Blog
Análisis en profundidad sobre la seguridad del navegador, el aislamiento y las ideas detrás de Bromure.
Tu agente de programación instaló el Bitwarden falso
El 22 de abril, alguien subió un paquete malicioso de npm llamado @bitwarden/[email protected] — un typosquat que barrió claves SSH, credenciales de AWS/Azure/GCP, tokens de GitHub, tokens de publicación de npm y kubeconfigs de cualquier máquina que lo ejecutara. Aquello de lo que está diseñado para alimentarse es exactamente lo que los agentes de programación modernos hacen sin pensar: instalar lo que sea que npm les devuelva. Aquí ves cómo es esa cadena, y qué cambia cuando el agente corre dentro de una VM de Bromure en lugar de en tu portátil.
La llamada venía desde dentro del helpdesk
Una nueva banda de extorsión llamada BlackFile está llamando a empleados de retail y hostelería haciéndose pasar por IT, llevándolos a tipear credenciales y OTPs en una página falsa de inicio de sesión corporativo, y registrando luego su propio dispositivo MFA en la cuenta real. La llamada telefónica no se ve afectada por nada que haga un navegador. La página en la que el usuario tipea, sí.
Un cheat de Roblox, un «Allow all» de OAuth y una fuga de $2M en Vercel
La brecha de Vercel revelada esta semana empezó con un empleado de Context.ai descargando exploits de Roblox en un PC personal, y terminó con un atacante leyendo las variables de entorno de los clientes de Vercel. Bromure Enterprise, lanzado esta semana, está pensado exactamente para esta cadena.
La página de phishing que se construyó sola
El informe de respuesta a incidentes del Q1 2026 de Cisco Talos vuelve a situar el phishing en la cima como vector de acceso inicial y, dentro de él, documenta el primer caso que Talos atribuye a un builder de IA de «vibe-coding» — un clon de Outlook Web Access levantado sobre un subdominio `*.softr.app`, exfiltrando credenciales a una hoja de cálculo de Google desechable. La reputación de URL no puede verlo venir. La respuesta correcta está más abajo en la pila.
Suponer que el renderer cae — qué significan los 271 bugs de Mozilla encontrados por IA para la seguridad del navegador
Una versión temprana de Claude Mythos ayudó a Mozilla a encontrar 271 bugs de seguridad en una sola versión de Firefox. La reacción correcta no es el pánico, ni la celebración, sino una recalibración serena de lo que aún debemos suponer sobre cada navegador que publicamos, usamos o sobre el que construimos.
El portapapeles es el exploit — dónde deja ClickFix a todos los defensores
Una CAPTCHA falsa escribe una línea de PowerShell en el portapapeles. El usuario pulsa Win+R y pega. Sin escape del sandbox, sin día cero, sin binario firmado — el humano es el exploit. Esto es lo que enviamos hoy contra él, dónde siguen estando las brechas y qué acertó y qué no Apple en macOS 26.4.
El ataque de nueve pasos que muere en el paso uno
Microsoft ha documentado una cadena de ransomware de nueve etapas que empieza con un mensaje externo de Teams suplantando al helpdesk y termina con Rclone exfiltrando silenciosamente el recurso compartido de red. Ocho de esos nueve pasos necesitan el sistema operativo del host. Ninguno de ellos puede ejecutarse contra una pestaña.
Cuando la tienda es la amenaza: 108 extensiones de Chrome maliciosas, un C2, 20 000 instalaciones
Un solo operador colocó 108 extensiones maliciosas en la Chrome Web Store bajo cinco editores falsos, acumuló unas 20 000 instalaciones y lo encaminó todo hacia un único servidor de mando y control. El modelo de revisión no lo detectó. Esto explica por qué un navegador con prioridad de seguridad tiene que tomar una postura más dura.
Cómo Bromure frena el phishing antes de que llegue a tus padres
Una mirada paso a paso al sistema anti-phishing de Bromure — el barrido local, el modelo, el veredicto, y por qué tus padres, tus abuelos y el vecino del otro lado del pasillo son exactamente para quienes lo construimos.
El BrowserGate de LinkedIn y por qué una sola identidad de navegador ya no basta
LinkedIn sondea silenciosamente más de 6000 extensiones de navegador, recopila 48 atributos del dispositivo y extrae tu IP de LAN mediante WebRTC en cada visita. La solución no es un ajuste de privacidad: es una forma distinta de navegador.
Confianza por diseño — la filosofía detrás de Bromure
La web es hostil, los consejos de seguridad están fallando y la IA ha cambiado las reglas. Esta es la razón por la que creamos un navegador que te quita el peso de encima.
Por qué los zero-day del navegador no van a desaparecer, y qué hace Bromure al respecto
Apple y Google gastan hoy decenas de millones de dólares al año en encontrar y corregir fallos de navegador. Aun así, cada año hay entre ocho y diez zero-day de navegador explotados activamente. Este artículo expone por qué esa cuenta no va a cambiar, cómo Claude Mythos y la «Vulnpocalypse» están a punto de empeorarla, y por qué un navegador diseñado para asumir que será vulnerado es un producto de naturaleza distinta.
Cómo Bromure bloquea los anuncios antes de que la página llegue a verlos
La mayoría de los bloqueadores de anuncios son extensiones del navegador, y la mayoría de las extensiones del navegador se ejecutan dentro del mismo proceso que la página de la que intentan protegerte. Bromure lo hace de otra manera. Aquí te contamos cómo, y por qué importa.
Cómo entra el ransomware moderno — y cómo Bromure le cierra la puerta
La mayoría del ransomware no comienza con un zero-day. Comienza con una pestaña del navegador. Así es como funciona realmente la cadena de ataque en 2026 — y así es como se ve cuando aterriza sobre un navegador diseñado para absorber el golpe.
Ejecutar una VPN dentro de Bromure — y una introducción en lenguaje sencillo a Cloudflare WARP
Qué hace realmente una VPN, qué no hace, por qué ejecutar una por perfil dentro de Bromure cambia la historia del anonimato, y un recorrido por el funcionamiento interno de Cloudflare WARP.