Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

29 ago>
5 sept

⚡TL;DR

Hace no mucho, un lector me preguntaba si había menos ransomware, ante una baja en las publicaciones de casos de empresas y entidades estatales afectadas por estas latitudes. Y hay alguna intuición correcta en la pregunta, aunque esta amenaza está lejos de haber desaparecido: cambió.

Durante el último año y medio, diversas operaciones afectaron el normal funcionamiento de grandes grupos: LockBit, BlackCat, Hive y otras agrupaciones con mucho músculo vieron su infraestructura comprometida, y varias de ellas a sus principales miembros arrestados.

Pero esto no generó que el ransomware desaparezca: lo dividió en grupos más pequeños que, además, se dieron cuenta de que tenían que cambiar su modelo de negocio. Esto exploro en este primer tramo del newsletter, de la mano de una fuente que conoce a los grupos desde adentro.

Un tramo del newsletter está dedicado a un breach que es un “supply chain” con varios actores. El nombre más grande es Salesforce, a donde lograron entrar a partir de una empresa para equipos de ventas (Salesloft), que usa un chatbot con IA (Drift) y, a través de tokens OAuth (una plataforma de autenticación y autorización de cuentas), lograron meterse “en el medio” y atacar a distintas empresas. Este trabalenguas de eslabones impactó en la cadena de varios vendors de ciberseguridad (hay un sitio donde los van agregando), entre las más de 700 organizaciones afectadas.

Google fue noticia en varios frentes esta semana. Por un lado, la noticia más importante tuvo que ver con que evitó el peor escenario en el juicio antimonopolio que venía enfrentando. Algunos medios se preguntaban si la Justicia perdonó al gigante tech (el mejor titular que leí sobre el tema fue este). Fue una buena semana para la empresa con sede en Mountain View, que además esquivó una multa de la Unión Europea y desmintió una filtración alarmista que varios medios publicaron la semana pasada.

En Brasil, un grupo de atacantes intentó un robo de más de 77 millones de dólares al apuntar a un proveedor IT que trabaja con Pix, un sistema de pagos ampliamente usado en el país.

Y OpenAI tuvo que salir a reforzar controles parentales luego de la polémica por el chico que se suicidó y al que le encontraron logs de charlas con ChatGPT donde hay conversaciones sobre el tema.

Sobre temas de IA, me gustó este artículo del Wall Street Journal: “Cuanto menos sabés de IA, más chances tenés de usarla”. Y este artículo de la BBC me impactó: un grupo internacional de spammers está posteando imágenes de víctimas del Holocausto hechas con inteligencia artificial, que caen dentro de la categoría del “IA-slop”, o basura IA.

Mejor cierro con un dato duro: Cloudflare dice que mitigó 11.5 Tbps de ataques DDoS, un nuevo record en la historia de internet.

En esta edición:

• 🥷 Ransomware: la caída de grupos grandes causó una explosión de agrupaciones y un nuevo modelo de negocio

• 🔓 Breach en Salesloft vía Salesforce afecta a vendors de ciberseguridad

• 👨‍⚖️ Google esquiva el peor escenario: Alphabet no tendrá que dividirse

• ✉ Hackeo a Sinqia: intentaron robar $77 millones en Brasil

• 🤖 OpenAI suma controles parentales y cambios para casos de salud mental

⏰ Substack dice que leer este correo completo lleva 12 minutos

Dark News #161

Espacio publicitario

¿Te fascina saber cómo piensan los atacantes? Nuestra plataforma y equipo operan desde una mirada ofensiva, para anticiparse a los riesgos reales. Faraday scanea y organiza vulnerabilidades, automatiza tareas repetitivas y convierte información técnica en decisiones claras. Porque la mejor defensa es siempre estar un paso adelante.

Más información, clic en este enlace.

Ransomware: la caída de los grandes causó una explosión de agrupaciones y un nuevo modelo de negocio

Luego de que las operaciones de fuerzas de seguridad que incautaron servidores e información de grandes grupos de ransomware como LockBit, BlackCat/AlphV y Hive, el ecosistema se fragmentó más que nunca y dio lugar a nuevos grupos.

Además, el negocio migró del cifrado y extorsión al data extortion sin encriptar datos.

El dato. Según MalwareBytes, entre julio 2024 y junio 2025 surgieron 41 nuevos grupos, llevando el total a más de 60 activos al mismo tiempo, un record.

Por qué importa. La ley interrumpe las operaciones, pero detiene a pocos operadores: muchos se reagrupan bajo otros nombres, usan código fuente de otros, herramientas abiertas, y hasta venden accesos. Hoy, los 10 grupos más activos concentran sólo el 50% de los ataques (antes era el 69%). Un artículo de The Record destaca tres puntos que explican estos cambios:

• El ransomware como servicio (RaaS) sigue vivo: los nuevos grupos reutilizan código de LockBit o Conti.

• Barreras de entrada más bajas: malware comoditizado, IA y brokers de acceso facilitan que cualquiera arranque su propia banda.

• Desconfianza interna: infiltraciones del FBI y Europol sembraron paranoia, generando exit scams, robos entre grupos y filtraciones cruzadas.

Esto da como resultado la división en subgrupos, la fusión de otros ya existentes y hasta una migración al modelo del data extortion, sin cifrado. Mauro Eldritch, analista de amenazas de BCA LTD, da contexto respecto de una escena que ya venía manejando cierta desconfianza:

Como ejemplo distante de una caída tenemos a HIVE con la Operación Dawnbreaker que terminó desmantelándolo por completo en 2023. Le siguió la Operación Cronos en 2024 que buscó desmantelar a Lockbit pero sin éxito, logrando apenas dos arrestos de afiliados menores. Hay caídas propias como la de BlackCat, que fingió ser víctima de una operación para huir con 22 millones de un pago de ransomware sin repartirlo entre afiliados. Esto generó mucha desconfianza en el ambiente y una ola de afiliados que migraron a otros proyectos o llegaron a abrir los suyos propios.

Respecto de los nuevos grupos, el especialista repasa algunos nombres nuevos como DEVMAN y sus orígenes:

Si nos fijamos por ejemplo las primeras muestras de DEVMAN son pura y netamente una cepa de DragonForce, y hay otras muestras más recientes que pertenecen a otros grupos, indicando que el grupo está probando distintas variantes. Otro caso manifiesto es GODHAND que abiertamente declara estar formado por exafiliados de BlackCat y Lockbit, y que al "no poder confiar" en proyectos de terceros decidieron dejar el ransomware para dedicarse al data extortion (robar datos y pedir rescate sin cifrar). Esto es nuevo y es una tendencia cada vez más clara: los afiliados ya no confían su seguridad y su dinero a un tercero y no reniegan con la burocracia de un grupo organizado.

Esta migración de modelo de negocio empezó a verse en análisis de laboratorios de empresas de ciberseguridad como Check Point Research.

Breach en Salesloft afecta a vendors de ciberseguridad

El breach en Salesloft sigue sumando víctimas en el mundo de la ciberseguridad: Zscaler, Palo Alto Networks, PagerDuty, Cloudflare, Tanium, SpyCloud, Tenable y otras compañías confirmaron que atacantes accedieron a sus instancias de Salesforce.

Cómo fue el ataque. La cadena tiene varios eslabones.

• Entre el 8 y el 18 de agosto, el grupo UNC6395 (seguido por Google) usó tokens OAuth comprometidos para extraer datos de integraciones entre Drift (el chatbot de IA de Salesloft) y Salesforce.

• Luego, el equipo de Google Threat Intelligence confirmó que también se vieron afectados otros conectores, como Drift Email, lo que permitió a los atacantes entrar en un puñado de cuentas de Google Workspace y, en al menos un caso, intentar acceder a buckets de AWS S3.

• Investigadores de Astrix descubrieron que los atacantes buscaron claves de acceso a AWS, credenciales y tokens vinculados a Snowflake, lo que indica un objetivo más profundo que solo datos de clientes. WideField también detectó actividad sospechosa en Salesforce y Gmail en múltiples entornos.

Contención. Salesforce deshabilitó todas las integraciones con Salesloft como medida preventiva, Google bloqueó las integraciones con Workspace y pidió revisar conexiones, rotar credenciales y buscar accesos no autorizados.

Mientras tanto, Salesloft trabaja con Mandiant y Coalition para investigar cómo se comprometieron los tokens y recomendó revocar y regenerar claves API en integraciones manuales.

Qué datos robaron. Las compañías aseguran que el acceso se limitó a bases de datos de Salesforce y no a otros sistemas, pero advierten que la información extraída puede servir para phishing y ataques de ingeniería social. Entre las víctimas hay proveedores críticos de seguridad y SaaS, y el número total superaría las 700 empresas.

Google esquiva el peor escenario: Alphabet no tendrá que dividirse

Alphabet, empresa matriz de Google, no tendrá que vender el navegador Chrome o ser dividida, en la resolución del juicio antimonopolio que enfrentaba desde hace años. Un juez federal de EE.UU. ordenó cambios importantes en su negocio para frenar prácticas anticompetitivas.

Qué pasó. El juez Amit Mehta estableció que Google no podrá firmar acuerdos exclusivos que aten Search, Chrome, Assistant o Gemini a otras apps o ingresos. Además, tendrá que compartir parte de su índice de búsqueda y datos de interacción con competidores “calificados”, y ofrecer servicios de sindicación de búsqueda y publicidad en condiciones estándar.

Por qué importa. Estas medidas llegan un año después de que se dictaminara que Google actuó ilegalmente para mantener su monopolio en búsquedas. No habrá un “break up”, pero la decisión impacta en acuerdos multimillonarios como el que tiene con Apple: solo en 2021, Google pagó 26.000 millones de dólares para asegurar la posición por defecto en dispositivos, de los cuales 18.000 millones fueron para Apple.

Qué sigue. El fallo no es definitivo. Mehta dio tiempo hasta el 10 de septiembre para que Google y el DOJ presenten un acuerdo final. Habrá apelaciones y, según expertos, el caso podría escalar hasta la Corte Suprema y extenderse hasta 2028. Además, influirá en otro proceso antimonopolio clave contra Google por su negocio de avisos.

La acción de Alphabet subió luego de la noticia.

Hackeo a Sinqia: intentaron robar $77 millones en Brasil

Cibercriminales lograron entrar a Sinqia, proveedor fintech de Evertec, e impactó a varias entidades financieras brasileñas, entre ellas la filial de HSBC. Los atacantes intentaron robar 420 millones de reales (77,4 millones de dólares) mediante el sistema de pagos instantáneos Pix, según O Globo.

Por qué importa. Pix es uno de los sistemas de pagos más usados en Brasil y no es la primera vez que es blanco de ciberataques. Uno de los casos más recientes fue el ataque a C&M Software en julio, cuando se robaron cientos de millones de reales.

Evertec es un gigante de tecnología financiera que opera como uno de los principales procesadores de transacciones de servicio completo en América Latina, Puerto Rico y el Caribe.

Cómo fue el ataque. Los hackers lograron entrar a los sistemas de Sinqia que usan los bancos brasileños y realizaron intentos de transferencias a través de Pix. Aunque la empresa confirmó el incidente, aseguró que no hay indicios de actividad sospechosa en otros sistemas fuera de Pix.

Qué se sabe. El Banco Central bloqueó 350 millones de reales (USD 64M) de los intentos de fraude. Sinqia está reconstruyendo sistemas con más controles y no volverá a poner Pix en línea hasta que el Banco Central lo revise.

HSBC confirmó la intrusión, pero aclaró que ninguna cuenta ni fondos de clientes fueron afectados.

OpenAI suma controles parentales y cambios para casos de salud mental

OpenAI anunció que en los próximos 120 días va a lanzar controles parentales para ChatGPT y mejoras en la forma en que el sistema maneja conversaciones sensibles sobre salud mental. La decisión llega después de lo que la empresa describió como “casos desgarradores” de usuarios en crisis que interactuaron con el chatbot sin recibir ayuda adecuada.

El disparador. Sam Altman y OpenAI fueron denunciados por los padres de un adolescente que se quitó la vida luego de discutir durante meses sobre el suicidio con el chatbot.

Qué cambia. Los padres podrán vincular su cuenta con la de sus hijos (desde los 13 años), establecer reglas de uso adaptadas por edad, desactivar funciones como memoria e historial, y recibir alertas si el sistema detecta angustia aguda.

Salud mental. Conversaciones sobre salud mental se redirigirán a modelos diseñados para “razonamiento simulado”, con mejores respuestas en situaciones críticas. Estas funciones se suman a recordatorios en la app para cortar sesiones largas, que ya están activos desde agosto.

Charlas extensas. OpenAI reconoció que las protecciones (guardrails) se degradan en charlas extensas, justo cuando los usuarios vulnerables más lo necesitan. A medida que aumenta el intercambio, se pierde contexto y se debilita el entrenamiento de seguridad, lo que puede llevar a respuestas que contradicen las propias políticas.

🔓 Breaches y hacks

• Hackean el Ministerio del Interior austríaco

• Bridgestone confirma un ciberataque

• Hackean chess.com y roban datos de 4.500 usuarios

🔒 Ransomware

• Land Rover sufre un ataque que interrumpió “severamente” sus operaciones

• Vuelve un viejo grupo de ransomware: OldGremlins

• Nuevo tipo de amenaza contra artistas: pagar o alimentar a la IA

💣 Exploits y malware

• Phantom Stealer, reporte técnico de F6

• Detectan una campaña de malware de APT36

• Detectan certificados no autorizados para 1.1.1.1 (Cloudflare)

🔍 Threat intel y vulnerabilidades

• Dos YouTubers contribuyen a desmantelar un millonario grupo de scammers internacional

• Un reporte advierte que tener EDR y MFA es clave para evitar ataques

• Reportes: Incogni, Quorum Cyber, OPSWAT, Cobalt

🛠️ Tools y updates

• Meta parchea un zero day en WhatsApp

• TP-Link falló en parchear una vulnerabilidad

• Claude Code y OpenAI Codex, usados para encontrar vulnerabilidades

📋 Privacidad y regulaciones

• Hesse, primer estado alemán en usar reconocimiento facial con IA

• España cancela un contrato con Huawei

• Acusan a Meta de violar sus propias políticas: crearon chats eróticos de Taylor Swift y otras celebridades

Share