Durante años, cada gran incidente de la cadena de suministro en npm reabría la misma broma entre desarrolladores: quizá había llegado el momento de volver a PHP. El problema es que la seguridad del software moderno ya no depende de un lenguaje concreto. Depende de cómo instalamos dependencias, cómo confiamos en mantenedores externos, cómo ejecutamos scripts automáticos y cómo protegemos
Osiris ha llegado a GitHub con una promesa ambiciosa: reunir en una sola interfaz global datos abiertos de aviación, satélites, cámaras públicas, terremotos, incendios, noticias, ciberamenazas, sanciones, criptomonedas y zonas de conflicto. Su propio repositorio lo define como una plataforma de inteligencia global en tiempo real y una alternativa open source a Palantir, una comparación llamativa que conviene leer con
Una nueva vulnerabilidad de escalada local de privilegios en Linux, bautizada como CIFSwitch, ha encendido las alertas entre administradores de sistemas y equipos de seguridad. El fallo afecta a la interacción entre el cliente CIFS/SMB del kernel y el paquete de herramientas de espacio de usuario cifs-utils, y puede permitir que un usuario sin privilegios obtenga ejecución como root en
La vulnerabilidad CVE-2026-46333, conocida como ssh-keysign-pwn o ptrace exit-race, no es una simple alerta más del kernel de Linux. El fallo permite que un usuario local sin privilegios lea archivos propiedad de root en determinadas condiciones, incluidos secretos tan sensibles como las claves privadas del host SSH o la base de datos /etc/shadow, donde se almacenan los hashes de contraseñas
Fragnesia, registrada como CVE-2026-46300, ha vuelto a poner el foco en una zona especialmente sensible del kernel Linux: las rutas de red relacionadas con XFRM, ESP e IPsec. Para los administradores de sistemas, lo importante no es solo el nombre de la vulnerabilidad, sino su impacto práctico: un usuario local sin privilegios puede llegar a obtener root si el sistema
La programación asistida por Inteligencia Artificial ha acelerado prototipos, pequeñas aplicaciones internas y productos que antes tardaban semanas en llegar a una primera versión. El problema es que esa velocidad también está llevando a producción código que parece correcto, compila, responde bien en una demo y, aun así, arrastra fallos básicos de seguridad: credenciales expuestas, endpoints sin límites de uso,
DirtyFrag ha llegado en el peor momento posible para administradores Linux: apenas unos días después de Copy Fail y con una prueba de concepto pública circulando antes de que todas las distribuciones pudieran completar su ciclo de parcheo. No es una vulnerabilidad remota que permita entrar desde Internet sin credenciales, pero sí es una escalada local de privilegios muy seria.
Anthropic ha publicado uno de esos textos que interesan mucho más de lo que parece a simple vista. No presenta un nuevo modelo ni un benchmark espectacular, pero sí enseña algo que empieza a ser igual de importante en la práctica: cómo diseñar el entorno de trabajo de un agente para que pueda construir aplicaciones completas durante horas sin degradarse
Una de las ideas más repetidas en seguridad web es que no conviene usar expresiones regulares para parsear HTML. Sin embargo, el problema no es solo teórico. Un investigador conocido como Stealthcopter ha documentado una clase de fallos a la que llama informalmente REGEXSS: vulnerabilidades XSS que aparecen cuando una limpieza de HTML basada en regex, aparentemente inocente, termina rompiendo
La ingeniería de Internet acaba de cerrar uno de los huecos de privacidad más conocidos del arranque de una conexión segura. El IETF ha publicado RFC 9849, el documento que define TLS Encrypted Client Hello (ECH) como especificación Standards Track / Proposed Standard, con fecha de marzo de 2026. El texto describe un mecanismo para cifrar el mensaje inicial ClientHello
Durante años, cada gran incidente de la cadena de suministro en npm reabría la misma broma entre desarrolladores: quizá había llegado el momento de volver a PHP. El problema es que la seguridad del software moderno ya no depende de un lenguaje concreto. Depende de cómo instalamos dependencias, cómo confiamos en mantenedores externos, cómo ejecutamos scripts automáticos y cómo protegemos
Osiris ha llegado a GitHub con una promesa ambiciosa: reunir en una sola interfaz global datos abiertos de aviación, satélites, cámaras públicas, terremotos, incendios, noticias, ciberamenazas, sanciones, criptomonedas y zonas de conflicto. Su propio repositorio lo define como una plataforma de inteligencia global en tiempo real y una alternativa open source a Palantir, una comparación llamativa que conviene leer con
Una nueva vulnerabilidad de escalada local de privilegios en Linux, bautizada como CIFSwitch, ha encendido las alertas entre administradores de sistemas y equipos de seguridad. El fallo afecta a la interacción entre el cliente CIFS/SMB del kernel y el paquete de herramientas de espacio de usuario cifs-utils, y puede permitir que un usuario sin privilegios obtenga ejecución como root en
La vulnerabilidad CVE-2026-46333, conocida como ssh-keysign-pwn o ptrace exit-race, no es una simple alerta más del kernel de Linux. El fallo permite que un usuario local sin privilegios lea archivos propiedad de root en determinadas condiciones, incluidos secretos tan sensibles como las claves privadas del host SSH o la base de datos /etc/shadow, donde se almacenan los hashes de contraseñas
Fragnesia, registrada como CVE-2026-46300, ha vuelto a poner el foco en una zona especialmente sensible del kernel Linux: las rutas de red relacionadas con XFRM, ESP e IPsec. Para los administradores de sistemas, lo importante no es solo el nombre de la vulnerabilidad, sino su impacto práctico: un usuario local sin privilegios puede llegar a obtener root si el sistema
La programación asistida por Inteligencia Artificial ha acelerado prototipos, pequeñas aplicaciones internas y productos que antes tardaban semanas en llegar a una primera versión. El problema es que esa velocidad también está llevando a producción código que parece correcto, compila, responde bien en una demo y, aun así, arrastra fallos básicos de seguridad: credenciales expuestas, endpoints sin límites de uso,
DirtyFrag ha llegado en el peor momento posible para administradores Linux: apenas unos días después de Copy Fail y con una prueba de concepto pública circulando antes de que todas las distribuciones pudieran completar su ciclo de parcheo. No es una vulnerabilidad remota que permita entrar desde Internet sin credenciales, pero sí es una escalada local de privilegios muy seria.
Anthropic ha publicado uno de esos textos que interesan mucho más de lo que parece a simple vista. No presenta un nuevo modelo ni un benchmark espectacular, pero sí enseña algo que empieza a ser igual de importante en la práctica: cómo diseñar el entorno de trabajo de un agente para que pueda construir aplicaciones completas durante horas sin degradarse
Una de las ideas más repetidas en seguridad web es que no conviene usar expresiones regulares para parsear HTML. Sin embargo, el problema no es solo teórico. Un investigador conocido como Stealthcopter ha documentado una clase de fallos a la que llama informalmente REGEXSS: vulnerabilidades XSS que aparecen cuando una limpieza de HTML basada en regex, aparentemente inocente, termina rompiendo
La ingeniería de Internet acaba de cerrar uno de los huecos de privacidad más conocidos del arranque de una conexión segura. El IETF ha publicado RFC 9849, el documento que define TLS Encrypted Client Hello (ECH) como especificación Standards Track / Proposed Standard, con fecha de marzo de 2026. El texto describe un mecanismo para cifrar el mensaje inicial ClientHello
– patrocinadores –
– patrocinadores –
– patrocinadores –
