Publicado: 28/01/2026

Todos parecen inofensivos hasta que dejan de serlo. En el Hacknews de hoy, te mostramos cómo las herramientas más cotidianas se convierten en tu mayor riesgo cuando falta control y visibilidad.
​

Un día abres una planilla aparentemente normal que permite ejecutar código en tu servidor y es una vulnerabilidad crítica en Grist-Core que permite ejecución remota de código a través de fórmulas maliciosas en hojas compartidas.
La falla aprovecha cómo Grist maneja el sandbox de Pyodide: si tu instancia usa ese modo, un atacante puede insertar comandos dañinos en una celda que no parece sospechosa y comprometer el servidor completo al abrir o procesar dicha hoja. El riesgo está en confiar en archivos “inofensivos” y no mantener las herramientas actualizadas. Como solución, actualiza Grist, revisa configuraciones de sandbox y limita el acceso a documentos compartidos.

Si mandas un solo mensaje o hasta un archivo en WhatsApp puede ser suficiente para comprometer tu cuenta. Para reducir ese riesgo, WhatsApp comenzó a desplegar un nuevo modo de seguridad tipo “lockdown”, pensado para frenar ataques dirigidos y spyware.
Esta función endurece automáticamente la configuración de la cuenta. Está orientada a perfiles de alto riesgo, pero cualquier usuario puede activarla. Si usas WhatsApp para trabajo o manejas información sensible, activa este modo de seguridad y limita interacciones con contactos desconocidos. En mensajería, menos funciones abiertas significa menos riesgos.

Un día te levantas y descubres que tus credenciales están en una base de datos abierta en internet, sin cifrado ni contraseña. No porque Netflix, TikTok o Google hayan sido hackeados directamente, sino porque alguien almacenó mal millones de usuarios y contraseñas recolectados de filtraciones previas. Eso fue lo que ocurrió con más de 140 millones de cuentas expuestas públicamente.
Este tipo de filtraciones alimenta fraudes, robo de cuentas y accesos no autorizados meses después. Como recomendación rota contraseñas, evita reutilizarlas, usa gestores seguros y habilita autenticación multifactor en todos los servicios críticos.

¿Tu empresa ya usa agentes de IA… pero nadie sabe quién los aprobó ni qué accesos tienen?
Ese es el nuevo problema: los AI agents no encajan en los modelos tradicionales de IAM. No son personas, no son cuentas normales y, aun así, acceden a datos, ejecutan acciones y toman decisiones.
​¿El riesgo?
Permisos amplios, sin dueño claro, sin revisiones y con acceso persistente. Un punto ciego perfecto para errores… o abusos.

Si estás adoptando IA autónoma, este artículo deja claro por qué hay que repensar aprobaciones, responsabilidad y control antes de que sea tarde.
​

Léelo acá.

Publicado: 21/01/2026

¡Llegó el Hacknews! Esta semana el patrón se repite, herramientas que “solo ayudan” terminan moviendo datos. Prompt injection en archivos, invitaciones de calendario y mensajes en LinkedIn.

Subes un archivo para que una IA te ayude a ordenarlo… y que, sin avisarte, termina enviando otros documentos de tu equipo a un tercero. Eso es lo que investigadores demostraron con Claude Cowork, la herramienta de IA de Anthropic para trabajar con archivos, demostró poder filtrar documentos automáticamente mediante prompt injection.

Un atacante puede esconder instrucciones maliciosas dentro de un archivo para que la IA suba información sensible sin pedir confirmación al usuario.

El caso expone un riesgo claro: darle acceso a archivos locales a una IA también es darle poder para mover datos. Evita conectar herramientas de IA a carpetas sensibles, limita permisos por defecto y trata archivos externos como posibles vectores de ataque. Con IA, el problema ya no es solo qué preguntas haces, sino qué lee la IA por ti.

Aceptas un mensaje “normal” en LinkedIn y, sin saberlo, terminas con malware en tu sistema. Eso es exactamente lo que están haciendo los atacantes: utilizan mensajes directos en LinkedIn para enviar enlaces a archivos maliciosos que, al descargarse, instalan malware capaz de robar credenciales, ejecutar código y comprometer máquinas corporativas.

La táctica se basa en ingeniería social dirigida, perfiles falsos o comprometidos establecen una conexión profesional, luego envían un archivo o link que parece legítimo y una vez ejecutado, el malware hace su trabajo. Refuerza la educación sobre mensajes sospechosos en LinkedIn, desactiva la auto descarga de archivos desde perfiles no verificados y analiza cualquier archivo entrante con herramientas de seguridad antes de abrirlo.

¿Ya te apareció una invitación de calendario y la fuiste a revisar con tu asistente de IA? Puede que hayas estado más expuesto de lo que crees. Investigadores de seguridad revelaron una vulnerabilidad en Google Gemini que permite a un atacante esconder instrucciones maliciosas dentro de una invitación de Google Calendar, de modo que cuando consultas tu agenda con Gemini, el modelo interpreta esas instrucciones como legítimas y extrae información privada de tus reuniones o crea eventos accesibles para el atacante sin interacción explícita.

El truco funciona porque la IA parsea y actúa sobre los datos de tu calendario para respuestas útiles (por ejemplo, “¿qué tengo el martes?”), pero esa misma capacidad puede ser usada para ejecutar prompt injection disfrazadas de texto, ex filtrando información confidencial o manipulando eventos. Limita el uso de asistentes de IA con acceso directo a datos sensibles como calendarios, evita depender de integraciones automáticas con cuentas corporativas y revisa cualquier invitación sospechosa, incluso si parece legítima.

¿Tu empresa ya está en la nube… pero tu seguridad sigue confiando demasiado?

Los Cloud Threat Insights muestran una realidad clara: la mayoría de los incidentes en cloud no vienen de exploits sofisticados, sino de credenciales expuestas, permisos excesivos y malas configuraciones.

Lo que más se repite:

Si usas AWS, Azure, GCP o múltiples SaaS, este contenido es clave para entender cómo están atacando hoy y dónde suelen fallar las defensas.

📖 Léelo completo aquí.

Si quieres mejorar tu capacidad para encontrar y entender vulnerabilidades reales, este reto es para ti.

Esta semana el reto es entrar a HackSandbox y completar ejercicios prácticos:

👉 https://jpm70.github.io/HackSandbox/

Practicar habilidades de hacking ético y entender de manera práctica cómo funcionan las vulnerabilidades para poder defenderlas mejor.

Publicado: 13/01/2026

¡Llegó el Hacknews! Hoy el daño ocurre antes del cifrado. Robo masivo de datos, incidentes internos y malware que se propaga por mensajería muestran que el ataque ya avanzó cuando recién lo detectas.

Tu empresa aparece en un sitio de ransomware anunciando la filtración de terabytes de información interna. Eso es lo que enfrentó Empresas Copec, tras un ataque atribuido al grupo Anubis, que asegura haber exfiltrado 6 TB de datos antes de intentar extorsionar a la compañía.

Aunque Copec informó que el incidente fue contenido y que no afectó la operación ni a clientes, el caso vuelve a poner el foco en el riesgo de robo de datos previo al cifrado, hoy una táctica común en ransomware. Refuerza accesos remotos y VPN, segmenta redes críticas y mantén respaldos offline. El ransomware ya no solo cifra: primero roba.

¿Qué harías si tus trámites, bases de datos y sistemas de gobierno dejan de funcionar al mismo tiempo?. Eso es lo que investigan las autoridades en México tras un ciberataque que afectó a más de 20 instituciones públicas, entre ellas dependencias estatales y municipales. Aún no está claro si se trató de un hackeo externo o de una falla interna, pero el impacto fue inmediato.

El caso vuelve a poner sobre la mesa un riesgo crítico: no todos los incidentes vienen de afuera. Credenciales comprometidas, accesos mal gestionados o errores de configuración pueden causar el mismo daño que un ataque sofisticado. Refuerza controles de acceso, aplica autenticación multifactor y audita permisos internos. En ciberseguridad, el enemigo no siempre está fuera de la organización.

¿Te llega un ZIP por WhatsApp que parece inocente… y terminas infectado? Una campaña maliciosa conocida como Boto Cor-de-Rosa usa WhatsApp Web para enviar automáticamente archivos ZIP a los contactos de la víctima, y cuando se abren se instala el malware bancario Astaroth.

Este código malicioso no solo roba credenciales, sino que se propaga como un gusano entre contactos, aprovechando la enorme popularidad de la app, sobre todo en Brasil.

Alerta a los equipos sobre tratar con extrema precaución los archivos recibidos por mensajería, incluso si parecen venir de personas conocidas. Evita abrir ZIP u otros adjuntos y mantiene el antivirus actualizado para detectar instalaciones silenciosas.

¿Aprendes de tus incidentes… o aprendes de los ataques que sí lograron entrar?

Un análisis reciente de cómo los atacantes comprometen redes revela que no solo se trata de qué explotan, sino de cómo lo hacen repetidamente: los mismos pasos, las mismas técnicas y, sobre todo, los mismos errores de defensa.

🔍 Lo que deberías tomar en serio:

Si tu equipo está construyendo defensas basadas en “mejores prácticas” sin revisar cómo atacan realmente hoy, este artículo te va a dar perspectiva para cerrar esos huecos.

📖 Léelo completo aquí.

En un mundo cada vez más conectado, la seguridad online no es solo para especialistas: es para todas las personas de tu equipo.

Esta semana el reto es jugar y completar Interland

👉 https://beinternetawesome.withgoogle.com/en_us/interland

Un juego interactivo de Google que enseña los pilares de la seguridad digital:

Elevar la conciencia digital de todo el equipo y reforzar prácticas seguras.

Publicado: 06/01/2026

¡Llegó el Hacknews! Hoy los ataques no se ven sospechosos: llegan desde dominios legítimos, se cuelan como extensiones “oficiales” y roban sesiones sin necesidad de contraseñas. Este inicio de año, el mayor riesgo es asumir. Valida accesos, activa MFA y limita permisos.

¿Te llegó un correo con formato oficial de Google notificándote algo “importante”? Esta vez no estabas paranoico: ciberdelincuentes abusaron de Google Cloud Application Integration para enviar casi 10.000 emails falsos desde direcciones legítimas y engañar a empresas para que ingresaran sus credenciales en páginas clonadas.

Los correos parecían alertas reales (como “tienes un nuevo mensaje de voz” o “acceso compartido a un archivo”), lo que hizo que muchos los abrieran sin sospechar. Al hacer clic, los enlaces redirigían primero a servicios confiables de Google para evadir filtros y luego a páginas de inicio de sesión falsas que capturaban tus credenciales de Microsoft 365.

Entras a Discord y al mismo tiempo alguien toma control de tu cuenta y roba todo lo que tienes guardado… Eso es exactamente lo que puede hacer VVS Stealer, un nuevo malware de tipo infostealer dirigido a usuarios de Discord.

Este malware, escrito en Python y ofuscado con herramientas como PyArmor para evadir detección, extrae tokens de Discord, intercepta sesiones activas e incluso captura datos del navegador como contraseñas, cookies y autofill. También logra persistencia al iniciarse con el sistema y muestra mensajes falsos para engañar al usuario.

Si tus equipos usan Discord, restringe el uso de clientes no autorizados, despliega soluciones EDR que detecten comportamiento anómalo y capacita a tus colaboradores sobre los riesgos de descargar enlaces o builds promocionados en grupos no oficiales.

¿Creías que instalar una extensión útil como VPN, tema oscuro o herramienta de productividad era inofensivo? Resulta que muchas de esas extensiones estaban ocultando malware o funciones maliciosas que aprovecharon la confianza de los usuarios y las tiendas oficiales para infiltrarse en millones de navegadores.

Especialistas en seguridad han detectado campañas como RedDirection (al menos 18 extensiones infectadas que comprometieron a más de 2.3 millones de usuarios) y otra red aún mayor conocida como ShadyPanda, donde cientos de extensiones aparentemente inocuas acumulaban reputación durante años antes de incorporar código malicioso mediante actualizaciones silenciosas.

Revisa las extensiones instaladas en tu navegador (especialmente Chrome y Edge), elimina cualquier complemento que no sea estrictamente necesario o cuyo desarrollador no esté verificado, limita por políticas corporativas la instalación de nuevas extensiones.

¿Crees que tienes tus identidades bajo control… o solo estás viendo lo que tu IAM alcanza a mostrar?

Eso es Identity Dark Matter: identidades, accesos y permisos que existen fuera del gobierno formal. Cuentas huérfanas, service accounts, APIs, bots, agentes de IA y apps que nadie integró bien… pero que siguen teniendo acceso.

Porque ahí viven los puntos ciegos: credenciales olvidadas, permisos excesivos y accesos que nadie monitorea. Y justo ahí es donde entran los atacantes.

La idea clave del artículo es clara:

👉 El problema ya no es solo “gestionar identidades”, sino tener visibilidad continua sobre todo lo que accede a tus sistemas, incluso lo que no sabías que existía.

Si usas SaaS, cloud, automatizaciones o IA, este tema no es teórico: es riesgo real.

📖 Léelo acá y revisa tu lado oscuro de identidad.

Si tu equipo ya está usando IA generativa, este reto es para aprender a pensar como atacante y proteger mejor tus modelos.

Esta semana el reto es completar el room BankGPT de TryHackMe:

👉 https://tryhackme.com/room/bankgpt

Entender riesgos reales de IA generativa y llevar aprendizajes prácticos a producción.