### Grandes marcas señalan pantallas de autenticación maliciosas Los usuarios que visitan los sitios web de las destacadas empresas japonesas **Toshiba** y **Muji** se han encontrado con ventanas emergentes de inicio de sesión inusuales. Ambas compañías aconsejaron rápidamente a los clientes que pudieran haber ingresado sus credenciales en estas pantallas sospechosas que cambiaran inmediatamente sus contraseñas para los servicios afectados. "Hemos confirmado que algunas partes de nuestro sitio web pueden mostrar una pantalla de inicio de sesión como la que se muestra a continuación. Actualmente estamos trabajando para eliminar esta pantalla, pero si la ve, seleccione 'Cancelar' sin ingresar ninguna información", declaró **Toshiba** en una comunicación oficial.  **Muji** publicó una alerta similar, instando a la precaución. Si bien ninguna de las empresas ha confirmado acceso no autorizado o fuga de información, enfatizaron la importancia de la seguridad del cliente. Tanto **Toshiba** como **Muji** han resuelto el problema inmediato suspendiendo la integración del servicio problemático. ### El resurgimiento de Polyfill.io: una amenaza persistente La causa raíz de estas solicitudes de inicio de sesión maliciosas radica en el servicio externo alojado en **polyfill[.]io**. Este dominio tiene un historial controvertido, habiendo sido implicado en un incidente de 2024 donde introdujo código malicioso en scripts entregados a través de su Red de Entrega de Contenido (CDN). **Polyfill** es una CDN de JavaScript de código abierto diseñada para proporcionar capas de compatibilidad, permitiendo que los sitios web modernos funcionen correctamente en navegadores antiguos. El creador del proyecto original, **Andrew Betts**, nunca poseyó el dominio **polyfill[.]io**. Cuando el dominio expiró, fue adquirido por una entidad china, lo que llevó a la inyección de scripts maliciosos de 2024 que afectó a más de 100.000 sitios web. Si bien **Betts** recomendó públicamente eliminar el servicio y posteriormente relanzó la CDN en polyfill.com, muchos sitios web no lograron purgar por completo las referencias antiguas a **polyfill[.]io** de sus bases de código. El investigador de seguridad **Pasquale Pillitteri** informó que, a partir de finales de mayo de 2026, el dominio **polyfill[.]io** volvió a estar activo. Esta vez, en lugar de inyectar scripts maliciosos directamente, comenzó a responder con solicitudes de autenticación HTTP 401. Los navegadores de los usuarios interpretan estas respuestas 401 como solicitudes legítimas de nombre de usuario y contraseña, mostrando consecuentemente un aviso de inicio de sesión a nivel del sistema. Este mecanismo engaña a los usuarios para que divulguen potencialmente sus credenciales, a pesar de que la solicitud se origina en un script de terceros en lugar del sitio web legítimo. ### Impacto generalizado y vigilancia continua Además de **Toshiba** y **Muji**, los medios de comunicación japoneses informaron que otras entidades, incluidas **Zojirushi**, **FiNC Technologies**, **Ishiyaku Publishers** y la marca de publicación en línea **Hobonichi**, también se vieron afectadas. **Pillitteri** señaló además que los **televisores Samsung Smart TV** y los sitios web asociados mostraron avisos de inicio de sesión similares alrededor del 1 de junio. En la actualidad, no hay evidencia confirmada de que las credenciales ingresadas en estas pantallas maliciosas hayan sido robadas. Sin embargo, el potencial de robo de credenciales es significativo. Este incidente sirve como un recordatorio crítico para los profesionales de seguridad de TI y los usuarios preocupados por la privacidad por igual, para que ejerzan extrema precaución con respecto a los avisos de autenticación inesperados, especialmente aquellos que aparecen fuera de contexto o sin una acción explícita del usuario. Las organizaciones deben garantizar auditorías exhaustivas de las integraciones de scripts de terceros y mantener la vigilancia contra dominios inactivos y potencialmente comprometidos que puedan reactivarse y presentar nuevas amenazas.