En medio de años de advertencias de que los notorios piratas informáticos chinos Volt Typhoon podrían posicionarse previamente en la infraestructura crítica de los Estados Unidos, un juego de guerra cerrado llevado a cabo por compañías de seguros produjo una serie de los peores escenarios: revelaron una amenaza amenazadora e inquietante.
El grupo de vigilancia interna de ICE, la Oficina de Responsabilidad Profesional, ha comenzado a investigar las críticas en línea a la agencia, abriendo más de 100 casos que investigan lo que los funcionarios de ICE llaman “incidentes de doxing y amenazas” contra empleados de la agencia. Y en la Unión Europea, las empresas de tecnología podrán volver a escanear los textos privados, los correos electrónicos y los mensajes de las redes sociales de los ciudadanos gracias a las actualizaciones de las leyes de “control de chat” destinadas a frenar el material violento contra los niños en línea. El Parlamento Europeo decidió prorrogar la ley a pesar de que una mayoría de eurodiputados votó en contra de la propuesta.
WIRED reveló más sobre el panorama de vigilancia del Madison Square Garden esta semana con la revelación de que MSG mantiene una base de datos que clasifica a cientos de celebridades, superfans prominentes de los Knicks e incluso algunos de los invitados a la boda de Taylor Swift usando etiquetas que incluyen “LGBTQIA”, “NO ANFITRIÓN” y “riesgo” de bajo a alto.
Y una nueva investigación de esta semana muestra que una ola de secuestros de sitios web gubernamentales en los que los estafadores prometen contenido de Onlyfans “filtrado” se está viendo frustrada por miles de quejas de derechos de autor de creadores de contenido para adultos, que están ayudando a mantener a las personas seguras eliminando los enlaces maliciosos.
Y hay más. Cada semana recopilamos noticias sobre seguridad y privacidad que no cubrimos en profundidad. Haga clic en el titular para leer la historia completa. Y mantente a salvo ahí fuera.
Nebula Security ha publicado un código de explotación para GhostLock (CVE-2026-43499), un error de uso después de la liberación que ha existido en el kernel de Linux durante 15 años y permite a los usuarios registrados rootear máquinas sin parches, según Semana de la seguridad Y Noticias de piratas informáticos. Esta falla se envía de forma predeterminada en todas las distribuciones principales desde 2011 y no requiere permisos especiales ni acceso a la red. El exploit Nebula pasó los contenedores y fue 97 por ciento confiable en las pruebas. Obtuvo un pago de 92.337 dólares a través del programa kernelCTF de Google. Este problema se solucionó en abril, pero la disponibilidad de parches ha sido irregular; Ubuntu, a principios de julio, todavía enumera 24.04, 22.04 y 20.04 LTS como vulnerables o en proceso, por lo que los defensores deberían confirmar un paquete arreglado en lugar de asumir que está esperando.
Específicamente, Nebula descubrió el error en VEGA, una herramienta de búsqueda de errores impulsada por IA, parte de una falla de escalada de privilegios de Linux que se ejecutó en 2026 y que surgió mediante herramientas automatizadas que revisaron el código del kernel antiguo que pocas personas habían releído a lo largo de los años.
Escribir en DriveEl periodista Joel Feder explicó que fue inmovilizado por cuatro coches de policía de Plymouth, Minnesota, en un estacionamiento de Kohl’s a finales de junio (los agentes gritaban mientras empuñaban armas) porque una cámara de matrícula de Flock había marcado como robado el Range Rover de 155.000 dólares que estaba probando, prestado por un concesionario de Nueva Jersey. Feder escribió que la policía había estado rastreando la camioneta por la ciudad durante días… debido a un error tipográfico.
La causa surgió de un error de ingreso de datos a 2,000 millas de distancia: una placa de flota de Jaguar Land Rover que decía 34 03 DTM había sido reportada a la policía de Los Ángeles como perdida, pero se ingresó en el sistema simplemente como “34 DTM”, omitiendo el número medio más pequeño que usa Nueva Jersey en las placas de los fabricantes. Las cámaras Flock leen caracteres grandes, ignoran estructuras no estándar y comienzan a alertar a la policía si hay un automóvil correspondiente. Feder informó que esa misma semana se estaban rastreando otros cuatro Land Rover que usaban el mismo formato de matrícula en Minnesota; él simplemente se detuvo primero.
La placa que inició toda esta actividad policial resultó no haber sido robada en absoluto, sino simplemente extraviada durante una sesión de fotos. Irónicamente, sucedió apenas dos semanas después de The Drive. publicó un informe viral justo en este tipo de alcance al Flock.
El gigante consultor Accenture ha confirmado una violación de seguridad después de que un actor de amenazas llamado “888” afirmara haber tomado 35 GB de datos (código fuente, claves RSA y SSH, tokens de acceso a Azure y archivos de configuración) y los vendió en foros de cibercrimen. según BleepingComputer. Accenture lo llamó un “problema aislado” y dijo que había restaurado la fuente y no informó ningún impacto en las operaciones, pero en ese momento se negó a comentar qué se tomó exactamente o cómo entraron los atacantes. Para respaldar el reclamo, 888 publicó una captura de pantalla que muestra un repositorio de Azure DevOps clonado en un host censurado de Accenture.com; BleepingComputer no pudo verificar la cobertura total. Esta no es la primera incursión del actor en la empresa: 888 intentó vender datos de los empleados de Accenture después de una filtración de terceros en 2024, y Accenture fue atacada por separado por el ransomware LockBit en 2021.
El momento de esta infracción no podría ser mejor: el brazo federal de Accenture ha sobrevivido Contrato de Servicios de Soporte de Defensa y Ciberinteligencia del ICE—Monitoreo de amenazas 24 horas al día, 7 días a la semana, detección de intrusiones y respuesta a incidentes en toda la red de la agencia—desde septiembre de 2021, una orden de trabajo de aproximadamente $ 56,5 millones que vence a fines de agosto y actualmente se está volviendo a competir.
El Pentágono abrió solicitudes esta semana para Cyber RAP, un programa de pasantías remuneradas que recluta personas sin títulos ni experiencia cibernética (solo aptitud para aprender) para trabajar a tiempo completo durante 12 meses y aprender a mantener las redes del departamento. según DefenseScoop. La CIO militar estadounidense, Kirsten Davies, calificó esto como un esfuerzo para eludir el “control académico” en favor de “habilidades brutas, impulso patriótico y capacidad práctica”. Pero los salarios que reciben son muy pequeños, 22.584 dólares al año, y los que quedan fuera estarán en deuda con el gobierno por la formación impartida.
Ése es el trato para desarrollar talento dentro de la empresa. Otra opción es alquilarlo. Una disposición en el proyecto de ley de defensa de 2027 del Comité de Servicios Armados del Senado permitiría al secretario de Defensa, Pete Hegseth, ejecutar un proyecto piloto para ejecutar operaciones cibernéticas a través de “medios operados y propiedad de contratistas”: un equipo de piratería contratado por el gobierno, Informe de seguridad de GovernmentInfo.



