La debilidad, presente en el diseño de la arquitectura RPC de Windows, abre la puerta a obtener permisos elevados sin explotar un componente concreto. El riesgo es especialmente significativo porque cualquier nuevo proceso o servicio que dependa de RPC podría introducir una vía adicional de ataque, apunta Kaspersky.

Las organizaciones han logrado reducir un 47% sus tiempos medios de corrección y acortar en 42 días la resolución de vulnerabilidades graves. Sin embargo, las empresas solo están evaluando el 32% de su superficie de ataque, dejando miles de activos sin validar.

Se ha identificado una vulnerabilidad crítica, CVE-2026-35616, en el Fortinet FortiClient EMS (Endpoint Management System), que afecta a las versiones 7.4.5 y 7.4.6, y que permite la ejecución remota de comandos o código sin autenticación a través de su interfaz de gestión. La gravedad de este fallo ha sido evaluada como CVSS 9.1, l...

La gestión de vulnerabilidades XSS se vuelve esencial para proteger datos y procesos críticos, combinando detección temprana, prácticas de desarrollo seguras y capacitación especializada para enfrentar los desafíos de aplicaciones web cada vez más complejas e interconectadas.

La complejidad del multicloud, la velocidad de las amenazas y la presión por reducir el tiempo de exposición obligan a las empresas a replantear su estrategia de ciberseguridad. ReeVo advierte que las organizaciones ya no pueden permitirse enfoques reactivos en un entorno donde cada minuto cuenta.

Los ataques dirigidos a entornos remotos crecieron un 58% en 2025, impulsados por la proliferación de herramientas automatizadas y la falta de protección en dispositivos y redes domésticas. Uno de los riesgos más graves es la proliferación de redes zombi.

Este método, consistente en inyectar un código malicioso oculto en scripts de terceros, casi triplicó su actividad en 2024 con más de 11.000 dominios infectados. Un solo proveedor comprometido o un plugin desactualizado puede abrir la puerta a miles de tiendas.

La adopción masiva de herramientas de codificación asistida por inteligencia artificial está transformando el desarrollo de software, pero también multiplicando los riesgos de seguridad. El vibe coding puede generar fallos críticos que pasan inadvertidos hasta llegar a producción.

El uso malicioso de herramientas de acceso remoto y credenciales válidas se ha disparado en las últimas semanas, dificultando la detección temprana de intrusiones. Los analistas alertan de un incremento de accesos ilícitos a Microsoft 365 desde países ajenos a la actividad de las organizaciones afectadas.

La exposición al riesgo en el sector de banca, servicios financieros y seguros se intensifica por vulnerabilidades en código abierto y sistemas heredados. Aunque el código de terceros representa solo el 17% de la deuda total, es responsable de más del 82% de la deuda crítica.

El apagón masivo de la plataforma de infraestructura en la nube deja sin servicio a webs, apps y redes sociales, y revela la falta de planes de contingencia en muchas organizaciones. La caída de AWS no solo afectó la disponibilidad de servicios, sino que abrió una ventana de vulnerabilidad en términos de ciberseguridad.

Las organizaciones utilizan ahora una media de 139 aplicaciones de software como servicio, y muchas organizaciones con visión de futuro implementan más de 200. El 65% de las organizaciones se vieron afectadas por una brecha relacionada con SaaS en los últimos 12 meses.

En muchas organizaciones, los certificados son gestionados directamente por los usuarios, lo que aumenta el riesgo de errores y compromisos de seguridad. La gestión inteligente de certificados transforma la seguridad desde la base, eliminando puntos ciegos y liberando al usuario de tareas que no debería asumir.

Las sugerencias inexistentes generadas por asistentes de codificación basados en IA están alimentando una nueva clase de amenaza en la cadena de suministro. Los ciberdelincuentes ya están explotando esta vulnerabilidad mediante una técnica emergente conocida como slopsquatting.

Solo el 27,1% realiza estas evaluaciones críticas mensualmente, y la mayoría cada pocos meses. Esto los deja expuestos a tiempos de inactividad no planificados, pérdidas de producción y los daños financieros y de reputación que pueden dar lugar a posibles violaciones cibernéticas.

El 55% acumula una deuda de seguridad crítica, que representa vulnerabilidades persistentes con un alto potencial de riesgo. Las entidades del sector público necesitan un promedio de 315 días para corregir la mitad de sus vulnerabilidades de software.

La mayor parte de las cookies robadas proceden de plataformas líderes, como Google, YouTube, Microsoft y Bing. España ocupa el puesto 15 de los países analizados, con más de 1.700 millones de cookies filtradas, de las cuales 139 millones siguen activas y vinculadas a la actividad real de los usuarios.

El 93% teme vulnerabilidades de puertas traseras por conexiones VPN de terceros. Se ha observado un gran aumento en el escaneo de direcciones IP de VPN públicas, lo que sugiere preparativos para explotar vulnerabilidades aún no divulgadas. El 81% de las compañías planea adoptar Zero Trust en el próximo año.

En las organizaciones españolas existen 81 identidades de máquina por cada identidad humana, y el 45% de estas identidades de máquina tienen acceso privilegiado o sensible, lo que incrementa los riesgos de seguridad. El 98% de las empresas utiliza IA y LLM para mejorar la seguridad de la identidad.

El 74% de las infracciones de las políticas de datos de aplicaciones personales implica la subida de datos personales y financieros regulados. Casi 1,5 de cada 100 usuarios del sector de los servicios financieros son víctimas de un intento de phishing o de descarga de malware cada mes.