Esta semana ha sido especialmente intensa en el mundo tech, con Meta presentando su nuevo modelo de IA Muse Spark como sucesor de Llama, GitHub revolucionando la programación autónoma con el modo Autopilot y los modelos locales en Copilot CLI, y una oleada de ataques a la cadena de suministro que ha puesto en jaque a desarrolladores y administradores de sitios web por igual. Repasamos las noticias más destacadas.
Meta presenta Muse Spark, el modelo de IA que sustituye a Llama
Meta ha dado un giro estratégico importante con el lanzamiento de Muse Spark, su primer modelo de IA desarrollado por Meta Superintelligence Labs, el nuevo laboratorio creado tras la decepción con el rendimiento de Llama 4. Muse Spark es un modelo multimodal nativo con soporte para razonamiento visual, uso de herramientas y orquestación multiagente.
Lo más llamativo es el cambio de filosofía: mientras Llama era open source, Muse Spark es propietario, aunque Meta ha dejado la puerta abierta a liberar versiones futuras. Según la compañía, Muse Spark alcanza las mismas capacidades que Llama 4 Maverick con más de diez veces menos recursos computacionales, lo que supone un salto enorme en eficiencia.
Fuente: CNBC
Anthropic lanza Managed Agents: agentes de IA autónomos en la nube
Anthropic ha lanzado en beta pública Claude Managed Agents, un servicio que permite a las empresas desplegar agentes de IA autónomos directamente en la infraestructura de Anthropic. El servicio se encarga del sandboxing (aislamiento de procesos), la gestión de estado, las credenciales y la ejecución de herramientas, para que los equipos de desarrollo se centren únicamente en la lógica del agente.
Las sesiones pueden ejecutarse de forma autónoma durante horas, manteniendo el progreso incluso si se pierde la conexión. Según Anthropic, esto reduce el tiempo desde el prototipo hasta producción en un factor de diez. Empresas como Notion y Rakuten ya están utilizando el sistema. El precio es el estándar de la API de Claude más 0,08 dólares (unos 0,07 €) por hora de sesión activa.
Fuente: The Register
GitHub Copilot estrena modo Autopilot en VS Code
GitHub ha dado un paso más en la programación asistida por IA con el lanzamiento del modo Autopilot en VS Code. Este nuevo nivel de permisos permite que el agente de Copilot trabaje de forma completamente autónoma: aprueba sus propias acciones, reintenta automáticamente ante errores, añade dependencias que falten e itera hasta completar el objetivo, todo sin intervención humana tras el prompt inicial.
Los agentes pueden ejecutarse localmente en VS Code para trabajo interactivo, en segundo plano para tareas autónomas o en la nube para colaboración en equipo a través de pull requests. El modo Autopilot está actualmente en fase de Preview y representa un cambio significativo en la forma en que los desarrolladores interactúan con la IA durante la programación.
Fuente: GitHub Blog
GitHub Copilot CLI ya soporta modelos locales y BYOK
Otra novedad importante de GitHub esta semana: Copilot CLI ahora permite usar modelos locales o traer tu propia clave de API (BYOK, Bring Your Own Key). Esto significa que los desarrolladores pueden conectar proveedores como Azure OpenAI, Anthropic o cualquier endpoint compatible con OpenAI, así como ejecutar modelos locales con herramientas como Ollama o vLLM.
Con la variable COPILOT_OFFLINE=true, Copilot CLI funciona completamente sin conexión a los servidores de GitHub, desactivando toda la telemetría. El modelo debe soportar tool calling y streaming, y se recomienda una ventana de contexto de al menos 128.000 tokens. Esta función es especialmente útil para entornos con restricciones de red o para quienes quieren mantener el control total sobre su gasto en LLM (modelos de lenguaje grandes).
Fuente: GitHub Blog
Hackers norcoreanos distribuyen 1.700 paquetes maliciosos en npm, PyPI, Go y Rust
La campaña conocida como Contagious Interview, vinculada a Corea del Norte, ha ampliado su alcance publicando más de 1.700 paquetes maliciosos en múltiples ecosistemas de desarrollo: npm, PyPI (el repositorio de paquetes de Python), Go, Rust y Packagist (PHP). Los paquetes se disfrazan de herramientas legítimas para desarrolladores, pero funcionan como cargadores de malware.
La operación se atribuye al grupo UNC1069, también conocido como BlueNoroff o Stardust Chollima, con motivación financiera. Utilizan campañas de ingeniería social a través de Telegram, LinkedIn y Slack, suplantando contactos conocidos y enviando enlaces falsos de Zoom o Microsoft Teams que ejecutan malware en Windows, macOS y Linux. Es un recordatorio de lo importante que es verificar las dependencias antes de instalarlas en cualquier proyecto.
Fuente: The Hacker News
Chrome 146 bloquea el robo de cookies de sesión con protección por hardware
Google ha activado de forma general en Chrome 146 la función DBSC (Device Bound Session Credentials), una protección que vincula las cookies de sesión al hardware del dispositivo mediante el chip TPM (Trusted Platform Module) en Windows. De este modo, aunque un malware de tipo infostealer robe las cookies, estas caducan rápidamente y resultan inútiles en otro dispositivo.
Google estima que el 85% de las instalaciones de Chrome en Windows tienen hardware compatible. Para los dispositivos sin TPM, el navegador simplemente mantiene el comportamiento actual sin romper nada. De momento la función solo está disponible en Windows, pero Google planea expandirla a macOS (usando el Secure Enclave) en próximas versiones. Google ya ha observado una reducción significativa en el robo de sesiones desde su lanzamiento.
Fuente: BleepingComputer
Citizen Lab denuncia Webloc: sistema de vigilancia masiva que rastrea 500 millones de dispositivos
El laboratorio de seguridad Citizen Lab ha publicado una investigación demoledora sobre Webloc, un sistema de vigilancia desarrollado por la empresa israelí Cobwebs Technologies (ahora Penlink) que permite rastrear hasta 500 millones de dispositivos móviles en todo el mundo utilizando datos del ecosistema de publicidad digital. Sin necesidad de orden judicial, las fuerzas de seguridad pueden monitorizar la ubicación, los movimientos y las características personales de poblaciones enteras hasta tres años atrás.
Entre los usuarios conocidos de Webloc se encuentran la inteligencia húngara, la policía de El Salvador y numerosas agencias estadounidenses como ICE, el ejército y varios departamentos de policía. El informe plantea serias preguntas sobre la privacidad y la legalidad de este tipo de vigilancia basada en datos publicitarios, un problema que afecta a usuarios de todo el mundo, incluyendo España y Latinoamérica, dado el alcance global del sistema.
Fuente: The Hacker News
Zero-day en Adobe Reader: explotan PDFs maliciosos desde diciembre sin parche
Una vulnerabilidad zero-day (es decir, un fallo de seguridad desconocido para el fabricante y sin parche disponible) en Adobe Reader ha sido explotada activamente desde al menos diciembre de 2025. El exploit funciona en la última versión de Adobe Reader y no requiere ninguna interacción del usuario más allá de abrir el documento PDF malicioso, lo que permite a los atacantes robar información local y potencialmente ejecutar código remoto (RCE) para tomar el control total del sistema.
Los PDFs maliciosos detectados contenían señuelos en ruso relacionados con el sector energético. Adobe ha asignado el identificador CVE-2026-34621 con una puntuación CVSS de 9,6 sobre 10, lo que indica una gravedad crítica. Si utilizas Adobe Reader, extrema las precauciones al abrir PDFs de fuentes desconocidas y mantente atento a la publicación del parche oficial.
Fuente: The Hacker News
Ataque a la cadena de suministro de Smart Slider 3 Pro afecta a un millón de sitios WordPress
Un ataque a la cadena de suministro ha comprometido Smart Slider 3 Pro, un popular plugin de WordPress con más de 800.000 instalaciones activas. Los atacantes consiguieron acceso a los servidores de actualización de Nextend (la empresa desarrolladora) y distribuyeron una versión maliciosa (3.5.1.35) a través del canal oficial de actualizaciones durante aproximadamente 6 horas el 7 de abril.
La sofisticación del ataque es notable: en lugar de un simple webshell, los atacantes desplegaron un kit de acceso remoto multicapa con múltiples puntos de persistencia, ocultación de usuarios, ejecución de comandos con cadenas de respaldo y registro automático en servidores C2 (Command and Control, los servidores que controlan el malware) con exfiltración completa de credenciales. Solo la versión Pro se vio afectada; la versión gratuita del repositorio de WordPress.org no fue comprometida. Si tu sitio se actualizó a esa versión, no basta con actualizar: se necesita un análisis forense completo.
Fuente: The Hacker News
Gmail lleva el cifrado de extremo a extremo a Android e iOS
Google ha extendido el cifrado de extremo a extremo (E2EE, End-to-End Encryption) de Gmail a dispositivos Android e iOS. Por primera vez, los usuarios pueden componer y leer mensajes cifrados directamente en la app de Gmail sin necesidad de aplicaciones adicionales ni portales web externos. Los mensajes cifrados se pueden enviar a cualquier destinatario, incluso si no usa Gmail.
De momento, la función requiere una licencia de Google Workspace con el complemento Assured Controls, por lo que está orientada a empresas y organizaciones que manejan datos sensibles. Un administrador debe habilitar la función en la consola de administración. Para los usuarios finales, el proceso es sencillo: basta con pulsar el icono del candado y seleccionar cifrado adicional antes de enviar. Es un paso importante para la privacidad del correo electrónico empresarial, aunque los usuarios particulares tendrán que esperar a una posible expansión futura.
Fuente: Google Workspace Updates
Otras noticias destacadas
- Vulnerabilidad crítica CVSS 10.0 en Flowise AI: Más de 12.000 servidores expuestos a ejecución remota de código en esta popular plataforma de IA.
- GPUBreach, nuevo ataque a tarjetas gráficas: Investigadores descubren cómo explotar la memoria GDDR6 de GPUs para escalar privilegios en el sistema.
- Storm-1175 (China) despliega ransomware Medusa: Microsoft alerta de un grupo chino que usa vulnerabilidades zero-day para desplegar ransomware en menos de 24 horas.
- Anthropic desvela Claude Mythos y lanza Project Glasswing con Apple: Nueva colaboración entre Anthropic y Apple para integrar IA avanzada en el ecosistema de la manzana.
- AWS lanza S3 Files: Amazon permite montar un bucket de S3 como sistema de archivos NFS (Network File System), simplificando el acceso a almacenamiento en la nube.
- Hackean CPUID: CPU-Z y HWMonitor distribuyeron malware: Los populares programas de diagnóstico de hardware distribuyeron versiones infectadas durante 6 horas.
- Operación Masquerade: EE.UU. desmantela la red de espionaje rusa FrostArmada que había secuestrado 18.000 routers.
- Apple presenta SQUIRE: Nueva herramienta experimental de IA para crear prototipos de interfaz de usuario de forma rápida.
- El iPhone Fold entra en producción de prueba: Foxconn comienza las pruebas de fabricación del esperado iPhone plegable de Apple.
- GitHub Copilot Pro+ retira Opus 4.6 Fast: GitHub aplica nuevos límites de uso y pausa las pruebas gratuitas de su plan más avanzado.
- OpenAI lanza plan ChatGPT Pro por 100 dólares al mes: Incluye acceso ampliado a Codex para programación asistida por IA.
- Apple lanza iOS 26.4.1 y macOS 26.4.1: Actualizaciones menores con correcciones de errores para iPhone y Mac.
Últimos lanzamientos de ReviApps
Doodle Road Fury: Un adictivo juego de carreras arcade con estética dibujada a mano para iOS.
ClipMason: Gestor de portapapeles inteligente para macOS que detecta automáticamente el tipo de contenido copiado.
Descubre todas mis aplicaciones →
¿Quieres estar al día de las noticias tech? Publico actualizaciones diarias en la sección de noticias. ¡No te pierdas nada!
¿Qué te han parecido las noticias de esta semana? ¡Déjame tu opinión en los comentarios!
Un saludo, y si aún no lo has hecho no olvides suscribirte a mi blog para no perderte los próximos posts :-),También puedes seguirme en Twitter en @revi_apps y no olvides que me ayudas mucho si compartes este post en las redes sociales.