1. Principales Vulnerabilidades y Filtraciones de la semana

2. Cae LeakBase en una operación internacional: desmantelan uno de los mayores foros de datos robados

3. La filtración de datos de una plataforma de AI expone a más de un millón de usuarios

4. El nuevo ataque AirSnitch elude el cifrado Wi-Fi en hogares, oficinas y empresas

💥Un error de inyección de comandos en VMware Aria Operations ya está en el catálogo KEV de CISA. (Noticia)

La vulnerabilidad de alta gravedad, CVE-2026-22719 (puntuación CVSS: 8,1), se ha descrito como un caso de inyección de comandos que podría permitir a un atacante no autenticado ejecutar comandos arbitrarios.

💥Anthropic afirma que su modelo hashtag Claude encontró 22 vulnerabilidades de Firefox (Noticia)

“Al final de este esfuerzo, habíamos escaneado casi 6000 archivos C++ y enviado un total de 112 informes únicos, incluidas las vulnerabilidades de gravedad alta y moderada mencionadas anteriormente”, afirmó la Anthropic. “La mayoría de los problemas se han solucionado en Firefox 148, y el resto se solucionarán en próximas versiones”.

💥Ausencia de autenticación en Nginx-UI CVE-2026-27944 (Noticia)

El '/api/backup' endpoint es accesible sin autenticación y divulga las claves de cifrado necesarias para descifrar la copia de seguridad en el 'X-Backup-Security' encabezado de respuesta. Esto permite a un atacante no autenticado descargar una copia de seguridad completa del sistema que contiene datos confidenciales (credenciales de usuario, tokens de sesión, claves privadas SSL, configuraciones de Nginx) y descifrarla inmediatamente.

💥Cisco confirma la explotación activa de dos vulnerabilidades de Catalyst SD-WAN Manager (Noticia)

CVE-2026-20122 (puntuación CVSS: 7,1): una vulnerabilidad de sobrescritura de archivos arbitrarios que podría permitir a un atacante remoto autenticado sobrescribir archivos en el sistema de archivos local. CVE-2026-20128 (puntuación CVSS: 5,5): vulnerabilidad de divulgación de información que podría permitir a un atacante local autenticado obtener privilegios de usuario del agente de recopilación de datos (DCA) en un sistema afectado.

💥Hikvision y Rockwell Automation CVSS 9.8 Fallos añadidos al catálogo KEV de la CISA (Noticia)

CVE-2017-7921 (puntuación CVSS: 9,8): una vulnerabilidad de autenticación inadecuada que afecta a varios productos de Hikvision.

CVE-2021-22681 (puntuación CVSS: 9,8): vulnerabilidad de credenciales insuficientemente protegidas que afecta a varios productos Rockwell Automation Studio 5000 Logix Designer, RSLogix 5000 y Logix Controllers.

Cae LeakBase en una operación internacional: desmantelan uno de los mayores foros de datos robados

Uno de los mayores foros de compraventa de datos personales cae tras una operación internacional que ha coordinado EUROPOL en 14 países diferentes. Y en esta operación, por ejemplo, agentes de la Policía Nacional y de la Guardia Civil han participado en la desarticulación de la operativa del foro.

Hablamos de LeakBase, uno de los principales foros de Internet que se dedicaba a la compraventa de datos personales –con más de 142.000 usuarios-. Esta serie de datos procedía, en la mayor parte de las ocasiones, de bases de datos de grandes compañías y de dispositivos domésticos que habían sido infectados con algún malware.

Gracias a la recopilación de estos datos, se podían realizar diferentes fraudes, suplantaciones y ciberataques. En España, los agentes llevaron a cabo la detención de dos usuarios y realizaron también dos registros diferentes en las provincias de A Coruña y Vizcaya. Además, requisaron un gran número de material informático y documentación.

El foro acumulaba más de 142.000 usuarios –con unas 32.000 publicaciones y más de 215.000 mensajes privados– y su funcionamiento era ni más ni menos que el de un mercado de bases de datos filtradas y credenciales robadas. LeakBase era accesible desde la clearweb, es decir, la parte pública de Internet a la que cualquiera puede acceder desde un navegador normal como Chrome o Firefox, puesto que está indexada por buscadores. Además, hay que tener en cuenta que este portal llevaba activo desde 2021 y la mayor parte de su contenido estaba en inglés.

Dentro de este se podían encontrar diferentes elementos de un foro normal, aunque se combinaban también con otros contenidos que son propios de un mercado. Y todo porque se permitía la compra y venta (y también el intercambio) de datos personales.

Noticia ADSL Zone

La filtración de datos de una plataforma de AI expone a más de un millón de usuarios

La plataforma de generación de cómics mediante inteligencia artificial KomikoAI ha sufrido una importante brecha de seguridad que ha expuesto datos de más de un millón de usuarios. El incidente, ocurrido en febrero de 2026, afectó aproximadamente a 1.060.000 cuentas y supuso la filtración de información sensible asociada a los perfiles de la plataforma. Entre los datos comprometidos se encuentran direcciones de correo electrónico, nombres de usuario, publicaciones dentro del servicio y los prompts utilizados por los usuarios para generar contenido con la IA.

La filtración resulta especialmente relevante porque los datos expuestos permiten vincular directamente los prompts utilizados con direcciones de correo específicas. Esto implica que la actividad creativa o las consultas realizadas por los usuarios a la inteligencia artificial pueden quedar asociadas a identidades concretas, lo que incrementa el impacto potencial en términos de privacidad. Además, este tipo de información puede ofrecer a los atacantes un contexto adicional para desarrollar campañas de fraude o ingeniería social más sofisticadas.

Según los análisis publicados tras el incidente, los atacantes habrían explotado una vulnerabilidad en la infraestructura de KomikoAI que les permitió acceder a áreas restringidas del sistema y extraer grandes volúmenes de información. Aunque no se han revelado públicamente los detalles técnicos del vector de ataque, se apunta a posibles fallos en los mecanismos de defensa perimetral o a una gestión inadecuada de parches de seguridad en la plataforma.

Este caso pone de manifiesto los riesgos de seguridad asociados a las plataformas basadas en inteligencia artificial y la necesidad de aplicar controles estrictos de acceso, auditorías periódicas de seguridad y una correcta gestión de vulnerabilidades. A medida que los servicios de IA se integran cada vez más en aplicaciones públicas y empresariales, garantizar la protección de los datos generados y procesados por estos sistemas se convierte en un elemento crítico para preservar la confianza de los usuarios y la integridad de los servicios digitales.

Noticia DailyDarkWeb

El nuevo ataque AirSnitch elude el cifrado Wi-Fi en hogares, oficinas y empresas

El ataque AirSnitch es una nueva técnica que permite a un atacante interceptar tráfico en redes Wi-Fi sin necesidad de romper directamente los mecanismos de cifrado como WPA2 o WPA3. En lugar de descifrar la comunicación, el ataque explota debilidades en cómo funcionan internamente las redes Wi-Fi y cómo los dispositivos se identifican y se comunican dentro de ellas. Esto permite a un atacante que ya esté conectado a la misma red manipular el tráfico y colocarse entre las comunicaciones del usuario y el punto de acceso.

La base técnica del ataque se encuentra en fallos de diseño entre diferentes capas del protocolo Wi-Fi. Los investigadores descubrieron que los dispositivos pueden desincronizar su identidad entre las capas de red (por ejemplo, MAC, IP y SSID), lo que permite a un atacante falsificar direcciones MAC o manipular paquetes para redirigir el tráfico hacia su propio equipo. Mediante técnicas como MAC spoofing, “gateway bouncing” o el abuso de claves compartidas de difusión, el atacante puede interceptar tanto tráfico de subida como de bajada dentro de la red.

Una vez logrado esto, el atacante puede ejecutar un ataque man-in-the-middle (MitM) completo. Esto significa que puede observar e incluso modificar los datos antes de que lleguen a su destino. Si el tráfico no está cifrado a nivel de aplicación (por ejemplo, HTTP o ciertos protocolos internos), el atacante podría robar credenciales, cookies de sesión o datos sensibles. Incluso cuando se utiliza HTTPS, el atacante aún puede observar metadatos, realizar envenenamiento DNS o explotar vulnerabilidades adicionales en los sistemas de la víctima.

El ataque requiere, sin embargo, que el adversario tenga algún tipo de acceso a la red Wi-Fi, por ejemplo conociendo la contraseña o utilizando redes abiertas o públicas. Por esta razón, el riesgo es especialmente alto en hotspots públicos o redes compartidas, donde muchos usuarios tienen acceso al mismo SSID. En estos entornos, AirSnitch puede permitir interceptar comunicaciones entre dispositivos que, en teoría, deberían estar aislados entre sí mediante mecanismos de seguridad como la “client isolation”.

Informe Técnico ArsTechnica

Ver historial de Publicaciones