¡Abrimos el Call for Sponsors para BitUp Alicante 2026!
Da visibilidad a tu marca ante cientos de apasionados del sector y futuros profesionales. 💛🖤
Impulsa el talento, apoya a la comunidad y forma parte del evento del año. 👇
https://t.co/sUpmBmpZ23
🤝 ¡El Call for Sponsors de BitUp Alicante 2026 está ABIERTO! 🚀
Conecta con el mejor talento tech este 30 y 31 de octubre en el ADDA. Dale visibilidad a tu marca y apoya a la comunidad. 💛🖤
📝 Únete aquí: https://t.co/sUpmBmprcv
#BitUp2026#AlicanteTech#Sponsors
🚨 CVE-2026-3227 PoC released for TP-Link routers
https://t.co/xvWBBjKWP6
A public GitHub repo has been released for CVE-2026-3227, an authenticated OS command injection vulnerability affecting multiple TP-Link router models.
The flaw exists in the router configuration backup / restore process and can allow an attacker with admin access to execute commands as root, potentially leading to full device compromise or persistent disruption.
Repo includes:
• Python PoC
• QEMU hook tooling
• Config payload generator
• Root-cause analysis
• Firmware reverse-engineering notes
• Exploit workflow documentation
Details:
• Vendor: TP-Link
• CVE: CVE-2026-3227
• Affected: TL-WR802N v4, TL-WR841N v14, TL-WR840N v6
• Type: Authenticated OS command injection
• Impact: Root command execution
• CWE: CWE-78
• Fixed versions: Latest TP-Link firmware releases
Admins/Users should update affected TP-Link routers to the latest firmware.
📢 ¡El Call for Papers de BitUp 2026 ya está ABIERTO! 🚀
¿Tienes un proyecto, experiencia técnica o una idea brutal que compartir? ¡Te estamos buscando! Sube al escenario del ADDA este 30 y 31 de octubre y compártelo con toda la comunidad. 💛🖤
📝 Envía tu propuesta aquí 👇👇👇
JS-Tap: Weaponizing JavaScript for Red Teams 💀🔥
🔥 Features:
• Generic JS payloads
• Works on unknown web apps
• No prior app knowledge needed
• Client-side reconnaissance
• Browser activity monitoring
• Session visibility
• DOM inspection
• User interaction tracking
• Data collection capabilities
• Custom payload support
• Red team focused
Perfect for red teamers, AppSec engineers, and web security researchers.
🔗 https://t.co/1rBIdNbigi
#RedTeam #JavaScript #AppSec #WebSecurity #Pentesting #CyberSecurity
‼️🚨 Security researcher ggwhyp demonstrated a full-chain Firefox exploit on Windows.
He opens an HTML page, Firefox runs the code, cmd.exe spawns, Calculator opens. Signature of a browser-to-OS exploit.
Prepared for Pwn2Own. ZDI rejected it. According to the researcher, it was responsibly disclosed to Mozilla.
The Birth of Omegamon!
One of my favorite moments ever from Our War Game!!!
The first appearance of Omegamon still gives me chills every time.
This movie shaped my childhood fr!
#digimon#デジモン#omegamon
El portal en cuestión es https://t.co/Mb4r64MZnE, en el cual empecé a ver un anime que veía de pequeño hace un par de días y que no podré continuar, porque no está en ninguna plataforma.
Ya sé por qué esta mañana no me dejaba entrar. Un montón de material perdido e inaccesible.
El incidente no empezó en Vercel.
Lo que pasó fue:
→ Un empleado usaba Context(.)ai
→ Context(.)ai fue comprometida
→ El atacante obtiene acceso a su Google Workspace
A partir de ahí:
→ entra al Workspace de Vercel
→ se mueve internamente + escala permisos
→ llega a entornos de Vercel
Cuando llega a los entornos pasa esto:
Las env vars están cifradas. Pero algunas pueden marcarse como “sensitive”, lo que agrega más restricciones.
El atacante no rompió el cifrado, pero aprovechó variables que no estaban marcadas como sensibles para avanzar dentro del sistema.
Accedieron a ciertos entornos. Igualmente, ya contactaron a los potencialmente afectados.
La IA permite ejecutar estos ataques de forma mucho más rápida y simple: actuar como un usuario válido, entender el sistema y escalar accesos.
🔴 | Hackean a empresa de ciberseguridad mexicana: espían sus cámaras EN TIEMPO REAL
Un hacker tomó el control total de BePrime, firma regiomontana contratada para proteger la infraestructura digital de Iberdrola, ArcelorMittal, Alsea, Vitro y decenas de corporativos nacionales. Robó 12.6 GB de datos y los publicó COMPLETOS en un foro de ciberdelincuencia.
Según la información expuesta por el atacante, la intrusión no requirió sofisticación especial: las cuentas de administrador de la firma no contaban con autenticación de dos factores, de modo que el intruso entró sin resistencia, robó 12.6 GB de datos críticos y tomó el control de las consolas con las que BePrime supuestamente protegía a sus clientes.
Mediante el compromiso de llaves de API de Cisco Meraki, el atacante obtuvo control sobre 1,858 dispositivos de red —switches y routers— y acceso al tráfico de más de 2,600 equipos conectados.
Desde ahí llegó a las cámaras de seguridad internas de la empresa y de sus clientes, y las vio en tiempo real: oficinas corporativas, áreas de ingeniería, centros de operaciones. Sus empleados trabajaban frente a sus pantallas sin saber que alguien los observaba.
El atacante publicó bases de datos que tendrían transacciones financieras, credenciales de acceso en texto plano y, lo más grave, reportes de auditoría de seguridad —pentests— que detallan punto por punto las vulnerabilidades actuales de cada cliente.
La lista de empresas expuestas abarca sectores enteros de la economía mexicana: Iberdrola, Mexicana de Gas y Orsan en energía; ArcelorMittal, Vitro, Whirlpool e Interceramic en industria y manufactura; Alsea —operadora de Starbucks, Domino's y Vips— y Grupo Bafar en consumo masivo; además de farmacias de alcance nacional y los Sultanes de Monterrey.
🔴 STEAM EN NINTENDO SWITCH 👇
Con la liberación del nuevo SteamOS ARM la gente está haciendo LOCURAS como instalarlo en la Nintendo Switch, siendo ahora una consola capaz de correr ciertos juegos de tu biblioteca de Steam. 💀
(Y dicen que no es "dificil" de hacer)