Banco del Bienestar en peligro de spam SMTP, Node.js corrige DoS en async_hooks y agentes de IA habilitan escalada de privilegios empresarial
Resumen del día
Una falla en el Banco del Bienestar permite saturar sus servidores de correo con spam masivo, devido a una mala configuración.
Node.js corrigió una vulnerabilidad DoS en async_hooks que provocaba caídas abruptas de servidores mediante desbordamientos de pila.
Agentes de IA empresariales están siendo explotados para escalar privilegios y bypassar controles IAM en entornos corporativos.
Grave falla de seguridad en Banco del Bienestar permite saturar su sistema de correos con spam masivo
Un investigador en ciberseguridad alertó públicamente sobre una posible debilidad en la infraestructura de correo electrónico del Banco del Bienestar, la cual podría permitir el envío de grandes volúmenes de correos no autorizados, aunque no existe confirmación de explotación activa ni de colapso operativo.La advertencia señala una configuración insegura en los servidores SMTP, relacionada con mecanismos de autenticación y control de tasa (rate-limiting). Según lo expuesto, un atacante podría abusar del sistema para enviar spam o correos falsificados, siempre que la debilidad se confirme y no haya controles compensatorios activos.Alcance técnico del señalamientoDe acuerdo con la información difundida, el riesgo potencial radica en:
Falta o debilidad en validaciones de...
Vulnerabilidad crítica en Node.js permite caídas del servidor vía desbordamiento de pila en async_hooks
El proyecto Node.js publicó el 13 de enero de 2026 actualizaciones críticas de seguridad para corregir una vulnerabilidad severa de denegación de servicio (DoS) en el módulo async_hooks, registrada como CVE-2025-59466. La falla permite provocar caídas abruptas del proceso mediante desbordamientos de pila no capturables, afectando directamente la disponibilidad de aplicaciones en producción.Detalles técnicos de la vulnerabilidadEl problema se manifiesta cuando async_hooks está habilitado —un escenario común en aplicaciones que utilizan AsyncLocalStorage o ganchos personalizados para trazabilidad asíncrona—. Ante recursiones profundas, en lugar de emitir el error capturable estándar “Maximum call stack size exceeded” (RangeError), el runtime termina el proceso con código...
Los agentes de IA corporativos se están consolidando como un nuevo vector de escalada de privilegios en infraestructuras empresariales modernas. Al otorgarles accesos amplios y persistentes para operar de forma autónoma, muchas organizaciones están creando identidades técnicas con más permisos que los propios usuarios humanos, un escenario que atacantes ya están explotando para bypassear controles tradicionales de IAM.Mecanismo de la amenazaEn la práctica, los agentes de IA organizacionales reciben credenciales elevadas para interactuar con múltiples sistemas críticos, entre ellos:
CRMs y ERPs
Repositorios de código
Infraestructura cloud (CI/CD, Kubernetes, IaC)
Sistemas financieros y de facturación
El problema estructural es que las acciones se atribuyen a...
