Una de las piezas clave del ecosistema global de ciberseguridad está en peligro. El próximo 16 de abril de 2025, el gobierno de Estados Unidos dejará de financiar el programa CVE (Common Vulnerabilities and Exposures), gestionado durante más de dos décadas por la organización sin ánimo de lucro MITRE. Este […]
April 2025 Patch Tuesday: Un zero-day y 11 vulnerabilidades críticas entre 121 CVEs
Microsoft ha corregido 121 vulnerabilidades en su publicación de las actualizaciones de seguridad de abril de 2025. Los parches de este mes incluyen correcciones para una vulnerabilidad de zero-day explotada activamente y 11 vulnerabilidades críticas, junto con 109 vulnerabilidades adicionales de distintos niveles de gravedad. Abril 2025 Análisis de riesgos […]
Las 5 principales amenazas que mantendrán despiertos a los CISO en 2025
En 2025, el panorama de ciberamenazas evoluciona más rápido que nunca. Para los CISO, proteger una organización ya no es solo cuestión de herramientas técnicas: también implica gestionar el riesgo regulatorio, la complejidad de las cadenas de suministro y, cómo no, el comportamiento humano. Estas son las cinco amenazas clave […]
Nueva vulnerabilidad 0-day en Windows expone credenciales NTLM
Una nueva vulnerabilidad 0-day en Windows, descubierta por 0patch y detallada en su blog, permite a los atacantes robar credenciales NTLM engañando a los usuarios para que visualicen archivos .scf maliciosos en el Explorador de Windows. Esta falla afecta desde Windows 7 y Server 2008 R2 hasta las versiones más […]
¿Estamos gestionando el riesgo cibernético… o solo documentándolo?
Demasiadas veces, la gestión del riesgo cibernético se reduce a lo de siempre: registros de riesgo, mapas de calor y listas de verificación de cumplimiento. Herramientas útiles en apariencia, pero que generan una falsa sensación de seguridad, mientras las verdaderas vulnerabilidades siguen expuestas. Los mapas de calor ofrecen una instantánea […]
Grave vulnerabilidad en Windows explotada por APTs: sin parche, sin solución (ZDI-CAN-25373)
La Zero Day Initiative (ZDI) de Trend Micro ha revelado una vulnerabilidad de seguridad crítica, identificada como ZDI-CAN-25373, que está siendo activamente explotada por grupos APT patrocinados por estados como Corea del Norte, Irán, Rusia y China. Se han detectado cerca de 1.000 archivos maliciosos .lnk aprovechando esta falla, y […]
Cisco corrige una vulnerabilidad crítica en IOS XR (CVE-2025-20138)
Una nueva vulnerabilidad crítica ha sido identificada en el software Cisco IOS XR, y si gestionas dispositivos con este sistema operativo, esto te interesa. Cisco ya ha publicado un aviso de seguridad con todos los detalles, y lo más importante: ya hay parches disponibles. ¿Qué es CVE-2025-20138 y por qué […]
March 2025 Patch Tuesday: 57 CVEs en las que 7 Zero-Days y 6 vulnerabilidades críticas
Microsoft ha publicado actualizaciones de seguridad para 57 vulnerabilidades en su lanzamiento del Patch Tuesday de marzo de 2025. Entre ellas hay 7 de día cero y 6 críticas. Análisis de riesgos de marzo de 2025 Los principales tipos de riesgo de este mes por técnica de explotación son la […]
Tarlogic detecta una puerta trasera en el chip ESP32
Tarlogic Security ha detectado una puerta trasera en el ESP32, un microcontrolador que permite la conexión WiFi y Bluetooth y que está presente en millones de dispositivos IoT del mercado mundial. La explotación de esta puerta trasera permitiría a actores hostiles realizar ataques de suplantación de identidad e infectar de […]
Vulnerabilidades en Rsync exponen millones de servidores a posibles ataques
Recientemente fueron descubiertas varias vulnerabilidades críticas en Rsync, una herramienta popular de sincronización de archivos, que exponen millones de servidores a posibles ataques remotos. Estos fallos, presentes en la versión 3.2.7 y anteriores, permiten la ejecución remota de código, la filtración de datos sensibles y la manipulación del sistema de […]