Bienvenido a nuestro blog.

npm v12 ofrece una de las mayores mejoras de seguridad en años

Aikido x Docker: menos ruido, más señal en tus contenedores

Aikido es compatible con Docker Hardened Images con VEX

Escanea imágenes Docker Hardened en Aikido con filtrado VEX automático para CVEs no explotables.

El código se escribe en todas partes, y el dispositivo es la única constante

El Código Se Escribe En Todas Partes y el Dispositivo Es la Única Constante | Aikido Security

Los desarrolladores están programando en todas partes. Los agentes de IA, los bots de Slack y los servidores MCP han convertido el dispositivo del desarrollador en el mayor punto ciego de seguridad.

SBOMs en 2026: Todo el mundo los genera, nadie los usa

SBOMs en 2026: Todo el mundo los genera, nadie los utiliza | Aikido Security

El informe de adopción de SBOM de ENISA de 2026 cubre 334 organizaciones y revela una brecha constante entre la generación de SBOMs y su uso real. Esto es lo que destacó.

El crate de Rust comprometido onering realiza exfiltración de código

El crate de Rust onering comprometido v1.4.1 en crates.io incluía un build.rs malicioso que exfiltra el diff de su último commit a un endpoint de Sentry alojado cada vez que compila.

Vulnerabilidad crítica de 10 años en phpBB que afecta a decenas de millones de usuarios en miles de foros

Vulnerabilidad Crítica de phpBB: Bypass de Autenticación + RCE Desde 2014

Espera, ¿qué puede hacer binding.gyp? Explorando el sistema de compilación más extraño de npm

¿Qué es AI SAST?

Las 5 mejores alternativas a Tenable Nessus en 2026

Las 5 mejores alternativas a Tenable Nessus en 2026 | Aikido Security

Por qué EDR y los proxies no le salvarán del malware de la cadena de suministro

Deja paso, Mythos. Aquí llega... prácticamente cualquier otro modelo con un buen harness

Deja paso, Mythos. Aquí llega cualquier modelo con un buen harness.

Mythos tiene ventajas reales en la construcción de cadenas de explotación. Pero para la mayoría del trabajo de AppSec, el harness alrededor del modelo importa más que el modelo que elijas.

Paquetes npm de Red Hat comprometidos para propagar un gusano de robo de credenciales

Lo que MDM no puede proteger en máquinas de desarrolladores (y qué hacer al respecto)

Lo que MDM no puede proteger en máquinas de desarrolladores

Las mejores alternativas a GitGuardian para el escaneo de secretos en 2026

Una interfaz de usuario remota de Codex de aspecto legítimo roba secretamente tus tokens de IA

Aikido vs XBOW: 58% más vulnerabilidades encontradas en un benchmark independiente

Por qué las máquinas de los desarrolladores son ahora el objetivo número uno de los ataques a la cadena de suministro

Por qué las máquinas de los desarrolladores son el objetivo n.º 1 de los ataques a la cadena de suministro | Aikido

Equipos de Omnea, Cognism, Glasswall, Raisin y el sector público del Reino Unido revelan por qué EDR y MDM no detectan lo que realmente ocurre en las máquinas de los desarrolladores.

Ataque a la cadena de suministro dirigido a paquetes Laravel-Lang con un ladrón de credenciales

5 alternativas a Gitleaks y por qué son mejores

5 alternativas a Gitleaks para un mejor escaneo de secretos en 2026

¿Busca una alternativa a Gitleaks? Comparamos Betterleaks, TruffleHog, Aikido, GitHub Advanced Security y Spectral para que pueda encontrar el mejor escáner de secretos para su equipo.

El Salvaje Oeste de las extensiones de VS Code y cómo una extensión envenenada vulneró GitHub

GitHub comprometido a través de una extensión maliciosa de VS Code: por qué los dispositivos de los desarrolladores son el verdadero objetivo

Brecha en GitHub a través de una extensión de VS Code | Ataque a la Cadena de Suministro de Desarrolladores 2026

El paquete «durabletask» de Microsoft en PyPi ha sido comprometido. ¡Mini Shai Hulud ataca de nuevo... otra vez!

Mini Shai-Hulud ataca de nuevo: un gusano npm compromete cientos de paquetes @antv

Mini Shai-Hulud ataca de nuevo: un gusano de npm compromete cientos de paquetes @antv

Pentesting vs. red teaming: ¿cuál es la diferencia?

Pentesting vs. Red Teaming: ¿Cuál es la diferencia?

¿No está seguro de si necesita un pentest o un engagement de red team? Esta guía desglosa las diferencias clave, cuándo usar cada uno y cómo la IA está cambiando ambos.

Las claves API de Google siguen funcionando después de eliminarlas

Las claves de API de Google siguen funcionando después de eliminarlas, el tiempo suficiente para ser explotadas

Eliminar una clave API de Google no la revoca de inmediato. Nuestras pruebas encontraron autenticaciones exitosas hasta 23 minutos después de la eliminación, y Google se ha negado a solucionarlo.

Eliminar una clave API de Google no la revoca de inmediato. Nuestras pruebas encontraron autenticaciones exitosas hasta 23 minutos después de la eliminación, y Google se negó a solucionarlo.

La IA en la sombra es una respuesta al miedo, y prohibirla lo empeora

Por qué los riesgos de la IA en la sombra comienzan con el miedo (y prohibirla los empeora)

Los empleados no utilizan herramientas de IA no aprobadas para causar problemas. Tienen miedo de quedarse atrás. Aquí explicamos por qué prohibir la IA en la sombra aumenta su riesgo de seguridad y qué hacer en su lugar.

La IA en la sombra es una respuesta al miedo. Los empleados están ocultando las herramientas que utilizan porque están interpretando correctamente un mercado laboral que exige habilidades en IA. Aquí le explicamos por qué prohibir lo empeora y qué hacer en su lugar.

Mini Shai-Hulud está de vuelta: el gusano npm afecta a más de 160 paquetes, incluyendo Mistral y Tanstack

Mini Shai-Hulud ha vuelto, comprometiendo 169 paquetes npm de TanStack, UiPath, Squawk y otros para robar secretos de desarrolladores y CI/CD, y luego propagarse a través de flujos de trabajo de publicación de confianza.

La lista de verificación de seguridad completa de GitHub Actions

Lista de verificación de seguridad para GitHub Actions

Las malas configuraciones de GitHub Actions han estado detrás de algunos de los mayores ataques a la cadena de suministro de 2025 y 2026. Aquí te explicamos qué salió mal y cómo evitar que le suceda a tu organización.

Las malas configuraciones de GitHub Actions han estado detrás de algunos de los mayores ataques a la cadena de suministro de 2025 y 2026. Aquí tiene una lista de verificación práctica sobre cómo protegerse de ellos.

Los mejores escáneres Top 10 OWASP en 2026 para la seguridad de aplicaciones web

La mayoría de los escáneres no cubren el Top 10 OWASP completo. Analizamos los mejores escáneres Top 10 OWASP en 2026 para que pueda elegir uno que realmente le mantenga protegido.

La mayoría de los escáneres OWASP no cubren el Top 10 completo. Esta guía desglosa las principales herramientas en 2026, lo que cada una cubre realmente y qué escáner ofrece una cobertura completa sin el ruido.

Implementación de la seguridad para desarrolladores en una organización con más de 5.000 ingenieros

Seguridad para desarrolladores a escala: Guía de implementación para CISOs

La mayoría de las implementaciones de seguridad para desarrolladores fracasan porque están diseñadas como despliegues de software, no como cambios culturales. Una guía práctica para CISOs empresariales.

La mayoría de las implementaciones de seguridad para desarrolladores fallan porque están diseñadas como despliegues de software, no como cambios culturales. Aquí está el modelo por fases en el que los CISO experimentados coinciden para solucionarlo.

Metamorfosis de la seguridad: una lista de verificación de arquitectura preparada para Mythos para ataques de IA autónomos

AppSec se ha estancado ante la complejidad moderna. El Proyecto Glasswing y la era Mythos exigen una disciplina de seguridad que opere a la velocidad de las amenazas a las que se enfrenta.

Por qué las extensiones del navegador son un riesgo de seguridad importante y qué se puede hacer al respecto

Las extensiones del navegador conllevan numerosos riesgos de seguridad, más de los que estamos dispuestos a admitir. Analizamos el alcance completo de esta amenaza y lo que tanto los individuos como las organizaciones pueden hacer al respecto.

Los mejores escáneres de CVE en 2026 para identificar vulnerabilidades conocidas

Los mejores escáneres de CVE en 2026: Comparativa por Cobertura, Inteligencia y Corrección Automática

Evaluamos los mejores escáneres de CVE en 2026 en cuanto a amplitud de cobertura, fuentes de inteligencia, relación señal/ruido y capacidad de corrección automática. Así es como se comparan y cuál es el adecuado para su stack.

No todos los escáneres de CVE están construidos de la misma manera. Comparamos las mejores opciones en 2026 en cuanto a amplitud de cobertura, fuentes de inteligencia, relación señal/ruido y capacidad de auto-fix, para que pueda encontrar la opción adecuada para su stack.

Malware encontrado en las versiones populares 2.6.2 y 2.6.3 de PyTorch Lightning, robando credenciales, monederos de criptomonedas y configuraciones de VPN como parte de la campaña Mini Shai-Hulud.

Una lista de verificación de seguridad práctica para CTOs para estar preparados para Mythos

Lista de verificación Mythos-Ready

Una lista de verificación práctica para CTOs de SaaS que navegan por un mundo con Mythos y amenazas de IA agéntica. Construida en torno a la ventaja del defensor: usted tiene el contexto que los atacantes tienen que esforzarse por obtener. Cubre los controles, las prácticas y los hábitos operativos que determinan si su equipo encuentra y corrige los problemas antes de que lo haga otra persona.

Alguien publicó cuatro versiones de un paquete falso "tanstack" en 27 minutos para robar sus archivos .env

Cuatro versiones publicadas de un paquete falso "tanstack" subidas en 27 minutos que buscan robar sus archivos .env

Un paquete npm falso "tanstack" publicó hoy cuatro versiones maliciosas en 27 minutos, exfiltrando archivos .env a través de un hook postinstall. Esto es lo que sucedió, quiénes fueron afectados y cómo rotar sus credenciales.

Aikido se integra con AWS Kiro: Detectar en la revisión ya no es escalable

Aikido x Kiro | Detectar en la revisión ya no es escalable

Agentes de IA escribiendo su código. Aikido se integra directamente en el flujo de trabajo agéntico de AWS Kiro para mantener la seguridad en el ciclo, automáticamente, desde la primera línea. Aikido es el primer socio de seguridad global de AWS para Kiro.

Mini Shai-Hulud ataca paquetes npm de SAP con un ladrón de secretos basado en Bun

Paquetes npm de SAP comprometidos utilizan un payload de preinstalación basado en Bun para robar secretos de GitHub, npm, la nube y CI, y luego se propagan a través de GitHub usando OhNoWhatsGoingOnWithGitHub.

Es hora de tratar las extensiones de navegador como vectores de ataque de la cadena de suministro

Es hora de tratar las extensiones de navegador como vectores de ataque de la cadena de suministro | Lecciones aprendidas de la brecha de Vercel

La brecha de Vercel siguió un patrón bien conocido en la industria de la seguridad, donde el código de terceros se confía implícitamente y luego se ve comprometido en la cadena de suministro. Tenemos un marco para ello. Simplemente aún no lo hemos aplicado a las extensiones de navegador. (Spoiler: Hacemos esto para las dependencias de software)

¿Ha vuelto Shai-Hulud? La CLI de Bitwarden comprometida contiene un gusano npm auto-propagable

Se ha encontrado malware en @bitwarden/cli v2026.4.0 que roba claves SSH, secretos de la nube y credenciales de herramientas de codificación de IA, y luego se propaga a través de los propios paquetes npm de las víctimas. En su interior: un gusano que se autodenomina "Shai-Hulud: The Third Coming."

Puerta trasera GPT-Proxy en npm y PyPI convierte servidores en relés LLM chinos

Una campaña de malware recién descubierta en npm y PyPI instala proxies LLM ocultos en servidores comprometidos, convirtiéndolos en nodos de retransmisión para el tráfico LLM.

XSS en Roundcube encadenado con 'cookie tossing' para acceso completo a la bandeja de entrada

Encontramos un XSS almacenado en el endpoint de adjuntos de borradores de Roundcube que, encadenado con una técnica de 'cookie tossing', otorga a un atacante acceso completo a la bandeja de entrada de una víctima. Así es como funciona la cadena de explotación y cómo se parcheó.

Presentamos Device Protection: Seguridad para Dispositivos de Desarrolladores

Aikido Device Protection: Seguridad para Dispositivos de Desarrolladores | Aikido

Los ataques a la cadena de suministro se dirigen a los dispositivos de los desarrolladores. Aikido Device Protection monitoriza cada instalación en npm, PyPI, extensiones de VS Code, extensiones de navegador y herramientas de IA.

Múltiples vulnerabilidades de cross-site scripting (XSS) en Mailcow

Múltiples vulnerabilidades XSS encontradas en Mailcow, incluyendo la toma de control de cuentas no autenticadas

El agente de pentesting de IA de Aikido encontró tres vulnerabilidades XSS en Mailcow, una de las cuales permitía a atacantes no autenticados tomar el control de cuentas de administrador. Todos los problemas han sido corregidos a partir de la versión 2026-03b.

Los agentes de pentesting de IA de Aikido encontraron tres vulnerabilidades XSS en Mailcow, un servidor de correo electrónico autohospedado ampliamente utilizado. La más grave permitía a atacantes no autenticados inyectar una carga útil en los registros de Autodiscover que se ejecutaría cuando un administrador los visualizara, permitiendo la toma de control total de la cuenta. Las tres han sido corregidas desde la versión 2026-03b.

Fuentes fiables de CVE en la era de los recortes de NIST NVD

Cambios en NIST NVD 2026: lo que los equipos de seguridad deben saber

NIST ya no enriquecerá la mayoría de los CVE. Esto es lo que cambia, lo que se rompe y lo que está por venir.

Un año de Opengrep: Qué hemos construido y qué sigue

Opengrep SAST después de un año: Análisis estático más rápido y determinista

Un año después de bifurcar Semgrep, Opengrep es más rápido, soporta un análisis de taint más profundo y produce resultados consistentes y reproducibles.

Un año después de bifurcar Semgrep, Opengrep es más rápido, más capaz y completamente abierto. Esto es lo que hemos construido y lo que sigue.

Axios CVE-2026-40175: un error crítico que... no es explotable

Axios CVE-2026-40175 está clasificado como crítico, pero en entornos reales de Node.js no es prácticamente explotable. Aquí está el porqué.

El Bug bounty no está muerto, pero el modelo antiguo está fallando

El Bug bounty está alcanzando un punto crítico a medida que la IA abruma los programas, impulsando un cambio hacia modelos de seguridad más sostenibles y centrados en la calidad.

Técnico

GlassWorm se vuelve nativo: Nuevo dropper Zig infecta cada IDE en su máquina

GlassWorm despliega un dropper nativo basado en Zig oculto dentro de una extensión falsa, comprometiendo silenciosamente VS Code, Cursor, VSCodium y otros IDEs.

Aikido Attack encuentra múltiples 0-days en Hoppscotch

Aikido Attack Encuentra 0-Days en Hoppscotch

Los agentes de pentesting de IA de Aikido descubrieron múltiples vulnerabilidades de alta gravedad en Hoppscotch, incluyendo toma de control de cuentas, XSS almacenado y fallos de control de acceso. Todos los problemas han sido parcheados.

Aikido Attack identificó tres vulnerabilidades de alta gravedad en Hoppscotch: una redirección abierta que lleva a la toma de control de cuentas, XSS almacenado y un problema de control de acceso roto que permite la inyección de solicitudes entre equipos.

El alarmismo en ciberseguridad en torno a Mythos no se corresponde con lo que observamos en la práctica

Riesgos de ciberseguridad de Anthropic Mythos: Lo que 1.000 pentests de IA realmente demuestran

El modelo Mythos filtrado de Anthropic ha desatado el pánico sobre los ciberataques impulsados por IA. Realizamos 1.000 pentests de IA. Los resultados sugieren que la amenaza es más matizada de lo que afirman los titulares.

axios comprometido en npm: cuenta del mantenedor secuestrada, RAT desplegado

Las versiones maliciosas de axios 1.14.1 y 0.30.4 fueron publicadas a través de una cuenta de mantenedor secuestrada. Una dependencia oculta despliega un RAT multiplataforma. Compruebe si está afectado y remedie la situación ahora.

Axios fue comprometido. Las versiones maliciosas de axios 1.14.1 y 0.30.4 fueron publicadas en npm después de que la cuenta del mantenedor principal fuera secuestrada. La dependencia inyectada despliega un RAT multiplataforma que se autodestruye después de la ejecución.

Aikido × Lovable: Vibe, Fix, Ship

Lovable se asocia con Aikido para llevar el pentesting a las aplicaciones Vibe-Coded

Lovable y Aikido integran el pentesting en la plataforma, permitiendo a los desarrolladores simular ataques reales y corregir problemas antes del lanzamiento.

Aikido integra el pentesting directamente en Lovable. Pruebe su aplicación simulando ataques reales y corrija los problemas antes de su lanzamiento.

CanisterWorm se arma: el wiper de Kubernetes de TeamPCP apunta a Irán

TeamPCP despliega CanisterWorm en NPM tras el compromiso de Trivy

Aikido reconocido por Frost & Sullivan con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM

Frost & Sullivan ha reconocido a Aikido con el Premio al Liderazgo en Valor para el Cliente 2026 en ASPM. Analizamos lo que los criterios de reconocimiento revelan sobre cómo está madurando el mercado de AppSec.

GlassWorm oculta un RAT dentro de una extensión maliciosa de Chrome

RAT GlassWorm entregado a través de una extensión maliciosa de Chrome (Keylogger, Robo de Cookies)

GlassWorm despliega un RAT de múltiples etapas que fuerza la instalación de una extensión maliciosa de Chrome para registrar pulsaciones de teclas, robar cookies y exfiltrar datos a través de un C2 basado en Solana.

Las pruebas de seguridad validan software que ya no existe

Por qué el Pentesting no puede seguir el ritmo: El problema de la velocidad en las pruebas de seguridad

Los equipos modernos entregan más rápido de lo que el pentesting puede seguir el ritmo. Explore la creciente brecha de velocidad en las pruebas de seguridad y por qué los enfoques tradicionales se están quedando atrás.

Un CISO de una gran empresa nos dijo que la capacidad de seguridad más importante hoy en día es la velocidad. Pero, ¿qué ocurre cuando las pruebas no pueden seguir el ritmo de la rapidez con la que cambian los sistemas?

Extensión fast-draft Open VSX Comprometida por BlokTrooper

Extensión fast-draft Open VSX Comprometida por BlokTrooper (RAT e Infostealer)

La extensión fast-draft Open VSX fue comprometida para desplegar un RAT y un infostealer de BlokTrooper a través de cargas útiles alojadas en GitHub. Se identificaron múltiples versiones maliciosas.

Glassworm ataca paquetes populares de React Native para números de teléfono

Glassworm ataca paquetes populares de números de teléfono de React Native en un nuevo ataque a la cadena de suministro

Investigadores de Aikido Security recuperaron y descifraron la cadena completa de carga útil de dos paquetes maliciosos de React Native. Esto es lo que hace el malware y qué buscar.

Glassworm está de vuelta: una nueva ola de ataques Unicode invisibles afecta a cientos de repositorios

Glassworm regresa: malware Unicode invisible encontrado en más de 150 repositorios de GitHub

El ataque a la cadena de suministro de Glassworm ha regresado. Investigadores descubrieron malware oculto en caracteres Unicode invisibles en más de 150 repositorios de GitHub, además de paquetes npm y extensiones de VS Code.

Glassworm está de vuelta con una nueva ola de ataques Unicode invisibles. Estamos rastreando una nueva campaña que compromete silenciosamente repositorios en GitHub, npm y VS Code.

Las mejores fiestas, eventos paralelos y encuentros de seguridad de RSAC 2026

Guía de fiestas y eventos de seguridad RSAC 2026 | Aikido

¿Cómo los equipos de seguridad se defienden de los hackers impulsados por IA?

La IA ha reducido drásticamente la barrera de entrada para los hackers. Esto es lo que significa para los defensores y cómo el pentesting de IA continuo cambia la ecuación.

Un solo hacker y una suscripción a Claude acaban de derribar nueve agencias gubernamentales mexicanas. La IA ha proporcionado a los atacantes una mejora de poder significativa. Los equipos de seguridad necesitan un nuevo manual de estrategias.

Presentamos Betterleaks, un escáner de secretos de código abierto del autor de Gitleaks

Betterleaks: El sucesor de Gitleaks diseñado para un escaneo de secretos más rápido

Betterleaks es un nuevo escáner de secretos de código abierto del creador de Gitleaks. Un reemplazo directo con escaneos más rápidos, detección de eficiencia de tokens, validación configurable y más.

El creador de Gitleaks lanza su sucesor. Betterleaks es un escáner de secretos de código abierto más rápido, diseñado para detectar más fugas y adaptarse a los flujos de trabajo modernos de los desarrolladores.

¿Cómo funciona el pentesting de IA en relación con el cumplimiento?

El pentesting de IA está siendo aceptado para SOC 2, ISO 27001 y HIPAA (y es probable que se añadan más). Esto es lo que realmente buscan los auditores y dónde residen las limitaciones reales.

El pentesting de IA está siendo aceptado para SOC 2, ISO 27001, HIPAA y PCI DSS. Esto es lo que los auditores realmente buscan y dónde están las limitaciones reales.

Cumplimiento

Estrategia de ciberseguridad de Trump para 2026: Del cumplimiento a la consecuencia

Estrategia de Ciberseguridad de Trump para 2026: Del Cumplimiento a la Consecuencia

La estrategia de ciberseguridad de la administración Trump para 2026 cambia el enfoque de las listas de verificación de cumplimiento a consecuencias reales para los ciberdelincuentes. Esto es lo que los CISO deben saber.

Lo que el pentesting continuo realmente requiere

Pentesting continuo: cómo funciona y qué requiere

El pentesting continuo promete una validación de seguridad en tiempo real, pero la mayoría de las implementaciones se quedan cortas. Esto es lo que el pentesting continuo realmente requiere: desde pruebas conscientes del cambio hasta la validación de exploits y los bucles de remediación.

El pentesting continuo es ampliamente debatido, pero rara vez se define con claridad. Este artículo desglosa qué es, qué no es y qué es lo que realmente requiere.

Raro, no aleatorio: Uso de la eficiencia de tokens para el escaneo de secretos

La entropía a menudo tiene dificultades con los secretos genéricos y las cadenas cortas. Analizamos cómo la eficiencia de tokens puede identificar mejor las cadenas que no se parecen a texto normal.

La entropía es excelente para detectar la aleatoriedad. Pero los secretos no siempre son aleatorios. Son simplemente cadenas que no aparecen en código o texto normal. Exploramos el uso de la tokenización BPE para medir esa diferencia.

Por qué el determinismo sigue siendo una necesidad en seguridad

El escaneo con IA encuentra lo que las reglas no detectan. El escaneo determinista lo encuentra siempre. Aquí le explicamos por qué las mejores pipelines de seguridad no eligen entre ambos.

Las herramientas de seguridad impulsadas por IA están mejorando en la detección de vulnerabilidades. Pero las herramientas deterministas ofrecen la consistencia de la que dependen las pipelines, el cumplimiento normativo y las pistas de auditoría. Analizamos qué hace bien el escaneo determinista, dónde interviene la IA y cómo ambos trabajan juntos para una seguridad eficaz.

Ingeniería

WAF vs. RASP vs. ADR

WAF vs. RASP vs. ADR: Cómo funciona la seguridad de aplicaciones en tiempo de ejecución

WAF, RASP y ADR protegen su aplicación de formas completamente diferentes. Aquí le explicamos lo que hace cada capa, dónde se queda corta y cuáles necesita.

WAF, RASP, ADR, eBPF — Aclaramos la terminología en torno a la seguridad de aplicaciones en tiempo de ejecución. Aquí le explicamos lo que hace cada capa, cómo se superponen y cómo encajan entre sí.

Guías

Presentamos Aikido Infinite: Un nuevo modelo de software de autoprotección

Aikido Infinite: Pentesting de IA continuo para cada lanzamiento

Aikido Infinite realiza pentesting de IA en cada cambio de código, valida la explotabilidad, genera parches y vuelve a probar las correcciones antes de que el código llegue a producción, haciendo realidad el software auto-protegido.

XSS/RCE persistente usando WebSockets en el servidor de desarrollo de Storybook

XSS/RCE persistente usando WebSockets en Storybook (CVE-2026-27148)

CVE-2026-27148 expone una vulnerabilidad de secuestro de WebSocket en Storybook que puede escalar a un compromiso de la cadena de suministro. Conozca la ruta de ataque, el impacto y cómo remediarlo.

Aikido Attack encontró una vulnerabilidad de secuestro de WebSocket en el servidor de desarrollo de Storybook que puede conducir a XSS persistente, ejecución remota de código y, en el peor de los casos, a un compromiso de la cadena de suministro. Explicamos cómo un atacante puede explotar esto sin ninguna interacción del usuario, y un desarrollador solo tiene que visitar el sitio web equivocado para encontrarse con este ataque.

Cómo Aikido protege los agentes de pentesting de IA por diseño

Cómo Aikido protege los agentes de pentesting de IA y previene la desviación del alcance

Descubra cómo Aikido protege los agentes de pentesting de IA con aislamiento arquitectónico, aplicación del alcance en tiempo de ejecución y controles a nivel de red para evitar la desviación de producción y la fuga de datos.

Los agentes de IA están diseñados para explorar. En ciberseguridad, esa exploración necesita límites estrictos. Este artículo explica cómo Aikido protege los agentes de pentesting de IA mediante aislamiento arquitectónico, aplicación del alcance en tiempo de ejecución y controles por capas que contienen el riesgo por diseño.

SSRF de lectura completa en Astro mediante inyección de cabecera Host

Vulnerabilidad SSRF en Astro: Inyección de cabecera Host en páginas de error SSR (CVE-2026-25545)

El agente de pentesting de IA de Aikido Security descubrió una vulnerabilidad de Server-Side Request Forgery (SSRF) en la implementación SSR de Astro. Descubre cómo la inyección de cabecera Host en páginas de error prerrenderizadas permitió el acceso completo a la red interna.

El agente de pentesting de IA de Aikido descubrió una vulnerabilidad SSRF en el adaptador Node.js de Astro. Analizaremos cómo, al inyectar una cabecera Host: maliciosa, los atacantes podrían redirigir una solicitud interna a cualquier URL en la red local.

Cómo lograr que su consejo se preocupe por la seguridad (antes de que una brecha lo obligue)

Cómo lograr que su consejo se preocupe por la seguridad antes de una brecha

Los consejos no financian la seguridad porque sea importante. Financian decisiones defendibles. Aquí le explicamos cómo enmarcar el riesgo, reducir la ambigüedad y obtener un apoyo real antes de que una brecha fuerce la situación.

Guías

¿Qué es el Slopsquatting? El ataque de alucinación de paquetes de IA que ya está ocurriendo

Slopsquatting: El ataque de alucinación de paquetes de IA que ya está ocurriendo

Los modelos de IA alucinan nombres de paquetes npm. Los atacantes los registran primero. Aquí te explicamos qué es el slopsquatting, cómo se está propagando a través de las habilidades de los agentes y cómo protegerte.

Los modelos de IA alucinan nombres de paquetes — y los atacantes los están registrando antes de que nadie se dé cuenta. El slopsquatting es la evolución del typosquatting en la era de la IA, y a diferencia de su predecesor, las protecciones existentes de npm no funcionan. Analizamos la investigación en el mundo real que demuestra que ya está ocurriendo, desde paquetes maliciosos confirmados que aún registran cientos de descargas semanales hasta un nombre de paquete alucinado que se propagó a 237 repositorios a través de archivos de habilidades de agentes de IA.

Las 6 mejores alternativas a Wiz Code

Alternativas a Wiz Code (2026): 6 herramientas comparadas y la mejor opción orientada al desarrollador

¿Busca alternativas a Wiz Code? Compare 6 herramientas en SAST, DAST, SCA, precios y experiencia del desarrollador para encontrar la mejor plataforma de AppSec para 2026.

Esta guía compara Wiz Code con seis alternativas: Aikido Security, Snyk, Checkmarx, GitHub Advanced Security, Mend y Veracode, evaluadas en cobertura, experiencia del desarrollador, triaje impulsado por IA, transparencia de precios y velocidad de despliegue. Aikido Security destaca para los equipos que buscan una plataforma centrada en el desarrollador con amplia cobertura, una reducción del 85% de falsos positivos, AutoFix con IA en SAST, IaC y contenedores, DAST nativo y precios transparentes a aproximadamente una décima parte del coste de Wiz.

Aikido reconocido como Líder de Plataforma en el Informe de Seguridad de Aplicaciones 2026 de Latio Tech

Aikido nombrado Líder de Plataforma AppSec en el Informe Latio 2026

Aikido Security reconocido como Líder de Plataforma, Innovador en pentesting de IA e Innovador en la Cadena de Suministro en el Informe AppSec 2026 de Latio Tech.

El Informe AppSec 2026 de Latio Tech nombra a Aikido como Líder de Plataforma e Innovador en IA. Esto es lo que el informe revela sobre el futuro de la seguridad de las aplicaciones.

De la detección a la prevención: cómo Zen detiene las vulnerabilidades IDOR en tiempo de ejecución

De la detección a la prevención: Zen detiene las IDOR en tiempo de ejecución | Aikido

Las vulnerabilidades IDOR son una de las causas más comunes de fugas de datos entre inquilinos en SaaS multi-inquilino. Descubra cómo Zen aplica el aislamiento de inquilinos en tiempo de ejecución analizando las consultas SQL y previniendo el acceso inseguro antes de su implementación.

Las vulnerabilidades IDOR son una de las principales causas de fugas de datos entre inquilinos en aplicaciones multi-inquilino. En esta publicación, explicamos cómo Zen va más allá de la detección y aplica el aislamiento de inquilinos en tiempo de ejecución, haciendo que el acceso entre inquilinos sea imposible de implementar por accidente.

La backdoor de npm permite a los hackers secuestrar los resultados de los juegos de azar

Un ataque a la cadena de suministro de npm secuestra el backend del juego para manipular los resultados de los juegos de azar

Un ataque dirigido a la cadena de suministro de npm instala una backdoor de Express, habilita el acceso remoto a SQL/archivos y reescribe los saldos de apuestas manteniendo los registros consistentes.

Descubrimos paquetes npm maliciosos que pueden modificar transacciones de juegos de azar en producción y mantener la base de datos internamente consistente después.

Por qué intentar proteger OpenClaw es absurdo

Problemas de seguridad de OpenClaw explicados: malware en ClawHub, instancias expuestas y por qué las guías de endurecimiento no abordan el punto clave. ¿Se puede usar el agente de IA de forma segura??

Presentamos el análisis de impacto de las actualizaciones: cuando los cambios disruptivos realmente importan a tu código

Análisis de impacto de las actualizaciones: cuando los cambios disruptivos realmente importan | Aikido

Aikido detecta automáticamente los cambios disruptivos en las actualizaciones de dependencias y analiza tu base de código para mostrar el impacto real, de modo que los equipos puedan fusionar las correcciones de seguridad de forma segura.

El Análisis de Impacto de Actualización de Aikido señala cambios disruptivos en las actualizaciones de dependencias y muestra si esos cambios realmente impactan en su código.

Claude Opus 4.6 encontró 500 vulnerabilidades. ¿Qué cambia esto para la seguridad del software?

Claude Opus 4.6 encontró 500 vulnerabilidades: Qué significa para la seguridad del software

Anthropic afirma que Claude Opus 4.6 descubrió más de 500 vulnerabilidades de alta gravedad en código abierto. Esto es lo que significa para el descubrimiento de vulnerabilidades, la validación de la explotabilidad y los flujos de trabajo de seguridad en producción.

Según se informa, Claude Opus 4.6 encontró más de 500 vulnerabilidades de alta gravedad en código abierto. Este artículo examina qué cambia esto realmente en producción, dónde ayuda el razonamiento de los LLM y por qué la validación y la accesibilidad siguen determinando el impacto real en la seguridad.

Presentamos los Aikido Expansion Packs: Valores predeterminados más seguros dentro del IDE

Aikido Expansion Packs: Valores predeterminados más seguros dentro del IDE

Los Aikido Expansion Packs añaden controles de seguridad específicos directamente dentro de tu IDE. Habilita la protección de secretos, las comprobaciones de malware en la cadena de suministro y la seguridad del código asistida por IA sin cambiar los flujos de trabajo de los desarrolladores.

Informe Internacional de Seguridad de IA 2026: Qué significa para los sistemas de IA autónomos

Informe Internacional de Seguridad de IA 2026: Análisis de Aikido Security

Análisis de Aikido Security del Informe Internacional de Seguridad de la IA 2026. Examinamos los controles en tiempo de despliegue, los requisitos de validación y las líneas base de seguridad prácticas para sistemas de IA autónomos.

Más de 100 expertos contribuyeron al Informe Internacional de Seguridad de la IA 2026, documentando los riesgos de los sistemas de IA autónomos y proponiendo marcos de defensa en profundidad. Como equipo que opera sistemas de pentesting de IA en producción, analizamos dónde acierta el informe y dónde necesita mayor especificidad técnica.

Software de autoprotección: Qué es, por qué es importante y cómo funciona

¿Qué es el software de autoprotección? Un nuevo modelo de seguridad para el software moderno.

El software de autoprotección es un modelo de seguridad donde los sistemas validan y remedian continuamente el riesgo real a medida que cambian. Descubre por qué las pruebas periódicas ya no son escalables.

El software autoasegurado trata la seguridad como una capacidad inherente del sistema, no como un proceso periódico. Este artículo explica por qué el software moderno exige un nuevo modelo de seguridad y qué lo hace posible hoy en día.

SDLC seguro para equipos de ingeniería (+ lista de verificación)

SDLC Seguro Explicado: Los 5 Pilares de un Ciclo de Vida de Desarrollo de Software Seguro

Descubra qué es un SDLC Seguro, por qué es importante y los cinco pilares que todo equipo necesita. Incluye una lista de verificación práctica de SDLC Seguro para CTOs y líderes de ingeniería.

Las 10 Mejores Herramientas de Seguridad de IA para 2026

Las 10 mejores herramientas de seguridad de IA para 2026: Características, ventajas y comparativas

Explore las principales herramientas de seguridad de IA para 2026. Compare plataformas para revisión de código con IA, detección de vulnerabilidades, pentesting y gestión de riesgos para proteger aplicaciones modernas.

Las 10 Mejores Herramientas de Ciberseguridad para 2026

Las 10 mejores herramientas de ciberseguridad para 2026: Detección, Cloud, XDR y AppSec

Un desglose práctico de las 10 principales herramientas de ciberseguridad para 2026, que abarca endpoint, cloud, identidad, gestión de vulnerabilidades y XDR. Aprenda a elegir la herramienta adecuada para su stack y perfil de riesgo.

¿Qué es el pentesting continuo?

¿Qué es el pentesting continuo? Cómo los equipos modernos reducen el riesgo explotable

El pentesting continuo prueba automáticamente rutas de ataque reales cada vez que el software cambia, validando y corrigiendo problemas como parte del ciclo de vida de desarrollo. Descubra cómo se compara con el pentesting de IA y el manual.

El pentesting continuo trata la seguridad como un sistema vivo, no como una prueba puntual. Descubra cómo los equipos modernos lo utilizan para reducir el riesgo explotable a medida que el software cambia.

Confusión con npx: Paquetes que olvidaron reclamar su propio nombre

Reclamamos 128 nombres de paquetes npm no registrados que la documentación oficial indicaba a los desarrolladores que usaran con npx. Siete meses después: 121.000 descargas. Todos habrían ejecutado código arbitrario.

La documentación oficial indica a los desarrolladores que ejecuten `npx package-name`. Pero ¿qué ocurre si nadie ha reclamado ese nombre? Registramos 128 de ellos y observamos. 121.000 descargas en siete meses. La caída durante las vacaciones demuestra que son desarrolladores reales, no bots.

Presentamos Aikido Package Health: una mejor forma de confiar en sus dependencias

Aikido Package Health: Puntuación de Salud para Paquetes de Código Abierto

Vea cuán estable y bien mantenido es realmente un paquete de código abierto. Aikido Package Health ayuda a los desarrolladores a elegir dependencias más seguras con confianza.

Pentesting de IA: Requisitos mínimos de seguridad para pruebas de seguridad

¿Cuándo es seguro el pentesting de IA? Requisitos mínimos de seguridad para pruebas de seguridad

Los sistemas de pentesting de IA actúan de forma autónoma en entornos reales. Descubra cuándo es seguro utilizar el pentesting de IA, las salvaguardas técnicas mínimas requeridas y cómo evaluar las herramientas de pruebas de seguridad de IA de forma responsable.

El pentesting de IA ya es una realidad, pero las expectativas claras de seguridad no lo son. Este artículo define un estándar mínimo de seguridad para el pentesting de IA, proporcionando a los equipos una base concreta para evaluar las herramientas emergentes.

Extensión falsa de Clawdbot para VS Code instala ScreenConnect RAT

Una extensión maliciosa de VS Code que suplanta a Clawdbot está instalando ScreenConnect RAT en máquinas de desarrolladores.

Las 7 mejores herramientas de inteligencia de amenazas en 2026

Las 7 mejores herramientas de inteligencia de amenazas en 2026: reduce el ruido y céntrate en el riesgo real

Un análisis exhaustivo de las principales herramientas de inteligencia de amenazas de 2026, comparando cómo reducen la fatiga de alertas, añaden contexto y ayudan a los equipos a priorizar los riesgos de seguridad del mundo real.

Las 14 mejores extensiones de VS Code para 2026

Las 14 mejores extensiones de VS Code para 2026: productividad, pruebas, seguridad y colaboración

Una guía práctica de las mejores extensiones de VS Code para 2026, que abarca herramientas de productividad, pruebas, colaboración y seguridad que mejoran los flujos de trabajo reales de los desarrolladores.

G_Wagon: Paquete npm despliega un Stealer de Python dirigido a más de 100 carteras de criptomonedas

El paquete npm ansi-universal-ui entrega el infostealer GWagon dirigido a más de 100 carteras de criptomonedas, credenciales de navegador y claves de la nube. Analizamos las 10 versiones mientras el atacante iteraba en tiempo real.

Pentest GPT: Cómo los LLM están redefiniendo las pruebas de penetración

Pentest GPT: Cómo la IA está cambiando las pruebas de penetración

Explore cómo Pentest GPT utiliza LLM para automatizar el razonamiento de ataques, simular exploits reales y escalar las pruebas. Descubra cómo Aikido valida cada hallazgo.

¡Gracias! ¡Su envío ha sido recibido!

¡Vaya! Algo salió mal al enviar el formulario.

Febrero 13, 2025

•

Guías y Mejores Prácticas

Mejores prácticas de seguridad de contenedores en 2026

Etiquetas/

#Análisis de Contenedores

#DevSecOps

Febrero 12, 2025

•

Guías y Mejores Prácticas

Las 10 principales mejores prácticas y estándares de seguridad de API para 2026

Etiquetas/

#API

#DevSecOps

Febrero 11, 2025

•

Guías y Mejores Prácticas

Seguridad en la nube para DevOps: Protegiendo CI/CD e IaC

Etiquetas/

#Nube

#CSPM

Febrero 11, 2025

•

Guías y Mejores Prácticas

Seguridad de API - La guía completa para 2025

Etiquetas/

#API

#DevSecOps

Enero 24, 2025

•

Actualizaciones de producto y empresa

Lanzamiento de Opengrep | Por qué bifurcamos Semgrep

Conoce Opengrep, el motor de seguridad de código abierto para desarrolladores, un fork de Semgrep. Lanzado por 10 empresas de seguridad rivales que se unen en torno al futuro de la seguridad de código abierto.

Etiquetas/

#SAST

Enero 23, 2025

•

Guías y Mejores Prácticas

Cumplimiento en la Nube: Marcos que no puedes ignorar

Etiquetas/

#Nube

#CSPM

#DevSecOps

Enero 22, 2025

•

Guías y Mejores Prácticas

Errores comunes en la revisión de código (y cómo evitarlos)

Etiquetas/

#Calidad del Código

#AppSec

Enero 15, 2025

•

Guías y Mejores Prácticas

Seguridad de contenedores - La guía para desarrolladores

Etiquetas/

#Análisis de Contenedores

#DevSecOps

Enero 14, 2025

•

Guías y Mejores Prácticas

Su cliente requiere parches de vulnerabilidad NIS2. ¿Y ahora qué?

La nueva directiva de ciberseguridad de la UE, NIS2, impone estrictos requisitos de gestión de vulnerabilidades a los proveedores de software. Las empresas deben cumplir plazos de parcheo agresivos o corren el riesgo de perder contratos y enfrentarse a sanciones. Aikido automatiza la elaboración de informes de cumplimiento y el seguimiento de vulnerabilidades para ayudar a las empresas a adaptarse sin problemas.

Etiquetas/

#Vulnerabilidades

Enero 13, 2025

•

Guías y Mejores Prácticas

Pruebas de seguridad de API: Herramientas, listas de verificación y evaluaciones

Etiquetas/

#API

#DevSecOps

Enero 9, 2025

•

Guías y Mejores Prácticas

Uso de IA generativa para pentesting: Qué puede (y qué no puede) hacer

Etiquetas/

#Pentesting

#AppSec

#IA

Enero 7, 2025

•

Guías y Mejores Prácticas

Principales amenazas de seguridad en la nube en 2025

Etiquetas/

#Nube

#CSPM

Mayo 12, 2026

•

Actualizaciones de producto y empresa

Un año de Opengrep: Qué hemos construido y qué sigue

Un año después de bifurcar Semgrep, Opengrep es más rápido, soporta un análisis de taint más profundo y produce resultados consistentes y reproducibles.

SAST

open source

Abril 30, 2026

•

Actualizaciones de producto y empresa

Aikido se integra con AWS Kiro: Detectar en la revisión ya no es escalable

Anuncios

Marzo 24, 2026

•

Actualizaciones de producto y empresa

Aikido × Lovable: Vibe, Fix, Ship

Lovable y Aikido integran el pentesting en la plataforma, permitiendo a los desarrolladores simular ataques reales y corregir problemas antes del lanzamiento.

Anuncios

Pentesting con IA

Junio 10, 2026

•

Vulnerabilidades y amenazas

Vulnerabilidad crítica de 10 años en phpBB que afecta a decenas de millones de usuarios en miles de foros

Pentesting con IA

Junio 9, 2026

•

Vulnerabilidades y amenazas

Espera, ¿qué puede hacer binding.gyp? Explorando el sistema de compilación más extraño de npm

Malware

Mayo 21, 2026

•

Vulnerabilidades y amenazas

Las claves API de Google siguen funcionando después de eliminarlas

Eliminar una clave API de Google no la revoca de inmediato. Nuestras pruebas encontraron autenticaciones exitosas hasta 23 minutos después de la eliminación, y Google se ha negado a solucionarlo.

AppSec

Vulnerabilidades

Agosto 19, 2025

•

Herramientas DevSec y comparaciones

Las 13 mejores herramientas Pruebas de seguridad de aplicaciones dinámicas DAST) en 2026

Descubre las 13 mejores herramientas Pruebas de seguridad de aplicaciones dinámicas DAST) de 2026. Compara características, ventajas, inconvenientes e integraciones para elegir la DAST más adecuada para tu DevSecOps .

Herramientas

DAST

Julio 18, 2025

•

Herramientas DevSec y comparaciones

Las 14 mejores herramientas de escaneo de contenedores en 2026

Descubre las 14 mejores herramientas de escaneo de contenedores en 2026. Compara características, ventajas, desventajas e integraciones para elegir la solución adecuada para tu pipeline de DevSecOps.

Herramientas

Escaneo de contenedores

Julio 17, 2025

•

Herramientas DevSec y comparaciones

Las 10 mejores herramientas de análisis de composición de software (SCA) en 2026

Las herramientas SCA son nuestra mejor línea de defensa para la seguridad de código abierto; este artículo explora los 10 mejores escáneres de dependencias de código abierto para 2026.

Herramientas

SCA