La lección de esta mañana es fea y conocida: cuando se envenenan rutas de administración o desarrollo en las que todos confían, los atacantes ya no necesitan elegancia para causar daño.
Top line: Cinco historias importan esta mañana: CISA quiere parcheo rápido en Windows, la intrusión de supply chain saltó de paquetes npm de SAP a PyTorch Lightning e intercom-client, los intentos contra el bypass de cPanel siguen activos, Linux Copy Fail abarata root y Google tuvo que corregir una falla de severidad máxima en Gemini CLI.
BleepingComputer informa que CISA añadió una falla de Windows explotada activamente a su catálogo KEV y ordenó a las agencias federales parchearla en plazo. La señal es clara: si CISA fuerza movimiento urgente, las empresas deben asumir que ya existe tradecraft real de ataque.
The Hacker News dice que las versiones maliciosas 2.6.2 y 2.6.3 de PyTorch Lightning publicadas el 30 de abril están ligadas a la misma actividad Mini Shai-Hulud que golpeó paquetes npm relacionados con SAP. El malware roba secretos de GitHub, npm, SSH, nube, Kubernetes y CI. Cada laptop de desarrollo o runner afectado debe tratarse como incidente.
BleepingComputer y The Register describen el bypass de autenticación de cPanel/WHM como crítico, explotado y lo bastante serio como para justificar parches de emergencia. Estas fallas llevan directo a sitios, correo, bases de datos y a veces a flotas completas de hosting.
The Register y The Hacker News describen Copy Fail (CVE-2026-31431) como una LPE de Linux que convierte un foothold modesto en root en distribuciones principales. Eso importa donde ya puede ejecutarse código de menor confianza: CI, servidores compartidos, jump boxes y contenedores con kernel compartido.
The Register y The Hacker News informan que Google corrigió una falla de ejecución de comandos de severidad máxima en Gemini CLI y en el workflow asociado de GitHub Actions, además de problemas de Cursor con ejecución de código. Operativamente molesta, sí, pero dejar abierta una ruta de ejecución a nivel host es peor.
Parchea Windows urgentes, rota secretos tocados por instalaciones comprometidas, cierra el agujero de cPanel, corrige kernels Linux donde la ejecución local importa y vuelve a probar la CI asistida por IA tras las actualizaciones de Gemini. El patrón es claro: la tubería operativa de confianza está bajo ataque.