Resumen 22 Ene: Fallo crítico en Cloudflare, 42k secretos filtrados y malware en VS Code

Tres noticias que han puesto en alerta a desarrolladores y administradores de sistemas en todo el mundo.

Author

LUIS CARREON
22 de enero de 2026

Ciber Conciencia Digital
🔒

Ciber Conciencia Digital

Tu resumen diario de ciberseguridad

📅 22 de enero de 2026
Fallo crítico en Cloudflare, 42k secretos filtrados y malware en VS Code
📋

📋 Resumen del Día

Hoy analizamos tres noticias que han puesto en alerta a desarrolladores y administradores de sistemas en todo el mundo. Desde vulnerabilidades de bypass en la infraestructura de Cloudflare hasta una exposición masiva de credenciales en aplicaciones modernas.

📰 Noticias Destacadas

1

Cloudflare corrige una vulnerabilidad crítica que permitía saltar el WAF y acceder a servidores de origen

Cloudflare corrige una vulnerabilidad crítica que permitía saltar el WAF y acceder a servidores de origen

Cloudflare, el gigante de la infraestructura web, ha anunciado la resolución de un fallo de seguridad crítico en su lógica de validación de certificados ACME. La vulnerabilidad, identificada por investigadores de la firma FearsOff, permitía a atacantes potenciales eludir las protecciones del Firewall de Aplicaciones Web (WAF) para acceder directamente a los servidores de origen de los clientes.

El origen del fallo: El protocolo ACME

El problema radicaba en cómo la red perimetral de Cloudflare gestionaba las solicitudes dirigidas a la ruta de validación HTTP-01 del protocolo ACME (Automatic Certificate Management Environment). Esta r...

Fuente: https://thehackernews.com/2026/01/cloudflare-fixes-acme-validation-bug.html
2

Investigación revela crisis de seguridad: más de 42,000 "secretos" expuestos en paquetes de JavaScript

Investigación revela crisis de seguridad: más de 42,000 "secretos" expuestos en paquetes de JavaScript

Una reciente investigación a gran escala ha puesto al descubierto una falla crítica en la seguridad de las aplicaciones modernas. El equipo de investigación de la firma Intruder reveló que, tras escanear 5 millones de aplicaciones web, se detectaron más de 42,000 tokens y claves de API expuestas directamente en los paquetes (bundles) de JavaScript, accesibles para cualquier atacante con un navegador web.

El punto ciego del "Shift-Left"

El informe destaca una realidad preocupante: aunque muchas empresas han implementado controles de "shift-left" (seguridad desde el inicio del desarrollo), como el escaneo de repositorios y herramientas de aná...

Fuente: https://thehackernews.com/2026/01/why-secrets-in-javascript-bundles-are.html
3

Evelyn Stealer: El nuevo malware que convierte a VS Code en un arma contra los desarrolladores

Evelyn Stealer: El nuevo malware que convierte a VS Code en un arma contra los desarrolladores

Investigadores de la firma Trend Micro han emitido una alerta crítica sobre una nueva campaña de malware denominada "Evelyn Stealer". Este sofisticado infostealer está diseñado específicamente para atacar a la comunidad de desarrolladores de software, utilizando el ecosistema de extensiones de Microsoft Visual Studio Code (VS Code) como vector principal de infección.

El desarrollador como objetivo de alto valor

A diferencia de los ataques masivos genéricos, Evelyn Stealer tiene un enfoque quirúrgico. Según el análisis publicado este lunes, los atacantes buscan compromet...

Fuente: https://thehackernews.com/2026/01/evelyn-stealer-malware-abuses-vs-code.html
📺

📺 Video del Día

🎧 Podcast del Día en Spotify

🛡️

¡Mantente seguro en el mundo digital!

Ciber Conciencia Digital • Tu fuente confiable de noticias de ciberseguridad

© 2026 Ciber Conciencia Digital. Todos los derechos reservados.