Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

26 sept>
3 oct

⚡TL;DR

Durante los últimos dos años, diversos grupos cibercriminales vieron comprometida su infraestructura y operadores clave fueron detenidos. Pero el mundo del underground se mueve rápido y es resiliente. Y en este universo, un reporte advierte que tres nombres con mucho peso están operando en conjunto en la actualidad: LAPSUS$, Scattered Spider y ShinyHunters.

¿La diferencia específica de los tres? Masterminds de la ingeniería social.

LAPSUS$ fue muy conocido en América Latina porque atacaron a Globant y Mercado Libre en 2022. A nivel global, Nvidia y Microsoft habían caído ante sus ataques. Scattered Spider fue famoso por haber comprometido a las dos cadenas hoteleras más grandes de Las Vegas. ¿Cómo? Con llamados al front desk. Y ShinyHunters, al gigante AT&T y, hace unas semanas, Salesloft (1.5 mil millones de registros de Salesforce comprometidos). En los tres casos, hubo detenidos.

A veces es difícil separar lo que tiene que ver con el marketing de las empresas de ciberseguridad. “Son asociaciones que causan mucho dolor entre empresas y Estados, y les hacen juguetes, es insólito”, me dijo un hacker que investiga (y trabaja con) a estos grupos. Se refería a Crowdstrike, que marketinea a los actores de amenazas en eventos como Black Hat y RSA y, literalmente, regala figuras a los asistentes que completan ciertos desafíos. Cualquiera que haya asistido a estos eventos sabe que la gente hace filas para conseguir sus remeras.

Pero sin dudas, identificar bajo un nombre a estas agrupaciones ayuda a entender mejor sus TTPs. De estar actuando en conjunto (algunos analistas dicen que no hay evidencia), podríamos estar ante un poder de fuego recargado.

En el ámbito de las filtraciones, aparecieron varios posteos relacionados a datos de entidades de Argentina y Uruguay.

Todas las semanas linkeo a algún robo cripto. Pero esta vez se conoció el secuestro cripto más grande de la historia: 61 mil Bitcoin (a día de hoy, algo así como 7.3 mil millones de dólares).

Entre las Big Tech, Meta avisó algo esperable: va a sugerir publicidad a partir de las charlas de sus usuarios con su inteligencia artificial (que, por ejemplo, se usa bastante en los anteojos Ray Ban de la empresa). Y dos técnicas que me interesaron dentro de todo lo que pasó: Apple parcheó un bug grave con sus fuentes y encontraron una herramienta para infectar PDFs de manera muy simple.

Una curiosa para cerrar: en Austria, los militares abandonaron Microsoft para pasarse a LibreOffice, la alternativa open source.

Y dentro del mundo de la (epidemia) IA, la perlita (negra): YouTube Music agregó un DJ entre tema y tema que, encima, no se puede desactivar.

🎟️ IMPORTANTE: El lunes voy a lanzar un sorteo entre suscriptores de entradas para Ekoparty, el 17 de octubre voy a dar a conocer a los ganadores por correo electrónico.

En esta edición:

• 🕷 Scattered LAPSUS$ Hunters: se fusiona “la trinidad del caos” de la ingeniería social

• 💰 Múltiples posteos con datos a la venta en Argentina y Uruguay

• 🪙 Incautan 61 mil Bitcoin en la mayor confiscación de criptoactivos del mundo

• 🍏 Apple parchea un bug crítico en sus fuentes

• 📄 MatrixPDF, una plataforma para infectar PDFs en pocos pasos

• 🤖 Meta va a usar la información de conversaciones de su IA para vender publicidad

⏰ Substack dice que leer este correo completo lleva 14 minutos

Dark News #167

Espacio publicitario

Del 22 al 24 de octubre de 2025, llega a Buenos Aires la conferencia de ciberseguridad más grande de Latinoamérica: Ekoparty. Tres días de charlas con expertos internacionales, workshops, CTFs y experiencias de hacking en vivo para curiosos, profesionales y entusiastas que quieren descubrir el mundo hacker. Entradas a la venta, en este enlace.

Scattered LAPSUS$ Hunters: se fusiona “la trinidad del caos” de la ingeniería social

Tres de los grupos angloparlantes más activos de los últimos años se reagruparon bajo una misma operación, según un informe de Resecurity: LAPSUS$, Scattered Spider y ShinyHunters. Según el reporte, comenzaron a funcionar como un ecosistema fluido de cibercrimen, con tácticas compartidas, operaciones conjuntas y hasta canales de Telegram en común.

Qué pasó. Desde 2023, los tres grupos empezaron a aparecer en ataques coordinados contra empresas de rango Fortune 100 y agencias de gobierno. En 2025 hasta lanzaron un RaaS conjunto (shinysp1d3r) y compartieron campañas como las de Salesforce y Snowflake.

Aunque anunciaron su “retiro” en septiembre, investigadores y el FBI coinciden en que se trata de una maniobra: los ataques y extorsiones siguen en curso, de forma más discreta.

Por qué importa. Su arma principal no son exploits sofisticados sino la ingeniería social: vishing, engaños al help desk, SIM swapping y MFA fatigue. Al asociarse, amplifican impacto, generan caos mediático y diversifican métodos de monetización (filtraciones públicas, extorsiones, ransomware), señala el reporte.

Casos recientes. Qantas, WestJet y Hawaiian Airlines, AT&T y Jaguar Land Rover.

Qué significa. La “Trinidad del Caos”, como cataloga Resecurity, no solo comparte tácticas: forma parte de un ecosistema más amplio, The Com, una comunidad juvenil de hackers que funciona como cantera y multiplicador. En este contexto, los límites entre robo de datos, extorsión y ransomware se fusionan, y la atribución se vuelve cada vez más difícil.

Múltiples posteos con datos a la venta en Argentina y Uruguay

Distintos actores de amenazas subieron posteos a foros de compraventa de datos personales en la clearnet (es decir, accesibles mediante un navegador) relativas a Argentina y Uruguay. Son publicaciones donde aseguran haber accedido a información sensible de organismos públicos y privados.

Por qué importa. Aunque no está corroborado que los datos sean recientes ni auténticos, la mayoría de los casos tienen samples para descargar, como prueba de que la información es legítima.

Uruguay. Un atacante afirmó haber vulnerado las redes internas de distintos organismos del Estado y concentrado la información en un servicio privado que se ofrecería a través de Telegram. Según la publicación, los datos provendrían del Sistema Único de Cobro de Ingresos Vehiculares (SUCIVE), la Administración Nacional de Educación Pública (ANEP), la Intendencia de Montevideo, la Dirección Nacional de Identificación Civil (DNIC) y el Plan Ceibal.

El paquete incluiría nombres completos, cédulas de identidad, fechas de nacimiento, direcciones, teléfonos asociados a titulares, datos familiares, historiales educativos, registros de vehículos y hasta geolocalización de dispositivos oficiales.

De confirmarse, se trataría de una de las brechas más grandes de Uruguay.

Argentina. Circularon múltiples publicaciones con presuntas bases de datos filtradas de instituciones públicas y privadas vinculadas al sistema de salud y la administración provincial.

Entre las menciones se incluyen registros del Hospital Italiano de Buenos Aires con más de 600.000 pacientes, del Gobierno de la Provincia de Buenos Aires con casi 800.000 actas de defunción, del Hospital Italiano de Córdoba, del Sanatorio Punilla con cerca de 174.000 registros y de Salud Consultorios con unos 34.000 entradas.

Todas estas publicaciones exhiben información sensible, desde datos de contacto hasta historiales médicos, lo que expone a los usuarios a riesgos de fraude, extorsión o suplantación de identidad si llegaran a ser reales.

Incautan 61 mil Bitcoin en la mayor confiscación de criptoactivos del mundo

La policía metropolitana de Londres incautó 61 mil Bitcoin (5.5 mil millones de libras, 7.3 mil millones de dólares), el mayor secuestro de criptomonedas del mundo.

Condena. Zhimin Qian (alias Yadi Zhang), ciudadana china de 47 años, fue condenada por fraude y lavado. Entre 2014 y 2017, estafó a más de 128.000 personas en China (la mayoría de entre 50 y 75 años) con promesas de “dividendos garantizados”. Huyó a Reino Unido con documentos falsos, donde intentó lavar fondos a través de propiedades.

Cómo operaba. Qian montó un esquema de inversión fraudulento en China, al que atrajo a miles de víctimas (incluidos empresarios, empleados bancarios y hasta jueces). Con ese dinero, que fue canalizando hacia Bitcoin, levantó una fachada de éxito y lujo, al punto de ser apodada en medios locales como “la diosa de la riqueza”.

Por qué importa. El caso expone un dilema frecuente en los robos con criptomonedas: tener grandes sumas en activos digitales no garantiza que los delincuentes puedan transformarlos en riqueza tangible.

La dificultad está en la conversión de ese dinero en moneda fiat, o darle un uso práctico sin llamar la atención de las autoridades. Este cuello de botella es lo que muchas veces lleva a que las organizaciones criminales se vean forzadas a armar esquemas complejos de lavado de activos que terminan por exponerlos.

Apple parchea un bug crítico en sus fuentes

Apple lanzó actualizaciones de iOS y macOS para corregir una vulnerabilidad media (CVE-2025-43400) en el componente Font Parser, que podía provocar corrupción de memoria o denegación de servicio.

Qué pasó. La falla es un out-of-bounds write: el sistema escribe datos fuera del área de memoria asignada, lo que puede corromper información adyacente, hacer que apps se cierren de manera inesperada o, en el peor de los casos, permitir ejecución remota de código.

Por qué importa. Aunque las fuentes parecen archivos inofensivos, se procesan constantemente en segundo plano. Un atacante podría crear una fuente maliciosa capaz de explotar esta vulnerabilidad y tomar control del dispositivo. Malwarebytes advierte que esto convierte a los font bugs en un vector de ataque serio.

Alcance. El bug afecta desde el iPhone 11 y el iPad mini 5ª gen hasta los modelos más recientes. Apple corrigió el problema con mejores chequeos de límites.

MatrixPDF, una plataforma para infectar PDFs en pocos pasos

Un reporte de Varonis documenta cómo MatrixPDF, una nueva herramienta, convierte PDFs legítimos en vectores de phishing y malware.

La tool aprovecha la confianza generalizada en este formato y desplaza la parte peligrosa fuera del perímetro del correo, ya sea al navegador o al lector de escritorio.

Cómo funciona. MatrixPDF permite a los atacantes modificar un PDF común y añadirle capas engañosas: contenido borroso, íconos falsos de seguridad y títulos como “Documento Seguro”. El archivo incluye enlaces o JavaScript incrustado que redirigen a una URL controlada por el atacante. Como no transporta un binario directo, suele evadir los filtros iniciales de correo.

Por qué importa. Los PDFs son percibidos como seguros y ampliamente usados en empresas. MatrixPDF explota esa confianza: en la vista previa del mail puede mostrar un botón falso que redirige al navegador, o, al abrirse en un lector que permite scripts, descargar malware tras un simple clic en “Permitir”.

Meta va a usar la información de conversaciones de su IA para vender publicidad

Meta anunció que desde el 16 de diciembre empezará a usar los datos de sus productos de IA (incluyendo conversaciones con Meta AI, interacciones con las Ray-Ban Meta smart glasses y otras funciones) para nutrir su negocio central: la publicidad hipersegmentada en Facebook e Instagram.

Por qué importa. Más de mil millones de personas usan Meta AI por mes, muchas en conversaciones largas y detalladas. Hasta ahora esas conversaciones servían para entrenar modelos de IA; desde diciembre, también pasarán a alimentar el sistema publicitario más lucrativo del mundo. No habrá forma de desactivar la recolección.

Cómo funciona. Si un usuario habla con Meta AI sobre, por ejemplo, buceo, podrá recibir anuncios de equipo técnico en Facebook o Instagram. Lo mismo con datos captados desde fotos, audios o videos analizados por la IA de las smart glasses o de productos como Imagine (generación de imágenes) y Vibes (video feed).

La recolección se hará de conversaciones que pueden ser vía chat o voz.

Ámbito de aplicación. La medida aplica globalmente, salvo en la UE, Reino Unido y Corea del Sur, donde la ley de privacidad lo impide.

Excepciones. Meta dice que no usará interacciones sobre “temas sensibles” (religión, salud, política, orientación sexual, etc.) para mostrar anuncios.

🔓 Breaches y hacks

• DDoS contra Moldavia un día antes y durante las elecciones parlamentarias

• Tenable encuentra tres vulnerabilidades en Gemini

• Red Hat confirma un breach en su instancia de GitLab

🔒 Ransomware

• El grupo Space Bears anuncia a un sistema odontológico argentino como víctima

• Análisis de FunkSec Ransomware, una cepa AI-powered

• Google Drive agrega “protección contra ransomware”

💣 Exploits y malware

• Nuevo malware detectado: Olymp

• Un nuevo troyano bancario ya infectó 3 mil dispositivos Android

• ESET detecta dos cepas distintas de spyware para Android

🔍 Threat intel y vulnerabilidades

• Análisis técnico de un stealer que gana terreno: Acreed Infostealer

• Trend Micro publica un informe sobre LockBit 5.0

• Reportes: Allianz, Incogni, Varonis, Forescout, Cobalt, HackerOne.

🛠️ Tools y updates

• Cloudflare lanza un servicio de email

• Publican parches para un zero day activo de VMware

• Apple actualiza la mayoría de sus productos

📋 Privacidad y regulaciones

• California tiene una ley de regulación de inteligencia artificial

• Corea decreta la emergencia cyber por un incendio en un data center

• Google tendrá que pagar 65 millones por mal uso de información de salud de sus usuarios

Share