Apple ha lanzado una solución de software para iOS y iPadOS para solucionar una falla en los servicios de notificación que almacenaba notificaciones marcadas para eliminar en el dispositivo.

La vulnerabilidad, rastreada como CVE-2026-28950 (puntuación CVSS: N/A), se ha descrito como un problema de registro que se ha solucionado con una redacción de datos mejorada.

«Las notificaciones marcadas para eliminación podrían retenerse inesperadamente en el dispositivo», dijo Apple en un aviso.

La deficiencia afecta a los siguientes dispositivos:

• iPhone 11 y posteriores, iPad Pro de 12,9 pulgadas de 3.ª generación y posteriores, iPad Pro de 11 pulgadas de 1.ª generación y posteriores, iPad Air de 3.ª generación y posteriores, iPad de 8.ª generación y posteriores y iPad mini de 5.ª generación y posteriores – Corregido en iOS 26.4.2 y iPadOS 26.4.2
• iPhone XR, iPhone XS, iPhone XS Max, iPhone 11 (todos los modelos), iPhone SE (2.ª generación), iPhone 12 (todos los modelos), iPhone 13 (todos los modelos), iPhone SE (3.ª generación), iPhone 14 (todos los modelos), iPhone 15 (todos los modelos), iPhone 16 (todos los modelos), iPhone 16e, iPad mini (5.ª generación – A17 Pro), iPad (7.ª generación – A16), iPad Air (3.ª – 5.ª generación), iPad Air 11 pulgadas (M2 – M3), iPad Air de 13 pulgadas (M2 – M3), iPad Pro de 11 pulgadas (1.ª generación – M4), iPad Pro de 12,9 pulgadas (3.ª – 6.ª generación) y iPad Pro de 13 pulgadas (M4) – Fijo en iOS 18.7.8 y iPadOS 18.7.8

La actualización se produce semanas después de un informe de 404 Media de que la Oficina Federal de Investigaciones (FBI) de EE. UU. logró extraer de forma forense copias de los mensajes entrantes de Signal. desde el iPhone de un acusado en relación con un ataque a la Centro de detención de ICE de Prairielandincluso después de que se eliminó la aplicación, aprovechando el hecho de que se guardaron copias del contenido en la base de datos de notificaciones push del dispositivo.

Para empezar, no se sabe por qué el contenido de las notificaciones se registró en el dispositivo, pero la última actualización sugiere que fue un error. Dicho esto, no está claro cuándo se introdujo este problema y si ha habido casos anteriores en los que las autoridades hayan capturado dichos datos utilizando herramientas forenses.

Si bien Signal ya tiene una opción para evitar que el contenido de los mensajes entrantes se muestre en las notificaciones, el desarrollo destacó cómo el acceso físico a un dispositivo puede facilitar la extracción de datos confidenciales de usuarios en riesgo.

«Para la mayoría de las notificaciones de aplicaciones, no existe una forma sencilla de determinar fácilmente qué metadatos se pueden obtener de una notificación, o si la notificación no está cifrada o no», dijo la Electronic Frontier Foundation (EFF) dicho. «También es bueno reconsiderar si alguna aplicación debería enviarte notificaciones para empezar».

Para evitar que el contenido del mensaje se muestre en las notificaciones, los usuarios pueden navegar por a su perfil > Notificaciones > Mostrar y seleccione una de las siguientes opciones: «Solo nombre» o «Sin nombre ni mensaje».

«Tenga en cuenta que no es necesario realizar ninguna acción para que esta solución proteja a los usuarios de Signal en iOS», Signal dicho en una publicación en X. «Una vez que instale el parche, todas las notificaciones conservadas inadvertidamente se eliminarán y no se conservarán las notificaciones futuras de las aplicaciones eliminadas».

«Estamos agradecidos con Apple por la rápida acción aquí y por comprender y actuar sobre los riesgos de este tipo de problema. Se necesita un ecosistema para preservar el derecho humano fundamental a la comunicación privada».

Vercel reveló el miércoles que identificó un conjunto adicional de cuentas de clientes que se vieron comprometidas como parte de un incidente de seguridad que permitió el acceso no autorizado a sus sistemas internos.

La compañía dijo que hizo el descubrimiento después de ampliar su investigación para incluir un conjunto adicional de indicadores de compromiso, junto con una revisión de las solicitudes a la red Vercel y los eventos de lectura de variables de entorno en sus registros.

«En segundo lugar, hemos descubierto una pequeña cantidad de cuentas de clientes con evidencia de compromiso previo que es independiente y anterior a este incidente, potencialmente como resultado de ingeniería social, malware u otros métodos», dijo la compañía. dicho en una actualización.

En ambos casos, Vercel dijo que notificó a las partes afectadas. No reveló el número exacto de clientes afectados.

El desarrollo se produce después de que la compañía que creó el marco Next.js reconociera que la violación se originó con un compromiso de Context.ai después de que fuera utilizado por un empleado de Vercel, lo que permitió al atacante tomar el control de su cuenta de Google Workspace y luego usarla para obtener acceso a su cuenta de Vercel.

«A partir de ahí, pudieron pasar a un entorno de Vercel y posteriormente maniobrar a través de sistemas para enumerar y descifrar variables de entorno no sensibles», señaló Vercel.

Una investigación adicional realizada por Hudson Rock reveló que uno de los empleados de Context.ai fue infectado con Lumma Stealer en febrero de 2026 después de buscar scripts de granja automática de Roblox y ejecutores de exploits de juegos, lo que indica que este evento puede haber sido el «paciente cero» que desencadenó toda la cadena de acciones maliciosas.

«Ahora entendemos que el actor de la amenaza ha estado activo más allá del tiempo de esa startup. [referring to Context.ai] compromiso», dijo el director general de Vercel, Guillermo Rauch dicho en una publicación X. «La información sobre amenazas apunta a la distribución de malware a las computadoras en busca de tokens valiosos, como claves de cuentas de Vercel y otros proveedores».

No está claro si el uso de Context AI Office Suite por parte de los empleados de Vercel fue sancionado o fue un caso de IA en la sombraque se refiere al uso no autorizado de herramientas de inteligencia artificial (IA) dentro de aplicaciones SaaS sin una revisión o investigación formal de TI, lo que expone a las organizaciones a riesgos no deseados. Desde entonces, AI Office Suite ha sido obsoleto por Contexto.ai.

«Las integraciones de OAuth son útiles porque reducen la fricción», afirmó Tanium. «También son peligrosos porque pueden heredar la confianza del usuario y de la organización. Cuando los atacantes abusan de una integración aprobada, pueden evitar algunos de los controles en los que confían los equipos para comprometer directamente la cuenta».

«Lo que destaca operativamente es menos el volumen de datos expuestos y más la velocidad y la capacidad de los atacantes para enumerar los entornos internos antes de la detección. Eso cambia el trabajo de los defensores. El desafío pasa de la prevención a la rápida determinación del alcance y la reducción del radio de explosión».

Las instituciones gubernamentales de Mongolia se han convertido en el objetivo de un grupo de amenaza persistente avanzada (APT, por sus siglas en inglés) previamente indocumentado y alineado con China, al que se sigue como TuzaSusurro.

«El grupo maneja una amplia gama de herramientas escritas en su mayoría en Go, utilizando inyectores y cargadores para implementar y ejecutar varias puertas traseras en su arsenal», dijo la empresa eslovaca de ciberseguridad ESET. dicho en un informe compartido con The Hacker News. «GopherWhisper abusa de servicios legítimos, en particular Discord, Slack, Microsoft 365 Outlook y file.io para la comunicación y la exfiltración de comando y control (C&C).

El grupo fue descubierto por primera vez en enero de 2025 tras el descubrimiento de una puerta trasera nunca antes vista con nombre en código LaxGopher en un sistema perteneciente a una entidad gubernamental de Mongolia. También se descubren como parte del arsenal del actor de amenazas otras familias de malware, en su mayoría desarrolladas utilizando Golang para recibir instrucciones del servidor C&C, ejecutarlas y enviar los resultados.

El actor de amenazas también utiliza una herramienta de recopilación de archivos para recopilar archivos de interés y extraerlos en formato comprimido al archivo.[.]io para compartir archivos y una puerta trasera en C++ que ofrece control remoto sobre hosts comprometidos.

Los datos de telemetría de ESET muestran que alrededor de 12 sistemas asociados con la institución gubernamental de Mongolia fueron infectados por las puertas traseras, y el tráfico C&C de los servidores Discord y Slack controlados por el atacante indica docenas de otras víctimas.

Actualmente se desconoce exactamente cómo obtiene GopherWhisper el acceso inicial a las redes de destino. Pero a un punto de apoyo exitoso le siguen intentos de implementar una amplia gama de herramientas e implantes.

• JabGopherun inyector que ejecuta la puerta trasera LaxGopher («whisper.dll»).
• LaxGopheruna puerta trasera basada en Go que utiliza Slack para C2 para ejecutar comandos a través de «cmd.exe» y publicar los resultados en el canal de Slack, así como descargar malware adicional.
• Gopher compactouna utilidad de recopilación de archivos basada en Go lanzada por LaxGopher para filtrar archivos de interés por extensiones (.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt y .pptx), comprimirlos en archivos ZIP, cifrar los archivos usando AES-CFB-128 y exfiltrarlos en un archivo.[.]yo.
• RataGopheruna puerta trasera basada en Go que utiliza un servidor privado de Discord para recibir mensajes de C&C, ejecutar comandos y publicar los resultados en el canal de Discord configurado, así como cargar y descargar archivos desde un archivo.[.]yo.
• SSLORPuertauna puerta trasera basada en C++ que utiliza OpenSSL BIO para la comunicación a través de sockets sin formato en el puerto 443 para enumerar unidades, realizar operaciones de archivos y ejecutar comandos basados ​​en la entrada de C&C a través de «cmd.exe».
• AmigoEntregauna DLL maliciosa que sirve como cargador e inyector para BoxOfFriends.
• cajadeamigosuna puerta trasera basada en Go que utiliza la API de Microsoft Graph para crear borradores de correos electrónicos para C2 usando credenciales codificadas, con la primera cuenta de Outlook creada para este propósito («barrantaya.1010@outlook[.]com») creado el 11 de julio de 2024.

«La inspección de la marca de tiempo de los mensajes de Slack y Discord nos mostró que la mayor parte de ellos se enviaban durante el horario laboral, es decir, entre las 8 am y las 5 pm, lo que coincide con la hora estándar de China», dijo el investigador de ESET Eric Howard. «Además, la configuración regional para el usuario configurado en los metadatos de Slack también se configuró en esta zona horaria. Por lo tanto, creemos que GopherWhisper es un grupo alineado con China».