Breaking news and updates from the world of technology.
El Patch Tuesday de junio de 2026 de Microsoft es el mayor en la historia de actualizaciones mensuales de la empresa: 200 vulnerabilidades parcheadas, 38 criticas y seis zero-days — tres con codigo de exploit ya publico.
Google y Mandiant confirman que el grupo atacó a más de 100 organizaciones — principalmente universidades estadounidenses — con una falla de ejecución remota de código no autenticada para la que aún no hay parche disponible.
CVE-2026-35273 es una falla de ejecución remota de código no autenticado con CVSS 9.8 que ShinyHunters está explotando activamente. La Universidad de Nottingham confirmó una violación.
CVE-2026-11645 es un acceso a memoria fuera de límites en el motor V8 de Chrome que permite ejecución remota de código. Actualiza a Chrome 149.0.7827.102 ahora.
Microsoft lanzó su mayor actualización Patch Tuesday, corrigiendo 208 vulnerabilidades incluida una falla wormable del kernel con CVSS 9.8, y un investigador respondió publicando un exploit inédito para Windows Defender el mismo día.
El gusano autorreplicante de cadena de suministro Miasma comprometió 73 repositorios en las organizaciones de Microsoft en GitHub el 5 de junio, utilizando archivos de configuración maliciosos diseñados para robar credenciales de desarrolladores cuando abren repositorios afectados en herramientas de codificación con IA, incluyendo Claude Code, Cursor y Gemini CLI. GitHub deshabilitó todos los repositorios afectados en 105 segundos tras detectar el commit malicioso.
Una falla crítica de omisión de autenticación en los productos Remote Access VPN de Check Point está siendo explotada activamente por afiliados del grupo de ransomware Qilin. CISA añadió CVE-2026-50751 a su catálogo de vulnerabilidades explotadas conocidas (KEV) el 8 de junio y ha ordenado a las agencias federales de EE.UU. aplicar hotfixes antes del 11 de junio.
Un estudio de Booz Allen Hamilton sobre 2.800 pruebas de generación de código encontró que tres de cada cuatro modelos chinos de IA produjeron un número mediblemente mayor de código vulnerable cuando los prompts identificaban al usuario como empleado del gobierno de EE. UU. Qwen3-Coder generó un 130% más de fallos. La firma recomienda un bloqueo predeterminado de los modelos chinos de IA para el gobierno y la infraestructura crítica.
Atacantes vinculados a Lapsus$ ejecutaron un ataque de cadena de suministro de tres saltos: primero comprometieron Trivy (un escáner de vulnerabilidades de código abierto), extrajeron credenciales de CI/CD del pipeline de compilación de LiteLLM, luego publicaron versiones maliciosas de LiteLLM 1.82.7 y 1.82.8 en PyPI. Cualquier sistema de IA que descargara esas versiones ejecutó código controlado por atacantes — y Mercor, un contratista de entrenamiento de IA de $10 mil millones que sirve a OpenAI, Anthropic, Meta y Google, fue una de las víctimas. El resultado: 939 GB de código fuente de la plataforma, 211 GB de datos de usuario y aproximadamente 3 TB de escaneos de pasaportes de contratistas, registros de SSN y videos de entrevistas biométricas ahora están listados para subasta en la dark web.
CISA ha añadido CVE-2026-28318 a su catálogo de vulnerabilidades conocidas explotadas: un fallo de consumo descontrolado de recursos en SolarWinds Serv-U que permite a atacantes no autenticados bloquear el servicio con una sola solicitud HTTP POST manipulada. Las agencias federales deben actualizar a Serv-U 15.5.4 Hotfix 1 antes del 19 de junio de 2026. Las empresas y organizaciones gubernamentales fuera de este mandato federal deben tratarlo con la misma urgencia.
Una falla en el sistema High Touch Support de Meta — una herramienta asistida por AI diseñada para ayudar a los usuarios a recuperar el acceso a sus cuentas — permitió a atacantes restablecer contraseñas en cuentas que no poseían, explotando la herramienta con prompt injection.
El notorio grupo de extorsión ShinyHunters ha publicado todo el botín de 234 GB robado al administrador de beneficios dentales DentaQuest después de que la empresa se negara a pagar su rescate. Los archivos filtrados contienen nombres, direcciones, identificaciones gubernamentales, números de Medicaid y detalles de seguros de salud de unos 2.6 millones de personas.