Publicado: 23/09/2025

¡Llegó el Hacknews! Esta semana Chrome ejecuta código sin pedir permiso, los hackers se hacen pasar por TI. Ah, y alguien filtró toda la base de asistentes de un evento. Casual.

Estás navegando tranquilo y si otra vez Chrome te pide que actualices, todo porque los ciberdelincuentes están aprovechando un fallo en Chrome para ejecutar código en tu máquina sin que te des cuenta. Eso es lo que está ocurriendo con la vulnerabilidad crítica CVE-2025-38897, ya explotada en ataques reales.

Google lanzó un parche de emergencia para Chrome (y todos los navegadores basados en Chromium como Edge, Brave u Opera). La falla está en el motor V8 de JavaScript y permite ejecución remota de código.

Si usas Chrome en tu empresa (o de forma personal), actualiza de inmediato. Ve a Menú > Ayuda > Acerca de Google Chrome y asegúrate de tener la última versión.

Imagina que estás contratando un “experto” en ciberseguridad para reforzar tu empresa… pero en realidad es un hacker infiltrado. Los ciberdelincuentes están entrando a empresas haciéndose pasar por staff de IT con identidades robadas y deepfakes. Una vez contratados, instalan backdoors y roban datos.

Pero también pasa del otro lado: candidatos reales reciben entrevistas falsas para intentar robarles accesos. Como contó Gastón Krasny en LinkedIn, casi lo estafan durante un proceso de “reclutamiento”.

Consejo: válida identidades tanto de quienes contratas como de quienes te entrevistan.

Asistes a un evento y de pronto, tu correo, tu nombre y tus datos terminan llegando a decenas de personas que no debían verlos. Eso fue lo que ocurrió con Colombia Tech Week, que por equivocación envió a patrocinadores y asistentes un enlace con la base de datos completa de registros del evento.

Horas después, la organización mandó un segundo correo admitiendo el error, pidiendo disculpas y solicitando que quienes descargaron o visualizaron el archivo lo eliminen de inmediato y no lo usen.

¿Por qué importa?

¿Qué hacer si te pasa algo así en tu empresa?

¿Tu equipo ya está usando IA generativa… pero nadie está hablando de los riesgos?

En nuestro primer webinar de GenIA con Seguridad, hablamos de filtraciones, alucinaciones, ataques y cómo evitar que la IA se te vuelva en contra.

¿No pudiste asistir? No te preocupes: todo está disponible.

En este artículo encuentras:

Publicado: 16/09/2025

¡Llegó el Hacknews! Actualiza Windows, revisa tu IA, y aprende cómo se organiza el cibercrimen desde adentro. Esta semana, en el Hacknews te llevamos a la consola del lado oscuro del servidor.

¿Alguna vez pensaste cómo se ve el backoffice de un grupo de hackers? Spoiler: es más organizado de lo que crees. Huntress publicó un análisis poco común, acceso directo a un servidor de comando y control (C2) en uso por criminales.

El hallazgo permitió observar cómo coordinaban campañas de phishing, gestionaban credenciales robadas y movían dinero. y bueno no es que lo quieras copiar (eso espero), pero sí que entiendas cómo trabajan para anticipar sus jugadas.

Y como este es el mes de las actualizaciones, ahora le toca a Windows, pues Microsoft descubrió 80 vulnerabilidades que ahora quedaron parchadas, entre ellas una crítica en SMB que permitía ejecución remota y otra en Edge para robo de información.

Estas fallas ya estaban siendo explotadas en ataques reales, lo que aumenta la urgencia. Si tu organización usa Windows, aplica inmediatamente las actualizaciones de septiembre, activa el monitoreo en accesos SMB y revisa tus navegadores corporativos.

Usar Cursor AI para programar era como tener un copiloto… hasta que resultó que también podía ser copiloto del atacante.

Un bug permitía que alguien ejecutara código malicioso directamente desde tus proyectos. La buena: ya lo corrigieron. La mala: si no actualizas, puedes estar regalando acceso a tu pipeline de desarrollo.

¿Tu infraestructura cloud con AWS te está costando tiempo, esfuerzo operativo y dinero en servidores sin usar? AWS ECS sobre EC2 puede estar limitando más de lo que crees.

A nosotros nos pasaba. Teníamos clústeres que requerían parches, monitoreo constante y escalaban mal. Encima, pagábamos por instancias que pasaban medio día sin usarse.

Así que lo hicimos simple: migramos todo a Fargate. Producción, staging y desarrollo. ¿Y qué ganamos?

En este artículo te contamos cómo lo hicimos y todo lo que aprendimos en el camino.

Todavía hay cupos para el AWS Summit Colombia (¡y es gratis!) 🚀

El reto es simple: arma plan con tu equipo, asistan al evento y pasen por nuestro stand de Hackmetrix.

🎁 Llevaremos nuestra máquina de peluches desde la Hackers House

Regístrate aquí: https://aws.amazon.com/es/events/summits/bogota/

Publicado: 09/09/2025

¡Llegó el Hacknews! Android con 120 fallas críticas, GitHub con plantillas maliciosas y npm instalando malware que roba cripto.

Y si eso no te asusta, esta semana te retamos a explotar una SQLi en un entorno real (pero seguro), ¿aceptas?

¿Otra vez actualizar? ¡Sí señor! Y ahora es el turno de Android, pues Google corrigió 120 vulnerabilidades (incluidas dos de día cero que estaban siendo explotadas) en su parche de seguridad de septiembre 2025 y es de prioridad máxima si usas dispositivos Android en tu empresa.

Cómo protegerte: actualiza ya a nivel Android 2025-09-05 o superior, activa Google Play Protect y evita instalar apps desde fuentes no oficiales. Y por supuesto comparte esta información con tu equipo y ayuda a concientizar a tu familia que no es tan tech, pero puede estar en riesgo.

¿Cuánto confías en las respuestas de Grok? Un nuevo ataque, llamado "Grokking", explota el asistente de IA de X para difundir enlaces peligrosos a millones de personas. Los enlaces están ocultos en metadatos de anuncios y son amplificados por Grok, apareciendo como legítimos.

Cómo protegerte: no confíes ciegamente en respuestas de la IA, revisa cuidadosamente los enlaces y evita hacer clic en respuestas automáticas, incluso si vienen de una cuenta "oficial".

Hiciste npm install y falló con “fetch is not defined”? No era tu código: comprometieron la cuenta de qix y publicaron versiones maliciosas de chalk, strip-ansi, color-convert, etcétera. El payload era un cripto-clipper que intercepta fetch/XMLHttpRequest, cambia direcciones de wallet por las del atacante (parecidas a simple vista) y secuestra transacciones si detecta billeteras como MetaMask.

Siempre hablamos de vulnerabilidades y hackeos, así que esta semana te traemos algo distinto: la posibilidad de poner en práctica lo que sabes.

La Web Security Academy de PortSwigger tiene laboratorios gratuitos y esta vez te retamos a explotar una SQL Injection básica en un entorno seguro:

Haz clic aquí y acepta el reto: https://portswigger.net/web-security/sql-injection/lab-retrieve-hidden-data

Tu misión:

¡Suerte! Nos vemos en el próximo Hacknews 😉

Publicado: 03/09/2025

Si eres del team “posponer actualización”, este Hacknews es para ti. Chrome, WhatsApp y tu IA están en la mira y los ataques no esperan.

Nos vemos el jueves en el último webinar de la serie GenIA con seguridad:
👉 https://lu.ma/93mfa1gc

Abres tu navegador como siempre y una página activa un exploit sin que te des cuenta. Así funciona CVE-2025-5419, la nueva vulnerabilidad 0-day con prueba de concepto ya publicada y usada en ataques reales.

Si usas Chrome, Edge o Brave, actualiza hoy mismo, si otra vez hay que actualizar. No lo procrastinar más, es simple….Ve a Configuración > Ayuda > Acerca de Google Chrome y asegúrate de tener la versión 137.0.7151.68 o superior.

Hola Apple fan, ahora un simple mensaje de WhatsApp podría comprometer tu iPhone o Mac, sin que tocaras nada. Si el iPhone también puede tener vulnerabilidades y está afectaba a la sincronización de mensajes vinculados y ya fue parcheada en las versiones más recientes.

Así que si, actualiza de inmediato: iOS a la 2.25.21.73, Business y Mac a la 2.25.21.78. Y recuerda, mantén siempre las apps críticas en su última versión.

Recibes una imagen normal, pero al redimensionarla un sistema de IA ejecuta comandos ocultos. Investigadores demostraron cómo esta técnica puede engañar a asistentes como Google Gemini y provocar fugas de datos o ejecuciones no autorizadas.

Si tu empresa usa IA en producción, revisa cómo procesan imágenes los modelos, evita que se ejecuten tareas automáticamente sin revisión y crea políticas para el uso de la IA. Te esperamos en el webinar gratuito para gobernar la IA, antes de que te gobierne a t.

Si en el reto anterior entendimos cómo hackean a tu IA, ahora toca dar el siguiente paso: protegerla desde dentro de tu empresa.

Esta semana el reto es asistir y llevar a tu CISO o al encargado de seguridad y compliance al tercer webinar de la serie GenIA con seguridad:

👉 https://lu.ma/93mfa1gc

📅 Gobierna tu IA con ISO 42001 - Jueves 4 de septiembre

💡Te esperamos este jueves con ese colega que siempre está pensando en auditorías, marcos normativos y cómo blindar a la empresa frente a riesgos legales y de seguridad: 👉 https://lu.ma/93mfa1gc

Las universidades en LATAM están bajo ataque. Phishing, ransomware y configuraciones expuestas han afectado desde México hasta Argentina, interrumpiendo clases, exámenes y operaciones clave.

¿El problema? La falta de controles y pruebas de seguridad básicas está dejando puertas abiertas por todos lados. En este artículo te contamos por qué las universidades están en la mira y cómo pueden protegerse.

📖 Lee el artículo completo acá