Un paquete en npm, agentes de IA en Google Cloud y apps en la App Store tienen algo en común: el riesgo está en todo el ecosistema que conecta código, datos y usuarios.

📰 Lo último de la semana

Bitwarden CLI comprometido filtra secretos de AWS, Azure y GCP en pipelines

Tu pipeline de CI usa Bitwarden para inyectar secretos en producción. Por la tarde, tu equipo ejecuta npm install como cualquier otro día. Lo que no saben es que acaban de instalar un malware que silenciosamente copia tus tokens de GitHub, claves y credenciales, y los sube cifrados a repositorios públicos creados en tu nombre. El equipo de seguridad de Bitwarden identificó y contuvo un paquete malicioso distribuido a través de npm en conexión con el incidente más amplio de cadena de suministro de Checkmarx. La investigación no encontró evidencia de que datos de usuarios finales fueran accedidos.

El ataque, vinculado al actor TeamPCP, tiene una característica técnica que lo distingue, siendo el primer compromiso conocido de un paquete usando el mecanismo de trusted publishing de npm, diseñado precisamente para eliminar tokens de larga duración. Si tu equipo instaló Bitwarden, audita repositorios creados recientemente en tu namespace de GitHub, revisa logs de CI y busca conexiones salientes.

Google Cloud convierte la IA en actor operativo dentro de tu negocio

En tu empresa la IA ya no solo responde preguntas, sino que ejecuta procesos completos, toma decisiones y opera sistemas sin intervención constante. Eso anunció Google Cloud en Next ‘26, marcando el inicio de la llamada “empresa agéntica”. En este nuevo modelo, los asistentes tradicionales quedan atrás y son reemplazados por agentes autónomos capaces de razonar, coordinar tareas y ejecutar acciones dentro de los sistemas empresariales.

Para hacerlo posible, Google presentó una plataforma completa centrada en Gemini Enterprise Agent Platform, que permite crear, gestionar y escalar agentes de IA integrados con datos, aplicaciones y flujos de trabajo corporativos. Antes de adoptar agentes de IA, define límites claros de acción, controla accesos a datos críticos y establece supervisión humana sobre procesos automatizados.

La App Store distribuye apps FakeWallet que roban criptomonedas de usuarios

Descargaste una app desde la App Store de Apple pensando que es segura y terminaste entregando tus fondos. Investigadores detectaron al menos 26 aplicaciones FakeWallet en la Apple App Store diseñadas para robar criptomonedas. Estas apps imitaban billeteras legítimas y engañaban a los usuarios para ingresar frases de recuperación o credenciales, lo que permitía a los atacantes tomar control total de los fondos.

El caso demuestra que incluso ecosistemas cerrados como el de Apple pueden ser utilizados para distribuir aplicaciones maliciosas cuando logran evadir los procesos de revisión. Para mayor seguridad, nunca ingreses frases seed en apps nuevas, verifica desarrolladores y evita confiar ciegamente en que estar en la App Store garantiza seguridad.