Desarrollo web premium vs sitio generico: donde realmente se nota la diferencia
Un sitio web premium no se trata solo de verse mejor. Impacta percepcion de marca, conversion, mantenibilidad y capacidad comercial a mediano plazo.
Este blog mezcla contenido editorial de HackTeck con noticias curadas del ecosistema tecnológico. La primera capa está pensada para ayudar a evaluar arquitectura, software, IA, continuidad y crecimiento digital.
Selección inicial de piezas editoriales orientadas a desarrollo web, software a medida, automatización con IA y soporte TI serio.
Un sitio web premium no se trata solo de verse mejor. Impacta percepcion de marca, conversion, mantenibilidad y capacidad comercial a mediano plazo.
No todo problema requiere software propio, pero hay escenarios donde operar con planillas, SaaS inconexos o procesos manuales termina frenando el negocio.
La IA genera valor real cuando se conecta a procesos, datos y objetivos concretos. Fuera de eso, suele convertirse en una capa llamativa pero poco util.
Muchas empresas no tienen un problema puntual de soporte, sino una operacion tecnologica reactiva. El cambio real ocurre cuando se pasa de urgencias a gobernanza.
Mantuvimos la capa de noticias externas para seguimiento de tendencias, pero ahora convive con una línea editorial propia más útil para SEO y evaluación comercial.
WordPress 6.8.6 6.9.5 y 7.0.2 corrigen wp2shell, una vulnerabilidad de ejecución remota de código (RCE) en el núcleo que permite a atacantes anónimos ejecutar código en instalaciones predeterminadas, incluso sin plugins. Una solicitud HTTP anónima puede ejecutar código en un sitio de WordPress. El fallo reside en el núcleo, por lo que una instalación básica sin plugins es vulnerable. Todos los sitios con las versiones 6.9 y 7.0 estaban expuestos hasta el viernes. WordPress lanzó las versiones 6.9.5 y 7.0.2 el 17 de julio de 2026, solucionando una vulnerabilidad de ejecución remota de código (RCE) previa a la autenticación en el núcleo que una solicitud anónima podía activar en una instalación predeterminada sin plugins. Dos rangos de versiones se ven afectados: 6.8.0 a 6.8.5: Solo inyección SQL, corregido en 6.8.6 6.9.0 a 6.9.4: Cadena RCE completa, corregido en 6.9.5 7.0.0 a 7.0.1: Cadena RCE completa, corregido en 7.0.2 Adam Kues, de Assetnote, la división de gestión de la superficie de ataque de Searchlight Cyber, descubrió la vulnerabilidad y la reportó a través del programa HackerOne de WordPress. El informe técnico, publicado bajo el nombre de wp2shell, indica que el ataque "no requiere condiciones previas y puede ser explotado por un usuario anónimo". La empresa aún no ha revelado los detalles técnicos y ha habilitado una herramienta de análisis en wp2shell.com para que los propietarios puedan probar sus propias instancias. La publicación de Searchlight estima que más de 500 millones de sitios web usan WordPress. Esta cifra corresponde a la base total de instalaciones, no a la población vulnerable: el código defectuoso solo existe a partir de la versión 6.9, que se lanzó el 2 de diciembre de 2025. Por lo tanto, todos los sitios afectados usan una versión con menos de ocho meses de antigüedad, y ninguno de los avisos especifica cuántos sitios se ven afectados. WordPress es más transparente sobre la clasificación del error que el propio investigador. En su publicación, describe el hallazgo de Kues como "una confusión en el enrutamiento por lotes de la API REST y un problema de inyección SQL que conduce a la ejecución remota de código". La publicación cubre un fallo crítico y otro de alta gravedad, y WordPress no especifica cuál es cuál. La página de la versión enumera los tres archivos afectados por la versión 7.0.2, que incluyen ambas correcciones: /wp-includes/rest-api/class-wp-rest-server.php, /wp-includes/class-wp-query.php y /wp-includes/rest-api.php. El endpoint de procesamiento por lotes no es nuevo. WordPress lo incluye desde la versión 5.6 (noviembre de 2020) y ha documentado públicamente el formato de la solicitud desde entonces. Hasta el momento, no se ha publicado ninguna explicación sobre qué cambió en la versión 6.9 para que se hiciera público. wp2shell consta de dos vulnerabilidades, no de una, y ambas cuentan ahora con identificadores CVE. CVE-2026-63030 se refiere a la confusión en el enrutamiento por lotes de la API REST; CVE-2026-60137 es una vulnerabilidad de inyección SQL en el núcleo de WordPress. Encadenadas, permiten que una solicitud anónima se ejecute directamente. Mitigación Todas las medidas de mitigación que ofrece Searchlight se basan en impedir que usuarios anónimos accedan al endpoint de procesamiento por lotes. Hay tres opciones, todas provisionales hasta que actualice, y todas pueden interrumpir integraciones legítimas: /wp-json/batch/v1 como rest_route=/batch/v1. La empresa insiste en que ambos deben bloquearse, ya que una regla que solo cubra la ruta /wp-json deja abierta la ruta de la cadena de consulta. Desactive la API REST de WordPress, lo que bloquea completamente el acceso REST no autenticado. plugin sencillo que publica y rechaza las solicitudes anónimas de /batch/v1 en rest_pre_dispatch. Hasta el 18 de julio no se había reportado ningún intento de explotación. Sin una CVE que etiquetar ni una firma pública que la coincida, nadie está investigando realmente. La explotación masiva de WordPress se ha convertido en una industria. Antes de que su servidor se filtrara en junio, una sola vulnerabilidad en un plugin de caché permitió al grupo WP-SHELLSTORM acceder a más de 17.000 sitios, según sus propios cálculos. Ese fallo ya era público, ya había sido parcheado y solo funcionaba con una configuración no predeterminada. El núcleo de WordPress es de código abierto, y tanto la versión 7.0.1 como la 7.0.2 se encuentran en el archivo de versiones públicas, por lo que la comparación está disponible para quien la desee. Este es el dilema de todo proyecto de código abierto: no se puede publicar la solución sin publicar el mapa del error, y la única opción que queda es la rapidez con la que el parche llega a los sitios antes de que alguien lo lea. WordPress activó esa opción el viernes. El tráfico contra batch/v1 mostrará cuándo llegan los atacantes, y las estadísticas de versiones de WordPress mostrarán si el parche llegó primero. Solo una de esas cifras suele aparecer en las noticias. Fuente: THN
Fuentes curadas: Hispasec, Segu-Info, Una al Día, SeguridadMania, Xataka, Genbeta, Séptima Página Chile y Cooperativa Chile. Actualizado cada hora para complementar la capa editorial propia.
Startups como Terra Drone se disparan en la Bolsa de Tokio impulsadas por contratos de defensa e IA.
Tras ser acusada de filtrar repositorios privados a la nube, xAI libera el código de Grok Build en GitHub. Ahora se puede ejecutar de forma local y sin lím
Los usuarios podrán generar videos corporativos y clones de voz y apariencia en Google Vids de forma gratuita.

La resiliencia operacional es un concepto ampliamente instalado en Chile y el mundo. Sin embargo, hoy ya no es suficiente. Resistir un ciberataque y “volver a la normalidad” no alcanza en un entorno donde los ataques son cada vez más frecuentes, automatizados y sofisticados. El verdadero desafío es avanzar hacia sistemas antifrágiles: aquellos que no [...]

Internacional, 14 de julio de 2026.- La inteligencia artificial ya forma parte de la práctica médica cotidiana. Existen plataformas capaces de resumir fichas clínicas, sugerir diagnósticos, priorizar exámenes, analizar imágenes e incluso apoyar decisiones terapéuticas en cuestión de segundos. Lo que hace pocos años parecía futurista, hoy ocurre en recintos de salud de Chile y [...]
Investigadores de INIA Quilamapu dieron inicio a innovador proyecto que —con el apoyo de FIA y la participación de Chile Alimentos— desarrollará un sistema de alerta temprana basado en inteligencia artificial para anticipar el riesgo de infestación de esta mosca, una de las principales amenazas para el sector berries
"En este escenario, el Programa Regional de Empleo (PRE) no puede analizarse como una simple glosa presupuestaria. Es una política pública creada precisamente para responder cuando el mercado laboral no es capaz de generar oportunidades suficientes. Su verdadero valor no se mide solo por el número de contratos, sino por la tranquilidad que entrega a quienes encuentran en él un ingreso para sostener a sus familias. El PRE alcanza a las 30 comunas del Maule. Beneficia a trabajadores de sectores urbanos y rurales por igual, porque la vulnerabilidad no reconoce límites geográficos. Allí donde falta el empleo, el programa representa una respuesta concreta del Estado. Resulta inevitable preguntarse si las prioridades estuvieron correctamente definidas. Mientras el desempleo aumentaba y el invierno avanzaba, el inicio del programa se fue postergando por la tramitación administrativa. Para una familia que depende de ese ingreso, cada semana de retraso significa cuentas impagas, menos calefacción, más endeudamiento y mayor angustia", indica el concejal Lenin Fuentes Barros

Actores maliciosos están explotando activamente la vulnerabilidad CVE-2026-46817, una vulnerabilidad crítica de acceso remoto sin autenticación en Oracle E-Business Suite (EBS). Se detectó actividad de ataque en tiempo real en infraestructura honeypot durante el fin de semana del 27 y 28 de junio de 2026. CVE-2026-46817 es una vulnerabilidad de gravedad crítica que reside en el producto Oracle Payments dentro de Oracle E-Business Suite, específicamente en el componente de transmisión de archivos. La vulnerabilidad tiene una puntuación base CVSS de 9.8 y permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa completamente Oracle Payments, lo que conlleva el control total de la confidencialidad, la integridad y la disponibilidad. Esta vulnerabilidad de seguridad se descubrió en el componente de transmisión de archivos del producto Oracle Payments de EBS y permite que agentes maliciosos no autenticados con acceso a la red HTTP se apoderen de sistemas vulnerables mediante ataques de baja complejidad. Las versiones afectadas abarcan desde Oracle E-Business Suite 12.2.3 hasta 12.2.15. El vector CVSS refleja la baja complejidad del ataque y la ausencia de requisitos de autenticación, lo que facilita su explotación a gran escala. Aunque no existe código de prueba de concepto (PoC) público, esta es la primera explotación real conocida de esta vulnerabilidad, lo que indica que el atacante podría estar utilizando capacidades de explotación desarrolladas de forma privada. El tráfico de ataque capturado en los honeypots de Defused reveló solicitudes POST dirigidas a /OA_HTML/ibytransmit, el punto final de transmisión de archivos de Oracle iPayment. La IP del atacante, 45.84.137[.]125, operando a través de AS136787 PacketHub S.A. (Francia), se dirigió al puerto 443 y envió una carga útil XML DeliveryRequest manipulada. La carga útil contenía un esquema de transmisión CODEX_PULL, con el parámetro FULL_FILE_PATH configurado en /etc/passwd, un indicador clásico de una cadena de explotación de lectura de archivos locales/recorrido de rutas diseñada para extraer archivos confidenciales del sistema. Según Shadowserver, el 28 de junio se registraron un total de 456 ataques en todas las regiones monitorizadas, con Norteamérica (193) y Asia (181) concentrando la mayor parte del tráfico. Europa registró 53 ataques, Sudamérica 18, África 9 y Oceanía 2. Oracle abordó la vulnerabilidad CVE-2026-46817 en su Actualización Crítica de Parches de Seguridad (CSPU), publicada el 28 de mayo de 2026. Esta actualización corrigió 35 vulnerabilidades CVE distintas en diversas familias de productos de Oracle, 11 de las cuales se clasificaron como críticas. Oracle recomendó encarecidamente a todos sus clientes que aplicaran los parches inmediatamente después de su publicación. Posteriormente, el 16 de junio de 2026, se publicó una CSPU complementaria que reforzó la postura de Oracle respecto a las vulnerabilidades. Las organizaciones que utilizan Oracle E-Business Suite deben actuar de inmediato: /OA_HTML/. /OA_HTML/ibytransmit con cargas útiles XML inusuales. User-Agent (ibytransmit-lab-poc/1.0) en los registros del firewall y del proxy. Dada la ausencia de código PoC público y la aparición confirmada de herramientas de explotación privadas, las implementaciones de Oracle EBS sin parchear siguen expuestas a un grave riesgo de sufrir una vulneración total del sistema. Fuente: CyberSecurityNews
Lee la nota original en el siguiente link: Google retrasa Gemini 3.5 Pro por problemas de programación mientras crece la presión competitiva en IA Google ha retrasado nuevamente el lanzamiento general de Gemini 3.5 Pro, su modelo de inteligencia artificial más avanzado. Lee la nota original en el siguiente link: Google retrasa Gemini 3.5 Pro por problemas de programación mientras crece la presión competitiva en IA Pisapapeles
Lee la nota original en el siguiente link: NotebookLM cambia de nombre a Gemini Notebook y añade ejecución nativa de código Gemini Notebook ejecuta código en una máquina virtual aislada, sincroniza cuadernos con Gemini y prepara su llegada al buscador de Google en la web Lee la nota original en el siguiente link: NotebookLM cambia de nombre a Gemini Notebook y añade ejecución nativa de código Pisapapeles

Once cargadores UEFI shim antiguos, pese a ir firmados por Microsoft, pueden permitir eludir UEFI Secure Boot en equipos que aún confían en Microsoft Corporation UEFI CA 2011. Microsoft ya ha distribuido revocaciones en DBX y la prioridad pasa por aplicarlas sin romper el arranque, actualizando antes los componentes a versiones modernas con SBAT. El […] La entrada Once shims antiguos firmados por Microsoft abren la puerta a saltarse UEFI Secure Boot en Linux se publicó primero en Una Al Día.

Un servidor expuesto por una mala configuración ha permitido reconstruir tres operaciones activas de phishing contra Microsoft 365 que combinan Evilginx y el abuso del flujo OAuth Device Code. El caso deja una lección clara: las passkeys y FIDO2 frenan el proxy inverso, pero no cortan por sí solas el vector de Device Code si […] La entrada Un servidor mal configurado destapa tres campañas de phishing que burlan el acceso a Microsoft 365 se publicó primero en Una Al Día.
"How To Secure A Linux Server" es enseñarte a proteger un servidor Linux. Hay muchas cosas que puedes hacer para proteger un servidor Linux, y esta guía intentará cubrir la mayor cantidad posible. Los playbooks de Ansible de esta guía están disponibles en "Cómo proteger un servidor Linux con Ansible" de moltenbit. ¿Por qué proteger tu servidor? ¿Por qué otra guía? Centro para la Seguridad en Internet (CIS) proporciona estándares exhaustivos, instrucciones paso a paso y de confianza para la industria, para proteger diversas distribuciones de Linux. Consulte su página "Acerca de nosotros" para obtener más información. Recomiendo leer primero esta guía y LUEGO la guía del CIS. De esta manera, sus recomendaciones prevalecerán sobre cualquier información de esta guía. Para obtener guías de seguridad y protección específicas para su distribución, consulte la documentación de su distribución. https://security.utexas.edu/os-hardening-checklist/linux-7 https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/10/html/security_hardening/index https://linuxblog.io/linux-server-setup/ https://ubuntu.com/server/docs/how-to/security/ https://www.tldp.org/LDP/sag/html/index.html https://seifried.org/lasg/ https://news.ycombinator.com/item?id=19178964 https://wiki.archlinux.org/index.php/Security https://www.linuxteck.com/linux-server-hardening-checklist/

Investigadores sometieron 281 de las aplicaciones VPN gratuitas más populares de Google Play Store a un nuevo sistema de pruebas y descubrieron que muchas fallan en la función básica para la que se instala una VPN: mantener el tráfico privado y seguro. Las aplicaciones que presentaron al menos un problema se han instalado más de 2.400 millones de veces. Los problemas son básicos, no complejos. El sistema, llamado MVPNalyzer, fue presentado en la conferencia de seguridad NDSS en febrero de 2026 por investigadores de la Universidad de Michigan, la Universidad de Nuevo México y el IIT Delhi. Se trata de la versión móvil del estudio VPNalyzer, realizado anteriormente por el mismo laboratorio para analizar el software VPN de escritorio. Los investigadores lo describen como el primer marco de trabajo diseñado para auditar de forma sistemática y repetida las aplicaciones VPN de Android. El fallo más grave: el secuestro del túnel. Configuraciones débiles Esto no es un caso aislado. Qué pueden hacer los usuarios THN
© 2026 HackTeck SpA. Todos los derechos reservados.