Martes 8 de julio y el ecosistema tech no se toma un respiro. CISA encendió las alarmas con cuatro vulnerabilidades que ya están siendo explotadas en entornos reales — una de ellas a horas de hacerse pública. Japón enfrenta una de las brechas de datos más grandes del año con 12.2 millones de personas afectadas. China escaló su guerra tecnológica acusando a Anthropic de incorporar mecanismos de vigilancia en Claude Code. Y en el lado positivo, Fujitsu se alía con Carnegie Mellon para empujar la IA física al mundo real. Aquí tu resumen con fuentes verificadas.
🔥 CISA agrega 4 vulnerabilidades activamente explotadas a su catálogo KEV
La Agencia de Ciberseguridad de EE.UU. (CISA) añadió el martes cuatro fallos de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), todos con evidencia de explotación activa en entornos reales:
- CVE-2026-48282 (CVSS 10.0) — Path traversal en Adobe ColdFusion que permite ejecución remota de código.
- CVE-2026-56290 (CVSS 10.0) — Fallo de control de acceso en Joomlack Page Builder que posibilita RCE mediante carga de archivos sin autenticación.
- CVE-2026-48908 (CVSS 10.0) — Carga sin restricción de archivos en JoomShaper SP Page Builder que permite subir y ejecutar código PHP sin autenticación.
- CVE-2026-55255 (CVSS 6.1) — Bypass de autorización en Langflow que permite a un atacante autenticado ejecutar flujos de otros usuarios.
"La explotación de CVE-2026-48282 fue observada a horas de su divulgación pública. Ryan Dewhurst, fundador de KEVIntel, confirmó a The Hacker News que se registró un intento desde una IP geolocalizada en India (103.207.14.220)."
Lo más alarmante es la velocidad: el exploit de ColdFusion comenzó a usarse minutos después de que se publicara el análisis técnico el 2 de julio. Según The Hacker News, Sysdig detectó a un operador solitario (IP 45.207.216.55) explotando CVE-2026-55255 en Langflow junto con otra vulnerabilidad de RCE sin autenticación (CVE-2026-33017) en una campaña sostenida entre el 22 y 25 de junio.
Las agencias federales tienen 3 semanas para aplicar los parches correspondientes. Si usas Adobe ColdFusion, Joomla con SP Page Builder, Page Builder CK o Langflow, actualiza hoy.
🇯🇵 Brecha masiva en KDDI: 12.2 millones de correos expuestos por zero-day
El gigante japonés de telecomunicaciones KDDI — segundo operador móvil del país con 45,000 empleados e ingresos anuales de $32.4 mil millones — reveló que un atacante comprometió una plataforma de correo utilizada por cinco proveedores de internet (STNet, JCOM, Chubu Telecommunications, NIFTY y BIGLOBE), exponiendo datos de millones de usuarios.
Las cifras son contundentes según BleepingComputer:
- 12,233,087 direcciones de correo electrónico expuestas.
- 7,616,173 contraseñas comprometidas (algunas en hash, otras sin especificar).
- El atacante explotó un zero-day en software de terceros desde el 16 de mayo, y no fue detectado hasta el 17 de junio.
"Al 17 de junio de 2026, fecha de nuestra confirmación, esta vulnerabilidad no era reconocida por el proveedor del software. El proveedor ha reportado la vulnerabilidad a las autoridades públicas y está trabajando en su divulgación." — KDDI, comunicado oficial del 6 de julio.
KDDI ya desplegó EDR (Endpoint Detection and Response) y una auditoría forense confirmó el 23 de junio que la vulnerabilidad fue corregida. Los ISP afectados están forzando cambios de contraseña obligatorios para todos los usuarios en un plazo de 1-2 días.
🇨🇳 China acusa a Claude Code de Anthropic de contener "backdoor"
La Base de Datos Nacional de Vulnerabilidades de China (NVDB), operada por el Ministerio de Industria, emitió una alerta de seguridad nacional sobre Claude Code, la herramienta de codificación con IA de Anthropic. Según la NVDB, las versiones 2.1.91 a 2.1.196 contienen un "mecanismo de monitoreo incorporado capaz de transmitir información sensible del usuario sin consentimiento".
La acusación, reportada por WTAQ, escala la guerra tecnológica entre EE.UU. y China a un nuevo nivel. Anthropic no ha emitido una respuesta oficial al momento de esta publicación.
Este movimiento se suma a las restricciones previas de EE.UU. sobre exportaciones de chips y modelos avanzados de IA, y ocurre en un contexto donde el 30-46% del tráfico de tokens API en empresas estadounidenses ya fluye hacia modelos chinos — un fenómeno que analistas llaman la "Gran Repreciación de la IA", según reportó CNBC.
🤖 Fujitsu + Carnegie Mellon: alianza millonaria por la IA Física
En noticias positivas: Fujitsu anunció una alianza estratégica con el Robotics Innovation Center de Carnegie Mellon University para establecer un centro de investigación dedicado a "Physical AI" — sistemas de inteligencia artificial capaces de operar de forma segura y efectiva en entornos del mundo real.
La colaboración, reportada por CMU News, busca desarrollar sistemas que integren percepción, razonamiento y acción física en manufactura, logística y robótica colaborativa. Llega en un momento donde el mercado global de robótica impulsada por IA se proyecta en US$150 mil millones para 2036, según GlobeNewsWire.
Además, NTT DATA y Hyster-Yale anunciaron un avance en IA física para manufactura: integrar inteligencia directamente en procesos de control de calidad, reduciendo tiempos de despliegue de meses a semanas. La IA física ya no es teoría de laboratorio — está entrando a las fábricas.
📊 En otras noticias
- Accenture sufre brecha de seguridad: Un actor de amenazas afirmó haber robado más de 35GB de código fuente, llaves RSA, llaves SSH y tokens de acceso de Azure. La firma confirmó el incidente. (HelpNetSecurity)
- Google corrige fallo "Rogue Agent" en Dialogflow CX: La vulnerabilidad permitía secuestrar conversaciones de IA, exfiltrar datos y comprometer agentes dentro del mismo proyecto de Google Cloud. El parche se desplegó en junio. (SecurityWeek)
- Verificación de identidad bajo ataque: El 4.18% de los intentos de verificación en 2026 son fraudulentos. Los medios presentados digitalmente tienen 300% más probabilidades de ser generados o alterados con IA. (The Hacker News)
- Banco Central de Filipinas alerta: El BSP advirtió a las instituciones financieras sobre riesgos de ciberseguridad provenientes de modelos avanzados de IA. (BusinessWorld)
📰 Metodología: Este resumen se elabora con fuentes verificadas de The Hacker News, BleepingComputer, SecurityWeek, CMU News, HelpNetSecurity, BusinessWorld y WTAQ. Si encuentras algún error, repórtalo a andy@w-admin.com.