Seguridad

El 2 de abril de 2026 se publicó CVE-2026-23414, un fallo en el subsistema Kernel TLS (kTLS) del kernel Linux que filtra memoria del sistema cada vez que una operación de descifrado asíncrono falla a medio camino. La cola interna async_hold, encargada de retener los socket…

El 29 de abril de 2026, el equipo Xint Code de Theori publicó los detalles técnicos de CVE-2026-31431, apodada Copy Fail: una falla en el subsistema de criptografía del kernel Linux que permite a cualquier usuario local sin privilegios ganar root mediante un exploit de 732…

El 28 de abril de 2026, Wiz Research hizo pública CVE-2026-3854, una falla crítica de inyección de comandos en el protocolo interno de GitHub que permitía a cualquier usuario autenticado ejecutar código remoto en los servidores de la plataforma usando solo un cliente git…

Resumen ejecutivo: El 7 de abril de 2026, el FBI emitió una alerta pública (PSA I-260407) cosellada por la NSA y agencias de 16 países adicionales, advirtiendo que el grupo APT28 —la unidad de hackers militares del GRU ruso— está comprometiendo routers domésticos TP-Link y de…

Resumen ejecutivo: El 7 de abril de 2026, seis agencias estadounidenses —FBI, CISA, NSA, EPA, DOE y el Comando Cibernético— emitieron una advertencia urgente conjunta: hackers afiliados al régimen iraní están comprometiendo controladores industriales (PLCs) de Rockwell…

La firma de seguridad Hacktron consiguió que Claude Opus 4.6 produjera un exploit funcional contra el motor V8 de Chrome gastando solo $2,283 en API. El experimento marca el nacimiento del vibe coding aplicado a la ofensiva.

Microsoft publicó parche out-of-band el 21 de abril de 2026 para CVE-2026-40372 (CVSS 9.1) en ASP.NET Core Data Protection. Una regresión en el managed authenticated encryptor permite forjar payloads autenticados sin conocer las llaves. Afecta versiones 10.0.0 a 10.0.6 en Windows, macOS y Linux.

El 22 de abril de 2026, el paquete @bitwarden/cli 2026.4.0 estuvo 93 minutos como versión maliciosa en npm. El vector: la imagen Docker Checkmarx KICS troyanizada, ejecutada en el workflow de PRs de Bitwarden. Tercera ola de la campaña Shai-Hulud, atribuida a TeamPCP.