hackplayers

Windows expone múltiples interfaces COM poco documentadas que permiten acceder a funcionalidades internas del sistema operativo. Entre estas, los Elevation Monikers introducidos …

A comienzos de enero de 2025 , el investigador independiente J. C. Tommasi inició una revisión sistemática del flujo interno que React emplea para transportar y reconstruir compo…

En seguridad ofensiva y defensiva hay piezas del sistema que, por pura costumbre, terminan olvidadas. Todos hablamos de servicios, privilegios, ACLs, claves de registro o GPOs, pe…

Durante años, WhatsApp ha presumido —con razón— de su cifrado punto a punto y su arquitectura robusta basada en el protocolo Signal. Sin embargo, incluso los gigantes que dominan …

Si echáis un vistazo al artículo anterior , iniciábamos un taller de ROP con un programa que era un pequeño código en C con una función vulnerable muy sencilla pero, que sin embar…

El Return-Oriented Programming (ROP) es una técnica de explotación que permite ejecutar código arbitrario sin inyectar nuevo código: en lugar de eso se encadenan pequeñas secuenci…

Si tenéis servidores WSUS respirad hondo. CVE-2025-59287 es una deserialización insegura en el servicio Windows Server Update Services (WSUS) que permite a un atacante no autent…

Sí, has leído bien: adversarial prompts . No exploits de kernel, no inyecciones SQL. Prompts. Esas cadenas de texto que alimentan modelos de lenguaje —y que en 2025 se han conve…

Sergio Galán aka NaxoneZ se ha currado StopFix, una extensión de navegador diseñada para detectar y reportar ataques basados ​​en el portapapeles, como FileFix, ClickFix y payload…

El 4 de octubre de 2025, Oracle publicó una alerta de seguridad para la vulnerabilidad CVE-2025-61882 , que permite ejecución remota sin autenticación en Oracle E-Business Suite …

Imagina por un momento que necesitas que tus solicitudes HTTP salgan desde direcciones distintas sin depender de terceros proxies comerciales: quieres control, automatización y la…

SetupHijack es una herramienta que automatiza la explotación de condiciones de carrera y la gestión insegura de ficheros en procesos de instalación y actualización en Windows. Su …

Imagina recibir una llamada de tu jefe, de un compañero de trabajo o incluso de un familiar, donde cada palabra parece verosímil, cada pausa natural, y cada argumento persuasivo p…

La inteligencia artificial y el machine learning han transformado el panorama tecnológico, pero también han introducido vectores de ataque inéditos. MITRE ATLAS (Adversarial Threa…

Empezamos con un poco de historia... eBPF viene de BPF (Berkeley Packet Filter) , desarrollado en los años 90 para Linux y BSD. La idea original era filtrar paquetes de red de man…

En entornos corporativos, VMware vCenter suele ser un punto crítico: centraliza la gestión de clusters, ESXi, VMs, datastores, redes y, por supuesto, permisos. Ahora imagina poder…

Hermanos y hermanas del código, hoy traigo algo que parece sacado de una novela de ciencia ficción: tu propio servidor colapsando por su propia culpa vía HTTP/2. No, no me he fum…

Recientemente leía un post en X en el que anunciaba la resolución del CTF ICS de la #Defcon33, una impresionante simulación de un aeropuerto: ✈️ Airport Secured! 🛫 Congratulatio…

En agosto de 2025, sobre el escenario de Black Hat USA , la firma de investigación Cyata presentó una investigación bautizada como Vault Fault . Detrás de ese nombre existen  14 …