La semana post-WWDC estuvo dominada por la seguridad: dos vulnerabilidades críticas y dos filtraciones de datos de alto perfil pusieron en jaque a empresas globales
La agencia estadounidense de ciberseguridad documentó explotación activa de una falla de ejecución remota de código en SolarWinds y ordenó a las agencias federales aplicar el parche antes del 20 de junio.
La Agencia de Ciberseguridad e Infraestructura de Estados Unidos añadió el 6 de junio una nueva entrada a su Known Exploited Vulnerabilities Catalog (KEV): CVE-2026-3471, una vulnerabilidad de ejecución remota de código en SolarWinds Web Help Desk que permite a un atacante no autenticado tomar control completo del servidor afectado. CISA documentó explotación activa en organizaciones del sector gobierno y servicios financieros, y ordenó a todas las agencias del poder ejecutivo federal aplicar el parche disponible antes del 20 de junio, según el aviso oficial de CISA y BleepingComputer.SolarWinds publicó el parche el mismo día del aviso de CISA. La empresa ya había pasado por una crisis de reputación severa tras el ataque de cadena de suministro de 2020, y esta nueva vulnerabilidad reaviva las preguntas sobre la arquitectura de seguridad de sus productos más críticos. Para las instituciones públicas costarricenses —varias de las cuales utilizan SolarWinds para gestión de incidencias de soporte técnico— el aviso de CISA, aunque dirigido a agencias federales estadounidenses, es una señal de que el parche debe aplicarse con urgencia. El CSIRT-CR del MICITT publicó una alerta secundaria dirigida al sector público tico el mismo día.
El grupo de cibercrimen ShinyHunters —responsable de filtraciones de AT&T, Ticketmaster y Santander en años anteriores— publicó el 7 de junio datos de aproximadamente 2,1 millones de empleados de Baker Hughes, la empresa multinacional de servicios para la industria petrolera. Los datos incluyen nombres completos, correos corporativos, números de empleado, departamento y en algunos casos información salarial, según KrebsOnSecurity y Dark Reading. Baker Hughes confirmó que está investigando el incidente pero no reveló el vector de ataque.El patrón de ShinyHunters es consistente: acceso inicial a través de un proveedor externo o una credencial comprometida de un tercero, extracción masiva de datos de empleados o clientes, y publicación en foros de cibercrimen como palanca de negociación o simplemente como demostración de capacidad. Para las empresas costarricenses con proveedores internacionales en el sector energético —incluyendo RECOPE, que tiene relaciones contractuales con empresas de servicios petroleros globales— el incidente recuerda que la seguridad de la cadena de suministro digital incluye a los proveedores de los proveedores.
Meta lanzó el 8 de junio la función Reorder Grid para Instagram, que permite a los usuarios reorganizar las publicaciones en su perfil sin eliminarlas. Es la primera vez en quince años de existencia de la plataforma que los usuarios tienen control sobre el orden de su galería. La función se implementa a nivel global de forma escalonada y estará disponible para todos los usuarios con aplicación actualizada en las próximas dos semanas, según TechCrunch. Es un cambio que los creadores de contenido y las marcas habían pedido desde al menos 2018.Por su parte, Apple confirmó a sus socios minoristas que el nuevo Apple TV con cámara FaceTime integrada, anunciado en el WWDC del pasado lunes, no llegará en el segundo trimestre como se había filtrado, sino en septiembre. La razón oficial es un ajuste de producción en el componente de cámara, aunque algunas fuentes en la cadena de suministro apuntan a problemas de software en la integración con visionOS, según 9to5Mac. Para el mercado costarricense, el retraso no es significativo dado que el Apple TV no está disponible en el retail oficial local.
Microsoft anunció el 7 de junio el Microsoft Intelligent Badge, un dispositivo de credencial corporativa con micrófono, procesador de borde y síntesis de IA local que genera resúmenes de reuniones presenciales sin enviar audio a la nube. El dispositivo se integra con Microsoft 365 Copilot y Teams, y está diseñado para trabajadores en plantas industriales y oficinas sin acceso constante a cámaras o pantallas. El precio para empresas es de $129 por unidad en volumen, con disponibilidad desde septiembre en mercados seleccionados, según The Verge y Microsoft.El dispositivo abre un debate sobre privacidad en el espacio de trabajo: la grabación de audio, aunque procesada localmente, sigue siendo una forma de vigilancia si no existe consentimiento explícito de todos los participantes. Microsoft incluyó un LED visible que indica grabación activa y un botón físico de silencio, pero las regulaciones laborales de varios países europeos ya están siendo consultadas sobre si el dispositivo cumple con los marcos de protección de datos en el lugar de trabajo. Para Costa Rica, donde no existe ley específica sobre dispositivos de grabación en entornos laborales, el uso del badge sería legalmente permitido pero con consideraciones de política interna.
Samsung publicó el 6 de junio una actualización mayor de Samsung Health que amplía la detección de irregularidades cardíacas —incluyendo fibrilación auricular y bradiarritmias— a todos los usuarios del Galaxy Watch 6, Watch Ultra y Watch 7 sin necesidad de suscripción premium. La funcionalidad, que antes requería el plan Samsung Health Monitor Plus, ahora forma parte del motor base de la aplicación. El análisis se hace en el dispositivo con el procesador Exynos W1000, sin enviar datos de ECG brutos a los servidores de Samsung, según 9to5Google y el anuncio oficial de Samsung.La decisión de Samsung de democratizar las funciones avanzadas de salud responde directamente a la presión competitiva de Apple Health, que incluye funciones equivalentes en el Apple Watch sin costo adicional desde 2024. Para los usuarios ticos con Galaxy Watch, la actualización llega automáticamente con la aplicación y no requiere registro nuevo. El contexto médico es relevante: la fibrilación auricular es la arritmia más común en mayores de 65 años en Costa Rica y su detección temprana puede prevenir accidentes cerebrovasculares. El uso de estas herramientas como apoyo, no como sustituto de la evaluación médica, es la aclaración que hacen tanto Samsung como las guías de cardiología de la CCSS.
— La actualización de Samsung Health lleva análisis avanzado de ECG y detección de fibrilación auricular a todos los usuarios del Galaxy Watch 6 en adelante, sin coste adicional.
IBM Security publicó el 5 de junio su informe anual Cost of a Data Breach 2026, con datos de 600 organizaciones en 16 países. El costo promedio de una brecha de datos alcanzó los $4,8 millones globalmente —un aumento del 12% respecto a 2025— con el sector salud como el más afectado ($9,8 millones promedio) seguido de servicios financieros ($7,2 millones). El tiempo medio de detección de una brecha sigue siendo de 189 días, sin mejoras sustanciales respecto al año anterior.El informe documenta por primera vez el impacto diferencial de la IA en la seguridad: las organizaciones con sistemas de IA de detección maduras tardaron en promedio 101 días en detectar y contener una brecha, frente a 281 días para las que no usaban IA. La diferencia es de 65 días de exposición reducida —lo que IBM valúa en $1,2 millones de ahorro promedio. Para las empresas costarricenses, el MICITT ha identificado que menos del 15% de las pymes nacionales tienen controles básicos de ciberseguridad según sus últimas estadísticas, lo que las expone a costos que pueden ser fatales para operaciones de tamaño mediano.
La semana del 2 al 8 de junio dejó un mapa claro de la tecnología en 2026: la superficie de ataque crece —SolarWinds explotado, ShinyHunters activo, costos de brechas en récord— y las herramientas de defensa con IA mejoran pero no al ritmo suficiente. En el frente de producto, Samsung tomó la decisión correcta al democratizar sus funciones cardíacas, Instagram finalmente escuchó quince años de pedidos de sus usuarios, y Apple admitió un retraso en su próximo hardware.El tema central de la semana no es ningún producto nuevo sino la economía de la ciberseguridad: $4,8 millones promedio por brecha, 189 días de exposición media, y un 85% de pymes costarricenses sin controles básicos. La combinación es un riesgo sistémico que el informe de IBM cuantifica pero que requiere política pública y cultura organizacional para resolverse.