Cuando OpenAI, ScadaBR y Teams fallan: brechas que exponen la colaboración moderna
Resumen del día
OpenAI confirmó una filtración derivada de un fallo en Mixpanel que expuso datos de usuarios de su API.
CISA añadió a su lista KEV una vulnerabilidad XSS activamente explotada en ScadaBR que compromete sistemas industriales.
Investigadores revelaron que Microsoft Teams puede desactivar defensas de Defender al operar como invitado en tenants externos.
Los tres casos evidencian cómo proveedores, plataformas cloud y entornos industriales amplían la superficie de ataque corporativa.
OpenAI confirmó una filtración de datos que impactó a un número no especificado de usuarios de su plataforma API, luego de un incidente de seguridad en Mixpanel, su proveedor externo de analítica web. El ataque ocurrió el 9 de noviembre de 2025, cuando un actor no autorizado comprometió parte de la infraestructura de Mixpanel y logró extraer información sensible relacionada con cuentas de desarrolladores que utilizan la API de OpenAI.De acuerdo con OpenAI, la brecha no afectó sistemas propios, pero sí expuso datos procesados por Mixpanel, lo que representa un riesgo para los usuarios afectados. Tras el incidente, la compañía decidió descontinuar el uso de Mixpanel en producción y reforzar sus controles de seguridad con proveedores externos.Detalles del incidenteMixpanel...
CISA incorpora vulnerabilidad XSS en OpenPLC ScadaBR (CVE-2021-26829) a su lista KEV por explotación activa
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) añadió la vulnerabilidad CVE-2021-26829, un fallo de Cross-Site Scripting (XSS) activamente explotado en OpenPLC ScadaBR, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
El problema afecta a versiones hasta la 0.9.1 en Linux y 1.12.4 en Windows, permitiendo la ejecución de código malicioso mediante la manipulación del archivo system_settings.shtm, lo que compromete directamente la seguridad de sistemas SCADA y entornos de control industrial.Detalles técnicos de la vulnerabilidadEl fallo XSS permite que un atacante inyecte JavaScript malicioso en la interfaz web de ScadaBR. Dicho código se ejecuta automáticamente en los navegadores de los usuarios que acceden al sistema, habilitando...
Guest Access en Microsoft Teams puede dejar sin efecto protecciones de Defender y abrir “zonas sin defensa” entre tenants
Investigadores de Ontinue alertaron sobre un riesgo en Microsoft Teams donde, al aceptar invitaciones como guest en un tenant externo, las protecciones de Microsoft Defender for Office 365 de la organización original pueden quedar sin efecto. La razón: al operar como invitado, las políticas de seguridad que se aplican son las del tenant anfitrión, no las de la empresa del usuario, lo que crea posibles “zonas sin protección” explotables por atacantes. El hallazgo fue reportado recientemente por medios como The Hacker News.Detalles técnicos del riesgoCuando un usuario participa como invitado en otro tenant:
La inspección de archivos, enlaces y mensajes depende del host, que puede carecer de antivirus, antimalware o filtros avanzados.
Las políticas de Defender de la...
