Pentester

You lock your doors at night. You avoid sketchy phone calls. You’re careful about what you post on social media. But what about the information about you that’s already out there—without your permission? Your name. Home address. Phone number. Past jobs. Family members. Old usernames. It’s all still online, and it’s a lot easier to…

Cybersecurity researchers have discovered five new malicious Google Chrome web browser extensions that masquerade as human resources (HR) and enterprise resource planning (ERP) platforms like Workday, NetSuite, and SuccessFactors to take control of victim accounts. «The extensions work in concert to steal authentication tokens, block incident response capabilities, and enable complete account

Security experts have disclosed details of a new campaign that has targeted U.S. government and policy entities using politically themed lures to deliver a backdoor known as LOTUSLITE. The targeted malware campaign leverages decoys related to the recent geopolitical developments between the U.S. and Venezuela to distribute a ZIP archive («US now deciding what’s next…

A threat actor likely aligned with China has been observed targeting critical infrastructure sectors in North America since at least last year. Cisco Talos, which is tracking the activity under the name UAT-8837, assessed it to be a China-nexus advanced persistent threat (APT) actor with medium confidence based on tactical overlaps with other campaigns mounted…

Recientemente se ha descubierto una vulnerabilidad de alta puntuación en el conocido sistema de bases de datos NoSQL, MongoDB. Esta vulnerabilidad ha sido apodada como “MongoBleed” y se le ha asignado el identificador de vulnerabilidad CVE-2025-14847. En esencia, este riesgo de seguridad es comparable en impacto al histórico Heartbleed, ya que posibilita la extracción de…

Investigadores de ciberseguridad han alertado sobre la aparición de una extensión fraudulenta para Google Chrome diseñada para robar claves API de la plataforma de intercambio de criptomonedas MEXC, permitiendo a los atacantes generar y ocultar claves con permisos de retiro, lo que supone un grave riesgo para los fondos de los usuarios. Las plataformas de…

Una nueva vulnerabilidad en Microsoft Copilot Personal permite la exfiltración de datos sensibles mediante ataques de phishing de un solo clic, poniendo en riesgo a millones de usuarios domésticos si no se aplican medidas de prevención y actualización. Los asistentes inteligentes, como Copilot, se han convertido en herramientas esenciales para la productividad digital. Sin embargo,…

Una sofisticada campaña de phishing está suplantando al Ministerio de Salud de Italia para obtener datos confidenciales de usuarios del sistema sanitario. El ataque se basa en correos electrónicos falsos que aparentan ser notificaciones oficiales, con el objetivo de redirigir a las víctimas hacia páginas fraudulentas y extraer información sensible. El incidente confirma una tendencia…

La botnet GoBruteforcer ha puesto en alerta a servidores Linux usados en proyectos de criptomonedas, explotando contraseñas débiles y servicios críticos mal configurados. En los últimos meses, investigadores de seguridad han detectado una intensificación de ataques de la botnet GoBruteforcer enfocados en servidores Linux relacionados con blockchain. El malware combina técnicas de fuerza bruta con…