Cisco ha lanzado actualizaciones para abordar una falla de seguridad crítica en el Controlador de Gestión Integrado (IMC) que, si se explota con éxito, podría permitir que un atacante remoto no autenticado evite la autenticación y obtenga acceso al sistema con privilegios elevados.

La vulnerabilidad, registrada como CVE-2026-20093, tiene una puntuación CVSS de 9,8 de un máximo de 10,0.

«Esta vulnerabilidad se debe al manejo incorrecto de las solicitudes de cambio de contraseña», Cisco dicho en un aviso publicado el miércoles. «Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP diseñada a un dispositivo afectado».

«Un exploit exitoso podría permitir al atacante eludir la autenticación, alterar las contraseñas de cualquier usuario en el sistema, incluido un usuario administrador, y obtener acceso al sistema como ese usuario».

Al investigador de seguridad «jyh» se le atribuye el descubrimiento y el informe de la vulnerabilidad. La deficiencia afecta a los siguientes productos independientemente de la configuración del dispositivo:

• Sistemas informáticos de red empresarial (ENCS) serie 5000: corregido en 4.15.5
• uCPE Edge Catalyst serie 8300: corregido en 4.18.3
• Servidores en rack UCS C-Series M5 y M6 en modo independiente: corregido en 4.3 (2.260007), 4.3 (6.260017) y 6.0 (1.250174)
• Servidores UCS E-Series M3: corregido en 3.2.17
• Servidores UCS E-Series M6: corregido en 4.15.3

Otra vulnerabilidad crítica parcheada por Cisco afecta a Smart Software Manager On-Prem (SSM On-Prem), que podría permitir que un atacante remoto no autenticado ejecute comandos arbitrarios en el sistema operativo subyacente. La vulnerabilidad, CVE-2026-20160 (puntuación CVSS: 9,8), se debe a una exposición involuntaria de un servicio interno.

«Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud diseñada a la API del servicio expuesto», Cisco dicho. «Un exploit exitoso podría permitir al atacante ejecutar comandos en el sistema operativo subyacente con privilegios de nivel raíz».

Se han publicado parches para la falla en Cisco SSM On-Prem versión 9-202601. Cisco dijo que la vulnerabilidad fue descubierta internamente durante la resolución de un caso de soporte del Centro de Asistencia Técnica (TAC) de Cisco.

Si bien ninguna de las vulnerabilidades ha sido explotada en la naturaleza, los actores de amenazas han aprovechado una serie de fallas de seguridad recientemente reveladas en los productos de Cisco. A falta de una solución alternativa, se recomienda a los clientes que actualicen a la versión fija para una protección óptima.

El grupo de ransomware Akira ha comprometido a cientos de víctimas durante el año pasado con un ciclo de vida de ataque bien perfeccionado que ha reducido el tiempo desde el acceso inicial hasta el cifrado de datos en menos de cuatro horas. de acuerdo a empresa de ciberseguridad Halcyon.

Akira ha estado activo desde 2023, acumulando al menos 245 millones de dólares en pagos de rescate de las víctimas hasta septiembre de 2025. El grupo cibercriminal probablemente incluya a ex miembros y afiliados del ahora desaparecido grupo de ransomware Conti, y es conocido por su pulido enfoque de la extorsión digital.

Un ejemplo principal se puede encontrar en la eficiencia del ciclo de infección de Akira, que ha reducido los tiempos de respuesta a incidentes a horas. Según Halcyon, Akira es conocido por utilizar vulnerabilidades de día cero, comprar exploits de intermediarios de acceso inicial y explotar VPN que carecen de autenticación multifactor para infectar a sus víctimas. Akira también utiliza un proceso conocido como «cifrado intermitente», mediante el cual los archivos grandes se pueden cifrar más rápido en bloques más pequeños.

«Akira es más sigiloso y menos agresivo, lo que permite que el ransomware se mueva rápidamente a través de toda la cadena de ataque del ransomware, desde el acceso inicial hasta la exfiltración y el cifrado en tan solo 1 hora sin detección», escribió Halcyon en un blog publicado el jueves. «En la mayoría de los casos, el tiempo desde el acceso inicial hasta el cifrado fue de menos de cuatro horas».

Además, si bien la mayoría de los operadores de ransomware tienden a dedicar “alrededor del 90-95 %” de su tiempo a desarrollar su malware de cifrado y del 5 al 10 % a crear descifradores, Halcyon dijo que Akira ha hecho “grandes esfuerzos para garantizar la recuperación de archivos grandes, como imágenes del servidor”, llegando incluso a guardar automáticamente archivos temporalmente con extensiones .akira personalizadas para garantizar que se puedan recuperar si se interrumpe el proceso de cifrado.

El blog de Halcyon señala que estos esfuerzos probablemente se deban menos a principios éticos que a que el grupo cree que ofrecer descifradores funcionales aumenta las posibilidades de que una empresa pague el rescate. La combinación de Akira de infección rápida y al mismo tiempo ofrece a las empresas una forma más confiable de recuperar sus datos es algo que «lo distingue de muchos operadores de ransomware».

«La capacidad del grupo para pasar del acceso inicial al cifrado completo en menos de una hora, manteniendo al mismo tiempo las garantías de recuperación que incentivan el pago de las víctimas, refleja una empresa criminal madura e impulsada por los negocios», dijo Halcyon.

Se ha observado que el grupo explota vulnerabilidades en los servidores de replicación y respaldo de Veeam, las VPN de Cisco y los dispositivos SonicWall. Al igual que otros grupos de ransomware, Akira utiliza un modelo de doble extorsión contra las víctimas, robando sus datos antes de cifrarlos y luego amenazando con publicar los datos robados en línea si las empresas no pagan.

El año pasado, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad señalaron a Akira como uno de los principales grupos criminales de ransomware del mundo, dirigido principalmente a pequeñas y medianas empresas de los sectores de fabricación, educación, TI, atención médica, financiera y agrícola.

La empresa de tecnología médica Stryker dice que ha vuelto a estar “plenamente operativa”, tres semanas después de convertirse en la víctima más destacada hasta la fecha de los piratas informáticos iraníes, quienes dijeron que atacaron a la empresa con sede en Michigan en represalia por el conflicto con Estados Unidos e Israel.

Un ataque del 11 de marzo por parte del grupo pro palestino vinculado al gobierno iraní Handala dañó el procesamiento de pedidos, la fabricación y el envío de la empresa. Más recientemente, Handala afirmó haber comprometido los datos del director del FBI, Kash Patel, aunque el FBI dijo que no se tomó información del gobierno.

«La producción avanza rápidamente hacia la capacidad máxima con disciplina y estabilidad, respaldada por sistemas comerciales, de pedidos y de distribución restaurados», escribió la compañía en una actualización en su sitio web el miércoles. «El suministro general de productos se mantiene saludable, con una fuerte disponibilidad en la mayoría de las líneas de productos, mientras continuamos satisfaciendo la demanda de los clientes y apoyando la atención al paciente».

Stryker dijo que continúa trabajando con expertos cibernéticos externos, agencias gubernamentales y socios de la industria en su investigación y recuperación.

«La atención al paciente sigue siendo nuestra máxima prioridad, con un enfoque continuo en apoyar a los proveedores de atención médica y a los pacientes a los que atienden», dijo. «Este sigue siendo un esfuerzo 24 horas al día, 7 días a la semana y la primera prioridad de toda nuestra organización».

Los piratas informáticos iraníes han estado ocupados desde que comenzaron los ataques entre Estados Unidos e Israel, pero han obtenido pocos éxitos en Estados Unidos. Handala se jactó esta semana de un ataque en el condado de St. Joseph, Indiana, donde las autoridades dijeron ellos estaban investigando un hack de su servicio de fax externo.

Esta semana, Handala también reclamó haber penetrado los sistemas de defensa aérea de Israel y filtrado documentos al respecto. Pero Handala también ha sido acusada de exagerando sus hechos.

El FBI incautaron algunos sitios web asociado con Handala el mes pasado, y el Departamento de Estado ha ofrecido una recompensa por información sobre el grupo de hackers.

The latest ThreatsDay Bulletin is basically a cheat sheet for everything breaking on the internet right now. No corporate fluff or boring lectures here, just a quick and honest look at the messy reality of keeping systems safe this week.

Things are moving fast. The list includes researchers chaining small bugs together to create massive backdoors, old software flaws coming back to haunt us, and some very clever new tricks that let attackers bypass security logs entirely without leaving a trace. We are also seeing sketchier traffic on the underground and the usual supply chain mess, where one bad piece of code threatens thousands of apps.

It is definitely worth a quick scan before you log off for the day, if only to make sure none of this is sitting in your own network. Let’s get into it.

Nothing here looks huge on its own. That’s the point. Small changes, repeated enough times, start to matter. Things that used to be hard are getting easier. Things that were noisy are getting quiet. You stop seeing the obvious signs and start missing the subtle ones.

Read it like a pattern, not a list. Same ideas showing up in slightly different forms. Systems doing what they’re designed to do—just used differently. That gap is where most problems live now. That’s the recap.

In December 2025, we shared the first-ever The State of Trusted Open Source report, featuring insights from our product data and customer base on open source consumption across our catalog of container image projects, versions, images, language libraries, and builds. These insights shed light on what teams pull, deploy, and maintain day to day, alongside the vulnerabilities and remediation realities these projects face.

Fast forward a few months, and software development is accelerating at a pace that most didn’t see coming. AI is increasingly embedded across the development lifecycle, from code generation to infrastructure automation, as models become more advanced and better at meeting the demands of modern work. This shift is expanding what teams can build and how quickly they can ship.

It is also reshaping the security landscape.

Before diving into the numbers, it’s important to explain how we perform this analysis. We examined over 2,200 unique container image projects, 33,931 total vulnerability instances, and 377 unique CVEs from December 1, 2026, through February 28, 2026. When we use terms like “top 20 projects” and “long tail projects” (as defined by images outside of the top 20), we’re referring to real usage patterns observed across our customer portfolio and in production pulls.

In this report, we noticed a few new themes that point to this shift. These themes built on the trends from our last report, ultimately showcasing the impact of increased AI-driven development both in the types of container images being used and in the number of CVEs being discovered and remediated:

• Python and PostgreSQL growth reflects AI-driven development: Python remains the most popular image (72.1% of all customers use it), and PostgreSQL saw a 73% increase in usage quarter-over-quarter, underscoring the growing adoption of a modern AI stack across various use cases.
• The modern platform stack is becoming increasingly standardized: Across Chainguard customers, language ecosystem images account for more than half of the top 25 images used in production.
• Chainguard Base is becoming a foundation for developer tooling: The chainguard-base image, a minimal distroless base image without any toolchain or apps, was the 5th most-used Chainguard image, as customers use it as a sort of “utility belt” for their specific use cases (over 75% of Chainguard customers customize at least one image).
• AI is accelerating software development and vulnerability discovery: We applied over 300% more fixes in Chainguard Containers and saw a 145% increase in vulnerabilities from last quarter, signaling the use of AI to push more code and discover more CVEs.
• The long tail continues to define real-world risk: 96% of the vulnerabilities found and remediated in Chainguard Containers occurred outside of the top 20 most popular projects—this is consistent with the findings from December.
• Compliance continues to drive adoption of trusted open source: We saw the same themes from December present here, underscored by a FIPS-compliant variant of a Chainguard container image entering the top 10 images by customer count for the first time.

Usage: What teams actually run in production

We identified multiple themes centered on the prevalence of AI in code generation across regions and industries. This prevalence leads to greater adoption of the Python language ecosystem and adjacent technologies on the usage side.

Most popular images: Python and PostgreSQL growth reflect AI-driven development

PostgreSQL usage grew 73% quarter-over-quarter

The images that saw the strongest growth this quarter closely align with the technologies driving AI adoption.

Python remains the most widely deployed image across Chainguard customers. When combining FIPS (Federal Information Processing Standards) and non-FIPS variants, 72.1% of Chainguard customers are using a Python image. This reflects Python’s role as the default language for machine learning, data pipelines, and automation. What was once concentrated in experimentation environments is now moving into production systems across industries.

Node continues to anchor application infrastructure, with 60.7% of Chainguard customers utilizing it in their environments. Together, Python and Node define the dominant runtime layer for modern applications.

The most notable change this quarter is in databases. PostgreSQL usage grew by 73% quarter over quarter, the largest increase among widely deployed images.

This growth aligns with broader trends in AI workloads. PostgreSQL is increasingly used as a foundation for vector search and retrieval-augmented generation, supported by extensions that enable embedding storage and similarity queries. As AI moves into production, databases are evolving alongside application runtimes.

The modern platform stack is converging

Over 50% of the most popular images are language ecosystems

This quarter, the data showed that production environments are converging around a consistent set of foundational components.

Language ecosystems account for more than half of the top 25 images used across customers. Python (72.1% of all customers), Node (60.7%), Java (44.4%), Go (42.8%), and .NET (27%) continue to define the runtime layer, with growth across each ecosystem.

Outside of runtimes, teams are standardizing on a familiar set of cloud-native components. Traffic management tools such as nginx and service mesh components remain widely deployed. Monitoring systems built around Prometheus continue to expand. Deployment workflows are increasingly anchored in GitOps tools such as ArgoCD and kubectl.

The result is a layered architecture that is broadly consistent across organizations. A small number of runtimes, a shared set of operational components, and a large and highly variable long tail of supporting dependencies.

Standardization is happening at the platform level, even as application-specific variation continues to grow.

Chainguard Base is becoming a foundation for developer tooling

Chainguard-base was the 5th most-deployed image by customer count

Chainguard Base is a minimal distroless base image without any toolchain or applications. It is designed to provide a secure foundation that teams can extend with only the components they need.

This quarter, it was the 5th-most-deployed image by customer count, used by 36.3% of customers across FIPS and non-FIPS variants.

Its role becomes clearer when looking at customization patterns. Across all customized repositories, 95% include added packages, and more than three-quarters of customers customize at least one image.

When organizations customize Chainguard Containers, the most frequently added packages are developer and operational utilities such as curl, bash, jq, git, and cloud tooling. These are not full application stacks. They are the tools needed to build, debug, and operate software.

This demonstrates a consistent pattern: teams use Chainguard Base as a secure starting point, then layer in the exact tooling required for their workflows. It is serving as a flexible foundation for CI/CD pipelines, debugging environments, and internal platform tooling.

As platform engineering practices mature, the need for secure, customizable base environments is becoming more pronounced. Chainguard Base is emerging as a core building block in that model.

CVEs: AI is accelerating software development and vulnerability discovery

Over 300% more fix instances this quarter

Just as we observed on the usage side with the increase in Python and PostgreSQL container images, AI is also changing the speed at which vulnerabilities surface.

In the previous report, we tracked 154 unique CVEs and 10,100 fix instances across Chainguard Containers. This quarter, that number rose to 377 unique CVEs and 33,931 fix instances (a 145% increase in unique vulnerabilities and over 300% more fixes applied compared to last quarter).

This increase reflects two parallel forces: 1) development is becoming faster and more distributed, which increases the number of dependencies entering production environments; and 2) vulnerability discovery is accelerating as researchers and attackers use automation and AI-assisted techniques to analyze code at scale.

The result is a tighter feedback loop between development and security. More code is being written, more dependencies are being introduced, and more vulnerabilities are being identified across the ecosystem.

What stands out is not only the increase in volume, but the Chainguard Factory’s ability to respond to it. Median remediation time held essentially flat at 2.0 days compared to 1.96 days last quarter, despite the much higher volume. High-severity vulnerabilities continued to be resolved quickly, with 97.9% fixed within one week.

The pace of discovery is increasing. The expectation for response is keeping up.

The long tail continues to define real-world risk

96% of CVEs occur outside the most popular images

While core infrastructure is becoming more standardized, most of the software supply chain lives outside the most visible components. Let us explain: the median customer sources about 74% of their images from the long tail of the catalog (images outside the top 20 in popularity). This reflects the reality that production environments extend far beyond a small set of widely used images.

Security risk follows the same pattern.

This quarter, 96.2% of CVE instances occurred outside the top 20 most widely used images. This is consistent with the previous report, which found that nearly all vulnerabilities were concentrated in long-tail projects.

The implication is straightforward: the images that teams interact with most frequently represent only a small portion of their actual exposure. The majority of vulnerabilities exist in dependencies that are less visible, less frequently updated, and often not directly owned by application teams.

Even across severity levels, the distribution holds. Critical, High, Medium, and Low vulnerabilities all follow the same pattern, with the overwhelming majority (96.18% on average) occurring outside the top 20 images. Attackers know what is popular, so they tend to look for vulnerable areas that are outside most users’ top-of-mind.

As development accelerates and dependency graphs expand, managing the long tail becomes the central challenge of software supply chain security.

Compliance is reshaping adoption patterns

Regulatory requirements are increasingly influencing how organizations build and deploy software.

This quarter marks the first time a FIPS-compliant Chainguard image (python-fips) has reached the top 10 by customer count, even when FIPS and non-FIPS variants are combined into a single metric. This milestone reflects a broader shift toward compliance-driven adoption.

FIPS adoption is increasing across multiple runtimes. Python FIPS, Node FIPS, and nginx FIPS images all saw growth in customer counts over the quarter.

Overall, 42% of customers now run at least one FIPS image in production.

This reflects the growing influence of frameworks such as FedRAMP, PCI DSS, SOC 2, and the EU Cyber Resilience Act. Compliance is no longer limited to a subset of industries. It is becoming a baseline requirement for software that operates in regulated environments.

As a result, secure and compliant images are moving from optional to expected.

A secure foundation for the AI era

The data from this quarter points to a clear trend. Software ecosystems are expanding. The number of unique images in use grew by 18%, reflecting broader adoption and more diverse workloads. At the same time, vulnerability discovery increased significantly, with a 145% rise in unique CVEs and a 3x increase in fixes.

Despite that growth, Chainguard’s remediation performance remained stable. Median fix times held steady, and high-severity vulnerabilities continued to be resolved quickly. This combination matters. It shows that it is possible to scale both coverage and responsiveness simultaneously.

As AI continues to accelerate development, the volume of code and dependencies will grow. The challenge for security teams is not simply to keep up with that growth, but to manage it in a way that maintains consistency and trust. The organizations that succeed will be those that treat security as part of the development system itself, rather than as a layer applied afterward.

At Chainguard, we recognize the challenges that security and engineering teams face as AI technology becomes increasingly ubiquitous. We recently announced products such as Chainguard Agent Skills and Chainguard Actions to address this problem directly. As development speeds up, organizations must address hidden attack vectors throughout the software development lifecycle. The trusted open source we offer creates a secure-by-default foundation you can build on.

Ready to learn more about how Chainguard can protect your open source artifacts? Get in touch with our team today.

Una operación con motivación financiera cuyo nombre en código REF1695 Se ha observado que desde noviembre de 2023 se aprovechan instaladores falsos para implementar troyanos de acceso remoto (RAT) y mineros de criptomonedas.

«Más allá de la criptominería, el actor de amenazas monetiza las infecciones a través del fraude CPA (costo por acción), dirigiendo a las víctimas a páginas de contenido bajo la apariencia de registro de software», afirman los investigadores de Elastic Security Labs, Jia Yu Chan, Cyril François y Remco Sprooten. dicho en un análisis publicado esta semana.

También se ha descubierto que iteraciones recientes de la campaña entregan un implante .NET previamente no documentado con nombre en código CNB Bot. Estos ataques aprovechan un archivo ISO como vector de infección para entregar un cargador protegido por .NET Reactor y un archivo de texto con instrucciones explícitas para que el usuario evite las protecciones de Microsoft Defender SmartScreen contra la ejecución de aplicaciones no reconocidas haciendo clic en «Más información» y «Ejecutar de todos modos».

El cargador está diseñado para invocar PowerShell, que es responsable de configurar amplias exclusiones de Microsoft Defender Antivirus para pasar desapercibido e iniciar CNB Bot en segundo plano. Al mismo tiempo, al usuario se le muestra un mensaje de error: «No se puede iniciar la aplicación. Es posible que su sistema no cumpla con las especificaciones requeridas. Comuníquese con el soporte».

CNB Bot funciona como un cargador con capacidades para descargar y ejecutar cargas útiles adicionales, actualizarse, desinstalar y realizar acciones de limpieza para cubrir las pistas. Se comunica con un servidor de comando y control (C2) mediante solicitudes HTTP POST.

Otras campañas montadas por el actor de amenazas han aprovechado señuelos ISO similares para implementar PureRAT, PureMiner y un cargador XMRig personalizado basado en .NET, el último de los cuales llega a una URL codificada para extraer la configuración de minería y lanzar la carga útil del minero.

Como se observó recientemente en la campaña FAUX#ELEVATE, se abusa de «WinRing0x64.sys», un controlador de kernel de Windows legítimo, firmado y vulnerable, para obtener acceso al hardware a nivel de kernel y modificar la configuración de la CPU para aumentar las tasas de hash, permitiendo así mejorar el rendimiento. El uso del conductor ha sido observado en muchos campañas de criptojacking a lo largo de los años. La funcionalidad era agregado a los mineros XMRig en diciembre de 2019.

Elastic dijo que también identificó otra campaña que conduce al despliegue de SilentCryptoMiner. El minero, además de utilizar llamadas directas al sistema para evadir la detección, toma medidas para desactivar los modos de suspensión e hibernación de Windows, configura la persistencia mediante una tarea programada y utiliza el controlador «Winring0.sys» para ajustar la CPU para las operaciones de minería.

Otro componente notable del ataque es un proceso de vigilancia que garantiza que los artefactos maliciosos y los mecanismos de persistencia se restablezcan en caso de que se eliminen. Se estima que la campaña acumuló 27,88 XMR (9.392 dólares) en cuatro carteras rastreadas, lo que indica que la operación está generando beneficios financieros constantes para el atacante.

«Más allá de la infraestructura C2, el actor de amenazas abusa de GitHub como una CDN de entrega de carga útil, alojando binarios preparados en dos cuentas identificadas», dijo Elastic. «Esta técnica desplaza el paso de descarga y ejecución de la infraestructura controlada por el operador a una plataforma confiable, lo que reduce la fricción en la detección».

La plataforma de mensajería WhatsApp, propiedad de Meta, dijo que alertó a unos 200 usuarios que fueron engañados para que instalaran una versión falsa de su aplicación iOS que estaba infectada con software espía.

Según informes del periódico italiano. La República y agencia de noticias ANSAla gran mayoría de los objetivos se encuentran en Italia. Se evalúa que los actores de amenazas detrás de la actividad utilizaron tácticas de ingeniería social para lograr que los usuarios instalaran software malicioso que imitaba a WhatsApp.

Se cerró la sesión de todos los usuarios afectados y se les recomendó desinstalar las aplicaciones con malware y descargar la aplicación oficial de WhatsApp. WhatsApp no ​​reveló quién fue el objetivo de estos ataques.

El gigante tecnológico dijo que también está tomando medidas contra Asigint, una filial italiana de la empresa de software espía SIO, por supuestamente crear una versión falsificada de WhatsApp.

En su sitio web, la empresa anuncia soluciones para organismos encargados de hacer cumplir la ley, organizaciones gubernamentales y agencias policiales y de inteligencia para monitorear actividades sospechosas, recopilar inteligencia o realizar operaciones encubiertas.

En diciembre de 2025, TechCrunch informó que SIO estaba detrás de un conjunto de aplicaciones maliciosas de Android que se hacían pasar por WhatsApp y otras aplicaciones populares, pero robaban datos privados del dispositivo de un objetivo utilizando una familia de software espía llamada Spyrtacus. Se cree que las aplicaciones fueron utilizadas por un cliente del gobierno para atacar a víctimas desconocidas en Italia.

SIO es una de las muchas empresas italianas que venden herramientas de vigilancia, incluidas Cy4Gate, eSurv, GR Sistemi, Negg, Raxir y RCS Lab, convirtiendo al país en un «centro de software espía«.

A principios del año pasado, WhatsApp alertó a unos 90 usuarios de que habían sido atacados por el software espía de Paragon Solutions conocido como Graphite. Luego, en agosto de 2025, notificó a menos de 200 usuarios que podrían haber sido atacados como parte de una sofisticada campaña que encadenaba vulnerabilidades de día cero en iOS y la aplicación de mensajería.

La noticia se produce poco más de un mes después de que un tribunal griego sentenciado Tal Dilian, fundador del Consorcio Intellexa, y tres asociados, Sara Hamou, Felix Bitzios y Yiannis Lavranos, a prisión por su papel en el uso ilegal del software espía Predator del proveedor para atacar a políticos, líderes empresariales y periodistas del país.

El escándalo de vigilancia de 2022, denominado Predatorgate o Watergate griego, llevó al Parlamento Europeo a iniciar una investigación formal en el uso de tales herramientas. Sin embargo, una nueva ley aprobada ese año legalizó el uso gubernamental bajo condiciones estrictas. En julio de 2024, el Tribunal Supremo griego despejado al servicio de inteligencia estatal y a funcionarios gubernamentales de irregularidades.

«Aún quedan dudas sobre el papel del gobierno griego, que ha negado sistemáticamente haber comprado o utilizado Predator», Amnistía Internacional dicho. «La transparencia es una parte crucial de la rendición de cuentas, al igual que la reparación para las numerosas víctimas de las violaciones de derechos humanos provocadas por el uso ilegal de esta tecnología».

En una declaración compartida con Reuters a finales del mes pasado, Dilian dicho Tiene intención de apelar la decisión y añade: «Creo que una condena sin pruebas no es justicia, podría ser parte de un encubrimiento e incluso un delito».

Italia y Grecia están lejos de ser los únicos países europeos atrapados en el punto de mira de la tecnología de software espía. En enero de 2026, el Tribunal Superior de Justicia de España cerró su investigación sobre el uso de Pegasus del Grupo NSO para espiar a políticos españoles, citando una falta de cooperación de las autoridades israelíes.

El caso se remonta a mayo de 2022, cuando el Gobierno español reveló que el software espía de la empresa israelí se había utilizado para espiar los dispositivos del presidente del Gobierno, Pedro Sánchez, y de la ministra de Defensa, Margarita Robles.

Empresas como Intellexa y NSO Group han sostenido constantemente que su tecnología de vigilancia sólo ha sido autorizada a los gobiernos para luchar contra delitos graves y reforzar la seguridad nacional. David Friedman, presidente ejecutivo del grupo NSO dicho «El mundo es un lugar mucho más seguro» cuando las herramientas de la empresa «están en las manos adecuadas y en los países adecuados».

manzana el miercoles expandido la disponibilidad de iOS 18.7.7 y iPadOS 18.7.7 en una gama más amplia de dispositivos para proteger a los usuarios del riesgo que representa un kit de explotación recientemente revelado conocido como DarkSword.

«Habilitamos la disponibilidad de iOS 18.7.7 para más dispositivos el 1 de abril de 2026, por lo que los usuarios con las Actualizaciones automáticas activadas pueden recibir automáticamente importantes protecciones de seguridad contra ataques web llamados DarkSword», dijo la compañía. «Las correcciones asociadas con el exploit DarkSword se enviaron por primera vez en 2025».

La actualización está disponible para los siguientes dispositivos:

• iPhone XR, iPhone XS, iPhone XS Max, iPhone 11 (todos los modelos), iPhone SE (segunda generación), iPhone 12 (todos los modelos), iPhone 13 (todos los modelos), iPhone SE (tercera generación), iPhone 14 (todos los modelos), iPhone 15 (todos los modelos), iPhone 16 (todos los modelos) y iPhone 16e.
• iPad mini (quinta generación – A17 Pro), iPad (séptima generación – A16), iPad Air (tercera – quinta generación), iPad Air de 11 pulgadas (M2 – M3), iPad Air de 13 pulgadas (M2 – M3), iPad Pro de 11 pulgadas (primera generación – M4), iPad Pro de 12,9 pulgadas (tercera – sexta generación) y iPad Pro de 13 pulgadas (M4)

La última actualización tiene como objetivo cubrir dispositivos que tienen la capacidad de actualizarse a iOS 26 pero que aún tienen versiones anteriores. Apple lanzó por primera vez iOS 18.7.7 y iPadOS 18.7.7 el 24 de marzo de 2026, pero solo para iPhone XS, iPhone XS Max, iPhone XR y iPad de séptima generación.

El mes pasado, la compañía también instó a los usuarios a actualizar los dispositivos más antiguos a iOS 15.8.7, iPadOS 15.8.7, iOS 16.7.15 y iPadOS 16.7.15 para solucionar algunos de los exploits que se utilizaron en DarkSword y otro kit de exploits llamado Coruna.

Si bien se sabe que Apple admite correcciones para dispositivos más antiguos dependiendo de la importancia de las vulnerabilidades, la medida para permitir a los usuarios de iOS 18 parchear sus dispositivos sin tener que actualizar a la última versión del sistema operativo marca un cambio inusual para el gigante tecnológico.

en una declaración compartido Con WIRED, un portavoz de Apple dijo que estaba ampliando la actualización a más dispositivos para ayudarlos a mantenerse protegidos. Los usuarios que no tengan habilitada la actualización automática tendrán la opción de actualizar a la última versión parcheada de iOS 18 o iOS 26.

Este raro paso se produce semanas después de que Google Threat Intelligence Group (GTIG), iVerify y Lookout compartieran detalles de un kit de explotación de iOS llamado DarkSword que se ha utilizado en ataques cibernéticos dirigidos a usuarios en Arabia Saudita, Turquía, Malasia y Ucrania desde julio de 2025. El kit es capaz de apuntar a dispositivos iOS y iPadOS que ejecutan versiones entre iOS 18.4 y 18.7.

El ataque se desencadena cuando un usuario que ejecuta un dispositivo vulnerable visita un sitio web legítimo pero comprometido que aloja el código malicioso como parte de lo que se llama un ataque de abrevadero. Una vez lanzados, se ha descubierto que los ataques implementan puertas traseras y un minero de datos para el acceso persistente y el robo de información.

Actualmente no se sabe cómo la herramienta de piratería avanzada llegó a ser compartida por múltiples actores de amenazas. Desde entonces, se filtró una versión más nueva del kit en el sitio de código compartido GitHub, lo que generó preocupaciones de que más actores de amenazas pudieran subirse al tren de la explotación.

El descubrimiento también destaca que el software espía potente para iPhone puede no ser tan raro como se pensaba anteriormente y que podría convertirse en herramientas atractivas para una explotación masiva.

A partir de la semana pasada, Apple comenzó a enviar notificaciones de pantalla de bloqueo a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados ​​en la web e instarlos a instalar las últimas actualizaciones.

Proofpoint y Malfors también revelaron que otro actor de amenazas vinculado a Rusia conocido como COLDRIVER (también conocido como TA446) ha explotado el kit DarkSword para entregar el malware de robo de datos GHOSTBLADE en ataques dirigidos a entidades gubernamentales, grupos de expertos, educación superior, financieras y legales.

«DarkSword roba silenciosamente grandes cantidades de datos de usuario simplemente porque el usuario ahora visitó un sitio web real (pero comprometido)», dijo Rocky Cole, cofundador y director de operaciones de iVerify, en un comunicado compartido con The Hacker News. «Apple al menos ha estado de acuerdo con la evaluación de la comunidad de seguridad de que esto presenta una amenaza clara y presente para los dispositivos que permanecen sin parches en versiones anteriores de iOS, que aproximadamente el 20% de las personas todavía utilizan».

«Dejar expuestos a esos usuarios sería una decisión difícil de defender, especialmente para una empresa que centra su marca en la seguridad y la privacidad. Actualizar parches a versiones anteriores de iOS parece ser lo mínimo que pueden hacer en lugar de proporcionar un marco de seguridad para desarrolladores externos. El hecho es que los parches son demasiado pequeños y demasiado tarde cuando se trata de días 0, y el mercado de exploits está en auge».

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una nueva campaña de phishing en la que se suplantó la propia agencia de ciberseguridad para distribuir una herramienta de administración remota conocida como AGEWHEEZE.

Como parte de los ataques, los actores de amenazas, rastreados como UAC-0255envió correos electrónicos el 26 y 27 de marzo de 2026, haciéndose pasar por CERT-UA para distribuir un archivo ZIP protegido con contraseña alojado en Files.fm e instó a los destinatarios a instalar el «software especializado».

Los objetivos de la campaña incluyeron organizaciones estatales, centros médicos, empresas de seguridad, instituciones educativas, instituciones financieras y empresas de desarrollo de software. Algunos de los correos electrónicos fueron enviados desde la dirección de correo electrónico «incidents@cert-ua[.]tecnología.»

El archivo ZIP («CERT_UA_protection_tool.zip») está diseñado para descargar malware empaquetado como software de seguridad de la agencia. El malware, según CERT-UA, es un troyano de acceso remoto con nombre en código AGEWHEEZE.

AGEWHEEZE, un malware basado en Go, se comunica con un servidor externo («54.36.237[.]92») sobre WebSockets y admite una amplia gama de comandos para ejecutar comandos, realizar operaciones con archivos, modificar el portapapeles, emular el mouse y el teclado, tomar capturas de pantalla y administrar procesos y servicios. También crea persistencia mediante el uso de una tarea programada, modificando el Registro de Windows o agregándose al directorio de Inicio.

Se considera que el ataque no tuvo éxito en gran medida. «No se identificaron más que unos pocos dispositivos personales infectados pertenecientes a empleados de instituciones educativas de diversas formas de propiedad», dijo la agencia. «Los especialistas del equipo brindaron la asistencia metodológica y práctica necesaria».

Un análisis del sitio web falso «cert-ua»[.]tech» ha revelado que probablemente se generó con la ayuda de herramientas de inteligencia artificial (IA), y el código fuente HTML también incluye un comentario: «С Любовью, КИБЕР СЕРП», que significa «Con amor, CYBER SERP».

En publicaciones en Telegram, Cyber ​​Serp afirma que son «operadores cibernéticos de Ucrania». El canal Telegram fue creado en noviembre de 2025 y cuenta con más de 700 suscriptores.

El actor de amenazas también dijo que los correos electrónicos de phishing se enviaron a 1 millón de ucras.[.]buzones de correo netos como parte de la campaña, y que más de 200.000 dispositivos han sido comprometidos. «No somos bandidos: el ciudadano ucraniano medio nunca sufrirá como resultado de nuestras acciones», afirmó. dicho en una publicación.

El mes pasado, Cyber ​​Serp asumió la responsabilidad por una presunta violación de la empresa ucraniana de ciberseguridad Cipher, afirmando que obtuvo un volcado completo de los servidores, incluida una base de datos de clientes y el código fuente de su línea de productos CIPS, entre otros.

En un comunicado en su sitio web, Cipher admitido que los atacantes comprometieron las credenciales de un empleado de una de sus empresas de tecnología pero dijeron que su infraestructura estaba funcionando normalmente. El usuario infectado tuvo acceso a un único proyecto, que no contenía datos confidenciales, añadió.

Google el jueves liberado actualizaciones de seguridad para su navegador web Chrome para abordar 21 vulnerabilidades, incluida una falla de día cero que, según dijo, ha sido explotada en la naturaleza.

La vulnerabilidad de alta gravedad, CVE-2026-5281 (Puntuación CVSS: N/A), se refiere a un error de uso después de la liberación en Amaneceruna implementación de código abierto y multiplataforma del estándar WebGPU.

«El uso después de la liberación en Dawn en Google Chrome antes de 146.0.7680.178 permitió a un atacante remoto que había comprometido el proceso de renderizado ejecutar código arbitrario a través de una página HTML diseñada», según una descripción de la falla en la Base de datos nacional de vulnerabilidad (NVD) del NIST.

Como es habitual en estas alertas, Google no proporcionó más detalles sobre cómo se está explotando la deficiencia y quién puede estar detrás del esfuerzo. Por lo general, esto se hace para garantizar que la mayoría de los usuarios estén actualizados con una solución y evitar que otros actores se unan al tren de la explotación.

«Google es consciente de que existe un exploit para CVE-2026-5281», reconoció la empresa.

El desarrollo llega apenas después de que Google enviara correcciones para dos fallas de alta gravedad (CVE-2026-3909 y CVE-2026-3910) que fueron explotadas como de día cero. En febrero, el gigante tecnológico también abordó un error de uso después de la liberación activamente explotado en el componente CSS de Chrome (CVE-2026-2441). En total, Google ha parcheado un total de cuatro días cero de Chrome activamente armados desde principios de año.

Para una protección óptima, se recomienda a los usuarios actualizar su navegador Chrome a las versiones 146.0.7680.177/178 para Windows y Apple macOS, y 146.0.7680.177 para Linux. Para asegurarse de que estén instaladas las últimas actualizaciones, los usuarios pueden navegar a Más > Ayuda > Acerca de Google Chrome y seleccionar Reiniciar.

También se recomienda a los usuarios de otros navegadores basados ​​en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.