Aikido
Empieza gratis
Sin tarjeta

Bienvenido a nuestro blog.

Destacado
Full Fathom Five: El contexto del lanzamiento público de la clase Mythos de Anthropic
Full Fathom Five: Qué significa el lanzamiento público de la clase Mythos de Anthropic
Nunca has necesitado Mythos para detectar tus IDOR y fallos en la lógica de negocio. Un repaso a lo que Anthropic ha incluido en Fable 5, y por qué la seguridad de la información sigue siendo, en el fondo, un problema humano.
Nunca has necesitado Mythos para detectar tus IDOR y fallos en la lógica de negocio. Un repaso a lo que Anthropic ha incluido en Fable 5, y por qué la seguridad de la información sigue siendo, en el fondo, un problema humano.
Noticias
Mike Wilkes
La versión 12 de npm ofrece una de las mayores mejoras en materia de seguridad de los últimos años
La versión 12 de npm ofrece una de las mayores mejoras en materia de seguridad de los últimos años
La versión 12 de npm establece que los scripts de instalación sean opcionales por defecto, cerrando así la ruta de ejecución durante la instalación tras un año de problemas en la cadena de suministro de npm, desde Nx hasta Red Hat.
La versión 12 de npm establece que los scripts de instalación sean opcionales por defecto, cerrando así la ruta de ejecución durante la instalación tras un año de problemas en la cadena de suministro de npm, desde Nx hasta Red Hat.
Noticias
Dania Durnas
Aikido x Docker: menos ruido y más señal en tus contenedores
Aikido es compatible con las imágenes reforzadas de Docker mediante VEX
Aikido ahora es compatible con las imágenes Docker Hardened, que incorporan la integración con VEX, lo que ayuda a los equipos a reducir el ruido de los CVE y a centrarse en las vulnerabilidades de los contenedores que realmente requieren atención.
Actualizaciones de producto y empresa
Trusha Sharma
Se está programando en todas partes, y el dispositivo es la única constante
El código está presente en todas partes y el dispositivo es la única constante | Aikido Security
Los desarrolladores programan en todas partes. Los agentes de IA, los bots de Slack y los servidores MCP han convertido los dispositivos de los desarrolladores en el mayor punto ciego en materia de seguridad.
Los desarrolladores programan en todas partes. Los agentes de IA, los bots de Slack y los servidores MCP han convertido los dispositivos de los desarrolladores en el mayor punto ciego en materia de seguridad.
Noticias
Nicholas Thomson
Las listas de materiales de seguridad (SBOM) en 2026: todo el mundo las elabora, pero nadie las utiliza
Las listas de materiales de seguridad (SBOM) en 2026: todo el mundo las genera, pero nadie las utiliza | Aikido Security
El informe de la ENISA sobre SBOM en 2026 abarca 334 organizaciones y pone de manifiesto una brecha constante entre la generación de SBOM y su uso efectivo. Esto es lo más destacado.
El informe de la ENISA sobre SBOM en 2026 abarca 334 organizaciones y pone de manifiesto una brecha constante entre la generación de SBOM y su uso efectivo. Esto es lo más destacado.
Noticias
Jens Gellynck
Un crate de Rust comprometido ejecuta una operación de exfiltración de código
Un crate de Rust comprometido ejecuta una operación de exfiltración de código
La versión v1.4.1 del crate «onering Rust» en crates.io, que presenta una vulnerabilidad, incluía un archivo «build.rs» malicioso que envía el cambio (diff) de tu última confirmación a un punto final alojado de Sentry cada vez que compilas.
La versión v1.4.1 del crate «onering Rust» en crates.io, que presenta una vulnerabilidad, incluía un archivo «build.rs» malicioso que envía el cambio (diff) de tu última confirmación a un punto final alojado de Sentry cada vez que compilas.
Vulnerabilidades y amenazas
Ilyas Makari
Una vulnerabilidad crítica en phpBB, presente desde hace 10 años, afecta a decenas de millones de usuarios en miles de foros
Vulnerabilidad crítica en phpBB: elusión de la autenticación + ejecución remota de código desde 2014
Aikido Security una vulnerabilidad crítica en phpBB que permite eludir la autenticación sin necesidad de credenciales y que afecta a decenas de millones de usuarios. Basta con una sola solicitud HTTP para hacerse con el control de cualquier cuenta, una vulnerabilidad que llevaba presente en el código desde 2014.
Vulnerabilidades y amenazas
Jorian Woltjer
Un momento, ¿qué puede hacer binding.gyp? Descubriendo el sistema de compilación más extraño de npm
Un momento, ¿qué puede hacer binding.gyp? Descubriendo el sistema de compilación más extraño de npm
Analicemos en profundidad binding.gyp, ese archivo de compilación de npm que suele pasarse por alto y que puede ejecutar código malicioso durante la instalación mediante expansiones de shell, fugas del entorno de pruebas y secuestro del compilador.
Analicemos en profundidad binding.gyp, ese archivo de compilación de npm que suele pasarse por alto y que puede ejecutar código malicioso durante la instalación mediante expansiones de shell, fugas del entorno de pruebas y secuestro del compilador.
Vulnerabilidades y amenazas
Ilyas Makari
¿Qué es SAST basado en IA?
¿Qué es SAST basado en IA?
El AI SAST perfilando como una nueva SAST , pero su significado aún no está claro. Aclaramos la diferencia entre SAST nativo de IA SAST SAST asistido por IA, así como el lugar que SAST AI SAST en la pila tecnológica entre SAST tradicional SAST pentesting de IA.
El AI SAST perfilando como una nueva SAST , pero su significado aún no está claro. Aclaramos la diferencia entre SAST nativo de IA SAST SAST asistido por IA, así como el lugar que SAST AI SAST en la pila tecnológica entre SAST tradicional SAST pentesting de IA.
Herramientas DevSec y comparaciones
Dania Durnas
Nessus 5 mejoresNessus a Tenable Nessus en 2026
Nessus 5 mejoresNessus Tenable Nessus en 2026 | Aikido Security
Tenable Nessus un potente escáner, pero las herramientas potentes que nadie utiliza no contribuyen a que el software sea más seguro. Compara cinco alternativas diseñadas para adaptarse a la forma en que trabajan realmente los equipos de ingeniería.
Tenable Nessus un potente escáner de infraestructura, pero las herramientas potentes que no se integran en los flujos de trabajo de los desarrolladores son herramientas que nadie utiliza. En esta guía se comparan cinco alternativas en función de su adaptación a los flujos de trabajo de los desarrolladores, AppSec , el coste y la experiencia en la corrección de vulnerabilidades.
Herramientas DevSec y comparaciones
Nicholas Thomson
Por qué el EDR y el proxy no te protegerán del malware en la cadena de suministro
Por qué el EDR y el proxy no te protegerán del malware en la cadena de suministro
Los sistemas EDR y los servidores proxy no se diseñaron para detectar malware en la cadena de suministro. Cuando el código malicioso llega a través de «npm install», parece un comportamiento normal. A continuación explicamos por qué esto es importante.
Los sistemas EDR y los servidores proxy no se diseñaron para detectar malware en la cadena de suministro. Cuando el código malicioso llega a través de «npm install», parece un comportamiento normal. A continuación explicamos por qué esto es importante.
Noticias
Samuel Vandamme
¡Apártate, Mythos! Aquí viene... prácticamente cualquier otro modelo con un buen arnés
¡A un lado, Mythos! Aquí viene cualquier modelo con un buen arnés.
Mythos ofrece ventajas reales en la construcción de cadenas de exploits. Sin embargo, para la mayor parte AppSec , el marco de trabajo que rodea al modelo es más importante que el modelo en sí.
Mythos ofrece ventajas reales en la construcción de cadenas de exploits. Sin embargo, para la mayor parte AppSec , el marco de trabajo que rodea al modelo es más importante que el modelo en sí.
Noticias
Dania Durnas
Paquetes de Red Hat en npm comprometidos para propagar un gusano que roba credenciales
Paquetes de Red Hat en npm comprometidos para propagar un gusano que roba credenciales
Varios paquetes oficiales de npm de @redhat-cloud-services se vieron afectados por un gusano diseñado para robar credenciales, derivado del malware de código abierto Mini Shai-Hulud, que tenía como objetivo las credenciales de la nube y las herramientas de desarrollo en los procesos de CI/CD.
Varios paquetes oficiales de npm de @redhat-cloud-services se vieron afectados por un gusano diseñado para robar credenciales, derivado del malware de código abierto Mini Shai-Hulud, que tenía como objetivo las credenciales de la nube y las herramientas de desarrollo en los procesos de CI/CD.
Vulnerabilidades y amenazas
Ilyas Makari
Lo que MDM no puede proteger en máquinas de desarrolladores (y qué hacer al respecto)
Lo que MDM no puede proteger en máquinas de desarrolladores
Las herramientas MDM como Jamf y Kandji son esenciales, pero no detectan instalaciones de npm, extensiones de IDE o herramientas de codificación de IA. Aquí está lo que realmente no está protegido en tus máquinas de desarrolladores y cómo cerrar la brecha.
La mayoría de los equipos de seguridad tienen MDM desplegado. El problema es que las instalaciones de npm, las extensiones de VS Code y las herramientas de codificación de IA ocurren completamente fuera de la vista de MDM. Aquí está lo que realmente está desprotegido y cómo cerrar la brecha.
Guías y Mejores Prácticas
Nicholas Thomson
Las mejores alternativas a GitGuardian para el escaneo de secretos en 2026
Las mejores alternativas a GitGuardian para el escaneo de secretos en 2026
Compara las mejores alternativas a GitGuardian para el escaneo de secretos en 2026. Descubre dónde encajan mejor Aikido Security, GitHub Secret Protection, TruffleHog, Gitleaks, Semgrep, Snyk, Cycode, Checkmarx y GitLab.
Compare las principales alternativas a GitGuardian para el escaneo de secretos en 2026, incluyendo Aikido Security, Betterleaks, GitHub Secret Protection, TruffleHog, Semgrep, Snyk, Checkmarx One y GitLab Secret Detection.
Herramientas DevSec y comparaciones
Nicholas Thomson
Una interfaz de usuario remota de Codex de aspecto legítimo roba secretamente tus tokens de IA
Una interfaz de usuario remota de Codex de aspecto legítimo roba secretamente tus tokens de IA
Una interfaz de usuario remota de Codex pulida, el paquete npm codexui-android, tiene un desarrollo activo y miles de usuarios semanales. Ha estado exfiltrando silenciosamente tokens de autenticación de OpenAI durante el último mes.
Una interfaz de usuario remota de Codex pulida, el paquete npm codexui-android, tiene un desarrollo activo y miles de usuarios semanales. Ha estado exfiltrando silenciosamente tokens de autenticación de OpenAI durante el último mes.
Vulnerabilidades y amenazas
Charlie Eriksen
Aikido vs XBOW: 58% más vulnerabilidades encontradas en un benchmark independiente
Aikido vs XBOW: 58% más vulnerabilidades encontradas en un benchmark independiente
Aikido vs XBOW comparados en un benchmark independiente por Doyensec. Aikido encontró un 58% más de vulnerabilidades al mismo precio. Vea el tiempo de configuración, las tasas de falsos positivos y los resultados completos.
Encargamos a Doyensec que realizara un benchmark ciego e independiente de Aikido y XBOW en las mismas aplicaciones, al mismo precio. Aikido encontró un 58% más de vulnerabilidades verificadas y superó a XBOW en configuración, velocidad y estabilidad.
Noticias
Aleks Frelas
Por qué las máquinas de los desarrolladores son ahora el objetivo número uno de los ataques a la cadena de suministro
Por qué las máquinas de los desarrolladores son el objetivo n.º 1 de los ataques a la cadena de suministro | Aikido
Equipos de Omnea, Cognism, Glasswall, Raisin y el sector público del Reino Unido revelan por qué EDR y MDM no detectan lo que realmente ocurre en las máquinas de los desarrolladores.
Los equipos de ingeniería y seguridad de Omnea, Cognism, Glasswall y el sector público del Reino Unido señalaron de forma independiente el mismo punto ciego. Esto es lo que están haciendo al respecto.
Noticias
Sooraj Shah
Ataque a la cadena de suministro dirigido a paquetes Laravel-Lang con un ladrón de credenciales
Ataque a la cadena de suministro dirigido a paquetes Laravel-Lang con un ladrón de credenciales
Los atacantes inyectaron un ladrón de credenciales en más de 200 versiones de paquetes populares de Laravel-Lang, distribuyendo un ladrón de credenciales dirigido a claves de cloud, claves SSH, navegadores, monederos de criptomonedas y más.
Los atacantes inyectaron un ladrón de credenciales en más de 200 versiones de paquetes populares de Laravel-Lang, distribuyendo un ladrón de credenciales dirigido a claves de cloud, claves SSH, navegadores, monederos de criptomonedas y más.
Vulnerabilidades y amenazas
Ilyas Makari
5 alternativas a Gitleaks y por qué son mejores
5 alternativas a Gitleaks para un mejor escaneo de secretos en 2026
¿Busca una alternativa a Gitleaks? Comparamos Betterleaks, TruffleHog, Aikido, GitHub Advanced Security y Spectral para que pueda encontrar el mejor escáner de secretos para su equipo.
Gitleaks ya no se desarrolla activamente, y el panorama del escaneo de secretos ha evolucionado rápidamente. Comparamos las cinco alternativas más sólidas en 2026, incluyendo Betterleaks, TruffleHog, Aikido, GitHub Advanced Security y Spectral, para que pueda encontrar la solución adecuada para su stack.
Herramientas DevSec y comparaciones
Nicholas Thomson
El Salvaje Oeste de las extensiones de VS Code y cómo una extensión envenenada vulneró GitHub
El Salvaje Oeste de las extensiones de VS Code y cómo una extensión envenenada vulneró GitHub
Una extensión de VS Code envenenada vulneró GitHub ayer, un día después de que Nx Console (2,2 millones de instalaciones) fuera comprometida durante 18 minutos en el Visual Studio Marketplace y llegara a todos los usuarios con la actualización automática activada.
Vulnerabilidades y amenazas
Raphael Silva
GitHub comprometido a través de una extensión maliciosa de VS Code: por qué los dispositivos de los desarrolladores son el verdadero objetivo
Brecha en GitHub a través de una extensión de VS Code | Ataque a la Cadena de Suministro de Desarrolladores 2026
GitHub confirmó que una extensión de VS Code maliciosa comprometió un dispositivo de un empleado, exponiendo 3.800 repositorios internos. Por qué las estaciones de trabajo de los desarrolladores son ahora el principal objetivo de la cadena de suministro.
Vulnerabilidades y amenazas
Shaun Brown
El paquete «durabletask» de Microsoft en PyPi ha sido comprometido. ¡Mini Shai Hulud ataca de nuevo... otra vez!
El paquete «durabletask» de Microsoft en PyPi ha sido comprometido. ¡Mini Shai Hulud ataca de nuevo... otra vez!
Tres versiones progresivamente comprometidas de un paquete de Python vinculado a Microsoft contienen un programa de robo de información con todas las funciones que se propaga a través de AWS y Kubernetes, sustrae todas las credenciales de la nube que encuentra y formatea los discos de sistemas israelíes e iraníes
Vulnerabilidades y amenazas
Raphael Silva
Mini Shai-Hulud ataca de nuevo: un gusano npm compromete cientos de paquetes @antv
Mini Shai-Hulud ataca de nuevo: un gusano de npm compromete cientos de paquetes @antv
El gusano de npm Mini Shai-Hulud ha afectado a los paquetes @antv de Alibaba, echarts-for-react y timeago.js. La carga útil roba secretos de CI/CD, implanta puertas traseras en VS Code y Claude Code, y se propaga republicando paquetes comprometidos. Aquí explicamos lo que sucedió y cómo proteger a su equipo.
El gusano npm Mini Shai-Hulud ha vuelto con su ola más grande hasta la fecha, comprometiendo cientos de paquetes en todo el ecosistema de visualización de datos de Alibaba. Nuestro equipo de malware está rastreando más de 2.700 repositorios de GitHub maliciosos creados con tokens robados mientras el gusano continúa propagándose.
Vulnerabilidades y amenazas
Sooraj Shah
Pentesting vs. red teaming: ¿cuál es la diferencia?
Pentesting vs. Red Teaming: ¿Cuál es la diferencia?
¿No está seguro de si necesita un pentest o un engagement de red team? Esta guía desglosa las diferencias clave, cuándo usar cada uno y cómo la IA está cambiando ambos.
El pentesting y el red teaming son ambas formas de poner a prueba su seguridad, pero no son lo mismo. Esta publicación desglosa cómo funciona cada uno, cuándo usar uno sobre el otro y dónde el pentesting de IA está cambiando la ecuación.
Guías y Mejores Prácticas
Nicholas Thomson
¡Gracias! ¡Su envío ha sido recibido!
¡Vaya! Algo salió mal al enviar el formulario.
Junio 10, 2026
Vulnerabilidades y amenazas

Un crate de Rust comprometido ejecuta una operación de exfiltración de código

La versión v1.4.1 del crate «onering Rust» en crates.io, que presenta una vulnerabilidad, incluía un archivo «build.rs» malicioso que envía el cambio (diff) de tu última confirmación a un punto final alojado de Sentry cada vez que compilas.

#Malware

Junio 10, 2026
Vulnerabilidades y amenazas

Una vulnerabilidad crítica en phpBB, presente desde hace 10 años, afecta a decenas de millones de usuarios en miles de foros

#Pruebas de Penetración con IA

Junio 9, 2026
Vulnerabilidades y amenazas

Un momento, ¿qué puede hacer binding.gyp? Descubriendo el sistema de compilación más extraño de npm

Analicemos en profundidad binding.gyp, ese archivo de compilación de npm que suele pasarse por alto y que puede ejecutar código malicioso durante la instalación mediante expansiones de shell, fugas del entorno de pruebas y secuestro del compilador.

#Malware

2026

Estado de la IA en Seguridad y Desarrollo 2026

Nuestro nuevo informe recoge las voces de 450 líderes de seguridad (CISOs o equivalentes), desarrolladores e ingenieros de AppSec de toda Europa y EE. UU. Juntos, revelan cómo el código generado por IA ya está causando problemas, cómo la proliferación de herramientas está empeorando la seguridad y cómo la experiencia del desarrollador está directamente ligada a las tasas de incidentes. Aquí es donde la velocidad y la seguridad chocan en 2025.

Leer más
Tarjeta de título que dice 'Estado de la IA en Seguridad y Desarrollo 2026' sobre un fondo de cuadrícula azul oscuro.

Suscríbase a nuestra newsletter.
Sin spam, garantizado.

Vulnerabilidades y amenazas

Elimina el ruido con análisis detallados de CVEs reales, análisis de malware, exploits y riesgos emergentes.

Ver todo

Noticias

Nuestra perspectiva sobre las historias que están dando forma a la seguridad del software en este momento

Ver todo

Casos de éxito

Descubre cómo equipos como el tuyo utilizan Aikido para simplificar la seguridad y desplegar con confianza.

Ver todo

Actualizaciones de producto y empresa

Novedades en Aikido: desde lanzamientos de productos hasta grandes logros en seguridad.

Ver todo

Guías y Mejores Prácticas

Consejos prácticos, flujos de trabajo de seguridad y guías para ayudarte a entregar código más seguro y rápido.

Ver todo

Cumplimiento

Adelántate a las auditorías con una guía clara y amigable para desarrolladores sobre SOC 2, estándares ISO, GDPR, NIS y más.

Ver todo
IA
Aikido Device Protection
Aikido Endpoint
Aikido Zen
Pentesting con IA
Seguridad de la IA
Anuncios
API
AppSec
Artículo
ASPM
autofix
AutoTriage
AWS
Bazel
CircleCI
Cloud
CNAPP
Calidad del código
Codeship
Cumplimiento
Escaneo de contenedores
Pentesting Continuo
Monitorización continua de la seguridad
CSPM
Ley de Ciberresiliencia
DAST
Dependencias
DevSecOps
Fin de vida útil
Ciberseguridad Europea
fintech
Seguridad del IDE
Vulnerabilidades IDOR
IMDSv1
IMDSv2
Infraestructura como Código (IaC)
intel
Legaltech
Escáneres de licencias
Malware
Mitos
Monitorización de la seguridad de red
NIS2
NPM
open source
OWASP
Pentesting
Pypi
RASP
SAST
SBOM
SCA
Secretos
Software de autoprotección
SOC 2
Seguridad de la cadena de suministro de software
Inyecciones SQL
SSDLC.
SSRF
Modelado de Amenazas
Herramientas
Clasificación
caso de uso
Vibe Coding
VS Code
Vulnerabilidades
Full Fathom Five: El contexto del lanzamiento público de la clase Mythos de Anthropic
Full Fathom Five: Qué significa el lanzamiento público de la clase Mythos de Anthropic
Nunca has necesitado Mythos para detectar tus IDOR y fallos en la lógica de negocio. Un repaso a lo que Anthropic ha incluido en Fable 5, y por qué la seguridad de la información sigue siendo, en el fondo, un problema humano.
Nunca has necesitado Mythos para detectar tus IDOR y fallos en la lógica de negocio. Un repaso a lo que Anthropic ha incluido en Fable 5, y por qué la seguridad de la información sigue siendo, en el fondo, un problema humano.
Noticias
La versión 12 de npm ofrece una de las mayores mejoras en materia de seguridad de los últimos años
La versión 12 de npm ofrece una de las mayores mejoras en materia de seguridad de los últimos años
La versión 12 de npm establece que los scripts de instalación sean opcionales por defecto, cerrando así la ruta de ejecución durante la instalación tras un año de problemas en la cadena de suministro de npm, desde Nx hasta Red Hat.
La versión 12 de npm establece que los scripts de instalación sean opcionales por defecto, cerrando así la ruta de ejecución durante la instalación tras un año de problemas en la cadena de suministro de npm, desde Nx hasta Red Hat.
Noticias
Aikido x Docker: menos ruido y más señal en tus contenedores
Aikido es compatible con las imágenes reforzadas de Docker mediante VEX
Aikido ahora es compatible con las imágenes Docker Hardened, que incorporan la integración con VEX, lo que ayuda a los equipos a reducir el ruido de los CVE y a centrarse en las vulnerabilidades de los contenedores que realmente requieren atención.
Actualizaciones de producto y empresa
Se está programando en todas partes, y el dispositivo es la única constante
El código está presente en todas partes y el dispositivo es la única constante | Aikido Security
Los desarrolladores programan en todas partes. Los agentes de IA, los bots de Slack y los servidores MCP han convertido los dispositivos de los desarrolladores en el mayor punto ciego en materia de seguridad.
Los desarrolladores programan en todas partes. Los agentes de IA, los bots de Slack y los servidores MCP han convertido los dispositivos de los desarrolladores en el mayor punto ciego en materia de seguridad.
Noticias
Las listas de materiales de seguridad (SBOM) en 2026: todo el mundo las elabora, pero nadie las utiliza
Las listas de materiales de seguridad (SBOM) en 2026: todo el mundo las genera, pero nadie las utiliza | Aikido Security
El informe de la ENISA sobre SBOM en 2026 abarca 334 organizaciones y pone de manifiesto una brecha constante entre la generación de SBOM y su uso efectivo. Esto es lo más destacado.
El informe de la ENISA sobre SBOM en 2026 abarca 334 organizaciones y pone de manifiesto una brecha constante entre la generación de SBOM y su uso efectivo. Esto es lo más destacado.
Noticias
Un crate de Rust comprometido ejecuta una operación de exfiltración de código
Un crate de Rust comprometido ejecuta una operación de exfiltración de código
La versión v1.4.1 del crate «onering Rust» en crates.io, que presenta una vulnerabilidad, incluía un archivo «build.rs» malicioso que envía el cambio (diff) de tu última confirmación a un punto final alojado de Sentry cada vez que compilas.
La versión v1.4.1 del crate «onering Rust» en crates.io, que presenta una vulnerabilidad, incluía un archivo «build.rs» malicioso que envía el cambio (diff) de tu última confirmación a un punto final alojado de Sentry cada vez que compilas.
Vulnerabilidades y amenazas
Una vulnerabilidad crítica en phpBB, presente desde hace 10 años, afecta a decenas de millones de usuarios en miles de foros
Vulnerabilidad crítica en phpBB: elusión de la autenticación + ejecución remota de código desde 2014
Aikido Security una vulnerabilidad crítica en phpBB que permite eludir la autenticación sin necesidad de credenciales y que afecta a decenas de millones de usuarios. Basta con una sola solicitud HTTP para hacerse con el control de cualquier cuenta, una vulnerabilidad que llevaba presente en el código desde 2014.
Vulnerabilidades y amenazas
Un momento, ¿qué puede hacer binding.gyp? Descubriendo el sistema de compilación más extraño de npm
Un momento, ¿qué puede hacer binding.gyp? Descubriendo el sistema de compilación más extraño de npm
Analicemos en profundidad binding.gyp, ese archivo de compilación de npm que suele pasarse por alto y que puede ejecutar código malicioso durante la instalación mediante expansiones de shell, fugas del entorno de pruebas y secuestro del compilador.
Analicemos en profundidad binding.gyp, ese archivo de compilación de npm que suele pasarse por alto y que puede ejecutar código malicioso durante la instalación mediante expansiones de shell, fugas del entorno de pruebas y secuestro del compilador.
Vulnerabilidades y amenazas
¿Qué es SAST basado en IA?
¿Qué es SAST basado en IA?
El AI SAST perfilando como una nueva SAST , pero su significado aún no está claro. Aclaramos la diferencia entre SAST nativo de IA SAST SAST asistido por IA, así como el lugar que SAST AI SAST en la pila tecnológica entre SAST tradicional SAST pentesting de IA.
El AI SAST perfilando como una nueva SAST , pero su significado aún no está claro. Aclaramos la diferencia entre SAST nativo de IA SAST SAST asistido por IA, así como el lugar que SAST AI SAST en la pila tecnológica entre SAST tradicional SAST pentesting de IA.
Herramientas DevSec y comparaciones
Nessus 5 mejoresNessus a Tenable Nessus en 2026
Nessus 5 mejoresNessus Tenable Nessus en 2026 | Aikido Security
Tenable Nessus un potente escáner, pero las herramientas potentes que nadie utiliza no contribuyen a que el software sea más seguro. Compara cinco alternativas diseñadas para adaptarse a la forma en que trabajan realmente los equipos de ingeniería.
Tenable Nessus un potente escáner de infraestructura, pero las herramientas potentes que no se integran en los flujos de trabajo de los desarrolladores son herramientas que nadie utiliza. En esta guía se comparan cinco alternativas en función de su adaptación a los flujos de trabajo de los desarrolladores, AppSec , el coste y la experiencia en la corrección de vulnerabilidades.
Herramientas DevSec y comparaciones
Por qué el EDR y el proxy no te protegerán del malware en la cadena de suministro
Por qué el EDR y el proxy no te protegerán del malware en la cadena de suministro
Los sistemas EDR y los servidores proxy no se diseñaron para detectar malware en la cadena de suministro. Cuando el código malicioso llega a través de «npm install», parece un comportamiento normal. A continuación explicamos por qué esto es importante.
Los sistemas EDR y los servidores proxy no se diseñaron para detectar malware en la cadena de suministro. Cuando el código malicioso llega a través de «npm install», parece un comportamiento normal. A continuación explicamos por qué esto es importante.
Noticias
¡Apártate, Mythos! Aquí viene... prácticamente cualquier otro modelo con un buen arnés
¡A un lado, Mythos! Aquí viene cualquier modelo con un buen arnés.
Mythos ofrece ventajas reales en la construcción de cadenas de exploits. Sin embargo, para la mayor parte AppSec , el marco de trabajo que rodea al modelo es más importante que el modelo en sí.
Mythos ofrece ventajas reales en la construcción de cadenas de exploits. Sin embargo, para la mayor parte AppSec , el marco de trabajo que rodea al modelo es más importante que el modelo en sí.
Noticias
Paquetes de Red Hat en npm comprometidos para propagar un gusano que roba credenciales
Paquetes de Red Hat en npm comprometidos para propagar un gusano que roba credenciales
Varios paquetes oficiales de npm de @redhat-cloud-services se vieron afectados por un gusano diseñado para robar credenciales, derivado del malware de código abierto Mini Shai-Hulud, que tenía como objetivo las credenciales de la nube y las herramientas de desarrollo en los procesos de CI/CD.
Varios paquetes oficiales de npm de @redhat-cloud-services se vieron afectados por un gusano diseñado para robar credenciales, derivado del malware de código abierto Mini Shai-Hulud, que tenía como objetivo las credenciales de la nube y las herramientas de desarrollo en los procesos de CI/CD.
Vulnerabilidades y amenazas
Lo que MDM no puede proteger en máquinas de desarrolladores (y qué hacer al respecto)
Lo que MDM no puede proteger en máquinas de desarrolladores
Las herramientas MDM como Jamf y Kandji son esenciales, pero no detectan instalaciones de npm, extensiones de IDE o herramientas de codificación de IA. Aquí está lo que realmente no está protegido en tus máquinas de desarrolladores y cómo cerrar la brecha.
La mayoría de los equipos de seguridad tienen MDM desplegado. El problema es que las instalaciones de npm, las extensiones de VS Code y las herramientas de codificación de IA ocurren completamente fuera de la vista de MDM. Aquí está lo que realmente está desprotegido y cómo cerrar la brecha.
Guías y Mejores Prácticas
Las mejores alternativas a GitGuardian para el escaneo de secretos en 2026
Las mejores alternativas a GitGuardian para el escaneo de secretos en 2026
Compara las mejores alternativas a GitGuardian para el escaneo de secretos en 2026. Descubre dónde encajan mejor Aikido Security, GitHub Secret Protection, TruffleHog, Gitleaks, Semgrep, Snyk, Cycode, Checkmarx y GitLab.
Compare las principales alternativas a GitGuardian para el escaneo de secretos en 2026, incluyendo Aikido Security, Betterleaks, GitHub Secret Protection, TruffleHog, Semgrep, Snyk, Checkmarx One y GitLab Secret Detection.
Herramientas DevSec y comparaciones
Una interfaz de usuario remota de Codex de aspecto legítimo roba secretamente tus tokens de IA
Una interfaz de usuario remota de Codex de aspecto legítimo roba secretamente tus tokens de IA
Una interfaz de usuario remota de Codex pulida, el paquete npm codexui-android, tiene un desarrollo activo y miles de usuarios semanales. Ha estado exfiltrando silenciosamente tokens de autenticación de OpenAI durante el último mes.
Una interfaz de usuario remota de Codex pulida, el paquete npm codexui-android, tiene un desarrollo activo y miles de usuarios semanales. Ha estado exfiltrando silenciosamente tokens de autenticación de OpenAI durante el último mes.
Vulnerabilidades y amenazas
Aikido vs XBOW: 58% más vulnerabilidades encontradas en un benchmark independiente
Aikido vs XBOW: 58% más vulnerabilidades encontradas en un benchmark independiente
Aikido vs XBOW comparados en un benchmark independiente por Doyensec. Aikido encontró un 58% más de vulnerabilidades al mismo precio. Vea el tiempo de configuración, las tasas de falsos positivos y los resultados completos.
Encargamos a Doyensec que realizara un benchmark ciego e independiente de Aikido y XBOW en las mismas aplicaciones, al mismo precio. Aikido encontró un 58% más de vulnerabilidades verificadas y superó a XBOW en configuración, velocidad y estabilidad.
Noticias
Por qué las máquinas de los desarrolladores son ahora el objetivo número uno de los ataques a la cadena de suministro
Por qué las máquinas de los desarrolladores son el objetivo n.º 1 de los ataques a la cadena de suministro | Aikido
Equipos de Omnea, Cognism, Glasswall, Raisin y el sector público del Reino Unido revelan por qué EDR y MDM no detectan lo que realmente ocurre en las máquinas de los desarrolladores.
Los equipos de ingeniería y seguridad de Omnea, Cognism, Glasswall y el sector público del Reino Unido señalaron de forma independiente el mismo punto ciego. Esto es lo que están haciendo al respecto.
Noticias
Ataque a la cadena de suministro dirigido a paquetes Laravel-Lang con un ladrón de credenciales
Ataque a la cadena de suministro dirigido a paquetes Laravel-Lang con un ladrón de credenciales
Los atacantes inyectaron un ladrón de credenciales en más de 200 versiones de paquetes populares de Laravel-Lang, distribuyendo un ladrón de credenciales dirigido a claves de cloud, claves SSH, navegadores, monederos de criptomonedas y más.
Los atacantes inyectaron un ladrón de credenciales en más de 200 versiones de paquetes populares de Laravel-Lang, distribuyendo un ladrón de credenciales dirigido a claves de cloud, claves SSH, navegadores, monederos de criptomonedas y más.
Vulnerabilidades y amenazas
5 alternativas a Gitleaks y por qué son mejores
5 alternativas a Gitleaks para un mejor escaneo de secretos en 2026
¿Busca una alternativa a Gitleaks? Comparamos Betterleaks, TruffleHog, Aikido, GitHub Advanced Security y Spectral para que pueda encontrar el mejor escáner de secretos para su equipo.
Gitleaks ya no se desarrolla activamente, y el panorama del escaneo de secretos ha evolucionado rápidamente. Comparamos las cinco alternativas más sólidas en 2026, incluyendo Betterleaks, TruffleHog, Aikido, GitHub Advanced Security y Spectral, para que pueda encontrar la solución adecuada para su stack.
Herramientas DevSec y comparaciones
El Salvaje Oeste de las extensiones de VS Code y cómo una extensión envenenada vulneró GitHub
El Salvaje Oeste de las extensiones de VS Code y cómo una extensión envenenada vulneró GitHub
Una extensión de VS Code envenenada vulneró GitHub ayer, un día después de que Nx Console (2,2 millones de instalaciones) fuera comprometida durante 18 minutos en el Visual Studio Marketplace y llegara a todos los usuarios con la actualización automática activada.
Vulnerabilidades y amenazas
GitHub comprometido a través de una extensión maliciosa de VS Code: por qué los dispositivos de los desarrolladores son el verdadero objetivo
Brecha en GitHub a través de una extensión de VS Code | Ataque a la Cadena de Suministro de Desarrolladores 2026
GitHub confirmó que una extensión de VS Code maliciosa comprometió un dispositivo de un empleado, exponiendo 3.800 repositorios internos. Por qué las estaciones de trabajo de los desarrolladores son ahora el principal objetivo de la cadena de suministro.
Vulnerabilidades y amenazas
El paquete «durabletask» de Microsoft en PyPi ha sido comprometido. ¡Mini Shai Hulud ataca de nuevo... otra vez!
El paquete «durabletask» de Microsoft en PyPi ha sido comprometido. ¡Mini Shai Hulud ataca de nuevo... otra vez!
Tres versiones progresivamente comprometidas de un paquete de Python vinculado a Microsoft contienen un programa de robo de información con todas las funciones que se propaga a través de AWS y Kubernetes, sustrae todas las credenciales de la nube que encuentra y formatea los discos de sistemas israelíes e iraníes
Vulnerabilidades y amenazas
Mini Shai-Hulud ataca de nuevo: un gusano npm compromete cientos de paquetes @antv
Mini Shai-Hulud ataca de nuevo: un gusano de npm compromete cientos de paquetes @antv
El gusano de npm Mini Shai-Hulud ha afectado a los paquetes @antv de Alibaba, echarts-for-react y timeago.js. La carga útil roba secretos de CI/CD, implanta puertas traseras en VS Code y Claude Code, y se propaga republicando paquetes comprometidos. Aquí explicamos lo que sucedió y cómo proteger a su equipo.
El gusano npm Mini Shai-Hulud ha vuelto con su ola más grande hasta la fecha, comprometiendo cientos de paquetes en todo el ecosistema de visualización de datos de Alibaba. Nuestro equipo de malware está rastreando más de 2.700 repositorios de GitHub maliciosos creados con tokens robados mientras el gusano continúa propagándose.
Vulnerabilidades y amenazas
Pentesting vs. red teaming: ¿cuál es la diferencia?
Pentesting vs. Red Teaming: ¿Cuál es la diferencia?
¿No está seguro de si necesita un pentest o un engagement de red team? Esta guía desglosa las diferencias clave, cuándo usar cada uno y cómo la IA está cambiando ambos.
El pentesting y el red teaming son ambas formas de poner a prueba su seguridad, pero no son lo mismo. Esta publicación desglosa cómo funciona cada uno, cuándo usar uno sobre el otro y dónde el pentesting de IA está cambiando la ecuación.
Guías y Mejores Prácticas
Las claves API de Google siguen funcionando después de eliminarlas
Las claves de API de Google siguen funcionando después de eliminarlas, el tiempo suficiente para ser explotadas
Eliminar una clave API de Google no la revoca de inmediato. Nuestras pruebas encontraron autenticaciones exitosas hasta 23 minutos después de la eliminación, y Google se ha negado a solucionarlo.
Eliminar una clave API de Google no la revoca de inmediato. Nuestras pruebas encontraron autenticaciones exitosas hasta 23 minutos después de la eliminación, y Google se negó a solucionarlo.
Vulnerabilidades y amenazas
La IA en la sombra es una respuesta al miedo, y prohibirla lo empeora
Por qué los riesgos de la IA en la sombra comienzan con el miedo (y prohibirla los empeora)
Los empleados no utilizan herramientas de IA no aprobadas para causar problemas. Tienen miedo de quedarse atrás. Aquí explicamos por qué prohibir la IA en la sombra aumenta su riesgo de seguridad y qué hacer en su lugar.
La IA en la sombra es una respuesta al miedo. Los empleados están ocultando las herramientas que utilizan porque están interpretando correctamente un mercado laboral que exige habilidades en IA. Aquí le explicamos por qué prohibir lo empeora y qué hacer en su lugar.
Noticias
Mini Shai-Hulud está de vuelta: el gusano npm afecta a más de 160 paquetes, incluyendo Mistral y Tanstack
Mini Shai-Hulud está de vuelta: el gusano npm afecta a más de 160 paquetes, incluyendo Mistral y Tanstack
Mini Shai-Hulud ha vuelto, comprometiendo 169 paquetes npm de TanStack, UiPath, Squawk y otros para robar secretos de desarrolladores y CI/CD, y luego propagarse a través de flujos de trabajo de publicación de confianza.
Vulnerabilidades y amenazas
La lista de verificación de seguridad completa de GitHub Actions
Lista de verificación de seguridad para GitHub Actions
Las malas configuraciones de GitHub Actions han estado detrás de algunos de los mayores ataques a la cadena de suministro de 2025 y 2026. Aquí te explicamos qué salió mal y cómo evitar que le suceda a tu organización.
Las malas configuraciones de GitHub Actions han estado detrás de algunos de los mayores ataques a la cadena de suministro de 2025 y 2026. Aquí tiene una lista de verificación práctica sobre cómo protegerse de ellos.
Guías y Mejores Prácticas
Los mejores escáneres Top 10 OWASP en 2026 para la seguridad de aplicaciones web
Los mejores escáneres Top 10 OWASP en 2026 para la seguridad de aplicaciones web
La mayoría de los escáneres no cubren el Top 10 OWASP completo. Analizamos los mejores escáneres Top 10 OWASP en 2026 para que pueda elegir uno que realmente le mantenga protegido.
La mayoría de los escáneres OWASP no cubren el Top 10 completo. Esta guía desglosa las principales herramientas en 2026, lo que cada una cubre realmente y qué escáner ofrece una cobertura completa sin el ruido.
Herramientas DevSec y comparaciones
Implementación de la seguridad para desarrolladores en una organización con más de 5.000 ingenieros
Seguridad para desarrolladores a escala: Guía de implementación para CISOs
La mayoría de las implementaciones de seguridad para desarrolladores fracasan porque están diseñadas como despliegues de software, no como cambios culturales. Una guía práctica para CISOs empresariales.
La mayoría de las implementaciones de seguridad para desarrolladores fallan porque están diseñadas como despliegues de software, no como cambios culturales. Aquí está el modelo por fases en el que los CISO experimentados coinciden para solucionarlo.
Guías y Mejores Prácticas
Metamorfosis de la seguridad: una lista de verificación de arquitectura preparada para Mythos para ataques de IA autónomos
Metamorfosis de la seguridad: una lista de verificación de arquitectura preparada para Mythos para ataques de IA autónomos
AppSec se ha estancado ante la complejidad moderna. El Proyecto Glasswing y la era Mythos exigen una disciplina de seguridad que opere a la velocidad de las amenazas a las que se enfrenta.
AppSec se ha estancado ante la complejidad moderna. El Proyecto Glasswing y la era Mythos exigen una disciplina de seguridad que opere a la velocidad de las amenazas a las que se enfrenta.
Guías y Mejores Prácticas
Por qué las extensiones del navegador son un riesgo de seguridad importante y qué se puede hacer al respecto
Por qué las extensiones del navegador son un riesgo de seguridad importante y qué se puede hacer al respecto
Las extensiones del navegador conllevan numerosos riesgos de seguridad, más de los que estamos dispuestos a admitir. Analizamos el alcance completo de esta amenaza y lo que tanto los individuos como las organizaciones pueden hacer al respecto.
Guías y Mejores Prácticas
Los mejores escáneres de CVE en 2026 para identificar vulnerabilidades conocidas
Los mejores escáneres de CVE en 2026: Comparativa por Cobertura, Inteligencia y Corrección Automática
Evaluamos los mejores escáneres de CVE en 2026 en cuanto a amplitud de cobertura, fuentes de inteligencia, relación señal/ruido y capacidad de corrección automática. Así es como se comparan y cuál es el adecuado para su stack.
No todos los escáneres de CVE están construidos de la misma manera. Comparamos las mejores opciones en 2026 en cuanto a amplitud de cobertura, fuentes de inteligencia, relación señal/ruido y capacidad de auto-fix, para que pueda encontrar la opción adecuada para su stack.
Herramientas DevSec y comparaciones
Paquete Popular PyTorch Lightning Comprometido por Mini Shai-Hulud
Paquete Popular PyTorch Lightning Comprometido por Mini Shai-Hulud
Malware encontrado en las versiones populares 2.6.2 y 2.6.3 de PyTorch Lightning, robando credenciales, monederos de criptomonedas y configuraciones de VPN como parte de la campaña Mini Shai-Hulud.
Malware encontrado en las versiones populares 2.6.2 y 2.6.3 de PyTorch Lightning, robando credenciales, monederos de criptomonedas y configuraciones de VPN como parte de la campaña Mini Shai-Hulud.
Vulnerabilidades y amenazas
Una lista de verificación de seguridad práctica para CTOs para estar preparados para Mythos
Lista de verificación Mythos-Ready
Una lista de verificación práctica para CTOs de SaaS que navegan por un mundo con Mythos y amenazas de IA agéntica. Construida en torno a la ventaja del defensor: usted tiene el contexto que los atacantes tienen que esforzarse por obtener. Cubre los controles, las prácticas y los hábitos operativos que determinan si su equipo encuentra y corrige los problemas antes de que lo haga otra persona.
Guías y Mejores Prácticas
Alguien publicó cuatro versiones de un paquete falso "tanstack" en 27 minutos para robar sus archivos .env
Cuatro versiones publicadas de un paquete falso "tanstack" subidas en 27 minutos que buscan robar sus archivos .env
Un paquete npm falso "tanstack" publicó hoy cuatro versiones maliciosas en 27 minutos, exfiltrando archivos .env a través de un hook postinstall. Esto es lo que sucedió, quiénes fueron afectados y cómo rotar sus credenciales.
Vulnerabilidades y amenazas
Aikido se integra con AWS Kiro: Detectar en la revisión ya no es escalable
Aikido x Kiro | Detectar en la revisión ya no es escalable
Agentes de IA escribiendo su código. Aikido se integra directamente en el flujo de trabajo agéntico de AWS Kiro para mantener la seguridad en el ciclo, automáticamente, desde la primera línea. Aikido es el primer socio de seguridad global de AWS para Kiro.
Agentes de IA escribiendo su código. Aikido se integra directamente en el flujo de trabajo agéntico de AWS Kiro para mantener la seguridad en el ciclo, automáticamente, desde la primera línea. Aikido es el primer socio de seguridad global de AWS para Kiro.
Actualizaciones de producto y empresa
Mini Shai-Hulud ataca paquetes npm de SAP con un ladrón de secretos basado en Bun
Mini Shai-Hulud ataca paquetes npm de SAP con un ladrón de secretos basado en Bun
Paquetes npm de SAP comprometidos utilizan un payload de preinstalación basado en Bun para robar secretos de GitHub, npm, la nube y CI, y luego se propagan a través de GitHub usando OhNoWhatsGoingOnWithGitHub.
Vulnerabilidades y amenazas
Es hora de tratar las extensiones de navegador como vectores de ataque de la cadena de suministro
Es hora de tratar las extensiones de navegador como vectores de ataque de la cadena de suministro | Lecciones aprendidas de la brecha de Vercel
La brecha de Vercel siguió un patrón bien conocido en la industria de la seguridad, donde el código de terceros se confía implícitamente y luego se ve comprometido en la cadena de suministro. Tenemos un marco para ello. Simplemente aún no lo hemos aplicado a las extensiones de navegador. (Spoiler: Hacemos esto para las dependencias de software)
La brecha de Vercel siguió un patrón bien conocido en la industria de la seguridad, donde el código de terceros se confía implícitamente y luego se ve comprometido en la cadena de suministro. Tenemos un marco para ello. Simplemente aún no lo hemos aplicado a las extensiones de navegador. (Spoiler: Hacemos esto para las dependencias de software)
Vulnerabilidades y amenazas
¿Ha vuelto Shai-Hulud? La CLI de Bitwarden comprometida contiene un gusano npm auto-propagable
¿Ha vuelto Shai-Hulud? La CLI de Bitwarden comprometida contiene un gusano npm auto-propagable
Se ha encontrado malware en @bitwarden/cli v2026.4.0 que roba claves SSH, secretos de la nube y credenciales de herramientas de codificación de IA, y luego se propaga a través de los propios paquetes npm de las víctimas. En su interior: un gusano que se autodenomina "Shai-Hulud: The Third Coming."
Se ha encontrado malware en @bitwarden/cli v2026.4.0 que roba claves SSH, secretos de la nube y credenciales de herramientas de codificación de IA, y luego se propaga a través de los propios paquetes npm de las víctimas. En su interior: un gusano que se autodenomina "Shai-Hulud: The Third Coming."
Vulnerabilidades y amenazas
Puerta trasera GPT-Proxy en npm y PyPI convierte servidores en relés LLM chinos
Puerta trasera GPT-Proxy en npm y PyPI convierte servidores en relés LLM chinos
Una campaña de malware recién descubierta en npm y PyPI instala proxies LLM ocultos en servidores comprometidos, convirtiéndolos en nodos de retransmisión para el tráfico LLM.
Una campaña de malware recién descubierta en npm y PyPI instala proxies LLM ocultos en servidores comprometidos, convirtiéndolos en nodos de retransmisión para el tráfico LLM.
Vulnerabilidades y amenazas
XSS en Roundcube encadenado con 'cookie tossing' para acceso completo a la bandeja de entrada
XSS en Roundcube encadenado con 'cookie tossing' para acceso completo a la bandeja de entrada
Encontramos un XSS almacenado en el endpoint de adjuntos de borradores de Roundcube que, encadenado con una técnica de 'cookie tossing', otorga a un atacante acceso completo a la bandeja de entrada de una víctima. Así es como funciona la cadena de explotación y cómo se parcheó.
Encontramos un XSS almacenado en el endpoint de adjuntos de borradores de Roundcube que, encadenado con una técnica de 'cookie tossing', otorga a un atacante acceso completo a la bandeja de entrada de una víctima. Así es como funciona la cadena de explotación y cómo se parcheó.
Vulnerabilidades y amenazas
Presentamos Device Protection: Seguridad para Dispositivos de Desarrolladores
Aikido Device Protection: Seguridad para Dispositivos de Desarrolladores | Aikido
Los ataques a la cadena de suministro se dirigen a los dispositivos de los desarrolladores. Aikido Device Protection monitoriza cada instalación en npm, PyPI, extensiones de VS Code, extensiones de navegador y herramientas de IA.
Actualizaciones de producto y empresa
Múltiples vulnerabilidades de cross-site scripting (XSS) en Mailcow
Múltiples vulnerabilidades XSS encontradas en Mailcow, incluyendo la toma de control de cuentas no autenticadas
El agente de pentesting de IA de Aikido encontró tres vulnerabilidades XSS en Mailcow, una de las cuales permitía a atacantes no autenticados tomar el control de cuentas de administrador. Todos los problemas han sido corregidos a partir de la versión 2026-03b.
Los agentes de pentesting de IA de Aikido encontraron tres vulnerabilidades XSS en Mailcow, un servidor de correo electrónico autohospedado ampliamente utilizado. La más grave permitía a atacantes no autenticados inyectar una carga útil en los registros de Autodiscover que se ejecutaría cuando un administrador los visualizara, permitiendo la toma de control total de la cuenta. Las tres han sido corregidas desde la versión 2026-03b.
Vulnerabilidades y amenazas
Fuentes fiables de CVE en la era de los recortes de NIST NVD
Cambios en NIST NVD 2026: lo que los equipos de seguridad deben saber
NIST ya no enriquecerá la mayoría de los CVE. Esto es lo que cambia, lo que se rompe y lo que está por venir.
Noticias
Un año de Opengrep: Qué hemos construido y qué sigue
Opengrep SAST después de un año: Análisis estático más rápido y determinista
Un año después de bifurcar Semgrep, Opengrep es más rápido, soporta un análisis de taint más profundo y produce resultados consistentes y reproducibles.
Un año después de bifurcar Semgrep, Opengrep es más rápido, más capaz y completamente abierto. Esto es lo que hemos construido y lo que sigue.
Actualizaciones de producto y empresa
Axios CVE-2026-40175: un error crítico que... no es explotable
Axios CVE-2026-40175: un error crítico que... no es explotable
Axios CVE-2026-40175 está clasificado como crítico, pero en entornos reales de Node.js no es prácticamente explotable. Aquí está el porqué.
Axios CVE-2026-40175 está clasificado como crítico, pero en entornos reales de Node.js no es prácticamente explotable. Aquí está el porqué.
Vulnerabilidades y amenazas
El Bug bounty no está muerto, pero el modelo antiguo está fallando
El Bug bounty no está muerto, pero el modelo antiguo está fallando
El Bug bounty está alcanzando un punto crítico a medida que la IA abruma los programas, impulsando un cambio hacia modelos de seguridad más sostenibles y centrados en la calidad.
El Bug bounty está alcanzando un punto crítico a medida que la IA abruma los programas, impulsando un cambio hacia modelos de seguridad más sostenibles y centrados en la calidad.
Técnico
GlassWorm se vuelve nativo: Nuevo dropper Zig infecta cada IDE en su máquina
GlassWorm se vuelve nativo: Nuevo dropper Zig infecta cada IDE en su máquina
GlassWorm despliega un dropper nativo basado en Zig oculto dentro de una extensión falsa, comprometiendo silenciosamente VS Code, Cursor, VSCodium y otros IDEs.
GlassWorm despliega un dropper nativo basado en Zig oculto dentro de una extensión falsa, comprometiendo silenciosamente VS Code, Cursor, VSCodium y otros IDEs.
Vulnerabilidades y amenazas
Aikido Attack encuentra múltiples 0-days en Hoppscotch
Aikido Attack Encuentra 0-Days en Hoppscotch
Los agentes de pentesting de IA de Aikido descubrieron múltiples vulnerabilidades de alta gravedad en Hoppscotch, incluyendo toma de control de cuentas, XSS almacenado y fallos de control de acceso. Todos los problemas han sido parcheados.
Aikido Attack identificó tres vulnerabilidades de alta gravedad en Hoppscotch: una redirección abierta que lleva a la toma de control de cuentas, XSS almacenado y un problema de control de acceso roto que permite la inyección de solicitudes entre equipos.
Vulnerabilidades y amenazas
El alarmismo en ciberseguridad en torno a Mythos no se corresponde con lo que observamos en la práctica
Riesgos de ciberseguridad de Anthropic Mythos: Lo que 1.000 pentests de IA realmente demuestran
El modelo Mythos filtrado de Anthropic ha desatado el pánico sobre los ciberataques impulsados por IA. Realizamos 1.000 pentests de IA. Los resultados sugieren que la amenaza es más matizada de lo que afirman los titulares.
Noticias
axios comprometido en npm: cuenta del mantenedor secuestrada, RAT desplegado
axios comprometido en npm: cuenta del mantenedor secuestrada, RAT desplegado
Las versiones maliciosas de axios 1.14.1 y 0.30.4 fueron publicadas a través de una cuenta de mantenedor secuestrada. Una dependencia oculta despliega un RAT multiplataforma. Compruebe si está afectado y remedie la situación ahora.
Axios fue comprometido. Las versiones maliciosas de axios 1.14.1 y 0.30.4 fueron publicadas en npm después de que la cuenta del mantenedor principal fuera secuestrada. La dependencia inyectada despliega un RAT multiplataforma que se autodestruye después de la ejecución.
Vulnerabilidades y amenazas
El popular paquete telnyx comprometido en PyPI por TeamPCP
El popular paquete telnyx comprometido en PyPI por TeamPCP
El popular paquete telnyx en PyPI, utilizado por grandes empresas de IA, ha sido comprometido por TeamPCP
El popular paquete telnyx en PyPI, utilizado por grandes empresas de IA, ha sido comprometido por TeamPCP
Vulnerabilidades y amenazas
Aikido × Lovable: Vibe, Fix, Ship
Lovable se asocia con Aikido para llevar el pentesting a las aplicaciones Vibe-Coded
Lovable y Aikido integran el pentesting en la plataforma, permitiendo a los desarrolladores simular ataques reales y corregir problemas antes del lanzamiento.
Aikido integra el pentesting directamente en Lovable. Pruebe su aplicación simulando ataques reales y corrija los problemas antes de su lanzamiento.
Actualizaciones de producto y empresa
CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán
CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán
CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán
CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán
Vulnerabilidades y amenazas
TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy
TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy
TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy
TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy
Vulnerabilidades y amenazas
Aikido reconocido por Frost & Sullivan con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM
Aikido reconocido por Frost & Sullivan con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM
Frost & Sullivan ha reconocido a Aikido con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM. Analizamos lo que los criterios de reconocimiento revelan sobre cómo está madurando el mercado de AppSec.
Frost & Sullivan ha reconocido a Aikido con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM. Analizamos lo que los criterios de reconocimiento revelan sobre cómo está madurando el mercado de AppSec.
Noticias
GlassWorm oculta un RAT dentro de una extensión maliciosa de Chrome
RAT GlassWorm entregado a través de una extensión maliciosa de Chrome (Keylogger, Robo de Cookies)
GlassWorm despliega un RAT de múltiples etapas que fuerza la instalación de una extensión maliciosa de Chrome para registrar pulsaciones de teclas, robar cookies y exfiltrar datos a través de un C2 basado en Solana.
GlassWorm despliega un RAT de múltiples etapas que fuerza la instalación de una extensión maliciosa de Chrome para registrar pulsaciones de teclas, robar cookies y exfiltrar datos a través de un C2 basado en Solana.
Vulnerabilidades y amenazas
Las pruebas de seguridad validan software que ya no existe
Por qué el Pentesting no puede seguir el ritmo: El problema de la velocidad en las pruebas de seguridad
Los equipos modernos entregan más rápido de lo que el pentesting puede seguir el ritmo. Explore la creciente brecha de velocidad en las pruebas de seguridad y por qué los enfoques tradicionales se están quedando atrás.
Un CISO de una gran empresa nos dijo que la capacidad de seguridad más importante hoy en día es la velocidad. Pero, ¿qué ocurre cuando las pruebas no pueden seguir el ritmo de la rapidez con la que cambian los sistemas?
Guías y Mejores Prácticas
Extensión fast-draft Open VSX Comprometida por BlokTrooper
Extensión fast-draft Open VSX Comprometida por BlokTrooper (RAT e Infostealer)
La extensión fast-draft Open VSX fue comprometida para desplegar un RAT y un infostealer de BlokTrooper a través de cargas útiles alojadas en GitHub. Se identificaron múltiples versiones maliciosas.
Una popular extensión de Open VSX fue comprometida y utilizada para desplegar un RAT y un infostealer desde una infraestructura controlada por el atacante. Su historial de versiones cuenta la verdadera historia, con lanzamientos maliciosos apareciendo entre los limpios.
Vulnerabilidades y amenazas
Glassworm ataca paquetes populares de React Native para números de teléfono
Glassworm ataca paquetes populares de números de teléfono de React Native en un nuevo ataque a la cadena de suministro
Investigadores de Aikido Security recuperaron y descifraron la cadena completa de carga útil de dos paquetes maliciosos de React Native. Esto es lo que hace el malware y qué buscar.
Dos populares paquetes npm de React Native fueron comprometidos con puertas traseras por presuntos actores de Glassworm y utilizados para distribuir malware de múltiples etapas. A continuación, se explica qué hace el malware y qué aspectos observar.
Vulnerabilidades y amenazas
Glassworm está de vuelta: una nueva ola de ataques Unicode invisibles afecta a cientos de repositorios
Glassworm regresa: malware Unicode invisible encontrado en más de 150 repositorios de GitHub
El ataque a la cadena de suministro de Glassworm ha regresado. Investigadores descubrieron malware oculto en caracteres Unicode invisibles en más de 150 repositorios de GitHub, además de paquetes npm y extensiones de VS Code.
Glassworm está de vuelta con una nueva ola de ataques Unicode invisibles. Estamos rastreando una nueva campaña que compromete silenciosamente repositorios en GitHub, npm y VS Code.
Vulnerabilidades y amenazas
Las mejores fiestas, eventos paralelos y encuentros de seguridad de RSAC 2026
Guía de fiestas y eventos de seguridad RSAC 2026 | Aikido
Guía de fiestas y eventos de seguridad RSAC 2026 | Aikido
Noticias
¿Cómo los equipos de seguridad se defienden de los hackers impulsados por IA?
¿Cómo los equipos de seguridad se defienden de los hackers impulsados por IA?
La IA ha reducido drásticamente la barrera de entrada para los hackers. Esto es lo que significa para los defensores y cómo el pentesting de IA continuo cambia la ecuación.
Un solo hacker y una suscripción a Claude acaban de derribar nueve agencias gubernamentales mexicanas. La IA ha proporcionado a los atacantes una mejora de poder significativa. Los equipos de seguridad necesitan un nuevo manual de estrategias.
Vulnerabilidades y amenazas
Presentamos Betterleaks, un escáner de secretos de código abierto del autor de Gitleaks
Betterleaks: El sucesor de Gitleaks diseñado para un escaneo de secretos más rápido
Betterleaks es un nuevo escáner de secretos de código abierto del creador de Gitleaks. Un reemplazo directo con escaneos más rápidos, detección de eficiencia de tokens, validación configurable y más.
El creador de Gitleaks lanza su sucesor. Betterleaks es un escáner de secretos de código abierto más rápido, diseñado para detectar más fugas y adaptarse a los flujos de trabajo modernos de los desarrolladores.
Actualizaciones de producto y empresa
¿Cómo funciona el pentesting de IA en relación con el cumplimiento?
¿Cómo funciona el pentesting de IA en relación con el cumplimiento?
El pentesting de IA está siendo aceptado para SOC 2, ISO 27001 y HIPAA (y es probable que se añadan más). Esto es lo que realmente buscan los auditores y dónde residen las limitaciones reales.
El pentesting de IA está siendo aceptado para SOC 2, ISO 27001, HIPAA y PCI DSS. Esto es lo que los auditores realmente buscan y dónde están las limitaciones reales.
Cumplimiento
Estrategia de ciberseguridad de Trump para 2026: Del cumplimiento a la consecuencia
Estrategia de Ciberseguridad de Trump para 2026: Del Cumplimiento a la Consecuencia
La estrategia de ciberseguridad de la administración Trump para 2026 cambia el enfoque de las listas de verificación de cumplimiento a consecuencias reales para los ciberdelincuentes. Esto es lo que los CISO deben saber.
Noticias
Lo que el pentesting continuo realmente requiere
Pentesting continuo: cómo funciona y qué requiere
El pentesting continuo promete una validación de seguridad en tiempo real, pero la mayoría de las implementaciones se quedan cortas. Esto es lo que el pentesting continuo realmente requiere: desde pruebas conscientes del cambio hasta la validación de exploits y los bucles de remediación.
El pentesting continuo es ampliamente debatido, pero rara vez se define con claridad. Este artículo desglosa qué es, qué no es y qué es lo que realmente requiere.
Guías y Mejores Prácticas
Raro, no aleatorio: Uso de la eficiencia de tokens para el escaneo de secretos
Raro, no aleatorio: Uso de la eficiencia de tokens para el escaneo de secretos
La entropía a menudo tiene dificultades con los secretos genéricos y las cadenas cortas. Analizamos cómo la eficiencia de tokens puede identificar mejor las cadenas que no se parecen a texto normal.
La entropía es excelente para detectar la aleatoriedad. Pero los secretos no siempre son aleatorios. Son simplemente cadenas que no aparecen en código o texto normal. Exploramos el uso de la tokenización BPE para medir esa diferencia.
Guías y Mejores Prácticas
Por qué el determinismo sigue siendo una necesidad en seguridad
Por qué el determinismo sigue siendo una necesidad en seguridad
El escaneo con IA encuentra lo que las reglas no detectan. El escaneo determinista lo encuentra siempre. Aquí le explicamos por qué las mejores pipelines de seguridad no eligen entre ambos.
Las herramientas de seguridad impulsadas por IA están mejorando en la detección de vulnerabilidades. Pero las herramientas deterministas ofrecen la consistencia de la que dependen las pipelines, el cumplimiento normativo y las pistas de auditoría. Analizamos qué hace bien el escaneo determinista, dónde interviene la IA y cómo ambos trabajan juntos para una seguridad eficaz.
Ingeniería
WAF vs. RASP vs. ADR
WAF vs. RASP vs. ADR: Cómo funciona la seguridad de aplicaciones en tiempo de ejecución
WAF, RASP y ADR protegen su aplicación de formas completamente diferentes. Aquí le explicamos lo que hace cada capa, dónde se queda corta y cuáles necesita.
WAF, RASP, ADR, eBPF — Aclaramos la terminología en torno a la seguridad de aplicaciones en tiempo de ejecución. Aquí le explicamos lo que hace cada capa, cómo se superponen y cómo encajan entre sí.
Guías
Presentamos Aikido Infinite: Un nuevo modelo de software de autoprotección
Aikido Infinite: Pentesting de IA continuo para cada lanzamiento
Aikido Infinite realiza pentesting de IA en cada cambio de código, valida la explotabilidad, genera parches y vuelve a probar las correcciones antes de que el código llegue a producción, haciendo realidad el software auto-protegido.
Actualizaciones de producto y empresa
XSS/RCE persistente usando WebSockets en el servidor de desarrollo de Storybook
XSS/RCE persistente usando WebSockets en Storybook (CVE-2026-27148)
CVE-2026-27148 expone una vulnerabilidad de secuestro de WebSocket en Storybook que puede escalar a un compromiso de la cadena de suministro. Conozca la ruta de ataque, el impacto y cómo remediarlo.
Aikido Attack encontró una vulnerabilidad de secuestro de WebSocket en el servidor de desarrollo de Storybook que puede conducir a XSS persistente, ejecución remota de código y, en el peor de los casos, a un compromiso de la cadena de suministro. Explicamos cómo un atacante puede explotar esto sin ninguna interacción del usuario, y un desarrollador solo tiene que visitar el sitio web equivocado para encontrarse con este ataque.
Vulnerabilidades y amenazas
Cómo Aikido protege los agentes de pentesting de IA por diseño
Cómo Aikido protege los agentes de pentesting de IA y previene la desviación del alcance
Descubra cómo Aikido protege los agentes de pentesting de IA con aislamiento arquitectónico, aplicación del alcance en tiempo de ejecución y controles a nivel de red para evitar la desviación de producción y la fuga de datos.
Los agentes de IA están diseñados para explorar. En ciberseguridad, esa exploración necesita límites estrictos. Este artículo explica cómo Aikido protege los agentes de pentesting de IA mediante aislamiento arquitectónico, aplicación del alcance en tiempo de ejecución y controles por capas que contienen el riesgo por diseño.
Actualizaciones de producto y empresa
SSRF de lectura completa en Astro mediante inyección de cabecera Host
Vulnerabilidad SSRF en Astro: Inyección de cabecera Host en páginas de error SSR (CVE-2026-25545)
El agente de pentesting de IA de Aikido Security descubrió una vulnerabilidad de Server-Side Request Forgery (SSRF) en la implementación SSR de Astro. Descubre cómo la inyección de cabecera Host en páginas de error prerrenderizadas permitió el acceso completo a la red interna.
El agente de pentesting de IA de Aikido descubrió una vulnerabilidad SSRF en el adaptador Node.js de Astro. Analizaremos cómo, al inyectar una cabecera Host: maliciosa, los atacantes podrían redirigir una solicitud interna a cualquier URL en la red local.
Vulnerabilidades y amenazas
Cómo lograr que su consejo se preocupe por la seguridad (antes de que una brecha lo obligue)
Cómo lograr que su consejo se preocupe por la seguridad antes de una brecha
Los consejos no financian la seguridad porque sea importante. Financian decisiones defendibles. Aquí le explicamos cómo enmarcar el riesgo, reducir la ambigüedad y obtener un apoyo real antes de que una brecha fuerce la situación.
Guías
¿Qué es el Slopsquatting? El ataque de alucinación de paquetes de IA que ya está ocurriendo
Slopsquatting: El ataque de alucinación de paquetes de IA que ya está ocurriendo
Los modelos de IA alucinan nombres de paquetes npm. Los atacantes los registran primero. Aquí te explicamos qué es el slopsquatting, cómo se está propagando a través de las habilidades de los agentes y cómo protegerte.
Los modelos de IA alucinan nombres de paquetes — y los atacantes los están registrando antes de que nadie se dé cuenta. El slopsquatting es la evolución del typosquatting en la era de la IA, y a diferencia de su predecesor, las protecciones existentes de npm no funcionan. Analizamos la investigación en el mundo real que demuestra que ya está ocurriendo, desde paquetes maliciosos confirmados que aún registran cientos de descargas semanales hasta un nombre de paquete alucinado que se propagó a 237 repositorios a través de archivos de habilidades de agentes de IA.
Guías y Mejores Prácticas
Las 6 mejores alternativas a Wiz Code
Alternativas a Wiz Code (2026): 6 herramientas comparadas y la mejor opción orientada al desarrollador
¿Busca alternativas a Wiz Code? Compare 6 herramientas en SAST, DAST, SCA, precios y experiencia del desarrollador para encontrar la mejor plataforma de AppSec para 2026.
Esta guía compara Wiz Code con seis alternativas: Aikido Security, Snyk, Checkmarx, GitHub Advanced Security, Mend y Veracode, evaluadas en cobertura, experiencia del desarrollador, triaje impulsado por IA, transparencia de precios y velocidad de despliegue. Aikido Security destaca para los equipos que buscan una plataforma centrada en el desarrollador con amplia cobertura, una reducción del 85% de falsos positivos, AutoFix con IA en SAST, IaC y contenedores, DAST nativo y precios transparentes a aproximadamente una décima parte del coste de Wiz.
Guías y Mejores Prácticas
Aikido reconocido como Líder de Plataforma en el Informe de Seguridad de Aplicaciones 2026 de Latio Tech
Aikido nombrado Líder de Plataforma AppSec en el Informe Latio 2026
Aikido Security reconocido como Líder de Plataforma, Innovador en pentesting de IA e Innovador en la Cadena de Suministro en el Informe AppSec 2026 de Latio Tech.
El Informe AppSec 2026 de Latio Tech nombra a Aikido como Líder de Plataforma e Innovador en IA. Esto es lo que el informe revela sobre el futuro de la seguridad de las aplicaciones.
Noticias
De la detección a la prevención: cómo Zen detiene las vulnerabilidades IDOR en tiempo de ejecución
De la detección a la prevención: Zen detiene las IDOR en tiempo de ejecución | Aikido
Las vulnerabilidades IDOR son una de las causas más comunes de fugas de datos entre inquilinos en SaaS multi-inquilino. Descubra cómo Zen aplica el aislamiento de inquilinos en tiempo de ejecución analizando las consultas SQL y previniendo el acceso inseguro antes de su implementación.
Las vulnerabilidades IDOR son una de las principales causas de fugas de datos entre inquilinos en aplicaciones multi-inquilino. En esta publicación, explicamos cómo Zen va más allá de la detección y aplica el aislamiento de inquilinos en tiempo de ejecución, haciendo que el acceso entre inquilinos sea imposible de implementar por accidente.
Actualizaciones de producto y empresa
La backdoor de npm permite a los hackers secuestrar los resultados de los juegos de azar
Un ataque a la cadena de suministro de npm secuestra el backend del juego para manipular los resultados de los juegos de azar
Un ataque dirigido a la cadena de suministro de npm instala una backdoor de Express, habilita el acceso remoto a SQL/archivos y reescribe los saldos de apuestas manteniendo los registros consistentes.
Descubrimos paquetes npm maliciosos que pueden modificar transacciones de juegos de azar en producción y mantener la base de datos internamente consistente después.
Vulnerabilidades y amenazas
Por qué intentar proteger OpenClaw es absurdo
Por qué intentar proteger OpenClaw es absurdo
Problemas de seguridad de OpenClaw explicados: malware en ClawHub, instancias expuestas y por qué las guías de endurecimiento no abordan el punto clave. ¿Se puede usar el agente de IA de forma segura??
Noticias
Presentamos el análisis de impacto de las actualizaciones: cuando los cambios disruptivos realmente importan a tu código
Análisis de impacto de las actualizaciones: cuando los cambios disruptivos realmente importan | Aikido
Aikido detecta automáticamente los cambios disruptivos en las actualizaciones de dependencias y analiza tu base de código para mostrar el impacto real, de modo que los equipos puedan fusionar las correcciones de seguridad de forma segura.
El Análisis de Impacto de Actualización de Aikido señala cambios disruptivos en las actualizaciones de dependencias y muestra si esos cambios realmente impactan en su código.
Actualizaciones de producto y empresa
Claude Opus 4.6 encontró 500 vulnerabilidades. ¿Qué cambia esto para la seguridad del software?
Claude Opus 4.6 encontró 500 vulnerabilidades: Qué significa para la seguridad del software
Anthropic afirma que Claude Opus 4.6 descubrió más de 500 vulnerabilidades de alta gravedad en código abierto. Esto es lo que significa para el descubrimiento de vulnerabilidades, la validación de la explotabilidad y los flujos de trabajo de seguridad en producción.
Según se informa, Claude Opus 4.6 encontró más de 500 vulnerabilidades de alta gravedad en código abierto. Este artículo examina qué cambia esto realmente en producción, dónde ayuda el razonamiento de los LLM y por qué la validación y la accesibilidad siguen determinando el impacto real en la seguridad.
Noticias
Presentamos los Aikido Expansion Packs: Valores predeterminados más seguros dentro del IDE
Aikido Expansion Packs: Valores predeterminados más seguros dentro del IDE
Los Aikido Expansion Packs añaden controles de seguridad específicos directamente dentro de tu IDE. Habilita la protección de secretos, las comprobaciones de malware en la cadena de suministro y la seguridad del código asistida por IA sin cambiar los flujos de trabajo de los desarrolladores.
Actualizaciones de producto y empresa
Informe Internacional de Seguridad de IA 2026: Qué significa para los sistemas de IA autónomos
Informe Internacional de Seguridad de IA 2026: Análisis de Aikido Security
Análisis de Aikido Security del Informe Internacional de Seguridad de la IA 2026. Examinamos los controles en tiempo de despliegue, los requisitos de validación y las líneas base de seguridad prácticas para sistemas de IA autónomos.
Más de 100 expertos contribuyeron al Informe Internacional de Seguridad de la IA 2026, documentando los riesgos de los sistemas de IA autónomos y proponiendo marcos de defensa en profundidad. Como equipo que opera sistemas de pentesting de IA en producción, analizamos dónde acierta el informe y dónde necesita mayor especificidad técnica.
Noticias
Software de autoprotección: Qué es, por qué es importante y cómo funciona
¿Qué es el software de autoprotección? Un nuevo modelo de seguridad para el software moderno.
El software de autoprotección es un modelo de seguridad donde los sistemas validan y remedian continuamente el riesgo real a medida que cambian. Descubre por qué las pruebas periódicas ya no son escalables.
El software autoasegurado trata la seguridad como una capacidad inherente del sistema, no como un proceso periódico. Este artículo explica por qué el software moderno exige un nuevo modelo de seguridad y qué lo hace posible hoy en día.
Actualizaciones de producto y empresa
SDLC seguro para equipos de ingeniería (+ lista de verificación)
SDLC Seguro Explicado: Los 5 Pilares de un Ciclo de Vida de Desarrollo de Software Seguro
Descubra qué es un SDLC Seguro, por qué es importante y los cinco pilares que todo equipo necesita. Incluye una lista de verificación práctica de SDLC Seguro para CTOs y líderes de ingeniería.
Guías y Mejores Prácticas
Las 10 Mejores Herramientas de Seguridad de IA para 2026
Las 10 mejores herramientas de seguridad de IA para 2026: Características, ventajas y comparativas
Explore las principales herramientas de seguridad de IA para 2026. Compare plataformas para revisión de código con IA, detección de vulnerabilidades, pentesting y gestión de riesgos para proteger aplicaciones modernas.
Herramientas DevSec y comparaciones
Las 10 Mejores Herramientas de Ciberseguridad para 2026
Las 10 mejores herramientas de ciberseguridad para 2026: Detección, Cloud, XDR y AppSec
Un desglose práctico de las 10 principales herramientas de ciberseguridad para 2026, que abarca endpoint, cloud, identidad, gestión de vulnerabilidades y XDR. Aprenda a elegir la herramienta adecuada para su stack y perfil de riesgo.
Herramientas DevSec y comparaciones
¿Qué es el pentesting continuo?
¿Qué es el pentesting continuo? Cómo los equipos modernos reducen el riesgo explotable
El pentesting continuo prueba automáticamente rutas de ataque reales cada vez que el software cambia, validando y corrigiendo problemas como parte del ciclo de vida de desarrollo. Descubra cómo se compara con el pentesting de IA y el manual.
El pentesting continuo trata la seguridad como un sistema vivo, no como una prueba puntual. Descubra cómo los equipos modernos lo utilizan para reducir el riesgo explotable a medida que el software cambia.
Guías y Mejores Prácticas
Confusión con npx: Paquetes que olvidaron reclamar su propio nombre
Confusión con npx: Paquetes que olvidaron reclamar su propio nombre
Reclamamos 128 nombres de paquetes npm no registrados que la documentación oficial indicaba a los desarrolladores que usaran con npx. Siete meses después: 121.000 descargas. Todos habrían ejecutado código arbitrario.
La documentación oficial indica a los desarrolladores que ejecuten `npx package-name`. Pero ¿qué ocurre si nadie ha reclamado ese nombre? Registramos 128 de ellos y observamos. 121.000 descargas en siete meses. La caída durante las vacaciones demuestra que son desarrolladores reales, no bots.
Vulnerabilidades y amenazas
Presentamos Aikido Package Health: una mejor forma de confiar en sus dependencias
Aikido Package Health: Puntuación de Salud para Paquetes de Código Abierto
Vea cuán estable y bien mantenido es realmente un paquete de código abierto. Aikido Package Health ayuda a los desarrolladores a elegir dependencias más seguras con confianza.
Actualizaciones de producto y empresa
Pentesting de IA: Requisitos mínimos de seguridad para pruebas de seguridad
¿Cuándo es seguro el pentesting de IA? Requisitos mínimos de seguridad para pruebas de seguridad
Los sistemas de pentesting de IA actúan de forma autónoma en entornos reales. Descubra cuándo es seguro utilizar el pentesting de IA, las salvaguardas técnicas mínimas requeridas y cómo evaluar las herramientas de pruebas de seguridad de IA de forma responsable.
El pentesting de IA ya es una realidad, pero las expectativas claras de seguridad no lo son. Este artículo define un estándar mínimo de seguridad para el pentesting de IA, proporcionando a los equipos una base concreta para evaluar las herramientas emergentes.
Guías y Mejores Prácticas
Extensión falsa de Clawdbot para VS Code instala ScreenConnect RAT
Extensión falsa de Clawdbot para VS Code instala ScreenConnect RAT
Una extensión maliciosa de VS Code que suplanta a Clawdbot está instalando ScreenConnect RAT en máquinas de desarrolladores.
Una extensión maliciosa de VS Code que suplanta a Clawdbot está instalando ScreenConnect RAT en máquinas de desarrolladores.
Vulnerabilidades y amenazas
Las 7 mejores herramientas de inteligencia de amenazas en 2026
Las 7 mejores herramientas de inteligencia de amenazas en 2026: reduce el ruido y céntrate en el riesgo real
Un análisis exhaustivo de las principales herramientas de inteligencia de amenazas de 2026, comparando cómo reducen la fatiga de alertas, añaden contexto y ayudan a los equipos a priorizar los riesgos de seguridad del mundo real.
Herramientas DevSec y comparaciones
Las 14 mejores extensiones de VS Code para 2026
Las 14 mejores extensiones de VS Code para 2026: productividad, pruebas, seguridad y colaboración
Una guía práctica de las mejores extensiones de VS Code para 2026, que abarca herramientas de productividad, pruebas, colaboración y seguridad que mejoran los flujos de trabajo reales de los desarrolladores.
Herramientas DevSec y comparaciones
G_Wagon: Paquete npm despliega un Stealer de Python dirigido a más de 100 carteras de criptomonedas
G_Wagon: Paquete npm despliega un Stealer de Python dirigido a más de 100 carteras de criptomonedas
El paquete npm ansi-universal-ui entrega el infostealer GWagon dirigido a más de 100 carteras de criptomonedas, credenciales de navegador y claves de la nube. Analizamos las 10 versiones mientras el atacante iteraba en tiempo real.
Vulnerabilidades y amenazas
Pentest GPT: Cómo los LLM están redefiniendo las pruebas de penetración
Pentest GPT: Cómo la IA está cambiando las pruebas de penetración
Explore cómo Pentest GPT utiliza LLM para automatizar el razonamiento de ataques, simular exploits reales y escalar las pruebas. Descubra cómo Aikido valida cada hallazgo.
Herramientas DevSec y comparaciones
¡Gracias! ¡Su envío ha sido recibido!
¡Vaya! Algo salió mal al enviar el formulario.
Junio 13, 2026
Noticias

Full Fathom Five: El contexto del lanzamiento público de la clase Mythos de Anthropic

Nunca has necesitado Mythos para detectar tus IDOR y fallos en la lógica de negocio. Un repaso a lo que Anthropic ha incluido en Fable 5, y por qué la seguridad de la información sigue siendo, en el fondo, un problema humano.

Etiquetas/

#IA

#Mythos

#AppSec

#Artículo

Junio 11, 2026
Noticias

La versión 12 de npm ofrece una de las mayores mejoras en materia de seguridad de los últimos años

La versión 12 de npm establece que los scripts de instalación sean opcionales por defecto, cerrando así la ruta de ejecución durante la instalación tras un año de problemas en la cadena de suministro de npm, desde Nx hasta Red Hat.

Etiquetas/

#NPM

#código abierto

Junio 11, 2026
Actualizaciones de producto y empresa

Aikido x Docker: menos ruido y más señal en tus contenedores

Etiquetas/
No se encontraron elementos.
Junio 10, 2026
Noticias

Se está programando en todas partes, y el dispositivo es la única constante

Los desarrolladores programan en todas partes. Los agentes de IA, los bots de Slack y los servidores MCP han convertido los dispositivos de los desarrolladores en el mayor punto ciego en materia de seguridad.

Etiquetas/

#Aikido Device Protection

Junio 10, 2026
Noticias

Las listas de materiales de seguridad (SBOM) en 2026: todo el mundo las elabora, pero nadie las utiliza

El informe de la ENISA sobre SBOM en 2026 abarca 334 organizaciones y pone de manifiesto una brecha constante entre la generación de SBOM y su uso efectivo. Esto es lo más destacado.

Etiquetas/

#SBOM

Junio 2, 2026
Noticias

Por qué el EDR y el proxy no te protegerán del malware en la cadena de suministro

Los sistemas EDR y los servidores proxy no se diseñaron para detectar malware en la cadena de suministro. Cuando el código malicioso llega a través de «npm install», parece un comportamiento normal. A continuación explicamos por qué esto es importante.

Etiquetas/

#Vulnerabilidades

#Aikido Device Protection

Mayo 28, 2026
Guías y Mejores Prácticas

Lo que MDM no puede proteger en máquinas de desarrolladores (y qué hacer al respecto)

La mayoría de los equipos de seguridad tienen MDM desplegado. El problema es que las instalaciones de npm, las extensiones de VS Code y las herramientas de codificación de IA ocurren completamente fuera de la vista de MDM. Aquí está lo que realmente está desprotegido y cómo cerrar la brecha.

Etiquetas/

#Aikido Device Protection

#Seguridad del IDE

#Seguridad de la IA

#Seguridad de la cadena de suministro de software

Mayo 27, 2026
Vulnerabilidades y amenazas

Una interfaz de usuario remota de Codex de aspecto legítimo roba secretamente tus tokens de IA

Una interfaz de usuario remota de Codex pulida, el paquete npm codexui-android, tiene un desarrollo activo y miles de usuarios semanales. Ha estado exfiltrando silenciosamente tokens de autenticación de OpenAI durante el último mes.

Etiquetas/

#Vulnerabilidades

#NPM

Mayo 23, 2026
Vulnerabilidades y amenazas

Ataque a la cadena de suministro dirigido a paquetes Laravel-Lang con un ladrón de credenciales

Los atacantes inyectaron un ladrón de credenciales en más de 200 versiones de paquetes populares de Laravel-Lang, distribuyendo un ladrón de credenciales dirigido a claves de cloud, claves SSH, navegadores, monederos de criptomonedas y más.

Etiquetas/

#Malware

Mayo 12, 2026
Noticias

La IA en la sombra es una respuesta al miedo, y prohibirla lo empeora

La IA en la sombra es una respuesta al miedo. Los empleados están ocultando las herramientas que utilizan porque están interpretando correctamente un mercado laboral que exige habilidades en IA. Aquí le explicamos por qué prohibir lo empeora y qué hacer en su lugar.

Etiquetas/

#IA

#Seguridad de la IA

#Legaltech

Mayo 12, 2026
Vulnerabilidades y amenazas

Mini Shai-Hulud está de vuelta: el gusano npm afecta a más de 160 paquetes, incluyendo Mistral y Tanstack

Etiquetas/

#Malware

Mayo 6, 2026
Guías y Mejores Prácticas

Implementación de la seguridad para desarrolladores en una organización con más de 5.000 ingenieros

La mayoría de las implementaciones de seguridad para desarrolladores fallan porque están diseñadas como despliegues de software, no como cambios culturales. Aquí está el modelo por fases en el que los CISO experimentados coinciden para solucionarlo.

Etiquetas/

#Vulnerabilidades

#AppSec

#Modelado de Amenazas

#SCA

#SAST

Actualizaciones de producto y empresa
Ver todo
Ver todo
Mayo 12, 2026
Actualizaciones de producto y empresa

Un año de Opengrep: Qué hemos construido y qué sigue

Un año después de bifurcar Semgrep, Opengrep es más rápido, soporta un análisis de taint más profundo y produce resultados consistentes y reproducibles.

#
SAST
#
open source
Abril 30, 2026
Actualizaciones de producto y empresa

Aikido se integra con AWS Kiro: Detectar en la revisión ya no es escalable

Agentes de IA escribiendo su código. Aikido se integra directamente en el flujo de trabajo agéntico de AWS Kiro para mantener la seguridad en el ciclo, automáticamente, desde la primera línea. Aikido es el primer socio de seguridad global de AWS para Kiro.

#
Anuncios
Marzo 24, 2026
Actualizaciones de producto y empresa

Aikido × Lovable: Vibe, Fix, Ship

Lovable y Aikido integran el pentesting en la plataforma, permitiendo a los desarrolladores simular ataques reales y corregir problemas antes del lanzamiento.

#
Anuncios
#
Pentesting con IA
Vulnerabilidades y amenazas
Ver todo
Ver todo
Junio 10, 2026
Vulnerabilidades y amenazas

Una vulnerabilidad crítica en phpBB, presente desde hace 10 años, afecta a decenas de millones de usuarios en miles de foros

Aikido Security una vulnerabilidad crítica en phpBB que permite eludir la autenticación sin necesidad de credenciales y que afecta a decenas de millones de usuarios. Basta con una sola solicitud HTTP para hacerse con el control de cualquier cuenta, una vulnerabilidad que llevaba presente en el código desde 2014.

#
Pentesting con IA
Junio 9, 2026
Vulnerabilidades y amenazas

Un momento, ¿qué puede hacer binding.gyp? Descubriendo el sistema de compilación más extraño de npm

Analicemos en profundidad binding.gyp, ese archivo de compilación de npm que suele pasarse por alto y que puede ejecutar código malicioso durante la instalación mediante expansiones de shell, fugas del entorno de pruebas y secuestro del compilador.

#
Malware
Mayo 21, 2026
Vulnerabilidades y amenazas

Las claves API de Google siguen funcionando después de eliminarlas

Eliminar una clave API de Google no la revoca de inmediato. Nuestras pruebas encontraron autenticaciones exitosas hasta 23 minutos después de la eliminación, y Google se ha negado a solucionarlo.

#
AppSec
#
Vulnerabilidades
Herramientas DevSec y comparaciones
Ver todo
Ver todo
Agosto 19, 2025
Herramientas DevSec y comparaciones

Las 12 mejores herramientas de Pruebas de seguridad de aplicaciones dinámicas (DAST) en 2026

Descubre las 12 mejores herramientas de Pruebas de seguridad de aplicaciones dinámicas (DAST) en 2026. Compara características, ventajas, desventajas e integraciones para elegir la solución DAST adecuada para tu pipeline de DevSecOps.

#
Herramientas
#
DAST
Julio 18, 2025
Herramientas DevSec y comparaciones

Las 14 mejores herramientas de escaneo de contenedores en 2026

Descubre las 14 mejores herramientas de análisis de contenedores en 2026. Compara características, ventajas, desventajas e integraciones para elegir la solución más adecuada para tu DevSecOps .

#
Herramientas
#
Escaneo de contenedores
Julio 17, 2025
Herramientas DevSec y comparaciones

Las 10 mejores herramientas de análisis de composición de software (SCA) en 2026

Las herramientas SCA son nuestra mejor línea de defensa para la seguridad de código abierto; este artículo explora los 10 mejores escáneres de dependencias de código abierto para 2026.

#
Herramientas
#
SCA
Guías y Mejores Prácticas
Ver todo
Ver todo
Abril 30, 2026
Guías y Mejores Prácticas

Una lista de verificación de seguridad práctica para CTOs para estar preparados para Mythos

Una lista de verificación práctica para CTOs de SaaS que navegan por un mundo con Mythos y amenazas de IA agéntica. Construida en torno a la ventaja del defensor: usted tiene el contexto que los atacantes tienen que esforzarse por obtener. Cubre los controles, las prácticas y los hábitos operativos que determinan si su equipo encuentra y corrige los problemas antes de que lo haga otra persona.

#
IA
#
Software de autoprotección
#
Anuncios
Marzo 19, 2026
Guías y Mejores Prácticas

Las pruebas de seguridad validan software que ya no existe

Los equipos modernos entregan más rápido de lo que el pentesting puede seguir el ritmo. Explore la creciente brecha de velocidad en las pruebas de seguridad y por qué los enfoques tradicionales se están quedando atrás.

#
Pentesting con IA
#
Pentesting Continuo
#
Pentesting
Marzo 6, 2026
Guías y Mejores Prácticas

Lo que el pentesting continuo realmente requiere

El pentesting continuo promete una validación de seguridad en tiempo real, pero la mayoría de las implementaciones se quedan cortas. Esto es lo que el pentesting continuo realmente requiere: desde pruebas conscientes del cambio hasta la validación de exploits y los bucles de remediación.

Asegura tu plataforma ahora

Protege tu código, la nube y el entorno de ejecución en un único sistema central.
Encuentra y corrije vulnerabilidades de forma rápida y automática.

Iniciar escaneo
Sin tarjeta
Solicitar una demo
No se requiere tarjeta de crédito | Resultados del escaneo en 32 segundos.