Threat Advisories

Los investigadores han revelado recientemente una campaña a gran escala, denominada «FortiBleed», que implica el robo y la exposición de credenciales asociadas a los cortafuegos FortiGate de Fortinet y a dispositivos SSL VPN en entornos de todo el mundo.

Un reciente incidente de seguridad relacionado con ServiceNow pone de manifiesto un riesgo significativo para las empresas que utilizan plataformas de gestión de flujos de trabajo en la nube y de servicios de TI. ServiceNow reveló que un fallo de software que afectaba a determinadas instancias de clientes permitía el acceso sin autenticación a los datos a través de un punto final de API vulnerable. Esta situación eludía de hecho los controles de autenticación, lo que permitía a terceros consultar los datos almacenados sin credenciales válidas.

Se recomienda a las organizaciones que utilicen las soluciones VPN, Mobile Access o Spark Firewall de Check Point que tomen medidas inmediatas tras confirmarse la explotación activa de CVE-2026-50751, una vulnerabilidad crítica de elusión de autenticación. Este fallo, calificado con una puntuación de gravedad alta de 9,3, afecta a entornos configurados para utilizar el protocolo de intercambio de claves obsoleto IKEv1 y permite a atacantes no autenticados obtener acceso a VPN sin credenciales de usuario válidas.

GitHub ha confirmado el acceso no autorizado y la filtración de aproximadamente 3.800 de sus repositorios de desarrollo internos. La brecha fue orquestada por el grupo de ciberdelincuentesTeamPCP, que explotó una extensión troyanizada de Microsoft Visual Studio Code (VS Code) instalada en el dispositivo de un empleado con privilegios.

La actualización del martes de parches de mayo de 2026 de Microsoft para Windows 10, KB5087544, refleja la realidad actual de la plataforma. Ahora que se encuentra firmemente en su fase de Actualizaciones de Seguridad Ampliadas, Windows 10 ya no evoluciona a través de características, pero sigue siendo protegido y mantenido activamente. Esta actualización combina un amplio conjunto de correcciones de vulnerabilidades con cambios específicos en Escritorio remoto y Arranque seguro que revelan cómo Microsoft está reforzando el control sobre la confianza y la estabilidad de los endpoints.

Fortinet ha revelado dos vulnerabilidades críticas que afectan a FortiSandbox y FortiAuthenticator y que podrían permitir la ejecución remota de código (RCE) sin autenticación en sistemas expuestos.

Trellix ha anunciado que se ha accedido sin autorización al código fuente interno de partes de su cartera de productos. El material afectado se refiere únicamente a código de desarrollo de productos y no incluye entornos de clientes ni datos de clientes. No hay indicios de modificación maliciosa de los artefactos de software liberados.

CVE 2026 31431, comúnmente conocido como "Copy Fail", es una vulnerabilidad de escalada de privilegios local de alta gravedad que afecta al kernel de Linux. El problema afecta a los kernels distribuidos por todas las principales distribuciones de Linux desde 2017 y permite a un usuario local sin privilegios obtener ejecución a nivel de raíz en el sistema host.

A finales de marzo de 2026, un actor de amenazas que operaba bajo el alias "The_Auditors" afirmó haber vulnerado BlackLine Systems, un proveedor de software de contabilidad y automatización financiera con sede en Estados Unidos. El atacante alega la exfiltración de aproximadamente 354 GB de documentos financieros y operativos confidenciales, que supuestamente suman más de 1,5 millones de registros pertenecientes no solo a BlackLine, sino también a sus clientes empresariales. En el momento de escribir estas líneas, BlackLine no ha confirmado públicamente la filtración, y las afirmaciones siguen sin verificarse. Sin embargo, varias empresas de inteligencia de ciberseguridad han evaluado las acusaciones como creíbles basándose en múltiples indicadores.

Se ha observado un nuevo y activo ataque a la cadena de suministro npm que abusa de credenciales comprometidas de mantenedores para autopropagar código malicioso a través de paquetes en el ecosistema Node.js. El malware roba material de autenticación (tokens npm, credenciales de nube, secretos CI/CD, claves SSH y datos de cartera) y utiliza cualquier token de publicación descubierto para inyectarse en paquetes adicionales propiedad del mismo mantenedor, creando una propagación lateral similar a la de un gusano.