación basado en Bun para robar secretos de GitHub, npm, la nube y CI, y luego se propagan a través de GitHub usando OhNoWhatsGoingOnWithGitHub.
Vulnerabilidades y amenazas
Es hora de tratar las extensiones de navegador como vectores de ataque de la cadena de suministro
Es hora de tratar las extensiones de navegador como vectores de ataque de la cadena de suministro | Lecciones aprendidas de la brecha de Vercel
La brecha de Vercel siguió un patrón bien conocido en la industria de la seguridad, donde el código de terceros se confía implícitamente y luego se ve comprometido en la cadena de suministro. Tenemos un marco para ello. Simplemente aún no lo hemos aplicado a las extensiones de navegador. (Spoiler: Hacemos esto para las dependencias de software)
La brecha de Vercel siguió un patrón bien conocido en la industria de la seguridad, donde el código de terceros se confía implícitamente y luego se ve comprometido en la cadena de suministro. Tenemos un marco para ello. Simplemente aún no lo hemos aplicado a las extensiones de navegador. (Spoiler: Hacemos esto para las dependencias de software)
Vulnerabilidades y amenazas
¿Ha vuelto Shai-Hulud? La CLI de Bitwarden comprometida contiene un gusano npm auto-propagable
¿Ha vuelto Shai-Hulud? La CLI de Bitwarden comprometida contiene un gusano npm auto-propagable
Se ha encontrado malware en @bitwarden/cli v2026.4.0 que roba claves SSH, secretos de la nube y credenciales de herramientas de codificación de IA, y luego se propaga a través de los propios paquetes npm de las víctimas. En su interior: un gusano que se autodenomina "Shai-Hulud: The Third Coming."
Se ha encontrado malware en @bitwarden/cli v2026.4.0 que roba claves SSH, secretos de la nube y credenciales de herramientas de codificación de IA, y luego se propaga a través de los propios paquetes npm de las víctimas. En su interior: un gusano que se autodenomina "Shai-Hulud: The Third Coming."
Vulnerabilidades y amenazas
Puerta trasera GPT-Proxy en npm y PyPI convierte servidores en relés LLM chinos
Puerta trasera GPT-Proxy en npm y PyPI convierte servidores en relés LLM chinos
Una campaña de malware recién descubierta en npm y PyPI instala proxies LLM ocultos en servidores comprometidos, convirtiéndolos en nodos de retransmisión para el tráfico LLM.
Una campaña de malware recién descubierta en npm y PyPI instala proxies LLM ocultos en servidores comprometidos, convirtiéndolos en nodos de retransmisión para el tráfico LLM.
Vulnerabilidades y amenazas
XSS en Roundcube encadenado con 'cookie tossing' para acceso completo a la bandeja de entrada
XSS en Roundcube encadenado con 'cookie tossing' para acceso completo a la bandeja de entrada
Encontramos un XSS almacenado en el endpoint de adjuntos de borradores de Roundcube que, encadenado con una técnica de 'cookie tossing', otorga a un atacante acceso completo a la bandeja de entrada de una víctima. Así es como funciona la cadena de explotación y cómo se parcheó.
Encontramos un XSS almacenado en el endpoint de adjuntos de borradores de Roundcube que, encadenado con una técnica de 'cookie tossing', otorga a un atacante acceso completo a la bandeja de entrada de una víctima. Así es como funciona la cadena de explotación y cómo se parcheó.
Vulnerabilidades y amenazas
Presentamos «Protección de dispositivos»: seguridad para los dispositivos de los desarrolladores
Protección de dispositivos con Aikido: seguridad para los dispositivos de los desarrolladores | Aikido
ataques a la cadena de suministro dispositivos de desarrolladores. Aikido Device Protection supervisa todas las instalaciones en npm, PyPI, extensiones de VS Code, extensiones de navegador y herramientas de IA.
Actualizaciones de producto y empresa
Múltiples vulnerabilidades de cross-site scripting (XSS) en Mailcow
Múltiples vulnerabilidades XSS encontradas en Mailcow, incluyendo la toma de control de cuentas no autenticadas
El agente de pentesting de IA de Aikido encontró tres vulnerabilidades XSS en Mailcow, una de las cuales permitía a atacantes no autenticados tomar el control de cuentas de administrador. Todos los problemas han sido corregidos a partir de la versión 2026-03b.
Los agentes de pentesting de IA de Aikido encontraron tres vulnerabilidades XSS en Mailcow, un servidor de correo electrónico autohospedado ampliamente utilizado. La más grave permitía a atacantes no autenticados inyectar una carga útil en los registros de Autodiscover que se ejecutaría cuando un administrador los visualizara, permitiendo la toma de control total de la cuenta. Las tres han sido corregidas desde la versión 2026-03b.
Vulnerabilidades y amenazas
Fuentes fiables de CVE en la era de los recortes de NIST NVD
Cambios en NIST NVD 2026: lo que los equipos de seguridad deben saber
NIST ya no enriquecerá la mayoría de los CVE. Esto es lo que cambia, lo que se rompe y lo que está por venir.
Noticias
Un año de Opengrep: Qué hemos construido y qué sigue
Opengrep SAST después de un año: Análisis estático más rápido y determinista
Un año después de bifurcar Semgrep, Opengrep es más rápido, soporta un análisis de taint más profundo y produce resultados consistentes y reproducibles.
Un año después de bifurcar Semgrep, Opengrep es más rápido, más capaz y completamente abierto. Esto es lo que hemos construido y lo que sigue.
Actualizaciones de producto y empresa
Axios CVE-2026-40175: un error crítico que... no es explotable
Axios CVE-2026-40175: un error crítico que... no es explotable
Axios CVE-2026-40175 está clasificado como crítico, pero en entornos reales de Node.js no es prácticamente explotable. Aquí está el porqué.
Axios CVE-2026-40175 está clasificado como crítico, pero en entornos reales de Node.js no es prácticamente explotable. Aquí está el porqué.
Vulnerabilidades y amenazas
El Bug bounty no está muerto, pero el modelo antiguo está fallando
El Bug bounty no está muerto, pero el modelo antiguo está fallando
El Bug bounty está alcanzando un punto crítico a medida que la IA abruma los programas, impulsando un cambio hacia modelos de seguridad más sostenibles y centrados en la calidad.
El Bug bounty está alcanzando un punto crítico a medida que la IA abruma los programas, impulsando un cambio hacia modelos de seguridad más sostenibles y centrados en la calidad.
Técnico
GlassWorm se vuelve nativo: Nuevo dropper Zig infecta cada IDE en su máquina
GlassWorm se vuelve nativo: Nuevo dropper Zig infecta cada IDE en su máquina
GlassWorm despliega un dropper nativo basado en Zig oculto dentro de una extensión falsa, comprometiendo silenciosamente VS Code, Cursor, VSCodium y otros IDEs.
GlassWorm despliega un dropper nativo basado en Zig oculto dentro de una extensión falsa, comprometiendo silenciosamente VS Code, Cursor, VSCodium y otros IDEs.
Vulnerabilidades y amenazas
Aikido Attack encuentra múltiples 0-days en Hoppscotch
Aikido Attack Encuentra 0-Days en Hoppscotch
Los agentes de pentesting de IA de Aikido descubrieron múltiples vulnerabilidades de alta gravedad en Hoppscotch, incluyendo toma de control de cuentas, XSS almacenado y fallos de control de acceso. Todos los problemas han sido parcheados.
Aikido Attack identificó tres vulnerabilidades de alta gravedad en Hoppscotch: una redirección abierta que lleva a la toma de control de cuentas, XSS almacenado y un problema de control de acceso roto que permite la inyección de solicitudes entre equipos.
Vulnerabilidades y amenazas
El alarmismo en ciberseguridad en torno a Mythos no se corresponde con lo que observamos en la práctica
Riesgos de ciberseguridad de Anthropic Mythos: Lo que 1.000 pentests de IA realmente demuestran
El modelo Mythos filtrado de Anthropic ha desatado el pánico sobre los ciberataques impulsados por IA. Realizamos 1.000 pentests de IA. Los resultados sugieren que la amenaza es más matizada de lo que afirman los titulares.
Noticias
axios comprometido en npm: cuenta del mantenedor secuestrada, RAT desplegado
axios comprometido en npm: cuenta del mantenedor secuestrada, RAT desplegado
Las versiones maliciosas de axios 1.14.1 y 0.30.4 fueron publicadas a través de una cuenta de mantenedor secuestrada. Una dependencia oculta despliega un RAT multiplataforma. Compruebe si está afectado y remedie la situación ahora.
Axios fue comprometido. Las versiones maliciosas de axios 1.14.1 y 0.30.4 fueron publicadas en npm después de que la cuenta del mantenedor principal fuera secuestrada. La dependencia inyectada despliega un RAT multiplataforma que se autodestruye después de la ejecución.
Vulnerabilidades y amenazas
El popular paquete telnyx comprometido en PyPI por TeamPCP
El popular paquete telnyx comprometido en PyPI por TeamPCP
El popular paquete telnyx en PyPI, utilizado por grandes empresas de IA, ha sido comprometido por TeamPCP
El popular paquete telnyx en PyPI, utilizado por grandes empresas de IA, ha sido comprometido por TeamPCP
Vulnerabilidades y amenazas
Aikido × Lovable: Vibe, Fix, Ship
Lovable se asocia con Aikido para llevar el pentesting a las aplicaciones Vibe-Coded
Lovable y Aikido integran el pentesting en la plataforma, permitiendo a los desarrolladores simular ataques reales y corregir problemas antes del lanzamiento.
Aikido integra el pentesting directamente en Lovable. Pruebe su aplicación simulando ataques reales y corrija los problemas antes de su lanzamiento.
Actualizaciones de producto y empresa
CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán
CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán
CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán
CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán
Vulnerabilidades y amenazas
TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy
TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy
TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy
TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy
Vulnerabilidades y amenazas
Aikido reconocido por Frost & Sullivan con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM
Aikido reconocido por Frost & Sullivan con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM
Frost & Sullivan ha reconocido a Aikido con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM. Analizamos lo que los criterios de reconocimiento revelan sobre cómo está madurando el mercado de AppSec.
Frost & Sullivan ha reconocido a Aikido con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM. Analizamos lo que los criterios de reconocimiento revelan sobre cómo está madurando el mercado de AppSec.
Noticias
GlassWorm oculta un RAT dentro de una extensión maliciosa de Chrome
RAT GlassWorm entregado a través de una extensión maliciosa de Chrome (Keylogger, Robo de Cookies)
GlassWorm despliega un RAT de múltiples etapas que fuerza la instalación de una extensión maliciosa de Chrome para registrar pulsaciones de teclas, robar cookies y exfiltrar datos a través de un C2 basado en Solana.
GlassWorm despliega un RAT de múltiples etapas que fuerza la instalación de una extensión maliciosa de Chrome para registrar pulsaciones de teclas, robar cookies y exfiltrar datos a través de un C2 basado en Solana.
Vulnerabilidades y amenazas
Las pruebas de seguridad validan software que ya no existe
Por qué el Pentesting no puede seguir el ritmo: El problema de la velocidad en las pruebas de seguridad
Los equipos modernos entregan más rápido de lo que el pentesting puede seguir el ritmo. Explore la creciente brecha de velocidad en las pruebas de seguridad y por qué los enfoques tradicionales se están quedando atrás.
Un CISO de una gran empresa nos dijo que la capacidad de seguridad más importante hoy en día es la velocidad. Pero, ¿qué ocurre cuando las pruebas no pueden seguir el ritmo de la rapidez con la que cambian los sistemas?
Guías y Mejores Prácticas
Extensión fast-draft Open VSX Comprometida por BlokTrooper
Extensión fast-draft Open VSX Comprometida por BlokTrooper (RAT e Infostealer)
La extensión fast-draft Open VSX fue comprometida para desplegar un RAT y un infostealer de BlokTrooper a través de cargas útiles alojadas en GitHub. Se identificaron múltiples versiones maliciosas.
Una popular extensión de Open VSX fue comprometida y utilizada para desplegar un RAT y un infostealer desde una infraestructura controlada por el atacante. Su historial de versiones cuenta la verdadera historia, con lanzamientos maliciosos apareciendo entre los limpios.
Vulnerabilidades y amenazas
Glassworm ataca paquetes populares de React Native para números de teléfono
Glassworm ataca paquetes populares de números de teléfono de React Native en un nuevo ataque a la cadena de suministro
Investigadores de Aikido Security recuperaron y descifraron la cadena completa de carga útil de dos paquetes maliciosos de React Native. Esto es lo que hace el malware y qué buscar.
Dos populares paquetes npm de React Native fueron comprometidos con puertas traseras por presuntos actores de Glassworm y utilizados para distribuir malware de múltiples etapas. A continuación, se explica qué hace el malware y qué aspectos observar.
Vulnerabilidades y amenazas
Glassworm está de vuelta: una nueva ola de ataques Unicode invisibles afecta a cientos de repositorios
Glassworm regresa: malware Unicode invisible encontrado en más de 150 repositorios de GitHub
El ataque a la cadena de suministro de Glassworm ha regresado. Investigadores descubrieron malware oculto en caracteres Unicode invisibles en más de 150 repositorios de GitHub, además de paquetes npm y extensiones de VS Code.
Glassworm está de vuelta con una nueva ola de ataques Unicode invisibles. Estamos rastreando una nueva campaña que compromete silenciosamente repositorios en GitHub, npm y VS Code.
Vulnerabilidades y amenazas
Las mejores fiestas, eventos paralelos y encuentros de seguridad de RSAC 2026
Guía de fiestas y eventos de seguridad RSAC 2026 | Aikido
Guía de fiestas y eventos de seguridad RSAC 2026 | Aikido
Noticias
¿Cómo los equipos de seguridad se defienden de los hackers impulsados por IA?
¿Cómo los equipos de seguridad se defienden de los hackers impulsados por IA?
La IA ha reducido drásticamente la barrera de entrada para los hackers. Esto es lo que significa para los defensores y cómo el pentesting de IA continuo cambia la ecuación.
Un solo hacker y una suscripción a Claude acaban de derribar nueve agencias gubernamentales mexicanas. La IA ha proporcionado a los atacantes una mejora de poder significativa. Los equipos de seguridad necesitan un nuevo manual de estrategias.
Vulnerabilidades y amenazas
Presentamos Betterleaks, un escáner de secretos de código abierto del autor de Gitleaks
Betterleaks: El sucesor de Gitleaks diseñado para un escaneo de secretos más rápido
Betterleaks es un nuevo escáner de secretos de código abierto del creador de Gitleaks. Un reemplazo directo con escaneos más rápidos, detección de eficiencia de tokens, validación configurable y más.
El creador de Gitleaks lanza su sucesor. Betterleaks es un escáner de secretos de código abierto más rápido, diseñado para detectar más fugas y adaptarse a los flujos de trabajo modernos de los desarrolladores.
Actualizaciones de producto y empresa
¿Cómo funciona el pentesting de IA en relación con el cumplimiento?
¿Cómo funciona el pentesting de IA en relación con el cumplimiento?
El pentesting de IA está siendo aceptado para SOC 2, ISO 27001 y HIPAA (y es probable que se añadan más). Esto es lo que realmente buscan los auditores y dónde residen las limitaciones reales.
El pentesting de IA está siendo aceptado para SOC 2, ISO 27001, HIPAA y PCI DSS. Esto es lo que los auditores realmente buscan y dónde están las limitaciones reales.
Cumplimiento
Estrategia de ciberseguridad de Trump para 2026: Del cumplimiento a la consecuencia
Estrategia de Ciberseguridad de Trump para 2026: Del Cumplimiento a la Consecuencia
La estrategia de ciberseguridad de la administración Trump para 2026 cambia el enfoque de las listas de verificación de cumplimiento a consecuencias reales para los ciberdelincuentes. Esto es lo que los CISO deben saber.
Noticias
Lo que el pentesting continuo realmente requiere
Pentesting continuo: cómo funciona y qué requiere
El pentesting continuo promete una validación de seguridad en tiempo real, pero la mayoría de las implementaciones se quedan cortas. Esto es lo que el pentesting continuo realmente requiere: desde pruebas conscientes del cambio hasta la validación de exploits y los bucles de remediación.
El pentesting continuo es ampliamente debatido, pero rara vez se define con claridad. Este artículo desglosa qué es, qué no es y qué es lo que realmente requiere.
Guías y Mejores Prácticas
Raro, no aleatorio: Uso de la eficiencia de tokens para el escaneo de secretos
Raro, no aleatorio: Uso de la eficiencia de tokens para el escaneo de secretos
La entropía a menudo tiene dificultades con los secretos genéricos y las cadenas cortas. Analizamos cómo la eficiencia de tokens puede identificar mejor las cadenas que no se parecen a texto normal.
La entropía es excelente para detectar la aleatoriedad. Pero los secretos no siempre son aleatorios. Son simplemente cadenas que no aparecen en código o texto normal. Exploramos el uso de la tokenización BPE para medir esa diferencia.
Guías y Mejores Prácticas
Por qué el determinismo sigue siendo una necesidad en seguridad
Por qué el determinismo sigue siendo una necesidad en seguridad
El escaneo con IA encuentra lo que las reglas no detectan. El escaneo determinista lo encuentra siempre. Aquí le explicamos por qué las mejores pipelines de seguridad no eligen entre ambos.
Las herramientas de seguridad impulsadas por IA están mejorando en la detección de vulnerabilidades. Pero las herramientas deterministas ofrecen la consistencia de la que dependen las pipelines, el cumplimiento normativo y las pistas de auditoría. Analizamos qué hace bien el escaneo determinista, dónde interviene la IA y cómo ambos trabajan juntos para una seguridad eficaz.
Ingeniería
WAF vs. RASP vs. ADR
WAF vs. RASP vs. ADR: Cómo funciona la seguridad de aplicaciones en tiempo de ejecución
WAF, RASP y ADR protegen su aplicación de formas completamente diferentes. Aquí le explicamos lo que hace cada capa, dónde se queda corta y cuáles necesita.
WAF, RASP, ADR, eBPF — Aclaramos la terminología en torno a la seguridad de aplicaciones en tiempo de ejecución. Aquí le explicamos lo que hace cada capa, cómo se superponen y cómo encajan entre sí.
Guías
Presentamos Aikido Infinite: Un nuevo modelo de software de autoprotección
Aikido Infinite: Pentesting de IA continuo para cada lanzamiento
Aikido Infinite realiza pentesting de IA en cada cambio de código, valida la explotabilidad, genera parches y vuelve a probar las correcciones antes de que el código llegue a producción, haciendo realidad el software auto-protegido.
Actualizaciones de producto y empresa
XSS/RCE persistente usando WebSockets en el servidor de desarrollo de Storybook
XSS/RCE persistente usando WebSockets en Storybook (CVE-2026-27148)
CVE-2026-27148 expone una vulnerabilidad de secuestro de WebSocket en Storybook que puede escalar a un compromiso de la cadena de suministro. Conozca la ruta de ataque, el impacto y cómo remediarlo.
Aikido Attack encontró una vulnerabilidad de secuestro de WebSocket en el servidor de desarrollo de Storybook que puede conducir a XSS persistente, ejecución remota de código y, en el peor de los casos, a un compromiso de la cadena de suministro. Explicamos cómo un atacante puede explotar esto sin ninguna interacción del usuario, y un desarrollador solo tiene que visitar el sitio web equivocado para encontrarse con este ataque.
Vulnerabilidades y amenazas
Cómo Aikido protege los agentes de pentesting de IA por diseño
Cómo Aikido protege los agentes de pentesting de IA y previene la desviación del alcance
Descubra cómo Aikido protege los agentes de pentesting de IA con aislamiento arquitectónico, aplicación del alcance en tiempo de ejecución y controles a nivel de red para evitar la desviación de producción y la fuga de datos.
Los agentes de IA están diseñados para explorar. En ciberseguridad, esa exploración necesita límites estrictos. Este artículo explica cómo Aikido protege los agentes de pentesting de IA mediante aislamiento arquitectónico, aplicación del alcance en tiempo de ejecución y controles por capas que contienen el riesgo por diseño.
Actualizaciones de producto y empresa
SSRF de lectura completa en Astro mediante inyección de cabecera Host
Vulnerabilidad SSRF en Astro: Inyección de cabecera Host en páginas de error SSR (CVE-2026-25545)
El agente de pentesting de IA de Aikido Security descubrió una vulnerabilidad de Server-Side Request Forgery (SSRF) en la implementación SSR de Astro. Descubre cómo la inyección de cabecera Host en páginas de error prerrenderizadas permitió el acceso completo a la red interna.
El agente de pentesting de IA de Aikido descubrió una vulnerabilidad SSRF en el adaptador Node.js de Astro. Analizaremos cómo, al inyectar una cabecera Host: maliciosa, los atacantes podrían redirigir una solicitud interna a cualquier URL en la red local.
Vulnerabilidades y amenazas
Cómo lograr que su consejo se preocupe por la seguridad (antes de que una brecha lo obligue)
Cómo lograr que su consejo se preocupe por la seguridad antes de una brecha
Los consejos no financian la seguridad porque sea importante. Financian decisiones defendibles. Aquí le explicamos cómo enmarcar el riesgo, reducir la ambigüedad y obtener un apoyo real antes de que una brecha fuerce la situación.
Guías
¿Qué es el Slopsquatting? El ataque de alucinación de paquetes de IA que ya está ocurriendo
Slopsquatting: El ataque de alucinación de paquetes de IA que ya está ocurriendo
Los modelos de IA alucinan nombres de paquetes npm. Los atacantes los registran primero. Aquí te explicamos qué es el slopsquatting, cómo se está propagando a través de las habilidades de los agentes y cómo protegerte.
Los modelos de IA alucinan nombres de paquetes — y los atacantes los están registrando antes de que nadie se dé cuenta. El slopsquatting es la evolución del typosquatting en la era de la IA, y a diferencia de su predecesor, las protecciones existentes de npm no funcionan. Analizamos la investigación en el mundo real que demuestra que ya está ocurriendo, desde paquetes maliciosos confirmados que aún registran cientos de descargas semanales hasta un nombre de paquete alucinado que se propagó a 237 repositorios a través de archivos de habilidades de agentes de IA.
Guías y Mejores Prácticas
Las 6 mejores alternativas a Wiz Code
Alternativas a Wiz Code (2026): 6 herramientas comparadas y la mejor opción orientada al desarrollador
¿Busca alternativas a Wiz Code? Compare 6 herramientas en SAST, DAST, SCA, precios y experiencia del desarrollador para encontrar la mejor plataforma de AppSec para 2026.
Esta guía compara Wiz Code con seis alternativas: Aikido Security, Snyk, Checkmarx, GitHub Advanced Security, Mend y Veracode, evaluadas en cobertura, experiencia del desarrollador, triaje impulsado por IA, transparencia de precios y velocidad de despliegue. Aikido Security destaca para los equipos que buscan una plataforma centrada en el desarrollador con amplia cobertura, una reducción del 85% de falsos positivos, AutoFix con IA en SAST, IaC y contenedores, DAST nativo y precios transparentes a aproximadamente una décima parte del coste de Wiz.
Guías y Mejores Prácticas
Aikido reconocido como Líder de Plataforma en el Informe de Seguridad de Aplicaciones 2026 de Latio Tech
Aikido nombrado Líder de Plataforma AppSec en el Informe Latio 2026
Aikido Security reconocido como Líder de Plataforma, Innovador en pentesting de IA e Innovador en la Cadena de Suministro en el Informe AppSec 2026 de Latio Tech.
El Informe AppSec 2026 de Latio Tech nombra a Aikido como Líder de Plataforma e Innovador en IA. Esto es lo que el informe revela sobre el futuro de la seguridad de las aplicaciones.
Noticias
De la detección a la prevención: cómo Zen detiene las vulnerabilidades IDOR en tiempo de ejecución
De la detección a la prevención: Zen detiene las IDOR en tiempo de ejecución | Aikido
Las vulnerabilidades IDOR son una de las causas más comunes de fugas de datos entre inquilinos en SaaS multi-inquilino. Descubra cómo Zen aplica el aislamiento de inquilinos en tiempo de ejecución analizando las consultas SQL y previniendo el acceso inseguro antes de su implementación.
Las vulnerabilidades IDOR son una de las principales causas de fugas de datos entre inquilinos en aplicaciones multi-inquilino. En esta publicación, explicamos cómo Zen va más allá de la detección y aplica el aislamiento de inquilinos en tiempo de ejecución, haciendo que el acceso entre inquilinos sea imposible de implementar por accidente.
Actualizaciones de producto y empresa
La backdoor de npm permite a los hackers secuestrar los resultados de los juegos de azar
Un ataque a la cadena de suministro de npm secuestra el backend del juego para manipular los resultados de los juegos de azar
Un ataque dirigido a la cadena de suministro de npm instala una backdoor de Express, habilita el acceso remoto a SQL/archivos y reescribe los saldos de apuestas manteniendo los registros consistentes.
Descubrimos paquetes npm maliciosos que pueden modificar transacciones de juegos de azar en producción y mantener la base de datos internamente consistente después.
Vulnerabilidades y amenazas
Por qué intentar proteger OpenClaw es absurdo
Por qué intentar proteger OpenClaw es absurdo
Problemas de seguridad de OpenClaw explicados: malware en ClawHub, instancias expuestas y por qué las guías de endurecimiento no abordan el punto clave. ¿Se puede usar el agente de IA de forma segura??
Noticias
Presentamos el análisis de impacto de las actualizaciones: cuando los cambios disruptivos realmente importan a tu código
Análisis de impacto de las actualizaciones: cuando los cambios disruptivos realmente importan | Aikido
Aikido detecta automáticamente los cambios disruptivos en las actualizaciones de dependencias y analiza tu base de código para mostrar el impacto real, de modo que los equipos puedan fusionar las correcciones de seguridad de forma segura.
El Análisis de Impacto de Actualización de Aikido señala cambios disruptivos en las actualizaciones de dependencias y muestra si esos cambios realmente impactan en su código.
Actualizaciones de producto y empresa
Claude Opus 4.6 encontró 500 vulnerabilidades. ¿Qué cambia esto para la seguridad del software?
Claude Opus 4.6 encontró 500 vulnerabilidades: Qué significa para la seguridad del software
Anthropic afirma que Claude Opus 4.6 descubrió más de 500 vulnerabilidades de alta gravedad en código abierto. Esto es lo que significa para el descubrimiento de vulnerabilidades, la validación de la explotabilidad y los flujos de trabajo de seguridad en producción.
Según se informa, Claude Opus 4.6 encontró más de 500 vulnerabilidades de alta gravedad en código abierto. Este artículo examina qué cambia esto realmente en producción, dónde ayuda el razonamiento de los LLM y por qué la validación y la accesibilidad siguen determinando el impacto real en la seguridad.
Noticias
Presentamos los Aikido Expansion Packs: Valores predeterminados más seguros dentro del IDE
Aikido Expansion Packs: Valores predeterminados más seguros dentro del IDE
Los Aikido Expansion Packs añaden controles de seguridad específicos directamente dentro de tu IDE. Habilita la protección de secretos, las comprobaciones de malware en la cadena de suministro y la seguridad del código asistida por IA sin cambiar los flujos de trabajo de los desarrolladores.
Actualizaciones de producto y empresa
Informe Internacional de Seguridad de IA 2026: Qué significa para los sistemas de IA autónomos
Informe Internacional de Seguridad de IA 2026: Análisis de Aikido Security
Análisis de Aikido Security del Informe Internacional de Seguridad de la IA 2026. Examinamos los controles en tiempo de despliegue, los requisitos de validación y las líneas base de seguridad prácticas para sistemas de IA autónomos.
Más de 100 expertos contribuyeron al Informe Internacional de Seguridad de la IA 2026, documentando los riesgos de los sistemas de IA autónomos y proponiendo marcos de defensa en profundidad. Como equipo que opera sistemas de pentesting de IA en producción, analizamos dónde acierta el informe y dónde necesita mayor especificidad técnica.
Noticias
Software de autoprotección: Qué es, por qué es importante y cómo funciona
¿Qué es el software de autoprotección? Un nuevo modelo de seguridad para el software moderno.
El software de autoprotección es un modelo de seguridad donde los sistemas validan y remedian continuamente el riesgo real a medida que cambian. Descubre por qué las pruebas periódicas ya no son escalables.
El software autoasegurado trata la seguridad como una capacidad inherente del sistema, no como un proceso periódico. Este artículo explica por qué el software moderno exige un nuevo modelo de seguridad y qué lo hace posible hoy en día.
Actualizaciones de producto y empresa
SDLC seguro para equipos de ingeniería (+ lista de verificación)
SDLC Seguro Explicado: Los 5 Pilares de un Ciclo de Vida de Desarrollo de Software Seguro
Descubra qué es un SDLC Seguro, por qué es importante y los cinco pilares que todo equipo necesita. Incluye una lista de verificación práctica de SDLC Seguro para CTOs y líderes de ingeniería.
Guías y Mejores Prácticas
Las 10 Mejores Herramientas de Seguridad de IA para 2026
Las 10 mejores herramientas de seguridad de IA para 2026: Características, ventajas y comparativas
Explore las principales herramientas de seguridad de IA para 2026. Compare plataformas para revisión de código con IA, detección de vulnerabilidades, pentesting y gestión de riesgos para proteger aplicaciones modernas.
Herramientas DevSec y comparaciones
Las 10 Mejores Herramientas de Ciberseguridad para 2026
Las 10 mejores herramientas de ciberseguridad para 2026: Detección, Cloud, XDR y AppSec
Un desglose práctico de las 10 principales herramientas de ciberseguridad para 2026, que abarca endpoint, cloud, identidad, gestión de vulnerabilidades y XDR. Aprenda a elegir la herramienta adecuada para su stack y perfil de riesgo.
Herramientas DevSec y comparaciones
¿Qué es el pentesting continuo?
¿Qué es el pentesting continuo? Cómo los equipos modernos reducen el riesgo explotable
El pentesting continuo prueba automáticamente rutas de ataque reales cada vez que el software cambia, validando y corrigiendo problemas como parte del ciclo de vida de desarrollo. Descubra cómo se compara con el pentesting de IA y el manual.
El pentesting continuo trata la seguridad como un sistema vivo, no como una prueba puntual. Descubra cómo los equipos modernos lo utilizan para reducir el riesgo explotable a medida que el software cambia.
Guías y Mejores Prácticas
Confusión con npx: Paquetes que olvidaron reclamar su propio nombre
Confusión con npx: Paquetes que olvidaron reclamar su propio nombre
Reclamamos 128 nombres de paquetes npm no registrados que la documentación oficial indicaba a los desarrolladores que usaran con npx. Siete meses después: 121.000 descargas. Todos habrían ejecutado código arbitrario.
La documentación oficial indica a los desarrolladores que ejecuten `npx package-name`. Pero ¿qué ocurre si nadie ha reclamado ese nombre? Registramos 128 de ellos y observamos. 121.000 descargas en siete meses. La caída durante las vacaciones demuestra que son desarrolladores reales, no bots.
Vulnerabilidades y amenazas
Presentamos Aikido Package Health: una mejor forma de confiar en sus dependencias
Aikido Package Health: Puntuación de Salud para Paquetes de Código Abierto
Vea cuán estable y bien mantenido es realmente un paquete de código abierto. Aikido Package Health ayuda a los desarrolladores a elegir dependencias más seguras con confianza.
Actualizaciones de producto y empresa
Pentesting de IA: Requisitos mínimos de seguridad para pruebas de seguridad
¿Cuándo es seguro el pentesting de IA? Requisitos mínimos de seguridad para pruebas de seguridad
Los sistemas de pentesting de IA actúan de forma autónoma en entornos reales. Descubra cuándo es seguro utilizar el pentesting de IA, las salvaguardas técnicas mínimas requeridas y cómo evaluar las herramientas de pruebas de seguridad de IA de forma responsable.
El pentesting de IA ya es una realidad, pero las expectativas claras de seguridad no lo son. Este artículo define un estándar mínimo de seguridad para el pentesting de IA, proporcionando a los equipos una base concreta para evaluar las herramientas emergentes.
Guías y Mejores Prácticas
Extensión falsa de Clawdbot para VS Code instala ScreenConnect RAT
Extensión falsa de Clawdbot para VS Code instala ScreenConnect RAT
Una extensión maliciosa de VS Code que suplanta a Clawdbot está instalando ScreenConnect RAT en máquinas de desarrolladores.
Una extensión maliciosa de VS Code que suplanta a Clawdbot está instalando ScreenConnect RAT en máquinas de desarrolladores.
Vulnerabilidades y amenazas
Las 7 mejores herramientas de inteligencia de amenazas en 2026
Las 7 mejores herramientas de inteligencia de amenazas en 2026: reduce el ruido y céntrate en el riesgo real
Un análisis exhaustivo de las principales herramientas de inteligencia de amenazas de 2026, comparando cómo reducen la fatiga de alertas, añaden contexto y ayudan a los equipos a priorizar los riesgos de seguridad del mundo real.
Herramientas DevSec y comparaciones
Las 14 mejores extensiones de VS Code para 2026
Las 14 mejores extensiones de VS Code para 2026: productividad, pruebas, seguridad y colaboración
Una guía práctica de las mejores extensiones de VS Code para 2026, que abarca herramientas de productividad, pruebas, colaboración y seguridad que mejoran los flujos de trabajo reales de los desarrolladores.
Herramientas DevSec y comparaciones
G_Wagon: Paquete npm despliega un Stealer de Python dirigido a más de 100 carteras de criptomonedas
G_Wagon: Paquete npm despliega un Stealer de Python dirigido a más de 100 carteras de criptomonedas
El paquete npm ansi-universal-ui entrega el infostealer GWagon dirigido a más de 100 carteras de criptomonedas, credenciales de navegador y claves de la nube. Analizamos las 10 versiones mientras el atacante iteraba en tiempo real.
Vulnerabilidades y amenazas
Pentest GPT: Cómo los LLM están redefiniendo las pruebas de penetración
Pentest GPT: Cómo la IA está cambiando las pruebas de penetración
Explore cómo Pentest GPT utiliza LLM para automatizar el razonamiento de ataques, simular exploits reales y escalar las pruebas. Descubra cómo Aikido valida cada hallazgo.
Herramientas DevSec y comparaciones
A la pesca de credenciales: Paquetes npm que sirven páginas personalizadas de recolección de credenciales
A la pesca de credenciales: Paquetes npm que sirven páginas personalizadas de recolección de credenciales
Una campaña de spear-phishing dirigida utilizó paquetes npm y jsDelivr como infraestructura de phishing gratuita, sirviendo recolectores de credenciales personalizados por víctima
Vulnerabilidades y amenazas
Paquetes PyPI maliciosos spellcheckpy y spellcheckerpy distribuyen un RAT de Python.
Paquetes PyPI maliciosos spellcheckpy y spellcheckerpy distribuyen un RAT de Python.
Los atacantes publicaron paquetes falsos de corrector ortográfico en PyPI con malware oculto a plena vista. Analizamos el ataque y lo que los desarrolladores deben tener en cuenta.
Vulnerabilidades y amenazas
SvelteSpill: Un error de engaño de caché en SvelteKit + Vercel
SvelteSpill: Error crítico de engaño de caché en SvelteKit + Vercel
SvelteSpill es una vulnerabilidad de engaño de caché que afecta a las aplicaciones SvelteKit predeterminadas desplegadas en Vercel. Las respuestas autenticadas pueden ser almacenadas en caché y expuestas a través de los usuarios. Descubra cómo comprobar si es vulnerable y cómo mitigar el riesgo.
Nuestro sistema de pentesting de IA descubrió y reprodujo una vulnerabilidad de alta gravedad en despliegues predeterminados de SvelteKit en Vercel. Así es como rastreó una falla de capa cruzada a través de 150.000 líneas de código.
Vulnerabilidades y amenazas
Las habilidades de los agentes están propagando comandos npx alucinados
Las habilidades de los agentes están propagando comandos npx alucinados
Las habilidades de los agentes de IA están propagando comandos npx alucinados, creando riesgos reales de seguridad y fiabilidad para desarrolladores y cadenas de suministro.
Vulnerabilidades y amenazas
Comprendiendo el riesgo de licencias de código abierto en el software moderno
Comprendiendo el riesgo de licencias de código abierto en el software moderno
El riesgo de licencias de código abierto se oculta en las dependencias y las imágenes de contenedor. Aprende qué es, por qué es importante y cómo detectar los problemas a tiempo.
El código abierto avanza rápido, pero sus licencias aún tienen reglas. Este artículo desglosa qué es el riesgo de las licencias de código abierto, por qué los equipos siguen pasándolo por alto en los árboles de dependencias modernos y cómo mantenerse conforme sin convertirlo en una emergencia legal.
Guías y Mejores Prácticas
Checklist del CISO para programar con mentalidad en la seguridad
Lista de verificación de codificación Vibe para CISO: Asegurando aplicaciones creadas con IA
Una lista de verificación de seguridad práctica para CISOs que gestionan aplicaciones de IA y con codificación 'vibe'. Cubre salvaguardas técnicas, controles de IA y políticas organizativas.
La codificación 'vibe' impulsada por IA permite a cualquiera lanzar software. Esta publicación describe los riesgos de seguridad a los que se enfrentan los CISOs e introduce una lista de verificación práctica, elaborada con la información de los CISOs de Lovable y Supabase.
Guías y Mejores Prácticas
De «No Bullsh*t Security» a 1.000 millones de dólares: acabamos de cerrar nuestra ronda de Serie B de 60 millones de dólares
Aikido Security Recauda 60 millones de dólares con una valoración de 1.000 millones de dólares
Aikido anuncia una financiación de Serie B de 60 millones de dólares con una valoración de 1.000 millones de dólares, acelerando su visión de software de autoprotección y pruebas de penetración continuas.
Aikido se convierte en una de las empresas de ciberseguridad que más rápido alcanza el estatus de unicornio a nivel mundial, y la más rápida de Europa.
Actualizaciones de producto y empresa
Vulnerabilidad crítica en n8n permite la ejecución remota de código no autenticado (CVE-2026-21858)
Vulnerabilidad Crítica de n8n (CVE-2026-21858) | RCE no Autenticada Explicada
Una vulnerabilidad crítica en n8n (CVE-2026-21858) permite la ejecución remota de código no autenticada en instancias autoalojadas. Descubre quiénes están afectados y cómo solucionarlo.
Vulnerabilidades y amenazas
Pentesting con IA de Coolify: Siete CVEs identificadas
Siete CVEs en Coolify Identificados Mediante pentesting de IA | Aikido
El pentesting impulsado por IA de Coolify identificó siete CVEs, incluyendo vulnerabilidades de escalada de privilegios y ejecución remota de código. Los hallazgos fueron divulgados de forma responsable y corregidos.
Aikido
JavaScript, MSBuild y la Blockchain: Anatomía del ataque a la cadena de suministro npm de NeoShadow
Ataque a la Cadena de Suministro de npm NeoShadow: JavaScript, MSBuild y Blockchain
Un análisis técnico profundo del ataque a la cadena de suministro npm NeoShadow, detallando cómo se combinaron técnicas de JavaScript, MSBuild y blockchain para comprometer a los desarrolladores.
Vulnerabilidades y amenazas
SAST vs SCA: Asegurando el código que escribes y el código del que dependes
SAST vs SCA Explicado: Asegurando tu Código y Dependencias
Aprenda cómo difieren SAST y SCA, qué riesgos aborda cada uno y por qué los equipos modernos de AppSec necesitan ambos para proteger el código y las dependencias.
Técnico
Las 6 Mejores Herramientas de pentesting continuo en 2026
Las 6 Mejores Herramientas de pentesting continuo en 2026
Descubre las principales herramientas de pentesting continuo que ofrecen pruebas de seguridad en tiempo real, impulsadas por IA, para aplicaciones modernas.
Herramientas DevSec y comparaciones
Cómo los equipos de Ingeniería y Seguridad pueden cumplir con los requisitos técnicos de DORA
Requisitos Técnicos DORA para Equipos de Ingeniería y Seguridad
Comprende los requisitos técnicos de DORA para equipos de ingeniería y seguridad, incluyendo pruebas de resiliencia, gestión de riesgos y evidencia lista para auditoría.
Cumplimiento
¡Gracias! ¡Su envío ha sido recibido!
¡Vaya! Algo salió mal al enviar el formulario.
Mayo 28, 2026
Guías y Mejores Prácticas

Lo que el MDM no puede proteger en los equipos de los desarrolladores (y qué hacer al respecto)

La mayoría de los equipos de seguridad tienen implementado un sistema de gestión de dispositivos móviles (MDM). El problema es que las instalaciones de npm, las extensiones de VS Code y las herramientas de programación basadas en IA quedan completamente fuera del control del MDM. A continuación te explicamos qué es lo que realmente queda desprotegido y cómo subsanar esta deficiencia.

Etiquetas/

#Protección de dispositivos de aikido

#Seguridad del IDE

#Seguridad de la IA

#Seguridad de la cadena de suministro de software

Mayo 27, 2026
Vulnerabilidades y amenazas

Una interfaz de usuario remota de Codex, que parece legítima, roba en secreto tus tokens de IA

Una interfaz de usuario remota de Codex muy pulida, el paquete npm «codexui-android», se encuentra en pleno desarrollo y cuenta con miles de usuarios semanales. Durante el último mes, ha estado sustrayendo discretamente tokens de autenticación de OpenAI.

Etiquetas/

#Vulnerabilidades

#NPM

Mayo 23, 2026
Vulnerabilidades y amenazas

Un ataque a la cadena de suministro apunta a los paquetes de Laravel-Lang con un programa de robo de credenciales

Los atacantes introdujeron un programa de robo de credenciales en más de 200 versiones de populares paquetes de Laravel-Lang, con el objetivo de sustraer claves de servicios en la nube, claves SSH, datos de navegadores, carteras de criptomonedas y otros.

Etiquetas/

#Malware

Mayo 12, 2026
Noticias

La IA en la sombra es una respuesta al miedo, y prohibirla lo empeora

La IA en la sombra es una respuesta al miedo. Los empleados están ocultando las herramientas que utilizan porque están interpretando correctamente un mercado laboral que exige habilidades en IA. Aquí le explicamos por qué prohibir lo empeora y qué hacer en su lugar.

Etiquetas/

#IA

#Seguridad de la IA

#Legaltech

Mayo 12, 2026
Vulnerabilidades y amenazas

Mini Shai-Hulud está de vuelta: el gusano npm afecta a más de 160 paquetes, incluyendo Mistral y Tanstack

Etiquetas/

#Malware

Mayo 6, 2026
Guías y Mejores Prácticas

Implementación de la seguridad para desarrolladores en una organización con más de 5.000 ingenieros

La mayoría de las implementaciones de seguridad para desarrolladores fallan porque están diseñadas como despliegues de software, no como cambios culturales. Aquí está el modelo por fases en el que los CISO experimentados coinciden para solucionarlo.

Etiquetas/

#Vulnerabilidades

#AppSec

#Modelado de Amenazas

#SCA

#SAST

Mayo 5, 2026
Guías y Mejores Prácticas

Metamorfosis de la seguridad: una lista de verificación de arquitectura preparada para Mythos para ataques de IA autónomos

AppSec se ha estancado ante la complejidad moderna. El Proyecto Glasswing y la era Mythos exigen una disciplina de seguridad que opere a la velocidad de las amenazas a las que se enfrenta.

Etiquetas/

#Seguridad de la IA

#Seguridad de la cadena de suministro de software

Abril 29, 2026
Vulnerabilidades y amenazas

Mini Shai-Hulud ataca paquetes npm de SAP con un ladrón de secretos basado en Bun

Etiquetas/

#Malware

#NPM

Abril 25, 2026
Vulnerabilidades y amenazas

Es hora de tratar las extensiones de navegador como vectores de ataque de la cadena de suministro

La brecha de Vercel siguió un patrón bien conocido en la industria de la seguridad, donde el código de terceros se confía implícitamente y luego se ve comprometido en la cadena de suministro. Tenemos un marco para ello. Simplemente aún no lo hemos aplicado a las extensiones de navegador. (Spoiler: Hacemos esto para las dependencias de software)

Etiquetas/
No se encontraron elementos.
Abril 23, 2026
Vulnerabilidades y amenazas

¿Ha vuelto Shai-Hulud? La CLI de Bitwarden comprometida contiene un gusano npm auto-propagable

Se ha encontrado malware en @bitwarden/cli v2026.4.0 que roba claves SSH, secretos de la nube y credenciales de herramientas de codificación de IA, y luego se propaga a través de los propios paquetes npm de las víctimas. En su interior: un gusano que se autodenomina "Shai-Hulud: The Third Coming."

Etiquetas/

#Malware

Abril 17, 2026
Vulnerabilidades y amenazas

Múltiples vulnerabilidades de cross-site scripting (XSS) en Mailcow

Los agentes de pentesting de IA de Aikido encontraron tres vulnerabilidades XSS en Mailcow, un servidor de correo electrónico autohospedado ampliamente utilizado. La más grave permitía a atacantes no autenticados inyectar una carga útil en los registros de Autodiscover que se ejecutaría cuando un administrador los visualizara, permitiendo la toma de control total de la cuenta. Las tres han sido corregidas desde la versión 2026-03b.

Etiquetas/

#Vulnerabilidades

#código abierto

Abril 14, 2026
Vulnerabilidades y amenazas

Axios CVE-2026-40175: un error crítico que... no es explotable

Axios CVE-2026-40175 está clasificado como crítico, pero en entornos reales de Node.js no es prácticamente explotable. Aquí está el porqué.

Etiquetas/
No se encontraron elementos.
Actualizaciones de producto y empresa
Ver todo
Ver todo
Mayo 12, 2026
Actualizaciones de producto y empresa

Un año de Opengrep: Qué hemos construido y qué sigue

Un año después de bifurcar Semgrep, Opengrep es más rápido, soporta un análisis de taint más profundo y produce resultados consistentes y reproducibles.

#
SAST
#
open source
Abril 30, 2026
Actualizaciones de producto y empresa

Aikido se integra con AWS Kiro: Detectar en la revisión ya no es escalable

Agentes de IA escribiendo su código. Aikido se integra directamente en el flujo de trabajo agéntico de AWS Kiro para mantener la seguridad en el ciclo, automáticamente, desde la primera línea. Aikido es el primer socio de seguridad global de AWS para Kiro.

#
Anuncios
Marzo 24, 2026
Actualizaciones de producto y empresa

Aikido × Lovable: Vibe, Fix, Ship

Lovable y Aikido integran el pentesting en la plataforma, permitiendo a los desarrolladores simular ataques reales y corregir problemas antes del lanzamiento.

#
Anuncios
#
Pentesting con IA
Vulnerabilidades y amenazas
Ver todo
Ver todo
Mayo 21, 2026
Vulnerabilidades y amenazas

Las claves API de Google siguen funcionando después de eliminarlas

La eliminación de una clave de API de Google no la revoca de forma inmediata. Nuestras pruebas revelaron que se seguían produciendo autenticaciones correctas hasta 23 minutos después de la eliminación, y Google se ha negado a solucionar el problema.

#
AppSec
#
Vulnerabilidades
Mayo 20, 2026
Vulnerabilidades y amenazas

El salvaje oeste de las extensiones de VS Code y cómo una extensión maliciosa logró colarse en GitHub

Ayer se produjo una filtración en GitHub a causa de una extensión maliciosa de VS Code, un día después de que Nx Console (2,2 millones de instalaciones) quedara comprometida durante 18 minutos en Visual Studio Marketplace y llegara a todos los usuarios que tenían activada la actualización automática.

#
VS Code
#
Seguridad de la cadena de suministro de software
#
Aikido Endpoint
Mayo 19, 2026
Vulnerabilidades y amenazas

El paquete «durabletask» de Microsoft en PyPi ha sido comprometido. ¡Mini Shai Hulud ataca de nuevo... otra vez!

Tres versiones progresivamente comprometidas de un paquete de Python vinculado a Microsoft contienen un programa de robo de información con todas las funciones que se propaga a través de AWS y Kubernetes, sustrae todas las credenciales de la nube que encuentra y formatea los discos de sistemas israelíes e iraníes

Herramientas DevSec y comparaciones
Ver todo
Ver todo
Agosto 19, 2025
Herramientas DevSec y comparaciones

Las 12 mejores herramientas de Pruebas de seguridad de aplicaciones dinámicas (DAST) en 2026

Descubre las 12 mejores herramientas de Pruebas de seguridad de aplicaciones dinámicas (DAST) en 2026. Compara características, ventajas, desventajas e integraciones para elegir la solución DAST adecuada para tu pipeline de DevSecOps.

#
Herramientas
#
DAST
Julio 18, 2025
Herramientas DevSec y comparaciones

Las 13 mejores herramientas de escaneo de contenedores en 2026

Descubre las 13 mejores herramientas de escaneo de contenedores en 2026. Compara características, ventajas, desventajas e integraciones para elegir la solución adecuada para tu pipeline de DevSecOps.

#
Herramientas
#
Escaneo de contenedores
Julio 17, 2025
Herramientas DevSec y comparaciones

Las 10 mejores herramientas de análisis de composición de software (SCA) en 2026

Las herramientas SCA son nuestra mejor línea de defensa para la seguridad de código abierto; este artículo explora los 10 mejores escáneres de dependencias de código abierto para 2026.

#
Herramientas
#
SCA
Guías y Mejores Prácticas
Ver todo
Ver todo
Abril 30, 2026
Guías y Mejores Prácticas

Una lista de verificación de seguridad práctica para CTOs para estar preparados para Mythos

Una lista de verificación práctica para CTOs de SaaS que navegan por un mundo con Mythos y amenazas de IA agéntica. Construida en torno a la ventaja del defensor: usted tiene el contexto que los atacantes tienen que esforzarse por obtener. Cubre los controles, las prácticas y los hábitos operativos que determinan si su equipo encuentra y corrige los problemas antes de que lo haga otra persona.

#
IA
#
Software de autoprotección
#
Anuncios
Marzo 19, 2026
Guías y Mejores Prácticas

Las pruebas de seguridad validan software que ya no existe

Los equipos modernos entregan más rápido de lo que el pentesting puede seguir el ritmo. Explore la creciente brecha de velocidad en las pruebas de seguridad y por qué los enfoques tradicionales se están quedando atrás.

#
Pentesting con IA
#
Pentesting Continuo
#
Pentesting
Marzo 6, 2026
Guías y Mejores Prácticas

Lo que el pentesting continuo realmente requiere

El pentesting continuo promete una validación de seguridad en tiempo real, pero la mayoría de las implementaciones se quedan cortas. Esto es lo que el pentesting continuo realmente requiere: desde pruebas conscientes del cambio hasta la validación de exploits y los bucles de remediación.

Asegura tu plataforma ahora

Protege tu código, la nube y el entorno de ejecución en un único sistema central.
Encuentra y corrije vulnerabilidades de forma rápida y automática.

Iniciar escaneo
Sin tarjeta
Solicitar una demo
No se requiere tarjeta de crédito | Resultados del escaneo en 32 segundos.