Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

25 jul>
1 ago

⚡TL;DR

Por tercer año consecutivo, voy a estar cubriendo Black Hat USA 2025 y DEF CON 33, las dos conferencias de hackers más reconocidas del mundo occidental: en tándem con Clarín, Dark News es el único medio periodístico escrito en español en ir a Las Vegas para traer las últimas novedades del mundo del hacking, con principal atención en las investigaciones con sello argentino. También me acredité en BSides Las Vegas: si da el tiempo, estaré en la conferencia.

Desde ya, como siempre, pueden responder este correo para contactarnos. Si van, si exponen en alguna Village, si quieren contarme algo o simplemente cruzarnos y charlar un rato, la puerta siempre está abierta.

El viaje se autofinancia con el dinero de los patrocinadores que figuran en cada entrega, más abajo. En este terreno también hay novedades, con dos grandes jugadores del mercado que se suman a apoyar el proyecto y poder hacer estas coberturas posibles: Yubico y Tenable.

Por este modelo de financiamiento, el newsletter se puede hacer y mantener 100% gratuito y open-source para los lectores.

Como se trata de una cobertura desde el lugar, voy a tratar de sacar la mayor cantidad de jugo posible para aportar una mirada propia sobre ambos eventos. Por esto:

• Dark News saldrá con frecuencia diaria entre el miércoles 6 y el domingo 10 de agosto (semana que viene).

• Habrá un reportaje por día también en Clarín.

• El viernes 15 no habrá edición, a modo de descanso (ajuste por jet lag).

También voy a estar activo en mi cuenta de X Twitter y, hacia el final, voy a publicar un reportaje en 421, sitio al que me sumé este año.

Pasando a los temas de la semana, el caso $Libra volvió a los titulares en Argentina. En el mundo de la IA, mientras Microsoft anunció una inversión inmensa que celebra Wall Street, China organizó un congreso en el que propuso crear una organización para coordinar desarrollos del “Sur Global” (sí, ahí entra América Latina).

Hubo filtraciones, en particular una muy grande en una aplicación que usan las mujeres para reseñar hombres y citas (Tea App). Y un reportaje de Microsoft donde vincula a actores asociados a Rusia con espionaje de embajadas a través de los ISP.

Dentro de las investigaciones, Kela publicó un reporte que recapitula quién se puso la corona luego de la caída de BreachForums: DarkForums. Y en el mundo del ransomware, el célebre grupo Scattered Spider bajó su actividad luego de los arrestos de la semana pasada, pero investigadores identificaron a otras agrupaciones que copian sus tácticas de ataque.

Dejo un caso curioso que relevó un periodista: detectó que dos artículos suyos habían desaparecido de Google. Investigando, Jack Poulson encontró que, incluso al buscarlos con el título exacto y entre comillas, alguien había explotado una vulnerabilidad en la herramienta “Refresh Outdated Content” de Google, diseñada para actualizar contenidos en el índice del buscador. Puede fallar.

Nos reencontramos el miércoles que viene, con el primer reportaje sobre Black Hat, desde Las Vegas.

En esta edición:

• 🪝 Milei, acusado en EE.UU. por promoción engañosa de la cripto $Libra

• 💧 ChatGPT indexa chats en Google con la función “compartir”

• 🕵 Microsoft expone actores asociados a Rusia que espían embajadas locales

• 👮‍♀️ El FBI incauta fondos de Chaos, un grupo nuevo vinculado al histórico Ryuk

• 🫗 Hackean “Tea App”, la aplicación de mujeres sobre perfiles de hombres

• 🤖 Microsoft anuncia 100 mil millones en IA; China pide una organización para el “Sur Global”

⏰ Substack dice que leer este correo completo lleva 15 minutos

Dark News #153

Espacio publicitario

La llave de seguridad número 1 del mercado, para una sólida autenticación de 2 factores, multifactor y "passwordless". Con un simple toque, la Yubikey protege al usuario del robo de cuentas en aplicaciones, servicios y diferentes plataformas.

Milei, acusado en EE.UU. por promoción engañosa de la cripto $Libra

Damnificados por la estafa de la criptomoneda $Libra presentaron un documento de 110 páginas donde acusan al presidente argentino, Javier Milei, de haber hecho “una declaración promocional altamente engañosa” que habría dado legitimidad al proyecto y facilitado un fraude millonario.

Aunque Milei no está formalmente demandado, su rol y el de su hermana Karina funcionan como el eje del escrito judicial.

Contexto. Según los demandantes, la publicación de Milei en redes, en la que promocionó la inversión en $Libra como un proyecto privado que impulsaría la economía argentina, fue utilizada por los responsables del token para inflar artificialmente su valor.

Después de la difusión, los impulsores del proyecto vendieron a precios altos y se retiraron, generando pérdidas por más de 280 millones de dólares para miles de personas.

Quiénes están implicados. El eje de la demanda apunta a Hayden Davis (ciudadano estadounidense), su padre y su hermano, todos ligados a Kelsier Ventures. También se menciona a la plataforma Meteora y a su cofundador Benjamin Chow. Se pide ampliar el congelamiento de 57 millones de dólares asociados al caso.

El rol de Milei. El documento judicial asegura que Davis “obtuvo intencionalmente” el respaldo de Milei, quien lo había recibido en Casa Rosada el 30 de enero, dos semanas antes del lanzamiento de la cripto. Tras la reunión y la publicación en redes, Davis habría hecho transferencias millonarias a billeteras digitales aún no identificadas.

Contexto local. En Argentina, la causa avanza lento. Milei disolvió por decreto la unidad creada para investigar el caso sin presentar resultados. Mientras tanto, en el Congreso, el oficialismo mantiene paralizada la comisión investigadora impulsada por la oposición.

ChatGPT indexa chats en Google con la función “compartir”

Una gran cantidad de usuarios reportó que sus chats compartidos están apareciendo en motores de búsqueda como Google. Desde identidades completas hasta historias personales, todo queda accesible en el search engine.

Otros advirtieron que, al compartir el chat, la aplicación le da la opción al usuario de hacer que su contenido sea indexable por un buscador.

Qué pasó. Usuarios de X empezaron a advertir que conversaciones compartidas a través del botón “Share” de ChatGPT estaban siendo listadas por buscadores como Google. Estas URLs, pensadas para compartir información de los chats o trabajar de manera colaborativa, se transformaron en accesos a interacciones privadas.

Por qué importa. Muchas de esas conversaciones contienen información sensible, como nombres completos, mails, teléfonos, ubicaciones y CVs.

Qué significa. OpenAI advierte que no se debe compartir contenido sensible mediante links públicos, pero muchos usuarios no eran conscientes de que podían ser indexados automáticamente si se publicaban en redes o sitios web.

Qué hacer. Todavía no hay respuesta oficial de OpenAI. La única forma de eliminar un chat compartido es borrar manualmente el link desde la cuenta que lo generó. Pero incluso así, puede seguir indexado por un tiempo.

Microsoft expone actores asociados a Rusia que espían embajadas locales

Una investigación de Microsoft reveló que el grupo de espionaje ruso Turla (Secret Blizzard) usa proveedores de internet (ISP) locales dentro de Rusia para espiar a embajadas extranjeras.

El ataque apunta a redes diplomáticas mediante una técnica conocida como adversary-in-the-middle (AiTM).

Cómo funciona el ataque. Los atacantes interceptan el tráfico desde el ISP que presta servicio a las embajadas. Redirigen a los usuarios a una falsa página de actualización, rompen la conexión HTTPS y les presentan un certificado fraudulento que simula ser una actualización de Kaspersky. Si la víctima lo instala, ese “update” en realidad introduce dos cosas:

• Un nuevo certificado raíz que permite interceptar tráfico cifrado sin alertar al sistema.

• Un malware llamado ApolloShadow, que desactiva firewalls y habilita movimiento lateral dentro de la red de la embajada.

Microsoft cree que también estarían haciendo TLS stripping para ver tráfico sensible en texto plano.

Por qué importa. Este tipo de ataque es peligroso porque abusa de la infraestructura de internet desde dentro del país anfitrión.

Las embajadas afectadas probablemente sean de países que aún confían en software ruso como Kaspersky, lo cual sugiere objetivos en regiones como África, Medio Oriente o América Latina, donde el antivirus todavía es usado en entornos oficiales.

El FBI incauta fondos de Chaos, un grupo nuevo vinculado al histórico Ryuk

EE.UU: anunció el decomiso de más de 2.4 millones de dólares en Bitcoin pertenecientes a Chaos, un grupo de ransomware que recién había empezado a operar este año.

Qué pasó. El Departamento de Justicia de EE.UU. presentó una demanda civil para confiscar los fondos, que fueron incautados en abril por el FBI en Dallas. La criptowallet pertenecía a un miembro del grupo conocido como "Hors", y estaba vinculada a ataques de ransomware en Texas y otras regiones.

Por qué importa. Chaos es un grupo nuevo: según un informe de Cisco Talos, empezó a operar en febrero y ya en abril perdió el control de sus fondos. No es frecuente que las autoridades logren actuar tan rápido contra grupos de ransomware recién formados.

Orígenes. Chaos es una muestra más de la capacidad de adaptación que tienen los operadores de ransomware. Tiene raíces en miembros provienen del grupo BlackSuit, formado por exintegrantes de Royal, que a su vez era una reformulación del temido grupo Conti, heredero del histórico Ryuk.

Aunque los operadores actuales no necesariamente estuvieron en Ryuk, heredan su know-how criminal, lo que permite que una banda nueva como Chaos tenga impacto de manera rápida.

También, se ponen un blanco sobre la espalda más rápido que otros grupos.

Contexto. Días antes de este anuncio, EE.UU. también desmanteló infraestructura de BlackSuit. Todo sugiere que las autoridades lograron rastrear la transición de operadores de un grupo a otro.

Hackean “Tea App”, la aplicación de mujeres sobre perfiles de hombres

Un atacante expuso selfies y mensajes privados de miles de mujeres que usaban Tea, una app diseñada para compartir alertas sobre hombres. La app había explotado en popularidad en las últimas semanas y se convirtió en blanco de amenazas coordinadas desde foros como 4Chan.

Qué pasó. La empresa confirmó el viernes un breach que permitió el acceso a 72.000 imágenes, incluidas 13.000 fotos de verificación y documentos de identidad. También se expusieron más de 1.1 millones de mensajes directos entre usuarios, muchos con información íntima o personal que permitiría identificarlas. Algunas de esas imágenes y datos ya están circulando en 4Chan y X.

Inconsistencia. Tea pide a sus usuarias que se saquen una selfie para verificar que son mujeres antes de ingresar. La app promete eliminar esas fotos tras la revisión y garantiza anonimato. Pero un vocero admitió que la base de datos vulnerada tenía más de dos años y que estaba guardada “por requisitos legales vinculados a la prevención del ciberacoso”.

Qué significa. El incidente deja al descubierto los riesgos de almacenar datos sensibles. Aunque Tea afirma haber bloqueado funciones como las capturas de pantalla, la filtración pone en riesgo la privacidad y seguridad de miles de mujeres que confiaron en la app.

Microsoft anuncia 100 mil millones en IA; China pide una organización para el “Sur Global”

Microsoft planea gastar más de 100 mil millones de dólares en infraestructura y talento para inteligencia artificial durante el próximo año fiscal.

Mientras, durante la World Artificial Intelligence Conference en Shanghai, el premier chino Li Qiang propuso crear una organización internacional para coordinar el desarrollo y la regulación de la inteligencia artificial, con un foco especial en compartir avances tecnológicos con países del llamado "Sur Global".

Microsoft y sus números. A pesar del gasto récord, superó las expectativas de ganancias por quinto trimestre consecutivo: facturó 76.400 millones de dólares (vs. los 73.800 millones esperados) y ganó 3,65 por acción (vs. 3,37).

Contexto. La empresa, que ya vale cerca de 3.3 billones, está invirtiendo agresivamente en centros de datos para sostener la demanda de productos de IA, como Copilot y servicios en la nube a través de Azure (que ya genera más de USD 75.000 millones anuales). Wall Street reaccionó con entusiasmo: las acciones subieron un 7% tras el anuncio.

China. Beijing quiere liderar un modelo de gobernanza abierto, con acceso equitativo al desarrollo y uso de la IA, especialmente para países emergentes. Es un intento claro por ganar influencia geopolítica en un terreno clave, en medio de la guerra tecnológica con EE.UU.

Qué dicen. Li advirtió sobre los desafíos globales para regular la IA: desde la escasez de chips y talento hasta las diferencias en marcos regulatorios. “La gobernanza global de la IA todavía está fragmentada”, dijo, y llamó a consensuar reglas internacionales lo antes posible.

Por qué importa. La propuesta busca posicionar al gigante asiático como contrapeso frente a Estados Unidos en la carrera por liderar la gobernanza de la IA. Aunque Li no mencionó a Washington, criticó que la tecnología se convierta en un “juego exclusivo” de un puñado de países y empresas, en aparente referencia a las restricciones que EE.UU. impuso sobre chips avanzados y exportaciones de tecnología.

🔓 Breaches y hacks

• Una de las compañías de defensa más importantes de Francia, bajo ataque

• Roban datos de la aseguradora Allianz

• Roban 14 millones de dólares en cripto de WOO X

🔒 Ransomware

• Medusa publica a NASCAR como víctima en su DLS

• ShinyHunters, detrás de los ataques a Qantas, Allianz Life y LVMH

• El FBI incauta 2.4 millones de dólares en BTC de Chaos Ransomware

💣 Exploits y malware

• 200 mil sitios alojados en WordPress, en riesgo de ser atacados

• Apple arregla un zero-day explotado en Google Chrome

• RedLoader Malware: cómo actúa el grupo que lo instala

🔍 Threat intel y vulnerabilidades

• BreachForums sigue reapareciendo, ahora bajo otro administrador

• Reportes: Red Canary, Surfshark, Akamai, Google Cloud, Zscaler, Lab 1.

• Google lanza Project Zero, nuevo sistema de divulgación de vulnerabilidades

🛠️ Tools y updates

• Linux 6.16 mejora el soporte a la memoria confidencial

• Penguin, una herramienta para rehostear firmware en ecosistemas virtuales para seguridad

• Thorium, nueva herramienta de análisis de malware de CISA

📋 Privacidad y regulaciones

• Meta dejará de publicar anuncios políticos en octubre en Europa

• Australia prohíbe redes sociales en adolescentes y las plataformas hacen lobby

• YouTube aplica más protecciones para menores: estima la edad por IA

Share