CISA advierte sobre vulnerabilidad crítica en CCTV Honeywell (CVSS 9.8) que permite acceso no autorizado. Brecha en fintech Figure expone casi 1 millón de cuentas mediante ingeniería social. Cuatro extensiones de VS Code con más de 125M de descargas contienen fallas críticas. Bug en Microsoft Copilot omite políticas DLP desde enero.
CISA está advirtiendo sobre una vulnerabilidad crítica en múltiples productos CCTV de Honeywell utilizados en infraestructura crítica. Los atacantes pueden secuestrar cuentas y acceder a las transmisiones de cámaras sin autenticación.
Descubierta por el investigador Souvik Kanda, CVE-2026-1670 está clasificada como "falta de autenticación para función crítica". La falla permite a un atacante no autenticado cambiar la dirección de correo electrónico de recuperación asociada con una cuenta de dispositivo, permitiendo el secuestro completo de la cuenta.
| Modelo | Versión de Firmware |
|---|---|
| I-HIB2PI-UL 2MP IP | 6.1.22.1216 |
| SMB NDAA MVO-3 | WDR_2MP_32M_PTZ_v2.0 |
| PTZ WDR 2MP 32M | WDR_2MP_32M_PTZ_v2.0 |
| 25M IPC | WDR_2MP_32M_PTZ_v2.0 |
Estas cámaras compatibles con NDAA están desplegadas en agencias gubernamentales de EE. UU., contratistas federales e instalaciones críticas. CISA recomienda:
La compañía fintech nativa de blockchain Figure Technology Solutions sufrió una brecha que afectó a casi 1 millón de cuentas. El ataque se ejecutó mediante ingeniería social.
Figure, que ha desbloqueado más de $22 mil millones en equidad hipotecaria con más de 250 socios incluyendo bancos, cooperativas de crédito y fintechs, confirmó el incidente a TechCrunch. Los atacantes utilizaron phishing de voz (vishing) para engañar a un empleado y obtener acceso.
El grupo de extorsión ShinyHunters filtró 2.5GB de datos de miles de solicitantes de préstamos en su sitio de la dark web. Esto es parte de una campaña más amplia dirigida a cuentas SSO en Okta, Microsoft y Google en más de 100 organizaciones de alto perfil.
Los atacantes se hacen pasar por soporte de TI, llaman a empleados y los engañan para que ingresen credenciales y códigos MFA en sitios de phishing que imitan los portales de inicio de sesión de la empresa. Una vez dentro, obtienen acceso a aplicaciones empresariales conectadas incluyendo Salesforce, Microsoft 365, Google Workspace, Slack y Dropbox.
Investigadores de OX Security descubrieron múltiples vulnerabilidades en cuatro extensiones populares de VS Code. Tres CVE permanecen sin parchar.
"Un hacker solo necesita una extensión maliciosa, o una sola vulnerabilidad dentro de una extensión, para realizar movimiento lateral y comprometer organizaciones enteras," advirtieron los investigadores.
| CVE | Extensión | CVSS | Impacto |
|---|---|---|---|
| CVE-2025-65717 | Live Server | 9.1 | Exfiltración de archivos locales mediante sitio web malicioso |
| CVE-2025-65716 | Markdown Preview Enhanced | 8.8 | Ejecución arbitraria de JavaScript mediante archivo .md |
| CVE-2025-65715 | Code Runner | 7.8 | Ejecución arbitraria de código mediante settings.json |
| — | Microsoft Live Preview | — | Exfiltración de archivos sensibles (corregido en v0.4.16) |
Un bug en Microsoft 365 Copilot ha estado causando que el asistente de IA resuma correos electrónicos confidenciales, omitiendo las políticas de prevención de pérdida de datos (DLP) que protegen información sensible.
Rastreado como CW1226324, este bug afecta la función de chat de la "pestaña de trabajo" de Copilot. Lee y resume incorrectamente correos electrónicos en las carpetas Elementos Enviados y Borradores — incluyendo mensajes con etiquetas de confidencialidad diseñadas explícitamente para restringir el acceso de herramientas automatizadas.
Microsoft declaró: "Esto no proporcionó a nadie acceso a información que no estuvieran ya autorizados a ver... Se ha desplegado una actualización de configuración a nivel mundial para clientes empresariales."
Revise los registros de actividad de Copilot para el período desde el 21 de enero. Verifique que el contenido etiquetado con sensibilidad no se incluyó inadvertidamente en resúmenes de Copilot compartidos más allá de los destinatarios previstos.
Texas demandó a TP-Link Systems, acusando a la compañía de comercializar engañosamente routers como seguros mientras permitía que hackers respaldados por el estado chino explotaran vulnerabilidades de firmware.
651 arrestos en 16 países africanos. Se recuperaron más de $4.3 millones. La operación se dirigió a fraude de inversión, estafas de dinero móvil y aplicaciones de préstamos fraudulentas vinculadas a $45 millones en pérdidas.
ESET descubrió malware de Android que utiliza Gemini AI de Google para mantener persistencia. El malware aprovecha la IA generativa para analizar pantallas y generar instrucciones paso a paso para mantenerse anclado en aplicaciones recientes.
Sentenciado por hackear múltiples empresas de preparación de impuestos en Massachusetts y presentar declaraciones fraudulentas solicitando más de $8.1 millones en reembolsos.
| Métrica | Valor |
|---|---|
| Cuentas afectadas en brecha de Figure | 967,200 |
| Severidad CVE de Honeywell (CVSS) | 9.8 |
| Descargas de extensiones de VS Code en riesgo | 125M+ |
| Duración de omisión DLP de Copilot | ~30 días |
| Arrestos de INTERPOL (Op Red Card 2.0) | 651 |
| Organizaciones objetivo de ShinyHunters | 100+ |
Gestión de vulnerabilidades impulsada por IA con más de 333,000 CVE indexados.
Iniciar Escaneo GratuitoManténgase seguro. Manténgase vigilante.
🗡️ Equipo de Seguridad KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →