Resumen de noticias de TI: 17 de mayo de 2026: OpenAI comprometido, Exchange día cero y exploits de Pwn2Own

Un resumen compacto de seguridad para equipos de producto e ingeniería: detenciones por parte de las fuerzas del orden, varias divulgaciones en Pwn2Own, un día cero de Exchange explotado activamente, una divulgación de vulnerabilidad en Azure contestada y una brecha en la cadena de suministro que afecta a OpenAI.

Victorias de las fuerzas del orden tras un fallo operativo

Se identificó y detuvo a un par de presuntos ciberdelincuentes después de que, según se informa, no consiguieron desactivar la grabación de Microsoft Teams durante una operación. La cobertura de la semana también señala una detención vinculada a un presunto cabecilla de un mercado de la dark net y que el incidente de ransomware contra Instructure Canvas ha llegado a su conclusión.

Pwn2Own Berlin Día 1: Windows 11 y Edge atacados

En el primer día de Pwn2Own Berlin 2026, los equipos participantes demostraron 24 exploits de día cero distintos y recibieron premios en efectivo por un total de $523,000. Entre los productos que resultaron vulnerables estaban Windows 11 y Microsoft Edge.

Pwn2Own Berlin Día 2: Exchange, Windows y RHEL muestran más brechas

El segundo día del concurso produjo otra ronda de demostraciones exitosas: los investigadores explotaron 15 vulnerabilidades de día cero únicas y recibieron $385,750 en efectivo. Los objetivos incluyeron Windows 11, Microsoft Exchange y Red Hat Enterprise Linux for Workstations.

Microsoft advierte sobre un día cero de Exchange Server que está siendo explotado

Microsoft emitió mitigaciones para una falla de alta gravedad en Exchange Server que se ha utilizado en ataques. La vulnerabilidad permite la ejecución arbitraria de código mediante un vector de cross-site scripting que apunta específicamente a los usuarios de Outlook on the web.

Disputa sobre un informe de Azure Backup para AKS y un CVE faltante

Un investigador afirma que Microsoft remendó silenciosamente un problema crítico que afectaba a Azure Backup para AKS sin emitir un CVE después de rechazar inicialmente el informe. Microsoft disputa esa versión, declarando que el comportamiento observado era el esperado y que no se realizaron cambios en el producto.

OpenAI confirma brecha vinculada al incidente de cadena de suministro de TanStack

OpenAI reconoció que dos dispositivos de empleados fueron comprometidos durante el reciente ataque a la cadena de suministro de TanStack que afectó a cientos de paquetes de npm y PyPI. Como medida de precaución, la empresa rotó los certificados de firma de código para sus aplicaciones.

Resumen rápido: esta semana combinó demostraciones de exploits de alta visibilidad y incidentes activos con acciones de cumplimiento notables y disputas entre proveedores. Los equipos que despliegan software deberían seguir las mitigaciones divulgadas para Exchange, atender los avisos sobre la cadena de suministro y vigilar cualquier seguimiento por parte de los proveedores afectados.