CISA alerta sobre una vulnerabilidad crítica en CCTV Honeywell (CVSS 9.8) que permite acceso no autorizado. La filtración de Figure fintech expone casi 1 millón de cuentas mediante ingeniería social. Cuatro extensiones de VS Code con más de 125M de descargas contienen fallos críticos. Un bug en Microsoft Copilot elude las políticas DLP desde enero.
CISA advierte sobre una vulnerabilidad crítica en múltiples productos CCTV de Honeywell utilizados en infraestructura crítica. Los atacantes pueden secuestrar cuentas y acceder a las transmisiones de cámaras sin autenticación.
Descubierta por el investigador Souvik Kanda, CVE-2026-1670 se clasifica como "autenticación faltante para función crítica". El fallo permite a un atacante no autenticado cambiar la dirección de correo electrónico de recuperación asociada a una cuenta del dispositivo, permitiendo la toma total de la cuenta.
| Modelo | Versión de firmware |
|---|---|
| I-HIB2PI-UL 2MP IP | 6.1.22.1216 |
| SMB NDAA MVO-3 | WDR_2MP_32M_PTZ_v2.0 |
| PTZ WDR 2MP 32M | WDR_2MP_32M_PTZ_v2.0 |
| 25M IPC | WDR_2MP_32M_PTZ_v2.0 |
Estas cámaras compatibles con NDAA están desplegadas en agencias gubernamentales de EE.UU., contratistas federales e instalaciones críticas. CISA recomienda:
La empresa fintech basada en blockchain Figure Technology Solutions sufrió una filtración que afecta a casi 1 millón de cuentas. El ataque se ejecutó mediante ingeniería social.
Figure, que ha desbloqueado más de 22.000 millones de dólares en patrimonio inmobiliario con más de 250 socios, incluyendo bancos, cooperativas de crédito y fintechs, confirmó el incidente a TechCrunch. Los atacantes utilizaron phishing por voz (vishing) para engañar a un empleado y que proporcionara acceso.
El grupo de extorsión ShinyHunters filtró 2,5 GB de datos de miles de solicitantes de préstamos en su sitio de la dark web. Esto forma parte de una campaña más amplia dirigida a cuentas SSO en Okta, Microsoft y Google en más de 100 organizaciones de alto perfil.
Los atacantes se hacen pasar por soporte de TI, llaman a los empleados y los engañan para que introduzcan credenciales y códigos MFA en sitios de phishing que imitan los portales de inicio de sesión de la empresa. Una vez dentro, obtienen acceso a aplicaciones empresariales conectadas, incluyendo Salesforce, Microsoft 365, Google Workspace, Slack y Dropbox.
Investigadores de OX Security descubrieron múltiples vulnerabilidades en cuatro extensiones populares de VS Code. Tres CVEs permanecen sin parchear.
"Un hacker solo necesita una extensión maliciosa, o una sola vulnerabilidad dentro de una extensión, para realizar movimiento lateral y comprometer organizaciones enteras", advirtieron los investigadores.
| CVE | Extensión | CVSS | Impacto |
|---|---|---|---|
| CVE-2025-65717 | Live Server | 9.1 | Exfiltración de archivos locales mediante sitio web malicioso |
| CVE-2025-65716 | Markdown Preview Enhanced | 8.8 | Ejecución arbitraria de JavaScript mediante archivo .md |
| CVE-2025-65715 | Code Runner | 7.8 | Ejecución arbitraria de código mediante settings.json |
| — | Microsoft Live Preview | — | Exfiltración de archivos sensibles (corregido en v0.4.16) |
Un bug de Microsoft 365 Copilot ha estado causando que el asistente de IA resuma correos electrónicos confidenciales, eludiendo las políticas de prevención de pérdida de datos (DLP) que protegen información sensible.
Rastreado como CW1226324, este bug afecta la función de chat de la "pestaña de trabajo" de Copilot. Lee y resume incorrectamente correos en las carpetas de Enviados y Borradores — incluyendo mensajes con etiquetas de confidencialidad diseñadas explícitamente para restringir el acceso de herramientas automatizadas.
Microsoft declaró: "Esto no proporcionó a nadie acceso a información para la cual no estuviera ya autorizado... Se ha desplegado una actualización de configuración a nivel mundial para clientes empresariales."
Revise los registros de actividad de Copilot para el período desde el 21 de enero. Verifique que el contenido con etiquetas de sensibilidad no haya sido incluido inadvertidamente en resúmenes de Copilot compartidos más allá de los destinatarios previstos.
Texas demandó a TP-Link Systems, acusando a la empresa de comercializar engañosamente sus routers como seguros mientras permitía que hackers respaldados por el estado chino explotaran vulnerabilidades en el firmware.
651 arrestos en 16 países africanos. Se recuperaron más de 4,3 millones de dólares. La operación se dirigió contra fraudes de inversión, estafas de dinero móvil y aplicaciones de préstamos fraudulentas vinculadas a pérdidas de 45 millones de dólares.
ESET descubrió malware para Android que usa Google Gemini AI para mantener la persistencia. El malware aprovecha la IA generativa para analizar pantallas y generar instrucciones paso a paso para mantenerse fijado en las aplicaciones recientes.
Condenado por hackear múltiples empresas de preparación de impuestos en Massachusetts y presentar declaraciones fraudulentas buscando más de 8,1 millones de dólares en reembolsos.
| Métrica | Valor |
|---|---|
| Cuentas afectadas en filtración de Figure | 967.200 |
| Severidad CVE de Honeywell (CVSS) | 9.8 |
| Descargas de extensiones VS Code en riesgo | 125M+ |
| Duración del bypass DLP de Copilot | ~30 días |
| Arrestos de INTERPOL (Op Red Card 2.0) | 651 |
| Organizaciones objetivo de ShinyHunters | 100+ |
Gestión de vulnerabilidades impulsada por IA con más de 333.000 CVEs indexados.
Iniciar escaneo gratuitoManténgase seguro. Manténgase alerta.
🗡️ Equipo de Seguridad KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →